1. Ловим все input - new в адрес лист.
2. Если из этого адрес листа в течении пары секунд приходит ещё пара соединений, то адрес в дроп.
Перебор трех первых портов блокирует доступ и не даёт сканировать остальные.
Как вам такой вариант? Рабочий?
проц не ляжет столько трафика анализировать? и что значит "перебор трёх первых портов"?
короче, надо тестировать, если желание есть