Så här kan du blockera ping på din routers WAN-internetport

Normalt kommer brandväggsorienterade operativsystem, som pfSense eller OPNSense, med all trafik blockerad som standard, detta betyder att om någon försöker pinga vår publika IP från utsidan, kommer den automatiskt att tappa paketet. Det finns hem- och operatörsroutrar som låter oss konfigurera din brandvägg, och vi har till och med ett specifikt alternativ för att blockera ping på Internet WAN.

Vi måste komma ihåg att det inte rekommenderas att blockera alla ICMP:er, bara de som matchar “pingen”, dvs ICMP Echo Request (begäran) och ICMP Echo Reply (svar). Vissa typer av ICMP är nödvändiga för korrekt nätverksdrift, särskilt om du arbetar med IPv6-nätverk.

Vad händer om vi blockerar ping på Internet WAN?

Allt kommer att fortsätta fungera som vanligt, den enda skillnaden är att om någon utifrån (från internet) “pingar” vår offentliga IP-adress så svarar inte routern. Beroende på hur vi har konfigurerat routern, kanske inte ens en portskanning kan upptäcka om värden (routern) är uppe eller inte. Om vi ​​inte har någon tjänst som körs i routern som är vänd mot WAN och vi inte har några öppna portar i routern, kommer alla portar som standard att stängas och från utsidan kommer de inte att kunna kommunicera med oss, i detta fall kan vi passera “obemärkt”, det är det som kallas trygghet genom mörker.

Även om vi har inaktiverat ping på internet WAN, kommer vi att kunna pinga internetvärdar utan problem, utan att behöva öppna portar eller göra något, eftersom det enda vi gör med det är att blockera brandväggen kommer att eka varje ICMP-förfrågan som kommer till oss från routern. Normalt använder routrar Linux OS inuti för att fungera, och de använder iptables, regeln de införlivar är:

iptables -A INPUT -p icmp –icmp-type echo-request -j DROP

Denna regel blockerar alla ICMP-ekobegäranden som går direkt till själva routern, -j DROP indikerar att det direkt kommer att släppa nämnda paket utan att “säga” något till avsändaren, dvs att vi avvisar paketet.

En mycket viktig aspekt är att vi alltid måste blockera ping på WAN, men inte på LAN, för om vi blockerar ping på LAN kommer vi inte att kunna pinga mot standardgatewayen för vår dator (som är router), för att upptäcka eventuella fel.

Även om många routermodeller och märken stöder blockering av ping över WAN Internet, kommer vi idag i RedesZone att ge dig två exempel på hur du blockerar ping över WAN i ASUS-routrar och även i valfri router från AVM FRITZ! Låda.

Blockera ping (ICMP Echo-request) på ASUS-routrar

I ASUS-routrar, både i tillverkarens firmware och i Asuswrt-Merlin, är processen exakt densamma. Du måste gå till konfigurationsmenyn för firmware, i rubrik Brandvägg / Allmänt och konfigurera brandväggen enligt följande:

  • Vill du aktivera brandväggen: Ja
  • Vill du aktivera DoS-skydd: Ja
  • Typ av registrerade paket: Inga. Om vi ​​vill felsöka alla paket som passerar genom brandväggen kan vi göra det, men det rekommenderas inte att alltid aktivera det eftersom det kommer att förbruka routerresurser.
  • Vill du svara på pingen från WAN:n: Nej.

Som du har sett är det väldigt enkelt att inaktivera WAN-pingen på Internet. När det gäller IPv6-inställningarna är inkommande trafik från ASUS-routern blockerad, så du måste uttryckligen tillåta det i inställningsmenyn.

Blockera ping (ICMP Echo-request) på AVM FRITZ-routrar! Låda

I routrarna från den tyska tillverkaren AVM kan vi också blockera den typiska pingen på Internet WAN, för att göra detta måste vi gå till routerns huvudmeny. I den övre högra delen där de tre vertikala prickarna visas, klicka på ” avancerat läge » för att ha alla konfigurationsalternativ.

När det är gjort går vi till » Internet / Filter / Listor “, och vi går ner tills vi hittar alternativet” Stealth Mode brandvägg “. Vi aktiverar den och klickar på tillämpa ändringar.

Detta alternativ gör det möjligt att avvisa alla förfrågningar som kommer från Internet som vi har förklarat, och det är inom allas räckhåll att göra det.

Tack vare denna blockering av ping på WAN-internet, för att lokalisera vår värd (router) på internet, måste de utföra en portskanning för att se om vi har en tjänst igång, antingen på routern eller på en NAS-server på vårt lokala nätverk.

Relaterade Artiklar

Back to top button