Se você verificar o diretório action.d, verá todas as ações relacionadas ao firewalld esqueceram de colocar o comando reload depois de adicionar a regra para DROP ou REJECT os IPs de origem por fail2ban, reload é importante devido a isso faz com que as regras sejam aceitas pelo FirewallD.
Eu sugiro que você modifique as ações para ajustar o que você precisa, no entanto, IMHO, FirewallD age como uma manjedoura para controlar iptables e é mais adequado para a estação de trabalho que o ambiente do servidor.
Assim, a maneira mais eficiente de resolver o seu problema é,
systemctl stop firewalld
systemctl mask firewalld
e habilite seus iptables.