Hallo,
mein Provider (Telekom Deutschland) hat mich informiert, dass von meinem Internetanschluss aus unerwünschte Zugriffe auf fremde Computer stattfinden würden.
Dem bin ich natürlich nachgegangen und habe mir auch ein Logfile vom Abuse-Team der Telekom geben lassen.
Offenbar werden öffentliche IP-Adressen nach offenen SMB-Ports abgescannt.
Über das Firewall-Protokoll der OPNsense wollte ich nun den Verdächtigen in meinem Netzwerk ausfindig machen.
So wie es scheint ist aber die OPNsense selbst der Verursacher.
(https://forum.opnsense.org/index.php?action=dlattach;topic=25033.0;attach=19059;image)
Woher stammen diese Anfragen??
Schon mal an die Folgen von SNAT gedacht?
Ich würde da eher an den LAN Ports mitlesen.
Habe eben im Liveprotokoll nochmal den Filter auf dst_port 445 gelegt. Ohne Einschränkung der Schnittstelle oder anderem.
Das Ergebnis sah exakt aus wie auf meinen Screenshot heute morgen.
Nachdem ich eine Floating-Rule angelegt hatte, die für die WAN-Schnittstelle ausgehenden SMB-Traffic blockiert war Ruhe im Log. Auch keine Block-Einträge.
OPNsense hat keinen SMB Client und daher ist es auch unwahrscheinlich, dass OPNsense das selber macht außer wenn dein System kompromittiert würde.
Welche Möglichkeiten hätte ich denn noch um den Fehler finden zu können?
package capture auf LAN, dann sollte die source IP klar sein..
Danke.
habe im Netz erstmal alles blockiert und dann sukzessíve einzelne Clients wieder freigeben.
Der Verursacher konnte so ausfindig gemacht werden.