Basicamente, a configuração do fail2ban descrita no artigo vinculado modifica o firewall para DROP (por um tempo limitado) consultas DNS recebidas de IPs de origem que não podem consultar seu servidor DNS. Não é uma má ideia, mas se você não está fornecendo DNS autoritativo para um ou mais domínios para a Internet, então por que não esquecer o fail2ban e apenas DROP todas as consultas DNS recebidas da Internet?
Se você estiver executando um servidor DNS autoritativo, infelizmente, você não terá o privilégio de ignorar as consultas DNS. Nesse caso, não acho que você tenha muita escolha a não ser deixar as coisas como você as tem (recursão desativada) e esperar pacientemente por uma queda gradual no tráfego falsificado de entrada. Com certeza seria bom poder configurar a própria ligação para ignorar silenciosamente as consultas que estão configuradas para não responder, mas não acho que tenha esse recurso. (Esse comportamento tecnicamente violaria o protocolo DNS, afinal.) O Fail2ban fornece uma alternativa, mas, como você observou, não é o ideal.