Hem routrar har olika gränssnitt, å ena sidan har vi LAN- och WLAN-gränssnittet, där vi ansluter all utrustning i det lokala hemnätverket, antingen via kabel respektive via Wi-Fi. Vi har också WAN-gränssnittet, som är Internet-porten, och som är kopplat till den offentliga IP-adressen. Ett bra sätt att förbli "dold" på Internet är att blockera alla ICMP-begäranstyp och inte svara på det här sättet, om någon gör det typiska "ping" på vår IP kommer de inte att svara, och de kommer att behöva göra en Portskanning för att ta reda på om värden (vår router) är uppe.
I vanliga fall brandvägg orienterade operativsystem, som pfSense eller OPNSense, kommer med all trafik blockerad som standard, det betyder att om någon försöker pinga utanför vår offentliga IP kommer de automatiskt att släppa paketet. Det finns hem- och operatörsroutrar som tillåter oss att konfigurera din brandvägg, och vi har till och med ett specifikt alternativ för att blockera ping på Internet WAN.
Vi måste komma ihåg att det inte rekommenderas att blockera alla ICMP, utan bara de som motsvarar "ping", det vill säga ICMP Echo Request (begäran) och ICMP Echo Answer (svar). Vissa typer av ICMP är viktiga för att nätverket ska fungera korrekt, särskilt om du arbetar med IPv6-nätverk.
Vad händer om vi blockerar pingen på Internet WAN?
Allt kommer att fortsätta fungera som alltid, den enda skillnaden är att om någon från utsidan (från Internet) "sätter" oss till vår offentliga IP-adress kommer routern inte att svara. Beroende på hur vi har routern konfigurerad är det möjligt att även med en portavsökning kan det inte upptäckas om värden (routern) är uppe eller inte. Om vi inte har någon tjänst som körs på routern vänd mot WAN, och vi inte har någon öppen port på routern, kommer som standard alla portar att stängas och från utsidan kommer de inte att kunna kommunicera med oss, i detta sätt, vi kunde passera "obemärkt", är det som kallas säkerhet genom mörker.
Även om vi har inaktiverat ping på Internet WAN, kommer vi att kunna pinga internetvärdar utan problem utan att behöva öppna portar eller göra absolut någonting, för det enda vi gör med detta är att blockera i brandväggen från routern ICMP Echo-begäran som når oss. Routrar använder normalt Linux operativsystem inuti för att arbeta och använda iptables, är regeln som de innehåller följande:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Denna regel blockerar alla ICMP av eko-förfrågningstyp som går direkt till själva routern, -j DROP indikerar att det direkt kommer att eliminera nämnda paket utan att "säga" något som det har skickats till, det vill säga vi kasserar paketet.
En mycket viktig aspekt är att vi alltid ska blockera pingning på WAN, men inte på LAN, eftersom om vi blockerar pingning på LAN, kommer vi inte att kunna pinga mot vår dators standardgateway (som är routern), till upptäck eventuella fel.
Även om många modeller och märken av routrar stöder blockering av pinging på Internet WAN, kommer vi idag i den här artikeln att ge dig två exempel på hur du blockerar pinging av WAN på ASUS routrar och även på vilken router som helst från tillverkaren AVM FRITZ! Låda .
Blockera ping (ICMP Echo-request) på ASUS-routrar
På ASUS-routrar, både i tillverkarens firmware och i Asuswrt-Merlin, är processen exakt densamma. Vi måste gå till firmware-konfigurationsmenyn i ” Brandvägg / Allmänt ”Och konfigurera brandväggen enligt följande:
- Vill du aktivera brandväggen: Ja
- Vill du aktivera DoS-skydd: Ja
- Registrerad pakettyp: Ingen. Om vi vill felsöka alla paket som går igenom brandväggen kan vi göra det, men det rekommenderas inte att alltid ha det aktiverat eftersom det kommer att konsumera routerresurser.
- Vill du svara på Ping-begäran från WAN: Nej.
Som ni har sett är det verkligen lätt att inaktivera ping från Internet WAN. Vad gäller IPv6-konfigurationen har ASUS-routern all inkommande trafik blockerad, så du bör uttryckligen tillåta den i konfigurationsmenyn.
Blockera ping (ICMP Echo-begäran) på AVM FRITZ! Box routrar
I routern hos den tyska tillverkaren AVM kan vi också blockera den typiska pingen på Internet WAN, för att göra detta måste vi gå till routerns huvudmeny. Klicka på ”i den övre högra delen där de tre vertikala punkterna visas. Avancerat läge ”För att ha alla konfigurationsalternativ.
När detta är gjort går vi till « Internet / filter / listor «, Och vi går ner tills vi hittar alternativet« Brandvägg i stealth-läge «. Vi aktiverar det och klickar på tillämpningsändringar.
Detta alternativ låter dig avvisa alla förfrågningar från Internet som vi har förklarat, och det är inom allas makt att göra det.
Tack vare detta ping-block på Internet WAN, för att hitta vår värd (router) på Internet, måste de utföra en portavsökning för att se om vi har någon tjänst som körs, antingen på routern eller på någon NAS-server i vårt nätverk lokal.