Aqui vai, adicionando uma cadeia ICMPSCAN secundária (e colocando a regra de salto na primeira posição da cadeia INPUT):

iptables -N ICMPSCAN
iptables -I INPUT -p icmp -m icmp --icmp-type echo-request -j ICMPSCAN 
iptables -A ICMPSCAN -m recent --set --name badicmp --rsource 
iptables -A ICMPSCAN -m recent --update --seconds 1 --hitcount 2 --name badicmp --rsource -j DROP

Nota: ambas as regras de configuração/atualização podem ser definidas em INPUT sem o secundário, mas prefiro colocar essas regras em cadeias distintas.

Nota2: uma regra adicional após --set pode ser adicionada para registrar o evento...

lista negra dinâmica:

Agora, para adicionar uma lista negra dinâmica permanente com base no acionador de contagem de acessos recente, podemos aproveitar as vantagens do recurso ipset. ipset está disponível para centos 6.x e iptables reconhece ipset, mas pode ser necessário instalá-lo primeiro.

Aqui estão as regras do iptables/ipset para atender à sua necessidade:

iptables -F ICMPSCAN
iptables -N ICMPSCAN
ipset -N banned_hosts iphash
iptables -I INPUT -p icmp -m icmp --icmp-type echo-request -j ICMPSCAN 
iptables -A ICMPSCAN -m recent --set --name badicmp --rsource 
iptables -A ICMPSCAN -m recent --update --seconds 1 --hitcount 2 --name badicmp --rsource -j SET --add-set banned_hosts src
iptables -A ICMPSCAN -m set --set banned_hosts src -j DROP

Você pode listar o conteúdo atual da lista de banidos usando a lista ipset, por exemplo:

# ipset list banned_hosts
Name: banned_hosts
Type: hash:ip
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 8284
References: 2
Members:
192.168.122.1

e gerenciar o set list, por exemplo, para remover um endereço IP como:

# ipset del banned_hosts 192.168.122.1

Veja também esta página:http://www.linuxjournal.com/content/advanced-firewall-configurations-ipset