НЕ моё, конечно, дело, но ИМХО у Вас netfilter настроен, мягко говоря паршиво.
Одной пользовательской цепочкой (
cphulk) пытаетесь что-то заткнуть (хотя это похоже на какую-то утилиту автобана), другой (
cP-Firewall-1-INPUT) - разрешаете и без того разрешённый трафик (дефолтное правило ACCEPT).
Давать какие-либо консультации по защите одного сервиса здесь очень сложно.
Точно сработает такие команды
sudo iptables -I INPUT -s 87.253.88.347 -p tcp --dport 22 -j ACCEPT
sudo iptables -I INPUT 2 -p tcp --dport 22 -j DROP
НО ЭТО КОСТЫЛЬНОЕ РЕШЕНИЕ
Пользователь добавил сообщение 22 Апреля 2016, 22:07:08:
То есть, сначала мы разрешили с определённого адреса, а потом запретили всем?
Конкретно в предложенной ТС варианте, да. Именно так.
почему правило на дроп всех пакетов не перезаписывает правило на ассерт определённого.
Ни какое правило ничего не перезаписывает. Они выстраиваются цепочкой в том порядке, в котором их вводят (если конечно в команде добавления не указана конкретная позиция правила в цепочке)
Действия DROP и ACCEPT являются терминирующими действиями, поэтому после их отработки обработка цепочки прекращается.
То есть если срабатывает только первое правило срабатывающее по условию (это касается только терминирующих действий)