3.1 Configuración
Global
Esta página nos muestra información sobre el sistema y algunas
opciones para configurarlo.Más opciones de
configuración e información del sistema irán
apareciendo en esta página en futuras
versiones.
No presentar página de
login a usuarios no autorizados
Cuando configuramos usuarios que autentican
por login el servidor
siempre presentará la página de logueo a las
IPs no autorizadas que intenten conectarse, dándo la
oportunidad de que se comience una sesión de
navegación por login. Cuando no tenemos ningún
usuario que autentica por login el servidor también
presentará la página de logueo lo cual sirve, por
ejemplo, para mostrar un aviso de cuenta suspendida si la
IP/MAC no
autorizada está configurada en algún usuario pero
deshabilitada; también sirve para que los usuarios no
autorizados conozcan los datos de la empresa a la
cual se están conectando y puedan contactarse a fin de
solicitar el servicio.
Si no tenemos usuarios por login y no queremos que la
página de logueo aparezca a los usuarios no autorizados,
debemos marcar esta casilla.
No aislar redes
internas
Cuando está activo el control de acceso
(ver 3.2 Control de Procesos) el
servidor también implementa reglas para que las diferentes
redes lan (o
redes intranet) no
puedan comunicarse entre sí. Marcando esta opción
dichas reglas no son aplicadas. Lo habitual en un servidor o
router que
soporta diversas subredes internas es que comunique las
diferentes subredes entre sí. Esto significa que un
cliente con la IP
192.168.1.10 tendría comunicación con otro de IP 10.42.42.50
-aunque tengan subredes incompatibles- gracias al ruteo del
servidor. Para evitar este comportamiento
normal SislandServer incluye reglas internas que aislan las redes
internas. Este aislamiento puede desactivarse con esta
opción.
DNS secundarios
SislandServer incluye un servidor DNS interno
que los clientes pueden
utilizar como servidor DNS en su configuración de red (o sea que utilizan la
misma IP como puerta de enlace y como DNS primario, de hecho
asó es como se les configura automáticamente a los
clientes que se conectan por DHCP). El servidor DNS de
SislandServer tiene una lista interna de servidores DNS
secundarios para consultar. En algunas ocasiones queremos que el
DNS del servidor no consulte a esa amplia lista sino a DNS
específicos (por ej., a los DNS que nos indica
nuestro proveedor del enlace que suelen ser de acceso más
veloz porque están más "cerca"). Esos DNS
específicos se configuran aquí, una IP junto a la
otra separadas por espacio únicamente.En ocasiones, se han
presentado periodos donde hay problemas en
internet para
acceder a algunos servidores DNS. En estos casos también
puede ser útil fijar DNS en este campo. Pueden utilizarse
los DNS de nuestro proveedor o DNS públicos como
208.67.222.222, 67.138.54.100, 4.2.2.1, 4.2.2.3 y otros
DNS públicos. Para probar si un DNS es abierto y accesible
desde el servidor podemos ejecutar, por terminal o consola
virtual, un comando como dig -t ns sitaram.org
@208.67.222.222 reemplazando 208.67.222.222 por
la IP del DNS que queremos testear y sitaram.org por
cualquier dominio existente
(o utilizar este mismo).
Sitios sin proxy
El servidor hace pasar toda la
navegación http (puerto 80)
por el proxy Squid que tiene instalado y preconfigurado. Esto
permite "cachear" (almacenar) los contenidos y ahorrar ancho de
banda cuando otro usuario requiere el mismo material. Sin
embargo, algunos sitios no funcionan bien cuando pasan a
través de un proxy por lo cual podemos en este campo
agregar dichos sitios (por IP o por dominio) separados por
espacios para que no sean redirigidos al proxy.
