Есть идея для скрипта
Т.к. сам в этом не очень разбираюсь, может кто-нибудь из знающих заинтересуется
В логе часто появляются такие записи:

Создаём адрес лист block_vpn
Скрип будет запускаться раз в 5 минут (например) и проверять логи за последние 5 минут на наличие таких записей
Если такая запись найдена, нужно вытащить из неё адрес и превратить его в подсеть (в нашем примере это 47.252.42.0/24 и 43.157.27.0/24)
После этого надо сравнить 47.252.42.0/24 и 43.157.27.0/24 с существующими записями в block_vpn и добавить туда, если записи не найдены
Фаервол дропает инпуты из этих адресов
Да, проще создать вайтлисты и дропать всё остальное, но к сожалению адреса часто меняются