Firewall bucato?

[Teo80]

Ciao a tutti,
mi è capitata una cosa strana che mi preoccupa davvero: sto usando una adsl tiscali con un Netgear DG834IT con firewall e varie impostazioni di sicurezza (attacchi DOS, ecc.) attive. Sul pc ho installato anche un personal firewall (Sunbelt personal firewall, l'ex Kerio) e pensavo che non avrebbe mai rilevato niente, invece mi ha rilevato due portscan: ma com'è possibile se davanti c'è il DG834IT? Mi ha lasciato passare dei portscan? A voi è mai capitato?
Il firmware non è l'ultimo (4.01.27), però da questo in poi non sono stati segnalati correzioni a bug di sicurezza.

Tranquillizzatemi per favore!

[nifriz]

Sei sicuro che i port scan non fossero da parte del tuo stesso pc verso l'esterno, per via di qualche programma o ahimé x te Trojan?
Oppure hai controllato che tutte le porte siano effettivamente chiuse e non lasci aperte porte per emule, o im, o non so? Quelle rimangono Aperte ed attaccabili...

[Teo80]

Le porte sono tutte stealth in entrata e lo portscan era verso il pc.

Comunque ho fatto qualche indagine... sono andato a rivedere quello che stavo facendo al momento della segnalazione e ho provato a rifarlo loggando un po' tutte le connessioni.
Ho scoperto che il problema nasce navigando sul sito di abc.com (l'emittente TV americana: http://abc.go.com). In particolare io ho visitato la sezione relativa alla serie Lost e ho visto che c'è qualcosa che da origine a queste segnalazioni di port-scan (non sempre, anche rifacendo le stesse cose non accade sempre). Ho notato che prima dello portscan il browser fa una chiamata http verso lo stesso indirizzo origine dello portscan appunto. L'indirizzo non è simile agli altri che vengono interrogati visitando il sito, forse si tratta di qualche banner pubblicitario? Questo spiegherebbe il fatto che non accade sempre andando sul sito. Mah, l'antivirus non segnala niente e dalla scansione il pc risulta pulito (ho provato tutti le varie tipologie di anti-malware).

Abbozzo un'ipotesi: il browser fa la prima chiamata sulla 80 verso quell'indirizzo e le successive connessioni vengono per qualche motivo fatte passare dal router per via di questa prima connessione, anche se mi sfugge il motivo. Magari è anche il personal firewall della Sunbelt che interpreta come portscan qualcosa che non lo è (se andate nella sezione di Lost del sito della ABC vedrete che le pagine sono abbastanza complesse e forse qualche video o qualche programma ha questo comportamento).

Ho provato anche ad inserire nel browser l'indirizzo ip sorgente dell'attacco, visto che nei log c'era una chiamata http verso di lui, ma compare una pagina bianca (non una segnalazione di errore, ma una pagina completamente bianca).

Qualche idea?