Heimrouter haben unterschiedliche Schnittstellen. Zum einen haben wir die LAN- und WLAN-Schnittstelle, über die wir alle Geräte im lokalen Heimnetzwerk entweder über Kabel oder über WLAN verbinden. Wir haben auch die WAN-Schnittstelle, die der Internet-Port ist und der öffentlichen IP-Adresse zugeordnet ist. Eine gute Möglichkeit, im Internet „versteckt“ zu bleiben, besteht darin, einen ICMP-Anforderungstyp zu blockieren und nicht zu beantworten. Wenn jemand den typischen „Ping“ für unsere IP-Adresse ausführt, wird er nicht antworten und muss eine Antwort senden Port-Scan, um herauszufinden, ob der Host (unser Router) aktiv ist.
Normalerweise Firewall Bei orientierten Betriebssystemen wie pfSense oder OPNSense wird der gesamte Datenverkehr standardmäßig blockiert. Wenn also jemand versucht, von außerhalb unserer öffentlichen IP-Adresse zu pingen, wird das Paket automatisch verworfen. Es gibt Heim- und Operator-Router, mit denen wir Ihre Firewall konfigurieren können, und wir haben sogar eine spezielle Option, um das Ping im Internet-WAN zu blockieren.
Wir müssen uns daran erinnern, dass es nicht empfohlen wird, alle ICMPs zu blockieren, sondern nur diejenigen, die dem „Ping“ entsprechen, dh der ICMP-Echoanforderung (Anforderung) und der ICMP-Echoantwort (Antwort). Einige Arten von ICMP sind für das ordnungsgemäße Funktionieren des Netzwerks unerlässlich, insbesondere wenn Sie mit IPv6-Netzwerken arbeiten.
Was passiert, wenn wir den Ping im Internet-WAN blockieren?
Alles wird wie immer weiter funktionieren. Der einzige Unterschied besteht darin, dass der Router nicht antwortet, wenn jemand von außerhalb (aus dem Internet) uns in unsere öffentliche IP-Adresse "pingt". Abhängig davon, wie wir den Router konfiguriert haben, ist es möglich, dass selbst bei einem Port-Scan nicht erkannt werden kann, ob der Host (der Router) aktiv ist oder nicht. Wenn auf dem Router, der dem WAN zugewandt ist, kein Dienst ausgeführt wird und auf dem Router kein offener Port vorhanden ist, werden standardmäßig alle Ports geschlossen und können von außen nicht mit uns kommunizieren Weg, wir könnten «unbemerkt» passieren, nennt man Sicherheit durch Dunkelheit.
Obwohl wir das Pingen im Internet-WAN deaktiviert haben, können wir problemlos Internet-Hosts pingen, ohne Ports öffnen oder absolut alles tun zu müssen, da wir damit nur die Firewall des Routers blockieren ICMP Echo Request, die uns erreicht. Router verwenden normalerweise Linux Betriebssystem im Inneren zu arbeiten und iptables zu verwenden, die Regel, die sie enthalten, ist die folgende:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Diese Regel blockiert alle ICMPs vom Typ Echoanforderung, die direkt an den Router selbst gesendet werden. Der DROP -j gibt an, dass das Paket direkt entfernt wird, ohne dass etwas gesagt wird, an das es gesendet wurde. Das heißt, wir verwerfen das Paket.
Ein sehr wichtiger Aspekt ist, dass wir immer das Ping im WAN blockieren sollten, aber nicht im LAN, da wir, wenn wir das Ping im LAN blockieren, nicht in der Lage sind, das Standard-Gateway unseres Computers (das der Router ist) zu pingen Erkennen Sie mögliche Fehler.
Obwohl viele Modelle und Marken von Routern das Blockieren des Ping im Internet-WAN unterstützen, werden wir Ihnen heute in diesem Artikel zwei Beispiele geben, wie Sie das Ping des WAN blockieren können ASUS Router und auch auf jedem Router des Herstellers AVM FRITZ! Box.
Block-Ping (ICMP-Echo-Anfrage) auf ASUS-Routern
Auf ASUS-Routern, sowohl in der Firmware des Herstellers als auch in Asuswrt-Merlin, ist der Prozess genau der gleiche. Wir müssen zum Firmware-Konfigurationsmenü gehen. Firewall / Allgemein Abschnitt und konfigurieren Sie die Firewall wie folgt:
- Möchten Sie die Firewall aktivieren: Ja
- Möchten Sie den DoS-Schutz aktivieren: Ja
- Registrierter Pakettyp: Keine. Wenn wir alle Pakete debuggen möchten, die die Firewall passieren, können wir dies tun. Es wird jedoch nicht empfohlen, sie immer zu aktivieren, da sie Router-Ressourcen verbraucht.
- Möchten Sie auf die Ping-Anfrage von WAN antworten: Nein.
Wie Sie gesehen haben, ist es wirklich einfach, Ping über das Internet-WAN zu deaktivieren. Bei der IPv6-Konfiguration ist der eingehende Datenverkehr auf dem ASUS-Router blockiert. Sie sollten dies daher ausdrücklich im Konfigurationsmenü zulassen.
Block-Ping (ICMP-Echo-Anfrage) auf AVM FRITZ! Box Router
In den Routern des deutschen Herstellers AVM können wir auch den typischen Ping im Internet-WAN blockieren, dazu müssen wir zum Hauptmenü des Routers gehen. Klicken Sie oben rechts, wo die drei vertikalen Punkte angezeigt werden, auf “ Fortgeschrittener Modus ”, Um alle Konfigurationsoptionen zu haben.
Sobald dies erledigt ist, gehen wir zu « Internet / Filter / Listen «, Und wir gehen runter, bis wir die Option finden« Firewall im Stealth-Modus «. Wir aktivieren es und klicken auf Änderungen übernehmen.
Mit dieser Option können Sie alle Anfragen aus dem Internet ablehnen, wie wir erklärt haben, und es liegt in der Macht aller, dies zu tun.
Dank dieses Ping-Blocks im Internet-WAN müssen sie einen Port-Scan durchführen, um festzustellen, ob auf dem Router oder einem NAS-Server in unserem Netzwerk ein Dienst ausgeführt wird, um unseren Host (Router) im Internet zu lokalisieren lokal.
