利用iptables防止ssh暴力破解和控制网速

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
第一句是说，对于外来数据，如果是 TCP 协议，目标端口号是 22，网络接口是 eth0，状态是新连接，那么把它加到最近列表中。第二句是说，对于这样的连接，如果在最近列表中，并且在 60 秒内达到或者超过四次，那么丢弃该数据。其中的-m是模块的意思。
也就是说，如果有人从一个 IP 一分钟内连接尝试四次 ssh 登录的话，那么它就会被加入黑名单，后续连接将会被丢弃。这是对付 ssh 暴力破解的绝佳规则了。不用修改 openssh，也不用另启一个容易招麻烦的服务。不过不知道多久以后那个 IP 才能重新连接上。
我实际使用时正有一北京 IP 在尝试 ssh 登录。命令执行后，auth.log 里的红色失败消息又出现了四次，然后就没有了。后来再查看时，虽然还是能看到不少红色，但是没有以前那么密集了。更重要的是，每四条登录失败消息间的时间间隔比较大了。可谓效果显著啊

网络限速 
这是我这次搜索 iptables 相关信息的本意。起因是这样子的，在本地测试的时候，经常会发现本地连接的速度实在是太快了。对于网站，不能反映其真实的使用体验；对于网络程序，无法测试其在网络不良时的表现，由于测试的规模小，一些真实使用时容易出现的竞态也由于操作完成得太快而无法重现。
很早就知道 iptables 能够对转发流量进行限速。既然是 iptables 而不是某些商业软件，它就没理由只能对外部流量而不对本地接口 lo 进行限速。于是最后弄到如下命令：
iptables -A INPUT -s 127.0.0.1 -p tcp -d 127.0.0.1 --dport 6900:6901 -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -p tcp -d 127.0.0.1 --dport 6900:6901 -j DROP
这两条规则组合起来是说，对于所有从 127.0.0.1 到同样的地址的 6900 到 6901 端口的 TCP 连接，每秒只接受一个数据包，多余的丢弃。后边那句是必要的，如果不写的话就没作用了，因为默认策略是接受。
要注意的是，如果使用域名localhost的话，很可能会使用 IPv6 地址::1而不是127.0.0.1了。