Gelöst
Ergebnislogbuch, Firewall violation detected, Angriff auf meine Router-IP, Digitalisierungsbox Basic
vor 2 Jahren
Hallo.
Ich habe in meinem Routerlog festgestellt dass mein Router mehrmals pro Minute irgendwelche externen IP-Adressen abweist.
z.B.:
2023-02-17 20:05:36 kernel: Firewall violation detectedIN=ppp1 OUT= PRIO=0 MAC= src=125.47.205.26 DST=79.206.211.160 LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=41605 PROTO=TCP SPT=27423 DPT=23 WINDOW=38911 RES=0x00 SYN URGP=0 MARK=0x100
Ich verwende eine "Digitalisierungsbox Basic". In der Bedienungsanleitung sind die Abkürzungen leider nicht weiter erklärt.
Ich habe schon vom Router alle LANverbindungen (außer auf meinen PC) getrennt und WLAN deaktiviert und den Router neugestartet um meine öffentliche IP zu erneuern (um auszuschließen das irgendein Gerät in meinem Netzwerk die Verbindungen initiiert). Dies hat allerdings nichts geändert. Fernverwaltung ist in meinem Router deaktiviert.
Ich hoffe mir kann damit jemand helfen. Mfg
501
11
Das könnte Ihnen auch weiterhelfen
603
0
3
5343
0
6
vor 2 Jahren
Dafür ist die Firewall da.
In der Regel sind das Portscans.
Dagegen tun kannst Du nix.
2
Antwort
von
vor 2 Jahren
Schonmal danke für die Antwort
Woran erkenne ich dass das nur Portscans sind?
Kannst du mir sagen wofür die Abkürzungen stehen?
LEN TOS PREC TTL ID PROTO SPT DPT WINDOW RES SYN URGP MARK
Vielen Dank
Antwort
von
vor 2 Jahren
Das sind zum grössten Teil Abkürzungen, die im Header der Pakete die Datenfelder Kennzeichnen.
Dpt zielport
Spt quellport
Proto Protokoll
Ttl time to live
Tos typ of service
Kannst Du gut mit dem englischen Wikipediaeintrag nachvollziehen.
In deutsch https://de.m.wikipedia.org/wiki/IPv4
Hier hat das wer komplett kommentiert.
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 2 Jahren
Das sind zum grössten Teil Abkürzungen, die im Header der Pakete die Datenfelder Kennzeichnen.
Dpt zielport
Spt quellport
Proto Protokoll
Ttl time to live
Tos typ of service
Kannst Du gut mit dem englischen Wikipediaeintrag nachvollziehen.
In deutsch https://de.m.wikipedia.org/wiki/IPv4
Hier hat das wer komplett kommentiert.
0
vor 2 Jahren
Ich hoffe mir kann damit jemand helfen
Vergiss das Zeug. Ist normale Last auf der Firewall, damit brauchst du dich nicht zu beschäftigen. Es gibt auch keinen Grund, Verbindungen zu trennen oder den Router neu zu starten.
Viele Grüße
Thomas
1
Antwort
von
vor 2 Jahren
@biolandhof-burkard
Du brauchst dir da keine Sorgen machen, deine Firewall hat genau das getan wofür sie da ist, keine unerlaubten Verbindungen von außen zuzulassen. Normales "Rauschen" wenn du ins Internet verbunden bist. Da hämmert immer was drauf...
Uneingeloggter Nutzer
Antwort
von
vor 2 Jahren
Stell dir die Firewall wie deine Haustür vor. Man kennt sie beim vorbeigehen oder fahren, aber sie ist ja meistens verschlossen für ungebetene Gäste.
Klar versuchen ab und zu IPs aus dem Internet zuzugreifen, aber dafür ist NAT und eine Firewall genau da, damit eben nicht wie damals beim DSL Moden alle Ports offen sind und man angreifbar ist.
0
vor 2 Jahren
An Hand der Quell-IP-Adressen kannst du nachvollziehen, woher die "Besucher" stammen.
Ich benutze diesen kostenlosen Dienst: https://www. maxmind .com/en/geoip-demo
(Leerzeichen entfernen, dann klappt der Link)
Da gibt es halt Maschinen, die durchs Internet ziehen und einfach mal hier und dort auf die Türklinke des Routers drücken, um zu schauen, ob da wirklich abgeschlossen ist.
Die Anzahl der Versuche ist meiner Meinung nach recht hoch. Ich hatte in den letzten sieben Tagen nur 24 solche Einträge.
3
Antwort
von
vor 2 Jahren
Dann sind mehr als 100 Klinkendrücker in 15 Minuten was? Noch nicht mitgezählt sind da die Versuche, sich an meinem VPN " href="https://telekomhilft.telekom.de/t5/Glossar/ VPN /ta-p/4406220#glossar" target="_blank"> VPN anzumelden, da das ja nicht in der Firewall abgewehrt wird.
Antwort
von
vor 2 Jahren
Dieses "Anklopfen" an meinem OpenVPN-Server sehe ich auch täglich, zigfach. Erkennbar im Log das versucht wird eine Verbindung aufzubauen, aber nicht das richtige Zertifikat "präsentiert" werden kann.
Antwort
von
vor 2 Jahren
Dafür hab ich da 2 f2b Regeln. Eine blockt kurzfristig wiederkehrende Fehlschläge, eine blockt bei längerfristigen Wiederholungen dann längerfristig.
Die Einschläge kommen manchmal in so schneller Folge, dass f2b mit der Loganalyse nicht hinterherkommt und dann meckert, dass die Ip schon geblockt ist.
Uneingeloggter Nutzer
Antwort
von
Uneingeloggter Nutzer
Frage
von