Как следует из названия, iptables работает с IP-адресами. Таким образом, если ваш api.example.com разрешен по другому IP-адресу, чем www.example.com, вы можете фильтровать по этим IP-адресам. Если они оба разрешают один и тот же IP-адрес, их нельзя отфильтровать отдельно.
Одно соединение в секунду для законных пользователей все еще довольно низкое. Когда вы загружаете страницу, не забывайте, что вам также необходимо загрузить все файлы .js, .css, .jpg и т. Д., И все они будут из одного домена. С Keep-Alive это может уменьшить количество запросов на соединение, но у вас все равно будет по крайней мере два, возможно, до шести одновременных запросов от одного и того же пользователя (в зависимости от его браузера и конфигурации).
Если это действительно важно для вас, то вам следует настроить уникальные IP-адреса для двух ваших отдельных поддоменов и отфильтровать их. Лично я считаю, что фильтрация на уровне apache более уместна.