Como proibir automaticamente um IP quando ele acessa algumas portas?

Eu tenho um vps, que hospeda algum serviço que eu usei. Hoje, encontrei alguém escaneando meus vps por

netstat -ntu | awk '{print $5}' |sort | uniq -c | sort -n

E encontrei algum resultado (removi meu ip de baixo)

1 xxxxxxxxxxx:59564
1 xxxxxxxxxxx:59569
1 xxxxxxxxxxx:59570
1 xxxxxxxxxxx:59576
1 120.236.148.199:2226
1 127.0.0.1:41108
1 127.0.0.1:41148
1 127.0.0.1:41156
1 127.0.0.1:41158
1 127.0.0.1:41178
1 127.0.0.1:41180
1 183.61.236.54:3128
1 213.13.37.231:3128
1 218.244.149.184:8888
1 46.164.141.173:8080
1 58.96.172.205:8888
1 Address
1 servers)
2 ::1:9988
2 219.156.157.186:80
10 127.0.0.1:3306
11 127.0.0.1:3999

Eu tenho alguns webservice apenas para mim, eu quero banir todos ip depois que eles acessam outras portas, mas existem alguns problemas.

1. Eu configurei um proxy socks5 em 8699, mas parece abrir alguma outra porta para servir minha conexão:

   tcp6       0      0 default.hostname:8699   my_vps_ip_here.bro:59570 ESTABLISHED
   tcp6       0      0 default.hostname:8699   my_vps_ip_here.bro:59576 ESTABLISHED
   tcp6       0      0 default.hostname:8699   my_vps_ip_here.bro:59564 ESTABLISHED
   tcp6       0      0 default.hostname:8699   my_vps_ip_here.bro:59569 ESTABLISHED
   

   netstat -ntu | awk '{print $5}' |sort | uniq -c | sort -n não mostra Estou conectando 8699 , mostra apenas 59570, 59576, 59564, 59569 . Qual é a regra correta para este caso?

2. Qual é a maneira recomendada de banir automaticamente o IP? Eu só inventei: continue verificando o resultado de netstat -ntu | awk '{print $5}' |sort | uniq -c | sort -n a cada segundo, e adicione um ip ruim ao iptables.

3. Eu sei que o iptables e o ufw podem banir o ip, o ufw se parece mais com um gerente, mas existe alguma melhor escolha?