Automatització de la federació de proxys

Es tracta de la continuació de la feina d'en Ramon al fer el concepte de proxy "federat" i de la idea d'en Xevi d'automatitzar el procés. Com sabeu els que administreu algun dels proxys de guifi.net, cada vegada que s'afegeix un proxy, s'havien de repassar les federacions, i retocar els scripts de cada servidor. Amb aquest canvi al codi de l'aplicació i 1 ÚLTIM canvi  als scripts de federacio (proxypasswd.sh), el control de la federació dels proxys passarà a poder-se fer integrament des de la web.

Els passos són els següents

1.- Quan es doni d'alta un proxy, en l'apartat d'opcions específiques que apareix quan l'editem un cop creat, hi haurà 2 possibles opcions a marcar, (si no se'n marc cap, no és federa) Amb aquestes es decidirà quin tipus de federació se li aplica :

    IN - els usuaris d'altres proxys poden fer-lo servir
    OUT - els usuaris del proxy poden fer-ne servir d'altres

 el que dóna lloc a 4 possibles combinacions :

  • ni IN ni OUT - Com s'ha dit avans, el proxy no estarà federat, per tant cap usuari extern al proxy el pot fer servir, i cap usuari del proxy pot fer servir els altres de guifi.net (exemple -> un proxy privat)
  • només OUT - El usuaris del proxy poden utilitzar qualsevol dels proxys que estiguin federats com a IN, pero els usuaris d'altres proxys no poden utilitzar-lo (exemple -> la guixa o el seminari)
  • només IN - Els usuaris del proxy nomes poden utilitzar el seu, pero qualsevol usuari d'un proxy marcat com a OUT pot fer servir aquest. (exemple -> ??? no crec que ni hagi cap, però les combinacions és lo que tenen)
  • IN i OUT - El proxy federat per exel·lència : els usuaris poden fer servir tots els proxys federats amb IN, i els usuaris d'altres proxys federats OUT poden fer-lo servir. (exemple -> esperança, elserrat, puntas ...)
2.- L'script que s'utilitzava abans, es baixava una llista d'usuaris per cada proxy federat i les ajuntava, fent servir les url /view/passwd. L'script que farem servir ara, farà servir la url de la forma /view/federated, que retornara una única llista amb els usuaris que li pertoquen segons la federació.

L'script per un proxy en un linux fedora quedaria així:

#!/bin/sh

wget http://www.guifi.net/ca/node/4282/view/federated -qO /tmp/passwd

touch /usr/etc/passwd

NEW=`diff /usr/etc/passwd /tmp/passwd|wc -l`

OK=`grep Federated /tmp/passwd|wc -l`

if [ $OK != "0" ]; then

 if [ $NEW != "0" ]; then

   cp /tmp/passwd /usr/etc/

  /etc/init.d/squid reload

   echo "Nou /usr/etc/passwd copiat"

  fi;

fi

3.- Si el vostre servidor és un debian heu de substituïr la línia "service squid reload" per "/etc/init.d/squid reload"
4.- Heu de canviar el "0000" pel número de quatre xifres que indentifica el node drupal del vostre proxy.

SuNbiT – ds, 22/04/2006 – 03:13

Opcions de visualització de comentaris

Escull com vols veure els comentaris i clica 'Desa configuració' per activar els canvis.

molt guapo

bona pensada, una idea semblant tenia jo però amb una aproximació diferent (tot i que complementària a la teva)

quan un usuari ha de fer la configuració del proxy es posa per a tothom la mateixa direcció (per exemple proxy.guifi.net)

llavors quan un usuari vol sortir a internet com que te el proxy activat aquest li demana un usuari i segons l'usuari que li entri l'envia a un o altre servidor proxy real

apart de la simplificació i estandarització de la sortida per a tothom, tens que al haver-hi aquesta gestió centralitzada (o descentralitzada, però s'hauria de currar més i no se si hi hauria problemes a nivell de dns) el mateix proxy fictici que et gestiona per quin proxy has de sortir, si és un usuari que pot sortir per qualsevol proxy i veu que el que està per defecte a l'usuari no funciona et pot redirigir automàticament a un altre proxy que si que funcioni

que us sembla la idea?

P.D. he arreglat alguna que altre falta Smiling

gil_forcada – ds, 22/04/2006 – 03:36

coses diferents no? :P

És molt bona idea, de fet en xevi torres ja ha fet feina al respecte, i exactament el que deies tu ho vam parlar al sopar de guifi; pero una cosa es federar els proxys i l'altra seria això de unificarlos. En xevi va aconseguir que a traves de dns, el proxy es configures automàticxament al navegador fent servir wpad (ho dic be?), pero per desgràcia nomes funcionava si agafes ip per dhcp, i havies d'activar alguna opcio del navegador tb. Per fer això que dius, algú haurà de fer un 'master en DNS' i esbrinar com es fa Sticking out tongue. T'animes?

SuNbiT – ds, 22/04/2006 – 10:56

Molt professional

Carles aquesta solucció és molt mes professional de que la que jo havia preparat Eye-wink
Quan estigui en producció ho provaré.

Pel que dieu del proxy Automatic, ha torelló ja està en marxa però el problema que tenim que és fa a través del DHCP del LinkSys combinat amb el DNS i com el servei de DHCP no es pas el que vagi molt be el problema seria estar mes a sobre d'això que no pas possar-ho manualment. Pel que fa a tenir un nom generic "proxy.guifi.net" pel me han comentat s'hauria de fer posar els esclaus amb una excepcio de host. Però com he trobat els altres problemes del DHCP encara no me he animat a acabar-ho. Si algú vol continuar que m'ho digui que li dic les dues linees que s'ha d'afegir al servidor.

XTorres – dl, 24/04/2006 – 21:44

L'acavo de posar al serrat, el Puntas i l'Esperança

UNa cosa: He tret al linia del else-Dump NOk, perquè donava aquest output cada vegada que no canvia res, i aixó no estava bé perqué provocaria un mail al cron.
He vist que si el wget falla, no toca la sortida, per tanmt no cal controlar-ho, el passwd queda igual que l'anterior amb èxit.

rroca – dg, 14/05/2006 – 17:02

OK

Aixo del mail al cron no hi contava. pero ara que hi penso, amb l'altre script tb thi devies trobar no? pq aixo ho vaig agafar de l'antic proxypasswd.sh

SuNbiT – dg, 14/05/2006 – 17:23

El nOK estava pensat per si obtenia errors

No. L'estat estava pensat per si fallava la generació de l'script. Era una comprovació diferent.
Si no hi havia errors, tampoc provocava sortida.

rroca – dg, 14/05/2006 – 22:28

Posat a La Guixa

Ara que heu fet memòria: el poso a La Guixa

lluis.dalmau – dl, 15/05/2006 – 00:49

Torelló i Malla posats

Ara mateix també hi ha posats els de Torelló i Malla.

XTorres – dm, 16/05/2006 – 15:50