Cablemodem (SBG6580) firewall negando algum tráfego de saída? Por quê? Não configurado

Question

Cablemodem (SBG6580) firewall negando algum tráfego de saída? Por quê? Não configurado

#1 resposta do (0 votos)

0

Eu finalmente consegui ligar o syslog para o meu cablemodem (Motorola Surfboard SBG6580) e estou vendo que a quantidade esperada de ataque de entrada está sendo bloqueada ...

2014-05-30 21:59:02     Local0.Alert    192.168.111.1   May 31 04:58:56 2014 SYSLOG[0]: [Host 192.168.111.1] UDP 12.230.209.198,4500 --> 66.27.xx.xx,61459 DENY:Firewall interface [IP Fragmented Packet] attack
2014-05-30 21:59:02     Local0.Alert    192.168.111.1   May 31 04:58:56 2014 SYSLOG[0]: [Host 192.168.111.1] TCP 17.172.232.109,5223 --> 66.27.xx.xx,53814 DENY:Firewall interface access request
2014-05-30 21:59:02     Local0.Alert    192.168.111.1   May 31 04:58:57 2014 SYSLOG[0]: [Host 192.168.111.1] UDP 12.230.209.198,443 --> 66.27.xx.xx,53385 DENY: Firewall interface [IP Fragmented Packet] attack
2014-05-30 21:59:02     Local0.Alert    192.168.111.1   May 31 04:58:57 2014 SYSLOG[0]: [Host 192.168.111.1] UDP 12.230.209.198,4500 --> 66.27.xx.xx,61459 DENY:Firewall interface [IP Fragmented Packet] attack
2014-05-30 21:59:10     Local0.Alert    192.168.111.1   May 31 04:59:04 2014 SYSLOG[0]: [Host 192.168.111.1] UDP 12.230.209.198,443 --> 66.27.xx.xx,59960 DENY: Firewall interface [IP Fragmented Packet] attack
2014-05-30 21:59:10     Local0.Alert    192.168.111.1   May 31 04:59:04 2014 SYSLOG[0]: [Host 192.168.111.1] UDP 12.230.209.198,4500 --> 66.27.xx.xx,61459 DENY:Firewall interface [IP Fragmented Packet] attack

... e isso é ótimo. (Triste, mas ótimo.)

Mas também estou vendo uma quantidade enorme do que parece ter a conectividade de saída negada:

2014-05-30 16:30:10 Local0.Alert    192.168.111.1   May 30 23:30:04 2014 SYSLOG[0]: [Host 192.168.111.1] TCP 192.168.111.100,58969 --> 38.81.66.127,443 DENY: Inbound or outbound access request 
2014-05-30 16:30:10 Local0.Alert    192.168.111.1   May 30 23:30:04 2014 SYSLOG[0]: [Host 192.168.111.1] TCP 192.168.111.100,58969 --> 38.81.66.127,443 DENY: Inbound or outbound access request 
2014-05-30 16:30:10 Local0.Alert    192.168.111.1   May 30 23:30:04 2014 SYSLOG[0]: [Host 192.168.111.1] TCP 192.168.111.100,58965 --> 162.222.41.13,443 DENY: Inbound or outbound access request 
2014-05-30 16:30:10 Local0.Alert    192.168.111.1   May 30 23:30:04 2014 SYSLOG[0]: [Host 192.168.111.1] TCP 192.168.111.100,58965 --> 162.222.41.13,443 DENY: Inbound or outbound access request 
2014-05-30 16:30:10 Local0.Alert    192.168.111.1   May 30 23:30:04 2014 SYSLOG[0]: [Host 192.168.111.1] TCP 192.168.111.100,58964 --> 38.81.66.179,443 DENY: Inbound or outbound access request 
2014-05-30 16:30:10 Local0.Alert    192.168.111.1   May 30 23:30:04 2014 SYSLOG[0]: [Host 192.168.111.1] TCP 192.168.111.100,58964 --> 38.81.66.179,443 DENY: Inbound or outbound access request

... e

A verificação de pontos sugere que é todo o tráfego legítimo (Abrindo conexões com o CrashPlan, etc.),
Eu não tenho restrições configuradas no modem; Não vejo por que deveria estar bloqueando qualquer coisa.

Estou interpretando mal a entrada de registro e ela não está sendo realmente negada? (Parece improvável.) O ISP (TWC) está pressionando negar tabelas que não estão expostas na interface do usuário? (Chapéu de papel alumínio muito apertado.)

Estou confuso. (A boa notícia, como é, é que aFAIK não estou tendo problemas reais ... mas talvez eu seja difícil de dizer.)

Obrigado.

networking syslog firewall router

por lairdb 31.05.2014 / 21:20

1 resposta

Tags networking syslog firewall router

Qual é a maneira mais rápida de configurar um túnel proxy socks através do ssh do Mac OS X? Criando lista filtrada automatizada do Microsoft Excel

score 0 · Answer 1

Eu pesquisei sobre o firewall de modem da Motorola. Tente configurar ou desativar o firewall.

Se ele fizer o NAPT, ainda deverá ter o NAPT como uma proteção. Caso contrário, se você tiver outro dispositivo NAPT, terá o NAPT como proteção! (com o seu software de firewall do sistema operacional e se você tiver outro firewall de hardware, então você terá isso)

Esses ataques de entrada seriam bloqueados naquele dispositivo, pelo NAPT, mesmo sem um firewall. (onde não há encaminhamento de porta nas portas que eles atacam)

Existe um manual do usuário para o seu dispositivo aqui

link

Talvez também veja se você pode fazer telnet ou ssh e usar o iptables e configurá-lo dessa maneira. uma pessoa aqui menciona iptables e um dispositivo de número de modelo similar (aparentemente o comcast é aparentemente ISP que comprou modems de motorola e os usa e este link menciona iptables no contexto de um SB6141, embora não esteja claro se ele o usa)

link

Se ele usar o iptables, execute o comando iptables -L e veja se você vê alguma regra que possa ser considerada culpada.

Além disso, este post

link
"Sob as configurações do firewall, por padrão, a única coisa verificada foi a detecção de inundação IP e proteção de firewall. Eu desmarcada ambos."

Você pode testar um e não o outro.

Ele é acessado pelo ip local do 192.168.0.1 e faz o DHCP, e até tem um firewall, então eu estou confiantemente supondo que se você fizer ipconfig ele mostrará o gateway 192.168.0.1 ou qualquer que seja o ip local , tão claramente faz NAT. Então, desabilitar o firewall deve estar ok. Esse link acima concorda.

link