Consentire il ping su Windows 10 dal firewall con GUI e PowerShell

Consentire il ping su Windows 10 non vuol dire “aprire tutto l’ICMP”: in pratica si tratta di autorizzare il traffico Echo Request in ingresso sul profilo di rete corretto, lasciando invariato il resto del firewall. È la scelta giusta quando vuoi fare troubleshooting di reachability, verificare se l’host risponde sulla LAN, oppure testare routing e latenza senza abbassare la protezione del sistema.

© TrgtKLS • Tech, Sicurezza e Strumenti & guide per Webmaster — https://trgtkls.it — tutti i diritti riservati.

La distinzione importante è questa: il ping funziona solo se il firewall di Windows permette il tipo ICMP richiesto e il profilo attivo coincide con quello su cui hai creato la regola. Molti casi “non risponde al ping” non dipendono da Windows in sé, ma da una regola applicata al profilo sbagliato, da una policy di dominio che la sovrascrive, oppure da un firewall di terze parti che filtra prima del Windows Defender Firewall.

Prima verifica: quale profilo sta usando la scheda di rete

Prima di toccare le regole, controlla il profilo attivo. Su Windows 10 i profili possibili sono Domain, Private e Public. Se abiliti il ping solo su Private ma la macchina è in Public, continuerà a non rispondere.

Da PowerShell puoi vedere lo stato in modo rapido:

Get-NetConnectionProfile

Atteso: trovi la connessione con un campo NetworkCategory valorizzato a Private, Public o DomainAuthenticated. Se il profilo è Public, è normale che molte regole amministrative restino chiuse per default.

Se vuoi cambiare il profilo e hai un motivo preciso per farlo, puoi farlo da GUI in Impostazioni > Rete e Internet > Stato > Proprietà della connessione, oppure via PowerShell. In ambienti gestiti, però, il cambio del profilo va trattato come modifica di configurazione con impatto di sicurezza: non è una scorciatoia per far passare il ping.

Metodo GUI: abilitare il ping con Windows Defender Firewall

La via più pulita, se lavori direttamente sulla macchina, è usare l’interfaccia di Windows Defender Firewall con sicurezza avanzata. Qui puoi attivare la regola già pronta per ICMPv4 Echo Request, invece di costruirne una da zero.

1. Apri Pannello di controllo o cerca Windows Defender Firewall con sicurezza avanzata.
2. Nell’albero a sinistra vai su Regole connessioni in entrata.
3. Cerca una regola chiamata simile a File and Printer Sharing (Echo Request - ICMPv4-In) oppure in italiano una voce equivalente con Richiesta di eco - ICMPv4-In.
4. Verifica che la regola sia Abilitata.
5. Apri le proprietà della regola e controlla la scheda Avanzate: il profilo deve includere quello in uso, ad esempio Private o Domain.
6. Se vuoi permettere il ping IPv6, cerca anche la regola ICMPv6-In corrispondente.

La regola integrata è preferibile a una regola custom perché è già allineata al comportamento previsto da Windows. In molti casi è anche più semplice da auditare: se la trovi disabilitata, sai esattamente cosa è stato toccato. Se invece non è presente o è nascosta da policy aziendali, allora ha senso creare una regola dedicata.

Un dettaglio che crea confusione: la voce “File and Printer Sharing” non significa che stai aprendo SMB al mondo. Stai solo autorizzando alcuni pacchetti di diagnostica usati anche dal ping. Va comunque verificato il tipo di protocollo e il profilo, perché la stessa famiglia di regole contiene più eccezioni.

Metodo PowerShell: abilitare la regola esistente

Se vuoi un’operazione ripetibile, PowerShell è più affidabile della navigazione manuale. Prima elenca le regole che contengono ICMPv4 Echo Request:

Get-NetFirewallRule | Where-Object { $_.DisplayName -match 'ICMPv4|Echo Request|Richiesta di eco' } | Select-Object DisplayName, Enabled, Profile, Direction, Action

Atteso: una o più regole con Direction impostato su Inbound e Action su Allow. Se la regola corretta è presente ma disabilitata, puoi abilitarla con un comando mirato:

Enable-NetFirewallRule -DisplayName 'File and Printer Sharing (Echo Request - ICMPv4-In)'

Se il nome esatto cambia per localizzazione o build, usa prima la ricerca e poi passa l’identificativo più preciso. Un approccio robusto è filtrare per nome parziale e poi abilitare per Name o DisplayName confermato:

Get-NetFirewallRule | Where-Object { $_.DisplayName -like '*Echo Request*ICMPv4*' } | Format-Table -AutoSize DisplayName, Name, Enabled, Profile

Se vuoi vedere anche la regola IPv6, cerca ICMPv6 nello stesso modo. In reti dual-stack, spesso il test viene fatto con ping verso un nome DNS che risolve prima in AAAA; se hai aperto solo ICMPv4, il test può fallire e sembrare un problema di firewall quando in realtà è una questione di protocollo usato dal client.

Creare una regola dedicata quando quella pronta non basta

Se la policy locale o di dominio non espone la regola standard, puoi creare una regola inbound specifica per ICMPv4 Echo Request. Questo è utile nei laboratori, su workstation isolate o quando vuoi limitare l’eccezione a un profilo e a un nome chiaro.

