Meus 2 cents extendidos,

O problema do fail2ban + SNORT aqui eh que para defesa contra DoS (que eh o tema do artigo) eles nao trabalham muito bem.

Veja, a ideia do DoS eh sobrecarregar o servidor com conexoes - utilizando recursos alem do previsto para ele.

Como o fail2ban e SNORT trabalham APOS a conexao ser estabelecida e analisada (p.ex. LOG) - dai nao serem tao eficazes (o consumo de recursos continua alto).

A ideia do iptables aqui eh justamente trabalhar na entrada do pacote, mas antes de ser analisado por qualquer sistema, e descartar quando ele tiver a aparencia de 'atacante' (no caso, grandes quantidades da mesma origem) e assim poupar recursos.

Como apontado no artigo - este tipo de mitigacao funciona legal contra ataques de pequeno porte. Se o servidor for atacado de forma 'profissional' (da para contratar DoS/DDoS com cartao de credito) o unico metodo eficaz eh direto para operadora/datacenter que hospeda o servidor, que provavelmente vai interagir com o BGP para resolver isso.

Mas concordo contigo - a dupla fail2ban + SNORT para analise de trafego eh muito boa - simples e direta. Eu incluiria ai o modsecurity para trabalhar no webserver, tambem uma opcao super bem vista.

Saude e Sucesso !