Descargar

Manual Sisland Server Versión 9 (página 2)


Partes: 1, 2, 3

  • En Conexiones >> Usuarios cargamos los datos del usuario. Son imprescindibles el login (nombre de usuario) y el grupo. Si elegimos que el usuario se autentifique por IP/MAC debemos consignar ambos datos. Si elegimos que se autentifique por login, debemos configurar una contraseña.

  • Finalmente, en el mismo Portal o en Sistema >> Control de Procesos aplicamos los cambios haciendo clic en edu.red

IMPORTANTE: Prestar atención a la marca de Habilitado al cargar interfaces, grupos, usuarios, etc.; si no se chequea la misma no se activa el elemento, solo resulta en una carga "de reserva".

  • 1 Comandos por consola

El servidor está preparado para ser controlado y configurado principalmente desde la interfaz web, lo cual llamaríamos habitualmente "el ABC" o sistema de control. Sin embargo, también disponemos de algunos comandos especiales para trabajar por consola.Para acceder a la consola del servidor lo hacemos de alguna de estas dos formas:

  • directamente en el servidor si tiene teclado y monitor

  • desde cualquier equipo conectado a la red con el programa putty (si el control de acceso está activo y accedemos por alguna red interna, el equipo desde el cual nos conectamos con putty debe estar configurado como un usuario en el ABC)

El nombre de usuario y contraseña que utilizaremos serán los mismos que configuramos al instalar el sistema operativo del servidor (ver página sobre Contraseñas).El comando principal es server. Requiere un parámetro, según el siguiente detalle:# server stopdetiene el control de acceso y ancho de banda# server startinicia el control de acceso y ancho de banda, las configuraciones de red y el firewall (si estaba habilitado)# server statusinforma si el control de acceso y ancho de banda está corriendo o está detenido # server netstartreconfigura la red de acuerdo a la configuración de ABC# server netstopreconfigura la red de acuerdo a los parámetros originales que se utilizaron en la instalación# server firestartinicia o reinicia el firewall# server firestopdetiene el firewall# server runinicia ABC aún cuando el mismo ha sido desactivado para ejecutarse al inicio del servidor# server resetpassresetea la contraseña local del ABC con lo cual resulta que el nombre de usuario será, como siempre, el ID de licencia y la contraseña también (ver página Contraseñas)Comandos de emergenciaSi por algún motivo no tuviéramos acceso al sistema de control por web, tenemos otros comandos para hacer configuraciones de emergencia que nos permitan conectar el servidor a internet, configurar fácilmente una red en el mismo y analizar la configuración de red aplicada.# server netshowmuestra la configuración de red actual# server netstopcomando para configurar una red de emergencia (nos solicita IP, IP puerta de enlace, placa) lo cual le permitiría al servidor conectarse a internet y a nosotros acceder al sistema de control por web# ip linkcomando de Linux que muestra las placas de red detectadas por el sistema operativo# pingenvía paquetes a una IP o dominio cualquiera lo cual verifica la conectividadEjemplos:# ping 64.233.167.99# ping 10.0.0.1verifica conectividad con dichas IPs # ping google.comverifica conectividad con la IP de google.com pero a la vez verifica que el servidor de nombres esté bien configurado

Ejemplos Prácticos

Estas son configuraciones orientativas ya que justamente es la habilidad del administrador de la red la que le posibilitará encontrar una configuración que le permita lograr el mejor aprovechamiento del enlace.ISP

Enlace: 1MSe crean 5 grupos

1. Administrador con máximo de subida, bajada y total2. Grupo 128: 64 de subida, 128 de bajada, 770 máximo3. Grupo 256: 128 de subida, 256 de bajada, 770 máximo4. Grupo 512: 256 de subida, 512 de bajada, 980 máximo5. Grupo 128p2p: 24 de subida, 128 de bajada, 256 máximo (para algunos usuarios que utilizan mucho los programas peer to peer utilizando constantemente el enlace)

Pueden configurarse varios grupos aún para quienes contraten un mismo ancho de banda, determinando restricciones especiales para la subida o para el máximo y ubicando allí a ciertos usuarios difíciles o "privilegiados"

ISP con cyber

Grupos similares al ejemplo anterior mas un grupo para el cyber. Supongamos que se utiliza ABC para asignarle ancho de banda a cada maquina de un cyber que contrata 256K

6. Grupo Cyber256: 64 de subida, 230 de bajada, 256 máximo

Así, cada máquina va a poder navegar casi a 256 si las otras no utilizan el enlace, pero al determinar 256 de máxima los equipos que naveguen se distribuyen no más de ese ancho de banda.

Sisland Server en un cyberABC se utiliza frecuentemente para hacer un control y distribución de los equipos en un cyber. Estamos trabajando en una versión especial para cybers, con algunas prestaciones extras que ayudarán en la administración de los mismos. Mientras tanto, el "poder" de distribución y control de SislandServer puede utilizarse para optimizar el uso del enlace.

La configuración es simple:

  • Dejas el grupo Full Administradores para los equipos que no utilizan los clientes

  • Creas el grupo Cyber con el mismo ancho de banda en la subida, la bajada y en el máximo. Ese ancho de banda puede ser de 1024, 2048 o más, para aprovechar las páginas cacheadas por el proxy que bajarán a toda velocidad para satisfacción de los clientes.

  • Puedes tomar como norma que el ancho de banda del grupo Cyber sea el ancho de banda de tu conexión a internet multiplicado por 4.

  • tienes 256 de subida y de bajada: configuras subida 1024, bajada 1024, máximo 1024

  • tienes 256 de subida y 512 de bajada: configuras subida 1024, bajada 2048, máximo 2048

  • La mejor configuración la da tu experiencia. Si configuras el grupo Cyber con un ancho de banda general de 99999 y anda bien, es lo óptimo, ya que habrá máximo ancho de banda para las conexiones cacheadas. Pero si tu conexión tiene muy poco ancho de banda, prueba con valores más bajos como 5000, 2048, 1024 y hasta 512.

  • Por supuesto cargas cada equipo del cyber como un Usuario con su correspondiente IP y MAC, todos pertenecientes al grupo Cyber.

División estricta del enlace

Una Universidad destina 256K para el rectorado, 256K para los equipos del staff docente y 512 para las facultades y bibliotecas, pero no le interesa que cada equipo tenga demasiada velocidad individual.

1. Rectorado: 64 de subida, 128 de bajada, 256 máximo2. Staff: 48 de subida, 96 de bajada, 256 de máxima3. Facultades: 32 de subida, 64 de bajada, 256 máximo4. Bibliotecas: 32 de subida, 64 de bajada, 256 máximo

Señal dedicada

Aunque no es muy frecuente, podríamos tener un cliente que requiera un cierto ancho de banda dedicado, o dicho de otro modo, garantizado al 100%. El módulo básico de ABC (módulo CORE) no soporta esta funcionalidad pero podemos realizar una configuración que se acerque a dicho parámetro.Supongamos que debemos otorgarle 128k de ancho de banda dedicado a un cliente y disponemos de un enlace de 1024k reales. 1024 menos 128 es 896. Lo que hacemos es establecer un máximo ancho de banda de 896k para todos los demás grupos o, mejor aún, bastante menos (Ej. 850, 700, 500 en grupos de poca velocidad y pocos usuarios, etc.). De este modo existe la posibilidad de que el enlace completo siempre tenga unos 128 de reserva o aproximado.

Contraseñas

Para trabajar en el servidor disponemos de 3 claves (nombre de usuario + contraseña) principales:

  • Clave del titular de la licenciaEs el nombre de usuario y contraseña del titular de la licencia tal como se registró en intranet.sislandserver.com. Nos sirve para ingresar al sistema de control ABC al igual que la clave del operador explicada a continuación, pero es la única clave autorizada en la página de Setup de dicho sistema de control.

  • Clave del operadorPara tareas habituales de configuración en ABC (todas menos el Setup). El usuario es siempre igual al ID de licencia y la contraseña predeterminada es igual. Es conveniente marcar Cambiar password al ingresar y no dejar la contraseña predeterminada. Si olvidamos esta clave, se puede resetear desde la página de Setup, ingresando con la clave del titular o por consola con el comando server resetpass.

  • Clave del sistema operativoPara trabajar por consola. Si se siguieron las instrucciones de instalación al respecto, será igual a la clave del titular. Anteponiendo "sudo" a cualquier comando y reingresando la contraseña, se adquieren privilegios de root. No hay usuario root activo en el sistema operativo.

  • Clave de NTop (programa auxiliar de estadísticas de red)Para configuraciones avanzadas de Ntop es necesario loguearse en el mismo como usuario admin, la contraseña es igual al ID de licencia de ABC (recomendamos cambiarla recordando sin embargo que en las reinstalaciones del sistema se reseteará al ID de licencia).

