xmoonlight

Через подпись трафика (после валидации "чистоты" клиента) между разными площадками (не менее 2-х) это делается.
Неподписанный - сразу же игнорируется другой ещё до создания соединения.
Все коннекты - проверяются на валидную подпись.

Клиент - всегда за одну сессию посещения работает ТОЛЬКО с одним сервером обслуживания. Это может быть как отдельная структура, так и внутри структуры CDN. Я предпочитаю использовать второй вариант.

Сервера - постоянно синхронизируют данные асинхронно между собой (канал обмена данными - поднят всегда!).
После закрытия/смены сессии клиентом - происходит централизованное оповещение сразу всем серверам и они ставят себе в очередь синхронизацию данных именно по этому пользователю.
При этом, стандартная синхронизация серверов БД работает параллельно в штатном режиме.

все SQL запросы сильно лагают

Только пакетный конвейер запросов с контролем загрузки сервера исполнения запрос-пакета и необходимого приоритета исполнения всех нужных запрос-пакетов! Система должна знать (сама принимать решение!): когда ей выполнить запрос, а когда допускается повременить (приоритезация).

Также, можно использовать HAProxy для отказоустойчивости/балансировки, в качестве "головы".
Или, как альтернативу ему, Envoy.

PS:
1. Кэширование статики и данных из БД - Вы там не забыли поделить на: EVERYONE, GUEST, USER?
2. Соединение к БД - не переоткрываете по несколько раз, когда делаете обращения к БД за время исполнения скрипта?
3. Объединяете ли запросы с стэки для получения всех нужных данных ОДНИМ запросом из БД?

хоть у меня установлено много сервисов .... подскажите способы полного мониторинга сети в linux debian 10

Сели в машину, нажали на ГАЗ, а как рулить и притормаживать - не знаете?)))

Ntopng (how-inst)

Ntopng is a free, open-source and very useful network monitoring tool that can be used to monitor network traffic in real-time. It is a high-performance, low-resource and next generation version of the original ntop based on libpcap. It is Cross-platform and runs on every Unix platform, MacOSX and Windows. ntopng monitors and reports various protocols including, TCP, UDP, ICMP, DLC, IPX, ARP, Netbios, Decnet and many more.

Features

Geolocation of IP addresses
Show the network traffic and IPv4/IPv6 hosts
Analyze the traffic and sort it according to the source/destination
Store traffic statistics in RRD format
Report and sort IP protocol usage by protocol type

1. Самый простой вариант - не открывайте доступ к игровому сокету до тех пор, пока не будет пройдена аутентификация на веб-сервере.
2. Игровые порты всегда соединяйте на IP, который проксируйте на другой сервер как папку (reverse proxy).
3. После 5-ти неудачных попыток авторизации на игровой порт подряд - блочьте IP клиента на 5 минут, на 15 минут, на 1 час и т.д.
4. Желательно, настроить поведенческий фильтр и автоматический("прозрачная" маршрутизация) динамический роутинг для авторизованных пользователей на другой сервер для временного ухода от медленного ("забитого") канала.

И возникает вопрос... как бы соединение по ssh не дропнуть. Как это реализовать на iptable или может по другому.

Да, все верно говорите. Я бы тоже так сделал. Надо обязательно исключить ssh из списка дропа, чтобы не потерять доступ к серверу.

BAN=5^T;
Trigger: 5 qps (5 (queries per second) запросов в секунду с одного адреса на один и тот же URI)

Сработал триггер 1-й раз: BAN+=5^1 (5 секунд бан к оставшемуся времени)
Сработал триггер 2-й раз: BAN+=5^2 (25 секунд бан к оставшемуся времени)
Сработал триггер 3-й раз: BAN+=5^3 ((~2мин) 125 секунд бан к оставшемуся времени)
и т.д.

Кол-во срабатываний (счётчик) триггера инкрементируется до тех пор, пока не истечёт время BAN'a. Как только время истекло - счётчик триггера сбрасывается.

прокси открытое?

persistent connection врубите через p:host (mysqli), затем проверяете кол-во соединений к БД и спите спокойно.