Hallo Frank,

am ersten hing mal eine von draußen erreichbare Box

Ein Portscan durch den ersten Router durch sollte doch so ohne weiteres nicht möglich sein oder liege ich da total falsch?

Je nach config eben, wie "von draußen erreichbar" die Box war. Nur HTTP durchgelassen oder z.B. zweite öffentliche IP drauf "gemappt"?

Jetzt finde ich im Log des 2. Routers folgende Einträge:

Tuesday, 09 Sep 2008 19:00:02 [Log Cleared] Tuesday,09 Sep 2008 19:22:41 [TCP SYN Flood][Deny access policy matched, dropping packet] Tuesday,09 Sep 2008 19:22:46 [TCP SYN Flood][Deny access policy matched, dropping packet] Tuesday,09 Sep 2008 22:27:23 [TCP SYN Flood][Deny access policy matched, dropping packet] Tuesday,09 Sep 2008 22:29:31 [TCP SYN Flood][Deny access policy matched, dropping packet] Tuesday,09 Sep 2008 22:29:31 [TCP Stealth FIN Port Scan][Deny access policy matched, dropping packet] Tuesday,09 Sep 2008 22:39:40 [TCP Stealth FIN Port Scan][Deny access policy matched, dropping packet] Tuesday,09 Sep 2008 22:39:40 [TCP SYN Flood][Deny access policy matched, dropping packet] Tuesday,09 Sep 2008 22:48:43 [TCP SYN Flood][Deny access policy matched, dropping packet]

Eine Suche nach "Syn Flood Attack" mit der Suchmaschine deiner Wahl klärt dich binnen einer Minute über die Hintergründe auf.

Grundsätzliche Gedanken:

Kommt die Flood von Innen oder von Außen? Was gilt dem Router als Flood (Wieviel Pakete/s)? Laufen irgendwelche Anwendungen, die "viele" Verbindungen aufbauen wollen?

Viele Grüße Fabian