Eu não acho que essa seja uma configuração irracional, por si só. Como você está fazendo tudo no espaço do kernel (versus algo como fail2ban
, que é executado na userland e atua sobre as mensagens do syslog do kernel), ele deve ser razoavelmente eficiente.
Esteja ciente de que você tem um grande potencial de ataque de negação de serviço aqui, no entanto. Um invasor pode enviar SYNs com endereços de origem falsificados para qualquer uma dessas portas "trap" e obter esses IPs bloqueados. Enviar pacotes suficientes para bloquear grande parte da Internet não seria tremendamente difícil. Provavelmente, você deve pensar na inclusão explícita de todos os endereços que você costuma usar para acessar o servidor.
Se não for prático colocar na lista de permissões os IPs que você costuma usar para acessar o servidor, não acho que eu vá por esse caminho.