PeHa ICT

Bij dezelfde server als in mijn vorige post, kwam ook het probleem naar voren, dat de firewall vrijwel alle poorten gesloten had: De webserver (poort 80) was niet bereikbaar, ftp werkte niet. En dat alleen "van buiten" want via de localhost waren de services wel te bereiken.

De volgende aanpassingen waren daarom gedaan aan /etc/sysconfig/iptables

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
#ftp:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-I INPUT -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Dit regelt dan de poorten 80 en 443 toegankelijk zijn: voor de websites.

Poort 22 is voor SSH toegang

Poort 21 en 20 hebben betrekking op het opzetten van een FTP-verbinding. Opzetten, want nadat de verbinding is opgezet, wordt de data heen en weer gestuurd over andere poorten: tussen de 1024 en 65535. Dat staat bekend als een Passive connectie. Als je je moet beperken tot poort 20 en 21, dan spreekt met van een Actieve connectie.

Helaas is dat nog niet voldoende. Er moet namelijk ook nog uitgevoerd worden (als root): modprobe ip_conntrack_ftp

Om deze kernel module ook bij het herstarten van iptables actief te houden, dient aan /etc/sysconfig/iptables-config toegevoegd te worden:

IPTABLES_MODULES="ip_conntrack_ftp"

Bij mij stond de regel al in de config file, zij het met een lege string erachter.