Эффективный способ предотвратить сканирование портов UDP

У меня есть сервер Ubuntu, в некоторых портах есть общедоступные сервисы, включая TCP и UDP, и я пытаюсь защитить его от сканера портов (TCP и UDP). Блок сканера TCP выполняется с помощью "недавнего" модуля iptables, который обнаруживает и помещает черный список сканера портов TCP. Способ сканирования портов UDP отличается от TCP. AFAIK, метод сканера UDP: отправка пакета UDP на весь порт (UDP) на целевом сервере S, если порт P закрыт, S вернет ICMP-код ошибки "недоступен порт", злоумышленник узнает, что порт закрыт, и открытые порты (есть) находятся в пределах оставшихся портов. Если от S нет ответа, злоумышленник предположит, что порт P открыт фильтрованным брандмауэром, что потребовало значительного времени для его различения. Из этой подсказки я думаю о двух идеях:
- Блокировать ICMP во всех портах, кроме моих служебных портов.
- Заблокируйте все порты UDP, кроме моего порта служб. Я не эксперт в предотвращении атак. Есть ли способ заблокировать сканирование портов UDP, не влияя на нормальную работу моих служебных портов?