Ответить на ping-запросы от wan asus, что это такое

Обновлено: 23.11.2024

Ping (эхо-запрос) – это утилита администрирования компьютерной сети, используемая для проверки доступности хоста в сети Интернет-протокола (IP) и измерения времени приема-передачи. Некоторые программные брандмауэры, а также маршрутизаторы NAT могут блокировать ping-запросы, чтобы «скрыть» ваш внешний IP-адрес и предотвратить любую реакцию на потенциальных злоумышленников, а также предотвратить возможные атаки типа «отказ в обслуживании» в форме ping-флуда, при котором злоумышленник перегружает жертву пакетами эхо-запросов ICMP.

В более широком смысле ping также может использоваться для описания передачи любого сообщения с целью обнаружения или тестирования/идентификации сетевого устройства и измерения задержки. Такие эхо-запросы не обязательно могут использовать пакеты ICMP, другой распространенной практикой является использование UDP (протокол пользовательских дейтаграмм). Обычно для целей идентификации с использованием TCP/UDP вместо ICMP используется порт 113 (ident)

Некоторым законным программам, таким как IRC, онлайн-игры и сетевые инструменты, может потребоваться, чтобы ваш компьютер был "пингуемым". Для этого вам нужно будет сначала определить, какое устройство/программное обеспечение в вашей локальной сети блокирует ping-запросы. Обычно это может быть аппаратный маршрутизатор/модем или программный брандмауэр.

Чтобы включить эхо-запросы (ping) за маршрутизатором NAT, вы должны войти в маршрутизатор и явно настроить его для ответа на эхо-запросы ICMP через его порт WAN. У нас есть ссылки на руководства более 2500 распространенных маршрутизаторов/брандмауэров, перечисленных в нашей базе данных оборудования.

Примечания.
Большинство компьютеров по умолчанию автоматически отвечают на эхо-запрос ICMP (ping). Если вы не можете пропинговать компьютер, скорее всего, он находится за маршрутизатором NAT или каким-либо брандмауэром.
Многие маршрутизаторы/шлюзы блокируют эхо-запросы ICMP (или просто сбрасывают ICMP при высокой нагрузке).
ICMP — это бессессионный протокол, в котором не используются «порты». Это конструкция, используемая некоторыми протоколами, такими как TCP/UDP, для поддержания постоянного соединения между компьютерами.
В Unix-подобных ОС Утилита traceroute по умолчанию использует UDP, а под Windows tracert использует ICMP.

Понимание проблемы «Маршрутизатор доступен для проверки связи из Интернета»

"Ping" – это интернет-протокол, который помогает одному компьютеру определить, работает ли другой компьютер и находится ли он в сети. Это бесценно для корпоративных серверов, но не так важно для домашних сетей.

Хакеры начали использовать Ping при поиске домашних сетей для атаки, поэтому рекомендуется по возможности отключать его на домашних маршрутизаторах. К сожалению, некоторые маршрутизаторы не позволяют отключить эту функцию, но если это возможно, это стоит сделать.

Каков риск нерешения этой проблемы?

Хакеры по всему миру часто сканируют весь Интернет в поисках потенциальных целей для атаки. Поскольку Интернет настолько огромен, они не хотят тратить свое время на попытки взломать что-то бесполезное. Вот почему они используют Ping — чтобы увидеть, есть ли что-то на определенном IP-адресе, что стоит атаковать. Если ничего не отвечает, они часто переходят к следующему IP-адресу.

Если у вас есть веская причина, по которой ваша домашняя сеть должна отвечать на случайные запросы Ping из Интернета, то обязательно оставьте этот параметр включенным. Но для подавляющего большинства домашних сетей гораздо безопаснее отключить это. Также обратите внимание, что многие производители маршрутизаторов, к сожалению, оставляют эту функцию включенной по умолчанию.

Документация поставщика

Часто полезно просмотреть документацию маршрутизатора, чтобы узнать, как устранить проблемы. Перейдите на сайт поддержки поставщика, где можно загрузить документацию.

Как решить проблему «Роутер пингуется из Интернета»

Шаг 1. Войдите в свой маршрутизатор

Вы используете веб-браузер для взаимодействия с маршрутизатором и устранения проблем с его конфигурацией. Однако, прежде чем вы сможете взаимодействовать с браузером, вы должны войти в него. RouterCheck может дать вам подробные инструкции по входу в ваш маршрутизатор.

Шаг 2. Если вы успешно вошли в систему, откроется домашняя страница вашего маршрутизатора.

Главная страница

Шаг 3. Перейдите на страницу настроек WAN.

