Firewall-Regeln¶
Damit die Nextcloud funktionieren kann, braucht Sie Zugriff auf das AD des Servers. Möchtest Du auch auf Verzeichnisse und Dateien zugreifen, muss die OpnSense auch Samba-Anfragen an den Server weiterleiten.
In beiden Fällen müssen Anfragen vom Docker-Host an den Server weitergeleitet werden
Hinweis
Jede Öffnung der Firewall birgt Sicherheitsrisiken. Ingesamt müssen diese vor der Einrichtung bewertet werden.
Firewallregel für den Zugriff auf das AD¶
Wenn ein Service, wie die Nextcloud oder Moodle auf das AD des Servers zugreifen möchte, wird er die Anfrage an die Firewall stellen. Die Firewall sollte dann diese Anfrage an den Server weiterleiten.
Die Firewallregel wird also eine Portweiterleitung des Ports 636 (ldaps) sein.
Melde Dich als root an der OpnSense an und navigiere zu Firewall -> NAT -> Portweiterleitung
.
Klicke auf Hinzufügen um eine neue Firewallregel hinzuzufügen und trage die folgenden Werte ein.
Bei Ziel-IP umleiten trägst Du natürlich die IP-Adresse Deines Servers ein. Im Allgemeinen wird das 10.0.0.1 sein. In der lmn6 war das 10.16.1.1.
Externer NC-Docker¶
Steht der NC-Docker extern so ist folgende Einstellung für die WAN-Schnittstelle zu setzen:
Firewallregel für den Zugriff über Samba¶
Hinweis
Sollte der Nextcloud-Servicve extern stehen, so sollten diese Ports nicht weitergeleitet werden.
Für den Zugriff über Samba müssen die Ports 139 und 445
an den Server weiter geleitet werden. Dazu legst Du erst mal einen Alias an.
Navigiere auf Firewall -> Aliase.
In der Zeile unter dem letzten Alias klickst Du auf +
um einen neuen Alias anzulegen.
Und trage die folgenden Werte ein.
Klicke anschließend auf Speichern
.
Jetzt kommt noch die eigentliche Firewall-Regel. Navigiere wieder zu Firewall -> NAT -> Portweiterleitung
.
Klicke auf Hinzufügen
, um eine neue Firewallregel hinzuzufügen und trage die folgenden Werte ein:
Bei Quelle trägst Du die IP-Adresse und die Netzwerkmaske Deines Docker-Hosts ein. Und bei Ziel-IP umleiten trägst Du wieder die IP-Adresse Deines Servers ein. Im Allgemeinen wird das 10.0.0.1
sein. In der lmn6 war dies die IP 10.16.1.1
.