Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48
Von Version 8.1
bearbeitet von aku@sbede
am 2022/05/17 14:26
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 1.1
bearbeitet von michaelecer@sbede
am 2021/08/28 16:16
Änderungskommentar: Neuen Anhang 1597240262579-305.png hochladen

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,1 +1,0 @@
1 -samba4 direkt im Internet freigeben (ohne Stream im rev-proxy)
Übergeordnete Seite
... ... @@ -1,1 +1,0 @@
1 -Main.LD Server.Allgemein.WebHome
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.aku@sbede
1 +XWiki.michaelecer@sbede
Inhalt
... ... @@ -1,141 +1,0 @@
1 -(% style="color:#e74c3c; font-size:18px" %)**Wichtig, diese Art der samba Freigabe wird von SBE nicht empfohlen, da hier die Freigabe unverschlüsselt erfolgt. Wir empfehlen Ihnen dieser **(% style="font-size:18px" %)**[[(% style="font-size: 18px; color: rgb(41, 128, 185); font-size: 18px" %)Anleitung>>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]](%%)**(% style="color:#e74c3c; font-size:18px" %)**[[ >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen!**
2 -
3 -
4 -(% style="color:#000000" %)Wenn Sie den OpenLDAP direkt und nicht über den rev-proxy im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
5 -
6 -
7 -=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ===
8 -
9 -
10 -(% style="color:#000000" %)Öffnen Sie die die Datei /etc/nano/shorewall/rules mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
11 -Da der Port 636  intern schon vergeben ist wird mit diesem Eintrag der Port intern auf einen anderen Port umgemappt.
12 -
13 -(% class="box" %)
14 -(((
15 -(% style="color:#000000" %)##DNAT ext dmz:172.28.29.2:1636 tcp 636##
16 -)))
17 -
18 -(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu
19 -
20 -(% class="box" %)
21 -(((
22 -(% style="color:#000000" %)##shorewall restart##
23 -)))
24 -
25 -
26 -=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ===
27 -
28 -
29 -(% style="color:#000000" %)Erstellem Sie die Datei /usr/sbin/ldfirewall.custom mit einem Editor Ihrer Wahl.
30 -Sollte die Datei schin exitieren öffnen Sie sie.
31 -
32 -(% class="box" %)
33 -(((
34 -(% style="color:#000000" %)##nano /usr/sbin/ldfirewall.custom##
35 -)))
36 -
37 -
38 -(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu.
39 -Wie Sie dem Asbchnitt unter// ipaddr// sehen können wird hier der Port zurückhemappt:
40 -
41 -(% class="box" %)
42 -(((
43 -(% style="color:#000000" %)###!/bin/bash
44 -\\DRYRUN=no
45 -VERBOSE=no
46 -ipt=do_iptables
47 -PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/home/bin:/usr/local/bin/support"
48 -\\do_iptables()
49 -{
50 - run iptables "$@"
51 -}
52 -run()
53 -{
54 - if [ "$VERBOSE" = "yes" ]; then
55 - echo "$@"
56 - fi
57 - if [ "$DRYRUN" = "no" ]; then
58 - "$@"
59 - fi
60 -}
61 -\\case "$1" in
62 - start|restart)
63 - # Zugelassene externe IP-Adressen
64 - # (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
65 - # ~-~-~-~-~-~--
66 - # - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
67 - # - Webuntis Server in Österreich IP: 213.208.138.146
68 - ##(% style="color:#e74c3c" %)## SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
69 - IP_LOGOSRV_DMZ=172.28.29.2
70 - IP_SAMBA4_SERVERNET=172.28.28.30##(%%)
71 -\\(% style="color:#000000" %)## for ipaddr in $SOURCEIP
72 - do
73 - echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
74 - $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
75 - $ipt -t mangle -I mark_from_internet_check_ports -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
76 - echo "OK"
77 - done
78 - ;;
79 - stop)
80 - ;;
81 - *)
82 - echo "Benutzung: $0 {start|restart}"
83 - exit 1
84 - ;;
85 -esac##
86 -)))
87 -
88 -
89 -(% style="color:#000000" %)Hier müssen nun folgende Werte angepasst werden:
90 -
91 -(% class="box" %)
92 -(((
93 -(% style="color:#000000" %)##SOURCEIP=" 87.130.28.26"                      ##(% style="color:#e74c3c" %)## <- SBE IP, da wird eine zusätzliche gewhitelistet, die öffentliche ip der moodle Instanz##(%%)
94 -(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2                 ##(% style="color:#e74c3c" %)##<- (ifconfig in logosrv und Eintrag "DMZ" anschauen##(%%)
95 -(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)## <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen##
96 -)))
97 -
98 -
99 -(% style="color:#000000" %)Danach müssen Sie die Datei als Skript für den Cronjob ausführbar gemacht werden und auch e ausfürhbar machen Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden
100 -
101 -(% class="box" %)
102 -(((
103 -(% style="color:#000000" %)##chmod +x ldfirewall.custom##
104 -)))
105 -
106 -
107 -(% style="color:#000000" %)Führen Sie nun das Skript einmal aus
108 -
109 -(% class="box" %)
110 -(((
111 -(% style="color:#000000" %)##bash ldfirewall.custom##
112 -)))
113 -
114 -
115 -(% style="color:#000000" %)Im nächsten Schritt öffnen Sie mit einem Editor Ihrer Wahl die //internet.conf//
116 -
117 -(% class="box" %)
118 -(((
119 -(% style="color:#000000" %)##nano /etc/logodidact/internet.conf##
120 -)))
121 -
122 -
123 -(% style="color:#000000" %)Hier fügen Sie nun den Port 636 im Abschnitt //FromInternetAllowTCP// hinzu
124 -
125 -(% class="box" %)
126 -(((
127 -(% style="color:#000000" %)FromInternetAllowTCP 636
128 -)))
129 -
130 -
131 -(% style="color:#000000" %)Im Anschluß daran starten Sie die Firewall neu
132 -
133 -(% class="box" %)
134 -(((
135 -(% style="color:#000000" %)##ldfirewall restart##
136 -)))
137 -
138 -
139 -(% style="color:#000000" %)Damit die Freigabe des samba4 funktioniert ist es wichtig die Portfreigabe (Port 636) im Router nichtzu vergessen:
140 -
141 -(% style="color:#000000" %)[[image:Port_Router.png]]
Port_Router.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.aku@sbede
Größe
... ... @@ -1,1 +1,0 @@
1 -21.5 KB
Inhalt