[Thread Ufficiale] Router NETGEAR DGN3500 [LEGGERE IL PRIMO POST!!!!]

[dreambox]

La velocità mi interessa il giusto. Importante è avere i miei dati a portata di click da ogni postazione internet fuori e dentro casa.
Quindi un HDD auto-alimentato tramite USB e il potenziamento del alimentatore del router, sarebbe una soluzione?

A proposito, quali valori dovrebbe avere l'alimentatore per tenere bene su il router e l'HDD collegato?

[cicciripillo]

Ciao a tutti, ho messu ultima versione di amod la 15 ed andava tutto alla perfezione, ora però ho problemi col wireless , non aggancia tablet ed iphon5 e poi non riesce a cambiare la regiona da canada ad italy e canale da 3 a 4.....come posso risolvere??? ciao e grazie

[random566]

Quote:

Originariamente inviato da alfonsor

si random, avevo già fatto così

ora c'è un'area di test con la configurazione che viene realmente usata; la si può modificare e salvare e sarà quella usata, per cui si possono inserire direttive o modificarla completamente a piacimento

ma ancora non ho capito se con la versione 9.10 RC1 è possibile personalizzare le impostazioni di openvpn e dove devono essere inseriti i parametri non configurabili da interfaccia web in modo da non perderli ad ogni riavvio del router.

[alfonsor]

Quote:

Originariamente inviato da dreambox

La velocità mi interessa il giusto. Importante è avere i miei dati a portata di click da ogni postazione internet fuori e dentro casa.
Quindi un HDD auto-alimentato tramite USB e il potenziamento del alimentatore del router, sarebbe una soluzione?

A proposito, quali valori dovrebbe avere l'alimentatore per tenere bene su il router e l'HDD collegato?

parlavo dell'alimentatore del disco non del router; l'alimentatore del router non mi pare abbia grandi problemi ad alimentare solo il router; se invece deve alimentare anche un disco fisso usb, non ce la farà perché c'è un fusibile autoregenerante che bloccherà troppe richieste di corrente facendo craschiare il router

Quote:

Originariamente inviato da cicciripillo

Ciao a tutti, ho messu ultima versione di amod la 15 ed andava tutto alla perfezione, ora però ho problemi col wireless , non aggancia tablet ed iphon5 e poi non riesce a cambiare la regiona da canada ad italy e canale da 3 a 4.....come posso risolvere??? ciao e grazie

non so cosa dirti perché non riesco a replicare il problema; cambio nazione, canale, premo save e poi apply e cambia nazione e canale; per i problemi di connessione idem; non è che ogni problema di questo mondo è colpa del router, del firmware e dell'autore delle modifiche al firmare... Le ragioni per cui "non aggancia" possono essere milioni di milioni; non so il tablet di cui parli quale tipo di wifi supporta, non posseggo alcun prodotto apple per cui manco un iphone e non so quale problema possa essere; comunque nazione e canali si cambiano tranquillamente senza problemi; da questa mattina presto i computer di casa connessi via wifi sono connessi con il dgn3500 e non ho mai avuto una disconnessione

Quote:

Originariamente inviato da random566

ma ancora non ho capito se con la versione 9.10 RC1 è possibile personalizzare le impostazioni di openvpn e dove devono essere inseriti i parametri non configurabili da interfaccia web in modo da non perderli ad ogni riavvio del router.

No, con la RC1 non è possibile alcun intervento dell'utente a modificare le opzioni di openvpn; con la 1 definitiva invece sarà possibile modificare completamente da pagina web la configurazione creata, oppure immettere una completamente differente, sempre da web, senza entrare in telnet

[random566]

Quote:

Originariamente inviato da alfonsor

con la 1 definitiva invece sarà possibile modificare completamente da pagina web la configurazione creata, oppure immettere una completamente differente, sempre da web, senza entrare in telnet

gran bel lavoro, attendo l'uscita della nuova versione

[trim_de_brim]

per gli apple..
il problema è vecchio
https://discussions.apple.com/thread...art=0&tstart=0

[trim_de_brim]

una curiosità
o meglio un parere ma la protezione DOS funziona o è solo per bellezza?

[cicciripillo]

non so cosa dirti perché non riesco a replicare il problema; cambio nazione, canale, premo save e poi apply e cambia nazione e canale; per i problemi di connessione idem; non è che ogni problema di questo mondo è colpa del router, del firmware e dell'autore delle modifiche al firmare... Le ragioni per cui "non aggancia" possono essere milioni di milioni; non so il tablet di cui parli quale tipo di wifi supporta, non posseggo alcun prodotto apple per cui manco un iphone e non so quale problema possa essere; comunque nazione e canali si cambiano tranquillamente senza problemi; da questa mattina presto i computer di casa connessi via wifi sono connessi con il dgn3500 e non ho mai avuto una disconnessione


Allora,Alfonsor ho reinstallato il firmware ed è tornato tutto ok.....L'unica cosa che non riesco a modificare è la nazione ed il canale wifi, ed anche modificare i dns primario e secondario da me immessi , vado ad immettere i nuovi dns ,save ,apply , ma ritornano sempre quelli di prima....
Poi ti ringrazio sempre x il lavoro che fai,e la mia non era una critica a te, ma a me che forse non riesco a modificare questi parametri e chiedevo aiuto... ciao e sempre Grazie

[alfonsor]

se sei passato da qualsiasi firmware netgear, amod e via dicendo, non versione 9, ma versione 8, devi assolutamente fare il ripristino delle impostazioni nella pagina apposita

ora lo spiego chiaramente

c'è una "partizione" sulla memoria che contiene un file con tutte le impostazioni del router;

quelle impostazioni vengono caricate al boot ed usate come preferenze dell'utente; se ci sono discrepanze con quanto si aspettano alcuni programmi che le interpretano ed i nomi, il formato e via dicendo, possono avvenire cose strambe di qualsiasi genere

non danneggiate di certo il router, ma qualcosa sicuramente non funzionerà

siccome alla versione 8 usavo come base delle modifiche l'ultima versione beta worldwide ed alla 9 ho iniziato ad usare l'ultima versione ufficiale americana, perché mi piacevano parecchie cose di più, è cambiato anche "il formato" delle preferenze

non vi preoccupate: non cambierà mai più, perché quelle non le tocco e non ci sarà mai un altro firmare come base di partenza

ora, se questo invece non ti riguarda, lo ho rispecificato :P

[alfonsor]

la protezione dos, credo che sia la solita fesseria di marketing, come il dlna, la usb, il parental control e via dicendo

che vuol dire "funziona"? se ti attacca una botnet non di migliaia ma di qualche decina di host con grande banda il dgn3500, che non crascia?

hai voglia se crascia

invece il tuo amico con il tuo ip scambiato su irc, manco riesce a fare passare i pacchetti dos attraverso il primo nodo del suo provider, perché (purtroppo :P) non siamo a metà anni novanta :PPP

[cicciripillo]

Quote:

Originariamente inviato da alfonsor

se sei passato da qualsiasi firmware netgear, amod e via dicendo, non versione 9, ma versione 8, devi assolutamente fare il ripristino delle impostazioni nella pagina apposita

ora lo spiego chiaramente

c'è una "partizione" sulla memoria che contiene un file con tutte le impostazioni del router;

quelle impostazioni vengono caricate al boot ed usate come preferenze dell'utente; se ci sono discrepanze con quanto si aspettano alcuni programmi che le interpretano ed i nomi, il formato e via dicendo, possono avvenire cose strambe di qualsiasi genere

non danneggiate di certo il router, ma qualcosa sicuramente non funzionerà

siccome alla versione 8 usavo come base delle modifiche l'ultima versione beta worldwide ed alla 9 ho iniziato ad usare l'ultima versione ufficiale americana, perché mi piacevano parecchie cose di più, è cambiato anche "il formato" delle preferenze

non vi preoccupate: non cambierà mai più, perché quelle non le tocco e non ci sarà mai un altro firmare come base di partenza

ora, se questo invece non ti riguarda, lo ho rispecificato :P

OK ,risolto Alfonsor!!!!
Thanks

[trim_de_brim]

a proposito di DOS
non ci capisco molto ma una cosa del genere è utilizzabile
nel nostro router ?

