Zou een scan kunnen zijn naar open poorten op je WAN, kun je het source IP ook zien?

Welke router heb je er achter hangen, heeft deze uitgbreide logging of cli toegang?

Dankjewel!

Het is een TP-Link ER605 (TL-R605).
Helaas verteld de log niet heel veel behalve dat de packets niet doorgelaten worden (Wat dat betreft werkt de defense wel). Het source IP staat niet in de log.
De router draait binnen het Omada platform, wat soms wat beperkt lijkt. De CLI is sinds de laatste controller update beschikbaar, ik zal eens kijken of ik daar iets uit krijg.

Ik zie al weken elke paar secondes een scan naar random poorten. Is bij abuse bekend, wordt aan gewerkt.

Het probleem met dit soort scans is dat het ook vaak vanaf ghost adressen is, mensen die niet in de gaten hebben dat hun pc of device wordt misbruikt, met een meer uitgebreide router kun je deze adressen of ranges blokkeren maar blijft vechten fegen de bierkaai.
Zorg dat je router up-to-date is en geen last heeft van ddos of andere vulnurabilities, dan kun je de meldingen negeren of als je te veel tijd hebt een honeypot opzetten om fe kijken wat ze willen proberen.

Ondertussen ook even contact gehad met de helpdesk. Eerste advies: sluit de computer direct aan op het modem, en zie of het dan ook gebeurt.

Dat advies maar niet gevolgd modem staat in Bridge. Windows firewall op de pc, maar.....
Bovendien krijg ik dan een ander IP (waarmee het probleem wel weg is 😀)

Tweede suggestie: 45 minuten modem en router afkoppelen (stroom en net). Geen idee wat dat zou moeten doen, misschien uitgifte nieuw IP?
Ik weet niet wat de DHCP refresh is, maar 45 minuten lijkt me kort. Ik moet het nog proberen.

Kortstondig even getunneld naar een VPN (Surfshark), maar dat wil ik niet blijven doen (Snelheid)

Anyway, de frequentie van meldingen leek te verlagen, maar is nu weer terug.