Servidor Proxy/ca: Diferència entre les revisions
De Guifi.net - Wiki Català
(Hi ha 20 revisions intermèdies sense mostrar fetes per 6 usuaris) | |||
Línia 1: | Línia 1: | ||
− | |||
− | |||
− | |||
− | |||
= Que és Guifi-proxy3? = | = Que és Guifi-proxy3? = | ||
Guifi-proxy3 és l'ampliació del paquet guifi-proxy, creat per en Carles Guadall, més un conjunt de configuracions per tal d'aconseguir un proxy federat-cache en el moment de finalitzar el assistent de configuració. | Guifi-proxy3 és l'ampliació del paquet guifi-proxy, creat per en Carles Guadall, més un conjunt de configuracions per tal d'aconseguir un proxy federat-cache en el moment de finalitzar el assistent de configuració. | ||
+ | |||
+ | Des de principis del 2013, el paquet guifi-proxy3 autentica els usuaris a través d'una base de dades ldap, situats sota ldap.guifi.net i ldap2.guifi.net. | ||
= Creació del servei a la web de guifi = | = Creació del servei a la web de guifi = | ||
Línia 44: | Línia 42: | ||
== Configuració del guifi-proxy3 == | == Configuració del guifi-proxy3 == | ||
Durant el procés d'instal·lació us demanarà els següents paràmetres: | Durant el procés d'instal·lació us demanarà els següents paràmetres: | ||
+ | * url servei | ||
* nº del node del servidor proxy (el numero de node del servei) | * nº del node del servidor proxy (el numero de node del servei) | ||
+ | * Servidor LDAP 1 ( per defecte ldap.guifi.net ) | ||
+ | * Servidor LDAP 2 ( per defecte ldap2.guifi.net ) | ||
* nom del servidor proxy ( display que els surt als clients que utilitzin el vostre proxy en començar a navegar ) | * nom del servidor proxy ( display que els surt als clients que utilitzin el vostre proxy en començar a navegar ) | ||
* e-mail de contacte. És l'email que apareix a les pàgines d'error que mostra el squid | * e-mail de contacte. És l'email que apareix a les pàgines d'error que mostra el squid | ||
* idioma de les pàgines d'error del squid. Doncs això, depenent de l'idioma que definiu les pàgines d'error del squid surtiràn en un idioma o en un altre. | * idioma de les pàgines d'error del squid. Doncs això, depenent de l'idioma que definiu les pàgines d'error del squid surtiràn en un idioma o en un altre. | ||
* espai del disc per emmagatzamar cache. (/var/spool/squid3) | * espai del disc per emmagatzamar cache. (/var/spool/squid3) | ||
− | * quantiat de memoria RAM dedicada a la cache. | + | * quantiat de memoria RAM dedicada a la cache. ( defecte 100Mb ) |
+ | |||
+ | En acabar aquest assistent ( hi ha valors per defecte, per si hi ha dubtes) ja tindreu un servidor proxy-cache federat a punt per ser utilitzat, si no es vol no s'ha d'afegir cap altre configuració [veure més avall]. | ||
− | |||
− | |||
− | |||
== Com queda organitzada la configuració del squid? == | == Com queda organitzada la configuració del squid? == | ||
En finalitzar l'assistent tindrem els següents fitxers: | En finalitzar l'assistent tindrem els següents fitxers: | ||
Línia 59: | Línia 59: | ||
* /etc/squid3/guifi.conf [NO TOCAR/EDITAR] --> configuració generada durant el procés d'instalació del guifi-proxy3 | * /etc/squid3/guifi.conf [NO TOCAR/EDITAR] --> configuració generada durant el procés d'instalació del guifi-proxy3 | ||
* /etc/squid3/custom.conf --> fitxer reservat per les configuracions dels administradors dels server proxy. ( per exemple les acl que tallen megaupload i demés) | * /etc/squid3/custom.conf --> fitxer reservat per les configuracions dels administradors dels server proxy. ( per exemple les acl que tallen megaupload i demés) | ||
+ | |||
+ | == Problemes freqüents == | ||
+ | * '''No funciona l'autenticació de cap usuari:''' Possiblement hi ha o hi ha hagut un problema amb el servidor ldap, en aquest cas, prova de reiniciar squid3 (service squid3 restart). Si segueix sense funcionar, posa't en contacte amb la comunitat a través de la llista [https://llistes.guifi.net/sympa/info/guifi-dev guifi-dev]. | ||
+ | |||
+ | == Validació d'usuaris i proxys federats == | ||
+ | '''Mètode guifi-proxy3 amb ldap:''' guifi-proxy3, consulta a la web el llista de federació dels nodes i es guarda aquesta info per generar el guifi.conf amb la informació de federacions. Amb aquesta info, quan un usuari es valida compara el id de usuari amb el seu id de proxy si aquest usuari pertany a un proxy federat, l'accepta o no, segons com estigui configurat el proxy on es vol connectar. | ||
