Hallo ..., um den Zugang zu dem OwnCloud-Server sicherer zu gestalten habe ich Pound als Reverse Proxy installiert. Das böse Internet kommt nur noch bis zum IPFire. Nur Pound greift auf den OwnCloud-Server zu. Der Zugang zu andere lokalen Server (moodle usw.) kann so auch freigegeben werden. Sie benötigen einen DNS-Eintrag ( A-Record) der Ihren Web-Namen cloud."schule".de zu einer IP-Adresse auflöst. Im folgenden meine Schritte zur Installation.
1. Das Paket Pound-2.7-8 auf dem IPfire installieren 2. Zertifikat erzeugen (Frei nach http://www.linuxmuster.net/wiki/version3:ssl-zertifikat_fuer_den_apache_austauschen Ich habe es in /etc/certs/ in ipfire abgelegt. Achtung es muss bei Commonname die vollständige Adresse cloud."schule".de des Cloudservers angegeben werden! openssl genrsa -out cloud.key 2048 openssl req -new -key cloud.key -out cloud.csr openssl req -new -x509 -days 3650 -keyout cloud.key -out cloud.crt (Password sicher löschen) openssl rsa -in cloud.key -out cloud_clear.key key und certifikat in eine Datei (muss sein) cat cloud.crt cloud_clear.key > /etc/certs/cloud.pem 3.erzeugen der Datei /etc/sysconfig/pound mit # Set run_pound to 1 to start pound or 0 to disable it. run_pound=1 # Specify additional pound options here (see manpage). pound_options="" 4. erzeugen der Datei /etc/pound.cfg mit den Einstellungen für den Proxy ## Logging: (goes to syslog by default) ## 0 no logging ## 1 normal ## 2 extended ## 3 Apache-style (common log format) LogLevel 1 ## check backend every X secs: Alive 60 # poundctl control socket Control "/var/run/poundctl.socket" # Cloudserver ListenHTTPS HeadRemove "X-Forwarded-Proto" AddHeader "X-Forwarded-Proto: https" Address 82.195.74.66 Port 443 # ist notwendig damit standard WebDAV aus geführt wird. es kann bei MS-Diensten auch xhhtp 3 notwendig sein # Android und Lightning funktionieren mit 2 xHTTP 2 # wurde in 2 erzeugt Cert "/etc/certs/cloud.pem" Service "cloud" # die vollständige Adresse cloud."schule".de des Cloudservers! HeadRequire "Host: cloud.sts-bs-da.de.*" BackEnd Address 10.110.1.1 Port 443 # Damit https to https funktioniert! HTTPS End End 5. pound testen /etc/init.d/pound start #stop restart 6. Firewall-Regeln ändern! a) firewall (ROT): 443 ->10.110.1.1: 443 (Gelbe-Adresse des Cloudservers) Regel deaktiveren!!! b) Firewallregel "Eingehender Firewallzugang" erzeugen Quelle Rot auswählen (oder besser GeoIP mit der Auswahl der guten Länder :-) ) Ziel Firewall ROT (IP) auswählen (nicht die Zieladresse oder ein Standardnetzwerk eingeben) Protokoll TCP Quellport leer lassen Zielport 443 Regelposition 1 Regel aktivieren Logging aktivieren Zeitrahmen Mon Die Mit Don Fre Sam Son von 6:30 bis 23:30 7. Änderungen übernehmen Das funktioniert bei mir. PS das neue Zertifikat muss bei den Clients beim ersten Aufruf importiert werden. Ich wünsche allen eine gute unterrichtsfreie Zeit. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .lehrerbüro. . mailto:[email protected] . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei.
0x0DCC4EE3.asc
Description: application/pgp-keys
signature.asc
Description: OpenPGP digital signature
_______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
