ルータのログのうち、ポートスキャンを受けた場合のパターンは

ブリッジ(NTTのSV3をブリッジ化しています)
-ルータ(buffalo製)
-内部LAN

という具合にネットワークを組んでいます。
最近、以下のようなログが残り、疑問を感じています。
（IPは一部伏せてあります）
2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1138 to 220.110.42.XX:80 (br0)
2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1137 to 220.110.42.XX:80 (br0)
（以下、ポートが1136,1135,1134...と続く）

192.168.XX.XXというのは、自分の使っている、内部LANのPCです。内部のLANのPCから、br0（ブリッジ？）のマシンへコネクションを張るということが解せないのですが、よくあることなのでしょうか。また、br0のIPアドレスも頻繁に違うものになっています。buffalo製ルータのサービス検索機能などでポートスキャンを受けていたりするのでしょうか。なお、LAN内PCはwindows2000で、windowsUpdate状況は最新、ウィルスも検出されません。変わったものといえば唯一、VNCサーバが起動しています。

外部インターネットからの接続を弾く場合は以下のようなログで、これは理解しているつもりです。

2006/07/06 00:13:09 FIREWALL TCP connection denied from 133.205.201.XXX:4055 to 133.205.239.XXX:135 (ppp0)

内側から外へポートスキャンしているような風に見える、上記ログについてなにかご存知の方、ご教授いただければ幸いです。
よろしくお願いします。

No.1 ベストアンサー 回答者： rinkun 回答日時： 2006/07/06 11:23

> 2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1138 to 220.110.42.XX:80 (br0)

これは
= あなたのマシン(192.168.XX.XX)からインターネット上のサイト(220.110.42.XX)
= へのTCPコネクション要求(ポート80なので多分HTTPリクエスト)
= を受け付けました。
というログですね。
TCPコネクションではサーバ側ポートは固定(HTTPでは通常80)ですが、クライアント側はセッションごとに空いている番号を(通常はOSが適当に選んで)使います。これが連番になるのは特に変でもありません。

br0はブリッジ自身かルータからブリッジへの回線に付けられた名前か、あるいは転送ルールに付けられた名前だと思いますけど、よく分かりません。

この回答へのお礼

　先ほど、ご説明いただいた状況通りなのを確認しました。TCPコネクションの確立から、ルータのログに反映されるまでタイムラグがあるので何もＰＣに対する操作をしていないのに勝手にコネクションが張られたような錯覚をしていました。ブラウザでリクエストしたＵＲＬのホスト部にpingしたところ、ログに残っているIPと合致しました。
　まだまだ勉強が足りないようです。分かりやすいご説明、ありがとうございました。

お礼日時：2006/07/06 22:19