Вы хотите найти страницу с настройками взаимодействия маршрутизатора с внешним Интернетом. Название страницы может быть похоже на:

• Свойства обозревателя
• Параметры глобальной сети
• Брандмауэр
• Переадресация портов

Перейдите на эту страницу, нажав соответствующие пункты меню и кнопки.

Шаг 4. В случае успеха откроется страница настроек WAN вашего маршрутизатора.

Страница настроек WAN

Шаг 5. Отключите ответ на эхо-запросы из Интернета

Убедитесь, что вы оставили флажок в таком состоянии, чтобы маршрутизатор не отвечал на запросы Ping.

Шаг 6. Повторно запустите RouterCheck.

Теперь, когда вы устранили проблему, снова запустите RouterCheck, чтобы убедиться, что вы действительно устранили проблему.

Домашние маршрутизаторы имеют разные интерфейсы, с одной стороны, у нас есть интерфейс LAN и WLAN, к которым мы подключаем все оборудование в домашней локальной сети либо по кабелю, либо по Wi-Fi соответственно. У нас также есть интерфейс WAN, который является интернет-портом и связан с общедоступным IP-адресом. Хороший способ оставаться «скрытым» в Интернете — блокировать любой тип ICMP-запроса и не отвечать на него, таким образом, если кто-то сделает типичный «пинг» на наш IP, он не ответит, и ему нужно будет сделать Сканирование портов, чтобы узнать, работает ли хост (наш маршрутизатор).

Обычно ориентированные на брандмауэры операционные системы, такие как pfSense или OPNSense, по умолчанию блокируют весь трафик. Это означает, что если кто-то попытается пропинговать не с нашего общедоступного IP-адреса, он автоматически отбросит пакет. Существуют домашние и операторские маршрутизаторы, которые позволяют нам настроить брандмауэр, и у нас даже есть специальный параметр для блокировки проверки связи в глобальной сети Интернет.

Надо помнить, что не рекомендуется блокировать все ICMP, а только те, которые соответствуют «пингу», то есть ICMP Echo Request (запрос) и ICMP Echo Reply (ответ). Некоторые типы ICMP необходимы для правильного функционирования сети, особенно если вы работаете с сетями IPv6.

Что произойдет, если мы заблокируем пинг в глобальной сети Интернет?

Все будет продолжать работать как всегда, с той лишь разницей, что если кто-то извне (из Интернета) «пропингует» нас на наш публичный IP-адрес, роутер не ответит. В зависимости от того, как мы настроили маршрутизатор, возможно, что даже при сканировании портов невозможно определить, работает хост (маршрутизатор) или нет. Если у нас на роутере, выходящем в WAN, не запущен ни один сервис, и у нас нет ни одного открытого порта на роутере, то по умолчанию все порты будут закрыты и извне они не смогут с нами связаться, в этом образом, мы могли бы пройти «незамеченными», это то, что называется безопасностью темнотой.

Несмотря на то, что мы отключили пинг в глобальной сети Интернет, мы сможем без проблем пинговать хосты в Интернете, не открывая порты и не делая абсолютно ничего, потому что единственное, что мы делаем при этом, — это блокируем брандмауэр от маршрутизатору любой дошедший до нас эхо-запрос ICMP. Маршрутизаторы обычно используют для работы операционную систему Linux и используют iptables. Правило, которое они включают, следующее:

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Это правило блокирует любой ICMP типа эхо-запрос, который идет непосредственно к самому маршрутизатору, -j DROP указывает, что он будет напрямую удалять указанный пакет, не «говоря» ничего, на что он был отправлен, то есть мы отбрасываем пакет.

Очень важным аспектом является то, что мы всегда должны блокировать проверку связи в глобальной сети, но не в локальной сети, поскольку, если мы заблокируем проверку связи в локальной сети, мы не сможем проверить связь со шлюзом нашего компьютера по умолчанию (который является маршрутизатором). ), чтобы обнаружить любую возможную ошибку.

Несмотря на то, что многие модели и марки маршрутизаторов поддерживают блокировку пинга в глобальной сети Интернет, сегодня в этой статье мы приведем вам два примера того, как заблокировать пингование в глобальной сети на маршрутизаторах ASUS, а также на любом маршрутизаторе от производителя AVM FRITZ. ! Коробка .

Блокировать ping (эхо-запрос ICMP) на маршрутизаторах ASUS

• Хотите ли вы включить брандмауэр? Да
• Хотите ли вы включить защиту от DoS-атак? Да
• Тип зарегистрированного пакета: нет. Если мы хотим отладить все пакеты, проходящие через брандмауэр, мы можем это сделать, но не рекомендуется всегда активировать его, потому что это будет потреблять ресурсы маршрутизатора.
• Вы хотите ответить на запрос проверки связи из WAN? Нет.

