Lehet, nagy hülyeség, amit írok, de az eredeti problémára... fail2ban-t "inverz módon" beállítani esetleg?
...tehát alapvetően tiltva van az ftp portja, fail2ban az apache logja alapján szűri a sikeres bejelentkezéseket és az IP-re engedélyez, majd a timeout leteltét követően visszaáll az eredeti állapot.
Lehet, hogy nem gondoltam át eléggé... :)