QNAP [Mémo] Connaitre la raison d'un nombre élevé d'événements refusés dans QuFirewall

[EVO]

Connaitre la raison d'un nombre élevé d'événements refusés dans QuFirewall​

QuFirewall intègre maintenant une fonctionnalité plutôt pratique pour analyser et comprendre plus facilement la raison d'un nombre élevé d'événements refusés ( de blocage du pare-feu )

​

Pour cela, rendez vous dans "Analyse IP refusé" dans le menu de gauche.

​

Je vous conseille de garder le réglage sur 30min, et de lancer l'analyse :

​

Si vous avez beaucoup d'IP refusées, le résultat ne se fera pas trop attendre, sinon n'hésitez pas a revenir plus tard. Vous pouvez même fermer la page, ce n’arrête pas l'analyse.

L'analyse est en cours ....

​

Rapidement une IP a attiré mon attention, la 1ere de la liste avec le plus de décompte. Apres un passage dans https://www.geolocation.com/fr?ip=195.191.244.60#ipresult , il semble s'agir d'une IP Française ( SFR ). Pourquoi donc cette IP essaye de joindre le NAS, et seul le port 33443 est ouvert sur mon NAS, et en plus ce port est ouvert au IP Française dans QuFirewall.

Cela signifie donc qu'il n'essaye pas sur le port 33443.

Je check aussi cette IP dans https://www.shodan.io/search?query=195.191.244.60 , et je vois qu'il est répertorié en "DHT Nodes". Cela ext principalement ( exclusivement ? ) utilisé pour le protocole Torrent. Je pense donc a Download Station sur mon NAS ....

Et effectivement, malgré que je n'ai aucune activité Torrent sur ce NAS, Download Station active le DHT par défaut et l'UPnP pour ouvrir les ports !

​

et dans ma Livebox :

​

et pourtant c'était pas comme si je n'était pas au courant [Tuto] Désactiver l'UPnP sur mon NAS QNAP

Enfin voila, j'ai désactivé l'UPnP de Download Station, et je n'ai plus masse d'avertissement dans QuFirewall