Добрый день.

Вопрос к специалистам D-Link.
Модем DSL-2500U. H/W A1 прошивка последняя (3H00).
Настроен в режиме маршрутизатора с одним PPPoE.

Время от времени (1-2 часа) фаевол на компьютере сообщает о UDP сканировании портов с адреса 192.168.1.1 (адрес модема). На фаеволле настроено 20 портов в секунду. Порты каждый раз разные.
Специально оставлял компьютер на несколько часов без соединений со стороны компьютера (только NTP) - сканирование повторялось.

На модеме в настройке фаевола все входящие соединения запрещены, фаевол включен. Проверял по порту 80 извне - в логе пишет intrusion... DPT=80... Однако на момент сканирования портов в логе модема никаких записей нет.

Что бы это могло значить?

Настройка модема производилась в следующей последовательности:

reset
сброс настроек
прошивка
сброс настроек
настройка контроля доступа, смена паролей, настройка LAN и пр.
сохранение, перезагрузка
настройка WAN
сохранение, перезагрузка

Кроме того, со стороны модема постоянно идут IGMP пакеты, хотя IGMP на модеме выключен. Это не такая большая беда, но они изрядно "замусоривают" журнал фаевола на компьютере.

Попутно еще вопрос:
Какой тип NAT-а в модеме?
И в маршрутизаторе DIR-100? Его тоже использую, но там никаких атак не замечено.

Кроме этого еще проблемы с PPPoE.

1. Auto Dial работает через раз. То есть первый раз лампочка Internet - зеленая (соединяется до 4х минут!!!) другой раз - красная (после этого только ресет питанием) или наоборот. По логу видно что авторизация почти никогда не проходит с первого раза. Очень неудобно! Пришлось поставить Dial On Demand. Работает всегда (или почти всегда) но это как то через ... Небольшая задержка между установлением ADSL соединения и запуском pppd не помешала бы. Опции Retry Authentification ... в моей прошивке нет.

2. После падения ppp со стороны провайдера модем сам никогда не перезапускает pppd до ресета. Keep Alive не помогает. При этом лампочка Internet продолжает гореть, что особенно неприято. Впрочем, похоже, проблема известная и не лечится. Однако, около полугода назад у провайдера был такой глюк. PPP соединение устанавливалось, а потом сразу падало, и так несколько раз подряд. Пришлось написать небольшой скрипт (модем тогда работал как bridge). В такой ситуации модем, настроеный как маршрутизатор не соединился бы по ppp никогда! Пришлось бы жать кнопку питания до ста раз.

3. Похоже что два PPPoE соединения в модеме (на интернет и интранет) одновременно работают нестабильно.

Заранее благодарен.
Сергей.

Поменяй IP на модеме. Все описанное похоже на то, что к тебе прорываются пакеты соседского модема. В режиме роутера сам модем никаких сканирований не должен делать, тем более IGMP слать.

Причем здесь IP модема мне мягко говоря не понятно.
Модем, разумеется, сам порты не сканирует - сканируют из вне. Раньше модем работал как bridge и сканирование портов регулярно обнаруживалось фаеволом и у меня и у других абонентов. Это вполне обыденное явление. Другое дело, подобные вещи не должны проходить через NAT если он не дырявый.

Теперь интереснее.

В компьютере были след. адреса DNS:

192.168.1.1 (DNS proxy в модеме на 2 DNS провайдера)
208.67.222.222 (OpenDNS для резерва)

Сканирование было с адреса 192.168.1.1

Убрал 192.168.1.1.

Теперь сканирование с адреса 208.67.222.222 !!!

порты (один из примеров):

10244, 11268, 11780, 12292, 12804, 13316, 13828, 14596, 15108, 15620, 16132, 16644, 17156, 17668, 18180, 19204, 19716, 20228, 20740, 21252

Порты соединений (ANY) обычно в диапазоне 1100-2000. У меня не так много соединений. NTP - порт 123.

Сканирование UDP.

IGMP прут регулярно (192.168.1.1 -> 224.0.0.1).

Жду комментариев от специалистов D-Link.