+ | |||
+ | El procediment s'executa amb un cron cada 30 minuts i aquest fa una consulta a la web amb els proxys federats que accepta aquell proxy: | ||
+ | |||
+ | <nowiki>http://guifi.net/guifi/export/[id_proxy]/federation</nowiki> | ||
+ | |||
+ | Aquesta petició és instantània a la web. Amb aquesta comprovació el què es fa és regenerar el fitxer /etc/squid3/guifi.conf i integra els nous proxys als que el [id_proxy] està federat. | ||
+ | |||
+ | Paral·lelament, cada 30 minuts, ldap consulta la web i integra els usuaris nous de forma incremental (fa una comparació dels usuaris que hi ha a la bbdd de la web i a l'arbre ldap, i els nous els integra). Un cop al dia, a les 3 del matí, es regenera la bbdd de usuaris de proxy de la web a l'arbre ldap. | ||
+ | |||
+ | Si canvies la contrasenya, o esborres el usuari, el canvi no s'aplica fins a les 3 de la matinada. | ||
+ | |||
+ | == Validació d'usuaris i proxys federats 2 == | ||
+ | En els Debian 7.3 al fitxer /etc/ldap/ldap.conf hi havia la linea | ||
+ | |||
+ | <nowiki> | ||
+ | #TLS_CACERT /etc/ssl/certs/ca-certificates.crt | ||
+ | </nowiki> | ||
+ | |||
+ | Sense comentar... (cal que estigui comentada) o sigui que nomes pot estar sense comentar la linea TLS_REQCERT never | ||
= Configuracions avançades = | = Configuracions avançades = | ||
+ | * [[Squid|Manual avançat i complet squid]] | ||
* [[Servidor_Proxy_IM|Permetre connexions serveis de missatgeria]] | * [[Servidor_Proxy_IM|Permetre connexions serveis de missatgeria]] | ||
* [[Servidor_Proxy_delaypools|Delay Pools]] | * [[Servidor_Proxy_delaypools|Delay Pools]] | ||
* [[Servidor_Proxy_videos|Servidor Proxy per a Vídeos]] | * [[Servidor_Proxy_videos|Servidor Proxy per a Vídeos]] | ||
+ | * [[Servidor_Proxy_logs|Canviar el format de la hora dels logs]] | ||
* [[Servidor_Proxy_webmin|Instal·lació + webmin + sarge (Manual Antic)]] | * [[Servidor_Proxy_webmin|Instal·lació + webmin + sarge (Manual Antic)]] | ||
* [[Proxy_socks|Proxy Socks (Proxy per a protocols no http com pop o imap)]] | * [[Proxy_socks|Proxy Socks (Proxy per a protocols no http com pop o imap)]] | ||
+ | * [[Filtrar publicitat web tipus adBlock en un servidor Debian amb dnsservices]] | ||
+ | * [[Filtrar pornografia / malware en un servidor Debian amb dnsservices]] | ||
+ | |||
== referències == | == referències == | ||
Línia 73: | Línia 103: | ||
*[http://asociacionjuvenilelcueto.info/node/156 manual de l'associació Juvenil el Cueto (Rioja)] | *[http://asociacionjuvenilelcueto.info/node/156 manual de l'associació Juvenil el Cueto (Rioja)] | ||
+ | [[Categoria:Proxy]] | ||
[[es:Servidor_Proxy]] | [[es:Servidor_Proxy]] | ||
+ | [[en:Proxy_Server]] |
Revisió de 23:48, 2 març 2016
Que és Guifi-proxy3?
Guifi-proxy3 és l'ampliació del paquet guifi-proxy, creat per en Carles Guadall, més un conjunt de configuracions per tal d'aconseguir un proxy federat-cache en el moment de finalitzar el assistent de configuració.
Des de principis del 2013, el paquet guifi-proxy3 autentica els usuaris a través d'una base de dades ldap, situats sota ldap.guifi.net i ldap2.guifi.net.
Creació del servei a la web de guifi
Prèviament haurem d'haver afegit un dispositiu tipus servidor en el nostre supernode i assigar-li una IP de guifi (dispositiu del supernode > editar > secció de connexions per cable > Rang de IPs destinat als server (es crea si no existeix) > endoll > Enllaça dispositiu > crea > Guardar y modificar.
- Crea continguts
- guifi.net service
- Service name: Servidor Proxy de XXXXXX
- Nom curt: NOMCurtSupernode-PROXY
- Contacte: mail de contacte de l'administrador
- Dispositiu: comencem a escriure el nom del nostre servidor i sortiran els noms dels servidors que comencen així
- Servei: Accés a Internet a través d'un Proxy
- Estat: Estat del servei
- Desa
Un cop desat, tornem a modificar i canviem alguns valors:
- Proxy Configuració:
- Descàrrega: Ample de banda de baixada
- Carregueu: Ample de banda de pujada
- Federació del proxy:
- IN Els usuaris d'altres proxis poden fer-lo servir
- OUT Els usuaris del proxy poden fer-ne servir d'altres
- Nom: IP o ressolució interna del proxy
- Port: Port del proxy (normalment 3128)
- Tipus: Normalment HTTP
- Desa
Com instal·la?
