关于 iptables 排除规则的疑问

将你的 ip 放入 hosts.allow ， hosts.deny 里禁止所有 ip 连接。

为什么不直接改端口..

iptables -I INPUT -s 你的 IP -p tcp --dport 22 -j RETURN
有几个加几个。。

-A INPUT -s $(IP)/32 -p tcp -m tcp --dport 22 -j ACCEPT
把这条放前面？

用 fail2ban 加白名单？

fail2ban

在虚拟机里实验了一下，问题解决了，规则很简单，但是顺序一定不能错
1 、 iptables -A INPUT -p tcp --dport 22 -s 192.168.*.* -j ACCEPT
2 、 iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
3 、 iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
4 、 iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables 遵循从上到下的规则，假如反过来则只会执行 iptables -A INPUT -p tcp --dport 22 -s 192.168.*.* -j ACCEPT 这一条

禁止密码登陆，用密钥登陆多好

@tys 是个不错的方法

@n7then 总是有使用默认端口还不能更改的情况的

@ProjectAmber 嗯，是这样，但最后还要加上不限 IP 的规则才可生效

@xiaopc 好东西，记住了

@justsky 虽然自己忘记密码从而被禁 IP 的概率比较小，但是多少公司的在服务器安全方面投入很少，估计大部分的都懒得修改端口，懒得设置密钥登陆，懒得禁掉 root 用户登录 ssh ，而且估计又因为怕出差在外不能方便的登陆服务器所以也没限制 IP 登陆，不是说没有更好的办法，而是很可惜事实就是这样。例如前段时间全球性的 MongoDB 勒索事件，更是爆出了多少问题？明明简单设置下防火墙或者给 MongoDB 加上身份验证这么简单的事情

@frostfall 也就小公司还没好运维的才掉坑，真心活该
一般机器多了 /出差用堡垒机或者 VPN