Děkuji za navedení k myšlence. Trošku upraveno a takhle to funguje. Třeba i někomu dalšímu pomůže...
Attack - název address-listu
Po spuštění skriptu se mi všechny adresy s označením D (dynamic) ve skupině "AttackD" změní na statické a tudíž zůstavají v RB a po restartu.
Rozlišení AttackD a Attack pro to, aby se pomocí skriptu nemazaly a nazapisovaly již zapsané statické záznamy.
Do address-listu přidávám prvním pravidlem ve FW, které přidá src-address do address listu za podmínek, že se jedná o protokol 6(tcp), cílový port 21, vstupní interface WAN. Totéž uděláno pro port 22.
Na těchto portech se mi objevily pokusy o přihlášení a bylo jich znatelně moc.
Dále už jen na začátku FW blokuji dvěma pravidly příchozí spojení od těchto dvou address-listů. A funguje.
Script spouštím jednou denně (bohatě stačí) ve 4h ráno, kdy doma všichni spí - asi deformace z dob, kdy jsem se zabýval ISP ;)
hostip
/ip firewall address-list
i in= do={
hostip
/ip firewall address-list remove $i
/ip firewall address-list add address=$hostip list="Attack"
}