Quote:

#!/bin/sh
#------------------------------------------------------------------------------
#
# File: SIG-antiDDoS.sh
#
# Compiler: Ruslan Abuzant <ruslan@abuzant.com>
# PS> Collected From Lots Of Sources
# PS> Credits: Real Authors (no idea)
#
# URL: http://www.liteforex.org/
#
# License: GNU GPL (version 2, or any later version).
#
# Configuration.
#------------------------------------------------------------------------------

# For debugging use iptables -v.
IPTABLES="/sbin/iptables"
IP6TABLES="/sbin/ip6tables"
MODPROBE="/sbin/modprobe"
RMMOD="/sbin/rmmod"
ARP="/usr/sbin/arp"


# Logging options.
#------------------------------------------------------------------------------
LOG="LOG --log-level debug --log-tcp-sequence --log-tcp-options"
LOG="$LOG --log-ip-options"


# Defaults for rate limiting
#------------------------------------------------------------------------------
RLIMIT="-m limit --limit 3/s --limit-burst 8"


# Unprivileged ports.
#------------------------------------------------------------------------------
PHIGH="1024:65535"
PSSH="1000:1023"


# Load required kernel modules
#------------------------------------------------------------------------------
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_conntrack_irc


# Mitigate ARP spoofing/poisoning and similar attacks.
#------------------------------------------------------------------------------
# Hardcode static ARP cache entries here
# $ARP -s IP-ADDRESS MAC-ADDRESS


# Kernel configuration.
#------------------------------------------------------------------------------

# Disable IP forwarding.
# On => Off = (reset)
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/ip_forward

# Enable IP spoofing protection
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $i; done

# Protect against SYN flood attacks
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# Ignore all incoming ICMP echo requests
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Ignore ICMP echo requests to broadcast
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Log packets with impossible addresses.
for i in /proc/sys/net/ipv4/conf/*/log_martians; do echo 1 > $i; done

# Don't log invalid responses to broadcast
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Don't accept or send ICMP redirects.
for i in /proc/sys/net/ipv4/conf/*/accept_redirects; do echo 0 > $i; done
for i in /proc/sys/net/ipv4/conf/*/send_redirects; do echo 0 > $i; done

# Don't accept source routed packets.
for i in /proc/sys/net/ipv4/conf/*/accept_source_route; do echo 0 > $i; done

# Disable multicast routing
for i in /proc/sys/net/ipv4/conf/*/mc_forwarding; do echo 0 > $i; done

# Disable proxy_arp.
for i in /proc/sys/net/ipv4/conf/*/proxy_arp; do echo 0 > $i; done

# Enable secure redirects, i.e. only accept ICMP redirects for gateways
# Helps against MITM attacks.
for i in /proc/sys/net/ipv4/conf/*/secure_redirects; do echo 1 > $i; done

# Disable bootp_relay
for i in /proc/sys/net/ipv4/conf/*/bootp_relay; do echo 0 > $i; done

# Default policies.
#------------------------------------------------------------------------------

# Drop everything by default.
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

# Set the nat/mangle/raw tables' chains to ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT

$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT

# Cleanup.
#------------------------------------------------------------------------------

# Delete all
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F

# Delete all
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

# Zero all packets and counters.
$IPTABLES -Z
$IPTABLES -t nat -Z
$IPTABLES -t mangle -Z

# Completely disable IPv6.
#------------------------------------------------------------------------------

# Block all IPv6 traffic
# If the ip6tables command is available, try to block all IPv6 traffic.
if test -x $IP6TABLES; then
# Set the default policies
# drop everything
$IP6TABLES -P INPUT DROP 2>/dev/null
$IP6TABLES -P FORWARD DROP 2>/dev/null
$IP6TABLES -P OUTPUT DROP 2>/dev/null

# The mangle table can pass everything
$IP6TABLES -t mangle -P PREROUTING ACCEPT 2>/dev/null
$IP6TABLES -t mangle -P INPUT ACCEPT 2>/dev/null
$IP6TABLES -t mangle -P FORWARD ACCEPT 2>/dev/null
$IP6TABLES -t mangle -P OUTPUT ACCEPT 2>/dev/null
$IP6TABLES -t mangle -P POSTROUTING ACCEPT 2>/dev/null

# Delete all rules.
$IP6TABLES -F 2>/dev/null
$IP6TABLES -t mangle -F 2>/dev/null

# Delete all chains.
$IP6TABLES -X 2>/dev/null
$IP6TABLES -t mangle -X 2>/dev/null

# Zero all packets and counters.
$IP6TABLES -Z 2>/dev/null
$IP6TABLES -t mangle -Z 2>/dev/null
fi

# Custom user-defined chains.
#------------------------------------------------------------------------------

# LOG packets, then ACCEPT.
$IPTABLES -N ACCEPTLOG
$IPTABLES -A ACCEPTLOG -j $LOG $RLIMIT --log-prefix "ACCEPT "
$IPTABLES -A ACCEPTLOG -j ACCEPT

# LOG packets, then DROP.
$IPTABLES -N DROPLOG
$IPTABLES -A DROPLOG -j $LOG $RLIMIT --log-prefix "DROP "
$IPTABLES -A DROPLOG -j DROP

# LOG packets, then REJECT.
# TCP packets are rejected with a TCP reset.
$IPTABLES -N REJECTLOG
$IPTABLES -A REJECTLOG -j $LOG $RLIMIT --log-prefix "REJECT "
$IPTABLES -A REJECTLOG -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A REJECTLOG -j REJECT

# Only allows RELATED ICMP types
# (destination-unreachable, time-exceeded, and parameter-problem).
# TODO: Rate-limit this traffic?
# TODO: Allow fragmentation-needed?
# TODO: Test.
$IPTABLES -N RELATED_ICMP
$IPTABLES -A RELATED_ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPTABLES -A RELATED_ICMP -p icmp --icmp-type time-exceeded -j ACCEPT
$IPTABLES -A RELATED_ICMP -p icmp --icmp-type parameter-problem -j ACCEPT
$IPTABLES -A RELATED_ICMP -j DROPLOG

# Make It Even Harder To Multi-PING
$IPTABLES -A INPUT -p icmp -m limit --limit 1/s --limit-burst 2 -j ACCEPT
$IPTABLES -A INPUT -p icmp -m limit --limit 1/s --limit-burst 2 -j LOG --log-prefix PING-DROP:
$IPTABLES -A INPUT -p icmp -j DROP
$IPTABLES -A OUTPUT -p icmp -j ACCEPT

# Only allow the minimally required/recommended parts of ICMP. Block the rest.
#------------------------------------------------------------------------------

# TODO: This section needs a lot of testing!

# First, drop all fragmented ICMP packets (almost always malicious).
$IPTABLES -A INPUT -p icmp --fragment -j DROPLOG
$IPTABLES -A OUTPUT -p icmp --fragment -j DROPLOG
$IPTABLES -A FORWARD -p icmp --fragment -j DROPLOG

# Allow all ESTABLISHED ICMP traffic.
$IPTABLES -A INPUT -p icmp -m state --state ESTABLISHED -j ACCEPT $RLIMIT
$IPTABLES -A OUTPUT -p icmp -m state --state ESTABLISHED -j ACCEPT $RLIMIT

# Allow some parts of the RELATED ICMP traffic, block the rest.
$IPTABLES -A INPUT -p icmp -m state --state RELATED -j RELATED_ICMP $RLIMIT
$IPTABLES -A OUTPUT -p icmp -m state --state RELATED -j RELATED_ICMP $RLIMIT

# Allow incoming ICMP echo requests (ping), but only rate-limited.
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT $RLIMIT

# Allow outgoing ICMP echo requests (ping), but only rate-limited.
$IPTABLES -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT $RLIMIT

# Drop any other ICMP traffic.
$IPTABLES -A INPUT -p icmp -j DROPLOG
$IPTABLES -A OUTPUT -p icmp -j DROPLOG
$IPTABLES -A FORWARD -p icmp -j DROPLOG

# Selectively allow certain special types of traffic.
#------------------------------------------------------------------------------

# Allow loopback interface to do anything.
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

# Allow incoming connections related to existing allowed connections.
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow outgoing connections EXCEPT invalid
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Miscellaneous.
#------------------------------------------------------------------------------

# We don't care about Milkosoft, Drop SMB/CIFS/etc..
$IPTABLES -A INPUT -p tcp -m multiport --dports 135,137,138,139,445,1433,1434 -j DROP
$IPTABLES -A INPUT -p udp -m multiport --dports 135,137,138,139,445,1433,1434 -j DROP

# Explicitly drop invalid incoming traffic
$IPTABLES -A INPUT -m state --state INVALID -j DROP

# Drop invalid outgoing traffic, too.
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP

# If we would use NAT, INVALID packets would pass - BLOCK them anyways
$IPTABLES -A FORWARD -m state --state INVALID -j DROP

# PORT Scanners (stealth also)
$IPTABLES -A INPUT -m state --state NEW -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A INPUT -m state --state NEW -p tcp --tcp-flags ALL NONE -j DROP

# TODO: Some more anti-spoofing rules? For example:
# $IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
# $IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# $IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPTABLES -N SYN_FLOOD
$IPTABLES -A INPUT -p tcp --syn -j SYN_FLOOD
$IPTABLES -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
$IPTABLES -A SYN_FLOOD -j DROP

# TODO: Block known-bad IPs (see http://www.dshield.org/top10.php).
# $IPTABLES -A INPUT -s INSERT-BAD-IP-HERE -j DROPLOG

# Drop any traffic from IANA-reserved IPs.
#------------------------------------------------------------------------------

$IPTABLES -A INPUT -s 0.0.0.0/7 -j DROP
$IPTABLES -A INPUT -s 2.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 5.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 7.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 10.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 23.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 27.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 31.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 36.0.0.0/7 -j DROP
$IPTABLES -A INPUT -s 39.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 42.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 49.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 50.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 77.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 78.0.0.0/7 -j DROP
$IPTABLES -A INPUT -s 92.0.0.0/6 -j DROP
$IPTABLES -A INPUT -s 96.0.0.0/4 -j DROP
$IPTABLES -A INPUT -s 112.0.0.0/5 -j DROP
$IPTABLES -A INPUT -s 120.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 169.254.0.0/16 -j DROP
$IPTABLES -A INPUT -s 172.16.0.0/12 -j DROP
$IPTABLES -A INPUT -s 173.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 174.0.0.0/7 -j DROP
$IPTABLES -A INPUT -s 176.0.0.0/5 -j DROP
$IPTABLES -A INPUT -s 184.0.0.0/6 -j DROP
$IPTABLES -A INPUT -s 192.0.2.0/24 -j DROP
$IPTABLES -A INPUT -s 197.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 198.18.0.0/15 -j DROP
$IPTABLES -A INPUT -s 223.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 224.0.0.0/3 -j DROP

# Selectively allow certain outbound connections, block the rest.
#------------------------------------------------------------------------------

# Allow outgoing DNS requests. Few things will work without this.
$IPTABLES -A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

# Allow outgoing HTTP requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

# Allow outgoing HTTPS requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

# Allow outgoing SMTPS requests. Do NOT allow unencrypted SMTP!
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 465 -j ACCEPT

# Allow outgoing "submission" (RFC 2476) requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 587 -j ACCEPT

# Allow outgoing POP3S requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 995 -j ACCEPT

# Allow outgoing SSH requests.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

# Allow outgoing FTP requests. Unencrypted, use with care.
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT

# Allow outgoing NNTP requests. Unencrypted, use with care.
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 119 -j ACCEPT

# Allow outgoing NTP requests. Unencrypted, use with care.
# $IPTABLES -A OUTPUT -m state --state NEW -p udp --dport 123 -j ACCEPT

# Allow outgoing IRC requests. Unencrypted, use with care.
# Note: This usually needs the ip_conntrack_irc kernel module.
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 6667 -j ACCEPT

# Allow outgoing requests to various proxies. Unencrypted, use with care.
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 8080 -j ACCEPT
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 8090 -j ACCEPT

