En Conexiones >> Usuarios
cargamos los datos del usuario. Son imprescindibles el login
(nombre de usuario) y el grupo. Si elegimos que el usuario se
autentifique por IP/MAC debemos consignar ambos datos. Si
elegimos que se autentifique por login, debemos configurar
una contraseña.Finalmente, en el mismo Portal o en
Sistema >> Control de Procesos aplicamos los
cambios haciendo clic en
IMPORTANTE: Prestar atención a la marca de
Habilitado al cargar interfaces, grupos, usuarios,
etc.; si no se chequea la misma no se activa el elemento,
solo resulta en una carga "de reserva".
1 Comandos por consola
El servidor
está preparado para ser controlado y configurado
principalmente desde la interfaz web, lo cual
llamaríamos habitualmente "el ABC" o sistema de
control. Sin
embargo, también disponemos de algunos comandos
especiales para trabajar por consola.Para acceder a la consola
del servidor lo hacemos de alguna de estas dos formas:
directamente en el servidor si tiene
teclado y monitordesde cualquier equipo conectado a la
red con el programa putty (si el control de acceso
está activo y accedemos por alguna red interna, el
equipo desde el cual nos conectamos con putty debe estar
configurado como un usuario en el ABC)
El nombre de usuario y contraseña
que utilizaremos serán los mismos que configuramos al
instalar el sistema operativo
del servidor (ver página sobre Contraseñas).El
comando principal es server. Requiere un parámetro,
según el siguiente detalle:# server stopdetiene
el control de acceso y ancho de banda# server
startinicia el control de acceso y ancho de banda, las
configuraciones de red y el firewall (si
estaba habilitado)# server statusinforma si el
control de acceso y ancho de banda está corriendo o
está detenido # server netstartreconfigura
la red de acuerdo a la configuración de ABC#
server netstopreconfigura la red de acuerdo a los
parámetros originales que se utilizaron en la
instalación# server firestartinicia o
reinicia el firewall# server firestopdetiene el
firewall# server runinicia ABC aún cuando
el mismo ha sido desactivado para ejecutarse al inicio del
servidor# server resetpassresetea la
contraseña local del ABC con lo cual resulta que el nombre
de usuario será, como siempre, el ID de licencia y la
contraseña también (ver página
Contraseñas)Comandos de emergenciaSi por
algún motivo no tuviéramos acceso al sistema de
control por web, tenemos otros comandos para hacer
configuraciones de emergencia que nos permitan conectar el
servidor a internet, configurar
fácilmente una red en el mismo y
analizar la configuración de red aplicada.# server
netshowmuestra la configuración de red
actual# server netstopcomando para configurar una
red de emergencia (nos solicita IP, IP puerta
de enlace, placa) lo cual le permitiría al servidor
conectarse a internet y a nosotros acceder al sistema de control
por web# ip linkcomando de Linux que
muestra las
placas de red detectadas por el sistema operativo#
pingenvía paquetes a una IP o dominio
cualquiera lo cual verifica la conectividadEjemplos:# ping
64.233.167.99# ping 10.0.0.1verifica conectividad con dichas
IPs # ping google.comverifica conectividad con la IP de
google.com pero a la vez verifica que el servidor de nombres
esté bien configurado
Ejemplos
Prácticos
Estas son configuraciones orientativas ya
que justamente es la habilidad del administrador de
la red la que le posibilitará encontrar una
configuración que le permita lograr el mejor
aprovechamiento del enlace.ISP
Enlace: 1MSe crean 5 grupos
1. Administrador con máximo de
subida, bajada y total2. Grupo 128: 64
de subida, 128 de bajada, 770 máximo3. Grupo 256: 128 de
subida, 256 de bajada, 770 máximo4. Grupo 512: 256 de
subida, 512 de bajada, 980 máximo5. Grupo 128p2p: 24 de
subida, 128 de bajada, 256 máximo (para algunos usuarios
que utilizan mucho los programas peer to
peer utilizando constantemente el enlace)
Pueden configurarse varios grupos
aún para quienes contraten un mismo ancho de banda,
determinando restricciones especiales para la subida o para el
máximo y ubicando allí a ciertos usuarios
difíciles o "privilegiados"
ISP con cyber
Grupos similares al ejemplo anterior mas un
grupo para el cyber. Supongamos que se utiliza ABC para asignarle
ancho de banda a cada maquina de un cyber que contrata
256K
6. Grupo Cyber256: 64 de subida, 230 de
bajada, 256 máximo
Así, cada máquina va a
poder navegar
casi a 256 si las otras no utilizan el enlace, pero al determinar
256 de máxima los equipos que naveguen se distribuyen no
más de ese ancho de banda.
Sisland Server en un cyberABC se
utiliza frecuentemente para hacer un control y distribución de los equipos en un cyber.
Estamos trabajando en una versión especial para cybers,
con algunas prestaciones
extras que ayudarán en la
administración de los mismos. Mientras tanto, el
"poder" de distribución y control de SislandServer puede
utilizarse para optimizar el uso del enlace.
La configuración es
simple:
Dejas el grupo Full
Administradores para los equipos que no utilizan los
clientesCreas el grupo Cyber con el
mismo ancho de banda en la subida, la bajada y en el
máximo. Ese ancho de banda puede ser de 1024, 2048 o
más, para aprovechar las páginas cacheadas por
el proxy que bajarán a toda velocidad para
satisfacción de los clientes.Puedes tomar como norma que el ancho de
banda del grupo Cyber sea el ancho de banda de tu
conexión a internet multiplicado por 4.
tienes 256 de subida y de bajada:
configuras subida 1024, bajada 1024, máximo
1024tienes 256 de subida y 512 de bajada:
configuras subida 1024, bajada 2048, máximo
2048
La mejor configuración la da tu
experiencia. Si configuras el grupo Cyber con un
ancho de banda general de 99999 y anda bien, es lo
óptimo, ya que habrá máximo ancho de
banda para las conexiones cacheadas. Pero si tu
conexión tiene muy poco ancho de banda, prueba con
valores más bajos como 5000, 2048, 1024 y hasta
512.Por supuesto cargas cada equipo del
cyber como un Usuario con su correspondiente IP y MAC, todos
pertenecientes al grupo Cyber.
División estricta del
enlace
Una Universidad
destina 256K para el rectorado, 256K para los equipos del staff
docente y 512 para las facultades y bibliotecas, pero
no le interesa que cada equipo tenga demasiada velocidad
individual.
1. Rectorado: 64 de subida, 128 de bajada,
256 máximo2. Staff: 48 de subida, 96 de bajada, 256 de
máxima3. Facultades: 32 de subida, 64 de bajada, 256
máximo4. Bibliotecas: 32 de subida, 64 de bajada, 256
máximo
Señal dedicada
Aunque no es muy frecuente,
podríamos tener un cliente que
requiera un cierto ancho de banda dedicado, o dicho de otro modo,
garantizado al 100%. El módulo básico de ABC
(módulo CORE) no soporta esta funcionalidad pero podemos
realizar una configuración que se acerque a dicho
parámetro.Supongamos que debemos otorgarle 128k de ancho
de banda dedicado a un cliente y disponemos de un enlace de 1024k
reales. 1024 menos 128 es 896. Lo que hacemos es establecer un
máximo ancho de banda de 896k para todos los demás
grupos o, mejor aún, bastante menos (Ej. 850, 700, 500 en
grupos de poca velocidad y pocos usuarios, etc.). De este modo
existe la posibilidad de que el enlace completo siempre tenga
unos 128 de reserva o aproximado.
