Tales from the Machine Room


Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Login/Register

Aho', io 'un c'entro gniente eh!

Qualche tempo addietro, durante le meritate vacanze del mio collega, DaBoss ha avuto la fantastica idea (notare il velato sarcasmo eh) di vendere a $noiricicliamoilvostrotoner una bella soluzione di Proxy-Firewall basata su $notoproxyfirewall. Il prodotto in questione era stato specificamente richiesto dal loro IT. Il che non sarebbe troppo male se non che noi quel coso non lo abbiamo mai visto prima.

E indovinate un po' chi e' il fortunello (sic) che ha dovuto installarsi il coso in questione?

Quindi dopo aver penato sul download del coso, aver scoperto che il marchingegno richiede una connessione internet per "attivarsi", aver scoperto che per "attivarlo" c'e' bisogno della password del foxxuto "portale" di supporto che solo DaBoss conosce (e lui non c'era). Ed aver poi scoperto che per procedere con l'attivazione c'e' anche bisogno di un fantomatico "codice di acquisto" che, aridinuovo, solo DaBoss conosce, sono riuscito finalmente nel semi-impossibile compito di installare l'arnese.

Dopo di che si e' trattato di configurarlo. E li' sono arrivati altri dolori perche' i due UL che dovrebbero costituire l'IT di quella gabbia di disperati non hanno la piu' pallida idea di come dovrebbe essere configurato (indirizzo IP? Gateway? DNS? Siccale'?) e come risposta si sono limitati a ripetere che "DaBoss dovrebbe avere tutte le informazioni". DaBoss per altro persisteva nel rimandarmi ai due UL di cui sopra.

Alla fine io ho deciso che l'indirizzo IP e' quello della DMZ e che se non va bene cosi' ci arrangeremo dopo a cambiarlo. Dopo una rapida configurazione di default, dato che nessuno ha potuto/saputo darmi informazioni piu' precise su cosa dovrebbe fare e come, io ho mollato l'arnese nelle capaci manine di Bart che si e' scapicollato i 2 Km scarsi tra il nostro ufficio e la sede centrale di $noiricicliamo ed ha installato l'arnese. Dopo di che c'e' stato un po' di panico sul come ca$$o si collega al firewall.

La configurazione del firewall e' stata arzigogolata dal mio collega T che nel frattempo era ritornato dalle ferie. Poi sono cominciati ad arrivare i problemi. Si perche i due gatti (che sarebbe "il gatto e la volpe", ma temo che di volpi li non ce ne sia nessuna) si sono dimenticati di dirci che loro volevano quel coso attaccato al loro server AD.

Ok, buca il firewall per far passare la connessione verso il server AD. La configurazione come dovrebbe essere? Ce lo avete un account che possa fare ricerche? Si, no.. bho, non lo so. Dopo un bel po' di arzigogolamenti i due riescono a fare una configurazione che pare funzionare. E dopo un po' ripigliano a lamentarsi perche' nei vari "reports" che questo coso mette a disposizione compare un solo utente alla volta.

Ora, fare il debugging di proxy a distanza e' abbastanza complesso, soprattutto quando tale proxy e' raggiungibile solo tramite una fetecchia di web-interfaccia, il firewall non e' gestibile (non da me almeno), non ci sono strumenti usabili sulla macchina stessa (tcpdump? ma meglio! ldapsearch? si come no...) ed i due pisquani sono piu' assenti che presenti.

Percui, un piovoso mercoledi', decido che l'unico modo e' andare la a vedere che accidenti succede, armato di machete e mappa tento la fortuna tra i lavori in corso che hanno letteralmente bloccato tutta la foxxuta citta'. Evito una orda di Olandesi rintronati che gia' non capiscono un cappero di loro figuriamoci poi con la pioggia e le strade scassate e mi presento negli uffici di $noiricicliamo. Li' vengo accolto da UL1 ed UL2.

UL1 - ...e quindi nel report appare solo il nome dell'utente CL.
IO - Si, questo lo vedo, solo che quello che noto io e' che CL pare che stia vedendo una pagina web che ha una caterva di collegamenti allo stesso dominio, e questo foxxuto report mostra solo 50 linee alla volta, quindi noi vediamo tutti i collegamenti di quella pagina e basta.
UL2 - ...ed inoltre non riusciamo a fare la filtratura sugli utenti ma solo sui gruppi.
IO - Io sto coso non l'ho mai usato in vita mia, ma mi pare strano che non vi sia un modo di avere un filtro sugli utenti.
UL1 - Ma noi vogliamo il filtro sui gruppi.
IO - Hummm... ma non avete appena detto che lo volete sugli utenti?
UL1 - Il filtro lo vogliamo sui gruppi.
UL2 - Il filtro lo vogliamo sugli utenti.

I due si guardano tra di loro.

UL1 - Il filtro lo vogliamo sugli utenti.
UL2 - Il filtro lo vogliamo sui gruppi.

Si ri-guardano tra di loro.

UL1 - Il filtro lo vogliamo sui gruppi.
UL2 - Il filtro lo vogliamo sugli utenti.
UL1 - Non voglio mettermi a ravanare su ogni utente ogni volta che cambiamo una virgola.
UL2 - Ed io non voglio dover spostare gente da un gruppo all'altro.
UL1 - I gruppi sono piu' facili da gestire.
UL2 - E gli utenti forniscono un controllo piu' fino.
IO - (sentendomi molto come l'arbitro di quel famoso incontro di pugilato che venne pestato da entrambi i pugili) Ok, ok. State calmi, che adesso vediamo come e' meglio farlo.

Cosi' mi rimetto a guardare questo obbrobrio di web-interfaccia, provo per prima cosa a fare un bel dump dell'intero log del coso e faccio un giro con sed ed awk, e trovo che, apparentemente, ci sono TUTTI gli utenti nel log, quindi potrebbe essere un problema di come il "report" funziona (o pretende di). Dopo aver fatto un po' di prove pero' non riesco a convincere i due sarchiaponi. Entrambi suggeriscono di togliere il proxy dalla DMZ e metterlo invece nella LAN. Ok, cambiare la configurazione del proxy e' semplice, poi si tratta pero' di cambiare la configurazione del firewall per non redirigere piu' le connessioni HTTP uscenti sull'ip vecchio. Mi attacco al telefono ed il buon Bart esegue l'operazione sul firewall.

Dopo un po' di ravanamenti con un paio di pc di test, i due sarchiaponi sono di nuovo li' che discutono sui gruppi/utenti, io intanto ho fatto un rapido giro nella documentazione dove semplicemente dice che queste cose si fanno a livello di gruppo e non di utente. Presento le mie scoperte.

UL1 - Ma come solo a livello di gruppo?
mepensa: ma eri tu che lo volevi a livello di gruppo no?
UL2 - Dovrebbe essere possibile anche a livello di utente!
IO - Secondo la documentazione no. Io posso provare a mandare una mail a questa gente e domandare, ma secondo me la documentazione e' chiara. O si fa a livello di gruppo o picche.
UL1 + UL2 - Ma perche'?
IO - Aho', io sto' coso non l'ho fatto ne' l'ho proposto. Siete voi che lo avete specificamente richiesto. Adesso giocateci un po' e vedete se i report escono meglio dato che si trova nella Lan ed io intanto vedro' di riconfigurare il firewall (anzi, di dire al mio collega di riconfigurarlo) in modo da rifar funzionare questo coso come proxy trasparente.

E speriamo che nel frattempo si schiariscano le idee su cosa vogliono e come.

Davide
04/05/2009 08:00

Previous Next

Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.

20 messages this document does not accept new posts
NydiracClassico... By Nydirac - posted 04/05/2009 08:21
... ma che ti aspettavi? qualcuno con le idee chiare?! seee....

--
Nydirac


Mauro PietrobelliTutto il mondo è paese By Mauro Pietrobelli - posted 04/05/2009 08:28

<UL1 - Il filtro lo vogliamo sui gruppi.
UL2 - Il filtro lo vogliamo sugli utenti.

I due si guardano tra di loro.

UL1 - Il filtro lo vogliamo sugli utenti.
UL2 - Il filtro lo vogliamo sui gruppi.>

Poche idee ma ben confuse.........

--
Mamo


mk66-AT- Mauro Pietrobelli By mk66 - posted 08/05/2009 23:43

> <UL1 - Il filtro lo vogliamo sui gruppi.
> UL2 - Il filtro lo vogliamo sugli utenti.
>
> I due si guardano tra di loro.
>
> UL1 - Il filtro lo vogliamo sugli utenti.
> UL2 - Il filtro lo vogliamo sui gruppi.>
>
> Poche idee ma ben confuse.........
> --
> Mamo
Cambiando le mutande (come dicevano i latini) mi e' capitata la stessa cosa, solo che nel mio caso UL1 era il cliente e UL2 era.. il mio capo!!!
Immagino non interessi sapere chi dei due sparava le ca$$ate piu' grosse..

--
mk66


Eugenio Dorigatisubject By Eugenio Dorigati - posted 04/05/2009 08:44

Poche idee ma molto ben confuse ;-\)

--
"Unix IS user friendly. It's just selective about who its friend are"


Luca Benellispecificamente richiesto dal loro IT By Luca Benelli - posted 04/05/2009 09:06

C'è una unica domanda da fare in questa situazione: perchè?

La risposta non importa... se contiene un uhm, ehm o simili come primo "verso" i risultati sono gia scontati.

Grazie per le storie del lunedi :-\)

--
Luca Benelli


DavidePerò.... By Davide - posted 04/05/2009 09:19

....non ti annoi mai ;-

--
Davide


Matteo Jurmanovvio! By Matteo Jurman - posted 04/05/2009 09:25

Giusto per citare quel grande filosofo esistenzialista che e' Corrado Guzzanti, "la risposta e' dentro di te... EPPERO' E' SBAGLIATA!" (si applica ai CL in questione)...

Saludos e buona settimana a tutti, auguratemi buona fortuna che oggi dico al capo che O mi fa un contratto comediocomanda OPPURE la sua rete la fa gestire all'azienda di $CommercialeViscido, lo stesso che voleva venderci un server e farci usare quello vecchio come client...

--

---
BabboMatteo


Kurgan-AT- Matteo Jurman By Kurgan - posted 04/05/2009 11:01


> Saludos e buona settimana a tutti, auguratemi buona fortuna che oggi dico al capo che O mi fa un contratto comediocomanda OPPURE la sua rete la fa gestire all'azienda di $CommercialeViscido, lo stesso che voleva venderci un server e farci usare quello vecchio come client...

Buona fortuna!

Comunque fai bene ad essere duro, che perdere certi lavori e` meglio che tenerli, fidati.

--
Il massimo danno con il minimo sforzo


EdwardCuriosita' By Edward - posted 04/05/2009 10:49

"Per caso" UL1 e' alto e magro, l'altro basso e grassoccio? Forse vestono due frac neri anni '20 e sbagliano gli accenti? Se le risposte sono affermative, credo di averli gia' visti ... :-\)

Secondo: non esclami mai un "Capitano tutte a me?" ?

Edward

--
Edward


Luca BGDecidersi By Luca BG - posted 04/05/2009 10:56

> E speriamo che nel frattempo si schiariscano le idee su cosa vogliono e come.

Sì, cerea neh?

--
Luca BG


KurganClassico By Kurgan - posted 04/05/2009 10:59

Non sanno che funzionalita` vogliono ottenere, sono addirittura in DISACCORDO sulla funzionalita` che vogliono ottenere, e cio` nonostante sanno perfettamente (si`, come no) quale prodotto vogliono, al punto da richiedere specificamente quel prodotto. Classico.

Ci sono due possibilita`:

1- il venditore del prodotto X ha promesso un "regalo" a qualcuno

2- qualcuno e` cosi` coglione che si e` fatto convincere che il prodotto X era quello perfetto, anche senza bisogno di ricevere un regalo.

La 2 e`, tutto sommato, quasi peggio della 1.

--
Il massimo danno con il minimo sforzo


psini-AT- Kurgan By psini - posted 04/05/2009 12:42

> Ci sono due possibilita`:
>
> 1- il venditore del prodotto X ha promesso un "regalo" a qualcuno
>
> 2- qualcuno e` cosi` coglione che si e` fatto convincere che il prodotto X era quello perfetto, anche senza bisogno di ricevere un regalo.
>
> La 2 e`, tutto sommato, quasi peggio della 1.

Ma e' anche di gran lunga la piu' frequente.

--
psini


SacripantMaledette indecisioni By Sacripant - posted 04/05/2009 11:05

'Giorno D. e tutti gli altri.
Una curiosita' ma il proxy per caso fa anche webfiltering e si chiama $CopertaBlu ???

Comunque è sempre un problema decidere a priori se i filtri farli su gruppi, utenti, untenti e gruppi...eppoi salta sempre fuori la problematica "...ma se un utente e' in piu' gruppi quale policy viene adottata?!?!?!" e in questo caso le guide sono quasi sempre carenti...

--
Sacripant


kallsuSempre meglio che la confusione assoluta By kallsu - posted 04/05/2009 11:14

Diciamo che UL1 e UL2 hanno una disputa su cosa fare,
almeno è sempre meglio di essere arbitro fra vari UL che non sanno che fare, e non hanno la più pallida idea di cosa vogliono.


Un saluto.

--
kallsu


maxxfi-AT- kallsu By maxxfi - posted 04/05/2009 13:38

> Diciamo che UL1 e UL2 hanno una disputa su cosa fare,
> almeno è sempre meglio di essere arbitro fra vari UL che non sanno che fare, e non hanno la più pallida idea di cosa vogliono.
>
Beh non sempre. In qualche caso caso se gli UL non sanno che fare hai la possibilita' di proporre "facciamo cosi' perche' [libera il markettaro che e' in te e aggiungi una scusa plausibile]". Con UL1 che dice bianco e UL2 che dice nero, finisci per averne sempre uno scontento che ti rompera' l'anima.

--
maxxfi


filsysadminDiciamo che la strada dell'inferno dei cl é lastricata di buone intenzioni By filsysadmin - posted 04/05/2009 12:39

Conosco(evo) la mia ex ditta che a forza di dire che tutto era ok e che eravamo noi, che contavamo meno del due di coppe con le carte francesi a poker, che dovevamo portare rendite clientela e compagnia "brutta", loro non si misero d'accordo neanche su come fare i biglietti da visita e le brochures e la ditta fallé miseramente.



--
filsysadmin


anonymoussubject By anonymous - posted 04/05/2009 13:29

1) Il firewall per caso é di colore viola (la procedura di registrazione e attivazione mi ricorda qualcosa...)?

2) A quando la storia del firewall dal quale usciva il fumo? (avevi accennato su it.comp.os.linux.sys)

--
anonymous


Claudio Cosenzasinonimi.. By Claudio Cosenza - posted 04/05/2009 17:37

Sarchiapone é l'aggettivo pié bello che tu abbia usato in tutta la tua vita!
Anche perché é molto bello sapere cosa vuol dire! (non che ci volesse tanto a sgamarlo..)

--
Claudio Cosenza


EnricoCnessun commento... By EnricoC - posted 05/05/2009 01:18

di solito scrivo qualcosa... però in 'sto caso... ho solo un'incubo da un'anno a 'sat parte.... colgo l'occasione per chiedere!

Qual'è la traduzione di "se striscia fulmina, se svolazza l'ammazza!"

pliz

--
EnricoC


Desperado$CopertaBlu, confermo... By Desperado - posted 10/05/2009 21:28

sono sicurissimo che il proxy in questione รจ $CopertaBlu...

consiglio: ASTENETEVI!!!!!!!!

--
Desperado


20 messages this document does not accept new posts

Previous Next


This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.


This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.

This site isn't optimized for vision with any specific browser, nor it requires special fonts or resolution.
You're free to see it as you wish.

Web Interoperability Pleadge Support This Project
Powered By Gojira