Inizialmente ho pensato di prendere una scheda usb di modo da poter configurare netfilter sull'interfaccia ppp0 come preferivo, ma è troppo impegnativa, molto meglio un router o un modem ethernet.
Ho visto che si puo moddare il firmware (grazie a qualche guru) di alcuni modem d-link, il problema è che mi è sembrato di capire (ho letto al volo) che ci voglia win (che non ho) e anche con wine perderei troppi giorni dietro a questo lavoro, purtroppo quello che mi manca sempre è iltempo.
Quindi anche spendendo un po' di più preferirei un device con netfilter che mi permettesse di essere configurato tramite iptables con queste regole (che non sono farina del mio sacco ma provengono da un pdf intitolato "linux in rete, stop agli intrusi" e prelevato da http://www.zeusnews.it, io poi ho tolto solo qualche riga che non mi serviva).
Sarebbe importante che avesse un kernel 2.4, perchè qualcuno mi corregga se sbaglio ma il 2.6 ha qualche problema con iptables###############################################################################
#
# setup preliminare
#
###############################################################################
modprobe ip_conntrack_ftp
iptables -F
iptables -X
###############################################################################
#
# definizione della chain STOP (logga e scarta i pacchetti)
#
###############################################################################
iptables -N STOP
iptables -A STOP -j LOG
iptables -A STOP -j DROP
###############################################################################
#
# tutto il traffico che richiede routing viene scartato
#
###############################################################################
iptables -A FORWARD -j STOP
###############################################################################
#
# tutto il traffico sospetto (pacchetti non validi e frammenti) viene scartato
#
###############################################################################
iptables -A INPUT -j STOP -m state --state INVALID
iptables -A INPUT -j STOP -f
iptables -A OUTPUT -j STOP -m state --state INVALID
iptables -A OUTPUT -j STOP -f
###############################################################################
#
# loopback: tutto il traffico locale e' abilitato senza limitazioni
#
###############################################################################
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
###############################################################################
#
# internet: sono scaratati i pacchetti provenienti o destinati a reti private
# o indirizzi riservati (classi a, b, c, e)
#
###############################################################################
iptables -A INPUT -i ppp0 -j STOP -s 10.0.0.0/8
iptables -A INPUT -i ppp0 -j STOP -d 10.0.0.0/8
iptables -A INPUT -i ppp0 -j STOP -s 172.16.0.0/12
iptables -A INPUT -i ppp0 -j STOP -d 172.16.0.0/12
iptables -A INPUT -i ppp0 -j STOP -s 192.168.0.0/16
iptables -A INPUT -i ppp0 -j STOP -d 192.168.0.0/16
iptables -A INPUT -i ppp0 -j STOP -s 240.0.0.0/5
iptables -A INPUT -i ppp0 -j STOP -d 240.0.0.0/5
iptables -A OUTPUT -o ppp0 -j STOP -s 10.0.0.0/8
iptables -A OUTPUT -o ppp0 -j STOP -d 10.0.0.0/8
iptables -A OUTPUT -o ppp0 -j STOP -s 172.16.0.0/12
iptables -A OUTPUT -o ppp0 -j STOP -d 172.16.0.0/12
iptables -A OUTPUT -o ppp0 -j STOP -s 192.168.0.0/16
iptables -A OUTPUT -o ppp0 -j STOP -d 192.168.0.0/16
iptables -A OUTPUT -o ppp0 -j STOP -s 240.0.0.0/5
iptables -A OUTPUT -o ppp0 -j STOP -d 240.0.0.0/5
###############################################################################
#
# internet: sono bloccati i pacchetti da e per indirizzi di loopback
#
###############################################################################
iptables -A INPUT -i ppp0 -j STOP -s 127.0.0.0/8
iptables -A INPUT -i ppp0 -j STOP -d 127.0.0.0/8
iptables -A OUTPUT -o ppp0 -j STOP -s 127.0.0.0/8
iptables -A OUTPUT -o ppp0 -j STOP -d 127.0.0.0/8
###############################################################################
#
# internet: sono bloccati i pacchetti da e per indirizzi di broadcast atipici
#
###############################################################################
iptables -A INPUT -i ppp0 -j STOP -s 0.0.0.0
iptables -A INPUT -i ppp0 -j STOP -d 0.0.0.0
iptables -A INPUT -i ppp0 -j STOP -s 255.255.255.255
iptables -A INPUT -i ppp0 -j STOP -d 255.255.255.255
iptables -A OUTPUT -o ppp0 -j STOP -s 0.0.0.0
iptables -A OUTPUT -o ppp0 -j STOP -d 0.0.0.0
iptables -A OUTPUT -o ppp0 -j STOP -s 255.255.255.255
iptables -A OUTPUT -o ppp0 -j STOP -d 255.255.255.255
###############################################################################
