Нужно ли блокировать вредоносный IP-адрес независимо от того, является ли настройка брандмауэра по умолчанию запрещена/отклонена?

Я использую Linux и использую fail2ban в качестве системы блокировки. До сих пор он собрал и заблокировал около 150 тысяч вредоносных IP-адресов, и я обеспокоен и задаюсь вопросом, поглотит ли это достаточное количество ресурсов. Как я вижу на top, он имеет относительно высокое процессорное время. Мои вопросы:

1. Если заблокированных IP-адресов больше, то будет ли мой процессор использовать больше ресурсов для фильтрации входящего соединения? (Мое беспокойство уходит корнями в непроверенную идею, если процессор должен сравнивать любой входящий IP-адрес со списком запретов 150k для определения фильтрации.)
2. Если бы я просто установил для параметра брандмауэра по умолчанию запрет/отклонение,тогда запрет системы больше не нужен? Или у меня должна быть система блокировки, работающая независимо от этого? (если да, то каковы причины?)