Is deze site eigenlijk wel goed voor firewall check?

Het is een goede test maar checkt alleen poorten t/m 1024 en nog wat speciale poorten.
Je kun ook even op Shodan je eigen ip adres checken.

Wat bedoel je met relevant?
Aangezien je hem al zo lang gebruikt, is de site relevant.

Vraag is waar jij de site voor gebruikt. Denk dat je moet toetsen of je test (lees wat je wil testen) juist is, de site is alleen eeniddel.

Wat mij betreft een prima site. Elke firmware update van m'n router ga ik er even langs om iig te checken of t/m poort 1024 niets veranderd.

Tip, voor IPv6 is deze site vergelijkbaar.

Het is helemaal geen firewall check.
Het is enkel een check of je ports geforward hebt.

Kortom volkomen nutteloos, want ports forwarden stel je zelf in dus weet je dat al.

Ben(V) schreef op zaterdag 8 november 2025 @ 14:02:
Kortom volkomen nutteloos, want ports forwarden stel je zelf in dus weet je dat al.

Tenzij je wat obscuur UPnP spul hebt staan dat dit graag voor je doet zonder daar echt duidelijk over zijn.
Uiteraard dient UPnP af te staan op elke router/FW/gateway maarja...

Dan weet je dat je UPnP aan hebt staan.

Geen enkele router heeft dat tegenwoordig standaard aan staan.

[ Voor 116% gewijzigd door Ben(V) op 08-11-2025 14:12 ]

Ben(V) schreef op zaterdag 8 november 2025 @ 14:11:
Dan weet je dat je UPnP aan hebt staan.

Geen enkele router heeft dat tegenwoordig standaard aan staan.

Dat zouden we denken, maar wat ouder TPLink/Omada spul enz heeft het default AAN staan zo blijkt.
Vb TL-WR841N , staat in de handleiding.
Gelukkig denkelijk maar een klein percentage van wat er op de markt is heeft dat per default aan staan.

Niets is zo makkelijk dat alles "automagisch" werkt voor een eindgebruiker...

Tja als je een router uit de vorige eeuw gaat opzoeken

Wordt UPnP anno nu niet meer gebruikt door online games e.d. (als je als host wordt verkozen, zodat de andere spelers in de lobby je kunnen bereiken)? Of loop ik achter?

UPnP om van binnen je netwerk naar buiten te komen staat vaak wel aan standaard.
Maar de bizarre optie om UPnP op de WAN open te hebben staat tegenwoordig gelukkig meestal uit.

Eh, maar van binnen je netwerk naar buiten kan je toch al zonder UPnP?

Ik dacht dat het idee juist is dat een game (of andere applicatie) via UPnP een poort open zet, zodat andere spelers (van buiten je netwerk dus) met jou(w instantie van de game) kunnen verbinden (die dus aan de binnenkant van je NAT zit).

Of begrijp ik het nu totaal verkeerd?

[ Voor 22% gewijzigd door Lrrr op 08-11-2025 17:40 ]

uPnP is een functie waarmee een applicatie die op je PC draait een portforward kan forceren in je router.
Het is zo gevaarlijk omdat elke hacker(of besmette app of malware) die je lan binnenkomt daarmee alles van buiten naar binnen kan opengooien.
Die functionaliteit kun je in je router dus beter uitzetten.

Heeft dus niets met van binnen naar buiten te komen te maken, dat kan altijd.

Ben(V) schreef op zaterdag 8 november 2025 @ 19:01:
uPnP is een functie waarmee een applicatie die op je PC draait een portforward kan forceren in je router.
Het is zo gevaarlijk omdat elke hacker(of besmette app of malware) die je lan binnenkomt daarmee alles van buiten naar binnen kan opengooien.
Die functionaliteit kun je in je router dus beter uitzetten.

Heeft dus niets met van binnen naar buiten te komen te maken, dat kan altijd.

Juist. Tot zover had ik het begrepen.

Echter had ik ook begrepen dat als je games speelt die P2P werken, dus waarbij je een lobby maakt waarmee andere spelers dan verbinden, je UPnP juist wel nodig hebt (omdat de game zonder UPnP geen poort open kan zetten, dus dan kunnen de andere spelers niet met jou verbinden). Dan denk ik dus aan pakweg een Mario Kart-, Call of Duty-, of Splatoon-lobby.

