Bonjour

Quelqu'un peut-il me décrypter ces lignes de log issue du routeur modem thomson ?

FIREWALL rule : Protocol: TCP Src ip: 157.55.2.19 Src port: 30020 Dst ip: 192.168.1.65 Dst port: 25 Chain: forward_host_service Rule Id: 7 Action: accept

J'ai une ligne de ce type toutes les 40 secondes !!!!

Merci

Pour info, j'ai désactivé le relay smtp du mailstation

Port 25, c'est pour l'envoi de mail

Fait un "nslookup 157.55.2.19" çà doit surement être le smtp de ovh

Non c'est hotmail

Regarde :

May 28 11:36:55 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 59633 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept


Warning May 28 11:36:05 FIREWALL rule : Protocol: TCP Src ip: 157.55.2.41 Src port: 36736 Dst ip: 192.168.1.65 Dst port: 25 Chain: forward_host_service Rule Id: 7 Action: accept


Warning May 28 11:35:54 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 59520 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept


Warning May 28 11:35:32 FIREWALL rule : Protocol: TCP Src ip: 91.121.133.221 Src port: 42596 Dst ip: 192.168.1.65 Dst port: 25 Chain: forward_host_service Rule Id: 7 Action: accept


Warning May 28 11:34:53 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 59368 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept


Warning May 28 11:33:52 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 59193 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept


Warning May 28 11:32:51 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 59021 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept


Warning May 28 11:31:50 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 58842 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept


Warning May 28 11:30:48 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 58722 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept


Warning May 28 11:29:47 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 58571 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept


Warning May 28 11:28:46 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 58393 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept


Warning May 28 11:27:45 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 58221 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept


Warning May 28 11:26:44 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 58041 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept


Warning May 28 11:25:43 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 57925 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept

Faut regarder si tu as qqc qui tourne sur le port 6690

Ton nas est en frontal sur internet ? Tu as pas une box/routeur avant ?

c'est pas cloudstation le 6690?

SISI, le 6690 c'est le cloud

Ma config est la suivante : Nas => Thomson (modem routeur) => OVH

Est ce normal qu'il log autant de bazar comme ça ?

il t'indique juste qu'il a laissé passé le flux. je ne sais pas si on peut gérer le niveau de log (ne logguer que les deny par ex).

SISI, le 6690 c'est le cloud

Ma config est la suivante : Nas => Thomson (modem routeur) => OVH

Est ce normal qu'il log autant de bazar comme ça ?

Ben, si tu lui fait logger les regles "accept", apres faut pas s'étonner du volume des logs non plus:

Warning May 28 11:25:43 FIREWALL rule : Protocol: TCP Src ip: 86.209.120.137 Src port: 57925 Dst ip: 192.168.1.65 Dst port: 6690 Chain: forward_host_service Rule Id: 2 Action: accept

Modifié le 28 mai 201312 a par CoolRaoul

En effet, c'est la coupure qu'il y a eue pendant 30h environs qui fait que maintenant, le cloud doit se remettre à jour. C'est ce que je pense.

Ce log est issu du routeur et se fait juste sur la connexion.

Sur le syno, au niveau du cloud, il ne m'affiche pas de client connecté à ce moment là. C'est en ça que je pense à une intrusion (ou tentative)

Peut on renforcé ou affiner les logs sur ce qui transit sur le syno ??

Peut on renforcé ou affiner les logs sur ce qui transit sur le syno ??

La configuration de la verbosité des logs du firewall se fait au niveau du routeur lui même, pas sur le Syno, bien evidemment

N'y aurait-il pas de forum spécialisé sur cette équipement ou tu pourrait trouver de l'aide?