Thông thường tường lửa hệ điều hành định hướng, như pfSense hoặc OPNSense, đi kèm với tất cả lưu lượng bị chặn theo mặc định, điều này có nghĩa là nếu ai đó cố gắng ping từ bên ngoài IP công cộng của chúng tôi, họ sẽ tự động bỏ gói tin. Có các bộ định tuyến gia đình và nhà điều hành cho phép chúng tôi định cấu hình tường lửa của bạn và thậm chí chúng tôi còn có một tùy chọn cụ thể để chặn ping trên mạng WAN Internet.
Chúng ta phải nhớ rằng không nên chặn tất cả các ICMP, mà chỉ những cái tương ứng với ping ping, nghĩa là, Yêu cầu (yêu cầu) ICMP Echo và phản hồi ECMP Echo (phản hồi). Một số loại ICMP rất cần thiết cho hoạt động đúng của mạng, đặc biệt nếu bạn làm việc với mạng IPv6.
Điều gì xảy ra nếu chúng ta chặn ping trên Internet WAN?
Mọi thứ sẽ tiếp tục hoạt động như mọi khi, sự khác biệt duy nhất là nếu có ai đó từ bên ngoài (từ Internet), đưa chúng tôi vào địa chỉ IP công cộng của chúng tôi, bộ định tuyến sẽ không trả lời. Tùy thuộc vào cách chúng tôi có bộ định tuyến được định cấu hình, có thể ngay cả khi quét cổng, nó cũng không thể được phát hiện nếu máy chủ (bộ định tuyến) hoạt động hay không. Nếu chúng tôi không có bất kỳ dịch vụ nào chạy trên bộ định tuyến đối diện với mạng WAN và chúng tôi không có bất kỳ cổng mở nào trên bộ định tuyến, theo mặc định, tất cả các cổng sẽ bị đóng và từ bên ngoài chúng sẽ không thể liên lạc với chúng tôi, trong trường hợp này bằng cách nào, chúng ta có thể vượt qua «không được chú ý, là thứ được gọi là bảo mật bởi bóng tối.
Mặc dù chúng tôi đã tắt ping trên Internet WAN, chúng tôi sẽ có thể ping các máy chủ Internet mà không gặp bất kỳ sự cố nào, mà không cần phải mở cổng hoặc hoàn toàn bất cứ điều gì, bởi vì điều duy nhất chúng tôi đang làm với điều này là chặn trong tường lửa từ bộ định tuyến bất kỳ ICMP Echo Request đến với chúng tôi. Bộ định tuyến thường sử dụng Linux hệ điều hành bên trong để hoạt động và sử dụng iptables, quy tắc mà chúng kết hợp như sau:
iptables -A INPUT -p icmp -icmp-type echo-request -j DROP
Quy tắc này chặn bất kỳ ICMP nào của loại yêu cầu tiếng vang trực tiếp đến chính bộ định tuyến, -j DROP chỉ ra rằng nó sẽ loại bỏ trực tiếp gói tin mà không cần nói rằng bất cứ điều gì mà nó gửi đến, nghĩa là chúng ta sẽ loại bỏ gói.
Một khía cạnh rất quan trọng là chúng ta phải luôn chặn ping trên mạng, nhưng không phải trên mạng LAN, vì nếu chúng ta chặn ping trên mạng LAN, chúng ta sẽ không thể ping vào cổng mặc định của máy tính (là bộ định tuyến), để phát hiện bất kỳ thất bại có thể.
Mặc dù nhiều mẫu và thương hiệu bộ định tuyến hỗ trợ chặn ping trên Internet WAN, nhưng hôm nay trong bài viết này chúng tôi sẽ cung cấp cho bạn hai ví dụ về cách chặn ping trên mạng WAN. ASUS bộ định tuyến và cả trên bất kỳ bộ định tuyến nào từ nhà sản xuất AVM FRITZ! Cái hộp .
Chặn ping (ICMP Echo-request) trên bộ định tuyến ASUS
Trên các bộ định tuyến ASUS, cả trong phần sụn của nhà sản xuất và trong Asuswrt-Merlin, quy trình này hoàn toàn giống nhau. Chúng ta phải vào menu cấu hình phần sụn Tường lửa / Chung Phần và cấu hình tường lửa như sau:
- Bạn có muốn bật tường lửa không: Có
- Bạn có muốn bật bảo vệ DoS không: Có
- Loại gói đăng ký: Không có. Nếu chúng ta muốn gỡ lỗi tất cả các gói đi qua tường lửa, chúng ta có thể làm điều đó, nhưng không nên luôn kích hoạt nó vì nó sẽ tiêu tốn tài nguyên của bộ định tuyến.
- Bạn có muốn trả lời yêu cầu ping từ WAN: Không.
Như bạn đã thấy, thực sự dễ dàng vô hiệu hóa ping từ Internet WAN. Đối với cấu hình IPv6, bộ định tuyến ASUS có bất kỳ lưu lượng truy cập đến nào bị chặn, vì vậy bạn nên cho phép rõ ràng trong menu cấu hình.
Chặn ping (ICMP Echo-request) trên AVM FRITZ! Bộ định tuyến hộp
Trong các bộ định tuyến của nhà sản xuất AVM của Đức, chúng tôi cũng có thể chặn ping thông thường trên Internet WAN, để thực hiện việc này, chúng tôi phải vào menu chính của bộ định tuyến. Ở phần trên bên phải nơi xuất hiện ba điểm dọc, nhấp vào Chế độ nâng cao Để có tất cả các tùy chọn cấu hình.
Một khi điều này được thực hiện, chúng ta đi đến « Internet / Bộ lọc / Danh sách «Và chúng tôi đi xuống cho đến khi tìm thấy tùy chọn« Tường lửa ở chế độ tàng hình «. Chúng tôi kích hoạt nó và bấm vào áp dụng thay đổi.
Tùy chọn này cho phép bạn từ chối tất cả các yêu cầu từ Internet như chúng tôi đã giải thích và đó là khả năng của mọi người.
Nhờ khối ping này trên Internet WAN, để xác định vị trí máy chủ (bộ định tuyến) của chúng tôi trên Internet, họ phải thực hiện quét cổng để xem liệu chúng tôi có dịch vụ nào đang chạy không, trên bộ định tuyến hoặc trên một số máy chủ NAS trên mạng của chúng tôi địa phương.