iptables - фильтрации по размеру пакета. Как сделать?

[kavadims]

Сервер иногда ддосят. Редко но бывает пару разв  год.

Программа клиента отправляет запрос серверу в 300-400 битов, 1 раз в 1-20 секунд и получает ответ в 100 битов.
Как настроить, чтобы что запросы большего размера блокировались и IP шел в бан на час-день?

Используется VDS.

[censor]

то что пакеты будут дропаться конечным хостом (сервером) не отменяет их доставу маршрутизаторами провайдера и будут посчитаны биллингом, это если вы за трафик боитесь.

[kavadims]

Трафик анлим., НО, ддос!
Бывает ддосят, и именно каналом, валят виртуалку каналом в 500мбит/с ..
естественно сами запросы огромные.. но если ограничить в 400 байтов запрос к серверу + ограничить число запросов (максимум 1 в 1 секунду), и все запросы что больше 400 байтов в бан IP посылать (на час-день) ... то ддос будет не страшен, так как дорого обойдется такое удовольствие, свалить сайт будет на много трудней... как мне кажется..
валят его просто каналом.
Возможно ставить ограничение, фильтровать определенные порты, а остальные порты выключить...