3.1 Configuración Global
Esta página nos muestra información sobre el sistema y algunas opciones para configurarlo.Más opciones de configuración e información del sistema irán apareciendo en esta página en futuras versiones.
No presentar página de login a usuarios no autorizados
Cuando configuramos usuarios que autentican por login el servidor siempre presentará la página de logueo a las IPs no autorizadas que intenten conectarse, dándo la oportunidad de que se comience una sesión de navegación por login. Cuando no tenemos ningún usuario que autentica por login el servidor también presentará la página de logueo lo cual sirve, por ejemplo, para mostrar un aviso de cuenta suspendida si la IP/MAC no autorizada está configurada en algún usuario pero deshabilitada; también sirve para que los usuarios no autorizados conozcan los datos de la empresa a la cual se están conectando y puedan contactarse a fin de solicitar el servicio. Si no tenemos usuarios por login y no queremos que la página de logueo aparezca a los usuarios no autorizados, debemos marcar esta casilla.
No aislar redes internas
Cuando está activo el control de acceso (ver 3.2 Control de Procesos) el servidor también implementa reglas para que las diferentes redes lan (o redes intranet) no puedan comunicarse entre sí. Marcando esta opción dichas reglas no son aplicadas. Lo habitual en un servidor o router que soporta diversas subredes internas es que comunique las diferentes subredes entre sí. Esto significa que un cliente con la IP 192.168.1.10 tendría comunicación con otro de IP 10.42.42.50 -aunque tengan subredes incompatibles- gracias al ruteo del servidor. Para evitar este comportamiento normal SislandServer incluye reglas internas que aislan las redes internas. Este aislamiento puede desactivarse con esta opción.
DNS secundarios
SislandServer incluye un servidor DNS interno que los clientes pueden utilizar como servidor DNS en su configuración de red (o sea que utilizan la misma IP como puerta de enlace y como DNS primario, de hecho asó es como se les configura automáticamente a los clientes que se conectan por DHCP). El servidor DNS de SislandServer tiene una lista interna de servidores DNS secundarios para consultar. En algunas ocasiones queremos que el DNS del servidor no consulte a esa amplia lista sino a DNS específicos (por ej., a los DNS que nos indica nuestro proveedor del enlace que suelen ser de acceso más veloz porque están más "cerca"). Esos DNS específicos se configuran aquí, una IP junto a la otra separadas por espacio únicamente.En ocasiones, se han presentado periodos donde hay problemas en internet para acceder a algunos servidores DNS. En estos casos también puede ser útil fijar DNS en este campo. Pueden utilizarse los DNS de nuestro proveedor o DNS públicos como 208.67.222.222, 67.138.54.100, 4.2.2.1, 4.2.2.3 y otros DNS públicos. Para probar si un DNS es abierto y accesible desde el servidor podemos ejecutar, por terminal o consola virtual, un comando como dig -t ns sitaram.org @208.67.222.222 reemplazando 208.67.222.222 por la IP del DNS que queremos testear y sitaram.org por cualquier dominio existente (o utilizar este mismo).
Sitios sin proxy
El servidor hace pasar toda la navegación http (puerto 80) por el proxy Squid que tiene instalado y preconfigurado. Esto permite "cachear" (almacenar) los contenidos y ahorrar ancho de banda cuando otro usuario requiere el mismo material. Sin embargo, algunos sitios no funcionan bien cuando pasan a través de un proxy por lo cual podemos en este campo agregar dichos sitios (por IP o por dominio) separados por espacios para que no sean redirigidos al proxy.
Puertos Adicionales de aplicaciones P2P
El sistema identifica a los programas p2p a través de filtros especiales y de puertos preconfigurados que tradicionalmente utilizan estos programas. A los puertos que ABC reconoce como transferencias de programas peer to peer y a los cuales les aplica un ancho de banda diferenciado -tanto de bajada como de subida-, el administrador puede agregar una lista adicional que se aplicará en cuanto se guarde la configuración si el sistema está activado.La lista solo debe contener números (los puertos) separados por comas, permitiéndose los rangos como 2000:2005 (o sea, del 2000 al 2005).Ejemplo de lista adicional: 6987, 23658, 2568,4587,8900:8999,1254
¡ATENCIÓN! Pueden haber espacios pero no puede omitirse la separación con comas, incluir letras ni ningún otro símbolo. Errores en esta lista pueden resultar en que el sistema no haga el modulado diferenciado de ningún puerto p2p.En este listado de puertos pueden incluirse puertos correspondientes a otros protocolos (no p2p) que se pretenda sean controlados con el mismo ancho de banda que los p2p.
Avanzadas
Puertos liberados
Podemos especificar puertos a los cuales el servidor no les aplicará control de acceso. Es un parámetro a utilizar con cuidado ya que si se trata de clientes cuyas IP no corresponden a ningún usuario cargado en el sistema, tendrán el puerto abierto pero ningún control de ancho de banda, también estos puertos podría ser utilizados por programas p2p. Solo se recomienda en redes controladas en las cuales se desea que algunos protocolos estén liberados para toda la red.
Consultas DNS: máximo ancho de banda de subida permitido.
Aquí opcionalmente puede limitarse el ancho de banda de subida que el servidor puede utilizar para las consultas DNS. No es necesario llenar este parámetro a no ser en en enlaces con problemas de ancho de banda de subida muy limitado.
Duración en seg. guardián de conexiones
Si nuestra licencia incluye el módulo de balanceo de conexiones y ruteo selectivo, aparecerá esta opción que tiene sentido únicamente si efectivamente estamos utilizando el balanceo, o sea que conectamos el servidor a más de una conexión a internet. Para saber si las conexiones están funcionando adecuadamente el servidor testea las puertas de enlace o las IP de control de diferentes maneras en forma periódica . El último testeo consiste en enviarles ping en un lapso de tiempo de 5 segundos por test. Si más del 50% de los ping son respondidos considera que la conexión funciona aceptablemente; sino, la deshabilita hasta que la misma responde adecuadamente. En enlaces muy lentos, muy saturados o inestables, 5 segundos puede ser poco tiempo de prueba y producirse falsos negativos, con periódicas desactivaciones de enlace que perjudican el servicio. En conexiones con las características mencionadas o si notamos que en el registro del guardián de conexiones presenta desactivaciones muy frecuentes, puede ser conveniente aumentar este valor a 10 o más. Los tests serán más lentos pero más seguros.
En el panel izquierdo podemos configurar datos informativos:
- NOMBRE EMPRESA
Aparecerá en la página de login, o sea que será visto por los usuarios que accedan por nombre de usuario/contraseña. Se superpone al nombre de la empresa configurado en la intranet, si se hubiera hecho
- EMAIL para avisos del sistema
Es el mail al cual el servidor enviará avisos como caida y recuperación de enlaces (módulo de balanceo) y otros.
- Imagen o HTML para página de login
Aparecerá en la sección derecha de la página de login cuando los usuarios sin autenticación por IP/MAC quieran conectarse. Lo mejor es subir una imagen JPG o GIF con el diseño que queramos (tamaño máximo recomendado 440px de ancho por 380px de alto). También puede ser un archivo HTML o de texto.
3.2 Control de Procesos
Actualmente esta página contiene el mismo Panel de Control que la página principal (El Portal) y un panel de control extendido para los principales servicios incluidos en el servidor.
PANEL DE CONTROL
Las funciones del panel de control que describimos a continuación son las mismas para El Portal y para la página de Control de Procesos.
Inicia o reinicia ABC, lo cual implica: control de ancho de banda, control de acceso al servidor y reconfiguracíon de red y también, si no han sido deshabilitados, redirección de IP públicas y activación o reactivación del firewall. | Detiene ABC pero únicamente el control de ancho de banda y de acceso. Redes, redirecciones y firewall siguen funcionando a menos que los deshabilitemos con los demás controles. | |||||||
| ||||||||
| ||||||||
APAGA el servidor | REINICIA el servidor | Indica que está funcionando el servidor DHCP. Cabe señalar que el servidor DHCP solamente tiene que estar activo si hay usuarios marcados para las asignación dinámica por DHCP o autenticación por login. | Indica que está activado el control por IP/MAC de los usuarios, lo cual sucede cuando se activa ABC. Se puede deshabilitar ese control haciendo clic aquí. | Indica que están activadas las redirecciones de IP públicas, lo cual sucede cuando se activa ABC. Se pueden desactivar las redirecciones haciendo clic aquí. | Indica que está activado el firewall que protege al servidor, especialmente en las redes conectadas a internet, lo cual sucede cuando se activa ABC o se reconfigura la red.Se puede desactivar haciendo clic aquí. | RECONFIGURA LA RED de acuerdo a los parámetros cargados en el ABC. Haciendo clic aquí puede probarse una configuración nueva, pero es conveniente tener desactivado, durante las pruebas el control de ancho de banda. ABC también reconfigura la red cada vez que lo iniciamos o reiniciamos. | ||
Servidor DHCP inactivo | Control por MAC deshabilitado. | Redirecciones deshabilitadas | Firewall desactivado |
Control de servicios
En el panel de control extendido disponemos de un botón que nos indica el estado de cada servicio y nos permite cambiar dicho estado y otro botón o ícono para operaciones especiales. |
SQUID – el proxy que cachea las páginas web visitadas haciendo más ágil la navegación, puede desactivarse a los fines de diagnóstico pero conviene que funcione. El botón de la derecha permite vaciar el caché (las páginas almacenadas) lo cual sólo es necesario como prueba en el caso de que notemos la navegación muy lenta y tengamos certeza que no se debe a la conexión a internet (ver página Mantenimiento de la Intranet).
NTop – una aplicación auxiliar que recopila estadísticas del uso de la red (ver 4.3 NTop: análisis del tráfico de la red)
DNS server Bind9 – un servicio incluido en el servidor que hace la función de DNS para los usuarios y para el mismo servidor. Mientras este funcione, los usuarios pueden utilizar el servidor como DNS (ahorrando consultas hacia internet) y el servidor no necesita configuración de DNS. Otra ventaja es que cachea las consultas lo cual implica ahorro de ancho de banda. El control especial sirve para vaciar el caché (dominios almacenados).
Ajuste de fecha y hora
La hora del servidor se actualiza en forma periódica con servidores ntp (servidores de hora) en internet. En esta sección de la página Control de Procesos podemos solicitar una actualización inmediata de fecha y hora y/o cambiar la zona horaria en la que el servidor está ubicado.
3.3 Respaldo y restauración
Disponemos aquí de 2 funciones complementarias. Bajar archivo de BackupGenera un archivo de texto con TODOS los datos de configuración de ABC que se descarga en el mismo equipo desde el cual estamos accediendo a la interfaz web de ABC. Restaurar desde este archivoPermite subir un archivo generado con el paso anterior, restaurando todos los datos (usuarios, grupos, interfaces, configuraciones, etc.).
3.4 Setup (activación y licenciamiento del servidor)
Esta página nos permite realizar configuraciones importantísimas en el servidor sin recurrir a comandos por consola. Es la base para que todas las configuraciones y paquetes de software queden convenientemente instalados. El uso de las opciones de esta página está explicado en las instrucciones de instalación www.sislandserver.com/instalacion. Aquí haremos un repaso de las opciones que podemos utilizar tanto en la configuración inicial, como en posteriores actualizaciones y tareas de mantenimiento o verificación. Para ingresar en esta página necesitamos el usuario/contraseña del titular de la licencia, o sea, los mismos que se utilizan en la intranet.
LICENCIAS
1. Activar LicenciaNos presenta una lista de licencias disponibles para elegir cual instalamos en este servidor. Una vez activada la licencia, haciendo clic en esta misma opción la actualizamos, lo cual puede ser útil para habilitar nuevos módulos contratados en la intranet, por ejemplo.2. Desactivar licenciaAntes de intentar instalar el servidor en otro equipo o hacer una instalación completa en este mismo, es recomendable desactivar la licencia.
SERVIDOR
3. Configuración generalInstala todos los paquetes de software y establece las configuraciones necesarias para el correcto funcionamiento del servidor. Se puede ejecutar las veces que queramos, para asegurarnos que todos los componentes del servidor estén correctamente instalados y configurados, pero habitualmente solo se utiliza en la instalación inicial, luego del Paso 2.4. Actualizar sistema de controlActualiza el sistema de control a la última versión disponible.
MANTENIMIENTO 5. Volver a versión anterior instaladaPermite volver el sistema de control atrás luego de una actualización Las opciones siguientes ya están incluidas en las anteriores. Se presentan aquí por separado para tareas de mantenimiento o "reparación":6. Actualizar programas auxiliares de estadísticasRepasa la instalación de programas como el ntop, iptraf, etc.7. Actualizar configuración del entorno operativoReinstala programas importantes como el servidor de nombres, base de datos, proxy y otros.8. Migración a nueva versión Se asegura que ciertos parámetros utilizados por la actual versión del sistema de control sean configurados en el servidor. Se utiliza cuando hay un cambio importante de versión, por indicación de los desarrolladores del sistema.
Datos
9. Resetear clave local de acceso al sistemaLa contraseña local, que sirve para todo el ABC menos para el setup, se resetea al valor predeterminado: usuario igual al ID de licencia, contraseña igual al ID de licencia.10. Cargar configuración predeterminada ¡Sólo instalaciones nuevas!(figura como Instalar datos predeterminados en versiones anteriores)Carga configuración "de fábrica" del sistema de control como redes, grupos, usuarios, etc. Luego de utilizar esta opción es imprescindible reconfigurar las Redes antes de resetear el equipo o reiniciar el control de ancho de banda.
Sistema Operativo
12. Configurar kernel y servidoresEstá incluido en el punto 3 pero figura en esta página por si hiciera falta asegurarnos que software vital para el funcionamiento del servidor como el kernel de SislandServer está instalado en el sistema operativo.
4.1 Sobre los informes del servidor
Al desarrollar ABC nos hemos concentrado, dedicando miles de horas de investigación y programación, a lograr un óptimo control del ancho de banda y la mayor simplicidad y eficiencia posibles en la instalación y configuración del servidor. Los informes no han sido la primera prioridad ya que, cuando el servidor distribuye bien el ancho de banda no es tan necesario controlar el tráfico, pero contamos en el servidor con varios y muy útiles. ABCTrafDisponemos de UserTraf, una página poderosa y útil que nos muestra el consumo actual de los usuarios: por tipo de transferencia, por usuario y por grupo. Ver página del manual sobre UserTrafNTOP Ver página del manual sobre NTop (análisis del tráfico de la red)Equipos Conectados A través de esta página podemos saber fehacientemente las IP y MAC de los clientes que pasan por el servidor. Aquellas IP marcadas con un + a la derecha están conectadas en este momento, la marca o y – significan que se han conectado hace algunos segundos; si no tienen marca es un registro de que estuvieron conectadas. La información se refresca cada 30 segundos y podemos actualizarla más rápido simplemente apretando la tecla F5.Algunos access point enmascaran la MAC de las máquinas que se conectan a través de ellos; gracias a esta página sabemos sin duda cuál es la MAC que llega al servidor.Consumo por interfazSencilla aplicación auxiliar que nos muestra el tráfico (en cantidad de Mb o Gb) de cada placa de red por hora, día o mes.Información del servidorOtra aplicación auxiliar que nos muestra la configuración general del sistema operativo y los valores de hardware detectados. Es normal que la memoria aparezca cercana al 90% ya que en ocasiones Linux una vez que la utiliza la deja reservada y figura como en uso.IPTRAFSislandServer incluye una poderosa herramienta de monitoreo de red por consola: iptraf. Loguearse en una consola directamente o con putty y ejecutar sudo iptraf para acceder a la misma. Hay documentación disponible sobre este programa en http://cebu.mozcom.com/riker/iptraf/2.7/manual.htmlEn SislandSoft continuamos con en el desarrollo de nuevas herramientas de información que se incorporarán en futuras versiones, permitiendo el análisis del consumo histórico de cada usuario y otras prestaciones.
4.2 UserTraf: el monitor de consumo por usuario
Esta página nos permite hacer el monitoreo on-line del consumo en kbps de cada usuario. Trabaja con una avanzada tecnología de auto-refresco de datos, optimizada para ocupar el menor ancho de banda posible.Solamente presenta los datos si el control de ancho de banda está activo en el servidor.La banda celeste muestra los datos del grupo de usuarios: ID, nombre, ancho de banda asignado de bajada y de subida, ancho de banda actual de bajada (rojo) y de subida (verde) y tráfico acumulado de bajada y de subida desde la última activación del control de ancho de banda.
Cada cuadro (hay 4 o 5 por fila) muestra los datos de un usuario: ID, login, IP, ancho de banda actual de bajada (rojo) y de subida (verde), tráfico recibido (Rx) y transmitido (Tx) desde la última activación del control de ancho de banda. En el caso de los usuarios con autenticación por login, aparecerá la IP que le asignó el servidor y haciendo clic en la misma se cierra la sesión para ese usuario.A la derecha vemos un detalle del ancho de banda consumido en cada grupo de protocolos: s (ssh y tráfico de prioridad 1), w (web), n (ftp y todo lo demás), m (mail y radio), p (p2p detectado). Observarán que a veces no coincide la suma del ancho de banda de estos protocolos con el total del usuario; esto es normal por los tiempos de medida que difieren en milisegundos y el redondeo que se aplica para poder mostrarlo en este pequeño cuadro.Los cuadros "iluminados" muestran los usuarios con transferencia; luego de unos 30 segundos sin actividad vuelven al color original.Están en desarrollo o planificadas las siguientes prestaciones para UserTraf:
monitoreo del total por dispositivo (placa de red)
monitoreo por grupo o por usuario seleccionado
opción de vista breve y detallada
edición y habilitación del usuario desde esta página
cantidad de tráfico acumulado mensual
4.3 NTop: análisis del tráfico de la red
¿Qué es Ntop?Un programa que genera estadísticas sobre de la red incluyendo actividad IP por IP y que SislandServer instala durante los procesos de Setup¿Cómo se accede a Ntop?A través de un navegador web (Firefox, Internet Explorer) apuntando a alguna de las IP internas del servidor, puerto 3000. Por ejemplo: http://192.168.1.1:3000, http://10.0.0.1:3000, http://10.42.42.1:3000, etc.Si quieres que sea accesible por la IP externa, conectada a internet, debes abrir el puerto 3000 en la pestaña Avanzadas de la página Redes, seleccionando la red correspondiente (ver página Redes).Ntop no funciona ¿cómo puedo reinstalarlo?En la página de Setup del sistema de control hacer clic en Actualizar Programas auxiliares de estadísticas ¿Cómo se inicia/detiene Ntop?Habitualmente este se inicia como servicio (o "daemon") y se ejecuta periódicamente en el servidor sin que debamos ejecutar ningún comando. Disponemos, sin embargo, de un control gráfico en la página 3.2 Control de Procesos de ABC y de comandos por consola para asegurarnos que el mismo funcione, detenerlo o evitar que se inicie como servicio en el arranque del servidor:
sudo invoke-rc.d ntop restartreinicia el servicio ntop
sudo invoke-rc.d ntop stopdetiene el servicio ntop
sudo update-rc.d -f ntop removeevita que ntop se inicie al arancar el servidor
sudo update-rc.d ntop start 99 2 3 4 5 . stop 10 0 1 6 . ;vuelve a configurar ntop como servicio para que arranque junto con el servidor
Más información sobre NtopNTOP es un potente programa de análisis del tráfico de red que queda a disposición del administrador. Se accede por el puerto 3000 via web solamente desde la red interna. Para su conocer su funcionamiento, además de la mencionada interfaz web por el puerto 3000, puede ejecutarse por consola ntop -L o ntop –help; los archivos de configuración se encuentran en /etc/ntop. Si se tiene un tráfico de red muy intenso o una computadora de memoria limitada el ntop puede ocupar bastantes recursos en su escaneo permanente de la red. Para detenerlo puede ejecutarse sudo invoke-rc.d ntop stop y para evitar que se inicie al arrancar el servidor ejecutar sudo update-rc.d -f ntop remove.CONSEJO: en IP >> Summary >> Traffic disponemos de los accesos directos para ver el consumo por IP (haciendo clic en Local Only, arriba, el listado solo presentará la actividad de las IP de la red interna).¿Se puede configurar ntop?Si. La configuración por defecto puede cambiarse en el mismo Ntop por web en la página Admin > Configure.
