pfSense vraag

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
StarWing
Premium Member
Premium Member
Berichten: 723
Lid geworden op: 28 jan 2006, 18:21
Uitgedeelde bedankjes: 23 keer
Bedankt: 65 keer

Situatie:

Telenet modem only, verbonden op een TPlink switch via VLAN's
Vandaar naar een andere TPlink switch via een uplink waar alle VLAN's inzitten.
Deze zijn aangesloten op een NUC waar vmware esxi op draait.
1 van de virtuele machines is een pfSense die de vlans etc afhandeld.

Nu zit ik te kijken in de logs van mijn ubuntu server en zie ik allemaal inlogpogingen op een poort die normaliter niet zou mogen openstaan.
De ubuntu hangt via SSH aan het internet. Poort is in pfSense gereroute naar 443 (telenet....). Ik kan de inlogpogingen op een andere poort dan 443 dan ook niet verklaren.

An sich is het redelijk veilig in mijn ogen aangezien ik enkel kan inloggen met een public key. Gewoon username/passwoord werkt niet. Maar ik kan natuurlijk iets over het hoofd zien.

Heeft iemand een idee, in bijlage een snippet van de betreffende pfsense regels en de SSH log.

Code: Selecteer alles

4Oct 12 09:21:10 pluto sshd[9421]: Invalid user tshimizu from 148.245.13.21 port 60026
Oct 12 09:21:10 pluto sshd[9421]: Received disconnect from 148.245.13.21 port 60026:11: Bye Bye [preauth]
Oct 12 09:21:10 pluto sshd[9421]: Disconnected from invalid user tshimizu 148.245.13.21 port 60026 [preauth]
Oct 12 09:21:11 pluto sshd[9423]: Received disconnect from 85.60.193.225 port 55490:11: Bye Bye [preauth]
Oct 12 09:21:11 pluto sshd[9423]: Disconnected from authenticating user root 85.60.193.225 port 55490 [preauth]
Oct 12 09:22:54 pluto sshd[9438]: Invalid user rjf from 5.135.224.152 port 34198
Oct 12 09:22:54 pluto sshd[9438]: Received disconnect from 5.135.224.152 port 34198:11: Bye Bye [preauth]
Oct 12 09:22:54 pluto sshd[9438]: Disconnected from invalid user rjf 5.135.224.152 port 34198 [preauth]
Oct 12 09:25:01 pluto CRON[9464]: pam_unix(cron:session): session opened for user root by (uid=0)
Oct 12 09:25:01 pluto CRON[9464]: pam_unix(cron:session): session closed for user root
Oct 12 09:25:46 pluto sshd[9474]: Received disconnect from 88.89.245.147 port 59929:11: Bye Bye [preauth]
Oct 12 09:25:46 pluto sshd[9474]: Disconnected from authenticating user root 88.89.245.147 port 59929 [preauth]
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
Omhoog
tizzen33
Member
Member
Berichten: 60
Lid geworden op: 30 maa 2017, 10:14
Uitgedeelde bedankjes: 1 keer
Bedankt: 15 keer

De poortnummers in de logs zijn de 'remote ports' die gebruikt worden door de client. Je zal zien dat dit bij een succesvolle connectie ook niet poort 22 is.
Omhoog
Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 4854
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 153 keer
Bedankt: 332 keer
Contacteer:
Contacteer Sasuke

What he said ^ !
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Omhoog
StarWing
Premium Member
Premium Member
Berichten: 723
Lid geworden op: 28 jan 2006, 18:21
Uitgedeelde bedankjes: 23 keer
Bedankt: 65 keer

Yup, ondertussen had ik het ook al door.
Better safe than sorry :)
Omhoog
Plaats reactie

Terug naar “Netwerken en Security”