se os endereços estiverem agrupados em uma ou poucas sub-redes contínuas [por exemplo, poucos / 24s] - criaria uma regra simples de redirecionamento que DNAT todo o tráfego na porta 80 para algo que estivesse escutando na porta 81 [eg vhost from nginx] apenas serviria a página de erro:
iptables -t nat -A PREROUTING -p tcp -s 194.88.0.0/16 --dport 80 -j REDIRECT --to 81
se este for 8-10k ips únicos espalhados 'all around' ... vai ser interessante; -] - eu ainda iria com o cenário acima, mas para correspondência eu usaria setet . algo assim:
ipset --create ban iphash
ipset --add ban 80.1.2.3
ipset --add ban 90.4.5.6
ipset --add ban 153.17.18.19
# ....
iptables -t nat -A PREROUTING -p tcp -m set --set ban src --dport 80 -j REDIRECT --to 81