New-NetFirewallRule -DisplayName 'Allow ICMPv4 Echo Request In' ` -Direction Inbound ` -Action Allow ` -Protocol ICMPv4 ` -IcmpType 8 ` -Profile Private

Qui il punto importante è il tipo ICMP: IcmpType 8 corrisponde all’Echo Request. Se vuoi autorizzare anche il ping da IPv6, il parametro cambia e va trattato separatamente con una regola dedicata, perché ICMPv6 non è un semplice clone di ICMPv4.

Non allargare il profilo a Any senza motivo. In una rete domestica può anche sembrare innocuo, ma in un contesto aziendale è una modifica più ampia del necessario. Il principio corretto è: apri solo il profilo che ti serve, sulla sola macchina che deve rispondere, per il solo traffico richiesto.

Verifica dopo la modifica: non fidarti solo della GUI

Dopo aver abilitato o creato la regola, verifica in tre punti: stato della regola, risposta del sistema, e eventuale filtro esterno.

1. Controlla che la regola sia davvero attiva:

Get-NetFirewallRule | Where-Object { $_.DisplayName -like '*Echo Request*' } | Select-Object DisplayName, Enabled, Profile, Direction, Action

1. Dal client di test esegui un ping verso l’host Windows 10:

ping 192.168.1.50

Atteso: risposte con tempi in millisecondi e perdita pacchetti pari a zero o comunque coerente con la rete. Se continui a vedere Request timed out, il problema non è automaticamente il firewall locale: può esserci un firewall perimetrale, un AP con client isolation, un profilo di rete errato o una policy di dominio che blocca l’eccezione.

Per isolare il layer, usa un test locale e uno remoto. Da un altro host nella stessa subnet prova il ping, poi verifica la raggiungibilità con una connessione più semplice, ad esempio una porta TCP se il servizio esiste. Se il ping fallisce ma altri servizi rispondono, il blocco è specifico per ICMP e non per la connettività generale.

Quando il ping continua a non rispondere

Se la regola è abilitata ma il ping resta muto, i casi più frequenti sono tre. Primo: stai modificando il profilo sbagliato. Secondo: c’è un firewall di terze parti che filtra prima di Windows Defender Firewall. Terzo: la macchina è raggiungibile solo da un segmento specifico e il traffico ICMP viene filtrato a monte.

Per falsificare rapidamente queste ipotesi, controlla:

1. Profilo attivo: Get-NetConnectionProfile e confronto con il profilo della regola.
2. Regola effettiva: Get-NetFirewallRule e verifica di Enabled=True.
3. Filtro esterno: presenza di software security endpoint, policy MDM o appliance di rete che blocca ICMP.

Se sei in dominio, considera anche le Group Policy. In quel caso la modifica locale può essere sovrascritta al refresh della policy. La verifica utile è guardare se la regola è marcata come gestita da criteri o se compare una policy applicata nel risultato di gpresult.

Comando utile per il controllo rapido delle policy:

gpresult /r

Se vuoi un report più leggibile, esportalo in HTML e cerca le sezioni legate a firewall e security settings. In ambiente amministrato, è spesso lì che si trova la spiegazione del comportamento “torna chiuso da solo”.

Ripristino e rollback: tornare indietro senza lasciare eccezioni aperte

Ogni eccezione di ping va trattata come temporanea se è nata per troubleshooting. Il rollback ideale è semplice: disabilitare la regola appena finito il test, oppure rimuovere quella custom se l’hai creata apposta.

Disable-NetFirewallRule -DisplayName 'Allow ICMPv4 Echo Request In'

Se hai creato una regola ad hoc e vuoi eliminarla del tutto:

Remove-NetFirewallRule -DisplayName 'Allow ICMPv4 Echo Request In'

Prima di rimuovere o disabilitare, annota il nome esatto della regola e il profilo su cui era attiva. In caso di ambiente condiviso, questo è il minimo per evitare di lasciare aperta una porta diagnostica non più necessaria.

Nota pratica su ICMPv6 e ambienti dual-stack

Su reti moderne non basta pensare solo a IPv4. Se il client usa IPv6, il ping verso il nome host può risolversi su AAAA e colpire la parte ICMPv6. Se hai aperto solo ICMPv4, il test fallisce e il problema sembra “strano” solo perché la risoluzione DNS ha scelto un altro stack.

Per evitare ambiguità, prova entrambe le famiglie:

ping -4 nomehost
ping -6 nomehost

Se -4 funziona e -6 no, hai già identificato il layer: non è un problema di connettività generale, ma di regole o raggiungibilità sul canale IPv6. Questo è utile soprattutto quando il firewall del client o quello dell’host sono configurati in modo diverso per le due famiglie.

Scelta operativa consigliata

Se devi solo verificare una macchina Windows 10 in rete locale, la sequenza più pulita è: controlla il profilo attivo, abilita la regola ICMPv4 Echo Request nel profilo corretto, testa dal client, poi chiudi l’eccezione. Se il sistema è gestito, cerca prima la policy che la sovrascrive invece di forzare una modifica locale destinata a sparire.

In sintesi operativa: GUI per chi deve intervenire una volta sola e ridurre errori di selezione, PowerShell per chi deve ripetere il cambio o documentarlo. La differenza non è estetica: è controllo. E sul firewall, il controllo vale più della velocità.