Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48
Von Version 1.1
bearbeitet von michaelecer@sbede
am 2021/08/28 16:16
Änderungskommentar: Neuen Anhang 1597240262579-305.png hochladen
Auf Version 7.1
bearbeitet von aku@sbede
am 2022/05/17 14:23
Änderungskommentar: Neuen Anhang Port_Router.png hochladen

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,0 +1,1 @@
1 +samba4 direkt im Internet freigeben (ohne Stream im rev-proxy)
Übergeordnete Seite
... ... @@ -1,0 +1,1 @@
1 +Main.LD Server.Allgemein.WebHome
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.michaelecer@sbede
1 +XWiki.aku@sbede
Inhalt
... ... @@ -1,0 +1,139 @@
1 +(% style="color: rgb(231, 76, 60); font-size: 18px" %)**Wichtig, diese Art der samba Freigabe wird von SBE nicht empfohlen, da hier die Freigabe unverschlüsselt erfolgt. Wir empfehlen Ihnen dieser **(% style="font-size:18px" %)**[[(% style="font-size: 18px; color: rgb(41, 128, 185)" %)Anleitung>>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]](%%)**(% style="color: rgb(231, 76, 60); font-size: 18px" %)**[[ >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen!**
2 +
3 +
4 +(% style="color:#000000" %)Wenn Sie den OpenLDAP direkt und nicht über den rev-proxy im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
5 +
6 +
7 +=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ===
8 +
9 +
10 +(% style="color:#000000" %)Öffnen Sie die die Datei /etc/nano/shorewall/rules mit einem Editor Ihrer Wahl und fügen Sie(%%) am Anfang folgende Zeile hinzu
11 +
12 +(% class="box" %)
13 +(((
14 +(% style="color:#000000" %)##DNAT ext dmz:172.28.29.2:1636 tcp 636##
15 +)))
16 +
17 +(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu
18 +
19 +(% class="box" %)
20 +(((
21 +(% style="color:#000000" %)##shorewall restart##
22 +)))
23 +
24 +
25 +=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ===
26 +
27 +
28 +(% style="color:#000000" %)Erstellem Sie die Datei /usr/sbin/ldfirewall.custom mit einem Editor Ihrer Wahl.
29 +Sollte die Datei schin exitieren öffnen Sie sie.
30 +
31 +(% class="box" %)
32 +(((
33 +(% style="color:#000000" %)##nano /usr/sbin/ldfirewall.custom##
34 +)))
35 +
36 +
37 +(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu:
38 +
39 +(% class="box" %)
40 +(((
41 +(% style="color:#000000" %)###!/bin/bash
42 +\\DRYRUN=no
43 +VERBOSE=no
44 +ipt=do_iptables
45 +PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/home/bin:/usr/local/bin/support"
46 +\\do_iptables()
47 +{
48 + run iptables "$@"
49 +}
50 +run()
51 +{
52 + if [ "$VERBOSE" = "yes" ]; then
53 + echo "$@"
54 + fi
55 + if [ "$DRYRUN" = "no" ]; then
56 + "$@"
57 + fi
58 +}
59 +\\case "$1" in
60 + start|restart)
61 + # Zugelassene externe IP-Adressen
62 + # (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
63 + # ~-~-~-~-~-~--
64 + # - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
65 + # - Webuntis Server in Österreich IP: 213.208.138.146
66 + ##(% style="color:#e74c3c" %)## SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
67 + IP_LOGOSRV_DMZ=172.28.29.2
68 + IP_SAMBA4_SERVERNET=172.28.28.30##(%%)
69 +\\(% style="color:#000000" %)## for ipaddr in $SOURCEIP
70 + do
71 + echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
72 + $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
73 + $ipt -t mangle -I mark_from_internet_check_ports -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
74 + echo "OK"
75 + done
76 + ;;
77 + stop)
78 + ;;
79 + *)
80 + echo "Benutzung: $0 {start|restart}"
81 + exit 1
82 + ;;
83 +esac##
84 +)))
85 +
86 +
87 +(% style="color:#000000" %)Hier müssen nun folgende Werte angepasst werden:
88 +
89 +(% class="box" %)
90 +(((
91 +(% style="color:#000000" %)##SOURCEIP=" 87.130.28.26"                      ##(% style="color:#e74c3c" %)## <- SBE IP, da wird eine zusätzliche gewhitelistet, die öffentliche ip der moodle Instanz##(%%)
92 +(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2                 ##(% style="color:#e74c3c" %)##<- (ifconfig in logosrv und Eintrag "DMZ" anschauen##(%%)
93 +(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)## <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen##
94 +)))
95 +
96 +
97 +(% style="color:#000000" %)Danach müssen Sie die Datei als Skript für den Cronjob ausführbar gemacht werden und auch e ausfürhbar machen Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden
98 +
99 +(% class="box" %)
100 +(((
101 +(% style="color:#000000" %)##chmod +x ldfirewall.custom##
102 +)))
103 +
104 +
105 +(% style="color:#000000" %)Führen Sie nun das Skript einmal aus
106 +
107 +(% class="box" %)
108 +(((
109 +(% style="color:#000000" %)##bash ldfirewall.custom##
110 +)))
111 +
112 +
113 +(% style="color:#000000" %)Im nächsten Schritt öffnen Sie mit einem Editor Ihrer Wahl die //internet.conf//
114 +
115 +(% class="box" %)
116 +(((
117 +(% style="color:#000000" %)##nano /etc/logodidact/internet.conf##
118 +)))
119 +
120 +
121 +(% style="color:#000000" %)Hier fügen Sie nun den Port 636 im Abschnitt //FromInternetAllowTCP// hinzu
122 +
123 +(% class="box" %)
124 +(((
125 +(% style="color:#000000" %)FromInternetAllowTCP 636
126 +)))
127 +
128 +
129 +(% style="color:#000000" %)Im Anschluß daran starten Sie die Firewall neu
130 +
131 +(% class="box" %)
132 +(((
133 +(% style="color:#000000" %)##ldfirewall restart##
134 +)))
135 +
136 +
137 +(% style="color:#000000" %)Damit die Freigabe des OpenLDAP funktioniert ist es wichtig die Portfreigabe (Port 636) im Router nichtzu vergessen:
138 +
139 +(% style="color:#000000" %)[[image:1597240262579-305.png]]
Port_Router.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.aku@sbede
Größe
... ... @@ -1,0 +1,1 @@
1 +21.5 KB
Inhalt