Как сканеры узнают о втором WAN-интерфейсе?

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Ответить
Chai
Сообщения: 63
Зарегистрирован: 25 авг 2017, 08:13

У меня сервер OpenVPN перевешен на другой порт с 1194-го, а тех, кто туда стучится, отправляются тут же в бан-лист на час (это заместо Port knocking).
Но вот в логе наблюдаю непонятную мне картину: с одного и того же адреса стучатся (ну и дропаются, естественно, так как попали в бан-лист) поочередно, хотя и на разные порты (не брезгуя динамическими), сначала на WAN1, и сразу же - на WAN2.
Т.е., например, кусочек лога:
15:02:59 firewall,info --------drop 1194-------- input: in:ether9 out:(unknown 0),
src-mac 00:00:5e:**:01:**, proto TCP (SYN), 141.98.11.12:50438->95.79.ххх.ххх:2289
9, len 40
15:03:54 firewall,info --------drop 1194-------- input: in:ether10 out:(unknown 0)
, src-mac 64:9e:f3:44:**:**, proto TCP (SYN), 141.98.11.12:50438->95.80.yyy.yyy:266
9, len 40
где
95.79.ххх.ххх - публичный выделенный адрес WAN1
95.80.yyy.yyy - публичный выделенный адрес WAN2
Провайдеры разные.
Поскольку обращения идут поочередно, источник знает об обоих адресах. При этом в системе DNS опубликован только WAN1 (оттуда перенаправление на веб-сервер за граничным маршрутизатором).
Откуда же становится известно, что на этом роутере есть второй WAN, и как узнают его адрес?


Ответить