Minha solução acabou nesse filtro Fail2ban:
failregex = DROP:IN=eth0 OUT= MAC=[a-zA-F0-9:]+ SRC=<HOST> DST=([0-9]{1,3}\.?){4} LEN=
DROP:IN=eth0 OUT=vmbr0 SRC=<HOST> DST=([0-9]{1,3}\.?){4} LEN=
adicionado a /etc/fail2ban/filter.d/sshd-ddos.conf
Ele bane essas solicitações na porta ssh.