serjs

Я думаю мало кто даст просто динамически рулить ACLами, более того если трафик в размере 10+ Гбит уже идет, то врядли кому то будет интересно получать столько трафика без его же оплаты чтобы конкретно Вашему серверу или точкке прием информации пускать что-либо из некого списка.

Посмотрите в сторону сервисов защиты от ddos атак, ddos-protection.ru к примеру, рекомендую как их клиент (ну или аналоги), с ACL думаю также сможете договорится, хотя смысла не вижу, считается все равно чистый трафик, вероятность попадания Ваших клиентов в блок крайне низкая.

getpocket.com/a/read/98338296 не рекламирую, но так и делал в свое время (на 5 тоже)

А с nochain lsmid | grep connlimit наверно ничего не выводит? Нужно подгружать модуль, только в 5 дебиане не скажу есть ли он нативно, т.к. везде перешли на 6 уже.