I would like to know, how low is safe so that search bots and normal visitors do not get blocked?
Tão baixo quanto você consegue, sem que bots de busca e visitantes normais sejam bloqueados. (isto é, "Não há como dizer sem dados empíricos - Depende do seu site, do tipo de navegadores / rastreadores sendo usados e de quantas conexões simultâneas eles tentarão abrir, se os usuários estão ou não atrás de proxies / NATs que fazem muitos os usuários parecem vir de um endereço IP, etc. etc. etc. ")
Conselhos práticos: Se você quiser usar uma proibição automática como esta errar do lado dos falsos negativos (permitindo que os ataques continuem) ao invés de falsos positivos (banindo usuários legítimos). 200 conexões simultâneas de um IP parecem ser um valor razoável, desde que você não tenha centenas de usuários atrás de um proxy em algum lugar, todos parecendo um IP e todos acessando o site de uma só vez.