Control de Acceso

Cuando el control de ancho de banda es activado también se activa el control de acceso al servidor.El control de acceso impide que equipos que no estén cargados como Usuarios en el sistema accedan al servidor. Equipos no autorizados pueden recibir IP automática del servidor DHCP y acceder a la pantalla de login, pero no podrán navegar si no están autorizados según su IP/MAC o usuario/contraseña. Se puede desactivar el control de acceso (dejando el control de ancho de banda activado) haciendo clic en edu.reden el panel de control. A la inversa, cuando el control de ancho de banda está desactivado edu.redse puede activar solamente el control de acceso haciendo clic en edu.red Control de acceso por IP/MACEl servidor le permite al usuario utilizar el servicio si se conecta con una IP y la MAC cargadas en el sistema (Usuarios). Si un usuario con autenticación por IP/MAC tiene la cuenta desactivada, cuando intenta navegar aparece un mensaje en la página de login que le avisa de su cuenta suspendidaControl de acceso por LOGIN (usuario/contraseña) Cuando se conecta cualquier equipo que no tiene IP y MAC configuradas, el servidor le presenta la pantalla de login. Si el usuario ingresa usuario y contraseña válidos el servidor le abre el servicio, registrando su IP. Este permiso de acceso queda abierto indefinidamente hasta que el usuario se loguee nuevamente desde otra IP o hasta que un administrador del servidor lo desloguee haciendo clic en su IP en la página de UserTraf: el monitor de consumo por usuario.

Características principales del subsistema de autenticacion por login

  • Cuando un equipo no autorizado por IP/MAC se conecta al servidor y pretendiendo acceder a una página web, el servidor le solicita que se loguee. Si se autentica correctamente lo redirecciona a la página solicitada, con un procedimiento especial para evitar el cache de los navegadores (por lo tanto, no es necesario acceder a una página particular de login).

  • Si un usuario con autenticación por login tiene además la IP configurada (en la página Usuarios), el servidor revisa que ese usuario solo se conecte desde esa IP. Si tiene la MAC cargada, autentica la MAC. Por lo tanto se pueden combinar ambos tipos de autenticación.

  • Para desconectar un usuario logueado, se hace clic en la IP del mismo en la página UserTraf.

  • El servidor dhcp otorga todas las IP disponibles en las redes menos las reservadas para los usuarios por IP/MAC.

  • UserTraf actualiza la IP cuando el usuario se loguea y muestra su consumo.

  • Una sesión se cierra cuando se abre en otro equipo (otra IP).

  • Se registra cada ingreso por login para controlar IPs y, especialmente, macs. La idea es controlar que los usuarios no estén "prestando" sus datos de logueo, lo cual es sospechable si accede frecuentemente desde distintas MAC. Para listar los ingresos de cada Usuario disponemos de la pestaña Registro en la página Usuarios.

  • El usuario puede cambiar su contraseña al acceder

  • Al reiniciar el control de ancho de banda o el servidor los usuarios logueados siguen habilitados

  • El sistema de autenticación por login está preparado para grupos sin control de ancho de banda y grupos con control de horarios.

  • Es posible agregar una página personalizada como parte de la página de login, lo cual se configura en la página Configuración Global del sistema.

¡Atención! Si se cambia la contraseña de un usuario con autenticación por login NO es necesario reiniciar el control de ancho de banda para que la nueva contraseña tenga efecto Cuando el usuario deba loguearse nuevamente deberá utilizar la nueva contraseña lo cual significa que se le puede otorgar una cuenta de autenticación por login a un usuario y una vez que este la deja de usar, darle los datos a un segundo usuario con una nueva contraseña.

¿Qué es Red preferida para login en la página de Redes?

Si tenemos configurados usuarios que se autentican por login, el servidor DHCP tendrá un rango de IPs libres que otorgará a los clientes que busquen IP para luego conectarse por login. Esta IP puede estar en el rango de cualquiera de las redes LAN configuradas y no importa a qué grupo pertenezca el usuario, de todos modos se le aplicará el control de ancho de banda correspondiente.Por una cuestión de orden, quizá prefiramos que esas IP libres se encuentran en determinados rangos pertenecientes a alguna o algunas de nuestras redes LAN, para lo cual marcamos el checkbox Red preferida para login en las páginas de las redes correspondientes. También podemos crear redes vacías (o sea que no tengan grupos relacionados con ella) y tildarle la marca para que sean las únicas redes con IPs libres.No es imprescindible marcar una red como preferida…

Ante alguna duda de cómo se pueden combinar los parámetros de configuración de cada usuario, tanto en el servidor como en el lado del cliente, este cuadro puede servir de orientación:

edu.red

Balanceo y ruteo selectivo

La información necesaria para el uso de este módulo se encuentra principalmente en las páginas Redes y Grupos de este manual. Sin embargo, para mayor comodidad de los administradores del servidor, resumimos aquí varios conceptos relativos a este módulo.El módulo tiene 3 funciones principales:

  • permite conectarnos a 2 o más proveedores de internet al mismo tiempo, balanceando (distribuyendo) la carga de todos los usuarios entre todas las conexiones; en la práctica esto resulta en una sumatoria de los anchos de banda de todas las conexiones

  • permite configurar conexiones de respaldo que no se utilizan habitualmente pero que el servidor activa automáticamente cuando se cae alguna de las conexiones permanentes

  • permite, opcionalmente, dirigir algunos usuarios por una conexión, otros por otra, etc., en lugar de que sean balanceados

Además, el módulo implementa:

  • tolerancia ante fallos: si una conexión se cae, a los pocos segundos es dejada fuera de servicio, no recibiendo más transferencias de los usuarios para evitar que se pierdan; además, si hay una conexión de backup la activa en esta situación

  • recuperación: cuando el servidor detecta que el enlace ha vuelto a funcionar, reconfigura la red y nuevamente lo utiliza

  • aviso y registro: en lo posible el servidor envía un mail al administrador del sistema notificándole cuando un enlace se ha caído y es anulado, así como cuando es recuperado; además, lleva un registro de estas acciones que se puede consultar en cualquier momento

Requisitos:

  • el módulo de balanceo y ruteo selectivo habilitado en la licencia del servidor

  • una placa de red para cada conexión a internet

  • conexiones que pasen por un modem ADSL deben configurar el modem en modo router

¡Atención!Un par de consejos importantes, a modo de resumen:

  • Es muy importante prestarle atención al campo Conectado a en la página de cada Grupo

  • Si tenemos una sola Red conectada a internet habilitada, da igual que en este campo configuremos esa red o Balanceo, ya que al haber una sola red externa, el balanceo no trabaja.

  • Si tenemos más de una Red externa habilitada lo habitual en el campo "Conectado a" de cada Grupo es que seleccionemos Balanceo. ¿Qué pasa si, en un caso así, seleccionamos una red externa en particular? Todo el tráfico de los usuarios de ese Grupo sale por ese enlace a internet en particular y no se balancea; inclusive no pasa por el proxy (ya que el proxy siempre balancea cuando hay más de una conexión). Por lo tanto, cuando hay más de una Red conectada a Internet habilitada, lo habitual es seleccionar Balanceo en el campo "Conectado a" de cada Grupo.

  • Cuando balanceamos varias conexiones, si alguna de nuestra Redes conectadas a internet tiene una IP privada es importante configurarle una IP de control.

Configuraciones de balanceo/ruteo selectivo en el sistema de control del servidor:

Página Grupos >> Pestaña Edición

Si tenemos varias conexiones a internet configuradas en la página Redes, debemos elegir la interfaz a internet del grupo.Podemos determinar que este grupo (o sea, los usuarios que pertenezcan al grupo) se conecten a internet por una red en particular o por Balanceo (en forma distribuida/balanceada por todas las redes externas).Tener en cuenta que si elegimos una red en particular en vez de balanceo, para estos usuarios no habrá proxy caché (el proxy enmascara las conexiones por lo cual debe pasarse por alto para hacer un ruteo selectivo).

Personalizando el Servidor

Es posible cambiar ciertos datos del sistema de control del servidor ABC como ser el nombre de la empresa que instala el servidor, mail de la empresa, marca del servidor, web de la empresa, etc.De este modo, las licencias de las cuales eres titular y que quizá instalas como parte de tus trabajos profesionales aparecerán con tus datos y tus clientes no averiguarán fácilmente el origen del sistema.Solamente es recomendable "personalizar" el sistema si estás revendiéndolo. Si no, es preferible dejar los datos originales ya que pueden aportar información interesante cada vez que actualizas el sistema (por ejemplo, la página de Novedades del sistema).Los datos personalizados se cargan en la intranet y afectarán a todas las licencias de las cuales eres titular, cada vez que instales o actualices un servidor.¿Cómo se hace?

  • Ingresa en intranet.sislandserver.com

  • Abre la página Mis Datos

  • Más abajo de tus datos de usuario, haz clic en Datos personalizados en ABC (opcional) >>>

  • Carga los datos que quieras. No todos son obligatorios. En donde se presenta cada uno de los datos está explicado en esta misma página.

