Para sua pergunta principal,
How do I block all IPs except two certain IPs on different subnets for SSH/SSHD?
Usando o iptables, basta substituir o 192.168.0.1/24 por qualquer IP / sub-rede que você queira permitir. Certifique-se de acrescentar a última regra. Como as regras são lidas de cima para baixo, adicioná-lo primeiro o trancará se você estiver remotamente no seu sistema
iptables -I INPUT -s 192.168.0.1/24 -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -s 192.168.0.1/24 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
Em relação à sua segunda pergunta,
how to restrict SSH access after 5 attempt
Anexe ou modifique o parâmetro MaxAuthTries existente na sua configuração ssh:
echo "MaxAuthTries 5" >> /etc/ssh/sshd_config
Isso negará o login após 5 tentativas malsucedidas e qualquer tentativa após metade do valor (3 tentativas neste caso) será registrada.