Dann blocke ihn manuell mit iptable.

Aber das beseitigt doch nicht das Problem, sondern nur dessen Wirkung...

Du wirst das Problem nie beseitigen. Hast du diesen Wicht ausgesperrt, kommt morgen der nächste (oder derselbe unter anderer IP).

Ich weiss nicht, welche Regel du für ssh einsetzt, aber Leute, die wahllos Namen und Passwörter durchprobieren, könntest du im Grunde geflissentlich ignorieren, sofern du den ssh-Zugang nur per Schlüssel erlaubst. Sie werden mit der Methode schlichtweg nicht reinkommen, genauso wenig wie man mit einem Dietrich die PIN-Eingabe am Geldautomaten überlisten kann.

Das soll nun keine Rede gegen fail2ban sein, aber du brauchst dir auch nicht um jeden Hansel einen Kopf machen. fail2ban soll dir mit seinem Automatismus Arbeit abnehmen – nur musst du das auch zulassen, anstatt dir noch mehr Arbeit aufzuhalsen wegen irgendwelcher Sachen, die vielleicht an sich, siehe oben, gar keine Gefahr darstellen. Bei ganz Hartnäckigen kann man noch eine manuelle Sperre anlegen, aber alles darüber hinaus ist verschwendete Lebenszeit.

Ich habe bei meinen Servern den ssh-Port sogar komplett gesperrt und Ausnahmeregeln für die zwei Adressbereiche angelegt, über die mein Provider mich ans Netz klemmt (mit einem Hintertürchen). Das ist quasi das Gegenteil deiner Strategie und funktioniert seit Jahren bestens. Wenn ich nie aus Russland rein muss, warum soll ich mich um jeden Russen-Dödel kümmern, der gegen's Türchen bollert?