Änderungen von Dokument Samba4 Verzeichnisdienst direkt im Internet freigeben (ohne Stream via rev-proxy)

Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48

Von 15.1 nach 14.1 Von 17.1 nach 16.1

Von Version 16.1

bearbeitet von jonasmayer@sbede
am 2022/05/23 10:21

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version 15.1

bearbeitet von jonasmayer@sbede
am 2022/05/23 09:57

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

@@ -9,7 +9,7 @@
  ----
--(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (d.h. nicht über einen Tunnel via (% style="color:#2980b9" %)**rev-proxy**(% style="color:#000000" %) / (% style="color:#27ae60" %)**nginx**(% style="color:#000000" %)) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
++(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (und nicht über einen Tunnel via rev-proxy / nginx) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
  {{toc start="4" numbered="true"/}}
@@ -18,12 +18,11 @@
  (% style="color:#000000" %)Öffnen Sie die die Datei {{box}}/etc/nano/shorewall/rules{{/box}} mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
--Da der LDAPS Port 636  schon durch den OpenLDAP-Dienst belegt ist, wird mit nachfolgendem Shorewall-Eintrag der Port serverintern zunächst auf einen anderen Port umgemappt.
++Da der Port 636  intern schon vergeben ist wird mit diesem Eintrag der Port intern auf einen anderen Port umgemappt.
  (% class="box" %)
  (((
--(% style="color:#16a085" %)### TCP-Port 636 vom Internet-Router entgegennehmen und auf benutzerdefiniertem Port 1636 zum LXC-Container logosrv weiterleiten##(%%)##
--(% style="color:#000000" %)DNAT        ext        dmz:172.28.29.2:1636   tcp        636(%%)##
++(% style="color:#000000" %)##DNAT        ext        dmz:172.28.29.2:1636   tcp        636##
  )))
  (% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu:
@@ -38,6 +38,7 @@
  (% style="color:#000000" %)Erstellen Sie die Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} mit einem Editor Ihrer Wahl.
++Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form.
  (% class="box" %)
  (((
@@ -45,14 +45,9 @@
  )))
--(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei.
++(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu.
++Wie Sie dem Abschnitt unter// ipaddr// sehen können wird, hier der Port auf 636 zurückgemappt:
--(% class="box infomessage" %)
--(((
--(% style="font-size: 12px; color: rgb(0, 0, 0)" %)**Hinweis:** Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form und fügen Sie die relevanten Regeln darin ein. Es handelt sich um die rot & orange markierten Zeilen.
--)))
--
--
  (% class="box" %)
  (((
  (% style="color:#000000" %)###!/bin/bash
@@ -74,23 +74,23 @@
   fi
  }
  \\case "$1" in
--  start|restart)##(%%)##
--(% style="color:#16a085" %)   # Zugelassene externe IP-Adressen (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
++  start|restart)
++   # Zugelassene externe IP-Adressen
++   # (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
     # ~-~-~-~-~-~--
--   # Beispiele:
--   # * BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
--   # * Webuntis Server in Österreich IP: 213.208.138.146(%%)
--(% style="color:#e74c3c" %)   SOURCEIP="129.143.69.1 129.143.232.18 129.143.255.2 213.208.138.146"
++   # - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
++   # - Webuntis Server in Österreich IP: 213.208.138.146
++  ##(% style="color:#e74c3c" %)## SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
     IP_LOGOSRV_DMZ=172.28.29.2
--   IP_SAMBA4_SERVERNET=172.28.28.30(%%)##
--\\(% style="color:#e67e22" %)##   for ipaddr in $SOURCEIP
++   IP_SAMBA4_SERVERNET=172.28.28.30##(%%)
++\\(% style="color:#000000" %)##   for ipaddr in $SOURCEIP
     do
       echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
       $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
--     $ipt -t mangle -I mf_internet_cp -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
++     $ipt -t mangle -I mark_from_internet_check_ports -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
       echo "OK"
--   done##(%%)##
--(% style="color:#000000" %)    ;;
++   done
++    ;;
    stop)
      ;;
    *)
@@ -97,23 +97,21 @@
     echo "Benutzung: $0 {start|restart}"
     exit 1
      ;;
--esac(%%)##
++esac##
  )))
--(% style="font-size: 12px; color: rgb(0, 0, 0)" %)**Info:** Durch die letzte iptables-Regel wird der temporär verwendete, benutzerdefinierte TCP-Port 1636 serverintern wieder auf Port 636 zurückgemappt, bevor die Verbindung zum LXC-Container samba4-ad weitergeleitet wird. An diesen Port ist der Samba4 Verzeichnisdienst gebunden.
++(% style="color:#000000" %)Hier müssen nun folgende Werte angepasst werden:
--(% style="color:#000000" %)In der Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} müssen nun folgende Werte an die eigene Umgebung angepasst werden:
--
  (% class="box" %)
  (((
--(% style="color:#e74c3c" %)##SOURCEIP="87.130.28.26"##(% style="color:#16a085" %)##               #  <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. eine extern gehostete Moodle-Instanz##(%%)
--(% style="color:#e74c3c" %)##IP_LOGOSRV_DMZ=172.28.29.2##(% style="color:#16a085" %)##            #  <- ifconfig im logosrv aufrufen, dort die IP-Adresse der Schnittstelle "dmz" anschauen und hier in der Variable eintragen##(%%)
--(% style="color:#e74c3c" %)##IP_SAMBA4_SERVERNET=172.28.28.30##(% style="color:#16a085" %)##      #  <- ifconfig im samba4-ad Container aufrufen, dort die IP-Adresse der Schnittstelle "servernet" anschauen und hier in der Variable eintragen##
++(% style="color:#000000" %)##SOURCEIP="87.130.28.26"               ##(% style="color:#e74c3c" %)###  <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. ein extern gehostete Moodle-Instanz##(%%)
++(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2            ##(% style="color:#e74c3c" %)###  <- ifconfig im logosrv und IP-Adresse der Schnittstelle "dmz" anschauen##(%%)
++(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)##   #  <- ifconfig im Samba4-ad Container und IP-Adresse der Schnittstelle "servernet" anschauen##
  )))
--(% style="color:#000000" %)Danach müssen Sie das Skript noch ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird:
++(% style="color:#000000" %)Danach müssen Sie das Skript ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird:
  (% class="box" %)
  (((
@@ -121,11 +121,11 @@
  )))
--(% style="color:#000000" %)Führen Sie nun das Skript einmal im Vordergrund aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle):
++(% style="color:#000000" %)Führen Sie nun das Skript einmal aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle):
  (% class="box" %)
  (((
--(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom restart##
++(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom##
  )))