3:54 p.m.
El 28/8/19 a las 15:16, Rommel Rodriguez Toirac escribió:
El miércoles, 28 de agosto de 2019 12:03:44 CDT Ulises Gonzalez Horta
escribieron:
> On 2019-08-28 10:55, Rommel Rodriguez Toirac wrote:
>> Mis saludos;
>> utilizo dos contenedores de Proxmox 5.4 para los servicios de squid y
>> samba4 (como Controlador de dominio Directorio Activo con bind9_dlz para
>> DNS). El contenedor donde está instalado squid pertenece a un Proxmox que
>> está en una DMZ y el contenedor donde está instalado samba4 pertenece a
>> un Proxmox de mi red interna. Los usuarios que utilizan squid pertenecen
>> lo mismo que a la oficina provincial como a los municipios, es decir, mi
>> red interna y a redes externas.
>> Hasta ahora la autenticación que tengo en squid es utilizando el esquema
>> Básico. Quisiera cambiar a otro tipo de autenticación; por ejemplo a NTLM.
>> Esta autenticación sería utilizando el servicio samba4; que como ya digo,
>> ese servidor está en mi red interna.
>> Si uno de los propósitos de tener la red configurada con una DMZ es para
>> independizar o aislar los servicios a los que cualquiera va a acceder de
>> tu
>> red interna; ¿como quedaría ahora que otros fuera de mi red interna (los
>> usuarios de los municipios) van a acceder al servidor samba4?
>> ¿será recomendable mover el servicio samba4 para la DMZ?
>> ¿será recomendable filtrar los puerto utilizado por DNS y samba4 y
>> dejarlos
>> pasar a mi servidor samba4 en mi red interna cuando se haga el proceso de
>> autenticación de squid?
>> ¿qué recomendación me pueden dar al respecto?
> Si tanto los usuarios tuyos como los de tus municipios necesitaran Samba
> para autenticarse entonces SI, mueve samba4 para la DMZ y abre en el
> firewall solo los puertos necesarios...
Próxima pregunta:
En estos momentos el servidor samba4 esta en el rango de direcciones de mi
red interna (192.168.41.0/24) si lo muevo a la DMZ (que está en otro rango de
direcciones) tendré que cambiarle la dirección IP del contenedor, por lo que
samba4 supongo que empezará a tener problemas. ¿no?
¿como debo proceder en este caso?
tienes que seguir el procedimiento del cambio de ip a un samba4
controlador de dominio, debe aplicar todo ese cambio en el dns, para que
los clientes encuentren al mismo después, supongo que la red dmz la
tengas separada no solo en rango ip, sino a nivel de vlan y bridge
correspondiente en el proxmox, por ejemplo tu lan esta por el vmbr0, y
la dmz esta por la interface vmbr1, esto también debes cambiarlo en el
contenedor. Serciorate tener un backup de diccho contenedor y sigue la
siguiente guía para cambiar el ip al mismo.
https://wiki.samba.org/index.php/Changing_the_IP_Address_of_a_Samba_AD_DC
https://wiki.samba.org/index.php/Samba_AD_DC_Port_Usage
1024-1300 TCP/UDP *Samba <=4.6* / Dynamic RPC Ports
49152-65535 TCP/UDP *Samba >=4.7* / Dynamic RPC Ports
--
Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Linux Usuario Registrado #392892
Telfs: +53(7)696-7510 ext 236
jabber: linuxcuba(a)teknik.io
Brascuba Cigarrillos S.A. La Habana. Cuba.
“Nunca consideres el estudio como una obligación,
sino como una oportunidad para penetrar en el bello
y maravilloso mundo del saber. Albert Einstein”