Denis Melnikov

Ну так сделайте еще один список. white list и просто добавьте в правила, если src adress не в белом листе, то идем по правилам.
Либо первое правило проверка на SSH и white list, дальше jump на остальные правила

add action=add-src-to-address-list address-list=blocked_honeypot address-list-timeout=1w1s chain=input connection-state=new in-interface=ether1 protocol=tcp src-address-list=!admin src-port=3389,22,8291
add action=drop chain=input src-address-list=blocked_honeypot