Potencialisan tobbmilliard domain/subdomain elkepzelheto, amit megcimezhetnek
Egyrészt nem, másrészt na és? Te úgyis az IP-jét tiltod tűzfalból, a domain hullára mindegy. (Egyébként meg senkit nem érdekelnek a subdomain-ok, lehet wildcard-ra is tiltani, már ha mindenképp domain alapú tiltást akarsz és nem IP alapút.)
Mindet nem fogod tudni kizarni
Dehogynem, csak azért nem látod, mert blacklistben gondolkodsz, pedig pofonegyszerű a dolog, ha whitelistet használsz. Azaz a default policy a deny, és ha valami kell, akkor azt engeded. Pár nap alatt tök jól beáll a dolog, utánna meg csak nagyon ritkán kell néha-néha hozzányúlni, el is felejted, hogy van.