Добавить в /etc/sysconfig/iptables (ну или где там в el7 хранятся правила):
-A INPUT -p tcp --dport 80 -s IP-который-блокируем -j DROP
Таким образом запросы к серверу просто не попадут. Если таких адресов много, то можно написать одно правило:
-A INPUT -p tcp --dport 80 -m set --match-set ip-to-block src -j DROP
Для того, чтобы это работало, нужно поставить пакет ipset, создать файл /etc/sysconfig/ipset и в него добавить следующее:
create ip-to-block hash:net family inet hashsize 1024 maxelem 65536
add ip-to-block IP-который-блокируем
add ip-to-block еще-один-IP
