Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48
Von Version 15.1
bearbeitet von jonasmayer@sbede
am 2022/05/23 09:57
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 19.1
bearbeitet von jonasmayer@sbede
am 2022/05/23 10:36
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -9,7 +9,7 @@
9 9  ----
10 10  
11 11  
12 -(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (und nicht über einen Tunnel via rev-proxy / nginx) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
12 +(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (d.h. nicht über einen Tunnel via (% style="color:#2980b9" %)**rev-proxy**(% style="color:#000000" %) / (% style="color:#27ae60" %)**nginx**(% style="color:#000000" %)) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
13 13  
14 14  {{toc start="4" numbered="true"/}}
15 15  
... ... @@ -18,10 +18,11 @@
18 18  
19 19  
20 20  (% style="color:#000000" %)Öffnen Sie die die Datei {{box}}/etc/nano/shorewall/rules{{/box}} mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
21 -Da der Port 636  intern schon vergeben ist wird mit diesem Eintrag der Port intern auf einen anderen Port umgemappt.
21 +Da der LDAPS Port 636  schon durch den OpenLDAP-Dienst belegt ist, wird mit nachfolgendem Shorewall-Eintrag der Port serverintern zunächst auf einen anderen Port umgemappt.
22 22  
23 23  (% class="box" %)
24 24  (((
25 +(% style="color:#16a085" %)### TCP-Port 636 vom Internet-Router entgegennehmen und auf benutzerdefiniertem Port 1636 zum LXC-Container logosrv weiterleiten##(%%)
25 25  (% style="color:#000000" %)##DNAT ext dmz:172.28.29.2:1636 tcp 636##
26 26  )))
27 27  
... ... @@ -37,7 +37,6 @@
37 37  
38 38  
39 39  (% style="color:#000000" %)Erstellen Sie die Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} mit einem Editor Ihrer Wahl.
40 -Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form.
41 41  
42 42  (% class="box" %)
43 43  (((
... ... @@ -45,9 +45,14 @@
45 45  )))
46 46  
47 47  
48 -(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu.
49 -Wie Sie dem Abschnitt unter// ipaddr// sehen können wird, hier der Port auf 636 zurückgemappt:
48 +(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei.
50 50  
50 +(% class="box infomessage" %)
51 +(((
52 +(% style="color:#000000; font-size:12px" %)**Hinweis:** Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form und fügen Sie die relevanten Regeln darin ein. Es handelt sich um die rot & orange markierten Zeilen.
53 +)))
54 +
55 +
51 51  (% class="box" %)
52 52  (((
53 53  (% style="color:#000000" %)###!/bin/bash
... ... @@ -61,52 +61,54 @@
61 61  }
62 62  run()
63 63  {
64 - if [ "$VERBOSE" = "yes" ]; then
65 - echo "$@"
66 - fi
67 - if [ "$DRYRUN" = "no" ]; then
68 - "$@"
69 - fi
69 + if [ "$VERBOSE" = "yes" ]; then
70 + echo "$@"
71 + fi
72 + if [ "$DRYRUN" = "no" ]; then
73 + "$@"
74 + fi
70 70  }
71 71  \\case "$1" in
72 - start|restart)
73 - # Zugelassene externe IP-Adressen
74 - # (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
75 - # ~-~-~-~-~-~--
76 - # - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
77 - # - Webuntis Server in Österreich IP: 213.208.138.146
78 - ##(% style="color:#e74c3c" %)## SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
79 - IP_LOGOSRV_DMZ=172.28.29.2
80 - IP_SAMBA4_SERVERNET=172.28.28.30##(%%)
81 -\\(% style="color:#000000" %)## for ipaddr in $SOURCEIP
82 - do
83 - echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
84 - $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
85 - $ipt -t mangle -I mark_from_internet_check_ports -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
86 - echo "OK"
87 - done
88 - ;;
77 + start|restart)##(%%)
78 +(% style="color:#16a085" %)## # Zugelassene externe IP-Adressen (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
79 + # ~-~-~-~-~-~--
80 + # Beispiele:
81 + # * BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
82 + # * Webuntis Server in Österreich IP: 213.208.138.146##(%%)
83 +(% style="color:#e74c3c" %)## SOURCEIP="129.143.69.1 129.143.232.18 129.143.255.2 213.208.138.146"
84 + IP_LOGOSRV_DMZ=172.28.29.2
85 + IP_SAMBA4_SERVERNET=172.28.28.30##(%%)
86 +\\(% style="color:#e67e22" %)## for ipaddr in $SOURCEIP
87 + do
88 + echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
89 + $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
90 + $ipt -t mangle -I mf_internet_cp -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
91 + echo "OK"
92 + done##(%%)
93 +(% style="color:#000000" %)## ;;
89 89   stop)
90 90   ;;
91 91   *)
92 - echo "Benutzung: $0 {start|restart}"
93 - exit 1
97 + echo "Benutzung: $0 {start|restart}"
98 + exit 1
94 94   ;;
95 95  esac##
96 96  )))
97 97  
103 +(% style="color:#000000; font-size:12px" %)**Info:** Durch die letzte iptables-Regel wird der temporär verwendete, benutzerdefinierte TCP-Port 1636 serverintern wieder auf Port 636 zurückgemappt, bevor die Verbindung zum LXC-Container samba4-ad weitergeleitet wird. An diesen Port ist der Samba4 Verzeichnisdienst gebunden.
98 98  
99 -(% style="color:#000000" %)Hier müssen nun folgende Werte angepasst werden:
100 100  
106 +(% style="color:#000000" %)In der Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} müssen nun folgende Werte an die eigene Umgebung angepasst werden:
107 +
101 101  (% class="box" %)
102 102  (((
103 -(% style="color:#000000" %)##SOURCEIP="87.130.28.26"               ##(% style="color:#e74c3c" %)###  <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. ein extern gehostete Moodle-Instanz##(%%)
104 -(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2            ##(% style="color:#e74c3c" %)###  <- ifconfig im logosrv und IP-Adresse der Schnittstelle "dmz" anschauen##(%%)
105 -(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)## #  <- ifconfig im Samba4-ad Container und IP-Adresse der Schnittstelle "servernet" anschauen##
110 +(% style="color:#e74c3c" %)##SOURCEIP="87.130.28.26"##(% style="color:#16a085" %)##               #  <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. eine extern gehostete Moodle-Instanz##(%%)
111 +(% style="color:#e74c3c" %)##IP_LOGOSRV_DMZ=172.28.29.2##(% style="color:#16a085" %)##            #  <- ifconfig im logosrv aufrufen, dort die IP-Adresse der Schnittstelle "dmz" anschauen und hier in der Variable eintragen##(%%)
112 +(% style="color:#e74c3c" %)##IP_SAMBA4_SERVERNET=172.28.28.30##(% style="color:#16a085" %)##   #  <- ifconfig im samba4-ad Container aufrufen, dort die IP-Adresse der Schnittstelle "servernet" anschauen und hier in der Variable eintragen##
106 106  )))
107 107  
108 108  
109 -(% style="color:#000000" %)Danach müssen Sie das Skript ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird:
116 +(% style="color:#000000" %)Danach müssen Sie das Skript noch ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird:
110 110  
111 111  (% class="box" %)
112 112  (((
... ... @@ -114,46 +114,33 @@
114 114  )))
115 115  
116 116  
117 -(% style="color:#000000" %)Führen Sie nun das Skript einmal aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle):
124 +(% style="color:#000000" %)Führen Sie nun das Skript einmal im Vordergrund aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle):
118 118  
119 119  (% class="box" %)
120 120  (((
121 -(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom##
128 +(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom restart##
122 122  )))
123 123  
124 124  
125 -(% style="color:#000000" %)Im nächsten Schritt öffnen Sie mit einem Editor Ihrer Wahl die //internet.conf//
132 +(% style="color:#000000" %)Im Anschluß daran starten Sie die Firewall komplett neu, um die Regeln zu laden:
126 126  
127 127  (% class="box" %)
128 128  (((
129 -(% style="color:#000000" %)##nano /etc/logodidact/internet.conf##
136 +(% style="color:#000000" %)##ldfirewall restart##
130 130  )))
131 131  
132 132  
133 -(% style="color:#000000" %)Hier gen Sie nun den Port 1636 im Abschnitt //FromInternetAllowTCP// hinzu
140 +==== (% style="color:#000000" %)Schritte am vorgeschalteten Router für den Internetzugriff(%%) ====
134 134  
135 -(% class="box" %)
136 -(((
137 -(% style="color:#000000" %)##FromInternetAllowTCP 1636##
138 -)))
139 139  
143 +(% style="color:#000000" %)Damit die Freigabe des Samba4-LDAP im Internet funktioniert, ist es außerdem noch wichtig, die Portfreigabe (TCP-Port 636) am vorgeschalteten Router zum LogoDIDACT Server hinzuzufügen:
140 140  
141 -(% style="color:#000000" %)Im Anschluß daran starten Sie die Firewall neu
145 +[[image:1653294111427-417.png||class="img-thumbnail"]]
142 142  
143 -(% class="box" %)
144 -(((
145 -(% style="color:#000000" %)##ldfirewall restart##
146 -)))
147 147  
148 -
149 -(% style="color:#000000" %)Damit die Freigabe des Samba4-LDAP funktioniert, ist es außerdem noch wichtig, die Portfreigabe (TCP-Port 636) am vorgeschalteten Router nicht zu vergessen:
150 -
151 -(% style="color:#000000" %)[[image:Port_Router.png]]
152 -
153 -
154 154  (% class="box successmessage" %)
155 155  (((
156 156  (% style="color:#000000" %)**__Hinweise:__**(%%)
157 157  (% style="color:#000000" %)- Bei der IP-Adresse 192.168.1.254 in der Abbildung handelt es sich um die Schnittstelle p_extern des LogoDIDACT Servers(%%)
158 -- (% style="color:#000000" %)Neben dem Port 636 (LDAP-Freigabe als Thema dieses Artikels) werden hier außerdem noch die Ports 80+443 zur Freischaltung von Webdiensten durch den Router weitergeleitet
152 +- (% style="color:#000000" %)Neben dem Port 636 (LDAP-Freigabe wie im Artikel hier beschrieben) werden hier in der Abbildung außerdem noch die Ports 80+443 zur Freischaltung von LogoDIDACT Webdiensten durch den Router weitergeleitet
159 159  )))
1653294111427-417.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.jonasmayer@sbede
Größe
... ... @@ -1,0 +1,1 @@
1 +27.9 KB
Inhalt