Contraseñas
Para trabajar en el servidor disponemos de
3 claves (nombre de usuario + contraseña)
principales:
Clave del titular de la
licenciaEs el nombre de usuario y contraseña del
titular de la licencia tal como se registró en
intranet.sislandserver.com. Nos sirve para ingresar al
sistema de control ABC al igual que la clave del operador
explicada a continuación, pero es la única
clave autorizada en la página de Setup de dicho
sistema de control.Clave del operadorPara tareas
habituales de configuración en ABC (todas menos el
Setup). El usuario es siempre igual al ID de licencia
y la contraseña predeterminada es igual. Es
conveniente marcar Cambiar password al ingresar y no
dejar la contraseña predeterminada. Si
olvidamos esta clave, se puede resetear desde la
página de Setup, ingresando con la clave del titular o
por consola con el comando server
resetpass.Clave del sistema operativoPara
trabajar por consola. Si se siguieron las instrucciones de
instalación al respecto, será igual a la clave
del titular. Anteponiendo "sudo" a cualquier comando y
reingresando la contraseña, se adquieren privilegios
de root. No hay usuario root activo en el sistema
operativo.Clave de NTop (programa auxiliar
de estadísticas de red)Para configuraciones avanzadas
de Ntop es necesario loguearse en el mismo como usuario
admin, la contraseña es igual al ID de licencia de ABC
(recomendamos cambiarla recordando sin embargo que en las
reinstalaciones del sistema se reseteará al ID de
licencia).
Control de
Acceso
Cuando el control de ancho de banda es
activado también se activa el control de acceso al
servidor.El control de acceso impide que equipos que no
estén cargados como Usuarios en el sistema accedan al
servidor. Equipos no autorizados pueden recibir IP
automática del servidor DHCP y acceder a la pantalla de
login, pero no podrán navegar si no están
autorizados según su IP/MAC o usuario/contraseña.
Se puede desactivar el control de acceso (dejando el control de
ancho de banda activado) haciendo clic en en el panel de control.
A la inversa, cuando el control de ancho de banda está
desactivado se
puede activar solamente el control de acceso haciendo clic en
Control de
acceso por IP/MACEl servidor le permite al usuario utilizar
el servicio si se
conecta con una IP y la MAC cargadas en el sistema (Usuarios). Si
un usuario con autenticación por IP/MAC tiene la cuenta
desactivada, cuando intenta navegar aparece un mensaje en la
página de login que le avisa de su cuenta
suspendidaControl de acceso por LOGIN
(usuario/contraseña) Cuando se conecta cualquier
equipo que no tiene IP y MAC configuradas, el servidor le
presenta la pantalla de login. Si el usuario ingresa usuario y
contraseña válidos el servidor le abre el servicio,
registrando su IP. Este permiso de acceso queda abierto
indefinidamente hasta que el usuario se loguee nuevamente desde
otra IP o hasta que un administrador del servidor lo desloguee
haciendo clic en su IP en la página de UserTraf: el
monitor de
consumo por
usuario.
Características principales del
subsistema de autenticacion por login
Cuando un equipo no autorizado por
IP/MAC se conecta al servidor y pretendiendo acceder a una
página web, el servidor le solicita que se loguee. Si
se autentica correctamente lo redirecciona a la página
solicitada, con un procedimiento especial para evitar el
cache de los navegadores (por lo tanto, no es necesario
acceder a una página particular de login).Si un usuario con autenticación
por login tiene además la IP configurada (en la
página Usuarios), el servidor revisa que ese usuario
solo se conecte desde esa IP. Si tiene la MAC cargada,
autentica la MAC. Por lo tanto se pueden combinar ambos tipos
de autenticación.Para desconectar un usuario logueado,
se hace clic en la IP del mismo en la página
UserTraf.El servidor dhcp otorga todas las IP
disponibles en las redes menos las reservadas para los
usuarios por IP/MAC.UserTraf actualiza la IP cuando el
usuario se loguea y muestra su consumo.Una sesión se cierra cuando se
abre en otro equipo (otra IP).Se registra cada ingreso por login para
controlar IPs y, especialmente, macs. La idea es controlar
que los usuarios no estén "prestando" sus datos de
logueo, lo cual es sospechable si accede frecuentemente desde
distintas MAC. Para listar los ingresos de cada Usuario
disponemos de la pestaña Registro en la página
Usuarios.El usuario puede cambiar su
contraseña al accederAl reiniciar el control de ancho de
banda o el servidor los usuarios logueados siguen
habilitadosEl sistema de autenticación por
login está preparado para grupos sin control de ancho
de banda y grupos con control de horarios.Es posible agregar una página
personalizada como parte de la página de login, lo
cual se configura en la página Configuración
Global del sistema.
¡Atención!
Si se cambia la contraseña de un usuario con
autenticación por login NO es necesario reiniciar el
control de ancho de banda para que la nueva contraseña
tenga efecto Cuando el usuario deba loguearse nuevamente
deberá utilizar la nueva contraseña lo cual
significa que se le puede otorgar una cuenta de
autenticación por login a un usuario y una vez que este la
deja de usar, darle los datos a un
segundo usuario con una nueva contraseña.
¿Qué es
Red preferida para login en la página de Redes?
Si tenemos configurados usuarios que se
autentican por login, el servidor DHCP tendrá un rango de
IPs libres que otorgará a los clientes que
busquen IP para luego conectarse por login. Esta IP puede estar
en el rango de cualquiera de las redes LAN
configuradas y no importa a qué grupo pertenezca el
usuario, de todos modos se le aplicará el control de ancho
de banda correspondiente.Por una cuestión de orden,
quizá prefiramos que esas IP libres se encuentran en
determinados rangos pertenecientes a alguna o algunas de nuestras
redes LAN, para lo
cual marcamos el checkbox Red preferida para
login en las páginas de las redes
correspondientes. También podemos crear redes
vacías (o sea que no tengan grupos relacionados con ella)
y tildarle la marca para que sean las únicas redes con IPs
libres.No es imprescindible marcar una red como
preferida…
Ante alguna duda de cómo se pueden
combinar los parámetros de configuración de cada
usuario, tanto en el servidor como en el lado del cliente, este
cuadro puede servir de orientación:
Balanceo y ruteo
selectivo
La información necesaria para el uso de este
módulo se encuentra principalmente en las páginas
Redes y Grupos de este manual. Sin
embargo, para mayor comodidad de los administradores del
servidor, resumimos aquí varios conceptos relativos a este
módulo.El módulo tiene 3 funciones
principales:
permite conectarnos a 2 o más
proveedores de internet al mismo tiempo,
balanceando (distribuyendo) la carga de todos los
usuarios entre todas las conexiones; en la práctica
esto resulta en una sumatoria de los anchos de banda de todas
las conexionespermite configurar conexiones de
respaldo que no se utilizan habitualmente pero que el
servidor activa automáticamente cuando se cae alguna
de las conexiones permanentespermite, opcionalmente, dirigir
algunos usuarios por una conexión, otros por otra,
etc., en lugar de que sean balanceados
Además, el módulo
implementa:
tolerancia ante fallos: si una
conexión se cae, a los pocos segundos es dejada fuera
de servicio, no recibiendo más transferencias de los
usuarios para evitar que se pierdan; además, si hay
una conexión de backup la activa en esta
situaciónrecuperación: cuando el
servidor detecta que el enlace ha vuelto a funcionar,
reconfigura la red y nuevamente lo utilizaaviso y registro: en lo posible
el servidor envía un mail al administrador del sistema
notificándole cuando un enlace se ha caído y es
anulado, así como cuando es recuperado; además,
lleva un registro de estas acciones que se puede consultar en
cualquier momento
Requisitos:
el módulo de balanceo y ruteo
selectivo habilitado en la licencia del servidoruna placa de red para cada
conexión a internetconexiones que pasen por un modem ADSL
deben configurar el modem en modo router
¡Atención!Un par
|
Configuraciones de balanceo/ruteo
selectivo en el sistema de control del servidor:
Página Grupos >> Pestaña
Edición
Si tenemos varias conexiones a internet
configuradas en la página Redes, debemos elegir la
interfaz a internet del grupo.Podemos determinar que este grupo
(o sea, los usuarios que pertenezcan al grupo) se conecten a
internet por una red en particular o por Balanceo (en
forma distribuida/balanceada por todas las redes externas).Tener
en cuenta que si elegimos una red en particular en vez de
balanceo, para estos usuarios no habrá proxy
caché (el proxy enmascara las conexiones por lo cual debe
pasarse por alto para hacer un ruteo selectivo).