Entrem per ssh a la màquina i afegim els repositoris d'apt de guifi:
# apt-get install guifi-proxy3
Nota: en el repositori guifi instal·la la versió antiga del paquet (guifi-proxy3_0.0.1-2_all.deb), per a intal·lar la versió nova (guifi-proxy3_1.1.11_all.deb) que utilitza ldap cal posar el repositori guifi-testing
Configuració del guifi-proxy3
Durant el procés d'instal·lació us demanarà els següents paràmetres:
- url servei
- nº del node del servidor proxy (el numero de node del servei)
- Servidor LDAP 1 ( per defecte ldap.guifi.net )
- Servidor LDAP 2 ( per defecte ldap2.guifi.net )
- nom del servidor proxy ( display que els surt als clients que utilitzin el vostre proxy en començar a navegar )
- e-mail de contacte. És l'email que apareix a les pàgines d'error que mostra el squid
- idioma de les pàgines d'error del squid. Doncs això, depenent de l'idioma que definiu les pàgines d'error del squid surtiràn en un idioma o en un altre.
- espai del disc per emmagatzamar cache. (/var/spool/squid3)
- quantiat de memoria RAM dedicada a la cache. ( defecte 100Mb )
En acabar aquest assistent ( hi ha valors per defecte, per si hi ha dubtes) ja tindreu un servidor proxy-cache federat a punt per ser utilitzat, si no es vol no s'ha d'afegir cap altre configuració [veure més avall].
Com queda organitzada la configuració del squid?
En finalitzar l'assistent tindrem els següents fitxers:
- /etc/squid3/squid.conf [NO TOCAR/EDITAR] --> configuració estàndard
- /etc/squid3/guifi.conf [NO TOCAR/EDITAR] --> configuració generada durant el procés d'instalació del guifi-proxy3
- /etc/squid3/custom.conf --> fitxer reservat per les configuracions dels administradors dels server proxy. ( per exemple les acl que tallen megaupload i demés)
Problemes freqüents
- No funciona l'autenticació de cap usuari: Possiblement hi ha o hi ha hagut un problema amb el servidor ldap, en aquest cas, prova de reiniciar squid3 (service squid3 restart). Si segueix sense funcionar, posa't en contacte amb la comunitat a través de la llista guifi-dev.
Validació d'usuaris i proxys federats
Mètode guifi-proxy3 amb ldap: guifi-proxy3, consulta a la web el llista de federació dels nodes i es guarda aquesta info per generar el guifi.conf amb la informació de federacions. Amb aquesta info, quan un usuari es valida compara el id de usuari amb el seu id de proxy si aquest usuari pertany a un proxy federat, l'accepta o no, segons com estigui configurat el proxy on es vol connectar.
El procediment s'executa amb un cron cada 30 minuts i aquest fa una consulta a la web amb els proxys federats que accepta aquell proxy:
http://guifi.net/guifi/export/[id_proxy]/federation
Aquesta petició és instantània a la web. Amb aquesta comprovació el què es fa és regenerar el fitxer /etc/squid3/guifi.conf i integra els nous proxys als que el [id_proxy] està federat.
Paral·lelament, cada 30 minuts, ldap consulta la web i integra els usuaris nous de forma incremental (fa una comparació dels usuaris que hi ha a la bbdd de la web i a l'arbre ldap, i els nous els integra). Un cop al dia, a les 3 del matí, es regenera la bbdd de usuaris de proxy de la web a l'arbre ldap.
Si canvies la contrasenya, o esborres el usuari, el canvi no s'aplica fins a les 3 de la matinada.
Validació d'usuaris i proxys federats 2
En els Debian 7.3 al fitxer /etc/ldap/ldap.conf hi havia la linea
#TLS_CACERT /etc/ssl/certs/ca-certificates.crt
Sense comentar... (cal que estigui comentada) o sigui que nomes pot estar sense comentar la linea TLS_REQCERT never
Configuracions avançades
- Manual avançat i complet squid
- Permetre connexions serveis de missatgeria
- Delay Pools
- Servidor Proxy per a Vídeos
- Canviar el format de la hora dels logs
- Instal·lació + webmin + sarge (Manual Antic)
- Proxy Socks (Proxy per a protocols no http com pop o imap)
- Filtrar publicitat web tipus adBlock en un servidor Debian amb dnsservices
- Filtrar pornografia / malware en un servidor Debian amb dnsservices
referències
...partint d'altres experiencies i manuals com: