Automatische IP-Blockierung

[prad]

Hallo Zusammen!
Heute hat mir die NAS gemeldet, dass eine IP bestimmte blockiert wurde.
(4 Fehlerversuche innerhalb von 15 Minuten)

Gibt es im Dateisystem der Syno irgendwo ein log, das mir sagt, über welche ports es versucht wurde.
Das wäre interessant, da ich in der Firewall nur wenige Dienste zulasse. (HTTPS, WEBDAV-SSL, IMAP-SSL, Carddav-SSL)

DSM 5.1-5004 Update 2

mfg Peter

 

[Crash1601]

Nutzt Du die Standard Ports der jeweiligen Dienste? Ich bekomme öfters Blockings wenn ich Standardports für verschiedene Dinge kurzzeitig öffne.

 

[Puppetmaster]

Es gibt das Systemlog, dort sollten die Zugriffe und auch die Ports/Dienste, auf die versucht wurde zuzugreifen, erscheinen.

 

[prad]

Hallo Puppetmaster!

Ich stehe gerade auf der Leitung - wo finde ich das Systemlog?

mfg Peter

 

[Crash1601]

Es gibt das Systemlog, dort sollten die Zugriffe und auch die Ports/Dienste, auf die versucht wurde zuzugreifen, erscheinen.

Über das Protokoll-Center müssten diese einsehbar sein, oder nur direkt über z.B. SSH?

Edit: Habe gerade nachgesehen - ja stehen auch im Protokoll-Center. Such einfach mal nach dem Wort "Block" im Protokoll-Center.

 

[prad]

Im Protokolcenter steht leider nur Host [...] was blocked via [Autoblock].

SSH nehme ich gerne nur wo finde ich das richtig logfile

 

[Crash1601]

Hier mal ein Beispiel von mir:

 

[prad]

Ich habe es gerade gefunden.
Die Datei liegt unter var/log/syslog un heißt synoconn.log
Hier wurde eingetragen:
warning 2014/12/02 08:26:00 SYSTEM: User [ ] from [127.0.0.1] failed to log in via [Mail Server] due to authorization failure.
warning 2014/12/02 08:26:18 SYSTEM: User [ ] from [127.0.0.1] failed to log in via [Mail Server] due to authorization failure.
warning 2014/12/02 08:27:22 SYSTEM: User [ ] from [127.0.0.1] failed to log in via [Mail Server] due to authorization failure.
warning 2014/12/02 08:27:42 SYSTEM: User [ ] from [127.0.0.1] failed to log in via [Mail Server] due to authorization failure.

Das heißt für mich es müsste über die Mailstation passiert sein.

Im Protokollcenter stand ja nur: Warning,System,2014/12/02 08:27:47,SYSTEM,Host [...] was blocked via [AutoBlock].

mfg Peter

 

[Puppetmaster]

Nicht MailStation, sondern MailServer.

 

[prad]

Das lese ich schon richtig, nur in Zusammenhang mit dem anderen, externen Host im Protokollcenter kann es nur der Login über Webmail (Roundcube oder Mailstation genannt) gewesen sein.
Mit der IP 127.0.0.1 kann sich ja nur die NAS selber verbinden.

Oder habe ich da einen Denkfehler?

mfg Peter

 

[Puppetmaster]

Ich hatte das so verstanden, dass du z.B. auch IMAP nach aussen freigibst.

 

[Puppetmaster]

Ach, jetzt sehe ich es auch, IP127.0.0.1. Also dann wird es wohl ein Auth-Problem beim MailServer sein, wenn du mit der MailStation zugreifst.

 

[Crash1601]

Ach, jetzt sehe ich es auch, IP127.0.0.1. Also dann wird es wohl ein Auth-Problem beim MailServer sein, wenn du mit der MailStation zugreifst.

Steht deshalb nur nur als "Grund" [Autoblock] und nicht der entsprechende Dienst?

 

[prad]

Ich habe es jetzt nochmal getestet.

Es sind wirklich die Fehlversuche beim Login aus der Mailstation. (Super das hier jetzt auch der Autoblock funktioniert - war ja nicht immer so)

DANKE an alle
mfg Peter

 

[laserdesign]

Die Datei liegt unter var/log/syslog un heißt synoconn.log

nur mal zur Klarstellung, die Datei synoconn.log findet man unter:

/var/log/synolog/

 

[adlerauge1980]

Hallo Zusammen

die Datei scheint nicht mehr da zu liegen, respektiv hat evt einen anderen Namen. Ich habe auch das Problem dass ich im Protokoll Center sehe das immer wieder eine IP blockiert wird. ich weiss auch von welchem gerät das kommt. aber ich müsste wissen mit welchem Link / Port da versucht wird. Kann mir da jemand kurz auf die sprünge helfen?

Ps gibt es eine andere Möglichkeit die Logs anzuschauen wie über die Konsole?