Porta 5060 Skype for Business
-
@freemaui
Ciao, puoi mettere la regola nell'interfaccia di LAN davanti a tutte le altre con il log attivo sulla porta incriminata (5060/TCP). Controllando il log puoi capire da quale IP parte il tentativo di connessione. -
@psp
d'accordissimo farò così.
Ti ringrazio perchè è ottima l'idea del log per risalire alla fonte.
Grazie -
in effetti la regola l'avevo già messa (quindi temo che non "blocchi" nulla)
però ho attivato i log, vediamo cosa esce fuorihttps://ibb.co/PtxxSp5
-
@freemaui Ottimo. La regola è configurata nell'interfaccia LAN (non nella WAN)?
-
@psp
no no in entrambe, in quella LAN, come hai suggerito tu...ho attivato il LOG (che sottovalutavo) -
@freemaui OK. Il traffico outbound (quello che interessa il tuo problema) è gestito dalle regole nella LAN, quindi così dovresti riuscire a trovare il colpevole... Buona caccia.
-
@psp
scusa la domanda "barbara"... ovviamente il log scriverà solo quando ci sarà l'evento di "block" (pacifico).
Lo vado a recuperare in Status/System Logs/Firewall e trovo il riferimento con il nome che ho messo nella description della Rule? -
@freemaui
Sì, oppure puoi premere l'icona "filtro": si apre "Advanced log filter" e lì puoi specificare nel campo "Destination port" 5060. Con "Apply" filter visualizzi solo i record che ti interessano. -
@psp
direi perfetto, mi hai dato degli "strumenti da caccia" davvero adeguati...
grazie davvero -
Stamattina stesso problema di BAN IP...
cambiando completamente il log che ha registrato l'hosting del sito web2022-03-14 08:39:13 | Url: [lyncdiscoverinternal.miodominio.it/]
Url: [lyncdiscoverinternal.miodominio.it/]
Remote connection: [MIOIP_PUBBLICO:7050]
Headers: [array (
'Host' => 'lyncdiscoverinternal.miodominio.it',
'Cache-Control' => 'no-cache',
'Connection' => 'Keep-Alive',
'Pragma' => 'no-cache',
'Accept' => 'application/vnd.microsoft.rtc.autodiscover+xml;v=1',
'User-Agent' => 'OC/16.0.14931.20132 (Skype for Business)',
'x-ms-client-request-id' => '515F1A56-7D96-4906-82C5-1CCD6E7B9C11',
'ms-telemetry-id' => 'e2c1093b-86e8-4862-aa7f-5ec178d37d0a',
)]
Get data: [Array
(
[sipuri] => ma###@###miodominio.it
)
]Parto dalla fine, perchè ristringe la ricerca ad un indirizzo che ha come account "ma" il che ristringe la ricerca a circa 10 account. Effettivamente su 4 delle 10 postazioni c'era ed ho rimosso Skype... questo per intervenire in maniera "casereccia".
Mi farebbe piacere capire come intercettare lyncdiscoverinternal.miodominio.it e bloccare
Remote connection: [MIOIP_PUBBLICO:7050] (in un caso) e
Remote connection: [MIOIP_PUBBLICO:55506] (in un secondo log che mi hanno sottoposto)Ovviamente nei log id PFSENSE, nessuna traccia (credo per colpa mia perchè ho lasciato passare troppo tempo e mi sono perso le info dei log)
-
Nulla, la faccenda diventa sempre più "allucinante".
Ho verificato direttamente tutte le postazioni che avessero come utenza ma###@miodominio.it, dove ho incrociato Skype l'ho rimosso selvaggiamente.
Un solo giorno di tregua e mi segnalano nuovamente il blocco dell'IP.Ritorno sui log che mi hanno inviato, pochi per la verità...forse nemmeno per giustificare un blocco su una porta... rassegnato al fatto che la porta MIO_IP_PUBLIC:_random non è intercettabile
2022-03-16 07:33:16 | "PORT HIT": "MIO_IP_PUBLIC:50132->HOSTING_IP:5060",
2022-03-16 07:33:16 | "PORT HIT": "MIO_IP_PUBLIC:12906->HOSTING_IP:5060",
2022-03-16 07:33:16 | "PORT HIT": "MIO_IP_PUBLIC:23836->HOSTING_IP:5060",
2022-03-15 07:33:04 | "PORT HIT": "MIO_IP_PUBLIC:6066->HOSTING_IP:5060",
2022-03-15 07:33:04 | "PORT HIT": "MIO_IP_PUBLIC:14601->HOSTING_IP:5060",
2022-03-08 07:28:20 | "PORT HIT": "MIO_IP_PUBLIC:53747->HOSTING_IP:5060",
2022-03-03 07:31:54 | "PORT HIT": "MIO_IP_PUBLIC:55778->HOSTING_IP:5060",
2022-03-03 07:31:54 | "PORT HIT": "MIO_IP_PUBLIC:64588->HOSTING_IP:5060",
2022-03-03 07:31:54 | "PORT HIT": "MIO_IP_PUBLIC:31638->HOSTING_IP:5060",
2022-03-02 07:36:11 | "PORT HIT": "MIO_IP_PUBLIC:60941->HOSTING_IP:5060",
2022-03-02 07:36:11 | "PORT HIT": "MIO_IP_PUBLIC:39271->HOSTING_IP:5060",
2022-03-18 07:59:30 | "PORT HIT": "MIO_IP_PUBLIC:57940->HOSTING_IP:5060",
2022-03-18 07:59:30 | "PORT HIT": "MIO_IP_PUBLIC:14896->HOSTING_IP:5060",
2022-03-18 07:59:19 | "PORT HIT": "MIO_IP_PUBLIC:46045->HOSTING_IP:5060",Faccio caso però alla ricorrenza dell'orario, al massimo due postazioni/utente rientrano in quella fascia. Rimosso anche da li SKYPE.
Nel frattempo la regola che mi ha fatto inserire PSP, su LAN e porta 5060 mi segnala 6 miseri kb di log.... recuperato l'id della regola nei log, non c'è traccia dell'HOSTING_IP come "bersaglio" finale.
Concludo e qui vi richiedo consiglio....quando mi arriva l'estratto del log abitualmente passano oltre due ore (nella migliore delle ipotesi) da quando è stato registrato... quindi lo ricevo 9:30/10:00 per un evento delle 7:30... vorrei "manualmente" capire, estrarre anche il solo intervallo 7:28 - 7:35 per avere uno spaccato più attendibile...ma putroppo mi accorco che gli eventi registrati sono tanti e la profondità di memorizzazione non mi consente di tornare così indietro...dove posso impostare e ampliare l'intervallo di scrittura dei log??
-
@freemaui said in Porta 5060 Skype for Business:
dove posso impostare e ampliare l'intervallo di scrittura dei log?
In Status/System Logs/Settings nella voce "Log Rotation Size (Bytes)" puoi impostare la dimensione massima dei file.
Però potresti anche solo temporaneamente togliere tutti i log che "disturbano". Partendo per esempio dai vari "Log firewall default blocks" togliendo la spunta ai relativi checkbox e verificando se altre regole loggano.
-