Personalizando el
Servidor
Es posible cambiar ciertos datos del
sistema de control del servidor ABC como ser el
nombre de la empresa que
instala el servidor, mail de la empresa, marca
del servidor, web de la empresa, etc.De este modo, las
licencias de las cuales eres titular y que quizá instalas
como parte de tus trabajos profesionales aparecerán con
tus datos y tus clientes no averiguarán fácilmente
el origen del sistema.Solamente es recomendable "personalizar" el
sistema si estás revendiéndolo. Si no, es
preferible dejar los datos originales ya que pueden aportar
información interesante cada vez que actualizas el sistema
(por ejemplo, la página de Novedades del sistema).Los
datos personalizados se cargan en la intranet y
afectarán a todas las licencias de las cuales eres
titular, cada vez que instales o actualices un
servidor.¿Cómo se hace?
Ingresa en
intranet.sislandserver.comAbre la página Mis
DatosMás abajo de tus datos de
usuario, haz clic en Datos personalizados en ABC
(opcional) >>>Carga los datos que quieras. No todos
son obligatorios. En donde se presenta cada uno de los datos
está explicado en esta misma página.Haz clic en el botón
AceptarCuando instales un servidor con una
licencia de la cual eres titular aparecerán los datos.
¿Y si el servidor ya está instalado?
Simplemente vas a la página de Setup en el
servidor y haces clic en la opción 1 Activar
Licencia.
Cada vez que cambies tus Datos
Personalizados en la intranet, deberás 1
Activar Licencia en la página de cada uno de tus servidores si
quieres que se reflejen los cambios.
Conexiones
1 REDES
IntroducciónConfigurar las
redes en el servidor es el primer paso. Las Redes en el sistema
de control del servidor son mucho más que sus "placas de
red". El sistema operativo generalmente detecta las placas
automáticamente y les asigna nombres como eth0, eth1,
eth2, etc.Cada red configurada en el sistema debe estar
relacionada con una placa, por ejemplo eth0, lo que en
el formulario de esta página Redes se denomina
Dispositivo del sistema. En el caso de las redes
conectadas a internet, es necesario que cada red configurada en
el sistema esté relacionada a un dispositivo (una placa).
Obviamente esa placa tendrá una conexión física (cable) al
router o
modem que nos
da el proveedor.En el caso de las redes conectadas "hacia
adentro", hacia nuestros usuarios (intranet), podemos crear
tantas redes como queramos en una misma placa. Por
ejemplo:
una red del rango 10.0.0.x en la cual
el servidor tenga la IP 10.0.0.1 y los usuarios de la
10.0.0.2 a la 10.0.0.254 (máscara 255.255.255.0) en el
dispositivo eth1otra red del rango 192.168.1.x en la
cual el servidor tenga la IP 192.168.1.1 y los usuarios de la
192.168.1.2 a la 192.168.1.254 (máscara 255.255.255.0)
también en el dispositivo eth1otra red del rango 10.42.42.x en la
cual el servidor tenga la IP 10.42.42.1 y los usuarios desde
la 10.42.1.2 a la 10.42.254.254 (máscara 255.255.0.0)
también en el dispositivo eth1etc., etc., etc.De este modo tenemos
varias redes virtuales en una misma placa y utilizando un
mismo switch a la salida del servidor.
La configuración básica es
una red de conexión a internet y una red para los
usuarios, cada una conectada a una placa de red distinta. Por
ejemplo:
Pestaña Edición
Dispositivo del sistemaEste debe ser el
nombre que utiliza Linux para la interfaz, como eth0, eth1,
eth2, etc. Cada red conectada a internet debe utilizar un
dispositivo distinto. En cambio, pueden
configurarse numerosas redes conectadas a intranet (hacia los
usuarios) con el mismo dispositivo. No se debe utilizar el mismo
dispositivo o placa para una red conectada a internet y para una
red conectada a la red local (intranet). DescripciónUn
nombre orientativo del destino y tipo de la conexión, a
elección nuestra. Es recomendable utilizar nombres que
sean descriptivos de la función u
orientación. Ej. "Red Local 1", "Red LAN 3",
"Internet ADSL",
"Internet Fibra", etc.Ancho de banda asignado En las redes
conectadas hacia los clientes o intranet es recomendable
establecer estos valores a la
velocidad máxima de la placas de red (99999 o 100000,
algunas versiones lo hacen automáticamente).
En las redes conectadas a internet
debemos establecer los anchos de banda de subida y de bajada a
los valores
que nos da nuestro proveedor, por ejemplo, 1024 / 256.Es
importante comprender cómo el servidor utiliza estos
valores. En general, el servidor no los usa como límites, o
sea que si fijamos 1024 de bajada en una red conectada a internet
no significa que no dejará pasar más de 1024. El
sistema de control utiliza el ancho de banda de bajada y de
subida que configuramos aquí como referencia para la
distribución proporcional entre los clientes, o sea que
calcula un ancho de banda mínimo para cada cliente de
acuerdo a estos valores pero no un ancho de banda máximo.
Los anchos de banda máximos para cada cliente, tanto de
bajada como de subida, son los que configuramos en el grupo al
cual pertenece cada usuario. Es muy importante establecer los
valores correctos en las redes conectadas a internet para lograr
la mejor distribución proporcional del ancho de
banda.Conectado ainternet o intranet (o sea red de
usuarios, red LAN)Los siguientes parámetros de
configuración varían según la
orientación de la red, a su vez hay algunos campos que
aparecen únicamente si tenemos activado el Balanceo y
ruteo selectivo (aquí marcados en verde):
- internet
Dirección IP – la IP que
el proveedor del enlace nos asigna para conectarnos a su
puerta de enlaceMáscara de Red –
habitualmente 255.255.255.0 o 255.255.255.248Puerta de Enlace – la IP del
gateway del proveedor de este enlaceComportamiento – seleccionamos
uno de estos:
Salida predeterminada a internet
– la mejor conexión o conexión principal la
configuramos como salida predeterminada.
Atención
Solamente debería haber UNA red
configurada como salida predeterminada a internet.La conexión configurada como
Salida predeterminada… también participa en
el balanceo, si hay otras redes configuradas como
Balanceo…
Balanceo de conexiones
(módulo de balanceo de conexiones) – cuando ABC
balancea los pedidos de los clientes entre diversos enlaces a
internet, utiliza todas las redes conectadas a internet
configuradas como Balanceo de conexiones o Salida
predeterminada a internet. Es recomendable que el mejor
enlace esté marcado como Salida predeterminada… y
los demás queden como Balanceo… (ver
página del manual sobre Balanceo y ruteo selectivo
)Conexión de respaldo
(módulo de balanceo de conexiones) – teniendo este
módulo activado podemos configurar conexiones que se
activarán únicamente cuando se caigan los
enlaces anteriores y se desactivarán cuando se
recupere la conexión al gateway (ver ejemplos en
página del manual sobre Balanceo y ruteo
selectivo).Placa externa adicional– estas
redes no participan en la conexión a internet pero
funcionarían como redes de reserva o canales
exclusivos hacia ciertas subredes.
Opciones de balanceo de conexiones
>>> si tenemos activado el módulo de
balanceo de conexiones y ruteo selectivo, desplegando esta
sección accedemos a otras opciones como:
Peso – Este valor le indica al
servidor la importancia del enlace con respecto a los otros
enlaces balanceados. Solo tiene sentido utilizarlo cuando se
balancean varias conexiones. Puede dejarse vacío y
entonces equivale a 1 (ver ejemplos en página del
manual sobre Balanceo y ruteo selectivo).IP de CONTROL – Cuando el
servidor chequea la disponibilidad de la conexión a
internet, lo hace verificando las respuestas de la IP que
está configurada como Puerta de
Enlace. Cuando la puerta de enlace es un router
interno, modem ADSL en modo router o servidor/firewall
intermedio, la IP de la puerta de enlace es una IP interna
entonces su disponibilidad no nos indica si la
conexión a internet esta funcionando (porque siempre
está disponible aunque no funcione internet).Para esos
casos se configura en este campo una IP ubicada fuera de
nuestra propia red, o sea, una IP pública de internet.
En lo posible debería ser la IP pública que el
proveedor de la conexión nos indica como puerta de
enlace o como DNS. Si no, puede ser cualquier IP en internet
de un sitio reconocido que no tenga caídas frecuentes
y acepte las peticiones ICMP (ping) como las 64.26.130.104,
200.229.64.200, 64.233.167.99, 195.53.169.56, etc. (cuidado
con las IP de Microsoft o Norton que suelen estar bloqueadas
a las peticiones ICMP).
Restricciones para enlaces
satelitales >>> Aquí podemos determinar
un máximo de transferencias simultaneas para esta
conexión a internet, lo cual puede ser necesario en
enlaces satelitales con modems que se "tildan" cuando reciben
un exceso de transferencias o conexiones ADSL que limitan las
transferencias simultáneas. Como no es posible
controlar las transferencias simultáneas que no sean
TCP, se provee un segundo parámetro que impone un
límite similar con las transferencias no-TCP. Ejemplo:
si el modem no soporta más de 100 transferencias
simultáneas, podemos configurar 85 en
Máximo conexiones TCP simultáneas y 85
en Máximo conexiones no-TCP por segundo con
lo cual se logra un efecto similar a limitar a 100
transferencias simultáneas de todos los protocolos. En
algunas conexiones ADSL conviene configurar estos
valores entre 350 y 500 para evitar que el proveedor bloquee
la conexión si tenemos mucho
tráfico.
- intranet
Dirección IP – la IP que
los usuarios utilizarán como puerta de enlace, una de
las IP internas del servidorMáscara de Red – depende
de nuestra elección y diseño de red,
habitualmente es 255.255.255.0
Podemos configurar diversas redes
intranet (redes locales) con el mismo dispositivo del sistema
(por ejemplo eth1). De este modo lograremos redes distintas y
nuestros usuarios podrán (y deberán) utilizar
distintas puertas de enlace y distintas familias de IP. Por
ejemplo: configuramos una red conectada a intranet en el
dispositivo eth1 con IP 10.42.42.1, otra red conectada a intranet
también en el dispositivo eth1 con IP 192.168.1.1. Creamos
como mínimo 2 grupos, uno conectado a la primera red y
otro conectado a la segunda. En los equipos de los usuarios del
primer grupo se configura 10.42.42.1 como puerta de enlace y una
IP de la familia
10.42.42.x; en los equipos de los usuarios del segundo grupo se
configura 192.168.1.1 como puerta de enlace y una IP de la
familia
192.168.1.x .
Red preferida para login – este
parámetro es totalmente opcional; sirve para indicarle
al servidor que las IP "libres" que otorgue por dhcp a los
clientes que se autentican por login (sin ip fija)
estarán dentro del rango de esta red. Más info
en la página sobre Control de Acceso.
ActivadoLas redes deben tener
marcado este cuadro para que sean activadas por el sistema, junto
con los grupos y usuarios que dependan de la misma. Puede dejarse
desmarcado en el caso de redes sin terminar de configurar o de
prueba.Pestaña Informes
En Estado podemos visualizar las
configuraciones aplicadas y en funcionamiento de las diversas
redes, así como el porcentaje de conexión a la
puerta de enlace en las redes conectadas a internet. 100%
significa que no hay pérdida de paquetes o transferencia;
0 % significa que no hay conexión a la puerta de enlace;
70%, por ejemplo, significa que hay un 30% de pérdida de
paquetes. En Consumo, al igual que en el portal de ABC,
podemos visualizar el consumo por cada dispositivo de red, en
kilobits por segundo.En Monitor de los Enlaces
(disponible con el módulo de balanceo y ruteo
selectivo) vemos el último registro que ha
dejado el monitor de verificación de enlaces a internet.El
listado en la sección inferior informa acerca de las redes
configuradas en el sistema, independientemente de que dicha
configuración esté aplicada o no en el servidor, lo
cual puede monitorearse en las secciones
superiores.Pestaña Avanzadas
Esta página es
multipropósito. Tiene diferentes funciones según se
trate de redes internas (LAN) o externas (WAN,
internet).
internet
En las redes externas (conectadas a
internet) se utiliza para configurar el comportamiento
de los puertos. La clave está en lo que seleccionamos en
el cuadro de selección
a la derecha de cada fila, o sea: Abierto, Cerrado,
Redireccionado, Eliminar o ExclusivoLuego de
determinar el rango de puertos (Ej.: desde 80 hasta 80, desde
5800 hasta 5800, etc.) y el protocolo (tcp o
udp), elegimos qué queremos que suceda con esos puertos en
el cuadro de selección mencionado anteriormente.
Básicamente:
Abierto: desde internet se
podrá conectar directamente a este puerto en el
servidor; sólo tiene sentido si tenemos un servicio
que "escucha" en ese puerto en el mismo servidor (Ej.: puerto
80 para servidor web o 1008 para el ABC) y en el caso de
algunos programas VOIP que necesitan puertos abiertos en el
servidor y luego las conexiones son direccionadas a los
clientes.Cerrado: estando el firewall
activado todos los puertos están cerrados por defecto,
a excepción de:
el puerto para el acceso remoto por ssh
(22)el puerto del sistema de control del
servidor ABC (1008)puerto del servidor web (80)
y el puerto 21 para facilitar
conexiones ftp
Redireccionado: le "pasamos"
este puerto a alguno de los usuarios internos. Debemos
indicar el ID de usuario, no la IP, lo cual podemos averiguar
en la página Usuarios o en el ABC
Traf.Eliminar: esta apertura, cierre
o redirección se elimina una vez que hacemos clic en
Aplicar.
Las redirecciones y aperturas de puertos se
aplican inmediatamente en el servidor al hacer clic en el
botón Aplicar. No es necesario reiniciar ABC o la
red.Ejemplos:
El usuario 350 necesita acceso
remoto al escritorio. Utiliza el programa VNC que
habitualmente opera en el puerto 5900. Hacemos clic
en Nueva Configuración de Puertos y configuramos:
Desde 5900 hasta 5900, TCP,
Redireccionado y luego el ID de usuario,
350.Queremos habilitar puertos para
programas VOIP que utilizan para las llamadas entrantes los
puertos 5600 al 5605, UDP y TCP. Hacemos clic en Nueva
Configuración de Puertos y configuramos: Desde
5600 hasta 5605, TCP, Abierto;
clic en Aplicar. Luego, nuevamente, clic en Nueva
Configuración de Puertos y configuramos: Desde
5600 hasta 5605, UDP, Abierto;
clic en Aplicar.Queremos tener el firewall activado
pero abrir todos los puertos desde el 1024 en adelante.
Hacemos clic en Nueva Configuración de Puertos y
configuramos: Desde 1024 hasta 65535,
TCP, Abierto; clic en Aplicar. Luego, nuevamente,
clic en Nueva Configuración de Puertos y configuramos:
Desde 1024 hasta 65535, UDP,
Abierto; clic en Aplicar. Por precaución, si la red
externa tiene IP pública, configuramos también
desde 3128 hasta 3128, TCP,
Cerrado para evitar que nos utilicen el proxy desde
internet.