(Bij games die niet P2P maar via een centrale server werken is dit natuurlijk niet nodig, dus Minecraft, Among Us, Runescape, etc.)

[ Voor 11% gewijzigd door Lrrr op 08-11-2025 19:32 ]

Ben(V) schreef op zaterdag 8 november 2025 @ 19:01:
uPnP is een functie waarmee een applicatie die op je PC draait een portforward kan forceren in je router.
Het is zo gevaarlijk omdat elke hacker(of besmette app of malware) die je lan binnenkomt daarmee alles van buiten naar binnen kan opengooien.
Die functionaliteit kun je in je router dus beter uitzetten.

Heeft dus niets met van binnen naar buiten te komen te maken, dat kan altijd.

Die heb ik nooit gesnapt. Want op het moment dat je al malware hebt draaien met internet verbinding, kan die toch gewoon zelf een connectie maken met een C&C server? Daar heb je geen UPNP voor nodig. En ja hij zou andere apparaten toegankelijk kunnen voor externe toegang, en die zouden dan ook gehackt kunnen worden. Behalve dat in dit geval er dus al op het interne netwerk een device met malware is, die dus ook in dit geval gewoon aan de C&C server kan vragen welke malware die op het LAN wil verspreiden, en dat allemaal zelf forwarden.

Het enige risico wat ik eigenlijk zie, is dat juist als je een volkomen legitiem iets hebt met onvoldoende beveiliging die onnodig poorten openzet. Dus dan moet je al een aantal problemen hebben, maar het kan natuurlijk wel. Want als die alleen met zijn eigen cloud servers praat, dan kan een random hacker er niet bij komen (zonder ook nog door je firewall te moeten). Als die een poort opent dan kan een hacker erbij komen, en als hij onvoldoende beveiliging zelf heeft kan hij besmet worden met malware.

En dat is één van de redenen waarom alles met cloud spul aan elkaar hangt. Wil je die applicatie wel extern beschikbaar hebben, dan zal je zonder UPNP handmatig exact hetzelfde moeten doen als wat UPNP automatisch deed. Dus het gevaar zou dan primair zijn belabberd beveiligde apparaten / applicaties die poorten open zetten terwijl dat niet noodzakelijk is. Maar ik laat me graag corrigeren als ik wat groots mis .

@Lrrr
Klopt er zijn nog een paar wat oudere games die uPnP vereisen, maar het sterft gelukkig uit.

@Azenomei
Een firewall regelt het blokkeren of toestaan van verkeer tussen IP-adressen, over het algemeen binnen je lan.
En een router kan geen poorten open of dicht zetten, die kan alleen maar binnenkomend verkeer via een bepaalde poort of reeks van porten forwarden naar een Ip adres in je lan.
De kreet open of dicht creëert verwarring.

Wat die site doet is testen of op het wan IP adres van je router hij een reactie krijgt van een probe naar een aantal veel gebruikte poorten.
Elke router zal daar gewoon niet op reageren, behalve als er een port geforward is naar een Ip adres op je lan, dan stuurt die router die probe door naar dat IP adres, waarna het aan het device op dat IP adres is om daar al dan niet op te reageren.
Kortom je ziet hooguit of je iets geforward hebt, maar dat weet je al want die forwards moet je zelf instellen in je router.
Tenzij je uPnP hebt ingesteld want dan kan een applicatie ergens op je lan die poorten willekeuring forwarden of weer niet forwarden.

@Sissors
Je hebt grotendeels gelijk, behalve als je het over oude games hebt waarbij een van de spelers als het ware de C&C server speelt, die willen portforwards hebben, tegenwoorden werken die games met een uitnodiging, waarbij de connectie vanuit die centrale server worden opgezet.

Als je zelf forward ga je ervan uit dat op het target Ip adres een applicatie draait die alles wat naar dat Ip adres geforward wordt netjes afvangt en alleen de juiste data verwerkt.

Als je uPnP aan hebt staan kan een applicatie, game of een browser click een poort forwarden die dan van buiten te gebruiken is door een hacker of botnet.
Zo'n applicatie hoeft maar enkel bytes code toegevoegd gekregen te hebben om die poorten te forwarden.

Ben(V) schreef op zaterdag 8 november 2025 @ 14:02:
Kortom volkomen nutteloos, want ports forwarden stel je zelf in dus weet je dat al.

