Zazwyczaj systemy operacyjne zorientowane na firewall, takie jak pfSense lub OPNSense domyślnie blokują cały ruch, co oznacza, że jeśli ktoś spróbuje pingować nasz publiczny adres IP z zewnątrz, pakiet automatycznie zostanie odrzucony. Istnieją routery domowe i samochodowe, które pozwalają nam skonfigurować zaporę sieciową, a nawet mamy specjalną opcję zapobiegającą pingowaniu w sieci WAN w Internecie.
Musimy pamiętać, że nie zaleca się blokowania wszystkich ICMP, a jedynie tych, które pasują do pingu, czyli ICMP Echo Request i ICMP Echo Reply. Niektóre typy protokołu ICMP są wymagane do prawidłowego działania sieci, zwłaszcza w przypadku pracy z sieciami IPv6.
Co się stanie, jeśli zablokujemy ping do Internetu WAN?
Wszystko będzie dalej działać normalnie, jedyną różnicą jest to, że jeśli ktoś z zewnątrz (z Internetu) „uszczypnie” nasz publiczny adres IP, router nie zareaguje. W zależności od konfiguracji routera, nawet skanowanie portów może nie być w stanie wykryć, czy host (router) jest aktywny, czy nie. Jeśli nie mamy uruchomionej usługi na routerze zwróconym w stronę WAN i nie mamy otwartego portu na routerze, domyślnie wszystkie porty będą zamknięte i na zewnątrz nie będzie w stanie się z nami komunikować, w takim przypadku trasa może idź „niezauważony”, to się nazywa ochrona przed ciemnością.
Chociaż wyłączyliśmy ping w Internecie WAN, będziemy mogli pingować hosty internetowe bez żadnych problemów bez konieczności otwierania jakichkolwiek portów lub robienia czegokolwiek, ponieważ wszystko, co możemy zrobić, to zablokować echo zapory ogniowej każdego żądania ICMP, które do nas przychodzi z router. Routery zazwyczaj używają systemu operacyjnego Linux do uruchamiania i używania iptables, przy czym zasada jest taka, że są one osadzone w następujący sposób:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Ta reguła wyklucza każde żądanie echa ICMP, które trafia bezpośrednio do samego routera, opcja -j DROP wskazuje, że odrzuci ten pakiet bezpośrednio bez „mówienia” czegokolwiek nadawcy, tj. że odrzucamy pakiet.
Bardzo ważnym aspektem jest to, że musimy zawsze blokować ping na WAN, ale nie na LAN, ponieważ jeśli zablokujemy ping na LAN, nie będziemy mogli pingować domyślnej bramy naszego komputera (czyli routera) w celu wykrycia wszelkie uszkodzenia.
Podczas gdy wiele modeli routerów i marek obsługuje blokowanie WAN Ping w Internecie, dzisiaj na RedesZone przedstawimy dwa przykłady blokowania WAN Ping na routerach ASUS, a także na dowolnym AVM FRITZ! Skrzynka.
Blok ping (żądanie ICMP Echo) na routerach ASUS
W przypadku routerów ASUS, zarówno w oprogramowaniu producenta, jak i w Asuswrt-Merlin, proces jest dokładnie taki sam. Musisz przejść do menu konfiguracji oprogramowania układowego pod adresem nagłówek « Zapora / Ogólne I skonfiguruj zaporę w następujący sposób:
- Czy chcesz aktywować zaporę: Tak
- Czy chcesz włączyć ochronę DoS: Tak
- Rodzaj zarejestrowanych opakowań: Brak. Jeśli chcemy wykryć błędy we wszystkich pakietach, które przechodzą przez zaporę, możemy to zrobić, ale nie zawsze jest to zalecane, ponieważ spowoduje to zużycie zasobów routera.
- Czy chcesz odpowiedzieć na żądanie ping WAN: Nie.
Jak już zauważyłeś, wyłączenie WAN Internet Ping jest bardzo łatwe. Jeśli chodzi o ustawienia IPv6, ruch z routera ASUS jest zablokowany, więc musisz wyraźnie zezwolić na to w menu ustawień.
Blok ping (żądanie echa ICMP) w AVM FRITZ! Skrzynka
Na routerach niemieckiego producenta AVM możemy też zablokować typowy ping w internetowej sieci WAN, więc musimy przejść do menu głównego routera. W prawym górnym rogu, gdzie pojawiają się trzy pionowe kropki, kliknij „ Zaawansowana operacja »Dla wszystkich opcji konfiguracyjnych.
Po zakończeniu wchodzimy „ Internet / Filtry / Listy „I schodzimy w dół, aż znajdziemy opcję” Zapora w trybie ukrycia ”. Aktywuj go i kliknij Zastosuj zmiany.
Ta opcja umożliwia odrzucanie wszystkich żądań z Internetu, jak już wyjaśniliśmy, i jest dostępna dla wszystkich.
Blokując pingi w internetowej sieci WAN, aby zlokalizować nasz serwer (router) w Internecie, muszą wykonać skanowanie portów, aby sprawdzić, czy mamy uruchomioną usługę, na routerze lub na NAS w naszej sieci lokalnej.