Mapeando regra ufw para iptables

ufwmanipula no iptables, então já que você está migrando do ufw, acho que você pode capturar seu iptables e ver o que o ufw faz lá.

Usando a recentextensão

Baseado na ideia do @Tomasz, criei a regra no ufw e inspecionei o resultado no iptables. Parece que o ufw usa a recentextensão:

:LOG_REJECT - [0:0]

-A INPUT      -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --set
-A INPUT      -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 30 --hitcount 6 -j LOG_REJECT
-A INPUT      -p tcp -m tcp --dport 22                                                                         -j ACCEPT
-A LOG_REJECT                                                     -m limit --limit 3/min                       -j LOG --log-prefix "[LIMITED SSH]"
-A LOG_REJECT                                                                                                  -j REJECT --reject-with icmp-port-unreachable

Usando a limitextensão

O que é um pouco mais limpo/simples:

:LOG_REJECT - [0:0]

-A INPUT      -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m limit --limit 12/minute -j ACCEPT
-A INPUT      -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW                            -j LOG_REJECT
-A LOG_REJECT                                                     -m limit --limit 3/minute  -j LOG --log-prefix "[LIMITED SSH]" --log-level 7
-A LOG_REJECT                                                                                -j REJECT --reject-with icmp-port-unreachable

(Embora eu não tenha certeza se icmp-port-unreachableé uma mensagem de rejeição adequada neste caso.)

Usando a connlimitextensão

...talvez outra pessoa possa adicionar isso. :)