Redirection de port et attaque en force brute

[Pyboun]

Bonsoir,
J'ai constaté sur les logs d'un de mes NAS (freenas) qu'il subit des attaques de force brute en SSH (tjrs avec la meme IP source), en tentant des login/pwds en gros toutes les demi-heures. Jusque là, rien de bien original!
Ce que je ne comprends pas, c'est qu'à chaque tentative, le robot tente un port différent; or, mon NAS est derrière un routeur, qui fait une redirection du port SSH (j'ai changé, ca n'est plus le 22 de base) vers l'IP interne du NAS; malgré cela, le hacker parvient à "taper" sur le NAS avec d'autres ports: je pensais que la redirection permettait au contraire de fermer tous les autres pour un matériel donné.
Du coup, je cherche les principes qui régissent les redirections de ports: en particulier, pourquoi tous les ports testés tombent sur le NAS??

Merci de vos lumieres!

PYB
-----

[5t3ph]

Oui, c'est pas normal.
Un robot qui scanne ce qui est planqué derrière un firewall incrémente les ports TCP/UDP et déclenche ses tests pour savoir si le port est en écoute. Si le firewall est "RFC compliant", il doit émettre un ICMP Port Unreachable.
C'est quoi au juste le firewall ?

[Flyingbike]

vérifiez quand même que vous n'avez pas mis l'IP du nas en DMZ !

[Pyboun]

Bonjour,

Merci de vos réponses, mais je pense avoir compris.
Alors, non, le NAS n'est pas dans la DMZ.
Par contre, dans les logs, ce ne sont pas les ports "attaqués" que l'on voit, mais les ports utilisés lors de chaque connexion TCP générée par le robot (donc ports du PC émettant l'attaque): c'est de là que vient mon erreur: j'avais interprété ces ports comme ceux testés par le robot, mais ca n'est pas le cas.
Et ca veut dire que le port que j'ai paramétré pour l'acces en SSH au NAS a été trouvé, vraisemblablement parce que le robot doit faire un scan de tous les ports.

Je suis passé en authentification par clé, ce qui est plus sûr.

PYB

[A voir en vidéo sur Futura]