ルーターのインターネットWANでICMP要求のpingをブロックする方法

29年2020月XNUMX日 マット・ミルズ , インターネット 0

ホームルーターにはさまざまなインターフェイスがあり、一方でLANとWLANのインターフェイスがあり、ホームローカルネットワーク上のすべての機器をそれぞれケーブル経由またはWi-Fi経由で接続します。 また、インターネットポートであり、パブリックIPアドレスに関連付けられているWANインターフェイスもあります。 インターネット上で「非表示」のままにしておく良い方法は、ICMP要求タイプをブロックして応答しないことです。これにより、誰かが私たちのIPに通常の「ping」を実行すると、応答せず、実行する必要があります。ホスト(ルーター)が起動しているかどうかを確認するポートスキャン。

通常は ファイアウォール pfSenseやOPNSenseなどの指向オペレーティングシステムでは、デフォルトですべてのトラフィックがブロックされます。つまり、誰かがパブリックIPの外部からpingを実行しようとすると、パケットは自動的にドロップされます。 ファイアウォールを構成できるホームルーターとオペレータールーターがあり、インターネットWANでのpingをブロックする特定のオプションもあります。

ルーターのインターネットWANでICMP要求のpingをブロックする

すべてのICMPをブロックすることはお勧めできませんが、「ping」に対応するもの、つまりICMPエコー要求(要求)とICMPエコー応答(応答)のみをブロックすることをお勧めします。 一部のタイプのICMPは、特にIPv6ネットワークで作業する場合、ネットワークが適切に機能するために不可欠です。

インターネットWANでpingをブロックするとどうなりますか?

すべてがいつものように機能し続けますが、唯一の違いは、外部から(インターネットから)誰かが私たちをパブリックIPアドレスに「ping」すると、ルーターが応答しないことです。 ルーターの構成方法によっては、ポートスキャンを使用しても、ホスト(ルーター)が起動しているかどうかを検出できない場合があります。 WANに面しているルーターでサービスが実行されておらず、ルーターに開いているポートがない場合、デフォルトではすべてのポートが閉じられ、外部からは通信できません。そうすれば、「気付かれず」に通過することができます。これは、暗闇によるセキュリティと呼ばれるものです。

インターネットWANでのpingを無効にしましたが、ポートを開いたり、まったく何もしなくても、問題なくインターネットホストにpingを実行できます。これは、ファイアウォールでルーターからのブロックのみを行うためです。私たちに届くICMPエコーリクエスト。 ルーターは通常使用します Linux 内部のオペレーティングシステムが機能し、iptablesを利用する場合、それらに組み込まれるルールは次のとおりです。

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

このルールは、ルーター自体に直接向かうエコー要求タイプのICMPをすべてブロックします。-jDROPは、送信されたものを「言う」ことなく、そのパケットを直接排除することを示します。つまり、パケットを破棄します。

非常に重要な点は、LANではなく常にWANでpingをブロックする必要があることです。LANでpingをブロックすると、コンピューターのデフォルトゲートウェイ(ルーター)に対してpingを実行できないため、起こり得る障害を検出します。

多くのモデルとブランドのルーターがインターネットWANでのpingのブロックをサポートしていますが、本日この記事では、WANでのpingのブロック方法のXNUMXつの例を紹介します。 ASUS ルーターおよびメーカーAVMFRITZのルーターにも! ボックス。

ASUSルーターでのブロックping(ICMPエコー要求)

ASUSルーターでは、製造元のファームウェアとAsuswrt-Merlinの両方で、プロセスはまったく同じです。 で、ファームウェア構成メニューに移動する必要があります ファイアウォール/全般 」セクションで、ファイアウォールを次のように構成します。

  • ファイアウォールを有効にしますか:はい
  • DoS保護を有効にしますか:はい
  • 登録済みパッケージタイプ:なし。 ファイアウォールを通過するすべてのパケットをデバッグする場合、それを実行できますが、ルーターのリソースを消費するため、常にアクティブにすることはお勧めしません。
  • WANからのping要求に応答しますか:いいえ。

ご覧のとおり、インターネットWANからのpingを無効にするのは本当に簡単です。 IPv6構成については、ASUSルーターで着信トラフィックがブロックされているため、構成メニューで明示的に許可する必要があります。

AVMフリッツでのping(ICMPエコー要求)のブロック! ボックスルーター

ドイツのメーカーAVMのルーターでは、インターネットWANでの一般的なpingもブロックできます。これを行うには、ルーターのメインメニューに移動する必要があります。 XNUMXつの垂直点が表示される右上の部分で、「 アドバンストモード 」にすべての構成オプションがあります。

これが完了したら、«に移動します インターネット/フィルター/リスト «そして、オプションが見つかるまで降ります« ステルスモードのファイアウォール «。 それを有効にして、変更の適用をクリックします。

このオプションを使用すると、これまでに説明したように、インターネットからのすべての要求を拒否できます。拒否することは、すべての人の権限の範囲内です。

インターネットWAN上のこのpingブロックのおかげで、インターネット上でホスト(ルーター)を見つけるには、ポートスキャンを実行して、ルーター上またはネットワーク上の一部のNASサーバー上でサービスが実行されているかどうかを確認する必要があります地元。