Как вы уже убедились, отключить ping из глобальной сети Интернет очень просто. Что касается конфигурации IPv6, маршрутизатор ASUS блокирует любой входящий трафик, поэтому вы должны явно разрешить его в меню конфигурации.

Заблокировать ping (эхо-запрос ICMP) на AVM FRITZ! Коробчатые маршрутизаторы

В маршрутизаторах немецкого производителя AVM мы также можем заблокировать типичный пинг в Интернете WAN, для этого мы должны зайти в главное меню маршрутизатора. В верхней правой части, где появляются три вертикальные точки, нажмите «Расширенный режим», чтобы получить доступ ко всем параметрам конфигурации.

После того, как это будет сделано, мы идем в «Интернет/Фильтры/Списки» и спускаемся вниз, пока не найдем опцию «Брандмауэр в скрытом режиме». Мы включаем его и нажимаем применить изменения.

Эта опция позволяет вам отклонять все запросы из Интернета, как мы объяснили, и сделать это может каждый.

Благодаря этому блоку проверки связи в глобальной сети Интернет, чтобы найти наш хост (маршрутизатор) в Интернете, они должны выполнить сканирование портов, чтобы увидеть, работает ли у нас какая-либо служба либо на маршрутизаторе, либо на каком-либо сервере NAS. в нашей локальной сети.

Я могу себе представить, что не отвечать на запросы PING из WAN было бы неплохо с точки зрения безопасности домашней сети. Но могут ли быть в этом какие-то минусы?

Я предполагаю, что игры реализуют свои собственные PING, так что это не должно быть затронуто. Как насчет SSH-соединений и других, более пользовательских вещей?

С другой стороны, я не могу представить, как отсутствие ответов на эхо-запросы ICMP вообще повысит безопасность. Хочешь объяснить?

2 ответа 2

У вас не должно возникнуть никаких проблем с отключением "ping". Так называемый Ping — это еще один термин для «эхо-запроса IMCP» или «эхо-ответа ICMP», где ICMP — это сетевой протокол. Если вы «пингуете» что-то, вы отправляете запрос на эту машину. Если машина получает такой пакет запроса, она отвечает эхо-ответом ICMP. Если вы отключите "Ping from WAN", вы просто сообщите своему маршрутизатору, что он не должен заботиться о каких-либо эхо-запросах ICMP, отправленных вам.

Это также не должно повлиять ни на одну игру. Подсказка: если игровой сервер где-то в Интернете попытается пропинговать вас (по какой-либо причине, по которой программист может захотеть это сделать), машина, на которой запущена ваша игра, не ответит, потому что маршрутизатор отвечает на этот пинг-запрос.

Относительно вашего вопроса по SSH. Это никак не повлияет. SSH — это еще один сетевой протокол, такой как ICMP. Эти протоколы не связаны, так что вы можете безопасно отключить "Ping from WAN"

В зависимости от вашего маршрутизатора отключение Ping может иметь негативные последствия. Если ваш маршрутизатор просто игнорирует пакеты эхо-запросов ICMP, все будет в порядке, как описано @Layticia.

С другой стороны, если ваш маршрутизатор игнорирует ВСЕ запросы ICMP, когда вы отключили Ping, вы можете столкнуться с несколькими проблемами.

Ваш маршрутизатор должен принимать как минимум типы ICMP 0, 3 (все коды), 4, 5 (все коды), 11 (все коды) и 12 (все коды). Отбрасывание этих типов может привести к перегрузке канала и сбою жизненно важных процессов, таких как «Обнаружение MTU пути». В некоторых случаях, если обнаружение PMTU дает сбой, вы можете увидеть очень низкую пропускную способность вашего канала, потерянные пакеты и соединения или другие проблемы, которые могут повлиять на производительность и стабильность вашего соединения.

ICMP жизненно важен для контроля перегрузки и обмена сообщениями о состоянии между интернет-хостами. Отключение ответов на пакеты эхо-запросов ICMP дает мало преимуществ с точки зрения безопасности, поскольку существуют другие способы определить, присутствует ли узел на заданном IP-адресе.

Читайте также:

  
• Intel core i5 m460 какого поколения
  
• Как отключить загрузку приложений на всех устройствах Apple
  
• Настройка BIOS на ноутбуке acer aspire v3 571g
  
• Обзор Hp 15 db1261ur
  
• Как создать Apple ID в Крыму