  • Haz clic en el botón Aceptar

  • Cuando instales un servidor con una licencia de la cual eres titular aparecerán los datos. ¿Y si el servidor ya está instalado? Simplemente vas a la página de Setup en el servidor y haces clic en la opción 1 Activar Licencia.

Cada vez que cambies tus Datos Personalizados en la intranet, deberás 1 Activar Licencia en la página de cada uno de tus servidores si quieres que se reflejen los cambios.

Conexiones

1 REDES

IntroducciónConfigurar las redes en el servidor es el primer paso. Las Redes en el sistema de control del servidor son mucho más que sus "placas de red". El sistema operativo generalmente detecta las placas automáticamente y les asigna nombres como eth0, eth1, eth2, etc.Cada red configurada en el sistema debe estar relacionada con una placa, por ejemplo eth0, lo que en el formulario de esta página Redes se denomina Dispositivo del sistema. En el caso de las redes conectadas a internet, es necesario que cada red configurada en el sistema esté relacionada a un dispositivo (una placa). Obviamente esa placa tendrá una conexión física (cable) al router o modem que nos da el proveedor.En el caso de las redes conectadas "hacia adentro", hacia nuestros usuarios (intranet), podemos crear tantas redes como queramos en una misma placa. Por ejemplo:

  • una red del rango 10.0.0.x en la cual el servidor tenga la IP 10.0.0.1 y los usuarios de la 10.0.0.2 a la 10.0.0.254 (máscara 255.255.255.0) en el dispositivo eth1

  • otra red del rango 192.168.1.x en la cual el servidor tenga la IP 192.168.1.1 y los usuarios de la 192.168.1.2 a la 192.168.1.254 (máscara 255.255.255.0) también en el dispositivo eth1

  • otra red del rango 10.42.42.x en la cual el servidor tenga la IP 10.42.42.1 y los usuarios desde la 10.42.1.2 a la 10.42.254.254 (máscara 255.255.0.0) también en el dispositivo eth1

  • etc., etc., etc.De este modo tenemos varias redes virtuales en una misma placa y utilizando un mismo switch a la salida del servidor.

La configuración básica es una red de conexión a internet y una red para los usuarios, cada una conectada a una placa de red distinta. Por ejemplo:

Pestaña Edición

Dispositivo del sistemaEste debe ser el nombre que utiliza Linux para la interfaz, como eth0, eth1, eth2, etc. Cada red conectada a internet debe utilizar un dispositivo distinto. En cambio, pueden configurarse numerosas redes conectadas a intranet (hacia los usuarios) con el mismo dispositivo. No se debe utilizar el mismo dispositivo o placa para una red conectada a internet y para una red conectada a la red local (intranet). DescripciónUn nombre orientativo del destino y tipo de la conexión, a elección nuestra. Es recomendable utilizar nombres que sean descriptivos de la función u orientación. Ej. "Red Local 1", "Red LAN 3", "Internet ADSL", "Internet Fibra", etc.Ancho de banda asignado En las redes conectadas hacia los clientes o intranet es recomendable establecer estos valores a la velocidad máxima de la placas de red (99999 o 100000, algunas versiones lo hacen automáticamente).

En las redes conectadas a internet debemos establecer los anchos de banda de subida y de bajada a los valores que nos da nuestro proveedor, por ejemplo, 1024 / 256.Es importante comprender cómo el servidor utiliza estos valores. En general, el servidor no los usa como límites, o sea que si fijamos 1024 de bajada en una red conectada a internet no significa que no dejará pasar más de 1024. El sistema de control utiliza el ancho de banda de bajada y de subida que configuramos aquí como referencia para la distribución proporcional entre los clientes, o sea que calcula un ancho de banda mínimo para cada cliente de acuerdo a estos valores pero no un ancho de banda máximo. Los anchos de banda máximos para cada cliente, tanto de bajada como de subida, son los que configuramos en el grupo al cual pertenece cada usuario. Es muy importante establecer los valores correctos en las redes conectadas a internet para lograr la mejor distribución proporcional del ancho de banda.Conectado ainternet o intranet (o sea red de usuarios, red LAN)Los siguientes parámetros de configuración varían según la orientación de la red, a su vez hay algunos campos que aparecen únicamente si tenemos activado el Balanceo y ruteo selectivo (aquí marcados en verde):

  • internet
  • Dirección IP – la IP que el proveedor del enlace nos asigna para conectarnos a su puerta de enlace

  • Máscara de Red – habitualmente 255.255.255.0 o 255.255.255.248

  • Puerta de Enlace – la IP del gateway del proveedor de este enlace

  • Comportamiento – seleccionamos uno de estos:

  • Salida predeterminada a internet – la mejor conexión o conexión principal la configuramos como salida predeterminada. Atención

  • Solamente debería haber UNA red configurada como salida predeterminada a internet.

  • La conexión configurada como Salida predeterminada… también participa en el balanceo, si hay otras redes configuradas como Balanceo…

  • Balanceo de conexiones (módulo de balanceo de conexiones) – cuando ABC balancea los pedidos de los clientes entre diversos enlaces a internet, utiliza todas las redes conectadas a internet configuradas como Balanceo de conexiones o Salida predeterminada a internet. Es recomendable que el mejor enlace esté marcado como Salida predeterminada… y los demás queden como Balanceo… (ver página del manual sobre Balanceo y ruteo selectivo )

  • Conexión de respaldo (módulo de balanceo de conexiones) – teniendo este módulo activado podemos configurar conexiones que se activarán únicamente cuando se caigan los enlaces anteriores y se desactivarán cuando se recupere la conexión al gateway (ver ejemplos en página del manual sobre Balanceo y ruteo selectivo).

  • Placa externa adicional– estas redes no participan en la conexión a internet pero funcionarían como redes de reserva o canales exclusivos hacia ciertas subredes.

  • Opciones de balanceo de conexiones >>> si tenemos activado el módulo de balanceo de conexiones y ruteo selectivo, desplegando esta sección accedemos a otras opciones como:

  • Peso – Este valor le indica al servidor la importancia del enlace con respecto a los otros enlaces balanceados. Solo tiene sentido utilizarlo cuando se balancean varias conexiones. Puede dejarse vacío y entonces equivale a 1 (ver ejemplos en página del manual sobre Balanceo y ruteo selectivo).

  • IP de CONTROL – Cuando el servidor chequea la disponibilidad de la conexión a internet, lo hace verificando las respuestas de la IP que está configurada como Puerta de Enlace. Cuando la puerta de enlace es un router interno, modem ADSL en modo router o servidor/firewall intermedio, la IP de la puerta de enlace es una IP interna entonces su disponibilidad no nos indica si la conexión a internet esta funcionando (porque siempre está disponible aunque no funcione internet).Para esos casos se configura en este campo una IP ubicada fuera de nuestra propia red, o sea, una IP pública de internet. En lo posible debería ser la IP pública que el proveedor de la conexión nos indica como puerta de enlace o como DNS. Si no, puede ser cualquier IP en internet de un sitio reconocido que no tenga caídas frecuentes y acepte las peticiones ICMP (ping) como las 64.26.130.104, 200.229.64.200, 64.233.167.99, 195.53.169.56, etc. (cuidado con las IP de Microsoft o Norton que suelen estar bloqueadas a las peticiones ICMP).

  • Restricciones para enlaces satelitales >>> Aquí podemos determinar un máximo de transferencias simultaneas para esta conexión a internet, lo cual puede ser necesario en enlaces satelitales con modems que se "tildan" cuando reciben un exceso de transferencias o conexiones ADSL que limitan las transferencias simultáneas. Como no es posible controlar las transferencias simultáneas que no sean TCP, se provee un segundo parámetro que impone un límite similar con las transferencias no-TCP. Ejemplo: si el modem no soporta más de 100 transferencias simultáneas, podemos configurar 85 en Máximo conexiones TCP simultáneas y 85 en Máximo conexiones no-TCP por segundo con lo cual se logra un efecto similar a limitar a 100 transferencias simultáneas de todos los protocolos. En algunas conexiones ADSL conviene configurar estos valores entre 350 y 500 para evitar que el proveedor bloquee la conexión si tenemos mucho tráfico.

  • intranet
  • Dirección IP – la IP que los usuarios utilizarán como puerta de enlace, una de las IP internas del servidor

  • Máscara de Red – depende de nuestra elección y diseño de red, habitualmente es 255.255.255.0

Podemos configurar diversas redes intranet (redes locales) con el mismo dispositivo del sistema (por ejemplo eth1). De este modo lograremos redes distintas y nuestros usuarios podrán (y deberán) utilizar distintas puertas de enlace y distintas familias de IP. Por ejemplo: configuramos una red conectada a intranet en el dispositivo eth1 con IP 10.42.42.1, otra red conectada a intranet también en el dispositivo eth1 con IP 192.168.1.1. Creamos como mínimo 2 grupos, uno conectado a la primera red y otro conectado a la segunda. En los equipos de los usuarios del primer grupo se configura 10.42.42.1 como puerta de enlace y una IP de la familia 10.42.42.x; en los equipos de los usuarios del segundo grupo se configura 192.168.1.1 como puerta de enlace y una IP de la familia 192.168.1.x .

  • Red preferida para login – este parámetro es totalmente opcional; sirve para indicarle al servidor que las IP "libres" que otorgue por dhcp a los clientes que se autentican por login (sin ip fija) estarán dentro del rango de esta red. Más info en la página sobre Control de Acceso.

ActivadoLas redes deben tener marcado este cuadro para que sean activadas por el sistema, junto con los grupos y usuarios que dependan de la misma. Puede dejarse desmarcado en el caso de redes sin terminar de configurar o de prueba.Pestaña Informes

edu.redEn Estado podemos visualizar las configuraciones aplicadas y en funcionamiento de las diversas redes, así como el porcentaje de conexión a la puerta de enlace en las redes conectadas a internet. 100% significa que no hay pérdida de paquetes o transferencia; 0 % significa que no hay conexión a la puerta de enlace; 70%, por ejemplo, significa que hay un 30% de pérdida de paquetes. En Consumo, al igual que en el portal de ABC, podemos visualizar el consumo por cada dispositivo de red, en kilobits por segundo.En Monitor de los Enlaces (disponible con el módulo de balanceo y ruteo selectivo) vemos el último registro que ha dejado el monitor de verificación de enlaces a internet.El listado en la sección inferior informa acerca de las redes configuradas en el sistema, independientemente de que dicha configuración esté aplicada o no en el servidor, lo cual puede monitorearse en las secciones superiores.Pestaña Avanzadas

Esta página es multipropósito. Tiene diferentes funciones según se trate de redes internas (LAN) o externas (WAN, internet).

internet

En las redes externas (conectadas a internet) se utiliza para configurar el comportamiento de los puertos. La clave está en lo que seleccionamos en el cuadro de selección a la derecha de cada fila, o sea: Abierto, Cerrado, Redireccionado, Eliminar o ExclusivoLuego de determinar el rango de puertos (Ej.: desde 80 hasta 80, desde 5800 hasta 5800, etc.) y el protocolo (tcp o udp), elegimos qué queremos que suceda con esos puertos en el cuadro de selección mencionado anteriormente. Básicamente:

  • Abierto: desde internet se podrá conectar directamente a este puerto en el servidor; sólo tiene sentido si tenemos un servicio que "escucha" en ese puerto en el mismo servidor (Ej.: puerto 80 para servidor web o 1008 para el ABC) y en el caso de algunos programas VOIP que necesitan puertos abiertos en el servidor y luego las conexiones son direccionadas a los clientes.

  • Cerrado: estando el firewall activado todos los puertos están cerrados por defecto, a excepción de:

  • el puerto para el acceso remoto por ssh (22)

  • el puerto del sistema de control del servidor ABC (1008)

  • puerto del servidor web (80)

  • y el puerto 21 para facilitar conexiones ftp

  • Redireccionado: le "pasamos" este puerto a alguno de los usuarios internos. Debemos indicar el ID de usuario, no la IP, lo cual podemos averiguar en la página Usuarios o en el ABC Traf.

  • Eliminar: esta apertura, cierre o redirección se elimina una vez que hacemos clic en Aplicar.

Las redirecciones y aperturas de puertos se aplican inmediatamente en el servidor al hacer clic en el botón Aplicar. No es necesario reiniciar ABC o la red.Ejemplos:

  • El usuario 350 necesita acceso remoto al escritorio. Utiliza el programa VNC que habitualmente opera en el puerto 5900. Hacemos clic en Nueva Configuración de Puertos y configuramos: Desde 5900 hasta 5900, TCP, Redireccionado y luego el ID de usuario, 350.

  • Queremos habilitar puertos para programas VOIP que utilizan para las llamadas entrantes los puertos 5600 al 5605, UDP y TCP. Hacemos clic en Nueva Configuración de Puertos y configuramos: Desde 5600 hasta 5605, TCP, Abierto; clic en Aplicar. Luego, nuevamente, clic en Nueva Configuración de Puertos y configuramos: Desde 5600 hasta 5605, UDP, Abierto; clic en Aplicar.

  • Queremos tener el firewall activado pero abrir todos los puertos desde el 1024 en adelante. Hacemos clic en Nueva Configuración de Puertos y configuramos: Desde 1024 hasta 65535, TCP, Abierto; clic en Aplicar. Luego, nuevamente, clic en Nueva Configuración de Puertos y configuramos: Desde 1024 hasta 65535, UDP, Abierto; clic en Aplicar. Por precaución, si la red externa tiene IP pública, configuramos también desde 3128 hasta 3128, TCP, Cerrado para evitar que nos utilicen el proxy desde internet.

Funciones adicionales del módulo de balanceo y enrutamiento selectivoQuienes tengan habilitado este módulo encontrarán que además de las opciones Abierto, Cerrado, Redireccionado y Eliminar figura una más: Exclusivo.Esto significa que los puertos indicados deben rutearse exclusivamente por esta conexión. Ejemplos:

  • Todas las consultas DNS quieren ser dirigidas por la red externa (conexión a internet) identificada con el número 2. En la pestaña Avanzada de la página Redes hacemos clic en la red en cuestión y configuramos: Desde 53 hasta 53, UDP, Exclusivo

  • Debemos dirigir todos los correos salientes SMTP por la red externa identificada por el número 3. En la pestaña Avanzada de la página Redes hacemos clic en la red en cuestión y configuramos: Desde 25 hasta 25, TCP, Exclusivo

  • Queremos que TODO el tráfico UDP salga por la red identificada con el 2. En la pestaña Avanzada de la página Redes hacemos clic en la red en cuestión y configuramos: Desde 1 hasta 65535, UDP, Exclusivo (65535 es el último puerto disponible)

Recordar que, por lógica, los usuarios que tienen IP pública asignada (módulo adicional de IP públicas) sólo se comunican por la red a la cual pertenece esa IP pública. No utilizan el proxy, no son balanceadas sus transferencias ni se tienen en cuenta las configuraciones anteriores (Exclusivo).

intranet

IPs, SUBREDES O DOMINIOS NO PERMITIDOSEn este campo puedes ingresar IPs (ej. 200.45.79.25 195.25.33.147), subredes (ej. 200.45.79.0/24) o dominios (nosirve.com bloqueado.net) sin comas ni puntos, solo separados por espacios (ej. bloqueado.net 200.45.79.80 nada.org). ¡Atención!

  • En el caso de los dominios el sistema detectará su IP o sus IPs y las bloqueará a todas.

  • Si esas IP también alojaran otros dominios, todos esos dominios serán bloqueados.

  • Los navegadores de los clientes NO deben tener configurado el proxy del servidor (puerto 3128) en las configuraciones avanzadas de red (para evitar que salteen este bloqueo). El proxy del servidor, de todos modos, seguirá siendo intermediario de todas las páginas web (http) requeridas por los clientes. Si en el navegador del cliente estuviera configurado el proxy y hubiera restricciones aplicadas en su red, no podrán navegar.

2.2 Grupos

Acá se definen todas las políticas y la estrategia en cuanto a distribución de ancho de banda. Cada usuario debe pertenecer a un grupo, lo cual define el ancho de banda del cual dispone. Sin embargo, pueden definirse varios grupos con los mismos anchos de banda por una cuestión organizativa, para variar un sólo parámetro como la subida, etc., o puede crearse un grupo para un sólo usuario que necesita velocidades o límites especiales (ver página de Ejemplos Prácticos en este manual).

Pestaña Básico

DescripciónUn nombre orientativo. Ej.: Clientes 64K, Empresas 128K, Rectorado, Usuarios Comunes, etc.Interfaz al servidor Aquí debe seleccionarse la red(previamente cargada en el sistema) por la cual los miembros del grupo se conectan al servidor. Es muy importante ya que todos los usuarios que pertenezcan a este grupo deberán tener IPs compatibles con la red seleccionada.Si el módulo de balanceo de conexiones y multiruteo está habilitado y tenemos varias conexiones a internet configuradas en la página Redes, debemos elegir además la interfaz a internet del grupo. Podemos determinar que este grupo (o sea, los usuarios que pertenezcan al grupo) se conecten a internet por una red en particular o por Balanceo (en forma distribuida/balanceada por todas las redes externas). Tener en cuenta que si elegimos una red en vez de balanceo, para estos usuarios no habrá proxy caché (el proxy enmascara las conexiones por lo cual debe pasarse por alto para hacer un ruteo selectivo).Ancho de banda asignado de subidaLa velocidad a la cual cada usuario del grupo podrá subir información. Ancho de banda asignado de bajadaLa velocidad a la cual cada usuario del grupo podrá bajar información de internet.

edu.redOpciones Avanzadas

Máximo ancho de banda permitido a todos los usuarios del grupo en conjuntoEste parámetro, a diferencia de los anteriores, afecta al conjunto de usuarios que pertenezcan a este grupo. Nunca debe ser menor que los anchos de banda de subida o de bajada por usuario ni mayor a la velocidad del enlace a internet al cual pertenece.Supongamos que aquí establecemos 512kbps. Por más que el ancho de banda de bajada establecido anteriormente sea, por ejemplo, de 128k, cuando se conecten 10 usuarios no dispondrán de 1280k en total sino de 512k que dividirán entre 10. Este parámetro puede utilizarse en grupos con usuarios que realizan muchas descargas o p2p; se les asigna, por ejemplo, un ancho de banda de bajada de 128k pero se restringe para que entre todos los usuarios no consuman más de 380.También sirve para crear un grupo que contenga las máquinas de un laboratorio o cyber en forma individual (por lo tanto el cyber no utiliza router sino switch, cada máquina se carga como un usuario en el sistema). Si el cyber tuviera contratado 512, se configura 512 de ancho de banda de bajada y 512 de máximo. De este modo, cada máquina puede llegar a los 512 pero si hay varias conectadas deben repartirse los mismos 512.Por otra parte, ten en cuenta que si a cada usuario le dieras, por ejemplo, 50 de subida y 100 de bajada y luego determinas 500 como maximo para todos el grupo, la bajada máxima en conjunto será 500 y la súbida máxima será 250 (la misma proporción que hay entre bajada y subida individual).

¡Atención!En general, NO utilizar el Máximo ancho de banda permitido a todos los usuarios del grupo en conjunto en la configuración de cada grupo. El servidor se encarga de distribuir el ancho de banda considerando el consumo de cada usuario y el ancho de banda que le corresponde, no es necesario que establezcamos límites globales por grupo con este parámetro. ¿Para qué está entonces? Para controlar máquinas individuales de un mismo usuario (cyber por ej.) o para limitar un grupo cuyos usuarios son consumidores constantes (p2p) en cuyo caso el máximo… podría ser el resultado de multiplicar el número de usuarios por el ancho de bajada y dividirlo en 2 o 3. Pero en general este parámetro debe estar en blanco y una configuración equivocada de máximos puede resentir el servicio.

ActivoTenemos 3 opciones en este campo:ACTIVO – el grupo se encuentra activo, sus valores de ancho de banda se toman en cuenta en las fórmulas de aplicación de los controles y a los usuarios que pertenezcan se los habilita y asigna la velocidad correspondienteSin Control de Ancho de Banda – el grupo se encuentra activo, los usuarios que pertenezcan al mismo son habilitados pero NO tienen control de ancho de banda, solamente se les pone un límite para que no sobrepasen el máximo asignado a las redes. Esta opción es ideal para definir grupos que:

  • utilizarán únicamente los administradores del servidor con ancho de banda libre, los cuales se espera utilicen poco el enlace, sólo para tareas administrativas; NO ES RECOMENDABLE HABILITAR USUARIOS SIN CONTROL DE ANCHO DE BANDA que utilicen internet en forma frecuente

  • definir los AP u otros equipos que no navegan pero a los cuales queremos tener acceso

Ejemplo: si los usuarios tienen IPs dentro de las subredes 10.42.0.0/16, a los AP les podemos configurar IPs de la familia 10.2.2.0/24. Luego, en el ABC: a) creamos una red interna con IP 10.2.2.1, máscara 255.255.255.0; b) definimos un grupo conectado a esta red, sin control de ancho de banda; c) definimos los "usuarios" que serán los AP con su correspondiente MAC e IP. De este modo, desde cualquier equipo conectado al servidor, aunque no pertenezca a la red de los AP, podremos acceder a los mismos.

Inactivo- el grupo esta inactivo, los usuarios que pertenezcan al mismo no son habilitados

Pestaña Avanzado

Ver Grupos (avanzado)

Pestaña Informes

El listado que figura en esta página nos presenta los grupos cargados en el sistema incluyendo sus datos principales, cantidad de usuarios asignados al grupo (conexiones), si tiene limitación de horarios (Lim.Hs.) y estado del mismo (vacío es activo, edu.redinactivo, edu.redactivo sin control de ancho de banda). Haciendo clic sobre los datos de un grupo se abre la pestaña Básico lo cual nos permite editar los datos principales del mismo.

2.3 Grupos (avanzado)

Pestaña Avanzado

Una vez establecidos el ancho de banda de bajada y subida en la pestaña Principal de la página Grupos, disponemos de otras opciones de regulación del ancho de banda del grupo (lo cual implica regular a cada usuario que pertenezca al grupo, por supuesto).

Modelos de configuraciónEste campo implementa diferentes ejemplos de cómo combinar los parámetros de configuración avanzada siguientes (Ancho de banda para transferencias P2P, Restricciones anti-P2P, Identificación de tráfico). O sea que en si mismo no representa un valor de configuración sino que simplemente aplica distintos modelos de configuración para los parámetros siguientes. Luego de aplicar cualquiera de estos módelos, igualmente pueden cambiarse esos valores. Estos modelos son solo una sugerencia.

  • Libre con P2P identificable al 50%: conexión sin restricciones; las transferencias que puedan ser detectadas como p2p tendrán la mitad de ancho de banda que las demás transferencias

  • P2P lento: las transferencias detectadas como p2p tendrán un tercio de la velocidad de las demás transferencias (30%) y además se aplicarán algunas restricciones para frenar la invasión de transferencias de los programas p2p. No evita totalmente que estos descarguen datos pero sí evita saturaciones y excesos de consumo.

  • P2P lento más restrictivo: igual que el anterior pero con mayores restricciones anti-P2P que los frenan mucho más.

  • P2P bloqueado: igual que el anterior pero con el ancho de banda para las transferencias p2p configurado en 1, lo cual implica bloqueo total de las transferencias p2p identificables

  • Todo lento menos protocolos conocidos: este modelo utiliza la Identificación de tráfico paranoica y todo lo que no sea detectado como un protocolo conocido (por ej. páginas web, messenger, voip hasta donde sea posible) es catalogado como p2p y se le aplica un tercio del ancho de banda asignado en la pestaña principal

  • Todo bloqueado menos protocolos conocidos: igual que el anterior pero todo lo que no sea identificado como protocolo permitido es bloqueado. La desventaja de estos últimos dos modelos basados en la "identificación paranoica" es que algunos programas voip, messenger, ftp no actúan de forma previsible y también pueden ser bloqueados o disminuidos en su velocidad.

   

La principal dificultad de todos los servidores en el control de los p2p es identificarlos. Una vez identificados es fácil asignarles menor ancho de banda o bloquearlos. SislandServer utiliza dos metodologías para controlar los p2p:

  • Identificar las transferencias p2p a través de diversos filtros que analizan los paquetes de red, uno por uno. Estos filtros logran identificar entre un 40 y un 70% del tráfico p2p y al mismo se le aplica el ancho de banda configurado enel parámetro Ancho de banda para transferencias P2P

  • Detener la invasión de transferencias que suelen realizar los programas p2p para ganar velocidad y eficiencia. Estas restricciones podrían detener otras transferencias como la resolución de nombres (DNS), voip, DHCP y otras por lo cual el sistema prevee excepciones para estos protocolos. A pesar de las avanzadas configuraciones que realiza el servidor, mientras más alto sea el nivel de restricción aumenta el riesgo de sean bloqueados programas que no son p2p.

Ancho de banda para transferencias P2P

Este parámetro aplica un menor ancho de banda a las transferencias que hayan sido identificadas como p2p. Aquí determinamos el ancho de banda que se le aplicará a las transferencias p2p detectadas, expresado en porcentajes respecto a al ancho de banda normal del grupo (determinado en la pestaña Principal de la página Grupos).

Ejemplo: si en este campo asignamos un 50% en la bajada, en un grupo con ancho de banda de bajada de 128 los p2p detectados tendrán una velocidad de 64, mientras que en un grupo con 512 de bajada los p2p tendrían 256.

Si este porcentaje se configura en 1 el servidor bloqueará todo lo que identifique como p2p en lugar de asignarle el 1%.

Restricciones anti-P2P

En los grupos cuyos usuarios utilicen con frecuencia los programas p2p o similares, estas restricciones nos ayudarán a frenar o bloquear dichas transferencias. Recordemos que, en general, no es posible identificar perfectamente cuándo una transferencia es p2p, por eso muchas de ellas aparecerán en la categoría n en el UserTraf: el monitor de consumo por usuario. Sin embargo, SislandServer combina filtros de identificación con otros recursos y logra un control bastante completo aún de los programas p2p más rebeldes como el Ares. Estas combinaciones de filtros y restricciones se han englobado en las siguientes opciones:

  • Ninguna Sin restricciones. Navegación y transferencias libres. Lo que el servidor pueda identificar como p2p dispondrá del ancho de banda indicado en el campo Ancho de banda para transferencias P2P de esta misma página pero no realizará control sobre la invasión de transferencias.

  • SuaveRechaza paquetes fragmentados los cuales suelen ser utilizados por programas p2p.VENTAJAS: menor tráfico y cantidad de transferencias (menor saturación del enlace) pero los programas p2p trabajan a una velocidad normal. PRECAUCIONES: esta restricción no parece perjudicar a ningún otro programa; podría aplicarse en forma predeterminada en todos los grupos.

  • MedianaBloquea los paquetes fragmentados y también los paquetes pequeños los cuales suelen ser utilizadas por programas p2p. Por supuesto no bloquea los paquetes pequeños que hacen resolución de nombres (DNS, indispensable para la navegación) ni el DHCP, utilizado por algunos usuarios. VENTAJAS: Menor tráfico y cantidad de transferencias. Los programas p2p se ven parcialmente bloqueados. Las búsquedas de los p2p se hacen lentas y hasta son anuladas; además les cuesta más encontrar los "peer" desde los cuales bajar archivosPRECAUCIONES: esta restricción puede perjudicar a programas de VOIP. El servidor aplica filtros que intentan identificar y dar paso libre a las transferencias VOIP. Sin embargo estos filtros no son infalibles dado que algunos programas VOIP (como el Skype) trabajan de modo similar a los programas p2p. Si se aplica esta restricción conviene que cada usuario configure su Skype en el puerto 41008 para las conexiones entrantes en las opciones del Skype; dicho puerto no es afectado por las restricciones.

  • MayorSuma las restricciones suave más la mediana y además agrega un límite a las conexiones nuevas por minuto (para cada usuario, no por grupo). Puede utilizarse el valor predeterminado de 5 para dicho límite o establecer un valor más alto si observamos que la restricción perjudica a programas que los usuarios utilizan frecuentemente. El límite a las conexiones nuevas no afecta a las páginas web. El servidor intenta identificar y dar paso libre a los programas VOIP y a los messenger pero no siempre estos filtros lo logran dado que dichos programas cambian su "modo de trabajo" frecuentemente. Conviene también que cada usuario configure su Skype en el puerto 41008 si se aplica esta restricción. VENTAJA: los programas p2p quedan muy bloqueados PRECAUCIONES: puede afectar a programas VOIP, a algunos messenger y en menor medida a los clientes ftp. Solo utilizar esta restricción en caso de que realmente sean clientes difíciles con mucho consumo p2p o que el enlace a internet del servidor sea débil y nos obligue a intentar un freno general a dichos programas.

Identificación de tráfico

Como se mencionó anteriormente, lo más difícil dada la gran diversidad de programas y protocolos es identificarlos y clasificarlos correctamente. En este campo podemos optar entre el metodo de identificación estándar del SislandServer (normal) el cual es bastante eficiente a la vez que seguro o:

  • Paranoico anti-P2P: En casos extemos donde debe frenarse completamente el voip y solo dejar los servicios básicos funcionando como web, mail, messenger, etc., conviene utilizar este tipo de identificación. Precaución: algunos programas de messenger o voip podrían no ser detectados como tales y por lo tanto recibir el ancho de banda configurado en Ancho de banda para transferencias P2P (o ser bloqueados si este ancho de banda está en 1) además de ser llevados a la prioridad más baja.

Efecto Flash en páginas web

Este parámetro le da mayor ancho de banda a las páginas web, permitiendo que aparezcan más rápido que lo que el ancho de banda normal permitiría. Por eso, si este parámetro se configura en Normal o superior, en el monitor de consumo por usuario UserTraf, en la categoría w, veremos picos de mayor ancho de banda de lo asignado al usuario. El ancho de banda que se otorga de más es descontado más adelante, por eso hay que ser cuidadosos al utilizar esta función. El valor Normal es el más aconsejado. Si se utilizan valores mayores puede suceder que cuando un usuario pasa rápidamente de una página a la otra, la segunda página se cargue mucho más lento. De todos modos, cada administrador debe decidir qué valor utilizar de acuerdo a su estrategia comercial y el uso más frecuente que le dan los usuarios al servicio. Un valor Mayor o Máximo da un efecto de mucha velocidad, que puede ser interesante para mejorar la imagen del servicio, a sabiendas de las demoras que se pueden producir al cambiar rápidamente de una página a la otra o visitar páginas muy "pesadas".

Restricciones Anti-SpamEsta opción puede utilizarse en alguno o en todos los grupos para evitar la propagación de spam desde las máquinas de los usuarios, lo cual puede provocar que la IP externa del servidor (si es pública) quede fichada en las "listas negras" y otros servidores no reciban correo desde nuestro servidor, además del intenso tráfico y consumo de ancho de banda que genera el spam.

  • Mail enviados, máximo por minuto Limitamos la cantidad de mail por minuto que pueden enviar los usuarios desde programas como el Outlook Express, Thunderbird o Evolution o generadores de spam, así como la actividad de virus que también envían mails masivamente.

Mail y RadioAnchos de banda diferenciados para los envíos y recepción de mail y las internet radios que puedan ser detectadas.El número que figura tanto en la subida como en la bajada es un porcentaje. Ejemplo: Si al grupo le hemos asignado un ancho de banda general de bajada de 128k, un valor de 50 aquí significa un ancho de banda de bajada de 64k para estos protocolos, un porcentaje de 30 significan 38k de bajada, un porcentaje de 70 significan 90k, etc.Restricciones opcionales de acceso

Horarios sin restriccionesPodemos determinar horarios en los cuales los anchos de banda diferenciados para p2p, radio y mail así como las restricciones para p2p no se apliquen. Sin necesidad de reiniciar el control de ancho de banda, automáticamente en los horarios aquí establecidos dichos parámetros especiales no tendrán efecto. Si se quiere utilizar esto, es muy importante ingresar correctamente los horarios, el formato debe ser siempre hh:mm y en 24 horas. Por ejemplo: 08:00, 12:15, 09:30, 17:20, 21:40, etc.

 

Más Ejemplos

 

 

Libre de restricciones de 1 de la madrugada a 7:30 de la mañana:

de hasta

 

Libre de restricciones de 5 de la tarde a 10:30 de la noche

de hasta

 

Libre de restricciones desde el mediodía hasta las 3 de la tarde

de hasta

 

Libre todo el día (por ejemplo para el fin de semana)

de hasta

 

¡Atención! Los que siguen van al revés (primero el valor más alto)

 

Libre de restricciones desde las 10 de la noche hasta las 6 de la mañana

de hasta

 

Libre de restricciones desde las 8 de la noche hasta las 8 de la mañana

de hasta

 

 

 

Apertura por horariosTodos los días a toda hora (funcionamiento habitual del sistema)Selección de horarios de accesoHay 7 "sets" de horarios permitidos para que el administrador del servidor pueda realizar una tabla de horarios permitidos completa.

Horarios permitidos 1

Los días LUN MAR MIE JUE VIE SAB DOM desde las hs. hasta las hs.

Al marcar el checkbox de Horarios Permitidos se activan los demás campos. Debe haber al menos un día de la semana seleccionado. Las horas deben tener el formato hh:mm (Ej. 08:00, 23:15, 17:05, etc.). A diferencia de el parámetro anterior (Horarios sin restricciones), aquí el horario desde siempre debe ser menor que el horario hasta. Ejemplos:

  • Internet habilitado solo en horas de oficina

Horarios permitidos 1

Los días LUN MAR MIE JUE VIE SAB DOM desde las hs. hasta las hs.

  • Internet habilitado desde las 8 de la noche hasta las 8 de la mañana de lunes a viernes y el fin de semana todo el díaHo rarios permitidos 1

Los días LUN MAR MIE JUE VIE SAB DOM desde las hs. hasta las hs.

Horarios permitidos 2

Los días LUN MAR MIE JUE VIE SAB DOM desde las hs. hasta las hs.

Horarios permitidos 3

Los días LUN MAR MIE JUE VIE SAB DOM desde las hs. hasta las hs.

  • Internet habilitado en dos periodos a la mañana y a la tarde de lunes a viernes y el sábado por la mañanaHo rarios permitidos 1

Los días LUN MAR MIE JUE VIE SAB DOM desde las hs. hasta las hs.

Horarios permitidos 2

Los días LUN MAR MIE JUE VIE SAB DOM desde las hs. hasta las hs.

Horarios permitidos 3

Los días LUN MAR MIE JUE VIE SAB DOM desde las hs. hasta las hs.

  Bloqueo por protocolos

Es una nueva prestación aún en desarrollo que nos permite bloquearle servicios determinados a todos los usuarios del grupo. En caso que necesitamos bloqueárselos a un sólo usuario, deberíamos crear un grupo exclusivo para ese usuario, con las mismas configuraciones del grupo al cual pertenecía y agregándole los bloqueos que necesitemos. 

