Как эффективно блокировать hping3 SYN ACK с помощью iptables?

Я пытаюсь выполнить поток TCP SYN на моем веб-сервере Debian с помощью nginx.

проведение tcpdump "tcp[tcpflags] & (tcp-syn) != 0" во время флуда я вижу все приходящие пакеты.

iptables похоже, хорошо работают с SYN-пакетами, сгенерированными из необработанного сокета, но не с hping3 178.33.123.111 --flood -S -L 0 -p 80 атака.

Пожалуйста, не могли бы вы предложить правила iptables для регистрации и отбрасывания этой атаки?