Log del firewall

[ddmaster]

Originariamente inviato da thomas_anderson
assolutamente no!
però su questo forum tutti mi considerano un incapace frega banda e fregaspazio al server, quindi un pò sono stupidamente prevenuto.......

si vabè... non ti conosco ancora sotto quell'aspetto...

il problema continua imperterrito... mi è arrivato un'altro log in questo momento...

ho settato il firewall per mandarmi il log a memoria piena e, caso mai capitato prima nelle ultime 24 ore mi ha mandato ben 4 email di "blocked"

ho9 uno stress che arriva a mille... fatico a navigare (e sto lavorando in remoto su un cms... uno sguazzo) bestemmio come un camionista in coda sull'autosole...

ma se potessi arrivare ad uno solo di sti pezzi di m....

almeno finirei sui giornali... chissà come esempio se potesse servire...

[ddmaster]

Originariamente inviato da LUCASS
Basta mettere su google la porta preceduta da tcp/udp e si trovano molte info

non capisco... vuol dire che nei range di fastweb c'è un tot di pc infetti che stanno smartellando la mia rete????

[LUCASS]

Nella vita tutto è possibile le porte che non ti ho riportato perchè non ho trovato info riconducibili a malware,ma quasi tutte erano servizi non di windows e alcune non assegnate se così si può dire,se ci fai caso c'è un malware(W32.Spybot)che sfrutta due porte diverse ma guarda caso tu quelle porte le hai,ciao ciao

[thomas_anderson]

Andiamo sul dettaglio:
cerca delle soluzioni sulla firewall table, se puoi aumentare le dimensioni della tabella degli stati o regole più severe x il firewall (per il tipo di pacchetti)

[holifay]

Bho, anche a me pare un log strano.

Non mi sembra un port scanning voluto (leggi: gatto attaccato ai m....). Gli indirizzi IP sono veramente tanti, ma ciascuno "prova" in pratica solo la 80 e la 139, con qualche eccezione. Io proverei a sentire FW.

[Habanero]

Le porte 139 e 445 sono classiche porte netbios/SMB sulle quali malintenzionati e Worm cercano di fare il loro ingresso in sistemi vulnerabili o non protetti adeguatamente. La porta 80 ovviamente si riferisce ad un server web... insomma un tentativo di verificare la presenza di un web-server.. (vulnerabile??)

Per quanto riguarda la connessione lenta escludo che sia la quantità dei tentativi di connessione visto che non mi sembra che siano mai più di 2-3 ogni minuto... insomma una cosa praticamente fisiologica... tanto più che vengono bloccati dal firewall.

Per la lentezza della connessione proverei a chiamare fastweb....

[ddmaster]

Originariamente inviato da Habanero
Le porte 139 e 445 sono classiche porte netbios/SMB sulle quali malintenzionati e Worm cercano di fare il loro ingresso in sistemi vulnerabili o non protetti adeguatamente. La porta 80 ovviamente si riferisce ad un server web... insomma un tentativo di verificare la presenza di un web-server.. (vulnerabile??)

Per quanto riguarda la connessione lenta escludo che sia la quantità dei tentativi di connessione visto che non mi sembra che siano mai più di 2-3 ogni minuto... insomma una cosa praticamente fisiologica... tanto più che vengono bloccati dal firewall.

Per la lentezza della connessione proverei a chiamare fastweb....

grazie Haba...
ho contattato fw che non ha riscontrato nessun problema di banda e mi ha confermato la "fisiologicità" dei tentativi di accesso.
il problema ora sembra risolto ma in una strana maniera.
Spiego come ho dovuto fare.

il firewall fino a ieri era direttamente collegato all'hag.
fw è una connessione a ip dinamico e l'hag assegnava al firewall lato wan un ip 37.255.xx.xx, il quale a sua volta settato con il dhcp server attivo ed assegna gli ip della lan sul range 192.168.0.x.

fino a venerdì scorso questa configurazione non ha dato alcun problema.

Ieri addirittura provando diverse configurazioni del firewall l'ho resettato... da quel momento non è stato più capace di trovare il collegamento al pop mentre l'hag finzionava regolarmente e vi garantisco che avrò riprovato la connessione almeno 20 volte.

L'unico modo per far tornare a funzionare il tutto è stato mettendo un access point wifi (che probabilmente con un qualsiasi router sarebbe stato lo stesso) prima del firewall con anch'esso il dhcp attivo.

dal momento che al firewall viene assegnato un ip lato wan 192.168.1.1 il tutto ha ricominciato a funzionare correttamente.

Mi sembra un caso abbastanza strano ma dopo 3 giorni di bestemmie è stata l'unica soluzione che mi ha risolto il problema.

Avete qualche parere in merito per questa strana situazione???

grazie a tutti per la collaborazione

[LUCASS]

Ciao,secondo me ti stai facendo problemi che non esistono cioè fino a quando il firewall blocca stai tranquillo,se passa c'è l'antivirus e le pacht di windows dato che tutti quei worm o trojan le sfruttano,disattiva i messaggi di notifica degli attacchi e si risolve il problema,a tutti arrivano scansioni alle porte mirate ma non tutti si infettano bucare un firewall non sono cose che succedono tutti i giorni specialmente se ben configurato,questa è la mia opionione,in questo momento me ne sono arrivate 3

[ddmaster]

Originariamente inviato da LUCASS
Ciao,secondo me ti stai facendo problemi che non esistono cioè fino a quando il firewall blocca stai tranquillo,se passa c'è l'antivirus e le pacht di windows dato che tutti quei worm o trojan le sfruttano,disattiva i messaggi di notifica degli attacchi e si risolve il problema,a tutti arrivano scansioni alle porte mirate ma non tutti si infettano bucare un firewall non sono cose che succedono tutti i giorni specialmente se ben configurato,questa è la mia opionione,in questo momento me ne sono arrivate 3

Ti ringrazio Lucass... si sono abbastanza tranquillo per quanto riguarda la sicurezza perchè il firewall è molto semplice da settare (Digicom Firegate basic) ed ho fatto una marea di test risultando il tutto piuttosto sicuro...

La mia curiosità sta nel fatto che non sono riuscito a capire il perchè di ciò che è capitato tutto li...
ovvio oramai che è solo una questione di configurazione, ma mi ha lasciato l'amaro in bocca non capire cosa provocava quei problemi di lentezza che mi hanno afflitto solo ed esclusivamente in questi giorni e che mi ha costretto ad una modifica del genere.
Oltretutto di quei firewall negli ultimi tempi ne avrò montati da clienti almeno una decina e nessuno mi aveva dato mai alcun problema del genere e non ho ancora menzione di malfunzionamenti da nessuno dei miei clienti.
Bah!!! comunque ce la siamo scelta difficile.... nella prossima vita voglio fare il miliardario...

[LUCASS]

Ciao,ma è un firewall hardware VVoVe: VVoVe: ho letto anche le caratteristiche non mi pare male anzi essendo un firewall hardware è ancora più difficile configurarlo(secondo me)e forse il problema stava lli ciao ciao

PS:Installane anche uno software non vanno in conflitto