Zugriff auf externe IPv4 des Servers aus privatem Adressraum. Wie kann das sein?

[sz_cb]

Liebes Forum,

auf 2en meiner gemieteten vServer sehe ich in den Logs ein paar von der Firewall geblockte Zugriffe vom privaten Adressraum 10.0.0.0/8 heraus auf die externe IPv4 des jeweiligen Servers. Das Blocken ist korrekt, nur: Woher stammen die Zugriffe?

Auf beiden Servern gibt es keine VLANs, keine VPN-Dienste, auch keine Docker-Container, keine Netzwerkbrücken o.ä. - es gibt also nachweisbar lediglich localhost und jeweils die externe IPv4.

Was mich irritiert, ist, wie können die Zugriffe aus 10.0.0.0/8 stammen, wenn es diesen Adressbereich auf den Servern gar nicht gibt?

• Anmerkung #1: Die Zugriffsversuche erfolgten von unterschiedlichen IPs auf unterschiedliche Ports, u.a. auch auf Port 22 (SSH läuft über anderen Port). Prinzipiell ist es also das typische Verhalten von Portscannern.
• Anmerkung #2: Laut Logs sind es nur wenige Versuche aus dem Adressraum innerhalb der letzten ~3 Wochen (5 auf dem einen, 11 auf dem anderen Server). Wäre ich nicht zufällig darüber gestolpert, wären die im Rauschen untergegangen.
• Anmerkung #3: Auf allen anderen meiner vServer gibt es solcherlei Zugriffe nicht.

Könnt ihr Licht in mein Dunkel bringen?

Spoiler: LOG

Beispiele aus den Logs:

2025-01-17T15:15:03 xyz kernel: [UFW BLOCK] IN=eth0 OUT= MAC=xxxxx SRC=10.1.8.38 DST=x.x.x.x LEN=44 TOS=0x00 PREC=0x00 TTL=240 ID=62828 PROTO=TCP SPT=35066 DPT=22 WINDOW=64240 RES=0x00 SYN URGP=0

2025-01-20T15:04:17 xyz kernel: [UFW BLOCK] IN=eth0 OUT= MAC=xxxxx SRC=10.102.0.170 DST=x.x.x.x LEN=40 TOS=0x00 PREC=0x00 TTL=41 ID=42931 PROTO=TCP SPT=33089 DPT=23 WINDOW=12437 RES=0x00 SYN URGP=0

 

[wirelessy]

Das kommt von deinem Hoster. Was auch immer er da gemacht hat.
Den Addressbereich wirds da durchaus geben.
Ich kenne das ähnlich von meinen Cloudsystemen.

Die Pakete stammen von vor dem Router, sonst können diese internen IPs bei dir eigentlich nicht am Interface ankommen.

 

[Malaclypse17]

Vielleicht routet der VPS Anbieter Verkehr intern, wenn z.B. ein anderer VServer den lokalen Bereich scannt.
Was kommt denn bei der Routenverfolgung zu dieser IP raus?

 

[Luftgucker]

Provider nutzen diese RFC 1918 Adressen auch intern für carrier-grade Nat.

 

[Rickmer]

Es ist auch nicht ausgeschlossen, dass manche Hoster auf bekannte Sicherheitslücken scannen?...

Als Hoster würde ich alle Instanzen die von einem Botnet problemlos gekapert werden können oder bereits gekapert sind ausschalten wollen. Das würde dann im Kleingedruckten stehen.

 

[sz_cb]

@wirelessy @Malaclypse17 @Luftgucker @Rickmer

Vielen Dank an euch!

Also ist es wahrscheinlich, dass der Zugriffsversuch entweder von einem benachbarten Hosting oder vom Hoster selbst kommt. Mir war bislang nicht klar, dass Hostings beim Zugriff auf eine externe IP ihre private IP preisgeben würden. Aber klar, wenn die externe IP zusammen mit den internen IPs im vorgeschalteten Router eingetragen ist, dann klingt es natürlich gar nicht mehr so außergewöhnlich, dass der Verkehr innerhalb des Routings bleibt.

Wenn es der Hoster selbst initiiert hat, ok, meinetwegen. Wenn es jedoch ein benachbartes Hosting war, finde ich das weniger ok, weil solches Gebahren nur in den seltensten Fällen einem guten Zweck dient. Zumal man wohl davon ausgehen muss, dass Sicherheitsstrategien des Hosters (Firewall, Abwehr von (D)DoS-Angriffen etc.) nicht greifen, wenn der Traffic aus dem Inneren des Netzwerks kommt.

Ich war leider schon mehrfach in der Situation, dass bspw. Mails meines Mail-Servers bei einigen Providern sofort abgewiesen wurden, weil die IP-Range, in der sich auch mein Server befand, geblacklistet wurde. Irgendwann hatte ich den ständigen Kontakt zu den Providern satt und habe es aufgegeben, bei diesem Hoster einen Mail-Server zu betreiben.

Grundsätzlich trübt es meine Laune, wenn ich mir den sinnlosen Traffic-Overhead durch Bots ansehe. Und wenn dieser auch noch aus der unmittelbaren "Nachbarschaft" kommt, wird die Laune nicht besser.

Sollte ich mich mal an den Hoster wenden und nachhaken? Oder wird es ihm egal sein?