Limitar la tasa de conexiones entrantes con iptables

Ha resultado muy popular un artículo en Debian Administration sobre como limitar con iptables la tasa de conexiones entrantes del puerto 22 (SSH). Limitar la tasa de esta manera reduce considerablemente los ataques por red y permite abrir el puerto SSH en forma ilimitada. A mi me ha resultado tremendamente valioso porque soy uno de aquellos administradores que se ve forzado a administrar sus servidores en forma remota. Me ha sucedido varias veces que mi proveedor Internet cambia sin aviso el rango de IPs a números no contemplados por el cortafuego del servidor, quedando bloqueada la entrada sin remedio. Abrir el puerto 22 a todo IP, pero limitando fuertemente la tasa de conexiones, me permite entrar desde cualquier IP en forma remota y a la vez saber que un hackeo es muy improbable.

Voy a reproducir las reglas de iptables pero a la manera de nuestra guía sobre cortafuegos en Debian.

La regla se inserta en /etc/network/if-up.d/firewall en la cadena pqtes-tcp-permitidos,

$IPTABLES -A pqtes-tcp-permitidos -p TCP -m state --state NEW --dport 22 -m recent --set
$IPTABLES -A pqtes-tcp-permitidos -p TCP -m state --state NEW --dport 22 -m recent --update --seconds 60 --hitcount 4 -j DROP
$IPTABLES -A pqtes-tcp-permitidos -p TCP -m state --state NEW --dport 22 -j ACCEPT

La primera regla agrega el número IP que inicia una conexión SSH a una lista. La segunda regla actualiza la lista y prueba que no hayan más de 4 requerimientos nuevos en un lapso de 60 segundos. Si los hay, la regla descarta el requerimiento. De esta manera limitamos la tasa a máximo 3 requerimientos por minuto por IP.