Seltsame Angriffe auf internes LAN

Tosor

Hallo erstmal,

ich bemerke in letzter Zeit öfters, dass auf meinem WAN Interface direkte Anfragen auf meine interne IP's gehen.

Beispiel WAN Interface:

80.xx.xx.xx -> 192.168.77.52:23 (Blocked)

Ich frage mich, woher derjenige die IP herhat. Auf dem internen Server läuft ein Teamspeak Server und in der Pfsense wird mit einer virtuellen IP Adresse und 1:1 Nat auf den Server weitergeleitet. Bei den Verbindungen lasse ich nur die benötigten Ports zu.

Es würde mich freuen, wenn mir jemand beantworten könnte, woher derjenige die interne IP weiss und ob das kritisch ist.

Grüsse

Tosor

jahonix

???
Da fragt keiner Deine RFC1918 Adresse von außen an sondern Deine WAN Adresse.
Da Du eine 1:1 NAT auf die interne Adresse hast wird dorthin weitergeleitet, der Port :23 ist jedoch geblockt. Das siehst Du im Log.

Tosor

Ok, es sah für mich etwas komisch aus, da die Portscans im Log auf die interne und die Wan Ip gehen. Aber trotzdem danke, jetzt kann ich wieder beruhigt schlafen ^^.

JeGr

Hallo Tosor,

dein TopicTitle ist erstmal ziemlicher Clickbait. Hier gehts um keine Angriffe, die könntest du so ohne weiteres gar nicht erkennen (sprich ohne IDS etc. nur anhand von Logs).

Zum Anderen hat die Jahonix schon die Antwort gegeben, dein "Problem" ist dein 1:1 NAT das einfach mal alles auf die interne IP umschreibt bevor es durch den Filter geht, deshalb sieht man dort auch nur die interne Adresse. Klüger wäre es vielleicht auch nur die Ports freizugeben und weiterzuleiten, die auch gebraucht werden.

Grüße

jahonix

@JeGr:

Klüger wäre es vielleicht auch nur die Ports freizugeben und weiterzuleiten, die auch gebraucht werden.

Hat er ja fast getan, denn erst NATten und danach mit Regeln einschrängen bewirkt das ja.
Wenngleich ich Die Recht gebe und nur die Ports NATten würde, die ich auch tatsächlich brauche.