Невозможно заставить систему межсетевого экрана iptables читать содержимое уровня HTTP и блокировать его. Есть несколько модулей согласования «уровня 7», но они, как правило, не являются хорошим выбором или разумно поддерживаемыми.
Частично проблема здесь в том, что заголовок, вероятно, составляет от трех до пяти пакетов вниз по линии от начального соединения, и вы должны поддерживать много состояния, чтобы понять, откуда оно взялось. (Если только балансировщик нагрузки не включит его в параметр IP или что-то в этом роде, а это, вероятно, не так.)
Вам будет лучше с одним из многих инструментов, таких как fail2ban , которые обрабатывают журналы в поисках нарушения content, затем добавьте правила iptables или - что полезно - выполните другое действие,