 Al utilizar el bloqueo de protocolos debe tenerse en cuenta lo siguiente:

  • Para seleccionar varios protocolos se debe mantener la tecla  Control  pulsada al hacer clic. 

  • Si se hace clic en un protocolo sin pulsar  Control  queda seleccionado únicamente ese protocolo (se pierden las selecciones anteriores, si hubiera).

  • Para que ningún protocolo quede seleccionado (eliminar bloqueos) debe hacerse clic sobre un protocolo cualquiera y luego volver  a hacer clic en el mismo con la tecla  Control  pulsada.

  • Los Combos incluyen, además de otros mecanismos de bloqueo, algunos de los protocolos que se listan más abajo con el título Filtros Layer 7 

  • No hay garantía de que los protocolos queden bloqueados completamente. Algunos como Skype no son efectivos dado que dicho programa cambia dinámicamente su comportamiento. Otros como los combos Mail y Messenger y protocolos como ftp, http, Samba, SSH, etc., funcionan muy bien.

  • Algunos (pocos) protocolos al ser bloqueados pueden perjudicar otro tipo de transferencias. Skype to phone -por ejemplo- puede llegar a bloquear transferencias ftp y web.

  • Protocolos como Ares no son totalmente eficaces. Es más seguro bloquear con las funciones que se encuentran más arriba en esta misma página (Modelos de configuración). Sin embargo, los bloqueos de p2p por protocolo pueden servir si queremos bloquear solamente algunos de ellos. Por ejemplo, bloquear edonkey y Bittorrent dejando los demás libres o bien restringidos por los Modelos de configuración mencionados.

2.4 Grupos (diferenciado)

SislandServer te provee un conjunto de herramientas para que puedas realizar un control bastante completo sobre los sitios web y protocolos que tus usuarios pueden utilizar. Por supuesto, lo que configuras en esta página se aplica a todos los usuarios que pertenecen al grupo.A través de un formulario visual que engloba y simplifica diversas funciones habitualmente muy complejas, puedes configurar los sitios a los que pueden (o no) acceder los usuarios de cada grupo y qué tipos de transferencia pueden realizar (o sea, qué protocolos pueden utilizar).SislandServer pone en tus manos la herramienta y te explica cómo utilizarla, pero es tu habilidad para manejarla adecuadamente lo que la hará valiosa. Los programas que operan con internet (messengers, p2p, ftp, juegos, páginas web) son cada vez más complejos y adoptando modos de funcionamiento variables, por lo cual no siempre lograrás bloquearlos o permitirlos al 100%. En algunos casos es fácil bloquearlos y difícil autorizarlos, en otros casos es fácil dejarlos pasar y difícil bloquearlos. Esto depende de condiciones en internet que están más allá de nuestro control, pero con buenas herramientas es mucho lo que puedes lograr. Al final del instructivo damos algunos ejemplos.

El formulario visual de control diferenciado

todos los sitios configuración por defecto

Lo que apliques en esta sección se aplicará a todas las transferencias del grupo, sin importar a donde estén dirigidas. Tienes la opción de autorizar/denegar por grupo de protocolos (por ej. Web, Mail, Mensajeros) o por protocolo individual, haciendo clic en el botón Otros y seleccionando protocolos individuales en el subformulario que aparece. Verás que al hacer clic (o doble clic en algunos casos) en un grupo o protocolo individual, su ícono correspondiente va pasando por distintos estados:

  • Una cruz roja significa que lo has bloqueado explícitamente.

  • Una cruz color café significa que el protocolo o grupo está bloqueado porque un grupo superior que lo contiene lo está.

  • Una flecha verde significa que el grupo o protocolo está permitido.

  • Una flecha verde con una línea vertical a la izquierda significa que, a pesar de que un grupo que lo contiene está bloqueado, ese grupo o protocolo ha sido permitido explicitamente.

Por supuesto, al hacer clic en un grupo pueden cambiar los estados de otros grupos o protocolos si hay relación entre ellos. Abriendo el subformulario Otros podrás ver qué protocolos están incluidos en cada grupo así como los protocolo que no están englobados en ningún grupo y sobre los cuales quizá necesites operar (por ejemplo el protocolo dns).

Excepciones restricciones por host (dominio, ip, subred)

En esta sección puedes definir conjuntos de hosts a los cuales puedes bloquear totalmente o permitir/bloquear sólo algunos protocolos (tipos de transferencia) dirigidos a estos hosts.Los hosts los puedes indicar por el dominio, la IP o una subred. Ej: google.com, www.dominio.net, 200.45.33.215, 200.43.0.0/16, 190.15.12.0/24, etc. Haciendo clic en agregar se abre un campo de texto en el cual escribes todos los hosts a los cuales les darás un mismo tratamiento (ej. bloquear completamente o bloquear solo web), separados por espacio y aceptando con enter; no utilices comas, puntos, comillas ni otro símbolo al separar.  Puedes agregar o quitar hosts más adelante haciendo clic en el texto, modificándolo y oprimiendo enter para guardar los cambios. Puedes eliminarlos haciendo clic en la pequeña cruz roja a la derecha.Debes tener buen conocimiento de lo que quieres bloquear, ya que el comportamiento de los diferentes sitios de internet varía mucho de uno a otro, como veremos más adelante. En algunos casos deberás investigar bastante para lograr un buen bloqueo.

¡Importante! A tener en cuenta cuando se utilizan dominios    Los dominios se traducen a IPs

Como esta herramienta opera en una capa de red profunda, cuando indicas un dominio el servidor lo traduce por la IP o las IP que apuntan a ese dominio. Pueden darse los sig. casos, lo cual no depende del servidor, sino de cómo alojan sus dominios los titulares de los mismos:

  • un dominio asociado a varias IP por ej. las IP 209.85.171.100, 72.14.205.100 y 74.125.45.100 pertenecen al dominio google.com 

  • un dominio asociado a una sóla IPpor ej. msn.es está asociado a la 213.199.165.50

  • un dominio asociado a una IP, pero otros dominios también están en el mismo host (la misma IP)por ej. si deniego el acceso al dominio sanmarcossierras.org el servidor bloqueará la IP 75.125.162.235 pero también bloqueará sanmarcosalquila.com.arairessdigitales.com.ar y otros que se encuentran en el mismo servidor (usan la misma IP); esto sucede principalmente con dominios regionales alojados en hosting comerciales y no con los sitios web más importantes

Si indicas una IP o subred el servidor aplicará las reglas exactamente sobre ellos. Si indicas un dominio el sistema las traducirá por su correspondiente IP o IPs y aplicará las reglas a dichas IP. Puedes averiguar qué IPs le corresponden a un dominio con el comando por consola host (ej.: host dominio.com)

    Algunas páginas web se redirigen a otras

Habitualmente, si bloqueamos un dominio se bloquean todos sus subdominios relacionados. Por ejemplo, bloqueando dominio.com también pueden quedar bloqueados www.dominio.com, mail.dominio.com, ventas.dominio.com, etc Sin embargo, en los sitios más grandes sucede lo contrario. Por ejemplo, si bloqueamos, por ejemplo, google.com, eso no impide que los usuarios accedan a www.google.com, google.es, mail.google.com, etc., porque ellos utilizan distintas IP para cada subdominio. En este caso necesitaríamos bloquear explícitamente cada subdominio y dominio regional.

Hay casos en que unos sitios redirigen a otros. Si vivo en Brasil y quiero entrar en www.google.com el mismo sitio me dirige a www.google.com.br por lo cual no podré acceder al primero si tengo bloqueado el segundo. Hotmail.com, por ejemplo, redirige a login.live.com. Todo esto debe tenerse en cuenta al hacer bloqueos o autorizaciones.

2.5 Usuarios

Cada cuenta de usuario debe ser definida en esta página. Debe existir el grupo al cual va a pertenecer. Los únicos datos obligatorios son: Login (nombre de usuario) y Grupo de Conexión. La contraseña es necesaria en los usuarios a los cuales luego se le definirán accesos al servicio por login.

Login (nombre de usuario)

Sirve para identificar rápidamente al usuario en los listados y cuadros de selección y para utenticarse en el servidor si el usuario está configurado para entrar por login. Puede ser una abreviatura del nombre y apellido (Ej.: jperez, jlrodriguez)

Grupo de Conexión

El grupo al que pertenezca el usuario determina su ancho de banda disponible.

Contraseña

Necesaria solamente si esta cuenta de usuario tendrá algún acceso por login. ¡Atención! Si se cambia la contraseña de un usuario con autenticación por login NO es necesario reiniciar el control de ancho de banda para que la nueva contraseña tenga efecto (cuando el usuario deba loguearse nuevamente el servidor le pedirá la nueva contraseña).

Condición del UsuarioDebe estar marcada para que el usuario tenga acceso.

Los demás datos son opcionales y ayudan a la administración.

