Можно отбросить IP на уровне TCP путем создания ACL и затем использования отклонения соединения, если ACL подобран:
acl bad_ip src 10.10.10.0
tcp-request connection reject if bad_ip
Вы могли также настроить 403 бэкенда и отправить их в это, если Вы хотите сделать это на уровне HTTP:
frontend foo
...
acl bad_ip src 10.10.10.0
use_backend bad_guy if bad_ip
...
backend bad_guy
mode http
errorfile 403 /etc/haproxy/errors/403.http
Эти ACLs могут быть довольно гибкими, и можно сделать его так несколько условий в ACL, или должны быть встречены несколько ACLs в рамках действия. Больше по http://haproxy.1wt.eu/download/1.5/doc/configuration.txt.
Порт 53 используется для DNS. Это зависит от ваших потребностей, нужно вам это или нет.
Вы можете настроить dnsmasq для предоставления некоторого внешнего (ISP) DNS-сервера клиентам DHCP, а затем вы можете отключить ретрансляцию DNS на своем сервере. Если нет, убедитесь, что ретрансляция DNS включена только для внутренней сети.
Меня беспокоит порт 53. lsof -i: 53 показывает, что там отвечает dnsmasq.
Порт 53 - стандартный порт для DNS. Dnsmasq прослушивает здесь по умолчанию.
Вот некоторые важные части из документации Dnsmasq.
Из http://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html
-p, --port=<port>
Listen on <port> instead of the standard DNS port (53). Setting this to zero completely disables DNS function, leaving only DHCP and/or TFTP.
Из http://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq.conf.example
# Listen on this specific port instead of the standard DNS port
# (53). Setting this to zero completely disables DNS function,
# leaving only DHCP and/or TFTP.
#port=5353