# Allow outgoing DHCP requests. Unencrypted, use with care.
# TODO: This is completely untested, I have no idea whether it works!
# TODO: I think this can be tightened a bit more.
$IPTABLES -A OUTPUT -m state --state NEW -p udp --sport 67:68 --dport 67:68 -j ACCEPT

# Allow outgoing CVS requests. Unencrypted, use with care.
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 2401 -j ACCEPT

# Allow outgoing MySQL requests. Unencrypted, use with care.
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT

# Allow outgoing SVN requests. Unencrypted, use with care.
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 3690 -j ACCEPT

# Allow outgoing PLESK requests. Unencrypted, use with care.
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 8443 -j ACCEPT

# Allow outgoing Tor (http://tor.eff.org) requests.
# Note: Do _not_ use unencrypted protocols over Tor (sniffing is possible)!
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 9001 -j ACCEPT
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 9002 -j ACCEPT
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 9030 -j ACCEPT
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 9031 -j ACCEPT
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 9090 -j ACCEPT
# $IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 9091 -j ACCEPT

# Allow outgoing OpenVPN requests.
$IPTABLES -A OUTPUT -m state --state NEW -p udp --dport 1194 -j ACCEPT

# TODO: ICQ, MSN, GTalk, Skype, Yahoo, etc...

# Selectively allow certain inbound connections, block the rest.
#------------------------------------------------------------------------------

# Allow incoming DNS requests.
$IPTABLES -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

# Allow incoming HTTP requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

# Allow incoming HTTPS requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

# Allow incoming POP3 requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT

# Allow incoming IMAP4 requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT

# Allow incoming POP3S requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 995 -j ACCEPT

# Allow incoming SMTP requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT

# Allow incoming SSH requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

# Allow incoming FTP requests.
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT

# Allow incoming NNTP requests.
# $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 119 -j ACCEPT

# Allow incoming MySQL requests.
# $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT

# Allow incoming PLESK requests.
# $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 8843 -j ACCEPT

# Allow incoming BitTorrent requests.
# TODO: Are these already handled by ACCEPTing established/related traffic?
# $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 6881 -j ACCEPT
# $IPTABLES -A INPUT -m state --state NEW -p udp --dport 6881 -j ACCEPT

# Allow incoming nc requests.
# $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 2030 -j ACCEPT
# $IPTABLES -A INPUT -m state --state NEW -p udp --dport 2030 -j ACCEPT

# Explicitly log and reject everything else.
#------------------------------------------------------------------------------
# Use REJECT instead of REJECTLOG if you don't need/want logging.
$IPTABLES -A INPUT -j REJECTLOG
$IPTABLES -A OUTPUT -j REJECTLOG
$IPTABLES -A FORWARD -j REJECTLOG


#------------------------------------------------------------------------------
# Testing the firewall.
#------------------------------------------------------------------------------

# You should check/test that the firewall really works, using
# iptables -vnL, nmap, ping, telnet, ...

# Exit gracefully.
#------------------------------------------------------------------------------

exit 0

ciao

[serpe87]

Ciao ragazzi, ho questo Netgear con firmware amod (grazie al creatore dello stesso) ieri ho segnalato un guasto che non son riuscito a collegarmi a internet e pesavo che era il router, ma alla fine era sempre quella cavolo di cabina telecom del ca**o. Stamane provo a connettermi e sopresa delle sorprese...

http://pastebin.com/zVFp9bMK

E' normale avendo una 10 mega? Comunque faccendo uno speedtest la velocità massima è 9,85 mb/s... Non capisco tanto...

[alfonsor]

se elimini le cose ipv6 e lo lanci, puoi provare cosa avviene

considera che in amod le connessioni in entrata sono chiuse di default

cioé, se non apri una cosa in entra, quella è chiusa

comunque il DoS significa bombardare un server per farlo andare lento o crasciare; non significa vedere se ha una porticina aperta

anche se un certo pacchetto viene scartato in questa fase, il lavoro per scartare centomila pacchetti diventa insostenibile, non che il pacchetto arrivi da qualche parte...

