[uomoukko]

Finalmente!
e' uscito tinyproxy 1.10.0


https://github.com/tinyproxy/tinyproxy

Cosa e' tinyproxy e a cosa serve:
Tinyproxy e' un proxy http leggerissimo, che sembra fatto apposta per il nostro router.
Il proxy puo' essere settato come stealth (non rivela al server di essere un proxy) e permette ad esempio di vedere la tv italiana dall'estero.

Prima della versione 10 l'unico modo di bloccarlo agli estranei era quello di settare una whitelist di ip ma adesso e' possibile settare anche una password.

Ricordatevi che la password che metterete, windows le salva in Pannello di controllo/Account utente/Gestisci le credenziali/Credenziali Windows

Compilazione: standard ovvero configure, make, e basta se no installa anche i manuali.

Codice: [Seleziona]

strip src/tinyproxy
cp src/tinyproxy /usr/local/bin/tinyproxy
cp etc/tinyproxy.conf /usr/local/etc/tinyproxy/tinyproxy.conf

Se volete cambiare il REALM, ovvero la stringa che il browser vi mostra quando chiede la password (default=Tinyproxy) e settarlo a IL_MIO_SERVER dovrete editare html-error.c linea 169

Codice: [Seleziona]

        const char auth_str[] =
            "Proxy-Authenticate: Basic realm=\""
           "IL_MIO_SERVER" "\"\r\n";

e poi ricompilare con il comando make

- - -
edit di /etc/config/firewall per aprire la porta 8888 (come esempio) se no non funziona da fuori.

Codice: [Seleziona]

config rule 'rule6h'
        option name 'open_port_8888'
        option src 'wan'
        option proto 'tcp'
        option dest_port '8888'
        option family 'ipv4'
        option target 'ACCEPT'

- - -

edit di /usr/local/etc/tinyproxy/tinyproxy.conf

Codice: [Seleziona]

BasicAuth nomeutente password
# questo setta utente autorizzato al proxy e password

Allow .fastweb.it
Allow .tim.it
# questo permette di concedere l'accesso esclusivamente
# a chi appartiene a questi domini (di esempio)
# bloccando gli altri senza nemmeno chiedere la password.
# Utile per evitare che qualcuno provi a collegarsi al router da posti strani.

DisableViaHeader Yes
# evita che il proxy segnali al server che e' un proxy
# tramite l'header Via:.... e che quindi veniate bloccati


[eeye13]

Finalmente!
e' uscito tinyproxy 1.10.0
(se sono off-topic ditemelo)

Ho provato ad installarlo ma ./configure mi restituisce questo:

checking for grep that handles long lines and -e... configure: error: no acceptable grep could be found in /usr/sbin:/usr/bin:/sbin:/bin:/usr/xpg4/bin

in pratica, mi pare di aver capito che la versione grep della busybox non è completa ma non c'è il pacchetto nel repository, come si può risolvere?

EDIT: ho appena visto il package tinyproxy nel repository ma è la versione 1.8.3...

[uomoukko]

@eeye13
Dunque… eccomi qua a risolvere problemi
lo faccio volentieri nei limiti della mia competenza.
dopo un rapido controllo constato che nel mio router:

Codice: [Seleziona]

ls -l /bin/busybox
-rwxr-xr-x    1 root     root        386637 Nov  1  2017 /bin/busybox

busybox
BusyBox v1.23.2 (2017-11-01 03:43:39 UTC) multi-call binary.
[…]
Currently defined functions:
        [, [[, addgroup, arping, ash, awk, base64, basename, bunzip2, bzcat, cat, chgrp, chmod, chown, chpasswd,
        chroot, chrt, clear, cmp, cp, crond, crontab, cut, date, dd, df, dirname, dmesg, du, echo, egrep, env, expr,
        false, fgrep, find, free, fsync, grep, gunzip, gzip, halt, head, hexdump, hostid, hwclock, id, ifconfig,
        insmod, kill, killall, less, ln, lock, logger, login, ls, lsmod, lsusb, md5sum, mkdir, mkfifo, mknod, mktemp,
        mount, mpstat, mv, nc, netmsg, netstat, nice, nslookup, ntpd, passwd, pgrep, pidof, ping, ping6, pivot_root,
        poweroff, printf, ps, pwd, readlink, reboot, reset, rm, rmdir, rmmod, route, sed, seq, sh, sha256sum, sleep,
        sort, start-stop-daemon, strings, switch_root, sync, sysctl, tail, tar, taskset, tee, telnet, test, time,
        timeout, top, touch, tr, traceroute, traceroute6, true, udhcpd, umount, uname, uniq, uptime, vconfig, vi, wc,
        wget, which, xargs, yes, zcat
invece nell'ambiente chroot dove compilo abitualmente (la chiavetta usb per intenderci)

Codice: [Seleziona]

ls -l /bin/busybox
-rwxr-xr-x    1 root     root      1062644 Nov 23  2008 /bin/busybox

busybox
BusyBox v1.13.0 (2008-11-23 05:22:18 CST) multi-call binary
[…]
Currently defined functions:
        [, [[, addgroup, adduser, adjtimex, ar, arp, arping, ash, awk, basename, bbconfig, blkid, brctl,
        bunzip2, bzcat, bzip2, cal, cat, catv, chat, chattr, chgrp, chmod, chown, chpasswd, chpst, chroot,
        chrt, chvt, cksum, clear, cmp, comm, cp, cpio, crond, crontab, cryptpw, cttyhack, cut, date, dc,
        dd, deallocvt, delgroup, deluser, depmod, devmem, df, dhcprelay, diff, dirname, dmesg, dnsd, dos2unix,
        dpkg, dpkg-deb, du, dumpkmap, dumpleases, echo, ed, egrep, eject, env, envdir, envuidgid, ether-wake,
        expand, expr, fakeidentd, false, fbset, fbsplash, fdflush, fdformat, fdisk, fgrep, find, findfs,
        fold, free, freeramdisk, fsck, fsck.minix, ftpget, ftpput, fuser, getopt, getty, grep, gunzip, gzip,
        halt, hd, hdparm, head, hexdump, hostid, hostname, httpd, hush, hwclock, id, ifconfig, ifdown, ifenslave,
        ifup, inetd, init, insmod, install, ip, ipaddr, ipcalc, ipcrm, ipcs, iplink, iproute, iprule, iptunnel,
        kbd_mode, kill, killall, killall5, klogd, lash, last, length, less, linux32, linux64, linuxrc, ln,
        loadfont, loadkmap, logger, login, logname, logread, losetup, lpd, lpq, lpr, ls, lsattr, lsmod,
        lzmacat, makedevs, makemime, man, md5sum, mdev, mesg, microcom, mkdir, mkfifo, mkfs.minix, mknod,
        mkswap, mktemp, modprobe, more, mount, mountpoint, msh, mt, mv, nameif, nc, netstat, nice, nmeter,
        nohup, nslookup, od, openvt, passwd, patch, pgrep, pidof, ping, ping6, pipe_progress, pivot_root,
        pkill, popmaildir, poweroff, printenv, printf, ps, pscan, pwd, raidautorun, rdate, rdev, readahead,
        readlink, readprofile, realpath, reboot, reformime, renice, reset, resize, rm, rmdir, rmmod, route,
        rpm, rpm2cpio, rtcwake, run-parts, runlevel, runsv, runsvdir, rx, script, sed, sendmail, seq, setarch,
        setconsole, setfont, setkeycodes, setlogcons, setsid, setuidgid, sh, sha1sum, showkey, slattach,
        sleep, softlimit, sort, split, start-stop-daemon, stat, strings, stty, su, sulogin, sum, sv, svlogd,
        swapoff, swapon, switch_root, sync, sysctl, syslogd, tac, tail, tar, tcpsvd, tee, telnet, telnetd,
        test, tftp, tftpd, time, top, touch, tr, traceroute, true, tty, ttysize, udhcpc, udhcpd, udpsvd,
        umount, uname, uncompress, unexpand, uniq, unix2dos, unlzma, unzip, uptime, usleep, uudecode, uuencode,
        vconfig, vi, vlock, watch, watchdog, wc, wget, which, who, whoami, xargs, yes, zcat, zcip

DOMANDA:
quando fai chroot per spostarti nel ramo dedicato alla compilazione,
dopo ti sei ricordato di eseguire /bin/busybox cosi' da ritrovarti col busybox buono per compilare?
Cioe' per intenderci quello che sta nella /bin della cartella chroot?
mi sa che era quello il problema. Mi raccomando, fammi sapere se hai risolto.

[eeye13]

@uomoukko

Grazie per la risposta! Ahimè andiamo nel complicato per me a questo punto in quanto non ho ben capito come funziona e come usare il comando chroot 

[uomoukko]

@eeye13

Allora: ora ti spiego passo passo e spero di essere chiaro.
Sulla chiavetta usb, formattata ext4, ho la toolchain, perche' non ci starebbe
sulla memoria del router. La chiavetta e' montata su /dev/sda1
(se per caso usi /dev/sda2 modifica le istruzioni opportunamente)

Codice: [Seleziona]

$ mount
rootfs on / type rootfs (rw)
/dev/root on /rom type squashfs (ro,relatime)
proc on /proc type proc (rw,nosuid,nodev,noexec,noatime)
sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,noatime)
tmpfs on /tmp type tmpfs (rw,nosuid,nodev,noatime)
/dev/mtdblock2 on /overlay type jffs2 (rw,relatime,compr=zlib)
overlayfs:/overlay/bank_1 on / type overlayfs (rw,relatime,lowerdir=/,upperdir=/overlay/bank_1)
tmpfs on /dev type tmpfs (rw,nosuid,relatime,mode=0755,size=512K)
devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,mode=600,ptmxmode=000)
cgroup on /cgroups/cpumemblk type cgroup (rw,relatime,blkio,memory,cpu)
debugfs on /sys/kernel/debug type debugfs (rw,noatime)
mvfs on /tmp/mvfs type fuse.mvfs (rw,nosuid,nodev,relatime,user_id=0,group_id=0,allow_other)
mountd(pid5288) on /tmp/run/mountd type autofs (rw,relatime,fd=5,pgrp=5286,timeout=600,minproto=5,maxproto=5,indirect)
/dev/sda1 on /tmp/run/mountd/sda1 type ext4 (rw,relatime,data=ordered)

Come vedi l'ultima riga mostra la chiavetta regolarmente montata.
ora andiamo a vedere cosa c'e' sulla cartella m della chiavetta

Codice: [Seleziona]

$ ls -l /tmp/run/mount/sda1/m
-rw-r--r--    1 root     root             0 Jan 31 14:10 AAA-FAKE-ROOT
lrwxrwxrwx    1 user     prog             7 Jan 28 15:49 bin -> usr/bin
drwxr-xr-x    2 root     root          4096 Jan 31 15:39 dev
drwxr-xr-x    3 root     root          4096 Feb  4 22:13 etc
drwxr-xr-x    4 root     root          4096 Jan 28 16:39 home
lrwxrwxrwx    1 user     prog             7 Jan 28 15:49 lib -> usr/lib
drwxr-xr-x    2 root     root          4096 Nov 23  2008 proc
drwxr-xr-x    2 root     root          4096 Jan 28 15:50 root
lrwxrwxrwx    1 user     prog             8 Jan 28 15:49 sbin -> usr/sbin
drwxr-xr-x    2 root     root          4096 Nov 23  2008 sys
drwxrwxrwx   12 root     root          4096 Apr  1 13:01 tmp
drwxr-xr-x   16 root     root          4096 Aug  5  2018 usr
drwxr-xr-x    3 root     root          4096 Feb  3 01:53 var
Sembra proprio uguale in tutto e per tutto alla / principale....

Ma devi accertarti che abbia i files /etc/passwd /etc/shadow /etc/group
simili ai tuoi, altrimenti avrai problemi quando farai chroot.
Stai attento a non fare casini, sono i files di accesso!

Codice: [Seleziona]

# cp /etc/passwd /tmp/run/mountd/sda1/m/etc/passwd
# cp /etc/shadow /tmp/run/mountd/sda1/m/etc/shadow
# cp /etc/group /tmp/run/mountd/sda1/m/etc/group
Ricordati anche di creare le home directory di root e dell'utente normale
e di dare all'utente normale la proprieta' della propria home

Codice: [Seleziona]

# mkdir /tmp/run/mountd/sda1/m/root
# mkdir /tmp/run/mountd/sda1/m/home
# mkdir /tmp/run/mountd/sda1/m/home/user
# chown user.users /tmp/run/mountd/sda1/m/home/user

Bene, ora ecco il passaggio fondamentale che ti porta nell'ambiente
di compilazione, e nello stesso tempo eseguirai
ash=busybox, certo, quella "buona".

Codice: [Seleziona]

# cd /tmp/run/mountd/sda1/m
# chroot . /bin/ash
# whoami
root
Notare che il comando whoami verifica che sei nel busybox buono,
infatti nel busybox di default avresti un whoami: not found
Ora ti consiglio di cambiare utente per evitare casini e poi
prova a vedere se il compilatore funziona

Codice: [Seleziona]

# su user
$ gcc
rawgcc: no input files
Tutto ok, puoi iniziare a compilare. Ah ancora una cosa...
in alcuni casi e' richiesto il character device /dev/null
e visto che manca nella chroot, lo devi ricreare.
ATTENZIONE: VERIFICA DI ESSERE NEL CHROOT!

Codice: [Seleziona]

# mknod /dev/null c 1 3
# chmod 666 /dev/null
# ls -l /dev/null
crw-rw-rw-    1 root     root       1,   3 Jan 31 14:39 /dev/null
Ricordati poi che una volta compilato il pacchetto dovrai
trasferire l'eseguibile fuori dal chroot, ovvero:
esci da tutte le shell e torna all'ambiente originario (non chroot)

Codice: [Seleziona]

# cp /tmp/run/mountd/sda1/m/home/user/tinyproxy-1.10.0/src/tinyproxy /usr/local/bin
# cp /tmp/run/mountd/sda1/m/home/user/tinyproxy-1.10.0/etc/tinyproxy.conf /usr/local/etc/tinyproxy
Bene.... siamo arrivati alla fine,
ricordati di aggiungere alla configurazione
BasicAuth nomeutente password e le altre cose
scritte nel mio post precedente e di avviare tinyproxy da root
cosi' puo' cambiarsi utente in nobody/nogroup
o qualsiasi altro utente specificato nella configurazione.
NON PUOI SBAGLIARE!

[eeye13]

@uomoukko

grazie mille per l'esaustiva spiegazione! sono riuscito a compilarlo ed avviarlo ma devo avere qualche problema nel configurare la regola per il firewall perchè non mi risulta raggiungibile il proxy (il servizio tinyproxy c'è facendo un ps). Ho notato però che, pure se specificato, non mi crea il file di log...

[uomoukko]

@eeye13

Uhm… bravo per la compilazione, sono contento di esser stato utile.
Hai provato a fare
$ telnet localhost 8888  (ammesso che tu abbia settato in porta 8888)
e poi scrivi il comando
GET http://www.google.com HTTP/1.0
e premi due volte invio

se funziona rifai il comando scrivendo stavolta
telnet xx.xx.xx.xx 8888  (l'ip del tuo router)
e ripeti il comando, dovrebbe venir fuori la stessa roba.

Non sono sicuro se dopo aver modificato /etc/config/firewall
con la regola che ti ho scritto nei post precedenti (e' quella che uso io)
tu debba far qualcosa per attivarla, ma io nel
dubbio un riavvio "rassicurante" del router lo farei.

[eeye13]

@uomoukko

Facendo telnet sia con localhost che con l'indirizzo IP sulla porta 888 sembra andare ma nel momento in cui lo uso nelle impostazioni proxy del browser (ovviamente da altra connessione) non va. Ho provato anche a riavviare ovviamente ma niente.

[uomoukko]

@eeye13

… e ovviamente hai provato da altra connessione a far telnet all'indirizzo del router,
porta 8888 e ti si collega? Risponde?
Stavo pensando se magari avevi impostato il firewall level del router su high e lui inserisce
regole che ti bloccano la porta in partenza. Prova a portarlo su low, al limite rimetti tutto
come prima.

[eeye13]

@uomoukko

ho provato a settare su low e riavviare. usando un'altra connessione con telnet e porta 8888 nemmeno entra (connection timeout). un mistero per me questo router 

[uomoukko]

@eeye13

Ehm… ti devo confessare che sono un po' a corto di idee….
il problema non e' tanto tinyproxy, che da quanto mi hai detto funziona bene su localhost.
il problema e' che per qualche strana ragione non riesci ad aprire una porta esterna sul router
o comunque hai qualcosa tra te e il router che ti blocca.
Come ben saprai la porta di un server ha tre modi di rispondere ad una richiesta di connessione:
la accetta subito, la rifiuta subito, la ignora completamente e quindi il client si trova a dover aspettare
un lungo  timeout dopo il quale rinuncia.
Il tuo errore connection timeout mi fa pensare a pacchetti ignorati.
Tu riesci comunque ad aprire una porta diversa dalla 8888 sul router? L'hai gia' fatto in precedenza
per installare altri servizi?
Comunque ecco le cose che ti consiglio di fare:

- Non penso sia il tuo caso cmq controlla sull'altra connessione di non avere un firewall hardware in rete tipo Zywall o comunque un antivirus / firewall / pacchetto sicurezza particolarmente cattivo sul pc che blocchi le connessioni in uscita anche se di solito bloccano le connessioni in entrata, non quelle in uscita.

- Guarda bene il file /etc/config/firewall. Fai una ricerca per la porta 8888 (o per un range di porte che la comprenda)
Non e' che per qualche strana ragione hai una regola scritta in precedenza che ti porta al DROP o al REJECT di quella porta?

- Sei sicuro di aver copiato bene la regola per aprire la 8888 rispettando la formattazione e di averla inserita poco prima della regola 7 'close_port_139' ? Anche la posizione e' importante perché prima ci sono le regole di default

Se qualche altro utente ha dei consigli, sono ben accetti.

[eeye13]

@uomoukko

ho verificato disabilitando il firewall della connessione ma non è quello il problema, non ci sono strane regole in firewall ed ho provato ad inserire quella della porta 8888 nel posto giusto ma niente, il proxy non è mai raggiungibile da altra connessione. Ho provato anche ad usare altra porta ma niente. Per caso ho provato ad abilitare l'accesso SSH da wan e con questo riesco ad entrare nel router da altra connessione... misteri della fede!

[uomoukko]

@eeye13

Prima di arrendermi ti chiedo di postare il tuo /etc/config/firewall
cosi' vediamo se per caso ci sono errori

A proposito che provider hai su entrambe le connessioni?
non e' che sei nattato? (=senza ip pubblico, dinamico o statico)
o il tuo provider ti limita in qualche modo? Io ho Telecom fibra
200 mega (FTTC).

[eeye13]

@uomoukko

Con firewall settato su medio ecco il mio /config/firewall

Codice: [Seleziona]

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option drop_invalid '1'

config zone 'lan'
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option mtu_fix '1'
option wan '0'

config zone 'wan'
option name 'wan'
list network 'wan'
list network 'wan6'
list network 'wwan'
option output 'ACCEPT'
option masq '1'
option conntrack '1'
option mtu_fix '1'
option wan '1'
option forward 'DROP'
option input 'DROP'

config forwarding 'lan_wan'
option src 'lan'
option dest 'wan'

config zone 'z_wlnetb24'
option name 'z_wlnetb24'
list network 'wlnet_b_24'
option input 'DROP'
option output 'ACCEPT'
option forward 'REJECT'
option mtu_fix '1'
option wan '0'

config forwarding 'for_wlnetb24'
option src 'z_wlnetb24'
option dest 'wan'

config rule 'Drop_non_TCP_SYN'
option name 'Drop_non_TCP_SYN'
option src 'wan'
option dest '*'
option proto 'tcp'
option target 'DROP'
option extra '! --tcp-flags ALL SYN'

config rule 'drop_lan_2_z_wlnetb24'
option name 'drop_lan_2_z_wlnetb24'
option src 'lan'
option dest 'z_wlnetb24'
option proto 'all'
option target 'DROP'

config rule 'drop_z_wlnetb24_2_lan'
option name 'drop_z_wlnetb24_2_lan'
option src 'z_wlnetb24'
option dest 'lan'
option proto 'all'
option target 'DROP'

config rule 'drop_lan_2_z_wlnetb24_GW'
option name 'drop-lan_2_z_wlnetb24_GW'
option src 'lan'
option proto 'all'
option target 'DROP'
option family 'ipv4'
option dest_ip '192.168.168.1'

config rule 'Allow_z_wlnetb24_ICMP'
option name 'Allow_z_wlnetb24_ICMP'
option src 'z_wlnetb24'
option proto 'igmp'
option target 'ACCEPT'
option family 'ipv4'
option dest_ip '192.168.168.1'

config rule 'Allow_z_wlnetb24_DHCP'
option name 'Allow_z_wlnetb24_DHCP'
option src 'z_wlnetb24'
option proto 'udp'
option dest_port '67'
option target 'ACCEPT'
option family 'ipv4'

config rule 'Allow_z_wlnetb24_DNS'
option name 'Allow_z_wlnetb24_DNS'
option src 'z_wlnetb24'
option proto 'udp'
option dest_port '53'
option target 'ACCEPT'
option family 'ipv4'

config rule 'Allow_z_wlnetb24_ICMPv6'
option name 'Allow-z_wlnetb24_ICMPv6'
option src 'z_wlnetb24'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config zone 'z_wlnetb5'
option name 'z_wlnetb5'
list network 'wlnet_b_5'
option input 'DROP'
option output 'ACCEPT'
option forward 'REJECT'
option wan '0'

config forwarding 'for_wlnetb5'
option src 'z_wlnetb5'
option dest 'wan'

config rule 'drop_lan_2_z_wlnetb5'
option name 'drop_lan_2_z_wlnetb5'
option src 'lan'
option dest 'z_wlnetb5'
option proto 'all'
option target 'DROP'

config rule 'drop_z_wlnetb5_2_lan'
option name 'drop_z_wlnetb5_2_lan'
option src 'z_wlnetb5'
option dest 'lan'
option proto 'all'
option target 'DROP'

config rule 'drop_lan_2_z_wlnetb5_GW'
option name 'drop-lan_2_z_wlnetb5_GW'
option src 'lan'
option proto 'all'
option target 'DROP'
option family 'ipv4'
option dest_ip '192.168.168.129'

config rule 'Allow_z_wlnetb5_ICMP'
option name 'Allow_z_wlnetb5_ICMP'
option src 'z_wlnetb5'
option proto 'igmp'
option target 'ACCEPT'
option family 'ipv4'
option dest_ip '192.168.168.129'

config rule 'Allow_z_wlnetb5_DHCP'
option name 'Allow_z_wlnetb5_DHCP'
option src 'z_wlnetb5'
option proto 'udp'
option dest_port '67'
option target 'ACCEPT'
option family 'ipv4'

config rule 'Allow_z_wlnetb5_DNS'
option name 'Allow_z_wlnetb5_DNS'
option src 'z_wlnetb5'
option proto 'udp'
option dest_port '53'
option target 'ACCEPT'
option family 'ipv4'

config rule 'Allow_z_wlnetb5_ICMPv6'
option name 'Allow-z_wlnetb5_ICMPv6'
option src 'z_wlnetb5'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config zone 'public_lan'
option name 'public_lan'
list network 'public_lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option wan '0'
option log '1'
option log_limit '5/minute'

config forwarding 'public_lan_wan'
option src 'public_lan'
option dest 'wan'
option name 'subnet_out'
option enabled '1'

config forwarding 'wan_public_lan'
option src 'wan'
option dest 'public_lan'
option name 'subnet_in'
option enabled '1'

config rule 'rule1'
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule 'rule2'
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule 'rule3'
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fc00::/6'
option dest_ip 'fc00::/6'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule 'rule4'
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule 'rule5'
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule 'rule6'
option name 'access_2_LAN_IP'
option src 'lan'
option proto 'tcp'
option family 'ipv4'
option extra '-m multiport --dports 80,22,8080,443,8443 -m addrtype --limit-iface-in ! --dst-type LOCAL'
option target 'REJECT'

config rule 'rule6h'
        option name 'open_port_8888'
        option src 'wan'
        option proto 'tcp'
        option dest_port '8888'
        option family 'ipv4'
        option target 'ACCEPT'

config rule 'rule7'
option name 'close_port_139'
option src 'wan'
option proto 'tcp'
option dest_port '139'
option family 'ipv4'
option target 'DROP'

config rule 'rule8'
option name 'close_port_445'
option src 'wan'
option proto 'tcp'
option dest_port '445'
option family 'ipv4'
option target 'DROP'

config rule 'rule10'
option name 'Deny-CUPS-wan'
option src 'wan'
option proto 'tcp'
option dest_port '631'
option family 'ipv4'
option target 'DROP'

config rule 'rule12'
option name 'Deny-CUPS-wan-v6'
option src 'wan'
option proto 'tcp'
option dest_port '631'
option family 'ipv6'
option target 'DROP'

config rule 'rule13'
option name 'Allow-Ping6'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
option family 'ipv6'
option target 'ACCEPT'
option enabled '0'

config rule 'SSH_wan'
option name 'SSH_wan'
option src 'wan'
option proto 'tcp'
option dest_port '22'
option family 'ipv4'
option target 'DROP'

config rule
option name 'Restrict-TCP-LAN-Input'
option src 'lan'
option dest_ip '!lan'
option proto 'tcp'
option family 'ipv4'
option extra '-m mark --mark 0/0x9000000'
option target 'REJECT'

config include
option path '/etc/firewall.user'

config include 'tchext_restart'
option type 'script'
option path '/lib/functions/firewall-restart-ext-tch.sh'

config include 'tchext'
option type 'script'
option path '/lib/functions/firewall-ext-tch.sh'
option reload '1'

config cone 'cone1'
option name 'PS and XBox Live 1'
option src 'wan'
option dest_port '88'

config cone 'cone2'
option name 'PS and XBox Live 2'
option src 'wan'
option dest_port '3074:3658'

config cone 'cone3'
option name 'PS and XBox Live 3'
option src 'wan'
option dest_port '10070'

config cone 'cone4'
option name 'PS and XBox Live 4'
option src 'wan'
option dest_port '4500'

config include 'tod'
option type 'script'
option path '/lib/functions/tod.sh'
option reload '1'

config include 'intercept'
option type 'script'
option path '/usr/lib/intercept/firewall.sh'

config fwconfig 'fwconfig'
option defaultoutgoing_lax 'ACCEPT'
option defaultoutgoing_normal 'ACCEPT'
option defaultoutgoing_high 'DROP'
option defaultoutgoing_user 'ACCEPT'
option defaultincoming_lax 'REJECT'
option defaultincoming_normal 'DROP'
option defaultincoming_high 'DROP'
option defaultincoming_user 'DROP'
option dmz '1'
option level 'normal'

config rulesgroup 'pinholerules'
option enabled '1'
option name 'FW rules for opening pinholes'
option type 'pinholerule'

config redirectsgroup 'userredirects'
option enabled '1'
option name 'FW redirects defined by the user'
option type 'userredirect'

config redirectsgroup 'dmzredirects'
option name 'FW redirects for the DMZ functionality'
option type 'dmzredirect'
option enabled '1'

config dmzredirect 'dmzredirect'
option name 'DMZ rule'
option src 'wan'
option dest 'lan'
option family 'ipv4'
option target 'DNAT'
option proto 'tcpudp'
option enabled '1'
option dest_ip '192.168.1.3'

config rulesgroup 'normalrules'
option name 'FW rules for normal level'
option type 'normalrule'
option enabled '1'

config rulesgroup 'laxrules'
option name 'FW rules for lax level'
option type 'laxrule'
option enabled '0'

config rulesgroup 'highrules'
option enabled '0'
option name 'FW rules for high level'
option type 'highrule'

config rulesgroup 'userrules'
option name 'FW rules for user level'
option type 'userrule'
option enabled '0'

config rulesgroup 'userrules_v6'
option name 'FW rules for user level IPv6'
option type 'userrule_v6'
option enabled '0'

config rulesgroup 'defaultrules'
option enabled '1'
option name 'FW rules for default behavior'
option type 'defaultrule'

config highrule 'highrule1'
option name 'HTTP'
option src 'lan'
option dest 'wan'
option proto 'tcp'
option dest_port '80'
option target 'ACCEPT'

config highrule 'highrule2'
option name 'HTTPS'
option src 'lan'
option dest 'wan'
option proto 'tcp'
option dest_port '443'
option target 'ACCEPT'

config highrule 'highrule3'
option name 'SMTP'
option src 'lan'
option dest 'wan'
option proto 'tcp'
option dest_port '25'
option target 'ACCEPT'

config highrule 'highrule4'
option name 'POP3'
option src 'lan'
option dest 'wan'
option proto 'tcp'
option dest_port '110'
option target 'ACCEPT'

config highrule 'highrule5'
option name 'IMAP'
option src 'lan'
option dest 'wan'
option proto 'tcp'
option dest_port '445'
option target 'ACCEPT'

config highrule 'highrule6'
option name 'SSH'
option src 'lan'
option dest 'wan'
option proto 'tcp'
option dest_port '22'
option target 'ACCEPT'

config defaultrule 'defaultipv6incoming'
option name 'Default action for incoming IPv6 traffic'
option src 'wan'
option dest 'lan'
option proto 'all'
option family 'ipv6'
option target 'ACCEPT'
option enabled '0'

config defaultrule 'defaultipv6outgoing'
option name 'Default action for outgoing IPv6 traffic'
option src 'lan'
option dest 'wan'
option proto 'all'
option family 'ipv6'
option target 'ACCEPT'
option enabled '0'

config defaultrule 'defaultoutgoing'
option name 'Default action for outgoing NAT'
option src 'lan'
option dest 'wan'
option proto 'all'
option target 'ACCEPT'

config helper 'ftphelper'
option helper 'ftp'
option dest_port '21'
option proto 'tcp'

config helper 'tftphelper'
option helper 'tftp'
option dest_port '69'
option proto 'udp'

config helper 'snmphelper'
option helper 'snmp'
option family 'ipv4'
option dest_port '161'
option proto 'udp'

config helper 'pptphelper'
option helper 'pptp'
option family 'ipv4'
option dest_port '1723'
option proto 'tcp'

config helper 'siphelper'
option enable '0'
option helper 'sip'
option dest_port '5060'
option proto 'udp'

config helper 'siploopback'
option helper 'sip'
option dest_port '5060'
option proto 'udp'
option intf 'loopback'

config helper 'irchelper'
option helper 'irc'
option family 'ipv4'
option dest_port '6667'
option proto 'tcp'

config helper 'amandahelper'
option helper 'amanda'
option dest_port '10080'
option proto 'udp'

config helper 'rtsphelper'
option helper 'rtsp'
option dest_port '554'
option family 'ipv4'
option proto 'tcp'

config include 'dhcpsnooper'
option type 'script'
option path '/lib/functions/firewall-dhcpsnooper.sh'
option reload '0'

config include 'mmpbx'
option type 'script'
option path '/lib/functions/firewall-mmpbx.sh'
option reload '1'

config include 'dropbear'
option type 'script'
option path '/lib/functions/firewall-dropbear.sh'
option reload '1'

config include 'miniupnpd'
option type 'script'
option path '/usr/share/miniupnpd/firewall.include'
option family 'any'
option reload '1'


La mia connessione è TIM 100mb, provo a collegarmi da una connessione TIM (sia fissa che mobile).