Funciones adicionales del
módulo de balanceo y enrutamiento
selectivoQuienes tengan habilitado este módulo
encontrarán que además de las opciones
Abierto, Cerrado, Redireccionado y
Eliminar figura una más: Exclusivo.Esto
significa que los puertos indicados deben rutearse exclusivamente
por esta conexión. Ejemplos:
Todas las consultas DNS quieren ser
dirigidas por la red externa (conexión a internet)
identificada con el número 2. En la pestaña
Avanzada de la página Redes hacemos clic en la red en
cuestión y configuramos: Desde 53 hasta
53, UDP, ExclusivoDebemos dirigir todos los correos
salientes SMTP por la red externa identificada por el
número 3. En la pestaña Avanzada de la
página Redes hacemos clic en la red en cuestión
y configuramos: Desde 25 hasta 25,
TCP, ExclusivoQueremos que TODO el tráfico UDP
salga por la red identificada con el 2. En la pestaña
Avanzada de la página Redes hacemos clic en la red en
cuestión y configuramos: Desde 1 hasta
65535, UDP, Exclusivo
(65535 es el último puerto
disponible)
Recordar que, por lógica,
los usuarios que tienen IP pública asignada (módulo
adicional de IP públicas) sólo se comunican por la
red a la cual pertenece esa IP pública. No utilizan el
proxy, no son balanceadas sus transferencias ni se tienen en
cuenta las configuraciones anteriores
(Exclusivo).
intranet
IPs, SUBREDES O DOMINIOS NO
PERMITIDOSEn este campo puedes ingresar IPs (ej. 200.45.79.25
195.25.33.147), subredes (ej. 200.45.79.0/24) o dominios
(nosirve.com bloqueado.net) sin comas ni puntos, solo separados
por espacios (ej. bloqueado.net 200.45.79.80 nada.org).
¡Atención!
En el caso de los dominios el sistema
detectará su IP o sus IPs y las bloqueará a
todas.Si esas IP también alojaran
otros dominios, todos esos dominios serán
bloqueados.Los navegadores de los clientes NO
deben tener configurado el proxy del servidor (puerto 3128)
en las configuraciones avanzadas de red (para evitar que
salteen este bloqueo). El proxy del servidor, de todos modos,
seguirá siendo intermediario de todas las
páginas web (http) requeridas por los clientes. Si en
el navegador del cliente estuviera configurado el proxy y
hubiera restricciones aplicadas en su red, no podrán
navegar.
2.2 Grupos
Acá se definen todas las
políticas y la estrategia en
cuanto a distribución de ancho de banda. Cada usuario debe
pertenecer a un grupo, lo cual define el ancho de banda del cual
dispone. Sin embargo, pueden definirse varios grupos con los
mismos anchos de banda por una cuestión organizativa, para
variar un sólo parámetro como la subida, etc., o
puede crearse un grupo para un sólo usuario que necesita
velocidades o límites especiales (ver página de
Ejemplos Prácticos en este manual).
Pestaña Básico
DescripciónUn nombre
orientativo. Ej.: Clientes 64K, Empresas 128K,
Rectorado, Usuarios Comunes, etc.Interfaz al servidor
Aquí debe seleccionarse la red(previamente cargada en el
sistema) por la cual los miembros del grupo se conectan al
servidor. Es muy importante ya que todos los usuarios que
pertenezcan a este grupo deberán tener IPs compatibles con
la red seleccionada.Si el módulo de balanceo de
conexiones y multiruteo está habilitado y tenemos
varias conexiones a internet configuradas en la página
Redes, debemos elegir además la interfaz a
internet del grupo. Podemos determinar que este grupo (o sea,
los usuarios que pertenezcan al grupo) se conecten a internet por
una red en particular o por Balanceo (en forma
distribuida/balanceada por todas las redes externas). Tener en
cuenta que si elegimos una red en vez de balanceo, para estos
usuarios no habrá proxy caché (el proxy enmascara
las conexiones por lo cual debe pasarse por alto para hacer un
ruteo selectivo).Ancho de banda asignado de subidaLa
velocidad a la cual cada usuario del grupo podrá subir
información. Ancho de banda asignado de bajadaLa
velocidad a la cual cada usuario del grupo podrá bajar
información de internet.
Opciones
Avanzadas
Máximo ancho de banda permitido a
todos los usuarios del grupo en conjuntoEste
parámetro, a diferencia de los anteriores, afecta al
conjunto de usuarios que pertenezcan a este grupo. Nunca debe ser
menor que los anchos de banda de subida o de bajada por usuario
ni mayor a la velocidad del enlace a internet al cual
pertenece.Supongamos que aquí establecemos 512kbps. Por
más que el ancho de banda de bajada establecido
anteriormente sea, por ejemplo, de 128k, cuando se conecten 10
usuarios no dispondrán de 1280k en total sino de 512k que
dividirán entre 10. Este parámetro puede utilizarse
en grupos con usuarios que realizan muchas descargas o p2p; se
les asigna, por ejemplo, un ancho de banda de bajada de 128k pero
se restringe para que entre todos los usuarios no consuman
más de 380.También sirve para crear un grupo que
contenga las máquinas
de un laboratorio o
cyber en forma individual (por lo tanto el cyber no utiliza
router sino switch, cada
máquina se carga como un usuario en el sistema). Si el
cyber tuviera contratado 512, se configura 512 de ancho de
banda de bajada y 512 de máximo. De este
modo, cada máquina puede llegar a los 512 pero si
hay varias conectadas deben repartirse los mismos 512.Por otra
parte, ten en cuenta que si a cada usuario le dieras, por
ejemplo, 50 de subida y 100 de bajada y luego determinas 500 como
maximo para todos el grupo, la bajada máxima en conjunto
será 500 y la súbida máxima será 250
(la misma proporción que hay entre bajada y subida
individual).
¡Atención!En |
ActivoTenemos 3 opciones en este
campo:ACTIVO – el grupo se encuentra activo, sus valores de ancho
de banda se toman en cuenta en las fórmulas de
aplicación de los controles y a los usuarios que
pertenezcan se los habilita y asigna la velocidad
correspondienteSin Control de Ancho de Banda – el grupo se
encuentra activo, los usuarios que pertenezcan al mismo son
habilitados pero NO tienen control de ancho de banda, solamente
se les pone un límite para que no sobrepasen el
máximo asignado a las redes. Esta opción es ideal
para definir grupos que:
utilizarán únicamente los
administradores del servidor con ancho de banda libre, los
cuales se espera utilicen poco el enlace, sólo para
tareas administrativas; NO ES RECOMENDABLE HABILITAR
USUARIOS SIN CONTROL DE ANCHO DE BANDA que utilicen
internet en forma frecuentedefinir los AP u otros equipos que no
navegan pero a los cuales queremos tener acceso
Ejemplo: si los usuarios tienen IPs
dentro de las subredes 10.42.0.0/16, a los AP les
podemos configurar IPs de la familia 10.2.2.0/24. Luego,
en el ABC: a) creamos una red interna con IP 10.2.2.1,
máscara 255.255.255.0; b) definimos un grupo
conectado a esta red, sin control de ancho de banda; c) definimos
los "usuarios" que serán los AP con su correspondiente MAC
e IP. De este modo, desde cualquier equipo conectado al servidor,
aunque no pertenezca a la red de los AP, podremos acceder a los
mismos.
Inactivo- el grupo esta inactivo, los
usuarios que pertenezcan al mismo no son habilitados
Pestaña Avanzado
Ver Grupos (avanzado)
Pestaña Informes
El listado que figura en esta página
nos presenta los grupos cargados en el sistema incluyendo sus
datos principales, cantidad de usuarios asignados al grupo
(conexiones), si tiene limitación de horarios
(Lim.Hs.) y estado del
mismo (vacío es activo, inactivo, activo sin control de ancho de banda). Haciendo
clic sobre los datos de un grupo se abre la pestaña
Básico lo cual nos permite editar los datos
principales del mismo.
2.3 Grupos (avanzado)
Pestaña Avanzado
Una vez establecidos el ancho de banda de
bajada y subida en la pestaña Principal de la
página Grupos, disponemos de otras opciones de
regulación del ancho de banda del grupo (lo cual implica
regular a cada usuario que pertenezca al grupo, por
supuesto).
Modelos de configuraciónEste
campo implementa diferentes ejemplos de cómo combinar los
parámetros de configuración avanzada siguientes
(Ancho de banda para transferencias P2P, Restricciones
anti-P2P, Identificación de tráfico). O sea
que en si mismo no representa un valor de
configuración sino que simplemente aplica distintos
modelos de
configuración para los parámetros siguientes. Luego
de aplicar cualquiera de estos módelos, igualmente pueden
cambiarse esos valores. Estos modelos son solo una
sugerencia.
Libre con P2P identificable al
50%: conexión sin restricciones; las
transferencias que puedan ser detectadas como p2p
tendrán la mitad de ancho de banda que las
demás transferenciasP2P lento: las transferencias
detectadas como p2p tendrán un tercio de la velocidad
de las demás transferencias (30%) y además se
aplicarán algunas restricciones para frenar la
invasión de transferencias de los programas p2p. No
evita totalmente que estos descarguen datos pero sí
evita saturaciones y excesos de consumo.P2P lento más
restrictivo: igual que el anterior pero con mayores
restricciones anti-P2P que los frenan mucho
más.P2P bloqueado: igual que el
anterior pero con el ancho de banda para las transferencias
p2p configurado en 1, lo cual implica bloqueo total de las
transferencias p2p identificablesTodo lento menos protocolos
conocidos: este modelo utiliza la
Identificación de tráfico paranoica y
todo lo que no sea detectado como un protocolo conocido (por
ej. páginas web, messenger, voip hasta donde sea
posible) es catalogado como p2p y se le aplica un tercio del
ancho de banda asignado en la pestaña
principalTodo bloqueado menos protocolos
conocidos: igual que el anterior pero todo lo que no sea
identificado como protocolo permitido es bloqueado. La
desventaja de estos últimos dos modelos basados en la
"identificación paranoica" es que algunos
programas voip, messenger, ftp no actúan de forma
previsible y también pueden ser bloqueados o
disminuidos en su velocidad.
La principal dificultad de todos los
|
Ancho de banda para transferencias
P2P
Este parámetro aplica un menor ancho
de banda a las transferencias que hayan sido identificadas como
p2p. Aquí determinamos el ancho de banda que se le
aplicará a las transferencias p2p detectadas, expresado en
porcentajes respecto a al ancho de banda normal del grupo
(determinado en la pestaña Principal de la página
Grupos).
Ejemplo: si en este campo asignamos un
50% en la bajada, en un grupo con ancho de banda de bajada de 128
los p2p detectados tendrán una velocidad de 64, mientras
que en un grupo con 512 de bajada los p2p tendrían
256.
Si este porcentaje se configura en 1 el
servidor bloqueará todo lo que identifique como p2p en
lugar de asignarle el 1%.
Restricciones anti-P2P
En los grupos cuyos usuarios utilicen con
frecuencia los programas p2p o similares, estas restricciones nos
ayudarán a frenar o bloquear dichas transferencias.
Recordemos que, en general, no es posible identificar
perfectamente cuándo una transferencia es p2p, por eso
muchas de ellas aparecerán en la categoría
n en el UserTraf: el monitor de consumo por
usuario. Sin embargo, SislandServer combina filtros de
identificación con otros recursos y logra
un control bastante completo aún de los programas p2p
más rebeldes como el Ares. Estas combinaciones de filtros
y restricciones se han englobado en las siguientes
opciones:
Ninguna Sin
restricciones. Navegación y transferencias libres. Lo
que el servidor pueda identificar como p2p dispondrá
del ancho de banda indicado en el campo Ancho de banda
para transferencias P2P de esta misma página pero
no realizará control sobre la invasión de
transferencias.SuaveRechaza paquetes
fragmentados los cuales suelen ser utilizados por programas
p2p.VENTAJAS: menor tráfico y cantidad de
transferencias (menor saturación del enlace) pero los
programas p2p trabajan a una velocidad normal.
PRECAUCIONES: esta restricción no parece
perjudicar a ningún otro programa; podría
aplicarse en forma predeterminada en todos los
grupos.MedianaBloquea los
paquetes fragmentados y también los paquetes
pequeños los cuales suelen ser utilizadas por
programas p2p. Por supuesto no bloquea los paquetes
pequeños que hacen resolución de nombres (DNS,
indispensable para la navegación) ni el DHCP,
utilizado por algunos usuarios. VENTAJAS: Menor
tráfico y cantidad de transferencias. Los programas
p2p se ven parcialmente bloqueados. Las búsquedas de
los p2p se hacen lentas y hasta son anuladas; además
les cuesta más encontrar los "peer" desde los cuales
bajar archivosPRECAUCIONES: esta restricción
puede perjudicar a programas de VOIP. El servidor aplica
filtros que intentan identificar y dar paso libre a las
transferencias VOIP. Sin embargo estos filtros no son
infalibles dado que algunos programas VOIP (como el Skype)
trabajan de modo similar a los programas p2p. Si se
aplica esta restricción conviene que cada usuario
configure su Skype en el puerto 41008 para las
conexiones entrantes en las opciones del Skype; dicho puerto
no es afectado por las restricciones.MayorSuma las
restricciones suave más la mediana y además
agrega un límite a las conexiones nuevas por minuto
(para cada usuario, no por grupo). Puede utilizarse el valor
predeterminado de 5 para dicho límite o establecer un
valor más alto si observamos que la restricción
perjudica a programas que los usuarios utilizan
frecuentemente. El límite a las conexiones nuevas no
afecta a las páginas web. El servidor intenta
identificar y dar paso libre a los programas VOIP y a los
messenger pero no siempre estos filtros lo logran dado que
dichos programas cambian su "modo de trabajo" frecuentemente.
Conviene también que cada usuario configure su
Skype en el puerto 41008 si se aplica esta
restricción. VENTAJA: los programas p2p quedan
muy bloqueados PRECAUCIONES: puede afectar a programas
VOIP, a algunos messenger y en menor medida a los clientes
ftp. Solo utilizar esta restricción en caso de que
realmente sean clientes difíciles con mucho consumo
p2p o que el enlace a internet del servidor sea débil
y nos obligue a intentar un freno general a dichos
programas.
Identificación de
tráfico
Como se mencionó anteriormente, lo
más difícil dada la gran diversidad de programas y
protocolos es
identificarlos y clasificarlos correctamente. En este campo
podemos optar entre el metodo de identificación
estándar del SislandServer (normal) el cual es
bastante eficiente a la vez que seguro
o:
Paranoico anti-P2P: En casos
extemos donde debe frenarse completamente el voip y solo
dejar los servicios básicos funcionando como web,
mail, messenger, etc., conviene utilizar este tipo de
identificación. Precaución: algunos
programas de messenger o voip podrían no ser
detectados como tales y por lo tanto recibir el ancho de
banda configurado en Ancho de banda para transferencias
P2P (o ser bloqueados si este ancho de banda está
en 1) además de ser llevados a la prioridad más
baja.
Efecto Flash en páginas
web
Este parámetro le da mayor ancho de
banda a las páginas web, permitiendo que aparezcan
más rápido que lo que el ancho de banda normal
permitiría. Por eso, si este parámetro se configura
en Normal o superior, en el monitor de consumo por
usuario UserTraf, en la categoría w, veremos picos de
mayor ancho de banda de lo asignado al usuario. El ancho de
banda que se otorga de más es descontado más
adelante, por eso hay que ser cuidadosos al utilizar esta
función. El valor Normal es el más
aconsejado. Si se utilizan valores mayores puede suceder que
cuando un usuario pasa rápidamente de una página a
la otra, la segunda página se cargue mucho más
lento. De todos modos, cada administrador debe decidir qué
valor utilizar de acuerdo a su estrategia comercial y el uso
más frecuente que le dan los usuarios al servicio. Un
valor Mayor o Máximo da un efecto de
mucha velocidad, que puede ser interesante para mejorar la
imagen del
servicio, a sabiendas de las demoras que se pueden producir al
cambiar rápidamente de una página a la otra o
visitar páginas muy "pesadas".