Puertos Adicionales de aplicaciones
P2P
El sistema identifica a los programas p2p a
través de filtros especiales y de puertos preconfigurados
que tradicionalmente utilizan estos programas. A los puertos que
ABC reconoce como transferencias de programas peer to peer y a
los cuales les aplica un ancho de banda diferenciado -tanto de
bajada como de subida-, el administrador
puede agregar una lista adicional que se aplicará en
cuanto se guarde la configuración si el sistema
está activado.La lista solo debe contener números
(los puertos) separados por comas, permitiéndose los
rangos como 2000:2005 (o sea, del 2000 al 2005).Ejemplo de lista
adicional: 6987, 23658,
2568,4587,8900:8999,1254
¡ATENCIÓN! Pueden haber
espacios pero no puede omitirse la separación con comas,
incluir letras ni ningún otro símbolo. Errores en
esta lista pueden resultar en que el sistema no haga el modulado
diferenciado de ningún puerto p2p.En este listado de
puertos pueden incluirse puertos correspondientes a otros
protocolos (no
p2p) que se pretenda sean controlados con el mismo ancho de banda
que los p2p.
Avanzadas 
Puertos liberados
Podemos especificar puertos a los cuales el
servidor no les aplicará control de acceso. Es un
parámetro a utilizar con cuidado ya que si se trata de
clientes cuyas IP no corresponden a ningún usuario cargado
en el sistema, tendrán el puerto abierto pero
ningún control de ancho de banda, también estos
puertos podría ser utilizados por programas p2p. Solo se
recomienda en redes controladas en las cuales se desea que
algunos protocolos estén liberados para toda la
red.
Consultas DNS: máximo ancho de
banda de subida permitido.
Aquí opcionalmente puede limitarse
el ancho de banda de subida que el servidor puede utilizar para
las consultas DNS. No es necesario llenar este parámetro a
no ser en en enlaces con problemas de ancho de banda de subida
muy limitado.
Duración en seg. guardián
de conexiones
Si nuestra licencia incluye el
módulo de balanceo de conexiones y ruteo selectivo,
aparecerá esta opción que tiene sentido
únicamente si efectivamente estamos utilizando el
balanceo, o sea que conectamos el servidor a más de una
conexión a internet. Para saber si las conexiones
están funcionando adecuadamente el servidor testea las
puertas de enlace o las IP de control de diferentes maneras en
forma periódica . El último testeo consiste en
enviarles ping en un lapso de tiempo de 5
segundos por test. Si
más del 50% de los ping son respondidos considera que la
conexión funciona aceptablemente; sino, la deshabilita
hasta que la misma responde adecuadamente. En enlaces muy lentos,
muy saturados o inestables, 5 segundos puede ser poco tiempo de
prueba y producirse falsos negativos, con periódicas
desactivaciones de enlace que perjudican el servicio. En
conexiones con las características mencionadas o si
notamos que en el registro del
guardián de conexiones presenta desactivaciones muy
frecuentes, puede ser conveniente aumentar este valor a 10 o
más. Los tests serán más lentos pero
más seguros.
En el panel izquierdo podemos configurar
datos informativos:
- NOMBRE EMPRESA
Aparecerá en la página de
login, o sea que será visto por los usuarios que accedan
por nombre de usuario/contraseña. Se superpone al nombre
de la empresa
configurado en la intranet, si se hubiera hecho
- EMAIL para avisos del sistema
Es el mail al cual el servidor
enviará avisos como caida y recuperación de enlaces
(módulo de balanceo) y otros.
- Imagen o HTML para página de login
Aparecerá en la sección
derecha de la página de login cuando los usuarios sin
autenticación por IP/MAC quieran conectarse. Lo mejor es
subir una imagen JPG o GIF
con el diseño
que queramos (tamaño máximo recomendado 440px de
ancho por 380px de alto). También puede ser un archivo HTML o de
texto.
3.2 Control de Procesos
Actualmente esta página contiene el
mismo Panel de Control que la página principal
(El Portal) y un panel de control
extendido para los principales servicios
incluidos en el servidor.
PANEL DE CONTROL
Las funciones del
panel de control que describimos a continuación son las
mismas para El Portal y para la página de Control de
Procesos.
| Inicia o reinicia ABC, lo cual | Detiene ABC pero únicamente el |
| |||||
|
| |||||||
|
| |
|
|
|
| ||
APAGA el servidor | REINICIA el servidor | Indica que está funcionando el | Indica que está activado el | Indica que están activadas las | Indica que está activado el | RECONFIGURA LA RED de acuerdo a los | ||
Servidor DHCP |
|
|
| |||||
Control por MAC
Redirecciones
Firewall desactivado
Control de
servicios
| En el panel de control extendido |
| |||||||||
SQUID – el proxy
que cachea las páginas web visitadas
haciendo más ágil la navegación, puede
desactivarse a los fines de diagnóstico pero conviene que funcione. El
botón de la derecha permite vaciar el caché (las
páginas almacenadas) lo cual sólo es necesario como
prueba en el caso de que notemos la navegación muy lenta y
tengamos certeza que no se debe a la conexión a internet
(ver página Mantenimiento
de la Intranet).
NTop – una aplicación
auxiliar que recopila estadísticas del uso de la red (ver 4.3
NTop: análisis del tráfico de la
red)
DNS server Bind9 – un servicio
incluido en el servidor que hace la función de
DNS para los usuarios y para el mismo servidor. Mientras este
funcione, los usuarios pueden utilizar el servidor como DNS
(ahorrando consultas hacia internet) y el servidor no necesita
configuración de DNS. Otra ventaja es que cachea las
consultas lo cual implica ahorro de
ancho de banda. El control especial sirve para vaciar el
caché (dominios almacenados).
Ajuste de fecha y hora
La hora del servidor se actualiza en forma
periódica con servidores ntp (servidores de hora) en
internet. En esta sección de la página Control
de Procesos podemos solicitar una actualización
inmediata de fecha y hora y/o cambiar la zona horaria en la que
el servidor está ubicado.
3.3 Respaldo y
restauración
Disponemos aquí de 2 funciones
complementarias. Bajar archivo de BackupGenera un archivo
de texto con TODOS los datos de configuración de ABC que
se descarga en el mismo equipo desde el cual estamos accediendo a
la interfaz web de ABC. Restaurar desde este
archivoPermite subir un archivo generado con el paso
anterior, restaurando todos los datos (usuarios, grupos,
interfaces, configuraciones, etc.).
3.4 Setup (activación y
licenciamiento del servidor)
Esta página nos permite realizar
configuraciones importantísimas en el servidor sin
recurrir a comandos por
consola. Es la base para que todas las configuraciones y paquetes
de software queden
convenientemente instalados. El uso de las opciones de esta
página está explicado en las instrucciones de
instalación www.sislandserver.com/instalacion. Aquí
haremos un repaso de las opciones que podemos utilizar tanto en
la configuración inicial, como en posteriores
actualizaciones y tareas de mantenimiento o verificación.
Para ingresar en esta página necesitamos el
usuario/contraseña del titular de la licencia, o sea, los
mismos que se utilizan en la intranet.
LICENCIAS
1. Activar LicenciaNos presenta una
lista de licencias disponibles para elegir cual instalamos en
este servidor. Una vez activada la licencia, haciendo clic en
esta misma opción la actualizamos, lo cual puede ser
útil para habilitar nuevos módulos contratados en
la intranet, por ejemplo.2. Desactivar licenciaAntes de
intentar instalar el servidor en otro equipo o hacer una
instalación completa en este mismo, es recomendable
desactivar la licencia.
SERVIDOR
3. Configuración
generalInstala todos los paquetes de software y establece las
configuraciones necesarias para el correcto funcionamiento del
servidor. Se puede ejecutar las veces que queramos, para
asegurarnos que todos los componentes del servidor estén
correctamente instalados y configurados, pero habitualmente solo
se utiliza en la instalación inicial, luego del Paso
2.4. Actualizar sistema de controlActualiza el sistema de
control a la última versión disponible.
MANTENIMIENTO 5. Volver
a versión anterior instaladaPermite volver el sistema
de control atrás luego de una actualización Las
opciones siguientes ya están incluidas en las anteriores.
Se presentan aquí por separado para tareas de
mantenimiento o "reparación":6. Actualizar
programas auxiliares de estadísticasRepasa la
instalación de programas como el ntop, iptraf, etc.7.
Actualizar configuración del entorno
operativoReinstala programas importantes como el servidor de
nombres, base de datos,
proxy y otros.8. Migración
a nueva versión Se asegura que ciertos
parámetros utilizados por la actual versión del
sistema de control sean configurados en el servidor. Se utiliza
cuando hay un cambio
importante de versión, por indicación de los
desarrolladores del sistema.
Datos
9. Resetear clave local de acceso al
sistemaLa contraseña local, que sirve para todo el ABC
menos para el setup, se resetea al valor predeterminado: usuario
igual al ID de licencia, contraseña igual al ID de
licencia.10. Cargar configuración predeterminada
¡Sólo instalaciones nuevas!(figura como
Instalar datos predeterminados en versiones
anteriores)Carga configuración "de fábrica" del
sistema de control como redes, grupos, usuarios, etc. Luego de
utilizar esta opción es imprescindible reconfigurar las
Redes antes de resetear el equipo o reiniciar el control
de ancho de banda.
Sistema Operativo
12. Configurar kernel y
servidoresEstá incluido en el punto 3 pero figura en esta
página por si hiciera falta asegurarnos que software vital
para el funcionamiento del servidor como el kernel de
SislandServer está instalado en el sistema
operativo.
4.1 Sobre los informes del
servidor
Al desarrollar ABC nos hemos concentrado,
dedicando miles de horas de investigación y programación, a lograr un óptimo
control del ancho de banda y la mayor simplicidad y eficiencia
posibles en la instalación y configuración del
servidor. Los informes no han sido la primera prioridad ya que,
cuando el servidor distribuye bien el ancho de banda no es tan
necesario controlar el tráfico, pero contamos en el
servidor con varios y muy útiles. ABCTrafDisponemos
de UserTraf, una página poderosa y útil que nos
muestra el consumo actual
de los usuarios: por tipo de transferencia, por usuario y por
grupo. Ver
página del manual sobre
UserTrafNTOP Ver página del manual sobre NTop
(análisis del tráfico de la red)Equipos
Conectados A través de esta página podemos
saber fehacientemente las IP y MAC de los clientes que pasan por
el servidor. Aquellas IP marcadas con un + a la derecha
están conectadas en este momento, la marca o y –
significan que se han conectado hace algunos segundos; si no
tienen marca es un registro de que estuvieron conectadas. La
información se refresca cada 30 segundos y podemos
actualizarla más rápido simplemente apretando la
tecla F5.Algunos access point
enmascaran la MAC de las máquinas
que se conectan a través de ellos; gracias a esta
página sabemos sin duda cuál es la MAC que llega al
servidor.Consumo por interfazSencilla aplicación
auxiliar que nos muestra el tráfico (en cantidad de Mb o
Gb) de cada placa de red por hora, día o
mes.Información del servidorOtra aplicación
auxiliar que nos muestra la configuración general del
sistema operativo y los valores de
hardware
detectados. Es normal que la memoria
aparezca cercana al 90% ya que en ocasiones Linux una vez que
la utiliza la deja reservada y figura como en
uso.IPTRAFSislandServer incluye una poderosa herramienta
de monitoreo de red por consola: iptraf. Loguearse en una
consola directamente o con putty y ejecutar sudo
iptraf para acceder a la misma. Hay documentación disponible sobre este
programa en
http://cebu.mozcom.com/riker/iptraf/2.7/manual.htmlEn SislandSoft
continuamos con en el desarrollo de
nuevas herramientas
de información que se incorporarán en futuras
versiones, permitiendo el análisis del consumo
histórico de cada usuario y otras prestaciones.
