Идея IMHO очень разумная. owncloud бегает на NAS, как ему и положено. В клетке (jail). fail2ban живёт на хост системе NAS и отслеживает (в частности) попытки подбора пароля к owncloud. Но, обнаружив такую попытку, fail2ban не банит его на локальном фейрволе NAS, a жалуется на гада роутеру.
Был бы у меня Микротик - так бы и сам делал.