Skip to main content
Vraag

Mijn firewall op mijn server ziet externe port scans, terwijl Experiabox V10 firewall enkel 80/443 doorlaat

  • January 21, 2026
  • 6 reacties
  • 53 keer bekeken
M
Deelnemer

Zoals in de titel al staat. Hoe kan dit?

 

In de port forward regels staan enkel de poorten 80 en 443 om door te zetten naar een specifiek IP adres.

Hoe kan het dan zijn dat complete port-scans van externe adressen toch op de firewall van de server zichtbaar zijn? En vanzelfsprekend IP adressen die bekend staan om malware, portscans, probes, etc.

UPnP staat uit voor de zekerheid.

 

Het probleem is niet van recent, maar al van minimaal oktober 2025 en ik kan de oorzaak niet vinden.

Ik zie bijv. 3.248.160.18, AS16509, Amazon Web Services als voorbeeld. Maar het is een hele rits vanuit Digital Ocean, Azure, etc. die probes doen op een serie poorten.

6 reacties

Erik van KPN
Moderator
Forum|alt.badge.img+33
  • Erik van KPN
  • Moderator
  • January 23, 2026

Even om te zien of ik het begrijp, ​@Mars Warrior. Jij hebt een V10. Achter die V10 hangt een server. In de V10 heb je port forwards ingesteld via poorten 80 en 443 naar die server. En jij ziet in de logs op de server dat er poort scans zijn via die poorten naar jou server. 

Kun je hier een screenshot plaatsen van je port forward instellingen? Zorg dat je jouw eigen externe IP even verbergt in het screenshot,

"That might be the most important thing to understand about Humans. It's the unknown that defines our existence. We are constantly searching, not just for answers to our questions, but for new questions." - Benjamin Sisko
A
Wijsgeer
Forum|alt.badge.img+8
  • Arjan van B
  • Wijsgeer
  • January 23, 2026

poort scans zijn via die poorten

Ik lees (ook) naar andere poorten:

complete port-scans

op een serie poorten.

Maar goed, dat kan ​@Mars Warrior even bevestigen.

M
Deelnemer
  • Mars Warrior
  • Auteur
  • Deelnemer
  • January 24, 2026

Even om te zien of ik het begrijp, ​@Mars Warrior. Jij hebt een V10. Achter die V10 hangt een server. In de V10 heb je port forwards ingesteld via poorten 80 en 443 naar die server. En jij ziet in de logs op de server dat er poort scans zijn via die poorten naar jou server. 

Kun je hier een screenshot plaatsen van je port forward instellingen? Zorg dat je jouw eigen externe IP even verbergt in het screenshot,

Ik zie zoals ​@Arjan van B aangeeft scans op allerhande poorten, dus niet enkel op poort 80 en 443. Die zijn niet te voorkomen, maar op die andere poort scans zit ik niet te wachten natuurlijk. Dat die extern bereikbaar zijn (Modem lijkt ze dus gewoon door te zetten) is daarom vreemd.

Ik ga ff een aangepast screenshot maken zodat het wat duidelijker wordt.

Onderstaande poorten werken gewoon, en daar hangen dus ook applicaties aan. Geen probleem op deze poorten.

HIeronder een deel van de logging. Deze IP adressen worden geblokkeerd omdat ze in de abuseipdb zitten die mijn firewall op de server gebruikt om ongewenst volk te weren. Niet alle adressen zijn meer actueel omdat er een lijst van de afgelopen 120 dagen wordt gebruikt.

 

\​​​​

Dit is dus slechts een voorbeeld... 

 

Het ontgaat mij dus hoe die IP adressen op mijn server uit kunnen komen. Dat kan toch enkel door een port-forward?

UPnP staat uit, en ik heb ook geen DMZ oid geconfigureerd.

 

 

 

 

TDN
Wijsgeer
Forum|alt.badge.img+13
  • TDN
  • Wijsgeer
  • January 24, 2026

@Mars Warrior Firewall van KPN modem blokkeert in standaard instelling geen uitgaande porten. Port forwardings zijn voor inkomende verkeer. Je verwisselt tussen de twee. Als de porten naar buiten open zijn, is toch normaal dat een portscan op willekeurige port jouw extern server kan bereiken vanuit een KPN aansluiting, tenzij het op hogere niveaus geblokkeerd wordt door KPN of zijn routingspartner.

When you can’t sleep at night, it’s because you’re awake in someone else’s dreams
A
Wijsgeer
Forum|alt.badge.img+8
  • Arjan van B
  • Wijsgeer
  • January 24, 2026

scans op allerhande poorten, dus niet enkel op poort 80 en 443.

HIeronder een deel van de logging.

...

Zie je daar ook het doelpoortnummer in? Wat is bijvoorbeeld 55,572 hierboven? Is dat misschien de bronpoort? Ofwel: zijn dit niet gewoon scans op bijvoorbeeld doelpoort 80, 443 of 22? Die dan via je modems port forwards op je server terechtkomen?

Het volgende gaat trouwens absoluut zeker om HTTP-verzoeken. Dus zeer waarschijnlijk dat die op poort 80 of 443 binnengekomen zijn bij de mensen die dat gerapporteerd hebben:

M
Topper
  • Marlon92
  • January 24, 2026

 

\​​​​

 

Kun je hier een wat groter plaatje van laten zien? Waar de kolom titels op staan? 

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank

...

Community voorwaardenAccessibility statement