l'Internet

Voici comment vous pouvez bloquer le ping sur le port Internet WAN de votre routeur

Les routeurs domestiques ont différentes interfaces, d’une part, nous avons l’interface LAN et WLAN, où nous connectons tous les équipements du réseau local domestique, soit par câble, soit via Wi-Fi respectivement. Nous avons également l’interface WAN, qui est le port Internet, et à laquelle est associée l’adresse IP publique. Un bon moyen de rester «caché» sur Internet est de bloquer toute requête de type Requête ICMP et de ne pas y répondre, de cette façon, si quelqu’un fait le «ping» typique à notre IP, il ne répondra pas, et ce sera nécessaire pour faire une analyse de port pour savoir si l’hôte (notre routeur) est opérationnel.

Normalement, les systèmes d’exploitation orientés pare-feu, comme pfSense ou OPNSense, sont livrés avec tout le trafic bloqué par défaut, cela signifie que si quelqu’un essaie de pinger notre IP publique de l’extérieur, il supprimera automatiquement le paquet. Il existe des routeurs domestiques et opérateur qui nous permettent de configurer votre pare-feu, et nous avons même une option spécifique pour bloquer le ping sur le WAN Internet.

Nous devons nous rappeler qu’il n’est pas recommandé de bloquer tous les ICMP, mais uniquement ceux qui correspondent au «ping», c’est-à-dire l’ICMP Echo Request (requête) et l’ICMP Echo Reply (réponse). Certains types d’ICMP sont indispensables au bon fonctionnement du réseau, notamment si vous travaillez avec des réseaux IPv6.

Que se passe-t-il si nous bloquons le ping sur le WAN Internet ?

Tout continuera à fonctionner comme d’habitude, la seule différence est que si quelqu’un de l’extérieur (depuis Internet) «ping» notre adresse IP publique, le routeur ne répondra pas. Selon la façon dont nous avons configuré le routeur, il est possible que même une analyse de port ne soit pas en mesure de détecter si l’hôte (le routeur) est actif ou non. Si nous n’avons aucun service en cours d’exécution dans le routeur face au WAN et que nous n’avons aucun port ouvert dans le routeur, par défaut tous les ports seront fermés et de l’extérieur, ils ne pourront pas communiquer avec nous, dans ce cas chemin, nous pourrions passer « inaperçus », c’est ce qu’on appelle la sécurité par les ténèbres.

Bien que nous ayons désactivé le ping sur le WAN Internet, nous pourrons envoyer un ping aux hôtes Internet sans aucun problème, sans avoir à ouvrir des ports ou à faire quoi que ce soit, car la seule chose que nous faisons avec cela est de bloquer le pare-feu tout écho ICMP Demande qui nous parvient du routeur. Normalement, les routeurs utilisent le système d’exploitation Linux à l’intérieur pour fonctionner, et ils utilisent iptables, la règle qu’ils intègrent est la suivante :

iptables -A INPUT  -p icmp --icmp-type echo-request -j DROP

Cette règle bloque toute requête d’écho ICMP qui va directement au routeur lui-même, le -j DROP indique qu’il supprimera directement ledit paquet sans «dire» quoi que ce soit à l’expéditeur, c’est-à-dire que nous rejetons le paquet.

Un aspect très important est que nous devons toujours bloquer le ping sur le WAN, mais pas sur le LAN, car, si nous bloquons le ping sur le LAN, nous ne pourrons pas nous cingler contre la passerelle par défaut de notre ordinateur (qui est le routeur), pour détecter d’éventuelles pannes.

Bien que de nombreux modèles et marques de routeurs prennent en charge le blocage du ping sur le WAN Internet, aujourd’hui, dans RedesZone, nous allons vous donner deux exemples de comment bloquer le ping sur le WAN dans les routeurs ASUS et aussi dans n’importe quel routeur du fabricant AVM FRITZ ! Boîte.

Bloquer le ping (ICMP Echo-request) sur les routeurs ASUS

Dans les routeurs ASUS, à la fois dans le firmware du fabricant et dans Asuswrt-Merlin, le processus est exactement le même. Il faut aller dans le menu de configuration du firmware, dans la rubrique « Pare-feu / Général » et configurer le pare-feu comme suit :

  • Voulez-vous activer le pare-feu : Oui
  • Voulez-vous activer la protection DoS : Oui
  • Type de colis enregistrés : Aucun. Si nous voulons déboguer tous les paquets qui traversent le pare-feu, nous pouvons le faire, mais il n’est pas recommandé de toujours l’activer car cela consommera des ressources du routeur.
  • Voulez-vous répondre à la requête ping du WAN : Non.

Comme vous l’avez vu, il est très facile de désactiver le ping du WAN Internet. En ce qui concerne les paramètres IPv6, le trafic entrant du routeur ASUS est bloqué, vous devez donc l’autoriser explicitement dans le menu des paramètres.

Bloquer le ping (ICMP Echo-request) sur les routeurs AVM FRITZ! Box

Dans les routeurs du fabricant allemand AVM, nous pouvons également bloquer le ping typique sur le WAN Internet, pour ce faire, nous devons aller dans le menu principal du routeur. Dans la partie supérieure droite où apparaissent les trois points verticaux, cliquez sur « Mode avancé » pour avoir toutes les options de configuration.

Une fois cela fait, on va dans » Internet / Filtres / Listes «, et on descend jusqu’à trouver l’option » Pare-feu en mode furtif «. Nous l’activons et cliquons sur appliquer les modifications.

Cette option permet de rejeter toutes les demandes provenant d’Internet comme nous l’avons expliqué, et c’est à la portée de tous de le faire.

Grâce à ce blocage du ping sur le WAN Internet, afin de localiser notre hôte (routeur) sur Internet, ils doivent effectuer un scan de port pour voir si nous avons un service en cours d’exécution, soit sur le routeur, soit sur un serveur NAS sur notre réseau local.

Articles Similaires

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba