Vraag

woensdag 4 maart 2026 10:37

Acties:
  • PeterDeTweaker
  • Registratie: Mei 2018
  • Niet online

PeterDeTweaker

Topicstarter
VRAAG 1
Als ik een poortscan laat doen (via GRC.com ShieldsUp) dan geven de eerste 1056 poorten geen TCP packets geven en dat is goed.
Maar er wordt wel een ping-reply gegeven. Volgens GRC is dat niet veilig genoeg.
Hoe kan ik zorgen dat er niet op ping wordt gereageerd?

Ik heb een standaard Ziggo modem-router (SmartWifiModem Sagecom F3896LG).
Hiervan heb ik :
UPNP uitgeschakeld
Firewal ingeschakeld
Blokkeer gefragmenteerde IP-pakketten ingeschakeld
Poortscandetectie ingeschakeld
IP-flood detectie ingeschakeld

Blokkeer gefragmenteerde IP-pakketten en Poortscandetectie waren eerst uitgeschakeld en heb ik zelf ingeschakeld. Dit maakte echter niets uit voor de PING-reply.

VRAAG2
Verder heb ik een Ubiquiti Cloud Gateway Ultra achter de Ziggo modem-router hangen. Dus nat-achter-nat. Dit gaat goed en lijkt me goed als extra beveiliging.

Het beste zou echter zijn om het modem in bridge te zetten. Dat vind ik wel spannend, want dan moet ik de beveilingingsinstellingen in de Ubiquiti zeker goed hebben staan. Welke instellingen van de Ubiquiti zijn dan belangrijk?

Alle reacties

woensdag 4 maart 2026 10:44

Acties:
  • TECHcrime
  • Registratie: Februari 2008
  • Laatst online: 14:55

TECHcrime

Ziggo in bridge zetten en al je firewall rules op je Ubiquiti instellen. ISP Modem firewalls hoef je niet op te vertrouwen.

Double NAT is een management nightmare.

In je Ubiquiti firewall kan je een WAN IN rule maken en ICMP verkeer droppen.

Verder wil je Management GUI op je WAN port uitzetten. Check je WAN IN rules goed.

woensdag 4 maart 2026 11:48

Acties:
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

NAT achter NAT hoeft helemaal geen probleem te zijn is verder vooral afhankelijk van wat je doet. Ping staat aan omdat je ISP ook wil kunnen zien of de verbinding ok is. Verder is het een keuze gezien het feit dat je alle poorten dicht hebt staan is NAT achter geen enkel probleem.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

woensdag 4 maart 2026 13:11

Acties:
  • grasmanek94
  • Registratie: Juli 2015
  • Laatst online: 09:10

grasmanek94

Weet wel dat ICMP nodig is voor (goed) functioneren van IPv6.

woensdag 4 maart 2026 14:45

Acties:
  • RonnieKo
  • Registratie: December 2020
  • Laatst online: 22-03 21:16

RonnieKo

TECHcrime schreef op woensdag 4 maart 2026 @ 10:44:
Double NAT is een management nightmare.
Hoeft geen probleem te zijn. Jarenlang zelf gehad met UPC-modem en een Apple Airport Extreme. Werkte gewoon goed. Het vervelende is als iemand het allemaal zelf wil regelen het ook moet kunnen. Dus een apparaat moet hebben wat je allemaal goed kan instellen. En weet wat je moet instellen. Anders heb je de boel juist open staan naar het internet.

woensdag 4 maart 2026 15:26

Acties:
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 16:39

Ben(V)

Die shield up testen zijn antiek.
Geen enkele router reageert daar op tenzij je zelf een port forward hebt ingesteld of uPnP aan hebt gezet.

En reageren op een ping is absoluut geen security risc en daar kun je ook niets aan veranderen.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 4 maart 2026 20:20

Acties:
  • FredvZ
  • Registratie: Februari 2002
  • Laatst online: 19:46

FredvZ

.

[ Voor 99% gewijzigd door FredvZ op 04-03-2026 20:20 ]

Spel en typfouten voorbehouden

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq