Прошу помощи разобраться с логами.
От провайдера пришла жалоба, о вредоносной активности с моего внешнего айпи адреса.
IP который был атакован (как пример, данные исказил) - 142.4.399.109, его сканировали на предмет web-уязвимостей по 80 порту.

Стал анализировать логи DFL-1660
Каких-либо обращений именно к этому адресу не зафиксировано.
Но, зафиксированы странные ошибки со смежного ip-адреса, подсеть по данным WHO IS одна.
Этот странный ip (допустим) - 142.4.344.169

Логи следующие:
[2015-07-01 16:43:50] FW: CONN: prio=3 id=00600012 rev=1 event=no_new_conn_for_this_packet action=reject protocol=tcp rule=LogOpenFails recvif=wan1 srcip=142.4.344.169 destip=199.233.199.155 ipproto=TCP ipdatalen=24 srcport=80 destport=61385 tcphdrlen=24 syn=1 ack=1

[2015-07-01 16:45:55] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1 srcip=142.4.344.169 destip=199.233.199.136 ipproto=TCP ipdatalen=24 srcport=80 destport=49135 tcphdrlen=24 syn=1 ack=1

[2015-07-01 16:45:57] FW: CONN: prio=3 id=00600012 rev=1 event=no_new_conn_for_this_packet action=reject protocol=tcp rule=LogOpenFails recvif=wan1 srcip=142.4.344.169 destip=199.233.199.140 ipproto=TCP ipdatalen=24 srcport=80 destport=65484 tcphdrlen=24 syn=1 ack=1

[2015-07-01 16:45:57] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1 srcip=142.4.344.169 destip=199.233.199.154 ipproto=TCP ipdatalen=24 srcport=80 destport=45023 tcphdrlen=24 syn=1 ack=1

[2015-07-01 16:48:20] FW: CONN: prio=3 id=00600012 rev=1 event=no_new_conn_for_this_packet action=reject protocol=tcp rule=LogOpenFails recvif=wan1 srcip=142.4.344.169 destip=199.233.199.155 ipproto=TCP ipdatalen=24 srcport=80 destport=61385 tcphdrlen=24 syn=1 ack=1

[2015-07-01 16:50:23] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1 srcip=142.4.344.169 destip=199.233.199.136 ipproto=TCP ipdatalen=24 srcport=80 destport=49135 tcphdrlen=24 syn=1 ack=1

[2015-07-01 16:50:31] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1 srcip=142.4.344.169 destip=199.233.199.154 ipproto=TCP ipdatalen=24 srcport=80 destport=45023 tcphdrlen=24 syn=1 ack=1

[2015-07-01 16:52:50] FW: CONN: prio=3 id=00600012 rev=1 event=no_new_conn_for_this_packet action=reject protocol=tcp rule=LogOpenFails recvif=wan1 srcip=142.4.344.169 destip=199.233.199.155 ipproto=TCP ipdatalen=24 srcport=80 destport=61385 tcphdrlen=24 syn=1 ack=1


Причем в логах в поле destip фигурируют каждый раз разные внешние ip адреса моей подсети, которые ссылаются на разные рабочие сервисы, которые прокинуты во внешнюю сеть.

Эти логи не похожи на обычную активность, когда сервер через NAT обращается в интернет по 80 порту.
Что это может быть?

По 10 строчкам из логов Вы ничего не увидите.
Вам нужно на день поставить Варешарк с фильтром по адресу терпилы.
А потом еще несколько дней разгребать этот дамп.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...