Wiki-Quellcode von samba4 direkt im Internet freigeben (ohne Stream im rev-proxy)
Version 9.1 von aku@sbede am 2022/05/17 14:27
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | (% style="color:#e74c3c; font-size:18px" %)**Wichtig, diese Art der samba Freigabe wird von SBE nicht empfohlen, da hier die Freigabe unverschlüsselt erfolgt. Wir empfehlen Ihnen dieser **(% style="font-size:18px" %)**[[(% style="font-size: 18px; color: rgb(41, 128, 185); font-size: 18px" %)Anleitung>>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]](%%)**(% style="color:#e74c3c; font-size:18px" %)**[[ >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen um den LDAP Dienst auf sichere Art freizugeben!** | ||
| 2 | |||
| 3 | |||
| 4 | (% style="color:#000000" %)Wenn Sie den OpenLDAP direkt und nicht über den rev-proxy im Internet freigeben wollen, folgen Sie bitte dieser Anleitung. | ||
| 5 | |||
| 6 | |||
| 7 | === (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) === | ||
| 8 | |||
| 9 | |||
| 10 | (% style="color:#000000" %)Öffnen Sie die die Datei /etc/nano/shorewall/rules mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu. | ||
| 11 | Da der Port 636 intern schon vergeben ist wird mit diesem Eintrag der Port intern auf einen anderen Port umgemappt. | ||
| 12 | |||
| 13 | (% class="box" %) | ||
| 14 | ((( | ||
| 15 | (% style="color:#000000" %)##DNAT ext dmz:172.28.29.2:1636 tcp 636## | ||
| 16 | ))) | ||
| 17 | |||
| 18 | (% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu | ||
| 19 | |||
| 20 | (% class="box" %) | ||
| 21 | ((( | ||
| 22 | (% style="color:#000000" %)##shorewall restart## | ||
| 23 | ))) | ||
| 24 | |||
| 25 | |||
| 26 | === (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) === | ||
| 27 | |||
| 28 | |||
| 29 | (% style="color:#000000" %)Erstellem Sie die Datei /usr/sbin/ldfirewall.custom mit einem Editor Ihrer Wahl. | ||
| 30 | Sollte die Datei schin exitieren öffnen Sie sie. | ||
| 31 | |||
| 32 | (% class="box" %) | ||
| 33 | ((( | ||
| 34 | (% style="color:#000000" %)##nano /usr/sbin/ldfirewall.custom## | ||
| 35 | ))) | ||
| 36 | |||
| 37 | |||
| 38 | (% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu. | ||
| 39 | Wie Sie dem Asbchnitt unter// ipaddr// sehen können wird hier der Port zurückhemappt: | ||
| 40 | |||
| 41 | (% class="box" %) | ||
| 42 | ((( | ||
| 43 | (% style="color:#000000" %)###!/bin/bash | ||
| 44 | \\DRYRUN=no | ||
| 45 | VERBOSE=no | ||
| 46 | ipt=do_iptables | ||
| 47 | PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/home/bin:/usr/local/bin/support" | ||
| 48 | \\do_iptables() | ||
| 49 | { | ||
| 50 | run iptables "$@" | ||
| 51 | } | ||
| 52 | run() | ||
| 53 | { | ||
| 54 | if [ "$VERBOSE" = "yes" ]; then | ||
| 55 | echo "$@" | ||
| 56 | fi | ||
| 57 | if [ "$DRYRUN" = "no" ]; then | ||
| 58 | "$@" | ||
| 59 | fi | ||
| 60 | } | ||
| 61 | \\case "$1" in | ||
| 62 | start|restart) | ||
| 63 | # Zugelassene externe IP-Adressen | ||
| 64 | # (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen) | ||
| 65 | # ~-~-~-~-~-~-- | ||
| 66 | # - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2 | ||
| 67 | # - Webuntis Server in Österreich IP: 213.208.138.146 | ||
