nominis
Goto Top

Viel Traffic auf Port 8883

Hallo,
im Protokoll meiner pfSense sehe ich regelmäßig jede Menge (blockierte) Anfragen von einer IP-Adresse über den Lan-Port der Firewall (mein Heimnetz) ins Internet (an verschiedene *.compute.amazonaws.com Server) auf Port 8883 TCP:S.
Die Anfragen von der Lan-IP kommen von verschiedenen wechselnden Ports im Bereich 54xxx, regelmäßig und häufig in kurzer Folge.
Port 8883 TCP ist oder sollte Secuce MQTT Verkehr sein.
Sollte oder kann man den Port öffnen?
Es liest sich für mich relativ unverdächtig. Braucht es den Dienst?
Allerdings wüsste ich auch gern woher und warum es diese Anfragen gibt.
Kann mir jemand etwas dazu kurz (und laienhaft verständlich) sagen?
Danke & Gruß Jörg

Content-ID: 639243

Url: https://administrator.de/forum/viel-traffic-auf-port-8883-639243.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

SeaStorm
SeaStorm 09.01.2021 um 22:58:39 Uhr
Goto Top
Hi

und von welchem host kommen die Verbindungen ?
Nominis
Nominis 09.01.2021 aktualisiert um 23:03:49 Uhr
Goto Top
Die Anfragen kommen von einem UniFi CloudKey Gen2.
Kontakt nach Hause?
SeaStorm
Lösung SeaStorm 09.01.2021 um 23:06:33 Uhr
Goto Top
Die nutzen den Port für ihr RemoteAccess https://help.ui.com/hc/en-us/articles/218506997-UniFi-Ports-Used
Wenn du das nicht nutzt, bzw soweit bisher keine Einschränkungen hast, dann würde ich den Port weiterhin blockieren. Alle Daten die nicht benötigt werden, können ja weg face-smile
Nominis
Nominis 09.01.2021 um 23:10:42 Uhr
Goto Top
Ich administriere den CloudKey eigentlich nur lokal.
Den Account nutze ich nicht.
Daher bräuchte ich den Dienst nicht - also weiter blockiert lassen ...
Die AccessPoints habe ich schon komplett blockiert.

Danke für die Information.
Jörg
Visucius
Visucius 10.01.2021 um 09:12:07 Uhr
Goto Top
Ist der Remote Zugriff denn aktiv?

Wenn Du den nicht einsetzt würde ich den grundsätzlich in den Einstellungen deaktivieren
Nominis
Nominis 10.01.2021 aktualisiert um 09:56:17 Uhr
Goto Top
Nach dem Update auf die CloudKey-Firmware 2.0.24 waren plötzlich viele Einstellungen nicht mehr erreichbar. Da habe ich mit dem Remote-Zugang experimentiert.
Jetzt geht alles wieder. Ich werde den Remote-Zugriff jetzt wieder deaktivieren.

Nochmals Danke für den Tipp.
Jörg
aqui
aqui 10.01.2021 aktualisiert um 12:31:34 Uhr
Goto Top
Allerdings wüsste ich auch gern woher und warum es diese Anfragen gibt.
Das kannst du doch auch an den Einträgen des Firewall Logs sehen. Die Absender IP die diese Pakete schickt ist dann der böse Buhmann von dem es kommt. Auf dem System solltest du dann logischerweise einmal suchen. Das sagt einem ja auch schon der gesunde IT Verstand ! 😉
Für Details schmeisst du ganz einfach einmal die Paket Capture Funktion unter Diagnostics auf deinem LAN Interface an:
capture
Dann kannst du auch einmal in den Inhalt sehen den der böse Buhmann da zu irgendwelchen Schnüfflern versendet.
Nominis
Nominis 10.01.2021 um 12:45:47 Uhr
Goto Top
mit welcher Software öffne ich anschließend die *.cab - Datei?
aqui
aqui 10.01.2021 aktualisiert um 12:59:27 Uhr
Goto Top
Wie immer mit dem Wireshark. Mittlerweile weiss ja nun auch jeder Newbie das .cab Dateien für den Wireshark sind ! face-wink
https://www.wireshark.org/#download

Wie man ihn bedient als Anfänger steht hier:
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
anfaenger50
anfaenger50 10.01.2021 um 20:58:58 Uhr
Goto Top
Eine Netzwerkanalyse mit einem Traffic Tool wie Wireshark ist nicht schlecht.
Nominis
Nominis 10.01.2021 um 21:31:24 Uhr
Goto Top
Vielen Dank für die Hinweise.
Der Port bleibt blockiert, der Mitschnitt von Port 8883 wird noch ausgewertet.- auch interessehalber ...
anfaenger50
anfaenger50 11.01.2021 um 14:46:57 Uhr
Goto Top
A Ok. ich bin gespannt was daraus kommt