Novembre 15, 2019

Alfresco tips & tricks – #6 CIFS e FTP su porte non privilegiate con IPTABLES

E’ possibile eseguire i servizi CIFS ed FTP di Alfresco su porte non privilegiate. Questo permette di aumentare il livello di sicurezza della piattaforma, evitando installazioni dell’ ECM con utenze privilegiate su sistemi oprerativi unix. Vediamo come utilizzare iptables per creare una tabella di natting sui servizi CIFS (porte 137,138 e 139) ed FTP (porta 21). Viene preso in considerazione il sistema operativo centOS.

Assicurarsi di aver impostato porte non privilegiate per i servizi CIFS ed FTP su alfresco-global.properties.

### CIFS/SMB
###
cifs.enabled=true
cifs.ipv6.enabled=false
cifs.tcpipSMB.port=1445
cifs.netBIOSSMB.namePort=1137
cifs.netBIOSSMB.datagramPort=1138
cifs.netBIOSSMB.sessionPort=1139

### FTP
###
ftp.enabled=true
ftp.port=2121

Aggiornare il file di configurazione per iptables.

$ vi /etc/sysconfig/iptables
### Define the nat table
###
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p udp --dport 137 -j REDIRECT --to-ports 1137
-A PREROUTING -p udp --dport 138 -j REDIRECT --to-ports 1138
-A PREROUTING -p tcp --dport 139 -j REDIRECT --to-ports 1139
-A PREROUTING -p tcp --dport 445 -j REDIRECT --to-ports 1445
-A PREROUTING -p tcp --dport 21 -j REDIRECT --to-ports 2121
COMMIT

### Define the filter table to firewalling services
###
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

Riavviare il servizio iptables

/etc/init.d/iptables restart

Nota su ipv4 forwarding

$ vi /etc/sysctl.conf

net.ipv4.ip_forward = 1

$ sysctl -p /etc/sysctl.conf

$ /etc/init.d/iptables restart
$ iptables -t nat -L -nv

 

Leave a Reply

Your email address will not be published.