Uitgaande verbindingen NAS door Safe Access geblokkeerd

[EFischer]

Sinds gisteren krijg ik een stroom meldingen binnen van de Synology Router (Safe Access)...
Geblokkeerd om veiligheidsredenen, categorie kwaadaardig...
Er zit overigens steeds precies een kwartier verschil tussen de meldingen....

Het gaat om een enorm aantal verschillende IP adressen. Ik heb van een paar een WHOIS gedaan.. Lijken naar Frankfurt am Main te wijzen...

Wat ik me afvraag.. wat is m'n NAS aan het doen? Waar probeert verbinding mee te maken en waarom? Hoe kan ik dat opzoeken?

Ik zie nu alleen de logs van de router..

[Babylonia]

Kun je dan eens een aantal van die IP addresses hier weergeven waar kennelijk op wordt geblokkeerd?
(Mogelijk zitten ze allemaal in een bepaalde subnet range).

En heb je nog extra web-filters ingesteld in Safe Access waarop wordt gefilterd, voor het gehele netwerk, of alleen de NAS?

[Briolet]

wat is m'n NAS aan het doen?

Is het de nas?  Of is het een device op je netwerk die deze verbindingen probeert te maken?

[EFischer]

ik heb voor nu eerst eens alle dockers uitgezet.. (speedtest, uptime Kuma, flame) kijken of het daar aan ligt

[EFischer]

Als bijlage een screenshot van de laatste uren..

[Briolet]

Ik zie dat ze niet alleen vanaf de nas komen. Bij je iPhone komt een melding uit het IP block: 138.199.36.0/23  Bij de nas komen ook veel meldingen uit dat block van 512 adressen met als eigenaar "Datacamp Limited". https://www.datacamp.com/about  Het is een bedrijf dat websites analyseert. Overigens komt het IP adres van je Windows machine uit het 169.150.247.0/24 blok, dat ook van Datacamp is.

Gebruik je een eigen DNS server?  Want dan hoeft dit verkeer niet vanuit de nas te komen. In de praktijk zijn het steeds DNS opvragen op uitgaande poort 53 die onderschept worden.  Altijd jammer dat niet de bijbehorende domeinnamen gelogd worden. Draai je een website op je nas?

[Babylonia]

Zelf heb ik ook blokkades van IP's in het bereik   138.199.36.xx   en   138.199.37.xx

Enkele vanuit mijn laptop omdat ik gisteren heb geprobeerd dat IP te benaderen.
Meer van een bepaald type  smartphone in het gast netwerk, van een buur die van mijn WiFi gast netwerk gebruik maakt.
Bij elkaar 34 regels.

[Babylonia]

Overigens komt het IP adres van je Windows machine uit het 169.150.247.0/24 blok, dat ook van Datacamp is.

Ik dacht dat een 169 adres geen geldig IP adres is??
(Als er geen actieve netwerkverbinding is, wordt er door de nic zelf een 169 adres toegewezen?).

[Briolet]

Ik dacht dat een 169 adres geen geldig IP adres is??

Zeker wel. Alleen de range 169.168.xx.yy is gereserveerd voor privé gebruik. Dat is nog geen half % van de 169 reeks.

Privé adres reeksen

[Babylonia]

De reeks die jij noemt   169.168.xx.yy   komt niet voor in de WiKi als privé adres.
Wel  169.254.1.0   tot   169.254.254.255

[Briolet]

Ik had net ook 10 mailtjes in 10 minuten tijd dat er IP adressen van 1 bepaalde mac geblokkeerd waren. Dit waren ook allemaal IP adressen uit de boven genoemde reeksen.

Ik heb even in de browsergeschiedenis gekeken en in die periode is er slechts 1 website bezocht op die mac. Ik bezoek daarom die website weer en per omgaande komt er weer een blokkeringsmail.  (Ik zal die website hier maar niet vermelden)

Ik gok dat het een module op die site is die advertenties laad of trackers gebruikt. En die module zal door meer websites gebruikt worden.  Dan blijft het de vraag waarom de nas  dit soort meldingen krijgt, want die surft niet op het internet.

[EFischer]

De meldingen die mn iPhone betreft zijn denk ik pogingen om te checken welk domein het betreft.

Ik heb geen DNS server draaien op deze NAS. Wel een (statische) website. nas.ericfischer.nl

Ik verdacht een docker die ik draai, een speedtest - ook omdat deze bad request aangaf .
Deze gestopt maar dat mocht niet baten.

Verder nog Invoice Ninja in een docker.

NAS maar eens herstart.. Kijken wat er nu verder gebeurt

[André PE1PQX]

Zet Uptime Kuma eens uit dan?? Da's als ik het wel heb een tool om te zien of je site (of server) wel up is....

[Briolet]

Vandaag stond in de krant dat Pieter Pot failliet dreigde te gaan en er nu een nieuwe eigenaar is. Dus kijk ik voor de aardigheid even op hun website "www.pieter-pot.nl".

En prompt komen de meldingen van de router dat er bepaalde IP adressen geblokkeerd zijn. Weer allemaal uit bovenstaande reeksen.

(Edit: Het waren 138.199.37[.]229, 169.150.247[.]37, 169.150.247[.]33 en 138.199.37[.]227. Alles van Datacamp)

[Babylonia]

Geprobeerd met mijn laptop,  en inderdaad meteen 4 meldingen in de log terug te vinden.
(Hoewel slechts één melding als "kwaadaardig" is aangemerkt met verwijzing naar IP   169.150.247.39  ).