####### Libera ssh para um determinado ip sem precisar passar pelo segredo ##############
####### xxx.xxx.xxx.xxx = IP que deseja liberar#######################

iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx --dport ssh -j ACCEPT

####### A rede que você quer que tenha acesso ao segredo (aqui no caso está para qualquer uma)

HOST_IP="0.0.0.0/0.0.0.0"

####### Fases do Segredo ##################################
/sbin/iptables -N INTO-FASE2
/sbin/iptables -A INTO-FASE2 -m recent --name FASE1 --remove
/sbin/iptables -A INTO-FASE2 -m recent --name FASE2 --set
/sbin/iptables -A INTO-FASE2 -j LOG --log-prefix "INTO FASE2: "

/sbin/iptables -N INTO-FASE3
/sbin/iptables -A INTO-FASE3 -m recent --name FASE2 --remove
/sbin/iptables -A INTO-FASE3 -m recent --name FASE3 --set
/sbin/iptables -A INTO-FASE3 -j LOG --log-prefix "INTO FASE3: "

/sbin/iptables -N INTO-FASE4
/sbin/iptables -A INTO-FASE4 -m recent --name FASE3 --remove
/sbin/iptables -A INTO-FASE4 -m recent --name FASE4 --set
/sbin/iptables -A INTO-FASE4 -j LOG --log-prefix "INTO FASE4: "

/sbin/iptables -A INPUT -m recent --update --name FASE1

####### Aqui você determina o número das portas e o tempo que o ip ficará em cada uma das fazes aguardando a próxima porta ser digitada. Por ex.: Você terá 15 segundos para passar de cada fase, se o tempo se expirar na fase 3 terá que começar da fase1 novamente. ###########
####### Dica: não é aconselhável utilizar portas em sequências crescentes ou decrescentes como neste exemplo (100, 200, 300, 400) e sim intercalando os valores uma mais alta e uma mais baixa para evitar que algum scan consiga adivinhar a sequência. #######

/sbin/iptables -A INPUT -p tcp --dport 100 -m recent --set --name FASE1
/sbin/iptables -A INPUT -p tcp --dport 200 -m recent --rcheck --seconds 15 --name FASE1 -j INTO-FASE2
/sbin/iptables -A INPUT -p tcp --dport 300 -m recent --rcheck --seconds 15 --name FASE2 -j INTO-FASE3
/sbin/iptables -A INPUT -p tcp --dport 400 -m recent --rcheck --seconds 15 --name FASE3 -j INTO-FASE4

####### Aqui chegamos a FASE4, que é a última deste exemplo, onde será liberada a conexão com a porta 22 (ssh). O tempo aqui está setado para 3600 segundos (1 hora). Depois disso será fechada novamente para o ip em questão, lembrando que se ele ainda estiver logado não fará diferença, será fechada mesmo assim. Então aumente o tempo conforme desejado.####

/sbin/iptables -A INPUT -p tcp -s $HOST_IP --dport 22 -m recent --rcheck --seconds 3600 --name FASE4 -j ACCEPT

####### Por último fechamos todos acessos a porta 22 ########

/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP