Met deze firewall-instellingen bescherm je je wifi optimaal
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2025%2F05%2Fphoto-1563206767-5b18f218e8de.jpg)
Het internet wordt steeds slimmer en helaas, de aanvallen ook. Daarom is het belangrijker dan ooit om je thuisnetwerk goed te beschermen.
Je wifi lijkt misschien veilig. Je zit immers achter een router, je apparaten vragen om een wachtwoord, en je antivirussoftware draait netjes op de achtergrond. Maar schijn bedriegt. Dagelijks worden duizenden thuisnetwerken gescand op kwetsbaarheden. Niet alleen door professionele hackers, maar ook door geautomatiseerde bots die simpelweg op zoek zijn naar open poorten, verouderde apparaten of slecht afgeschermde IoT-gadgets. Een goede firewall is daarbij je eerste verdedigingslinie.
Die bepaalt wat er wel en niet je netwerk binnenkomt én wat eruit mag. Gelukkig hoef je geen cybersecurity-expert te zijn om je eigen firewall slimmer in te stellen. In dit artikel ontdek je vijf praktische firewallregels die je meteen kunt toepassen. Zo maak je je thuisnetwerk niet alleen veiliger, maar krijg je ook meer grip op wat er precies gebeurt binnen je digitale muren.
De veiligste firewall-instellingen voor jouw wifi
Zo zorg je ervoor dat je firewall je wifi-netwerk goed beveiligt. Deze tips zijn zeker het onthouden waard.
#1 Standaard al het inkomend verkeer blokkeren
Een van de belangrijkste vuistregels voor netwerkbeveiliging: als je er niet expliciet om hebt gevraagd, hoeft het ook niet naar binnen te komen. Door standaard al het inkomende verkeer te blokkeren, sluit je de deur voor ongevraagde verbindingen van buitenaf.
De meeste apparaten binnen je netwerk starten zelf verbindingen met externe servers (bijvoorbeeld als je een website bezoekt), en dat verkeer wordt gewoon toegestaan zolang je geen extra beperkingen hebt ingesteld.
Je voorkomt hiermee dat willekeurige poorten of services openstaan waar kwaadwillenden misbruik van kunnen maken. Zie het als een soort nachtwaker die niemand binnenlaat zonder uitnodiging. Dit is je eerste verdedigingslinie.
Een voorbeeld in UFW (Uncomplicated Firewall) op Linux:
- ufw default reject incoming
- ufw default allow outgoing
- ufw default deny routed
#2 GeoIP-blokkering instellen op jouw firewall
Hoewel je verkeer natuurlijk niet uitsluitend kunt beoordelen op basis van land van herkomst, is het een feit dat bepaalde regio’s vaker betrokken zijn bij cyberaanvallen dan andere. Door IP-adressen uit die landen standaard te blokkeren, houd je een groot deel van de ongewenste verbindingen buiten de deur.
Tools zoals OPNsense of pfSense maken het makkelijk om IP-ranges op land te blokkeren met behulp van de MaxMind GeoIP-database. Je downloadt een lijst met IP-blokken per land, en geeft aan welke je wilt toestaan of blokkeren op jouw wifi.
Let op: GeoIP-blokkering is niet waterdicht. Aanvallers kunnen gebruik maken van VPN’s of gecompromitteerde servers in ‘veilige’ landen.
#3 Netwerksegmentatie: zet IoT op een apart VLAN
Slimme lampen, thermostaten, beveiligingscamera’s, slimme koelkasten. Ze zijn allemaal handig, maar zelden goed beveiligd. Deze Internet of Things-apparaten (IoT) zijn vaak het zwakste punt in je netwerk. Daarom is het slim om ze op een eigen VLAN (virtueel netwerk) te zetten.
Op die manier kunnen ze nog steeds verbinding maken met wifi voor updates of bediening via een app, maar krijgen ze geen toegang tot je laptop, NAS of mediacenter. Mocht een van die apparaten ooit worden gehackt, dan blijft de schade beperkt tot het VLAN waar het in zit.
#4 Fail2Ban installeren tegen brute-force aanvallen
Zelfs met een goed beveiligde firewall voor jouw wifi is er nog één risico: iemand die simpelweg blijft proberen om in te loggen op je beheerpaneel. Fail2Ban is een handige tool die brute-force aanvallen herkent en automatisch de IP-adressen blokkeert die zich verdacht gedragen.
Het werkt heel simpel: Fail2Ban monitort logboeken van bijvoorbeeld SSH of je webinterface. Zodra er een bepaald aantal mislukte inlogpogingen binnen een bepaalde tijd plaatsvindt, wordt het IP-adres tijdelijk of permanent geblokkeerd. Bijvoorbeeld na 5 mislukte pogingen in 10 minuten.
#5 Blokkeer onnodige uitgaande poorten
Beveiliging gaat niet alleen over wat er binnenkomt, maar ook over wat er naar buiten gaat. Kwaadaardige software probeert vaak ‘naar huis te bellen’ via ongebruikelijke poorten. Door standaard uitgaand verkeer te beperken tot alleen de echt nodige poorten, snij je veel van die pogingen direct af.
Een paar veelgebruikte (en vaak noodzakelijke) poorten zijn:
- 80 & 443: Voor HTTP/HTTPS-verkeer (websites)
- 53: Voor DNS-verzoeken
- 123: Voor tijdsynchronisatie via NTP
- 67: Voor IP-adresverdeling via DHCP
Maar poorten zoals 25 (SMTP), 445 (SMB) of ongebruikte FTP-poorten kunnen je wifi onnodig kwetsbaar maken. Tenzij je ze bewust gebruikt, kun je ze beter blokkeren.
Deze wifi router-instellingen moet je meteen veranderen voor je veiligheid
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2025%2F06%2Fphoto-1722316805351-d5a56965f926.jpg)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2025%2F06%2FANP-526166153.jpg)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2025%2F06%2FApple-WWDC25-iOS-26-CarPlay-Ultra.png)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2025%2F06%2Fphoto-1613280194169-6bb2f32a6bfa-_1_.jpg)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2025%2F06%2FTrump-mobile-t1-2.png)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2025%2F06%2FOakley-Sphaera-glass.png)