Firewall sul router di casa: configurazione base

Il firewall integrato nel router è la prima linea di difesa della tua rete. Nella configurazione di default funziona abbastanza bene, ma con qualche regola aggiuntiva puoi aumentare significativamente la sicurezza senza rinunciare alla comodità.

Come funziona il firewall del router

Il firewall esamina i pacchetti in entrata e uscita e decide se lasciarli passare o bloccarli in base a regole definite. La maggior parte dei router casalinghi usa una modalità stateful: tiene traccia delle connessioni aperte e permette automaticamente il traffico di risposta.

In pratica:

• Tutto il traffico iniziato dall'interno verso Internet è permesso (salvo eccezioni)
• Tutto il traffico iniziato dall'esterno è bloccato per default
• Solo le porte aperte con port forwarding accettano connessioni dall'esterno

Le regole di default sono sicure?

Per la maggior parte degli utenti, sì. Il NAT stesso agisce come una forma di firewall implicito. Però ci sono scenari in cui vale la pena aggiungere regole:

Regole utili da aggiungere

1. Blocca la gestione da WAN

Molti router hanno per default l'amministrazione web accessibile anche dall'IP pubblico. Questo è un rischio — chiunque può tentare di fare brute-force sulla password di admin.

Nei router con interfaccia semplice: cerca "Remote Management" o "Web Access from WAN" e disabilitalo. Su MikroTik:

/ip service
set www disabled=yes
set ssh address=192.168.0.0/24  # Solo da LAN

2. Limita il ping dall'esterno

Rispondere ai ping dall'IP pubblico non è necessario e rivela che l'IP è attivo. Puoi disabilitarlo:

# MikroTik
/ip firewall filter
add chain=input protocol=icmp in-interface=pppoe-out1 action=drop comment="Drop ping da WAN"

3. Blocca porte di gestione su WAN

Anche se l'interfaccia web è disabilitata su WAN, verifica che Telnet (23), SSH (22) e Winbox (8291 su MikroTik) non siano accessibili dall'esterno.

4. Log delle connessioni sospette

Abilita il log per tentativi di connessione a porte non aperte — utile per rilevare scansioni:

/ip firewall filter
add chain=input in-interface=pppoe-out1 action=log log-prefix="WAN-scan:" comment="Log tentativi WAN"
add chain=input in-interface=pppoe-out1 action=drop

5. Filtra i DNS non richiesti

Blocca le richieste DNS in uscita verso server diversi dal tuo, per impedire che malware usi DNS custom:

/ip firewall nat
add chain=dstnat dst-port=53 protocol=udp dst-address=!192.168.1.1 action=redirect to-ports=53

Per router consumer (Fritz!Box, ASUS, TP-Link)

Le interfacce grafiche sono più semplici ma meno granulari. I passi essenziali:

• Disabilita "Enable Remote Access" nelle impostazioni Internet
• Verifica che UPnP sia abilitato solo se necessario
• Controlla il log periodicamente nella sezione "Firewall" o "Security Log"

IPv6 e firewall

Con IPv6 ogni dispositivo ha un IP pubblico direttamente — il NAT IPv4 non protegge più. È essenziale che il firewall blocchi esplicitamente le connessioni in ingresso su IPv6.

Verifica che il router applichi le stesse regole di drop su interfaccia WAN6/pppoe-ipv6 o simile.