¿Cuál es la contraseña para el "admin" de ntop y cómo se cambia?La contraseña predeterminada es igual al mismo ID de licencia del servidor y el usuario predeterminado es admin; estos datos pueden cambiarse desde esta misma página (recomendamos cambiarla recordando sin embargo que en las reinstalaciones al hacer clic en Configuración Inicial, Actualización o Actualizar Programas auxiliares de estadísticas de la página de Setup, la contraseña de Ntop se reseteará nuevamente al ID de licencia).
¿Cómo configuro que el ntop registre la actividad de varias placas de red?A partir de la versión 7.01-098 el sistema de control se encarga de configurar las placas correspondientes en el NTop. En versiones anteriores: en el menú Admin >> Configure >> Preferences de Ntop por web agregamos al final un nuevo campo a la izquierda que diga ntop.devices y a la derecha establecemos los nombres de las placas de red separadas por coma (Ej.: eth1, eth2) sobre las cuales queremos que el ntop recopile información, preferentemente las placas internas. Deben ser las placas de red conectadas a los usuarios y no las placas conectadas a internet.
¿Cómo reseteo las estadísticas?En el menú Admin >> Configure >> Reset Stats
5.1 Acerca de Comunicaciones
Este es un menú en el que figurarán enlaces a páginas web de los desarrolladores, los instaladores y otros sitios de interés, así como el manual y documentación en general. Su contenido se enriquecerá a través de la actualización automática.
6.2 Licenciamiento
Cuando adquieres una licencia de SislandServer tú indicas y contratas el número máximo de usuarios que tendrás autorizado y los módulos adicionales que utilizarás.Tienes más información sobre la administración de licencias en la página del manual sobre el Setup (activación y licenciamiento del servidor).Uno de los aspectos más importantes de SislandServer es la facilidad con la que lo instalas, lo reinstalas, lo cambias de equipo, etc., sin necesidad de solicitar nuevas activaciones de licencia o perderla al cambiar al hard. Lograr esta flexibilidad y a la vez proteger el sistema de copias ilegales no es una tarea fácil y ha requerido cientos de horas de trabajo. A fin de disponer de un sistema de licenciamiento dinámico, rápido y seguro, el servidor activa las licencias a través de internet y en forma periódica chequea la validez de la licencia con nuestros servidores de licencias. Por eso es necesario para su funcionamiento una conexión a internet permanente y medianamente estable. El servidor NO envía información acerca de los usuarios, grupos, tráfico, etc., del mismo. Tenemos implementado un plan de contingencia para asegurar que los servidores siempre puedan verificar la licencia y funcionar, con servidores espejo, algoritmos de tolerancia, transferencias encriptadas de poca longitud, chequeos aleatorios en lapsos de tiempo bastante amplios, técnicos de emergencia, etc.
Autor:
William Ramírez
Página anterior | Volver al principio del trabajo | Página siguiente |