Hallo allerseits,

seit einiger Zeit sehe ich immer wieder im Syslog folgendes:
Code:
Jul 22 09:19:29 dropbear[13777]: bad password attempt for 'root' from ::ffff:200.165.160.99:48790
Jul 22 09:19:29 dropbear[13777]: exit before auth (user 'root', 1 fails): Disconnect received
Jul 22 09:19:29 dropbear[13778]: Child connection from ::ffff:200.165.160.99:48930
oder

Code:
Jul 22 09:54:21 dropbear[14692]: Child connection from ::ffff:200.165.160.99:46278
Jul 22 09:54:23 dropbear[14692]: login attempt for nonexistent user from ::ffff:200.165.160.99:46278
Jul 22 09:54:24 dropbear[14692]: exit before auth: Disconnect received
Nun mache ich mir natürlich meine Gedanken was da los ist, da diese Meldungen im Sekunden-Takt auftreten und das schon über mehrere Tage hinweg...
Da versucht doch irgend jemand über SSH an meinen WL500gp ran zu kommen...
Gibt es in irgend einer weise eine Möglichkeit solche IP's automatisch in eine Art Blacklist aufzunehmen?
Z.B. wird 5x versucht sich anzumelden, mit falschen Passwort, oder nicht existierenden User, dann soll die IP kennerell bis zum Router-Neustart verboten werden!

Hat da jemand eine Idee. Vielleicht mit einem Script, was im Hintergrund läuft und die IPTABLES dementsprechend ändert?

Danke für Eure Hilfe.

Ciao