Vedremo ora come integrare SquidGuard, nel nostro proxy.

Innannzitutto che cos’è SquidGuard? E’ un plugin per Squid che permette di effettuare filtri, redirect e controlli di accesso in maniera semplice e portabile da un sistema all’altro. Vediamo ora come installarlo.

Installazione

Per prima cosa procuriamoci i sorgenti

# wget http://www.squidguard.org/Downloads/squidGuard-1.3.tar.gz
# tar -zxvf squidGuard-1.3.tar.gz
#./configure
# make
# make install

a questo punto se non ci sono stati problemi nella compilazione dovreste avere squidguard installato correttamente nel vostro sistema, per eventuali installazione particolari fate riferimento come sempre a ./configure –help

Installiamo ora le blacklist dei siti che vogliamo rendere inaccessibili ai nostri utenti. Una black list è una semplice lista di siti e url, ognuno scritto su una riga. Se non ne avete a disposizione potrete trovarne moltissime disponibili in rete.

Potete trovare alcune blacklist direttamente al link http://www.squidguard.org/blacklists.html scegliete quale vi risulta più congeniale.

Prendiamo per esempio le blacklist presenti all’indirizzo http://squidguard.mesd.k12.or.us/blacklists.tgz completamente free e scompattiamole nella directory che conterrà le blacklist del nostro SquidGuard

# wget http://squidguard.mesd.k12.or.us/blacklists.tgz
# mkdir /usr/local/squidGuard/db
# mkdir /usr/local/squidGuard/logs
# cp blacklist.tar.gz /usr/local/squidGuard/db/adult
# cd /usr/local/squidGuard/db/adult
# gzip -d blacklist.tar.gz
# tar xfv blacklist.tar

Configurazione di base

Spostiamoci ora nella cartella /usr/local/squidGuard per poter editare il nostro file di configurazione

cd /usr/local/squidGuard
vim /usr/local/squidGuard.conf

Il nostro file di fongiurazione è qualcosa di molto simile a quello di seguito riportato

dbhome /usr/local/squidGuard/db
logdir /usr/local/squidGuard/logs

# Definisco i periodi in cui è consentita la navigazione
# Permesso accesso solo dalle 7.30 alle 21.00 dal lunedì al sabato

time notworktime {
weekly * 21:00-07:00
weekly sunday 00:00-24:00
}

src all {
ip 0.0.0.0-255.255.255.255
}

dest adult {
domainlist adult/domains
urllist adult/urls
log pornaccesses
}

acl {
all within notworktime {
pass none
redirect http://10.1.241.254/ERR_NO_TIME.html
}
else {
pass !adult all
redirect http://10.1.241.254/ERR_NO_POVNO.html
}
default {
pass none
redirect http://10.1.241.254/block.html
}
}

Questo file di configurazione vi permette di effettuare un filtro sui siti basato sulla blacklist che avete fornito, e di bloccare il traffico passate dalle 21.00 alle 7.00 del mattino. Inoltre in base alla violazione si viene rediretti su di una pagina personalizzata particolare.

Inizializziamo ora i database. Spostiamoci nella cartella dove abbiamo messo la nostra blacklist, e digitiamo il comando

squidGuard -C all
chown -R nobody:nogroup /usr/local/squidGuard/db/*
chown -R nobody:nogroup /usr/local/squidGuard/logs/*

Verifica della configurazione

Ora per testare che la nostra configurazione funzioni correttamente digitiamo

echo "http://www.sex.com 10.0.0.1/ - - GET" | squidGuard -c /usr/local/squidGuard/squidGuard.conf -d

Se tutto è corretto dovreste vedere visualizzato l’url che ha bloccato il sito, invece se il sito non viene bloccato dovreste vedere qualcosa tipo:

2007-03-25 16:18:05 [30042] squidGuard ready for requests (1174832285.085)

2007-03-25 16:18:05 [30042] squidGuard stopped (1174832285.089)

Inserimento in squid.conf

Ora per attivare lo squid affinchè passi il suo output a SquidGuard non ci resta altro da fare che attivarlo inserendo nel nostro file di configurazione di squid (solitamente /etc/squid/squid.conf) la seguente riga.

redirect_program /usr/local/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf

Presupposto di questo articolo è che abbiate già uno squid funzionante, senza alcun meccanismo di autenticazione.

Innanzitutto dobbiamo discriminare come abbiamo installato il nostro squid

1- Compilato da sorgenti

2- Pacchetto Slackware

nel primo caso l’eseguibile ncsa_auth dovrebbe essere già installato nel nostro sistema, nel secondo caso purtroppo, dovremo provvedere a compilarcelo a mano.

Basta scaricare i sorgenti di Squid e fare quanto segue:

root@localhost:# wget http://www.squid-cache.org/Versions/v3/3.0/squid-3.0.STABLE6.tar.gz
root@localhost:# tar -zxvf squid-3.0.STABLE6.tar.gz
root@localhost:# cd squid-3.0.STABLE6
root@localhost:# ./configure && make ./configure --prefix=/usr/local/squid
root@localhost:# cd helpers/basic_auth/NCSA/
root@localhost:# make
root@localhost:# make install

A questo punto nella cartella /usr/local/squid/libexec/ncsa_auth dovremmo avere l’eseguibile che ci serve.

Editiamo ora il file /etc/squid/squid.conf

decommentiamo la riga

#auth_param basic program < uncomment and complete this line >

e facciamola diventare

auth_param basic program /usr/local/squid/libexec/ncsa_auth /etc/squid/passwd

dove il file /etc/squid/passwd sarà il file che conterrà user e password degli utenti che potranno usare il nostro proxy.

Ora non resta che specificare una acl che abiliti l’autenticazione con l’istruzione proxy_auth.

acl nomeacl proxy_auth REQUIRED

e di seguito permettere l’accesso a questa acl

http_access allow nomeacl

Creiamo ora il primo user che potrà usare il nostro proxy, tramite il comando

root@localhost:# htpasswd -c passwd nomeutente
New password:
Re-type new password:
Adding password for user nomeutente

Riavviamo lo squid con

root@localhost:# /etc/rc.d/rc.squid restart

da ora in avanti il nostro proxy chiederà l’autenticazione tramite una finestra, ogni volta che si vorrà navigare mediante lui.

Mi è nata la necessità di configurarlo a casa, in quanto lavorando spesso in giro per il pianeta a volte ho la necessità di una navigazione libera, che spesso non ci è concessa, e questa soluzione fa a pieno al caso nostro.

In questo breve articolo spiegherò (o almeno cercherò di farlo), come configurare squid in pochi passi, inserendo oltre alla navigazione tramite proxy, anche una rudimentale autenticazione onde evitare che chiunque ci possa usare per navigare.

Innanzitutto procuriamoci i sorgenti, i pacchetti della nostra distro o quello che meglio ci va per installarelo.

Nel caso di sorgenti il sito di riferimento è squid-cache.org, io utilizzando ul server slackware, mi sono avvalso del pacchetto messo a disposizione da linuxpackages.net.

Seguirà la spiegazione su come installare il pacchetto slackware (la compilazione da sorgenti la evito in quanto banale come al solito, ./configure && make all && make install fine).

Installiamo il pacchetto slackware, loggandoci come root

wget http://slackware.rol.ru/linuxpackages/Slackware/Slackware-12.1/Daemon/Squid/squid-3.0.STABLE6-i486-1zan.tgz

installpkg squid-3.0.STABLE6-i486-1zan.tgz

A questo punto il pacchetto è stato installato correttamente, e non ci resta che editare il file squid.conf

pico /etc/squid/squid.conf

Editiamo la porta su cui vogliamo che giri il nostro SQUID, nel mio esempio pratico ho utilizzato la porta 443, modificando la riga

http_port 3128 in http_port 443

all’interno di questo file non ci resta che modificare le seguenti voci

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

ora bisogna editare correttamente le ultime due voci cache_effective_user e cache_effective_group, che servono a indicare gli utenti effettivi con cui lo squid lavorerà, il consiglio è di creare un utente e un gruppo che si chiamano squid, poi chiaramente siete liberi di scegliere che gruppi e utenti volete al riguardo.

groupadd squid
useradd -g squid squid

ultima cosa che rimane da fare, almeno per questa guida, è impostare l’acl che permette la navigazione, andiamo a modificare

http_access deny all

e settiamola come

http_access allow all

e abbiamo finito.

Questa semplice configurazione, serve solo a tirare su lo squid e usarlo come proxy, non abbiamo fatto attenzione a nulla, andrebero impostate opportune acl per la lan, e eventualmente un meccanismo di autenticazione (cosa che spiegherò nel prossimo articolo).

Il tutto è stato creato seguendo la guida di riferimento http://tldp.org/HOWTO/TransparentProxy-4.html

Saluti

La VPN che andremo a creare sarà PPTP, ovvero quella più semplice e disponibile su tutti i client windows. Per implementare una soluzione di questo tipo, per prima cosa assicuriamoci di avere a disposizione il supporto MPPE:

modprobe ppp-compress-18 && echo “Ok sembra funzionare ”

Attenzione: nella versione del kernel 2.6.15-rc1 o precedenti non è presente il supporto MPPE.

Editiamo ora il file di configurazione “/etc/pptpd.conf” andando ad impostare gli indirizzi di rete:

localip 192.168.31.1
remoteip 192.168.31.100-120

Attenzione: il routing non è gestito dal demone PPTP, quindi o si fanno assegnare indirizzi IP della sottorete a cui si vuole accedere, oppure vanno inserite manualmente le regole di routing necessarie.

Ovviamente sarà poi necessario riavviare il demone per fargli rileggere il file di configurazione con le ultime modifiche:

/etc/init.d/pptpd restart

Ora non ci resta che aggiungere gli utenti abilitati ad usare la VPN appena creata:

echo “username pptpd v3ry5tr0ngp4ssw0rd *” >> /etc/ppp/chap-secrets

Nota: aggiungendo un nuovo utente non sarà necessario riavviare il demone PPTP, ma sarà subito disponibile alla prossima connessione remota.

Inoltre, è possibile far autenticare gli utenti remoti tramite altri meccanismi, come ad esempio RADIUS, SAMBA o PAM.

Ora sarà possibile accedere in VPN al nostro server tramite i più comuni client che supportano il protocollo PPTP, ricordandoci di aprire la porta 1723/tcp sul nostro router e sperando che lo stesso supporti il VPN passtrough.

Stampante

La stampante funziona automagicamente: è sufficiente accenderla, collegare il cavo USB (o viceversa) e il sistema la riconoscerà senza fare nient’altro, mostrando questo avviso:

Il vero plug’n'play è una di quelle cose che non si possono comprare, per tutto il resto c’è Mastercard.

Scanner

Per quanto riguarda lo scanner, c’è qualche passo in più da compiere: pur essendo compatibile con il sistema SANE, in Ubuntu 8.04 (suppongo che sia così anche nelle precedenti) non sono presenti i backend (i driver, tanto per capirsi) necessari per farlo funzionare. Sarà quindi necessario installare quelli presenti nel CD allegato o, meglio, l’ultima versione disponibile sul sito Samsung.

Purtroppo i driver forniti da Samsung hanno un difetto: permettono di utilizzare lo scanner solo da root, e non è cosa buona: fortunatamente esiste una patch sviluppata da Jacobo Tarrio Barreiro, sviluppatore spagnolo attualmente impiegato come programmatore presso Google Ireland, che permette di superare il problema. Installeremo dunque anche questa, in modo da utilizzare lo scanner anche con il nostro utente.

Nel momento in cui scrivo questo articolo, l’ultima versione disponibile dei driver è la 2.00.97, per cui le istruzioni si riferiscono a questa versione e a Ubuntu 8.04. Non escludo che siano valide anche per altre combinazioni di driver/distribuzione, ma neanche lo garantisco. Non garantisco neanche che quello che sto per scrivere funzionerà sul vostro PC: qualunque cosa succeda, l’unico responsabile sarai tu, sappilo!

Per prima cosa, è necessario scaricare i driver e la patch:

• Samsung.com: Driver per CLX-2160
• Jacobo Tarrio Barreiro: Samsung SCX-4200 on Debian

Dopo aver scaricato l’ultima versione dei driver e la patch adatta per la versione e l’architettura che usiamo (x86 o x64), estraiamo i file dagli archivi scaricati e procediamo all’installazione.

INSTALLAZIONE DEI DRIVER:
tar zxvf 20070720164102890_UnifiedLinuxDriver.tar.gz
tar zxvf fix-nopar-scx4200-2.00.95-2007061201.tar.gz
cd cdroot
sudo cp cdroot/Linux/noarch/at_root/etc/sane.d/smfp.conf /etc/sane.d/
sudo cp -r cdroot/Linux/noarch/at_opt/share/ppd/* /usr/share/ppd/custom/
sudo cp cdroot/Linux/i386/at_root/usr/lib/libmfp.so.1.0.1 /usr/lib/
sudo cp cdroot/Linux/i386/at_root/usr/lib/sane/libsane-smfp.so.1.0.1 /usr/lib/sane/
sudo cp cdroot/Linux/i386/at_root/usr/lib/cups/backend/mfp /usr/lib/cups/backend/
sudo cp cdroot/Linux/i386/at_root/usr/lib/cups/filter/* /usr/lib/cups/filter/

APPLICAZIONE DELLA PATCH (x86):
sudo cp fix-nopar/i386/libmfp.so.1.0.1 /usr/lib/

APPLICAZIONE DELLA PATCH (x64):
sudo cp fix-nopar/x86_64/libmfp.so.1.0.1 /usr/lib/

CREAZIONE DEI LINK SIMBOLICI:
cd /usr/lib
sudo ln -s libmfp.so.1.0.1 libmfp.so.1
sudo ln -s libmfp.so.1.0.1 libmfp.so
cd sane
sudo ln -s libsane-smfp.so.1.0.1 libsane-smfp.so.1
sudo ln -s libsane-smfp.so.1.0.1 libsane-smfp.so

A questo punto, dopo aver installato i driver e la patch, è necessario modificare due file di configurazione. Per prima cosa bisogna aggiungere una riga smfp in fondo al file /etc/sane.d/dll.conf. Il secondo file da modificare è /etc/init.d/mountdevsubfs.sh, nel quale bisognerà decommentare le righe della sezione “Magic to make /proc/bus/usb work” in modo che appaiano in questo modo:

#
# Magic to make /proc/bus/usb work
#
mkdir -p /dev/bus/usb/.usbfs
domount usbfs “” /dev/bus/usb/.usbfs -obusmode=0700,devmode=0600,listmode=0644
ln -s .usbfs/devices /dev/bus/usb/devices
mount –rbind /dev/bus/usb /proc/bus/usb

Ultimo passo prima del riavvio: aggiungere il nostro utente ai gruppi lp e scanner. Per farlo, usiamo questi due comandi, usando il nostro nome utente al posto di $USERNAME:

sudo adduser $USERNAME lp
sudo adduser $USERNAME scanner

E necessario, ora, riavviare il sistema. Una volta completato il riavvio, controlliamo se (da utente) lo scanner viene riconosciuto correttamente:

mbg@mercury:~$ scanimage -L
device `smfp:SAMSUNG ELECTRONICS CO., LTD. CLX-216x Series on USB:0′ is a SAMSUNG ELECTRONICS CO., LTD. CLX-216x Series on USB:0 Flatbed Scanner

Se tutto funziona, sarà possibile usare lo scanner direttamente da Gimp, attraverso XSane:

L’unico problema, in fase di chiusura della maschera di scansione, è un messaggio di errore che però non influisce sul funzionamento corretto dello scanner. Dovrò capire di cosa si tratta e correggerlo, se qualcuno ha già affrontato il problema me lo faccia sapere nei commenti, grazie.

Altre caratteristiche

La stampante ha alcune caratteristiche interessanti, oltre alle normali funzionalità quando è collegata al PC e la fotocopiatrice (sia a colori che in bianco e nero) anche a PC scollegato:

• Scansione su memoria USB: collegando una normale penna USB al pannello frontale, sarà possibile (utilizzando il tasto “Scan to” salvare la scansione direttamente sul dispositivo collegato, senza passare per un PC
• Stampa da memoria USB: ancora collegando una penna USB, sarà possibile navigare nel suo contenuto e stampare direttamente i file selezionati. I formati supportati sono: BMP, TIFF e JPEG. Purtroppo tra essi non è presente il PDF, che sarebbe stato veramente comodo.

Link utili

• Matteo Moro: Samsung CLX-2160 su Ubuntu Linux 8.04
• Samsung.com: Multifunzione CLX-2160
• Samsung.com: Driver per CLX-2160
• UbuntuForums.org: Installazione dello scanner #1
• UbuntuForums.com Installazione dello scanner #2
• Jacobo Tarrio Barreiro: Samsung SCX-4200 on Debian

Se questa è la situazione in cui ci troviamo e se automatizzare il login non comporta alcun problema di sicurezza, allora ecco la procedura su un sistema Ubuntu.

Dal menu Administration (in System) andiamo su Login Window. Dopo aver immesso la password di root clicchiamo sul tab Security dove faremo un check su Enable Automatic Login. Nella casella di scelta selezioniamo il nostro username e clicchiamo sul pulsante Close.

Al prossimo avvio del sistema non dovremo più inserire username e password e ci ritroveremo già Ubuntu ben avviato, pronti per lavorare.

Ciò di cui necessitiamo è una macchina su cui è stata fatta un’installazione base di una distribuzione GNU/Linux (nei nostri esempi prenderemo sempre in esame una Debian), un faxmodem seriale ed un repository di pacchetti (CDROM, rete, locale…).

Per prima cosa installiamo HylaFAX ed il pacchetto “metamail” che contiene “mimencode” (necessario per convertire i fax in arrivo in formato PDF per essere allegati alle email di notifica):

apt-get install hylafax-server metamail

Successivamente configuriamo HylaFAX ed il modem tramite:

faxsetup

Fine. Non era difficile, no? Ora il nostro fax server è funzionante. Ci manca l’invio dei fax via email in formato PDF. Per fare ciò, ci vengono in aiuto alcuni script disponibili sul sito ufficiale di HylaFAX e più precisamente quelli disponibili al seguente indirizzo:

http://www.hylafax.org/site2//howto/faxrcvd/

Nel nostro caso, scaricheremo gli script che si occupano di convertire ed inviare via email i fax in formato PDF:

cd /var/spool/hylafax/bin/
wget http://www.hylafax.org/site2//howto/faxrcvd/faxrcvd-pdf
wget http://www.hylafax.org/site2//howto/faxrcvd/faxrcvd-mail-pdf

Ora non ci resta che eseguire i seguenti comandi che sistemano un po’ le cose per farle piacere ad HylaFAX senza impazzire:

cd /var/spool/hylafax/bin/
cp faxrcvd faxrcvd.original
cp faxrcvd-mail faxrcvd-mail.original
mv faxrcvd-pdf faxrcvd
mv faxrcvd-mail-pdf faxrcvd-mail
/etc/init.d/hylafax restart

A questo punto tutto è pronto. Possiamo modificare il file “faxrcvd” impostando il parametro “TOADDR” per definire l’account a cui inviare le email. Ovviamente editando il file “faxrcvd-mail” possiamo cambiare lo stile dell’email che verrà inviata, ma questo sta a discrezione di ognuno.

In molti ambienti produttivi ora sarà sufficiente installare un demone POP3 per far scaricare le email con il fax in allegato.

Buona installazione: Oracle XE on Debian.

Purtroppo in alcune situazioni essi sono indispensabili (pensate ad un provider che deve permettere ai proprio utenti di gestirsi tutto il loro spazio, e questi non sanno nemmeno cos’è un webserver).

Quello di cui vogliamo parlare oggi è webmin, si tratta di un pannello di controllo molto “low-level”, non è molto user-friendly come potrebbe essere un Plesk, è leggerissimo e permette di gestire pressochè qualunque servizio all’interno di un server (cosa che nessun altro pannello di controllo fa, solitamente si limitano alla parte web-hosting).

