A solução não é negar todos os IPs (por exemplo, negar 0.0.0.0/0), mas permitir apenas os IPs ou intervalos estáticos especificados. Então, a ação padrão do CSF será DROP outro tráfego.
Este mesmo princípio se aplica a outros firewalls como o iptables - desde que a ação padrão seja "DROP", então tudo que você precisa é permitir regras.