Имеется сервер на нем ssh и web. Ниже приведён простой пример правил для
блокирования на определенное время IP, обратившегося по неактивному номеру порта.

   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -P FORWARD DROP

   iptables -A INPUT -p all -i lo -j ACCEPT
   iptables -A OUTPUT -p all -o lo -j ACCEPT

   # любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд, 
   # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
   iptables -A INPUT -m recent --rcheck --seconds 120 --name FUCKOFF -j DROP
   iptables -A INPUT -p tcp -m multiport ! --dports 22,80 -m recent --set --name FUCKOFF -j DROP

   iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
   iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT
   iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
   iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Теперь nmap -sV ip не выдаст ничего и  если какой нибудь демон повесить на
нестандартный порт, его будет не так просто обнаружить.