Je n'arrive pas à bien comprendre les logs suivants :
3. <189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129433 srcip=85.94.235.164 srcport=57297 dstip=192.168.1.1 dstport=80 proto=6 action="accept" sentbyte=882
...
2. <189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129400 srcip=30.228.105.150 srcport=123 dstip=192.168.1.1 dstport=80 proto=17 action="deny" sentbyte=468
1. <189>devname="D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129399 srcip=192.168.1.1 srcport=80 dstip=85.94.233.180 dstport=61205 proto=6 action="accept" sentbyte=3760
Tout d'abord, des IPs (tels que 85.94.233.180 d'opérateurs télécom) se connectent à l'IP 192.168.1.1 (box internet) sur le port 80 avec Firewall accept.
Ensuite, des centaines d'IP d'AS (Autonomous Systems, ici 30.228.105.150) tentent de se connecter à partir du port 123 (NTP, synchronisation du temps) sur l'IP 192.168.1.1 port 80 avec échec!
Après, on revient comme au début.
Je ne comprends pas :
1/ Pourquoi les AS tentent de se connecter à la box à partir du port source 123 ?
2/ Pourquoi le port destination est 80 et pas 123 ?
3/ Quelle est la raison du refus d'accès ?
Il semble que qqchose cloche qq part mais je ne la situe pas.
Si vous pouvez m'éclairer je suis preneur!
En vous remerciant d'avance