Wiki-Quellcode von samba4 direkt im Internet freigeben (ohne Stream im rev-proxy)

Version 8.1 von aku@sbede am 2022/05/17 14:26

version	line-number	content
8.1	1	(% style="color:#e74c3c; font-size:18px" %)Wichtig, diese Art der samba Freigabe wird von SBE nicht empfohlen, da hier die Freigabe unverschlüsselt erfolgt. Wir empfehlen Ihnen dieser (% style="font-size:18px" %)[[(% style="font-size: 18px; color: rgb(41, 128, 185); font-size: 18px" %)Anleitung>>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome\|\|target="_blank"]](%%)(% style="color:#e74c3c; font-size:18px" %)[[ >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome\|\|target="_blank"]]zu folgen!
6.1	2
	3
4.1	4	(% style="color:#000000" %)Wenn Sie den OpenLDAP direkt und nicht über den rev-proxy im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
2.1	5
4.1	6
	7	=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ===
	8
	9
8.1	10	(% style="color:#000000" %)Öffnen Sie die die Datei /etc/nano/shorewall/rules mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
	11	Da der Port 636 intern schon vergeben ist wird mit diesem Eintrag der Port intern auf einen anderen Port umgemappt.
4.1	12
2.1	13	(% class="box" %)
	14	(((
4.1	15	(% style="color:#000000" %)##DNAT ext dmz:172.28.29.2:1636 tcp 636##
2.1	16	)))
	17
5.1	18	(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu
4.1	19
2.1	20	(% class="box" %)
	21	(((
	22	(% style="color:#000000" %)##shorewall restart##
	23	)))
	24
	25
4.1	26	=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ===
2.1	27
4.1	28
	29	(% style="color:#000000" %)Erstellem Sie die Datei /usr/sbin/ldfirewall.custom mit einem Editor Ihrer Wahl.
	30	Sollte die Datei schin exitieren öffnen Sie sie.
	31
2.1	32	(% class="box" %)
	33	(((
	34	(% style="color:#000000" %)##nano /usr/sbin/ldfirewall.custom##
	35	)))
	36
	37
8.1	38	(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu.
	39	Wie Sie dem Asbchnitt unter// ipaddr// sehen können wird hier der Port zurückhemappt:
4.1	40
2.1	41	(% class="box" %)
	42	(((
	43	(% style="color:#000000" %)###!/bin/bash
	44	\\DRYRUN=no
	45	VERBOSE=no
	46	ipt=do_iptables
	47	PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/home/bin:/usr/local/bin/support"
	48	\\do_iptables()
	49	{
	50	run iptables "$@"
	51	}
	52	run()
	53	{
	54	if [ "$VERBOSE" = "yes" ]; then
	55	echo "$@"
	56	fi
	57	if [ "$DRYRUN" = "no" ]; then
	58	"$@"
	59	fi
	60	}
	61	\\case "$1" in
	62	start\|restart)
	63	# Zugelassene externe IP-Adressen
	64	# (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
	65	# ~-~-~-~-~-~--
	66	# - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
	67	# - Webuntis Server in Österreich IP: 213.208.138.146
4.1	68	##(% style="color:#e74c3c" %)## SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
2.1	69	IP_LOGOSRV_DMZ=172.28.29.2
5.1	70	IP_SAMBA4_SERVERNET=172.28.28.30##(%%)
	71	\\(% style="color:#000000" %)## for ipaddr in $SOURCEIP
2.1	72	do
	73	echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
	74	$ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
	75	$ipt -t mangle -I mark_from_internet_check_ports -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
	76	echo "OK"
	77	done
	78	;;
	79	stop)
	80	;;
	81	*)
	82	echo "Benutzung: $0 {start\|restart}"
	83	exit 1
	84	;;
5.1	85	esac##
2.1	86	)))
	87
	88
4.1	89	(% style="color:#000000" %)Hier müssen nun folgende Werte angepasst werden:
	90
2.1	91	(% class="box" %)
	92	(((
5.1	93	(% style="color:#000000" %)##SOURCEIP=" 87.130.28.26" ##(% style="color:#e74c3c" %)## <- SBE IP, da wird eine zusätzliche gewhitelistet, die öffentliche ip der moodle Instanz##(%%)
6.1	94	(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2 ##(% style="color:#e74c3c" %)##<- (ifconfig in logosrv und Eintrag "DMZ" anschauen##(%%)
	95	(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30 ##(% style="color:#e74c3c" %)## <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen##
2.1	96	)))
	97
	98
4.1	99	(% style="color:#000000" %)Danach müssen Sie die Datei als Skript für den Cronjob ausführbar gemacht werden und auch e ausfürhbar machen Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden
	100
2.1	101	(% class="box" %)
	102	(((
4.1	103	(% style="color:#000000" %)##chmod +x ldfirewall.custom##
2.1	104	)))
	105
4.1	106
	107	(% style="color:#000000" %)Führen Sie nun das Skript einmal aus
	108
2.1	109	(% class="box" %)
	110	(((
4.1	111	(% style="color:#000000" %)##bash ldfirewall.custom##
	112	)))
	113
	114
	115	(% style="color:#000000" %)Im nächsten Schritt öffnen Sie mit einem Editor Ihrer Wahl die //internet.conf//
	116
	117	(% class="box" %)
	118	(((
2.1	119	(% style="color:#000000" %)##nano /etc/logodidact/internet.conf##
	120	)))
	121
	122
4.1	123	(% style="color:#000000" %)Hier fügen Sie nun den Port 636 im Abschnitt //FromInternetAllowTCP// hinzu
	124
2.1	125	(% class="box" %)
	126	(((
4.1	127	(% style="color:#000000" %)FromInternetAllowTCP 636
	128	)))
	129
	130
	131	(% style="color:#000000" %)Im Anschluß daran starten Sie die Firewall neu
	132
	133	(% class="box" %)
	134	(((
2.1	135	(% style="color:#000000" %)##ldfirewall restart##
	136	)))
	137
	138
8.1	139	(% style="color:#000000" %)Damit die Freigabe des samba4 funktioniert ist es wichtig die Portfreigabe (Port 636) im Router nichtzu vergessen:
4.1	140
8.1	141	(% style="color:#000000" %)[[image:Port_Router.png]]