Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 17/04/2020, à 13:41

khaledparis

Firewall Deny...

Bonjour.

Je n'arrive pas à bien comprendre les logs suivants :

3. <189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129433 srcip=85.94.235.164 srcport=57297 dstip=192.168.1.1 dstport=80 proto=6 action="accept" sentbyte=882
...
2. <189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129400 srcip=30.228.105.150 srcport=123 dstip=192.168.1.1 dstport=80 proto=17 action="deny" sentbyte=468
1. <189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129399 srcip=192.168.1.1 srcport=80 dstip=85.94.233.180 dstport=61205 proto=6 action="accept" sentbyte=3760

D'après mon analyse :
Tout d'abord, des IPs (tels que 85.94.233.180 d'opérateurs télécom) se connectent à l'IP 192.168.1.1 (box internet) sur le port 80 avec Firewall accept.
Ensuite, des centaines d'IP d'AS (Autonomous Systems, ici 30.228.105.150) tentent de se connecter à partir du port 123 (NTP, synchronisation du temps) sur l'IP 192.168.1.1 port 80 avec échec!
Après, on revient comme au début.

Je ne comprends pas :
1/ Pourquoi les AS tentent de se connecter à la box à partir du port source 123 ?
2/ Pourquoi le port destination est 80 et pas 123 ?
3/ Quelle est la raison du refus d'accès ?

Il semble que qqchose cloche qq part mais je ne la situe pas.

Si vous pouvez m'éclairer je suis preneur!

En vous remerciant d'avance

Hors ligne

#2 Le 17/04/2020, à 18:47

ERenon

Re : Firewall Deny...

khaledparis a écrit :

Je n'arrive pas à bien comprendre les logs suivants :

3. <189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129433 srcip=85.94.235.164 srcport=57297 dstip=192.168.1.1 dstport=80 proto=6 action="accept" sentbyte=882
2. <189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129400 srcip=30.228.105.150 srcport=123 dstip=192.168.1.1 dstport=80 proto=17 action="deny" sentbyte=468
1. <189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129399 srcip=192.168.1.1 srcport=80 dstip=85.94.233.180 dstport=61205 proto=6 action="accept" sentbyte=3760

D'après mon analyse :
Tout d'abord, des IPs (tels que 85.94.233.180 d'opérateurs télécom) se connectent à l'IP 192.168.1.1 (box internet) sur le port 80 avec Firewall accept.
Ensuite, des centaines d'IP d'AS (Autonomous Systems, ici 30.228.105.150) tentent de se connecter à partir du port 123 (NTP, synchronisation du temps) sur l'IP 192.168.1.1 port 80 avec échec!
Après, on revient comme au début.
Je ne comprends pas :
1/ Pourquoi les AS tentent de se connecter à la box à partir du port source 123 ?
2/ Pourquoi le port destination est 80 et pas 123 ?
3/ Quelle est la raison du refus d'accès ?
Il semble que qqchose cloche qq part mais je ne la situe pas.
Si vous pouvez m'éclairer je suis preneur!
En vous remerciant d'avance



Bonjour,


A première vue, puisqu’on n’a qu’un petit bout de journal ( lequel ? ), la mise à l’heure a des problèmes, ça vient parfois de l’OS.

Les connexions sur le port 80 sont probablement des « poignées de mains » ( y a quelqu’un ? ), et les connexions d’opérateurs télécoms apparemment se répètent sur le port 123 NTP peut être parce que l’heure n’est pas bonne.

123 vers le 80… la box ( ou le PC ) prend comme elle veut, mais c’est vrai que c’est un peu curieux.


Ce qui est encore plus curieux, c’est la mention « forward », et même le « root », je pense qu’il faut revoir les règles du pare feu, UFW de base c’est bien pour un PC client.

Dernière modification par ERenon (Le 17/04/2020, à 18:48)

Hors ligne

Pages : 1