Actualités & Annonces de l'équipe de développement et des administrateurs du forum.
Répondre

Firewall deny...

#1Messageil y a 4 ans

Bonjour.

Je n'arrive pas à bien comprendre les logs suivants :

3. <189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129433 srcip=85.94.235.164 srcport=57297 dstip=192.168.1.1 dstport=80 proto=6 action="accept" sentbyte=882
...
2. <189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129400 srcip=30.228.105.150 srcport=123 dstip=192.168.1.1 dstport=80 proto=17 action="deny" sentbyte=468
1. <189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129399 srcip=192.168.1.1 srcport=80 dstip=85.94.233.180 dstport=61205 proto=6 action="accept" sentbyte=3760
D'après mon analyse :
Tout d'abord, des IPs (tels que 85.94.233.180 d'opérateurs télécom) se connectent à l'IP 192.168.1.1 (box internet) sur le port 80 avec Firewall accept.
Ensuite, des centaines d'IP d'AS (Autonomous Systems, ici 30.228.105.150) tentent de se connecter à partir du port 123 (NTP, synchronisation du temps) sur l'IP 192.168.1.1 port 80 avec échec!
Après, on revient comme au début.

Je ne comprends pas :
1/ Pourquoi les AS tentent de se connecter à la box à partir du port source 123 ?
2/ Pourquoi le port destination est 80 et pas 123 ?
3/ Quelle est la raison du refus d'accès ?

Il semble que qqchose cloche qq part mais je ne la situe pas.

Si vous pouvez m'éclairer je suis preneur!

En vous remerciant d'avance
Répondre