Prima di iniziare installiamo i pacchetti necessari sulla nostra Debian:

apt-get install libnet-ssleay-perl openssl libauthen-pam-perl libio-pty-perl libmd5-perl

senza questi pacchetti non potremmo installare il nostro pannello, per cui fatelo.

Ora scarichiamo gratuitamente dal sito www.webmin.com il nostro file .deb nelo specifico al momento in cui sto scrivendo l’articolo siamo alla versione 1.400, ora con un semplice

wget http://garr.dl.sourceforge.net/sourceforge/webadmin/webmin_1.400_all.deb

installiamo semplicemente il pacchetto tramite dpkg

dpkg -i webmin_1.400_all.deb

ora non ci resterà altro da fare che accedere tramite un browser all’url https://ip.del.nostro.server:10000

Il tutto è corredata da una svariata quantità di plugin aggiuntivi e di terze parti per poter configurare anche servizi non previsti di default, fra i quali vi segnalo Virtualmin per poter avere una migliore gestione edgli utenti e poter dare loro accesso a particolari sezioni o gestirsi autonomamente i propri dati.

- policy di default: drop di tutti i pacchetti

- permettere solo ai servizi che ci interessano di essere accessibili all’esterno

- permettere certi servizi accessibili solo dalla LAN

caso tipico di confiurazione di un firewall in ambito aziendale.

Per prima cosa impostiamo le policy di default in DROP, in modo che qualunque cosa venga scartata se non permessa dalle nostre regole successive

# Imposto le policy di default
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

ora tutti i pacchetti in arrivo verranno droppati (ovviamente se lavorate in remoto non lanciate questi comandi o non sarete più in grado di accedere alla shell Ndr.).

Ora abilitamo un paio di servizi utili per un normalissimo server

# Abilito i ping alla macchina
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

In questo modo abilitamo la macchina a rispondere ai ping da qualunque macchina sulla rete (ovviamente se non volete basta non inserire la regola, ma secondo me è buona norma farlo).

# Imposto regole generiche sulle connessioni in ingresso
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Questa è una regola generica sullo stato delle connessioni.

Ipotizziamo ora che sulla nostra macchina girino i seguenti 3 servizi:

- http (porta 80)

- https (porta 443)

- ssh (è una macchina remota e vogliamo potervi accedere ovviamente)

non ci resta altro che usare le seguenti regole

# Accetto le connessioni del webserver
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Accetto connessioni webserver in https
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Accetto le connessioni ssh in ingresso
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Ipotizziamo ora di avere un server mysql, che ovviamente in locale grazie alle prime regole è accessibile, ma vogliamo che sia accessibile anche dalla lan, la soluzione è

# Accetto le connessioni in ingresso di mysql
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3306 -j ACCEPT

consentiamo così l’accesso diretto a mysql dai client della nostra LAN.

Tutto quanto visto sino ad ora è velido per le connessioni in ingresso, per le connessioni in uscita la faccenda è molto simile, solamente che al posto di -A INPUT dovremo mettere -A OUTPUT, un esempio tipico è il seguente

# Abilito i ping in uscita
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

# Imposto regole generiche sulle connessioni in uscita
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# permetto di inviare email via smtp solo dal localhost
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT

# Webserver esterni
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

# webserver esterni https su 443 e 8443
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8443 -j ACCEPT

# ftp in uscita (serve per gli aggiornamenti del sistema)
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT

# abilito l'utilizzo del whois
iptables -A OUTPUT -p tcp --dport 43 -j ACCEPT
iptables -A OUTPUT -p udp --dport 43 -j ACCEPT

# nameserver in uscita per gli slave
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT

# ntp in uscita per aggiornare l'ora
iptables -A OUTPUT -p tcp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --dport 123 -j ACCEPT

# abilito mysql in uscito per il db di eastitaly.com
iptables -A OUTPUT -p tcp -d 192.168.0.2 --dport 3306 -j ACCEPT

Infine chiudiamo il tutto con

#####
# Tutti gli altri pacchetti (reject+reset)
###
iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset

In modo che qualunque cosa sfugga se abbiamo fatto qualche errore venga sicuramente buttata.

Mettiamo il tutto in un bel file (firewall.sh con opportuni permessi) e abbiamo il nostro firewall!