Azért van különbség, ha van pl egy web szerver ami kiszolgál a https-t és egy adott ip-ről bepróbálkoznak mondjuk az ssh-ra akkor ban-ra kerül a cím (én általában 30 napra szoktam) ami ha később próbálkozna a https-en bármit, már tiltva lesz. Van forgalmasabb gépem ahol már 30.000+ a kitiltottak darabszáma. A portscan-t külön is vizsgálni szoktam, azok is mennek a levesbe. Ez a módszer még soha nem okozott gondot azzal hogy olyan ip vág ki amit nem kéne.
Ez nyilván nem csodaszer, én még erősen használom az ország szűrést, amit pl csak itthonról használnak azt csak magyar címekről engedem be.