Блокировка через nftables отлично заблокирует вполне легитимный
параллельный запуск чего-нибудь из скриптов. Это больше ограничение по
флуду и неприменимо, если есть вариант, что потребуется запускать
что-то типа for i in ...; do ssh $host "$command $i"; done
Вроде бы не мой случай. Но это какое-то зло в любом случае, если там может быть один хост в нескольких командах.
fail2ban же проанализирует логи и забанит только тех, кто пытается
подобрать пароль.
То есть fail2ban занимается парсингом логов и зависит от того, чтобы тот или иной сервис не дай бог не изменил формат логов? Какое-то весьма себе костыльное решение, которое ко всему прочему обязывает вести локальный, а не remote, лог.