[gelöst] Connection refused from the non-local address

jnewton957 · 14 Januar 2023, 10:07:04

Seit einigen Wochen habe ich täglich mehrfach ein

Connection refused from the non-local address

im Log.
Mal eine kleine Auswahl:
87.236.176.61:51025
87.236.176.106:54225
209.97.152.248:47435
205.210.31.183:65482
198.235.24.36:63366
167.99.209.184:44417
und ganz penetrant: 107.150.100.67 auf 201 ports gestern Mittag im 2 Sekundentakt

Das sind ganz viele Server aus HongKong

Der Logeintrag lautet dann:

Code Auswählen

Connection refused from the non-local address 167.99.209.184:44417, as there is no working allowed instance defined for it

Ich habe zwar insbesondere mit fhempy und Modbus die letzten Wochen was Neues eingerichtet und Raspi auf Buster und python3 angehoben- aber die o.a. Adressen sind mir natürlich nicht bekannt.

Bin ICH da Sender oder versuchen diese Adressen auf mein FHEM zuzugreifen?

Ich bin deshalb verwundert, da ich eigentlich im letzten Jahr solche logs entweder nicht hatte, oder die in den logs untergingen (also selten waren).

Sollte ich versuchen das auf eine andere Art z.B. in der Fritzbox oder RPi noch sicherer zu machen?

Grüße
Jörg

MadMax-FHEM · 14 Januar 2023, 10:27:36

Hast du Ports offen?
Forward zu fhem?

Ansonsten könnten solche Anfragen ja gar nicht durchkommen...
...weil nein, du bist nicht "Sender", sondern da versucht jemand/mehrere dein System zu "knacken"...

EDIT: dass es bislang noch nicht aufgetreten/aufgefallen ist, könnte auch sein, dass halt jetzt erst deine offenen Ports "aufgefallen" sind (halte ich aber eher für unwahrscheinlich)...

Gruß, Joachim

Otto123 · 14 Januar 2023, 10:43:36

Zitat von: jnewton957 am 14 Januar 2023, 10:07:04
Sollte ich versuchen das auf eine andere Art z.B. in der Fritzbox oder RPi noch sicherer zu machen?

Hallo Jörg,

sieht so aus, als ob dein FHEM Server als exposed Host in der FB freigegeben ist. Nur so erklären sich die vielen Ports. Ich würde das sofort dicht machen!!!
Und den Kammerjäger bestellen

klingt zwar so als hat sich FHEM erfolgreich gewehrt - aber was läuft noch auf dem Server?

Gruß Otto

MadMax-FHEM · 14 Januar 2023, 13:16:21

@Otto: sind die Ports nicht die "remote Ports"?

Egal wie: (mind.) fhem ~~scheint~~ ist von außen erreichber ~~zu sein~~...

Gruß, Joachim

Wernieman · 14 Januar 2023, 13:24:36

ZitatConnection refused from the non-local address

Du hast Deine FHEM-Instanz vom Netz erreichbar gemacht, ohne es zu nutzen? Kann mich den "Vorschreibern" nur anschließen:
1. FHEM muß nicht extern erreichbar sein, konfiguriere deinen router passend
2. Prüfe, ob auch andere Sachen von extern erreichbar sein müssen, welche Du nicht brauchst
3. Falls Du wirklich eine externe Erreichbarkeit von FHEM brauchst, verwende passenden Schutz (VPN .. in der Not http-proxy, aber NIEMALS direkte Erreichbarkeit!)

jnewton957 · 14 Januar 2023, 18:06:56

Ich habe gerade gesehen, dass meine Raspberry auf/über die Fritzbox eine "Selbstständige Portfreigaben für dieses Gerät erlauben." hatte.

Den Haken habe ich entfernt.
Somit hat die Raspi für "seine IP" nur noch fixe ports wie 8086 für web und 8085 für tablet oder 8383 für espeasys
Meine FHEM Instanz läuft ja auf der Raspi über Port 8083

Habe ich die Tür damit geschlossen ?

Jörg

MadMax-FHEM · 14 Januar 2023, 18:47:48

Zitat
Somit hat die Raspi für "seine IP" nur noch fixe ports wie 8086 für web und 8085 für tablet oder 8383 für espeasys
Meine FHEM Instanz läuft ja auf der Raspi über Port 8083

Fixe Ports? In den Einstellungen der Fritzbox?

-> zumachen!

Oder meinst du was anderes?

Zu deinem PI sollte es in der Fritzbox maximal den Eintrag "immer dieselbe IP" (oder vergleichbar) geben...

EDIT: hast du Einträge unter "Internet -> Freigaben" ?

Gruß, Joachim

jnewton957 · 14 Januar 2023, 22:09:48

Zitat von: MadMax-FHEM am 14 Januar 2023, 18:47:48
Fixe Ports? In den Einstellungen der Fritzbox?

-> zumachen!

Oder meinst du was anderes?

Zu deinem PI sollte es in der Fritzbox maximal den Eintrag "immer dieselbe IP" (oder vergleichbar) geben...

EDIT: hast du Einträge unter "Internet -> Freigaben" ?

Gruß, Joachim

DANKE
Jetzt weiß ich, was du meinst.
Ich hatte die PI noch über die Fritzbox IP Internetadresse 79.34..xxx.... erreichbar. Und da eben z.B. tablet: Port 8085, web 8086
Ich gebe zu: Seit 10 Jahren..... ABER zum Glück hat sich ja die Fritzbox Intzernetadresse schon mehrfach geändert. Über 79.34.xxx war die Fritzbox nicht (mehr) seit Jahren erreichbar, da ich das eben seit Jahren nicht mehr aktualisiert hatte.

Ich habe die Einträge alle gelöscht.

Danke. Nun kann ich ruhig schlafen

Jörg

MadMax-FHEM · 14 Januar 2023, 22:21:22

Zitat von: jnewton957 am 14 Januar 2023, 22:09:48
DANKE
Jetzt weiß ich, was du meinst.
Ich hatte die PI noch über die Fritzbox IP Internetadresse 79.34..xxx.... erreichbar. Und da eben z.B. tablet: Port 8085, web 8086
Ich gebe zu: Seit 10 Jahren..... ABER zum Glück hat sich ja die Fritzbox Intzernetadresse schon mehrfach geändert. Über 79.34.xxx war die Fritzbox nicht (mehr) seit Jahren erreichbar, da ich das eben seit Jahren nicht mehr aktualisiert hatte.

Ich habe die Einträge alle gelöscht.

Danke. Nun kann ich ruhig schlafen

Jörg

Da hattest du aber offensichtlich Glück (oder noch nicht gemerkt, dass wer doch was getan hat)...

Aber nicht weil sich die öffentliche IP deiner Fritzbox geändert hat!

Das ist doch irrelevant!
Offene Ports mit Weiterleitung sind offene Ports mit Weiterleitung!

Dass sich die öffentliche IP der Fritzbox ändert heißt ja nur, dass die Ports eben ab dann unter einer neuen/anderen IP offen sind...

Das lässt sich leicht finden...

Wenn jetzt alle Freigaben gelöscht sind, dann passt das...
...ab jetzt...

Gruß, Joachim