Sim, para um bom firewall siga esta ordem:
*Ignore todo o tráfego
*Mude a porta do SSH
*Libere SSH apenas para um IP
*Libere faixa de IP apenas do Brasil (na primeira regra vc já ta ignorando gringo pq ta block tudo)
*Libere as portas conforme a regra acima (Apenas IPs do Brasil, pra falar a verdade pode colocar junto essa regra)
*Drope requisições ICMP
*Bloqueie determinado IP que fizer mais de uma tentativa de acesso em menos de 1 segundo (um humano não consegue mais de um acesso em menos de um segundo da mesma máquina)
isso ai é o básico do básico, lembrando antes de TUDO, se tiver acessando host, coloque pra liberar conexões estabelecidas pois se não vc vai ser desconectado do SSH ja que na primeira regra esta negando tudo.
*Com isso você está protegido uns 80% de DOS e DDOS, o restante de hacks no jogo é contigo ^^
se ajudei e esclareci a dúvida de alguém me de um obrigado ai =P