Zum Inhalt springen

OpenLDAP direkt im Internet freigeben (ohne Stream im rev-proxy)

Version 3.14 von michaelecer@sbede am 2022/03/24 20:41

ldhost

nano /etc/shorewall/rules
DNAT        ext        dmz:172.28.29.2:1636   tcp        636

shorewall restart

logosrv

nano /usr/sbin/ldfirewall.custom

folgenden Text pasten und bearbeiten:

#!/bin/bash

DRYRUN=no
VERBOSE=no
ipt=do_iptables
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/home/bin:/usr/local/bin/support"

do_iptables()
{
  run iptables "$@"
}
run()
{
 if [ "$VERBOSE" = "yes" ]; then
   echo "$@"
 fi
 if [ "$DRYRUN" = "no" ]; then
   "$@"
 fi
}

case "$1" in
  start|restart)
   # Zugelassene externe IP-Adressen
   # (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
   # -------
   # - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
   # - Webuntis Server in Österreich IP: 213.208.138.146
   SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
   IP_LOGOSRV_DMZ=172.28.29.2
   IP_SAMBA4_SERVERNET=172.28.28.30

   for ipaddr in $SOURCEIP
   do
     echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
     $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} --dport 1636 -j DNAT --to-destination ${IP_SAMBA4_SERVERNET}:636
     $ipt -t mangle -I mark_from_internet_check_ports -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} --dport 1636 -g mark_from_internet_allowed
     echo "OK"
   done
    ;;
  stop)
    ;;
  *)
   echo "Benutzung: $0 {start|restart}"
   exit 1
    ;;
esac

folgendes muss hier angepasst werden:

SOURCEIP=" 87.130.28.26"                         <- SBE IP, da wird eine zusätzliche gewhitelistet, die öffentliche ip der moodle Instanz
IP_LOGOSRV_DMZ=172.28.29.2                 <- (ifconfig in logosrv und Eintrag "DMZ" anschauen
IP_SAMBA4_SERVERNET=172.28.28.30    <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen

Das Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden

chmod +x ldfirewall.custom
bash ldfirewall.custom

nano /etc/logodidact/internet.conf

FromInternetAllowTCP 636 als Port freigeben in der Internet.conf

ldfirewall restart

Portfreischalten auf dem Router nicht vergessen!

1597240262579-305.png