"de nem ez volt a kérdés"
De ez is a kérdéshez tartozik, ugyanis ha attól tartasz, hogy egy protokoll és portellenőrzés, valamint vélhetőleg elég kisszámú forrás IP ellenőrzésébe belerokkan a gép, akkor erre az a javaslat, hogy vagy a gépet kell fejleszteni, vagy be kell tenni elé egy kis hardveres tűzfalat.
Úgy építsd fel a szabályok sorrendjét, hogy ne legyen túl nagy overhead, valamint a lánc tartalmát időnként tisztítani is kell (lásd: fail2ban).
Ha már előkerült a fail2ban, az miért nem jó neked?