IPS meldet und verhindert Zugriffe trotz Quellenfilter beim Port-forwarding

dexxter · December 17, 2025 at 9:41 AM

Hallo Leute!

Ich habe ein Port-Forwarding auf meine NAS für Hyperbackup eingerichtet.

Bei "from" nur eine einzige (statische) öffentliche IPv4 eingegeben - im Glauben, alle anderen werden nicht geforwarded.

"123.456.789.XXX" ist der Standort meiner remote NAS.
(Das Filtern funktioniert, gebe ich eine andere IP im "allowed" ein, kann die Remote NAS nicht mehr auf meine Primär-NAS zugreifen.)

Mein Log der UDM-Pro meldet aber mehrmals täglich

Intrusion Prevention - Threat Detected and Blocked - A network intrusion attempt from 143.XXX.171.XXX to 192.168.0.51 has been detected and blocked.

Beim Klick auf das Event sehe ich source und destination:

Weiß jemand, warum springt das IDS/IPS an, wenn die unbekannte IP fürs Forwarding gar nicht allowed ist.

jkasten · December 17, 2025 at 9:43 AM

Weil es trotzdem versucht und entsprechend geblockt wird. Ganz normal.

dexxter · December 17, 2025 at 10:01 AM

Danke - unter "Advanced Information" finde ich folgendes:

This log entry shows the information relating to this signature. Learn more

IPS Alert 2: Misc Attack. Signature ET CINS Active Threat Intelligence Poor Reputation IP group 178. From: 143.XXX.171.XXX:15761, to: 192.168.0.XX:6881, protocol: UDP

Ich lese das so:

Er blockt nicht, weil es NICHT auf meiner WHITELIST steht,
sondern auf der "Blacklist" der CINS Reputation-list

Hat das "schlaue" IPS Vorrang gegenüber meinen eigenen Regeln?

jkasten · December 17, 2025 at 10:18 AM

Ja er blockt das weil es nicht auf deiner Whitelist steht und auf der genannten Liste. Würde die IP auf der Whitelist stehen, würde die durchkommen da deine Listen Vorrang haben.

jkasten · December 17, 2025 at 10:19 AM

Verwechsele nicht das Portforwarding was auf eine IP beschränkt ist mit dem IPS/IDS, das sind zwei unterschiedliche Systeme.

dexxter · December 17, 2025 at 10:30 AM

Genau deshalb mache ich mir Gedanken.

Ich sage im Forward nur A wird geforwarded, der Rest einfach nicht.

Und dann sagt das Log das B geblockt wurde weil es auf einer suspicious-List steht. ¯\_(ツ)_/¯

Heißt doch, dass meine Whitelist-Regel chronologisch nach dem IPS-System schlägt. - ich dachte das wäre umgekehrt.

Danke für deine Zeit.

DoPe · December 17, 2025 at 11:04 AM

Das Portforwarding ist eitestgehend IP Tables. Man könnte das auch mit Firewallregeln selbst bauen und nicht beim Forwarding die Quelle Limitieren. Das muss man im Zweifelsfall auch, wenn eben von mehreren IPs aus dem Internet der Zugriff möglich sein soll, diese aber eben nicht als Range oder Subnet abbildbar sind.

Hat aber den gleichen Effekt was das IDS/IPS angeht.

**gierig** · December 17, 2025 at 12:07 PM

Das IDS (suricata) sieht "alles" es klingt sich als Capture Receiver ein. Dem sind deine Reglen erstmal egal

ABER:

OBEN macht du ein DNAT (pokert weiterleiten) von PORT "62189" zu Port "6281"
Dein LOG Auszug sagt aber Port "6881" und die Details das die IP auf der CINS liste drauf ist
(ne Sammelstelle stelle für verhaltensauffällige IP)

Der 6881 wird oft und viel benutzt ,um sich über Bittorrent mit neues ISO Images von diversen OpenSource
Betriebssystem zu versorgen.. Hast du sowas etwa im Einsatz ?

Dann wird wohl eher dein Trailer mit der IP von sich aus Reeden um irgendwelche Trunks aufzutauchen und
die Gegenseite ist villeicht nicht ganz soooo glücklich.. bzw. kann auch nichts dafür das die auf ner Blacklist steht.

dexxter · December 17, 2025 at 1:15 PM

Problem erkannt: Ich brauche eine neue Brille. 6281 ≠ 6881

Ich hab vor Jahren die Downloadstation installiert, nutze sie aber nicht.
Und deren DHT-Netz nutzt standardmäßig den UDP-Port 6881

Beide Themen - Forwarding & IDS - haben in diesem Fall nichts miteinander zu tun.
Danke für querlesen! So habe ich mich lange an einem Problem verbissen, das es nicht gibt.

IPS meldet und verhindert Zugriffe trotz Quellenfilter beim Port-forwarding

Participate now!

Tags