4.2 UserTraf: el monitor de
consumo por usuario
Esta página nos permite hacer el
monitoreo on-line del consumo en kbps de cada usuario. Trabaja
con una avanzada tecnología de
auto-refresco de datos, optimizada para ocupar el menor ancho de
banda posible.Solamente presenta los datos si el control de ancho
de banda está activo en el servidor.La banda celeste
muestra los datos del grupo de usuarios: ID, nombre, ancho de
banda asignado de bajada y de subida, ancho de banda actual de
bajada (rojo) y de subida (verde) y tráfico acumulado de
bajada y de subida desde la última activación del
control de ancho de banda.
Cada cuadro (hay 4 o 5 por fila) muestra
los datos de un usuario: ID, login, IP, ancho de banda actual de
bajada (rojo) y de subida (verde), tráfico recibido (Rx) y
transmitido (Tx) desde la última activación del
control de ancho de banda. En el caso de los usuarios con
autenticación por login, aparecerá la IP que le
asignó el servidor y haciendo clic en la misma se
cierra la sesión para ese usuario.A la derecha vemos
un detalle del ancho de banda consumido en cada grupo de
protocolos: s (ssh y tráfico de prioridad 1), w (web), n
(ftp y todo lo
demás), m (mail y radio), p (p2p
detectado). Observarán que a veces no coincide la suma del
ancho de banda de estos protocolos con el total del usuario; esto
es normal por los tiempos de medida que difieren en milisegundos
y el redondeo que se aplica para poder
mostrarlo en este pequeño cuadro.Los cuadros "iluminados"
muestran los usuarios con transferencia; luego de unos 30
segundos sin actividad vuelven al color
original.Están en desarrollo o planificadas las siguientes
prestaciones para UserTraf:
monitoreo del total por dispositivo
(placa de red)monitoreo por grupo o por usuario
seleccionadoopción de vista breve y
detalladaedición y habilitación
del usuario desde esta páginacantidad de tráfico acumulado
mensual
4.3 NTop: análisis del
tráfico de la red
¿Qué es Ntop?Un
programa que genera estadísticas sobre de la red
incluyendo actividad IP por IP y que SislandServer instala
durante los procesos de Setup¿Cómo se accede a
Ntop?A través de un navegador web (Firefox,
Internet
Explorer) apuntando a alguna de las IP internas del servidor,
puerto 3000. Por ejemplo: http://192.168.1.1:3000,
http://10.0.0.1:3000, http://10.42.42.1:3000, etc.Si quieres que
sea accesible por la IP externa, conectada a internet, debes
abrir el puerto 3000 en la pestaña Avanzadas de la
página Redes, seleccionando la red correspondiente (ver
página Redes).Ntop no funciona ¿cómo
puedo reinstalarlo?En la página de Setup del
sistema de control hacer clic en Actualizar Programas
auxiliares de estadísticas ¿Cómo se
inicia/detiene Ntop?Habitualmente este se inicia como
servicio (o "daemon") y se ejecuta periódicamente en el
servidor sin que debamos ejecutar ningún comando.
