bei uns an der Schule hat die Internetsperre nicht funktioniert. Ich habe hier im Forum gelesen dass sich das evtl. mit einen linuxmuster-ipfire - setup - first lösen lässt. Das hab ich getan!
Dabei hat der Ipfire allerdings auch alle Firewallreglen zurückgesetzt bzw. eigene Regeln gelöscht.
Nun wäre das kein Problem wenn man vorher ein backup der Einstellungen gemacht hätte, hab ich aber nicht.
Automatische Backups werden anscheinend nicht gemact, ich habe sowohl auf dem ipfire als auch auf dem server an entsprechenden stellen gesucht … nichts!
Also muss ich die Reglen rgendwie neu erstellen (es sei dazu gesagt den Ipfire hatte mein orgänger eingerichtet)
Zugriff aus RED auf den Server (Intranet)
das ging bisher über http://x.x.x.x:2379, der Port 2379 (ist im router freigeschaltet)
dabei landete man auf der gleichen Seite wie aus dem Intranet mit https://10.16.1.1
–> ich habe mit Hilfe der Hotline versucht die Regel einzurichten indem ich alles was aus dem roten Netz auf Port 2379 ankommt auf 10.16.1.1 weiterlete, das hat nicht funktioniert.
–> auch ein weiterleiten auf Port 80 hat nicht funktioniert. Sehe ich es richtig dass Port 80 in der PädML für http benutzt wurde? ist dieser standardmäßig eingerichtet?
Eine weitere Regel war für die LDAP-Anbindung von Webuntis da die krieg ich auch nicht mehr auf die Reihe.
–> sehe ich es richtig, dass ich den Webuntisserver auf 10.16.1.1:636 umleiten müsste? Webuntis fragt über Port 389 an (über LDAP nicht über LDAPS)
Ich komm momenatn alleine nicht mehr weiter, kann jemand helfen?
Um so einen Vorfall das nächste Mal zu verhindern: Wie erzeugt man automatische Backups vom Ipfire
Oh Mann, da hab ich mir was eingebrockt und das nur wegen der Inernetsperre!
die IpFire-Backups in ein Verzeichnis in /root/ auf dem Server.
Hat Dein IPFire nicht zufällig dort noch eines liegen? Also in /var/ipfire/backup?
Zugriff aus RED auf den Server:
Poste mal bitte genau, wie Du die Regel eingerichtet hast.
Es müsste:
Quelle: Standard-Netzwerke (alle)
NAT: Haken bei “NAT benutzen”, Punkt bei “Destination NAT”, FirewallInterface: ROT
Protokoll TCP, Zielport 443, ExtPort 2379
guten Namen vergeben, Regel Aktivieren und dann bei der Übersicht der Regeln ganz oben auf “Änderungen übernehmen”.
nein, Wenn er über LDAP anfrägt, muss das an 389 gehen, sonst denkt der Server, es sei LDAPS.
Quelladresse: die vom externen WebUntis (hoffentlich ist die fest)
Wieder NAT-> Destiantion (Firewall Interface ROT)
Ziel: 10.16.1.1
Protokoll TCP, Zielport 389
LG
Max
Zum anderen Problem: Intranetseite von Außen erreichen:
Ich war die Hotline. Die IP-Adresse die oben unkenntlich gemacht wurde, war von mir aus nicht erreichbar (kein Ping, kein Traceroute). Ich denke, dass es daran liegt, dass die Weiterleitung nicht funktioniert.
… wenn webuntis nur LDAP und kein LDAPs kann, dann ist das erst mal ein
Armutszeugnis …
Und für dich bedeutet es, dass du die IP des Webuntisservers auch in der
/etc/ldap/slapd.conf eintragen mußt.
Da die nicht verändert wurde, sollte der Eintrag noch drin stehen: schau
also mal in die Datei: die IP sollte im unteren Ende auftauchen.
Bei mir:
#Limits Access:
access to
attrs=sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,userPassword
by anonymous peername.ip=10.16.1.254 auth
by anonymous peername.ip=123.456.789.111 auth <- IP des Webuntis
by anonymous peername.ip=10.16.1.1 auth
by anonymous peername.ip=10.16.1.5 auth
by anonymous peername.ip=127.0.0.1 auth
by anonymous ssf=56 auth
by self peername.ip=127.0.0.1 write
by self ssf=56 write
by * none
access to *
by * read
Und dann aber auch im IPFire die 389 von außen (am Besten nur die IP des
Webuntis) auf die 389 des Servers weiterleiten.
Hallo Liste,
manchmal sollte man erst einma eine Nacht schlafen nach einem sagen wir mal suboptimalen Tag…
heute war alles besser
@ Max --> Hallo Max, danke für die schnelle Antwort, hat mich weitergebracht. Der Zugang von Außen auf das Intranet funkioniert wieder. Ich musste allerdings an Port 80 weiterleiten, da die folgenden links auf unserer Intranetseite unter http laufen.
@Alois --> Danke für deine Mühe an der Hotline, komischerweise habe ich heute so ziemlich das gleiche gemacht wie gestern, ich habe aber noch eine Regel http–>Server erstellt. Es ist an sich richtig so, dass die IP die ich dir genannt habe nicht angepingt werden kann, ist über belwue so eingestellt. Die Ldap-Anbindung von Webuntis hat problemlos funktioniert, genau wie beschrieben.
@Holger --> Den Webuntis-Server hatte ich in der slapd.conf schon eingetragen, das hatte ja vor dem setup der firewall schon funktioniert. Es ist nicht so, das Webuntis mit Ldaps nicht zurechtkommt, allerdings hatte ich hier gelesen dass man für Ldaps ein Zertifikat braucht, da bin ich noch nicht dazu gekommen.
Nach der Aufregung ein positiver Effekt. Das Zurücksetzen der firewall hat die Funktion der Internetsperre tatsächlich wieder hergestellt (ok, das nächste Mal mit vorheriger Sicherung der Einstellungen)
Das nächste was ich sicherlich machen werde ist eine automatische Sicherung des ipfire und des servers einrichten.
Bei mir:
peername.ip=123.456.789.111 auth <- IP des Webuntis by anonymous
hä, das sieht für mich aus, als ob du Webuntis hättest. Dann weißt du
doch sicher, dass es LDAPs kann?!?
nein, ich hab kein WebUntis.
Es gibt noch andere Webdienste, die ich nutze.
Die können zwar LDAPs, aber da der Server auf der selben Maschine läuft
hab ich da nicht rumgemacht und einfach LDAP statt LDAPs weiterverwendet.
