скорей всего прилетает с другого интерфейса
все что пролетит мимо цепочки fail2ban ляжет в syslog по правилу
iptables -I INPUT 2 -p tcp --dport 22 -j LOG
вот там и смотрите через какой интерфейс летело
вообще нужно посмотреть все привила, т.к. таблица NAT может директнуть пакет так что он в INPUT filter вообще не попадает
и не забывать про ipv6
iptables-save -c
ip6tables-save -c