Você pode descartar um IP no nível tcp criando uma ACL e, em seguida, usando a rejeição de conexão se a ACL corresponder:
acl bad_ip src 10.10.10.0
tcp-request connection reject if bad_ip
Você também pode configurar um back-end 403 e enviá-lo para isso, se desejar fazê-lo no nível HTTP:
frontend foo
...
acl bad_ip src 10.10.10.0
use_backend bad_guy if bad_ip
...
backend bad_guy
mode http
errorfile 403 /etc/haproxy/errors/403.http
Essas ACLs podem ser bastante flexíveis e você pode fazer com que várias condições dentro de uma ACL ou várias ACLs dentro da ação sejam atendidas. Mais em http://haproxy.1wt.eu/download/1.5/doc/configuration.txt .