Pestaña

Accesos

Para que un usuario pueda utiizar el servicio, debe tener algún tipo de acceso configurado, lo cual realizas en está pestaña.

Observando con atención las opciones para crear accesos, verás que es muy claro y que las opciones avanzadas tienen ayuda contextual en el mismo formulario.

Sin embargo, es conveniente que conozcas en profundidad todas las posibilidades que te ofrece la combinación de diversos tipos de acceso en la página 2.6 Usuarios :: Accesos.

Pestaña

Informes

El listado que figura en esta página nos presenta los usuarios cargados en el sistema con sus correspondientes accesos.En la barra de herramientas también podemos elegir que el listado solamente nos presente los usuarios de un determinado grupo o todos y/o que muestre únicamente los usuarios habilitados, inhabilitados o todos. Al seleccionar opciones en la barra de herramientas es necesario hacer clic en el botón OK para activarlas.Pestaña

Registro

Es útil para controlar a los usuarios que tiene autenticación por LOGIN. Aquí puedes visualizar las mac desde las cuales se ha conectado cada usuario. La idea es controlar que los usuarios no estén "prestando" sus datos de logueo, lo cual es sospechable si accede frecuentemente desde distintas MAC.

2.6 Usuarios :: Accesos

Al separar la configuración de los datos básicos del Usuario de la de sus accesos al servidor, se abren nuevas posibilidades que, con habilidad e imaginación, pueden llegar muy lejos, dándonos la posibilidad de ampliar las prestaciones de nuestra red de muchas formas. Cada nueva versión de SislandServer traerá novedades en cuanto a los accesos, incluyendo accesos por pppoe, accesos autenticados por código, accesos por tiempo de uso efectivo del servicio, etc.Para poder utilizar la conexión u otros servicios de SislandServer, cada usuario puede tener uno o varios accesos configurados. El acceso indica cómo el usuario se conectará y autenticará en el servidor. Pueden realizarse muchas combinaciones e inclusive configurarse accesos por tiempo limitado, lo cual constituye la primera etapa de las funciones de navegación prepaga en SislandServer.Los accesos no pueden modificarse. Si necesitas cambiar datos o la modalidad en que un cliente se conecta, debes borrarlo  o completarlo (al completarlo no se elimina de la lista pero queda desactivado para siempre) y crear uno nuevo.

 

Opciones de configuración de accesosedu.redPor loginSi habilitas esta opción, la primera vez que se conecte el usuario será interceptado por una página que le solicitará usuario y contraseña (tú defines usuario/contraseña en la página Usuarios >> Edición y puedes personalizar la página que intercepta en Sistema >> Configuración Global). Si el usuario se loguea correctamente podrá navegar y utilizar los servicios que le correspondan a este usuario (definidos en el grupo al cual pertenece).

Si marcas la casilla  edu.redLimitar acceso al primer equipo autenticado la MAC del primer equipo con el cual se conecte quedará fijada y el servidor no le permitirá conectarse con este usuario y contraseña desde ningún otro equipo. Si no marcas esta casilla y este usuario más adelante se loguea desde otro equipo, lo podrá hacer, pero automáticamente el servidor anula la primer conexión y le habilita la nueva. Para controlar que usuarios deshonestos no se presten los datos de login y utilicen el servicio alternadamente, existe la página Conexiones >> Usuarios >> Registro >> Login donde figura cada intento fallido o exitoso de conexión. Si vemos en el registro que un usuario cambia de MAC frecuentemente es posible que esté "prestando" sus datos a otra persona (pero también es posible que él mismo se esté conectando desde diferentes ubicaciones).

  • Para desconectar un usuario logueado lo puedes hacer desde la página UserTraf. En una próxima versión el usuario mismo podrá desconectarse a través de una página para "cerrar sesión".

  • Observación: al usuario logueado no se le volverán a pedir sus datos (usuario/contraseña) y podrá navegar con solo encender el equipo desde el cual se conectó, aunque reinicies el servidor, reinices el control de ancho de banda, etc.

edu.redDesde el equipo con la IP…Marcando esta casilla e ingresando una IP y una MAC válidas, determinas un acceso solo abierto a dicha combinación de IP/MAC.

  • La PC o router del cliente puede quedar configurada en automático. Si aquí configuras la MAC real, el servidor le asignará la IP que has determinado en el campo IP. Por lo tanto, para utilizar este tipo de configuración, lo único que es indispensable saber es la MAC del cliente; la IP que estableces aquí, el servidor se la da al cliente por DHCP.

  • Puedes combinar esta opción con el login anteriormente descripto. El resultado es que, en la primer conexión, el servidor le solicitará el login al usuario y luego verificará que, además del usuario/contraseña correctos, el cliente tenga la IP y la MAC aquí configuradas.

  • Haciendo clic en Opciones DHCP edu.redse abren otras opciones cuyas explicaciones se encuentran en el mismo formulario (dispones de una función de MAC alternativa para cuando los clientes se encuentran detrás de un access point que enmascara la mac original y una opción para que el servidor DHCP no otorgue la IP aquí configurada).

edu.redDesde hasta Marcando esta casilla luego puedes definir desde qué fecha hasta qué fecha estará habilitado este acceso [opcional].edu.redPor un lapso de días   horas minutos a partir de la primer conexiónEsta opción está disponible solamente en los accesos con login requerido. Te permite configurar por cuantos minutos y/o horas y/o días estará disponible el acceso a partir de la primer conexión (o sea, del primer logueo). Puedes indicar solamente una cantidad de días o solo una cantidad de horas y minutos o cualquier combinación, según tu conveniencia.edu.redIP públicaEn este campo opcionalmente puedes configurar una IP externa que será redireccionada a este usuario, cuando esté conectado con este acceso en particular. De este modo el equipo del usuario será accesible desde afuera del servidor y todas las transferencias originadas por el usuario figurarán como provenientes de esta IP pública. Cabe aclarar que este acceso no pasará por el proxy ni tendrá protección del firewall, ya que operará como una conexión directa a internet (o hacia la red externa si no es una IP pública real).

 

Ejemplos y usos

NUEVO CLIENTE FIJO, MUY FÁCILLa forma más fácil de dar de alta un nuevo cliente en cualquier red, y especialmente en las redes wireless con clientes domiciliarios, es crear un nuevo acceso en el cual marcas edu.redPor login (usuario/contraseña) y luego  edu.redLimitar acceso al primer equipo autenticado. No necesitas ningún dato de la PC o router del cliente. Le pasas su usuario/contraseña al usuario y él se conecta, se loguea y listo, queda habilitado en el servicio y no podrá conectarse desde ningún otro equipo. Por supuesto, si quieres, puedes activar las opciones que limitan al acceso a determinadas fechas o determinados tiempos de uso.

NUEVO CLIENTE FIJO, con datos del clienteSi tienes la mac del equipo del cliente o en dicho equipo ya le has configurado una IP y MAC fijas, puedes utilizar el método anterior o marcar edu.redDesde el equipo con la IP y luego ingresar IP y MAC. Este tipo de acceso es útil principalmente si no quieres que el cliente reciba una IP cualquiera del servidor DHCP (si tu fijas la IP el DHCP le dará solamente esa IP) o si necesitas configurar una MAC especial para DHCP por el problema de enmascaramiento de MAC que hacen algunos access point (redes wireless con AP domiciliarios).CLIENTE OCASIONAL o MÓVILMarcas edu.redPor login (usuario/contraseña) y listo. El cliente puede conectarse desde cualquier equipo que tenga acceso al servidor, ya sea desde una notebook que accede a la señal, desde una PC conectada a la red o desde una ubicación domiciliaria.CLIENTE TEMPORARIOEn lugares turísticos, hoteles, clubes, etc., puedes darle acceso a un cliente marcando edu.redPor login (usuario/contraseña) y luego estableciendo desde qué fecha a qué fecha tiene vigencia. Una vez que el acceso caduque podrás crear otro acceso en el mismo usuario para otro rango de fechas (cambiando o no la contraseña). Opcionalmente puedes marcar también  edu.redLimitar acceso al primer equipo autenticado para obligarlo a utilizar siempre el mismo equipo (por ej. su notebook).CLIENTE POR TIEMPOEn cybers y en todos los casos mencionados en los ejemplos anteriores, puede convenir hacer uso de la función edu.redPor un lapso de…  con la cual le das un tiempo de navegación a partir del logueo (debe ser un acceso por edu.redPor login). Hay muchas combinaciones posibles y se adaptan a situaciones muy diversas (ISP, redes de hoteles, hostels, clubes, colegios y universidades, empresas y oficinas, etc.).En una próxima versión, además de usuario/contraseña, dispondrás de la posibilidad de utilizar un código único con el cual podrás imprimir tarjetas o simplemente pasarlo por mail, haciendo más directo el logueo de los nuevos usuarios y permitiéndote reutilizar un mismo usuario con nuevos accesos cada vez que caduca el acceso anterior, sin cambiar la contraseña por ejemplo.

Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente