Есть два метода осуществления блокировки атакующих.

Первый, попроще, используя скрипт мониторящий лог-файлы /var/log/messages на предмет строк 

Apr 26 19:44:09 webber sshd[57810]: password authentication failed. Login to account admin not allowed or account non-existent. 

и в реалтайм добавляет запрещающее правило в фаервол. Затем cron проходит раз в 20 минут  и подчищает правила, которые свое отработали. Метод железобетонный, можно настроить на различные лог-файлы, например, на apache, ftp, ssh.

Второй метод, с использованием взрослой системы обнаружения вторжений IDS Snort, в нашем случае это пакет snort_inline, особенностью которого является метод снятия пакетов через ipfw divert. Т.е. на snort заворачивается трафик, проверяется, и пропускается дальше на фаервол, или не пропускается с поднятием флага RST. Преимущество метода заключается в возможности комбинировать любыми способами снимаемый трафик, и направлять на несколько запущенных экземпляров snort. К примеру, мы можем перенаправлять трафик к ssh и ftp портам на один snort, а http трафик на другой snort.

Для лучшего понимания принципов работы надо попробовать оба метода :)