Acho melhor você usar fail2ban
, porque suas regras de ipfilter também bloqueiam conexões legítimas. fail2ban
bloqueará somente IPs após conexões com falha.
Em seguida, uma prática comum é proibir os IPs quando eles tentarem se conectar à porta 22 e vincular seu servidor ssh a outra porta. Você então enfrenta apenas uma conexão ilegítima por semana se seu computador não for um alvo conhecido.
Para a pergunta precisa que você fez:
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP