Come bloccare il ping delle richieste ICMP sulla WAN Internet del router

I router domestici hanno interfacce diverse, da un lato, abbiamo l'interfaccia LAN e WLAN, dove colleghiamo tutte le apparecchiature sulla rete locale domestica, rispettivamente via cavo o via Wi-Fi. Abbiamo anche l'interfaccia WAN, che è la porta Internet e che è associata all'indirizzo IP pubblico. Un buon modo per rimanere "nascosti" su Internet è bloccare qualsiasi tipo di richiesta ICMP e non rispondere, in questo modo, se qualcuno fa il "ping" tipico al nostro IP, non risponderà e dovrà fare un Scansione delle porte per scoprire se l'host (il nostro router) è attivo.

Normalmente firewall I sistemi operativi orientati, come pfSense o OPNSense, sono dotati di tutto il traffico bloccato per impostazione predefinita, questo significa che se qualcuno tenta di eseguire il ping dall'esterno del nostro IP pubblico, lascerà automaticamente cadere il pacchetto. Esistono router domestici e operatori che ci consentono di configurare il firewall e abbiamo anche un'opzione specifica per bloccare il ping sulla rete WAN Internet.

Blocca il ping di richiesta ICMP sulla WAN Internet del router

Dobbiamo ricordare che non è consigliabile bloccare tutti gli ICMP, ma solo quelli che corrispondono al "ping", cioè alla richiesta di eco Echo (richiesta) e alla risposta di eco ICMP (risposta). Alcuni tipi di ICMP sono essenziali per il corretto funzionamento della rete, soprattutto se si lavora con reti IPv6.

Cosa succede se blocciamo il ping su Internet WAN?

Tutto continuerà a funzionare come sempre, l'unica differenza è che se qualcuno dall'esterno (da Internet) ci "invia" al nostro indirizzo IP pubblico, il router non risponderà. A seconda di come abbiamo configurato il router, è possibile che anche con una scansione delle porte non venga rilevato se l'host (il router) è attivo o meno. Se non abbiamo alcun servizio in esecuzione sul router di fronte alla WAN e non abbiamo alcuna porta aperta sul router, per impostazione predefinita tutte le porte saranno chiuse e dall'esterno non saranno in grado di comunicare con noi, in questo modo, potremmo passare "inosservato", è ciò che viene chiamato sicurezza dalle tenebre.

Sebbene abbiamo disabilitato il ping sulla rete WAN Internet, saremo in grado di eseguire il ping degli host Internet senza alcun problema, senza dover aprire le porte o fare assolutamente nulla, perché l'unica cosa che stiamo facendo con questo è bloccare nel firewall dal router qualsiasi Richiesta di eco ICMP che ci raggiunge. I router normalmente utilizzano Linux sistema operativo interno per funzionare e utilizzare iptables, la regola che incorporano è la seguente:

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Questa regola blocca qualsiasi ICMP di tipo richiesta-eco che va direttamente al router stesso, il DROP -j indica che eliminerà direttamente detto pacchetto senza "dire" nulla a cui è stato inviato, ovvero scartiamo il pacchetto.

Un aspetto molto importante è che dovremmo sempre bloccare il ping sulla WAN, ma non sulla LAN, poiché se blocchiamo il ping sulla LAN, non saremo in grado di eseguire il ping sul gateway predefinito del nostro computer (che è il router), per rilevare eventuali guasti.

Sebbene molti modelli e marche di router supportino il blocco del ping sulla WAN Internet, oggi in questo articolo ti forniremo due esempi di come bloccare il ping della WAN su ASUS router e anche su qualsiasi router del produttore AVM FRITZ! Scatola .

Blocco del ping (ICMP Echo-request) sui router ASUS

Sui router ASUS, sia nel firmware del produttore che in Asuswrt-Merlin, il processo è esattamente lo stesso. Dobbiamo andare al menu di configurazione del firmware, nella " Firewall / Generale "E configurare il firewall come segue:

  • Vuoi abilitare il firewall: Sì
  • Desideri abilitare la protezione DoS: Sì
  • Tipo di pacchetto registrato: Nessuno. Se vogliamo eseguire il debug di tutti i pacchetti che passano attraverso il firewall, possiamo farlo, ma non è consigliabile averlo sempre attivato perché consumerà le risorse del router.
  • Vuoi rispondere alla richiesta di ping da WAN: No.

Come hai visto, è davvero facile disabilitare il ping dalla WAN Internet. Per quanto riguarda la configurazione IPv6, il router ASUS ha bloccato il traffico in entrata, quindi è necessario consentirlo esplicitamente nel menu di configurazione.

Blocco del ping (richiesta di eco ICMP) su AVM FRITZ! Router box

Nei router del produttore tedesco AVM possiamo anche bloccare il tipico ping su Internet WAN, per fare ciò, dobbiamo andare al menu principale del router. Nella parte in alto a destra dove appaiono i tre punti verticali, fai clic su " Modalità avanzata "Per avere tutte le opzioni di configurazione.

Fatto ciò, andiamo a « Internet / Filtri / Elenchi «, E scendiamo finché non troviamo l'opzione« Firewall in modalità invisibile «. Lo abilitiamo e facciamo clic su Applica modifiche.

Questa opzione ti consente di rifiutare tutte le richieste da Internet, come abbiamo spiegato, ed è compito di tutti farlo.

Grazie a questo ping ping su Internet WAN, al fine di individuare il nostro host (router) su Internet, devono eseguire una scansione della porta per vedere se abbiamo qualche servizio in esecuzione, sia sul router che su un server NAS sulla nostra rete Locale.