Não tenho 100% de certeza sobre a alteração da porta. Talvez seja melhor usar o redirecionamento de porta (por exemplo, encaminhar 0.0.0.0:1234 para localhost: 2087 e descartar todos os pacotes da rede externa para as portas 2086/7).
Para obter a proteção do UA do seu WHM, eu usaria o correspondência de strings no IPTables Aqui está em uso (para um propósito diferente): link
Eu definiria uma regra de negação por padrão e permitiria que qualquer pessoa que possuísse a string com o User-Agent
necessário. Embora as tabelas de IP correspondam ao pacote inteiro (ou seja, ele não examinará especificamente o campo User-Agent
da solicitação), se você especificar a string o suficiente, isso não deve ser um problema.