[DMJ]

Da un po' di tempo a questa parte mi arrivano diversi "security alert" via email da parte del router del tipo:

UDP Packet - Source:79.179.191.98,19768 Destination:192.168.0.1,59633 - [DOS]
UDP Packet - Source:79.179.191.98,19768 Destination:192.168.0.1,59633 - [DOS]
UDP Packet - Source:91.92.179.140,54006 Destination:192.168.0.1,59633 - [DOS]
UDP Packet - Source:108.5.71.193,25576 Destination:192.168.0.1,59633 - [DOS]
UDP Packet - Source:94.156.155.181,38892 Destination:192.168.0.1,59633 - [DOS]
UDP Packet - Source:77.70.126.200,42069 Destination:192.168.0.1,59633 - [DOS]
......

Qualcuno ha idea di cosa si possa trattare?

[alfonsor]

riflettevo che molti, sia qui che in altri thread, chiedono come fare ad azionare il wol fuori casa

certamente una soluzione è avere la pagina web accessibile dall'esterno; ma siccome i router netgear conservano la password di admin in chiaro, non mi pare una cosa decente

implementare i meccanismi vari per usare quelle pagine online che mandano pacchetti multicast wol non mi sembra sicuro per svariate ragioni

esiste però una soluzione banalissima per chi ha davvero bisogno di accendere diversi computer da fuori

prima di tutto andate in Services/amod ed impostate i massimo sei computer da accendere, premete save; se avete bisogno di accendere più di sei computer, in uno di questi ci deve essere un programma che al boot accende tutti gli altri

quindi impostate dropbear, fatelo avviare al boot ed aprire le porte; ad ogni boot dropbear sarà accessibile dall'esterno; ma dropbear è sicuro, ovvero le sua connessioni sono criptate

ora, scaricate PuTTY anche versione standalone da mettere su una chiavetta ed impostatelo in modo che acceda a dropbear del dgn3500

a questo punto siete a Miami in piscina ed avete bisogno di accendere i vostri 12 computer a casa

lanciate putty, appena connesso, scrivete

service wolsc on

finito.

[alfonsor]

bon ho messo su la 9.1.0 vediamo quanti bug ha

le modifiche sono centinaia, per cui qualcosa sarà scappata di sicuro...

[random566]

installata ora da remoto, ero troppo curioso di vedere la pagina di configurazione di openvpn.
sembra davvero completa, bellissimo lavoro.
ora, non essendo a casa, non ho possibilità di fare molte prove, l'unico piccolissimo bug che ho visto (non ha alcuna rilevanza all'atto pratico) sono i valori del margine di rumore sulla pagina adsl status che risultano scambiati fra up e down.

[trim_de_brim]

Quote:

Originariamente inviato da alfonsor

se elimini le cose ipv6 e lo lanci, puoi provare cosa avviene

considera che in amod le connessioni in entrata sono chiuse di default

cioé, se non apri una cosa in entra, quella è chiusa

comunque il DoS significa bombardare un server per farlo andare lento o crasciare; non significa vedere se ha una porticina aperta

anche se un certo pacchetto viene scartato in questa fase, il lavoro per scartare centomila pacchetti diventa insostenibile, non che il pacchetto arrivi da qualche parte...

risposta si blocca tutto
e si entra nel router a fatica

o meglio dopo aver staccato la linea telefonica
ciao
claudio

[alfonsor]

Quote:

Originariamente inviato da random566

installata ora da remoto, ero troppo curioso di vedere la pagina di configurazione di openvpn.
sembra davvero completa, bellissimo lavoro.
ora, non essendo a casa, non ho possibilità di fare molte prove, l'unico piccolissimo bug che ho visto (non ha alcuna rilevanza all'atto pratico) sono i valori del margine di rumore sulla pagina adsl status che risultano scambiati fra up e down.

hu? davvero?

qua pare "giusto"

è che quella pagina è stata completamente riscritta ed ora usa bash al posto di ash

che vuol dire usare gli array, insomma vuol dire prendersi tutti i valori in un colpo solo, infatti il reload è istantaneo o quasi, contro i 4 secondi di prima