Ik heb de modem in bridge mode staan met daarachter een eigen firewall. Ik heb een paar port forwards staan naar interne servers waaronder een RDP port op een alternatieve poort (1988). Natuurlijk hebben ze (de hackers) met een portscan deze service gevonden, en zie ik van 6 wisselende IP adressen connects & login attempts naar de rdp server. Ik heb in mijn firewall aangegeven dat een IP adres maar 2 keer mag proberen en daarna wordt dat IP adres geblokt voor een kwartier. Je zou verwachten dat de connect (syn pakket) van de hacker dan geen antwoord krijgt, dus die zal dat verzoek timeout-en en dan hoop ik dat de hackers iemand anders gaan vervelen. Wat blijkt nu, dat als ik (als firewall geen antwoord geef op de SYN van poort 1988, dan gaat de bridge antwoord (met het mac adres van mijn firewall) geven met een RST pakketje, waardoor de hackers direct daarna een volgende poging kunnen doen.
dit lijkt mij een firmware probleempje in de bridge code...
Best beantwoord door rb10
Problem solved… het ligt aan mijn firewall die wel drop regels had voor intern naar publiek en omgekeerd, maar niet voor inbound op de wan port naar local, waardoor de FW zelf ging reageren. Doordat een van de hackers een ip adres dat heel dicht bij het ziggo adres lag heb ik zijn pakketje gezien als het ziggo modem pakketje. sorry voor het verspillen van jullie tijd, maar wel bedankt voor de hulp.
Even nadenken, ik vat hem nog niet helemaal:
.