Vraag

woensdag 4 maart 2026 10:37

Acties:
  • PeterDeTweaker
  • Registratie: Mei 2018
  • Niet online

PeterDeTweaker

Topicstarter
VRAAG 1
Als ik een poortscan laat doen (via GRC.com ShieldsUp) dan geven de eerste 1056 poorten geen TCP packets geven en dat is goed.
Maar er wordt wel een ping-reply gegeven. Volgens GRC is dat niet veilig genoeg.
Hoe kan ik zorgen dat er niet op ping wordt gereageerd?

Ik heb een standaard Ziggo modem-router (SmartWifiModem Sagecom F3896LG).
Hiervan heb ik :
UPNP uitgeschakeld
Firewal ingeschakeld
Blokkeer gefragmenteerde IP-pakketten ingeschakeld
Poortscandetectie ingeschakeld
IP-flood detectie ingeschakeld

Blokkeer gefragmenteerde IP-pakketten en Poortscandetectie waren eerst uitgeschakeld en heb ik zelf ingeschakeld. Dit maakte echter niets uit voor de PING-reply.

VRAAG2
Verder heb ik een Ubiquiti Cloud Gateway Ultra achter de Ziggo modem-router hangen. Dus nat-achter-nat. Dit gaat goed en lijkt me goed als extra beveiliging.

Het beste zou echter zijn om het modem in bridge te zetten. Dat vind ik wel spannend, want dan moet ik de beveilingingsinstellingen in de Ubiquiti zeker goed hebben staan. Welke instellingen van de Ubiquiti zijn dan belangrijk?

Alle reacties

woensdag 4 maart 2026 10:44

Acties:
  • TECHcrime
  • Registratie: Februari 2008
  • Laatst online: 27-05 13:38

TECHcrime

Ziggo in bridge zetten en al je firewall rules op je Ubiquiti instellen. ISP Modem firewalls hoef je niet op te vertrouwen.

Double NAT is een management nightmare.

In je Ubiquiti firewall kan je een WAN IN rule maken en ICMP verkeer droppen.

Verder wil je Management GUI op je WAN port uitzetten. Check je WAN IN rules goed.

woensdag 4 maart 2026 11:48

Acties:
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

NAT achter NAT hoeft helemaal geen probleem te zijn is verder vooral afhankelijk van wat je doet. Ping staat aan omdat je ISP ook wil kunnen zien of de verbinding ok is. Verder is het een keuze gezien het feit dat je alle poorten dicht hebt staan is NAT achter geen enkel probleem.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

woensdag 4 maart 2026 13:11

Acties:
  • grasmanek94
  • Registratie: Juli 2015
  • Laatst online: 26-05 16:07

grasmanek94

Weet wel dat ICMP nodig is voor (goed) functioneren van IPv6.

woensdag 4 maart 2026 14:45

Acties:
  • RonnieKo
  • Registratie: December 2020
  • Laatst online: 27-05 12:41

RonnieKo

TECHcrime schreef op woensdag 4 maart 2026 @ 10:44:
Double NAT is een management nightmare.
Hoeft geen probleem te zijn. Jarenlang zelf gehad met UPC-modem en een Apple Airport Extreme. Werkte gewoon goed. Het vervelende is als iemand het allemaal zelf wil regelen het ook moet kunnen. Dus een apparaat moet hebben wat je allemaal goed kan instellen. En weet wat je moet instellen. Anders heb je de boel juist open staan naar het internet.

woensdag 4 maart 2026 15:26

Acties:
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 21:57

Ben(V)

Die shield up testen zijn antiek.
Geen enkele router reageert daar op tenzij je zelf een port forward hebt ingesteld of uPnP aan hebt gezet.

En reageren op een ping is absoluut geen security risc en daar kun je ook niets aan veranderen.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 4 maart 2026 20:20

Acties:
  • FredvZ
  • Registratie: Februari 2002
  • Laatst online: 21:07

FredvZ

.

[ Voor 99% gewijzigd door FredvZ op 04-03-2026 20:20 ]

Spel en typfouten voorbehouden

maandag 25 mei 2026 13:43

Acties:
  • Supke
  • Registratie: Augustus 2024
  • Laatst online: 26-05 00:49

Supke

grasmanek94 schreef op woensdag 4 maart 2026 @ 13:11:
Weet wel dat ICMP nodig is voor (goed) functioneren van IPv6.
Ik lees dat idd steeds en je zult vast gelijk hebben.

Ik gebruik pfSense als mijn router / firewall op mijn bridged Ziggo modem en heb al paar jaar dualstack werkend op 6 van de 8 vlans die ik gebruik. Waaronder ook een dualstack DMZ netwerk met diverse servers bereikbaar op Internet. Op de WAN interface heb ik voor zowel IPv4 als IPv6 ICMP geblokkeerd.

Ik merk nooit iets van problemen met de IPv6 verbindingen. Dus ik vraag mij af in welke situatie gaat dat een probleem vormen als je ICMPv6 op de WAN blokkeert?

dinsdag 26 mei 2026 09:20

Acties:
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 20:51

MasterL

Moderator Internet & Netwerken
Je kunt het natuurlijk gewoon blokkeren, heeft het heel veel nut voor de security?
Mwah alleen als je een aanhanger bent van de "security through obscurity" gedachtegang.. IMO niet de beste aanpak. Betreft het IPv6 verhaal, sommige mensen vergeten dat ICMP niet 1 ding is, er zijn ICMP types en in een fatsoenlijke firewall kun je deze configureren. Een "vinkje" aanzetten "block ICMPv6" blokkeert misschien alleen 128 Echo Request en 129 Echo Reply waarbij als je een ping doet het inderdaad geen response geeft. Zoek eens naar NDP (Neighbor Discovery Protocol) dan zie je snel het nut in van ICMPv6 in en dat er meer zit achter ICMP als alleen antwoorden op een ping.
Zelfs in V4 is dit ook een ding, zoek maar eens op PMTUD.

[ Voor 10% gewijzigd door MasterL op 26-05-2026 09:25 ]

Pagina: 1
Reageer