Drive client onbekende UDP poort

[NoobOnTour024]

Hoi allemaal,

Enkele weken geleden heb ik in mijn firewall (Mikrotik RB3011) rules aangemaakt die alle traffic naar niet openstaande poorten dropt en de afzender vervolgens op een blacklist zet. Het resultaat zijn 71.000.000 geblockte packets (4GB!) in 18 dagen.

Echter, vandaag belde mijn vader dat zijn Drive client niet meer verbindt met mijn NAS. Er ging natuurlijk gelijk een belletje rinkelen en na de monitoring op de firewall te hebben aangezet zag ik al snel verkeer vanaf zijn WAN IP binnekomen op 2 poorten:
6690 TCP (de officieel bekende Drive poort)
en
38692 UDP.


De 6690 had meerdere verbindingen open. 38692 maar 1 verbinding.
Deze was aan de source kant gemapped aan 52104. Vervolgens heb ik op de PC van mijn vader het programma CurrPorts geopend en de poort opgezocht. Het process daarachter: cloud-drive-connect.exe.


Als ik het pakket aan mijn kant verder volg zie ik dat vanaf mijn NAS op dezelfde poort gecommuniceerd wordt met 220.130.197.210 (keepalive.synology.com). Het lijkt wel alsof de pakketten worden doorgestuurd...


Wat ik me nu afvraag is waarvoor deze poort wordt gebruikt en waarom Synology hierover verder niks vertelt? Het zou me overigens niet verbazen als deze poort random is gekozen en op andere momenten / bij andere mensen dus een ander nummer heeft.
Weet iemand hier wellicht meer vanaf?

Het probleem voor mij zit hem erin dat de client aan de andere kant de poort soms lijkt te willen benaderen wanneer de router de verbinding al gesloten heeft (of in ieder geval niet meer als open verbinding beschouwt). Daardoor gooit de firewall de afzender op de blocklist, met als gevolg dat niets meer doorgelaten wordt.
Ik kan met een whitelist gaan werken, maar daar wilde ik nou juist niet aan beginnen omdat ik geen trek heb om steeds IP's te moeten updaten.

Ik ben benieuwd naar input. Dank voor het meedenken!

Groet,
NoobOnTour024

[Briolet]

Het probleem voor mij zit hem erin dat de client aan de andere kant de poort soms lijkt te willen benaderen wanneer de router de verbinding al gesloten heeft

Iets soortgelijks treed ook op bij mijn Ubee router bij DNS verkeer. Soms reageert de DNS server iets te laat en wordt de terugmelding gelogd als een attack op poort 53.

Het lijkt me heel tricky om IP's via deze methode op een blacklist te zetten.

[NoobOnTour024]

Iets soortgelijks treed ook op bij mijn Ubee router bij DNS verkeer. Soms reageert de DNS server iets te laat en wordt de terugmelding gelogd als een attack op poort 53.

Interessant! Een algemeen probleem dus...
Ik block overigens direct alle request die :53 opvragen. Alle request van mijn interne netwerk gaan immers via een random poort naar buiten, dus die krijgen netjes antwoord.