Restricciones Anti-SpamEsta
opción puede utilizarse en alguno o en todos los grupos
para evitar la propagación de spam desde las
máquinas de los usuarios, lo cual puede provocar que la IP
externa del servidor (si es pública) quede fichada en las
"listas negras" y otros servidores no reciban correo desde
nuestro servidor, además del intenso tráfico y
consumo de ancho de banda que genera el spam.
Mail enviados, máximo por minuto
Limitamos la cantidad de mail por minuto que pueden enviar
los usuarios desde programas como el Outlook Express,
Thunderbird o Evolution o generadores de spam, así
como la actividad de virus que también envían
mails masivamente.
Mail y RadioAnchos de banda
diferenciados para los envíos y recepción de mail y
las internet radios que puedan ser detectadas.El número
que figura tanto en la subida como en la bajada es un porcentaje.
Ejemplo: Si al grupo le hemos asignado un ancho de banda
general de bajada de 128k, un valor de 50 aquí significa
un ancho de banda de bajada de 64k para estos protocolos, un
porcentaje de 30 significan 38k de bajada, un porcentaje de 70
significan 90k, etc.Restricciones opcionales de
acceso
Horarios sin restriccionesPodemos determinar horarios en los
cuales los anchos de banda diferenciados para p2p, radio y mail
así como las restricciones para p2p no se apliquen. Sin
necesidad de reiniciar el control de ancho de banda,
automáticamente en los horarios aquí establecidos
dichos parámetros especiales no tendrán efecto. Si
se quiere utilizar esto, es muy importante ingresar correctamente
los horarios, el formato debe ser siempre hh:mm y en 24 horas.
Por ejemplo: 08:00, 12:15, 09:30, 17:20, 21:40,
etc.
| Más |
| |||||||||||||||
| Libre de restricciones de 1 de la | de hasta | |||||||||||||||
| Libre de restricciones de 5 de la | de hasta | |||||||||||||||
| Libre de restricciones desde el | de hasta | |||||||||||||||
| Libre todo el día (por ejemplo | de hasta | |||||||||||||||
| ¡Atención! Los que | ||||||||||||||||
| Libre de restricciones desde las 10 | de hasta | |||||||||||||||
| Libre de restricciones desde las 8 de | de hasta | |||||||||||||||
|
|
|
Apertura por horariosTodos los
días a toda hora (funcionamiento habitual del
sistema)Selección de horarios de accesoHay 7 "sets" de
horarios permitidos para que el administrador del servidor pueda
realizar una tabla de horarios permitidos completa.
Horarios permitidos 1
Los días LUN MAR MIE JUE VIE SAB DOM
desde las hs. hasta las hs.
Al marcar el checkbox de Horarios
Permitidos se activan los demás campos. Debe haber al
menos un día de la semana seleccionado. Las horas deben
tener el formato hh:mm (Ej. 08:00, 23:15, 17:05, etc.). A
diferencia de el parámetro anterior (Horarios sin
restricciones), aquí el horario desde
siempre debe ser menor que el horario hasta.
Ejemplos:
Internet habilitado solo en horas de
oficina
Horarios permitidos 1
Los días LUN MAR MIE JUE VIE SAB DOM
desde las hs. hasta las hs.
Internet habilitado desde las 8 de la
noche hasta las 8 de la mañana de lunes a viernes y el
fin de semana todo el díaHo rarios permitidos
1
Los días LUN MAR MIE JUE VIE SAB DOM
desde las hs. hasta las hs.
Horarios permitidos 2
Los días LUN MAR MIE JUE VIE SAB DOM
desde las hs. hasta las hs.
Horarios permitidos 3
Los días LUN MAR MIE JUE VIE SAB DOM
desde las hs. hasta las hs.
Internet habilitado en dos periodos a
la mañana y a la tarde de lunes a viernes y el
sábado por la mañanaHo rarios permitidos
1
Los días LUN MAR MIE JUE VIE SAB DOM
desde las hs. hasta las hs.
Horarios permitidos 2
Los días LUN MAR MIE JUE VIE SAB DOM
desde las hs. hasta las hs.
Horarios permitidos 3
Los días LUN MAR MIE JUE VIE SAB DOM
desde las hs. hasta las hs.
Bloqueo por
protocolos
Es una nueva prestación aún
en desarrollo que
nos permite bloquearle servicios
determinados a todos los usuarios del grupo. En caso que
necesitamos bloqueárselos a un sólo usuario,
deberíamos crear un grupo exclusivo para ese usuario, con
las mismas configuraciones del grupo al cual pertenecía y
agregándole los bloqueos que necesitemos.
Al utilizar el bloqueo de protocolos
debe tenerse en cuenta lo siguiente:
Para seleccionar varios protocolos se
debe mantener la tecla Control
pulsada al hacer clic.Si se hace clic en un protocolo sin
pulsar Control queda seleccionado
únicamente ese protocolo (se pierden las
selecciones anteriores, si hubiera).Para que ningún protocolo quede
seleccionado (eliminar bloqueos) debe hacerse clic sobre un
protocolo cualquiera y luego volver a hacer clic en el
mismo con la tecla Control
pulsada.Los Combos incluyen,
además de otros mecanismos de bloqueo, algunos de los
protocolos que se listan más abajo con el
título Filtros Layer 7No hay garantía de que los
protocolos queden bloqueados completamente. Algunos como
Skype no son efectivos dado que dicho programa cambia
dinámicamente su comportamiento. Otros como los combos
Mail y Messenger y protocolos como ftp,
http, Samba, SSH, etc., funcionan muy bien.Algunos (pocos) protocolos al ser
bloqueados pueden perjudicar otro tipo de transferencias.
Skype to phone -por ejemplo- puede llegar a bloquear
transferencias ftp y web.Protocolos como Ares no son
totalmente eficaces. Es más seguro bloquear con las
funciones que se encuentran más arriba en esta misma
página (Modelos de configuración). Sin
embargo, los bloqueos de p2p por protocolo pueden servir si
queremos bloquear solamente algunos de ellos. Por ejemplo,
bloquear edonkey y Bittorrent dejando los demás libres
o bien restringidos por los Modelos de
configuración mencionados.
2.4 Grupos (diferenciado)
SislandServer te provee un conjunto
de herramientas
para que puedas realizar un control bastante completo sobre los
sitios web y protocolos que tus usuarios pueden utilizar. Por
supuesto, lo que configuras en esta página se aplica a
todos los usuarios que pertenecen al grupo.A través de un
formulario visual que engloba y simplifica diversas funciones
habitualmente muy complejas, puedes configurar los sitios a los
que pueden (o no) acceder los usuarios de cada grupo y qué
tipos de transferencia pueden realizar (o sea, qué
protocolos pueden utilizar).SislandServer pone en tus
manos la herramienta y te explica cómo utilizarla, pero es
tu habilidad para manejarla adecuadamente lo que la hará
valiosa. Los programas que operan con internet (messengers, p2p,
ftp, juegos,
páginas web) son cada vez más complejos y adoptando
modos de funcionamiento variables, por
lo cual no siempre lograrás bloquearlos o permitirlos al
100%. En algunos casos es fácil bloquearlos y
difícil autorizarlos, en otros casos es fácil
dejarlos pasar y difícil bloquearlos. Esto depende de
condiciones en internet que están más allá
de nuestro control, pero con buenas herramientas es mucho lo que
puedes lograr. Al final del instructivo damos algunos
ejemplos.
El formulario visual de control
diferenciado
todos los sitios configuración por
defecto
Lo que apliques en esta sección se
aplicará a todas las transferencias del grupo, sin
importar a donde estén dirigidas. Tienes la opción
de autorizar/denegar por grupo de protocolos (por ej. Web, Mail,
Mensajeros) o por protocolo individual, haciendo clic en el
botón Otros y seleccionando protocolos
individuales en el subformulario que aparece. Verás que al
hacer clic (o doble clic en algunos casos) en un grupo o
protocolo individual, su ícono correspondiente va pasando
por distintos estados:
Una cruz roja significa que lo has
bloqueado explícitamente.Una cruz color café significa
que el protocolo o grupo está bloqueado porque un
grupo superior que lo contiene lo está.Una flecha verde significa que el grupo
o protocolo está permitido.Una flecha verde con una línea
vertical a la izquierda significa que, a pesar de que un
grupo que lo contiene está bloqueado, ese grupo o
protocolo ha sido permitido explicitamente.
Por supuesto, al hacer clic en un grupo
pueden cambiar los estados de otros grupos o protocolos si hay
relación entre ellos. Abriendo el subformulario
Otros podrás ver qué protocolos
están incluidos en cada grupo así como los
protocolo que no están englobados en ningún grupo y
sobre los cuales quizá necesites operar (por ejemplo el
protocolo dns).
Excepciones restricciones por host (dominio, ip,
subred)
En esta sección puedes definir
conjuntos de
hosts a los cuales puedes bloquear totalmente o permitir/bloquear
sólo algunos protocolos (tipos de transferencia) dirigidos
a estos hosts.Los hosts los puedes indicar por el dominio, la IP
o una subred. Ej: google.com, www.dominio.net, 200.45.33.215,
200.43.0.0/16, 190.15.12.0/24, etc. Haciendo clic en
agregar se abre un campo de texto en el
cual escribes todos los hosts a los cuales les darás un
mismo tratamiento (ej. bloquear completamente o bloquear solo
web), separados por espacio y aceptando con
enter; no utilices comas, puntos, comillas ni otro
símbolo al separar. Puedes agregar o quitar hosts
más adelante haciendo clic en el texto,
modificándolo y oprimiendo enter para guardar los
cambios. Puedes eliminarlos haciendo clic en la pequeña
cruz roja a la derecha.Debes tener buen conocimiento
de lo que quieres bloquear, ya que el comportamiento de los
diferentes sitios de internet varía mucho de uno a otro,
como veremos más adelante. En algunos casos deberás
investigar bastante para lograr un buen bloqueo.
¡Importante! A tener en
cuenta cuando se utilizan dominios Los
dominios se traducen a IPs
Como esta herramienta opera en una capa de
red profunda, cuando indicas un dominio el servidor lo traduce
por la IP o las IP que apuntan a ese dominio. Pueden darse
los sig. casos, lo cual no depende del servidor, sino de
cómo alojan sus dominios los titulares de los
mismos:
un dominio asociado a varias IP por ej.
las IP 209.85.171.100, 72.14.205.100 y
74.125.45.100 pertenecen al dominio
google.comun dominio asociado a una sóla
IPpor ej. msn.es está asociado a la
213.199.165.50un dominio asociado a una IP, pero
otros dominios también están en el mismo host
(la misma IP)por ej. si deniego el acceso al dominio
sanmarcossierras.org el servidor bloqueará la
IP 75.125.162.235 pero también
bloqueará
sanmarcosalquila.com.ar, airessdigitales.com.ar
y otros que se encuentran en el mismo servidor (usan la misma
IP); esto sucede principalmente con dominios regionales
alojados en hosting comerciales y no con los sitios web
más importantes
Si indicas una IP o subred el servidor
aplicará las reglas exactamente sobre ellos. Si indicas un
dominio el sistema las traducirá por su correspondiente IP
o IPs y aplicará las reglas a dichas IP. Puedes averiguar
qué IPs le corresponden a un dominio con el comando por
consola host (ej.: host dominio.com)
Algunas
páginas web se redirigen a otras
Habitualmente, si bloqueamos un dominio se
bloquean todos sus subdominios relacionados. Por ejemplo,
bloqueando dominio.com también pueden quedar
bloqueados www.dominio.com, mail.dominio.com, ventas.dominio.com, etc Sin embargo, en los
sitios más grandes sucede lo contrario. Por ejemplo, si
bloqueamos, por ejemplo, google.com, eso no impide que
los usuarios accedan a www.google.com, google.es,
mail.google.com, etc., porque ellos utilizan distintas IP
para cada subdominio. En este caso necesitaríamos bloquear
explícitamente cada subdominio y dominio
regional.
Hay casos en que unos sitios redirigen a
otros. Si vivo en Brasil y quiero
entrar en www.google.com el mismo sitio me dirige a
www.google.com.br por lo cual no podré acceder al
primero si tengo bloqueado el segundo. Hotmail.com, por
ejemplo, redirige a login.live.com. Todo esto debe
tenerse en cuenta al hacer bloqueos o autorizaciones.
2.5 Usuarios
Cada cuenta de usuario debe ser definida en
esta página. Debe existir el grupo al cual va a
pertenecer. Los únicos datos obligatorios son: Login
(nombre de usuario) y Grupo de Conexión. La
contraseña es necesaria en los usuarios a los cuales luego
se le definirán accesos al servicio por login.
Login (nombre de usuario)
Sirve para identificar rápidamente
al usuario en los listados y cuadros de selección y para
utenticarse en el servidor si el usuario está configurado
para entrar por login. Puede ser una abreviatura del nombre y
apellido (Ej.: jperez, jlrodriguez)
Grupo de Conexión
El grupo al que pertenezca el usuario
determina su ancho de banda disponible.
Contraseña
Necesaria solamente si esta cuenta de
usuario tendrá algún acceso por login.
¡Atención! Si se cambia la contraseña
de un usuario con autenticación por login NO es necesario
reiniciar el control de ancho de banda para que la nueva
contraseña tenga efecto (cuando el usuario deba loguearse
nuevamente el servidor le pedirá la nueva
contraseña).
Condición del UsuarioDebe
estar marcada para que el usuario tenga acceso.
Los demás datos son opcionales y
ayudan a la administración.
Pestaña
Accesos
Para que un usuario pueda utiizar el
servicio, debe tener algún tipo de acceso configurado, lo
cual realizas en está pestaña.
Observando con atención las opciones
para crear accesos, verás que es muy claro y que las
opciones avanzadas tienen ayuda contextual en el mismo
formulario.
Sin embargo, es conveniente que conozcas en
profundidad todas las posibilidades que te ofrece la
combinación de diversos tipos de acceso en la
página 2.6 Usuarios :: Accesos.
Pestaña
Informes
El listado que figura en esta página
nos presenta los usuarios cargados en el sistema con sus
correspondientes accesos.En la barra de herramientas
también podemos elegir que el listado solamente nos
presente los usuarios de un determinado grupo o todos y/o que
muestre únicamente los usuarios habilitados, inhabilitados
o todos. Al seleccionar opciones en la barra de herramientas es
necesario hacer clic en el botón OK para
activarlas.Pestaña
Registro
Es útil para controlar a los
usuarios que tiene autenticación por LOGIN. Aquí
puedes visualizar las mac desde las cuales se ha conectado cada
usuario. La idea es controlar que los usuarios no estén
"prestando" sus datos de logueo, lo cual es sospechable si accede
frecuentemente desde distintas MAC.
2.6 Usuarios :: Accesos
Al separar la configuración de
| |||||||||||||||||||
Opciones de configuración Si marcas
Desde el equipo con la
Desde hasta Marcando esta |
| Ejemplos y usos NUEVO CLIENTE FIJO, MUY NUEVO CLIENTE FIJO, con datos del |
Página anterior | Volver al principio del trabajo | Página siguiente |