Te kort door de bocht, je kunt het best als middel gebruiken om te checken of er niets ongewenst is gebeurd. UPnP kan immers óók poorten forwarden en dat kan ook best misbruikt worden.

Edit: zie nu pas dat discussie verder ging en dit een reactie van gisteren is. New culpa.

[ Voor 20% gewijzigd door CH4OS op 09-11-2025 10:09 ]

Lrrr schreef op zaterdag 8 november 2025 @ 17:38:
Eh, maar van binnen je netwerk naar buiten kan je toch al zonder UPnP?

Ik dacht dat het idee juist is dat een game (of andere applicatie) via UPnP een poort open zet, zodat andere spelers (van buiten je netwerk dus) met jou(w instantie van de game) kunnen verbinden (die dus aan de binnenkant van je NAT zit).

Of begrijp ik het nu totaal verkeerd?

Een router kan op poort 1900 op de LAN interfaces luisteren naar UPnP commandos.
Een router kan op poort 1900 op de WAN interface luisteren naar UPnP commandos. <--- dit is bizar

[ Voor 3% gewijzigd door Juup op 09-11-2025 14:54 ]

Juup schreef op zondag 9 november 2025 @ 14:53:
[...]

Een router kan op poort 1900 op de LAN interfaces luisteren naar UPnP commandos.
Een router kan op poort 1900 op de WAN interface luisteren naar UPnP commandos. <--- dit is bizar

Maar zijn er dan dus echt routers (geweest) die aan de WAN-kant naar UPnP luisteren?! Dat lijkt me inderdaad redelijk bizar.

Ja daar heeft Steve speciaal deze test voor gemaakt:
https://www.grc.com/su/upnp-rejected.htm

Azenomei schreef op zaterdag 8 november 2025 @ 09:58:
Mijn vraag
Ik gebruik al sinds de jaren 90 de site grc.com (de shields up service) om firewalls te checken. En ik vraag me eigenlijk af of dit na 30 jaar nog steeds relevant is.

Je test hier slechts 1 functie van de router: inkomend TCP verkeer blokkeren.
Inkomend UDP verkeer lijkt helemaal niet getest te worden.
Deze site vertelt je bij wijze van spreke dat je heel goed digitaal verstoppertje kan spelen, terwijl je voeten overduidelijk onder het gordijn uitsteken.

Met deze site mis je ook allerlei functies die routers tegenwoordig hebben voor uitgaand verkeer, zoals IDS/IPS. Om bij het voorbeeld van verstoppertje spelen te blijven: deze site vertelt je dat je goed bent in verstoppertje spelen, terwijl je telefoon je positie allang heeft doorgegeven.

Daarnaast kan je je afvragen: wat vertelt deze test je nu eigenlijk? Ben je echt goed bezig door te goed verstoppen, terwijl de kans groter is dat je ziek wordt van het koekje dat je aan het eten bent?

FredvZ schreef op zondag 9 november 2025 @ 19:07:
Daarnaast kan je je afvragen: wat vertelt deze test je nu eigenlijk? Ben je echt goed bezig door te goed verstoppen, terwijl de kans groter is dat je ziek wordt van het koekje dat je aan het eten bent?

Ik gebruik die site om te checken of ik idd goed verstoppertje aan het spelen ben en of een pingtest / poostscan inderdaad gedropped wordt zoals 'k heb ingesteld. Nee, het is geen alomvattende scan/audit om me online veilig te wanen. Maar wel iets of een minimaal begin...

Kan me heugen dat een buggy provider-firmware update ooit onbedoeld poort 53 (ofzo) open had gezet, met geen mogelijkheid dit dicht te zetten. Rond 2011 was ik er achter gekomen dat m'n Sitecom N300 router destijds een open poortje had.

't Zit nog altijd in m'n workflow om na een firmware update even te scannen....

Met een thuisrouter is het tegenwoordig standaard best goed en is het overzichtelijk wat er open staat.

Bij zakelijke omgevingen is het vaak een mix van centraal, globale ruleset, overrides, nat, os services etc etc dat ik daar zeker een nmap adviseer na een firewall deploy/update.

Bij mijn weten is er nog nooit een router op de markt geweest die zo krankzinnig ontworpen was dat je vanaf de wan kant met uPnP commando's port forwards kon instellen.
Dat is ongeveer net zoiets als je lan rechtstreeks op het internet te koppelen.