Das ist sogar noch recht "wenig"....
Grundsätzlich erstmal (in Bezug auf öffentliche IP-Adressen) gibt es 2 Möglichkeiten:
a) Du hast einen bestimmten Dienst, den Du angreifen willst und scannst einen IP-"Bereich" danach ab (Bsp: 50.50.50.1-50.50.50.254, Port 22)
b) Alternativ "kennst" Du Dein Ziel (bestimmte öffentliche IP) und versuchst nun dort einen angreifbaren Dienst zu finden (Bsp: 50.50.50.1, Ports 1-20000).
Um das mal vereinfacht auszudrücken: Du willst in ein Haus einbrechen, bei a) ist Dir völlig egal welches Haus, aber es muss ein offenes Fenster im Erdgeschoss haben, also gehst Du die Strasse lang und suchst nach einem entsprechenden Haus. Bei b) ist es eher so, dass Du in ein "bestimmtes" Haus einbrechen willst und dort nun (nicht nur im Erdgeschoss) nach offenen Fenstern oder sonstigen Einbruchsmöglichkeiten suchst.
Was da bei Dir passiert ist Option "a)". "Irgendwer" sucht in einem bestimmten IP-Bereich - bei einem bestimmten Dienst - nach Sicherheitslücken. Sowas wird gern mal mit Logins getestet. Er scannt also den IP-Bereich und findet direkt ein paar IP-Adressen, wo z.B. der SSH-Dienst (Port 22) von aussen freigegeben ist. Das nächste was folgt, ist ein "ausprobieren" von Login-Daten (Bsp: admin/admin, admin/passwort, admin/123456, usw.). Daher rühren auch diese fehlgeschlagenen Logins. Das hast Du allerdings bei "jedem" der Standard-Dienste (SSH, Telnet, SMTP, MS RDP, MySQL, SIP, usw.), welche von aussen erreichbar sind.
Diese ganzen fehlgeschlagenen Logins sind allerdings kein wirklicher Grund zur Beunruhigung. Man könnte es auch schon ein Grundrauschen nennen, da quasi "sekündlich" solche Scans durchs Netz wandern. Hat überhaupt nichts mit Dir persönlich zu tun und wird vermutlich auch bei Dir einfach nie erfolgreich sein, da - wie schon erwähnt - immer irgendwelche Standard-Logins durchgetestet werden, bis der fail2ban-Mechanismus greift (x fehlgeschlagene Logins -> Sperre der IP).
Es gibt div. Möglichkeiten dem vorzubeugen: Peter hat hier schon einige genannt, wie z.B. die reine Nutzung VPN und gar keine Dienste mehr nach aussen freigeben (wäre mit Sicherheit die sicherste Lösung). Die Standard-Ports (auch "well known Ports" (s. Wikipedia)) bedeuten, dass bestimmten Diensten feste Ports zugeteilt sind (Bsp: SSH 22, SMTP 25, HTTP 80, HTTPS 443, usw.). Sucht nun jemand einen IP-Bereich ab nach z.B. SSH-Diensten, wird er unweigerlich den IP-Bereich nach Port 22 abklopfen. "Verlegt" man diesen Port nun auf z.B.: 30822 (wie von Peter genannt), fällt man schon direkt durch das Suchraster. Eine gänzlichst andere Alternative wäre noch Portknocking, allerdings würde das hier zuweit führen.
Grundsätzlich stehe ich auch voll und ganz hinter Peters Aussage: "Weniger ist mehr." und in Bezug auf diese Phrase ist es (sorry) "völliger Blödsinn" was Du da Masse von Weiterleitungen hast. "Unverschlüsselt" sollte sowieso schon mal direkt "rausfliegen". Zudem sollten auch nur die Dinge freigegeben werden, welche ohne VPN benutzbar sein sollten (z.B. für Bekannte@Photostation), oder die Filestation für den Datenaustausch mit Bekannten. Richtig lachen musste ich allerdings bei der Weiterleitung für "Telnet" (das ist übrigens das Protokoll worüber heute noch immer Industriesteuerungsanlagen gekapert werden) und auch bei sämtlichen meiner Firewalls ungeschlagen auf Platz 1 der meist verworfenen Pakete
Also nix für ungut, aber... räum mal auf
