Вот так, добавляем вторичную цепь ICMPSCAN (и помещаем правило перехода в первую позицию цепи INPUT):

iptables -N ICMPSCAN
iptables -I INPUT -p icmp -m icmp --icmp-type echo-request -j ICMPSCAN 
iptables -A ICMPSCAN -m recent --set --name badicmp --rsource 
iptables -A ICMPSCAN -m recent --update --seconds 1 --hitcount 2 --name badicmp --rsource -j DROP

Примечание: оба правила установки/обновления можно было бы задать в INPUT без вторичного, но я предпочитаю помещать такие правила в отдельные цепочки.

Примечание 2: можно добавить дополнительное правило после --set для регистрации события...

динамический черный список:

Теперь, чтобы добавить постоянный динамический черный список на основе триггера недавнего количества посещений, мы можем воспользоваться функцией ipset. ipset доступен для centos 6.x, а iptables поддерживает ipset, но вам может потребоваться сначала установить его.

Вот правила iptables/ipset, которые соответствуют вашим потребностям:

iptables -F ICMPSCAN
iptables -N ICMPSCAN
ipset -N banned_hosts iphash
iptables -I INPUT -p icmp -m icmp --icmp-type echo-request -j ICMPSCAN 
iptables -A ICMPSCAN -m recent --set --name badicmp --rsource 
iptables -A ICMPSCAN -m recent --update --seconds 1 --hitcount 2 --name badicmp --rsource -j SET --add-set banned_hosts src
iptables -A ICMPSCAN -m set --set banned_hosts src -j DROP

Вы можете просмотреть текущее содержимое списка забаненных, используя ipset list, например:

# ipset list banned_hosts
Name: banned_hosts
Type: hash:ip
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 8284
References: 2
Members:
192.168.122.1

и управлять списком настроек, например, для удаления IP-адреса, например:

# ipset del banned_hosts 192.168.122.1

Смотрите также эту страницу:http://www.linuxjournal.com/content/advanced-firewall-configurations-ipset