Firewall'de anlam veremediğim blocklanan IP ve 2050 UDP portu



  • Merhaba Arkadaşlar,

    Yaklaşık 2 aydır pfsense ile haşır-neşir olmaktayım. Daha önce v1.2.3 de kullandığımız pfsense'i 1.5 ay önce 2.0 RC1 ve sonrasında RC2 ye yükselttik. Bu yükseltmeyi sıfır kurulumla gerçekleştirdik. Ancak son zamanlarda fark ettim ki firewall LAN da ki 192.168.2.3 ip adresinin 2050 UDP portunu aşağıda görüldüğü gibi sürekli olarak engellemekte. İşin kafa karıştıran kısmı ağımda böyle bir ip adresi yok hatta ağım ile hiç alakası yok. Açıkçası yaptığım araştırmalarda bu portu kullanan PWSteal.Ldpinch isimli bir tehditle karşılaştığım için biraz tedirginim. Konu hakkında bilgi ve yardımlarınızı rica ediyorum.




  • Merhabalar,

    Multicast IP bilgisi bu ancak sanırım windows daki The Simple Service Discovery Protocol (SSDP) discovery service deki bir hatadan kaynaklanıyor.
    192.168.2.3 IP adresindeki yapacağınız bir Register ayarı ile bu mesajlardan kurtuluyorsunuz.

    Important This section, method, or task contains steps that tell you how to modify the registry. However, serious problems might occur if you modify the registry incorrectly. Therefore, make sure that you follow these steps carefully. For added protection, back up the registry before you modify it. Then, you can restore the registry if a problem occurs. For more information about how to back up and restore the registry, click the following article number to view the article in the Microsoft Knowledge Base:
    322756  How to back up and restore the registry in Windows
    To resolve this issue, configure the registry to turn off the discovery messages:

    **    Start Registry Editor (Regedt32.exe).
        Locate and click the following key in the registry:
        HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlayNATHelp\DPNHUPnP
        On the Edit menu, click Add Value, and then add the following registry value:
        Value name: UPnPMode
        Data type: REG_DWORD
        Value data: 2
        Quit Registry Editor.**

    NOTE: If you set UPnPMode to 2, Universal Plug and Play Network Address Translation (NAT) traversal discovery does not occur.

    Kaynak: http://support.microsoft.com/kb/317843/en-us



  • @adarguner:

    Merhabalar,

    Multicast IP bilgisi bu ancak sanırım windows daki The Simple Service Discovery Protocol (SSDP) discovery service deki bir hatadan kaynaklanıyor.
    192.168.2.3 IP adresindeki yapacağınız bir Register ayarı ile bu mesajlardan kurtuluyorsunuz.

    Cevabınız için teşekkür ederim adarguner

    Ancak tekrar belirteyim ki böyle bir ip adresine sahip herhangi bir client yok en azından MAC adresi benim ağıma ait değil fakat firewall hala 34 saniyede bir gelen her iki paketi de blocklamaya devam ediyor.



  • Anladım Hocam..İlginç bir durum ancak Belki makinanın birine Seconday IP verilmiş olabilir diğe düşünecez şunu bakabilir misiniz.Cihaza Sheel promty a düşük arp tablosunu bakabilir misiniz

    Örneğin

    [2.0-RC1][admin@pfsense.xxxx]/root(2): arp -a
    ? (192.168.1.45) at 00:50:56:8c:00:0a on vr0 expires in 423 seconds [ethernet]
    pfsense.vprof-it.local (192.168.1.1) at 00:0d:b9:21:99:4c on vr0 permanent [ethernet]
    ? (192.168.1.49) at 00:0c:29:f4:ed:21 on vr0 expires in 1149 seconds [ethernet]
    ? (192.168.1.51) at 00:0c:29:ec:5b:4a on vr0 expires in 1005 seconds [ethernet]

    Üstdeki Tabloda O makinaya ait IP adresi ve MAC adresi gözüküyorsa belki bi şekilde bulunabilir..Birde nmap ile makinayı taratın derim

    root#nmap -sS IPADRESI



  • Sonunda sorunun kaynağını buldum. Herhangi tehlikeli bir durum değilmiş. Vakti zamanında bir departmana Airties RT-205 modemi AP olarak kurmuşum ip adresini de havuzum dışında bir ip vermişim ki kotamı doldurmayayım diye ;). Tabi doğal olarak pfsense hemen engellemeye başlamış. Unuttuğum bu modem bozması AP beni bir hayli telaşlandırmıştı.

    NOT: Airties RT-205 te UPnP yi kapatmak için herhangi bir yöntem var mıdır? Arayüzde böyle bir ayarlamada yok. Telnet te modeme ulaşıyorum ancak elimde kalma ihtimali yüksek olduğu için riske etmek te istemiyorum.


Locked