Voilà, je m'emmerdai un peu au boulot, alors je me suis mis en ssh sur mon routeur@home (ubuntu server). Il est relié directement à ma freebox (qui est uniquement en mode modem) sur eth0.
 
Par curiosité, j'ai lancé un iftop sur ce eth0.  
Mais là chose étrange,  
 
vor38-1-xx-xxx-xxx-xx.fbx.proxad.net                                                      => fla93-6-88-xxx-xxx-xxx.fbx.proxad.net                                                         0b      0b      0b
                                                                                          <=                                                                                               0b      0b     26b
vor38-1-88-xxx-xxx-xx.fbx.proxad.net                                                      => pla93-4-88-xx-xxx-xx.fbx.proxad.net                                                          0b      0b      0b
                                                                                          <=                                                                                               0b      0b     13b
vor38-1-88-xxx-xxx-xx.fbx.proxad.net                                                      => set25-1-88-xxx-xxx-xxx.fbx.proxad.net                                                         0b      0b      0b
                                                                                          <=            
 
edit : vor38 c'est moi
etc etc.J'ai plein d'ip venant de NRA dans toute la france qui s'affichent.  
(mai59, ris91, lab75, car06, alf94 etc.)
Jamais plus de 3 en même temps,mais tous des ip différéntes chez free.
 
Je comprend pas d'où celà vient, la raison est peut etre simple, mais je suis curieux de savoir

si ton serveur ssh est configuré sur le port 22.
ce sont des robots présents sur la toile qui testent tes mot de passe.
tu pourras vérifier ça avec le log de ssh  
et préparer une parade efficace par exemple.

Non, j'ai vérifié mon auth.log en grépant sur Failed ou meme plus large, j'en ai que tres rarement (iptables agressif qui ban l'ip pour 5 min si plus de 3 tentatives).

Là c'est incroyable comme ça tourne : jamais plus de 3 ou 4 a la fois, mais ça change toute les 2 secondes

J'ai aussi dns2.proxad.net qui est toujours là. (ça me parait plus normal déjà).

ça peut pas etre du broadcast samba ?

J'ai Nmapé une IP qui est venu me voir  :
 
PORT     STATE SERVICE
139/tcp  open  netbios-ssn
1025/tcp open  NFS-or-IIS
5000/tcp open  UPnP

Personne

T'as un serveur UPnP sur ta machine ?

non.. pas du tout !

edit : enfin ça m'étonnerai beaucoup sur une ubuntu server sur laquelle ya pas grand chose

Up, j'ai toujours ça

Apres analyse plus poussée : (merci iptraf !)

C'est le port 135 que ces freebox essaient de contacter ! Mais j'ai juste l'en-tete (10b) donc ça ne passe pas (merci iptable).
C'est le port en général choisi par les attaques de bot et autre trojen/virus visiblement. Toujours est-il que c'est impressionnant le nombre, et ça vient toujours du réseau free..

MAJ : aussi 445 ! c'est bien des attaques !

Petite question. Avec mon iptable, je fais du nat.
Ma regle par défaut c'est bien DROP, mais quand je nmap de l'exterieur mon port 445, il n'est pas "closed" mais filtered (il arrive nulle part).

J'ai essayé pas mal de regles différentes, mais il semble qu'il arrive quand meme dans PREROUTING, alors que je voudrai le DROP avant

edit : je me répond :

   *
      open : Le port est ouvert et un service écoute le port.
    *
      closed : Le port est ouvert mais il n'y a aucun service qui écoute le port.
    *
      filtered : Le port est fermé.