Ya se que es radical, pero yo lo entiendo a mi usuario, el 93% de las visitas que tiene su VPS son ip's ES, y el resto creo que buscadores o poco mas. Y cuando no es una vulnerabilidad de tal CMS, es un usuario con un gallery por defecto u otro con admin/admin.
Aunque últimamente, es por troyanos en los pc's de los usuarios. Me suben scripts por ftp (relayers de spam), y suelen ser minutos después de haberse logueado el usuario verdadero desde una ip española.
En primer lugar iría aceptando las conexiones ya establecidas: -m state --state RELATED,ESTABLISHED -j ACCEPT
Ya solo me quedarían las NEW y cosas raras, que entrarían al filtro.
Por cierto, acabo de encontrar un script, que me une las que son consecutivas:
aggregate-cidr-addresses. Menos da una piedra.
Respecto a tu ip, pues es cierto, y bien claro que pone ES en su registro, pero no sale en ninguna de las listas geo-ip que tengo. Es por eso, de poner una página web y un redirect a ella, para que los afectados puedan informar.
Afinando aún mas, podría filtrar primero por el primer octeto. El rango super-simplificado sería este (y con solo eso, ya me quitaría china, rusia, ...):
2.0.0.0/8
46.0.0.0/8
62.0.0.0/8
77.0.0.0/8
79.0.0.0/8
80.0.0.0/5
88.0.0.0/7
90.160.0.0/12
91.0.0.0/8
92.0.0.0/6
109.0.0.0/8
158.109.0.0/16
178.0.0.0/8
188.0.0.0/8
193.0.0.0/8
194.0.0.0/7
212.0.0.0/7
217.0.0.0/8