Disponemos, sin embargo, de un control gráfico en la
página 3.2 Control de Procesos de ABC y de comandos por
consola para asegurarnos que el mismo funcione, detenerlo o
evitar que se inicie como servicio en el arranque del
servidor:
sudo invoke-rc.d ntop restartreinicia
el servicio ntopsudo invoke-rc.d ntop stopdetiene el
servicio ntopsudo update-rc.d -f ntop removeevita
que ntop se inicie al arancar el servidorsudo update-rc.d ntop start 99 2 3 4 5
. stop 10 0 1 6 . ;vuelve a configurar ntop como servicio
para que arranque junto con el servidor
Más información sobre
NtopNTOP es un potente programa de análisis del
tráfico de red que queda a disposición del
administrador. Se accede por el puerto 3000 via web solamente
desde la red interna. Para su conocer su funcionamiento,
además de la mencionada interfaz web por el puerto 3000,
puede ejecutarse por consola ntop -L o ntop
–help; los archivos de
configuración se encuentran en /etc/ntop. Si se
tiene un tráfico de red muy intenso o una computadora de
memoria
limitada el ntop puede ocupar bastantes recursos en su
escaneo permanente de la red. Para detenerlo puede ejecutarse
sudo invoke-rc.d ntop stop y para evitar que se inicie
al arrancar el servidor ejecutar sudo update-rc.d -f ntop
remove.CONSEJO: en IP >> Summary >>
Traffic disponemos de los accesos directos para ver el
consumo por IP (haciendo clic en Local Only, arriba, el
listado solo presentará la actividad de las IP de la red
interna).¿Se puede configurar ntop?Si. La
configuración por defecto puede cambiarse en el mismo Ntop
por web en la página Admin >
Configure.
¿Cuál es la
contraseña para el "admin" de ntop y cómo se
cambia?La contraseña predeterminada es igual al
mismo ID de licencia del servidor y el usuario predeterminado
es admin; estos datos pueden cambiarse desde esta
misma página (recomendamos cambiarla recordando sin
embargo que en las reinstalaciones al hacer clic en
Configuración Inicial,
Actualización o Actualizar Programas
auxiliares de estadísticas de la página de
Setup, la contraseña de Ntop se
reseteará nuevamente al ID de licencia).¿Cómo configuro que el
ntop registre la actividad de varias placas de red?A
partir de la versión 7.01-098 el sistema de
control se encarga de configurar las placas correspondientes
en el NTop. En versiones anteriores: en el menú
Admin >> Configure >> Preferences de
Ntop por web agregamos al final un nuevo campo a la izquierda
que diga ntop.devices y a la derecha establecemos
los nombres de las placas de red separadas por coma (Ej.:
eth1, eth2) sobre las cuales queremos que el ntop
recopile información, preferentemente las placas
internas. Deben ser las placas de red conectadas a los
usuarios y no las placas conectadas a internet.¿Cómo reseteo las
estadísticas?En el menú Admin >>
Configure >> Reset Stats
5.1 Acerca de
Comunicaciones
Este es un menú en el que
figurarán enlaces a páginas
web de los desarrolladores, los instaladores y otros sitios
de interés, así como el manual y
documentación en general. Su contenido se
enriquecerá a través de la actualización
automática.
6.2 Licenciamiento
Cuando adquieres una licencia de
SislandServer tú indicas y contratas el número
máximo de usuarios que tendrás autorizado y los
módulos adicionales que utilizarás.Tienes
más información sobre la
administración de licencias en la página del
manual sobre el Setup (activación y licenciamiento del
servidor).Uno de los aspectos más importantes de
SislandServer es la facilidad con la que lo instalas, lo
reinstalas, lo cambias de equipo, etc., sin necesidad de
solicitar nuevas activaciones de licencia o perderla al cambiar
al hard. Lograr esta flexibilidad y a la vez proteger el sistema
de copias ilegales no es una tarea fácil y ha requerido
cientos de horas de trabajo. A fin
de disponer de un sistema de licenciamiento dinámico,
rápido y seguro, el
servidor activa las licencias a través de internet y en
forma periódica chequea la validez de la licencia con
nuestros servidores de licencias. Por eso es necesario para su
funcionamiento una conexión a internet permanente y
medianamente estable. El servidor NO envía
información acerca de los usuarios, grupos,
tráfico, etc., del mismo. Tenemos implementado un plan de
contingencia para asegurar que los servidores siempre puedan
verificar la licencia y funcionar, con servidores espejo,
algoritmos de
tolerancia,
transferencias encriptadas de poca longitud, chequeos aleatorios
en lapsos de tiempo bastante amplios, técnicos de
emergencia, etc.
Autor:
William Ramírez
 Página anterior | Volver al principio del trabajo | Página siguiente  |