OpenLDAP direkt im Internet freigeben (ohne Stream im rev-proxy)

Version 4.1 von aku@sbede am 2022/05/16 14:59

Wenn Sie den OpenLDAP direkt und nicht über den rev-proxy im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.

Schritte im Container ldhost

Öffnen Sie die die Datei /etc/nano/shorewall/rules mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu

DNAT ext dmz:172.28.29.2:1636 tcp 636

Im Anschluß daran starten Sie mit folgendem Befehl die Firewall neu

shorewall restart

Schritte im Container logosrv

Erstellem Sie die Datei /usr/sbin/ldfirewall.custom mit einem Editor Ihrer Wahl.
Sollte die Datei schin exitieren öffnen Sie sie.

nano /usr/sbin/ldfirewall.custom

Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu:

#!/bin/bash

DRYRUN=no
VERBOSE=no
ipt=do_iptables
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/home/bin:/usr/local/bin/support"

do_iptables()
{
  run iptables "$@"
}
run()
{
if [ "$VERBOSE" = "yes" ]; then
   echo "$@"
fi
if [ "$DRYRUN" = "no" ]; then
   "$@"
fi
}

case "$1" in
  start|restart)
   # Zugelassene externe IP-Adressen
   # (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
   # -------
   # - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
   # - Webuntis Server in Österreich IP: 213.208.138.146
   SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
   IP_LOGOSRV_DMZ=172.28.29.2
   IP_SAMBA4_SERVERNET=172.28.28.30

   for ipaddr in $SOURCEIP
   do
     echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
     $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} --dport 1636 -j DNAT --to-destination ${IP_SAMBA4_SERVERNET}:636
     $ipt -t mangle -I mark_from_internet_check_ports -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} --dport 1636 -g mark_from_internet_allowed
     echo "OK"
   done
    ;;
  stop)
    ;;
  *)
   echo "Benutzung: $0 {start|restart}"
   exit 1
    ;;
esac

Hier müssen nun folgende Werte angepasst werden:

SOURCEIP=" 87.130.28.26"                         <- SBE IP, da wird eine zusätzliche gewhitelistet, die öffentliche ip der moodle Instanz
IP_LOGOSRV_DMZ=172.28.29.2                 <- (ifconfig in logosrv und Eintrag "DMZ" anschauen
IP_SAMBA4_SERVERNET=172.28.28.30    <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen

Danach müssen Sie die Datei als Skript für den Cronjob ausführbar gemacht werden und auch e ausfürhbar machen Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden

chmod +x ldfirewall.custom

Führen Sie nun das Skript einmal aus

bash ldfirewall.custom

Im nächsten Schritt öffnen Sie mit einem Editor Ihrer Wahl die internet.conf

nano /etc/logodidact/internet.conf

Hier fügen Sie nun den Port 636 im Abschnitt FromInternetAllowTCP hinzu

FromInternetAllowTCP 636

Im Anschluß daran starten Sie die Firewall neu

ldfirewall restart

Damit die Freigabe des OpenLDAP funktioniert ist es wichtig die Portfreigabe (Port 636) im Router nichtzu vergessen: