1
Vraag
2
Reacties
Richard G.
Expert
Expert
  • 841Posts
  • 54Oplossingen
  • 363Likes

Illegal packet veel zichtbaar in logs.

Ik heb sinds vandaag een nieuw modem en zie nu dit veelvuldig in de logs:


Illegal - Dropped INPUT packet: src=103.145.13.129 MAC=28:52:61:28:E4:19;CM-MAC=68:02:b8:f4:98:ef;CMTS-MAC=28:52:61:28:e4:f6;CM-QOS=1.1;CM-VER=3.0;

 

Het ip adres zou van Cinty Websolutions moeten zijn, maar ik heb geen idee wat het is. Of waar de input of forward naar toe zou moeten gaan aangezien ik geen destination zie.

 

Het modem lijkt verder goed alhoewel ik wel al meteen Post RS errors zie, maar gelukkig niet veel.

Maar weet iemand wat dit is of waarom ik dit opeens in de logs zie? Was bij mijn vorig modem niet het geval.

 

Oplossing

Geaccepteerde oplossingen
tobiastheebe
Super Expert
Super Expert
  • 12149Posts
  • 737Oplossingen
  • 4645Likes

Ik zie dat je eerder een Arris-modem gebruikte en nu een Compal-modem. Bij Arris werden correctable en uncorrectable RS errors vermeld, bij Compal zijn dit unerrored RS codewords en correctable errors. De 'Pre RS Errors' zijn geen errors en kunnen meestal genegeerd worden, deze geven alleen een indicatie van de online-tijd van het modem.

 

Ik vraag mij nu af of het Arris-modem überhaupt firewall events in de log toont, bij het Compal-modem is dit normaal.

 

Op mijn EdgeRouter staan enkele ACCEPT- en DROP-regels t.b.v. port forwarding naar mijn server. Sommige applicaties/poorten op die server zijn openbaar bereikbaar, andere alleen vanaf specifieke IP-adressen in een ACL (address group). Bij inkomend verkeer naar 'privé'-poorten vanaf een adres buiten de ACL, wordt een syslog warning event aangemaakt door de router en verstuurd naar de server. Dergelijke events, vanaf willekeurige IP-adressen, zie ik doorlopend terug in de syslog database op de server.

Bekijk in context

6 Reacties 6
tobiastheebe
Super Expert
Super Expert
  • 12149Posts
  • 737Oplossingen
  • 4645Likes

Ik zie dat je eerder een Arris-modem gebruikte en nu een Compal-modem. Bij Arris werden correctable en uncorrectable RS errors vermeld, bij Compal zijn dit unerrored RS codewords en correctable errors. De 'Pre RS Errors' zijn geen errors en kunnen meestal genegeerd worden, deze geven alleen een indicatie van de online-tijd van het modem.

 

Ik vraag mij nu af of het Arris-modem überhaupt firewall events in de log toont, bij het Compal-modem is dit normaal.

 

Op mijn EdgeRouter staan enkele ACCEPT- en DROP-regels t.b.v. port forwarding naar mijn server. Sommige applicaties/poorten op die server zijn openbaar bereikbaar, andere alleen vanaf specifieke IP-adressen in een ACL (address group). Bij inkomend verkeer naar 'privé'-poorten vanaf een adres buiten de ACL, wordt een syslog warning event aangemaakt door de router en verstuurd naar de server. Dergelijke events, vanaf willekeurige IP-adressen, zie ik doorlopend terug in de syslog database op de server.

Richard G.
Expert topicstarter
Expert
  • 841Posts
  • 54Oplossingen
  • 363Likes

Hallo @tobiastheebe 
Dank je wel. Ik heb inderdaad nu een Compal, maar in de mijne staat er ook gewoon PRE RS errors en POST RS errors boven in het kopje van de kolom vermeld.
De PRE RS errors zijn bijzonder hoog na pas 1,5 uur online, bijna allemaal 88622953 maar de hoogste post RS is slechts 18 en de rest allemaal 4 of 5. Dat is met de extra filter die de vorige keer ook op de Arris is gezet.

 

"Ik vraag mij nu af of het Arris-modem überhaupt firewall events in de log toont, bij het Compal-modem is dit normaal."

Volgens mij heb je helemaal gelijk. Ik zie nu ook van andere ip's, bijv. Amazonaws en anderen dezelfde soort meldingen. Lijkt dus inderdaad op inlogpogingen op de openstaande poorten.
En dat heb ik voorheen nooit in de Arris gezien, vandaar ook mijn vraag. Dat blijkt dus in de Compal wel normaal te zijn zoals je zegt. Dan hoef ik me daar niet meer druk over te maken.

Misschien kun je dit nog even voor me verifiëren als je wilt.

In de downstream staat met die extra filter op het modem de RxMER (dB) allemaal zowat op 38.983 in de tweede tabel.

De eerste tabel heeft het vermogen dBmV op waardes van 2 en 3 staan en SNR (db) op 38.

Upstream dBmV staat op 42.

Vooralsnog geen timeouts op t1 t/m t4.

 

Is dat verder in orde? Zoja dan is de vraag al opgelost.
Wat voor mij bijv. belangrijk is om te weten is of ik die extra filter moet laten zitten of nu met dit modem er beter tussenuit kan halen.

Dat is een A2032/OSR, althans dat staat op de filter.

 

tobiastheebe
Super Expert
Super Expert
  • 12149Posts
  • 737Oplossingen
  • 4645Likes

De kolomnamen zijn inderdaad gelijk aan het Arris-modem, maar de betekenissen zijn dus verschillend. De hoeveelheden correctable errors (kolom 'Post RS Errors') die je noemt, zijn helemaal in orde. De unerrored codewords (kolom 'Pre RS Errors', maar het zijn geen errors) kun je negeren.

 

Een vermogen van DS 2~3 dBmV en US 42 dBmV is vrijwel perfect en een DS MER van ~39 dB is zeer goed.

 

In een vorig topic van jou, waarin ik ook actief was, heb ik al begrepen dat er een (forward path) attenuator is geplaatst i.v.m. hoog downstream-vermogen. Deze attenuator zou ik dus zeker niet verwijderen, gezien het vermogen hiermee nagenoeg perfect is. (Een filter onderdrukt (zeer hoge demping) bepaalde frequenties/frequentiebanden en laat andere door i.p.v. gedeeltelijke demping.)

Richard G.
Expert topicstarter
Expert
  • 841Posts
  • 54Oplossingen
  • 363Likes

Top!

Hartstikke bedankt @tobiastheebe voor de snelle hulp en duidelijke uitleg!

Je hebt een behoorlijk goed geheugen nog wat dit betreft moet ik zeggen.

Dan ben ik happy en kan eindelijk weer gaan internetten. Wordt toch erg stil (ook op TV) met zo'n weekend zonder internet. 🙂
Thanks!

tobiastheebe
Super Expert
Super Expert
  • 12149Posts
  • 737Oplossingen
  • 4645Likes

Graag gedaan!

 

Ik kon mij overigens niet meer herinneren dat ik in het andere topic actief was (daarvoor ben ik in teveel topics actief), ik ontdekte dit bij toeval toen ik het overzicht van jouw vorige topics bekeek.

Richard G.
Expert topicstarter
Expert
  • 841Posts
  • 54Oplossingen
  • 363Likes

Dank je wel @Lotte maar ik had het bericht van @tobiastheebe al als oplossing gekozen. Dat is immers een echte oplossing, een dank je wel van mij is geen oplossing van een probleem. 😉
Dus vandaar dat ik die van mijn reactie weer ongedaan heb gemaakt.

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.