Гляньте на предлагаемые Вами монструозные инструкции. conntrack в данном случае использован для того, чтоб мониторить ВСЕ пакеты. Это занимает память, это нагружает процессор и снижает производительность всего сетевого устройства.
А требуется отсечь неавторизованное обращения на пару определённых портов в случае неправильной регистрации. Разница между "контроль всех пакетов" и "отсечение в случае 6-ти (default settings) неуспешных попыток авторизоваться" по энергозатратам - огромна. Да и бездарно так делать. Так что положите эти свои настройки там, где позаимствовали.
И почему REJECT, а не drop? Роботы нынче умные, если ответ после REJECT пришёл, то это подтверждение им, что они- на правильном пути. И снова лишняя работа для процессора и сети. Зачем?