| 68 | ##(% style="color:#e74c3c" %)## SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26" | ||
| 69 | IP_LOGOSRV_DMZ=172.28.29.2 | ||
| 70 | IP_SAMBA4_SERVERNET=172.28.28.30##(%%) | ||
| 71 | \\(% style="color:#000000" %)## for ipaddr in $SOURCEIP | ||
| 72 | do | ||
| 73 | echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... " | ||
| 74 | $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636 | ||
| 75 | $ipt -t mangle -I mark_from_internet_check_ports -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed | ||
| 76 | echo "OK" | ||
| 77 | done | ||
| 78 | ;; | ||
| 79 | stop) | ||
| 80 | ;; | ||
| 81 | *) | ||
| 82 | echo "Benutzung: $0 {start|restart}" | ||
| 83 | exit 1 | ||
| 84 | ;; | ||
| 85 | esac## | ||
| 86 | ))) | ||
| 87 | |||
| 88 | |||
| 89 | (% style="color:#000000" %)Hier müssen nun folgende Werte angepasst werden: | ||
| 90 | |||
| 91 | (% class="box" %) | ||
| 92 | ((( | ||
| 93 | (% style="color:#000000" %)##SOURCEIP=" 87.130.28.26" ##(% style="color:#e74c3c" %)## <- SBE IP, da wird eine zusätzliche gewhitelistet, die öffentliche ip der moodle Instanz##(%%) | ||
| 94 | (% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2 ##(% style="color:#e74c3c" %)##<- (ifconfig in logosrv und Eintrag "DMZ" anschauen##(%%) | ||
| 95 | (% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30 ##(% style="color:#e74c3c" %)## <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen## | ||
| 96 | ))) | ||
| 97 | |||
| 98 | |||
| 99 | (% style="color:#000000" %)Danach müssen Sie die Datei als Skript für den Cronjob ausführbar gemacht werden und auch e ausfürhbar machen Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden | ||
| 100 | |||
| 101 | (% class="box" %) | ||
| 102 | ((( | ||
| 103 | (% style="color:#000000" %)##chmod +x ldfirewall.custom## | ||
| 104 | ))) | ||
| 105 | |||
| 106 | |||
| 107 | (% style="color:#000000" %)Führen Sie nun das Skript einmal aus | ||
| 108 | |||
| 109 | (% class="box" %) | ||
| 110 | ((( | ||
| 111 | (% style="color:#000000" %)##bash ldfirewall.custom## | ||
| 112 | ))) | ||
| 113 | |||
| 114 | |||
| 115 | (% style="color:#000000" %)Im nächsten Schritt öffnen Sie mit einem Editor Ihrer Wahl die //internet.conf// | ||
| 116 | |||
| 117 | (% class="box" %) | ||
| 118 | ((( | ||
| 119 | (% style="color:#000000" %)##nano /etc/logodidact/internet.conf## | ||
| 120 | ))) | ||
| 121 | |||
| 122 | |||
| 123 | (% style="color:#000000" %)Hier fügen Sie nun den Port 636 im Abschnitt //FromInternetAllowTCP// hinzu | ||
| 124 | |||
| 125 | (% class="box" %) | ||
| 126 | ((( | ||
| 127 | (% style="color:#000000" %)FromInternetAllowTCP 636 | ||
| 128 | ))) | ||
| 129 | |||
| 130 | |||
| 131 | (% style="color:#000000" %)Im Anschluß daran starten Sie die Firewall neu | ||
| 132 | |||
| 133 | (% class="box" %) | ||
| 134 | ((( | ||
| 135 | (% style="color:#000000" %)##ldfirewall restart## | ||
| 136 | ))) | ||
| 137 | |||
| 138 | |||
| 139 | (% style="color:#000000" %)Damit die Freigabe des samba4 funktioniert ist es wichtig die Portfreigabe (Port 636) im Router nichtzu vergessen: | ||
| 140 | |||
| 141 | (% style="color:#000000" %)[[image:Port_Router.png]] |