Routerele de acasă au interfețe diferite, pe de o parte, avem interfața LAN și WLAN, unde conectăm toate echipamentele din rețeaua locală, fie prin cablu, fie prin Wi-Fi. Avem, de asemenea, interfața WAN, care este portul de internet, și care este asociată cu adresa IP publică. O modalitate bună de a rămâne „ascuns” pe Internet este să blocați orice tip de solicitare ICMP și să nu răspundeți, în acest fel, dacă cineva face „ping” tipic IP-ului nostru, nu va răspunde și va trebui să facă un Scanarea portului pentru a afla dacă gazda (routerul nostru) a funcționat.
În mod normal firewall sistemele de operare orientate, cum ar fi pfSense sau OPNSense, vin cu tot traficul blocat în mod implicit, aceasta înseamnă că, dacă cineva încearcă să facă ping din afara IP-ului nostru public, va renunța automat la pachet. Există routere de acasă și de operator care ne permit să vă configurăm firewall-ul și chiar avem o opțiune specifică pentru a bloca ping-ul pe internetul WAN.
Trebuie să ne amintim că nu este recomandat să blocați toate ICMP-urile, ci doar cele care corespund „pingului”, adică Solicitarea (solicitarea) de ecou ICMP și Răspunsul de răspuns ICMP (răspuns). Unele tipuri de ICMP sunt esențiale pentru buna funcționare a rețelei, mai ales dacă lucrați cu rețele IPv6.
Ce se întâmplă dacă blocăm ping-ul de pe internet WAN?
Totul va continua să funcționeze ca întotdeauna, singura diferență este că, dacă cineva din afară (de pe Internet) ne „pingine” pe adresa noastră publică de IP, routerul nu va răspunde. În funcție de modul în care avem routerul configurat, este posibil ca, chiar și cu un scanare port, să nu poată fi detectat dacă gazda (routerul) este sau nu. Dacă nu avem niciun serviciu care rulează pe routerul orientat către WAN și nu avem niciun port deschis pe router, implicit toate porturile vor fi închise, iar din exterior nu vor putea comunica cu noi, în acest mod, am putea trece „neobservat”, este ceea ce se numește securitate prin întuneric.
Deși am dezactivat ping-ul pe internet WAN, vom putea ping gazdele Internet fără nicio problemă, fără a fi nevoie să deschidem porturi sau să facem absolut nimic, deoarece singurul lucru pe care îl facem cu acesta este blocarea în firewall de la router Cerere de ecou ICMP care ne ajunge. Routere folosesc în mod normal Linux sistemul de operare din interior să funcționeze și să utilizeze iptables, regula pe care o încorporează este următoarea:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Această regulă blochează orice ICMP de tip echo-request care se îndreaptă direct către router-ul în sine, -j DROP indică faptul că va elimina direct pachetul menționat fără a „spune” nimic la care a fost trimis, adică aruncăm pachetul.
Un aspect foarte important este faptul că ar trebui să blocăm întotdeauna pinging-ul pe WAN, dar nu pe LAN, deoarece dacă blocăm pinging-ul pe LAN, nu vom putea să pingem pe gateway-ul implicit al computerului nostru (care este routerul), pentru a detectați orice eșec posibil.
Deși multe modele și mărci de routere acceptă blocarea pingului pe Internet WAN, astăzi în acest articol vă vom oferi două exemple despre cum să blocați pingul pe WAN ASUS routere și, de asemenea, pe orice router de la producătorul AVM FRITZ! Cutie .
Blocare ping (ICMP Echo-request) pe routere ASUS
Pe routerele ASUS, atât în firmware-ul producătorului, cât și în Asuswrt-Merlin, procesul este exact același. Trebuie să accesăm meniul de configurare al firmware-ului, în „ Firewall / General ”Secțiune și configurați firewallul după cum urmează:
- Doriți să activați firewall-ul: Da
- Doriți să activați protecția DoS: Da
- Tip de pachet înregistrat: Nici unul. Dacă dorim să depanăm toate pachetele care trec prin firewall, putem face acest lucru, dar nu este recomandat să îl avem întotdeauna activat, deoarece va consuma resurse de router.
- Doriți să răspundeți la solicitarea ping de la WAN: Nu.
După cum ați văzut, este foarte ușor să dezactivați ping-ul de pe Internet WAN. În ceea ce privește configurația IPv6, routerul ASUS are orice trafic de intrare blocat, așa că ar trebui să-l permiteți explicit în meniul de configurare.
Blocați ping-ul (solicitare ecografică ICMP) pe AVM FRITZ! Routere pentru cutii
În routerele producătorului german AVM putem bloca și ping-ul tipic pe internet WAN, pentru a face acest lucru, trebuie să mergem la meniul principal al routerului. În partea dreaptă sus, în care apar cele trei puncte verticale, faceți clic pe ” Mod avansat ”Pentru a avea toate opțiunile de configurare.
După ce se face acest lucru, mergem la „ Internet / Filtre / Liste «, Și coborâm până găsim opțiunea« Firewall în modul stealth «. O activăm și facem clic pe aplicații modificări.
Această opțiune vă permite să respingeți toate cererile de pe Internet așa cum am explicat și este în puterea tuturor să facă acest lucru.
Datorită acestui bloc de ping pe Internet WAN, pentru a localiza gazda noastră (routerul) pe Internet, trebuie să efectueze o scanare port pentru a vedea dacă avem vreun serviciu în funcțiune, fie pe router, fie pe un server NAS din rețeaua noastră. local.