#
# internet: i multicast (classe d) sono accettati in ingresso se l'indirizzo
# multicast e' quello di destinazione; in uscita sono sempre scartati
#
###############################################################################
iptables -A INPUT -i ppp0 -j STOP -s 224.0.0.0/4
iptables -A INPUT -i ppp0 -j ACCEPT -d 224.0.0.0/4 -p udp -m limit --limit 5/second --limit-burst 10
iptables -A OUTPUT -o ppp0 -j STOP -s 224.0.0.0/4
iptables -A OUTPUT -o ppp0 -j STOP -d 224.0.0.0/4
###############################################################################
#
# internet: bloccati tutti i pacchetti in ingresso diretti a indirizzi diversi
# da quello locale e tutti i pacchetti in uscita con indirizzo di origine
# diverso da quello locale
#
###############################################################################
#iptables -A INPUT -i ppp0 -j DROP
#iptables -A OUTPUT -o ppp0 -j DROP
###############################################################################
#
# internet: dns (solo query)
#
###############################################################################
iptables -A OUTPUT -o ppp0 -j ACCEPT -p udp --sport 1024: --dport 53 -m state --state NEW,ESTABLISHED
iptables -A INPUT -i ppp0 -j ACCEPT -p udp --dport 1024: --sport 53 -m state --state ESTABLISHED
###############################################################################
#
# internet: ftp (controllo), smtp, http, pop3, https
#
###############################################################################
iptables -A OUTPUT -o ppp0 -j ACCEPT -p tcp --sport 1024: -m multiport --dports 21,25,80,110,443 -m state --state NEW,ESTABLISHED
iptables -A INPUT -i ppp0 -j ACCEPT -p tcp --dport 1024: -m multiport --sports 21,25,80,110,443 -m state --state ESTABLISHED
###############################################################################
#
# internet: ftp (dati / active); per attivare le regole rimuovere i
# caratteri "#" in testa alle righe
#
###############################################################################
#iptables -A INPUT -i ppp0 -j ACCEPT -p tcp --dport 1024: --sport 20 \
# -m state --state RELATED -m limit --limit 10/minute --limit-burst 15
#iptables -A INPUT -i ppp0 -j ACCEPT -p tcp --dport 1024: --sport 20 \
# -m state --state ESTABLISHED
#iptables -A OUTPUT -o ppp0 -j ACCEPT -p tcp --sport 1024: --dport 20 \
# -m state --state ESTABLISHED
###############################################################################
#
# internet: ftp (dati / passive)
#
###############################################################################
iptables -A OUTPUT -o ppp0 -j ACCEPT -p tcp --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED
iptables -A INPUT -i ppp0 -j ACCEPT -p tcp --dport 1024: --sport 1024: -m state --state ESTABLISHED
###############################################################################
#
# internet: traceroute solo verso host remoti
#
###############################################################################
iptables -A OUTPUT -o ppp0 -j ACCEPT -p udp --sport 32769: --dport 33434:33523 -m state --state NEW
###############################################################################
#
# internet: icmp ok verso host remoti; in ingresso solo in risposta a
# connessioni gia' attive
#
###############################################################################
iptables -A OUTPUT -o ppp0 -j ACCEPT -p icmp -m state --state NEW
iptables -A INPUT -i ppp0 -j ACCEPT -p icmp -m state --state RELATED,ESTABLISHED
###############################################################################
#
# tutto cio' che non e' stato esplicitamente ammesso viene bloccato ora
#
###############################################################################
iptables -A INPUT -j STOP
iptables -A OUTPUT -j STOP
###############################################################################
#
# kernel settings: i comandi che seguono richiedono al kernel di Linux di
# scartare alcune tipolgie di pacchetti che potrebbero essere utilizzate
# per diversi tipi di attacco. Non si tratta di comandi dati a Netfilter:
# vengono valorizzate variabili di stato interne al kernel scrivendo i
# valori opportuni sul filesystem virtuale /proc
#
###############################################################################
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
###############################################################################
e sarebbe anche importante che mi facesse caricare il modulo "ip_conntrack_ftp" importante per una regola di quelle sopra.
Le regole sopra sono x un ip pubblico senza servizi sulla macchina
Mi rendo conto che voglio la luna in terra
..............se non fosse possibile qualunque consiglio è ben accetto
grazie in anticipo, solo per aver letto fino qui............