3 Sistema‎ > ‎

3.1 Configuración Global

Esta página nos muestra información sobre el sistema y algunas opciones para configurarlo. Algunas opciones no están incluidas aquí pero están explicadas en el sistema mismo, haciendo clic en el ícono de ayuda   junto a la opción correspondiente.

Nivel de consumo de recursos del Proxy

EL proxy caché squid, encargado de almacenar las páginas web visitadas para ahorrar ancho de banda en futuras visitas y darle más velocidad al servicio de internet, es uno de los componentes del servidor que consumen más recursos, especialmente memoria RAM y disco. El sistema analiza los recursos disponibles y configura el proxy buscando un óptimo rendimiento y a la vez un consumo de recursos equilibrado. En ocasiones, sin embargo, es necesario indicarle al sistema que configure al proxy al máximo de sus posibilidades (por ejemplo cuando hay pocos usuarios y un equipo potente) o que sacrifique rendimiento en pos de la estabilidad (por ejemplo con una buena cantidad de usuarios con mucho tráfico o un equipo de poca potencia y/o cuando se utiliza VideoCaché que incrementa el consumo de RAM). Chequeando periódicamente los informes (como Información del Servidor >> Consumo de memoria/cpu y Gráficos) sabrás si hay un consumo muy alto de memoria que amerite cambiar este parámetro.

 Permisividad del filtro de contenido

Si tienes activado el filtro de contenidos (Sistema >> Control de Procesos y Conexiones >> Grupos >> Diferenciado >> Diferenciado >> Contenidos) puedes configurar aquí el nivel de 'permisividad' en cuanto a qué debe ser bloqueado y qué no. Valores orientativos: 50 para niños pequeños, 100 para niños mayores, 160 para jóvenes, etc. (o valores menores, mayores o intermedios). Afecta a todos los grupos de usuarios que tengan control de contenidos aplicado (en futuras versiones este valor se podrá modificar en forma diferenciada para cada grupo).

 No presentar página de login a usuarios no autorizados

Cuando configuramos usuarios que autentican por login el servidor siempre presentará la página de logueo a las IPs no autorizadas que intenten conectarse, dándo la oportunidad de que se comience una sesión de navegación por login. Cuando no tenemos ningún usuario que autentica por login el servidor también presentará la página de logueo lo cual sirve, por ejemplo, para mostrar un aviso de cuenta suspendida si la IP/MAC no autorizada está configurada en algún usuario pero deshabilitada; también sirve para que los usuarios no autorizados conozcan los datos de la empresa a la cual se están conectando y puedan contactarse a fin de solicitar el servicio. Si no tenemos usuarios por login y no queremos que la página de logueo aparezca a los usuarios no autorizados, debemos marcar esta casilla.

No permitir menúes abiertos (sin contraseña) 
al acceder al sistema de control en el servidor mismo

Desaparecen los menues abiertos de configuracion de red y otros de la pagina de login cuando se accede al sistema de control en el servidor mismo (no a través de la red).

 No mostrar opción de cambio de contraseña

En la página de login existe una opción que le permite cambiar su contraseña al ingresar al usuario que se loguea para utilizar el servicio o al administrador del servidor que ingresa con clave locall. Marcando esta casilla se deshabilita esta opción, entonces solo el administrador del sistema podrá cambiar la contraseña de un usuario.
Por otra parte, si deseas cambiar la contraseña del administrador con clave local, debes ingresar como administrador titular de licencia y deshabilitar esta opción aunque sea temporariamente.

 No aislar redes internas

Cuando está activo el control de acceso (ver 3.2 Control de Procesos) el servidor también implementa reglas para que las diferentes redes lan (o redes intranet) no puedan comunicarse entre sí. Marcando esta opción dichas reglas no son aplicadas. Lo habitual en un servidor o router que soporta diversas subredes internas es que comunique las diferentes subredes entre sí. Esto significa que un cliente con la IP 192.168.1.10 tendría comunicación con otro de IP 10.42.42.50 -aunque tengan subredes incompatibles- gracias al ruteo del servidor. Para evitar este comportamiento normal el servidor incluye reglas internas que aislan las redes internas. Este aislamiento puede desactivarse con esta opción.
 
Desactivar velocidad máxima para objetos cacheados

EL sistema de control está preparado para que todas las transferencias que no hayan sido bajadas de internet, que provengan del cache (almacenadas en el servidor), bajen al usuario a la velocidad de red o al ancho de banda configurado en el parámetro Ancho de banda límite para transferencias locales o del caché del grupo al cual pertenezca cada usuario. Consulta por favor la página Principal >> CacheFull en el manual al respecto. Si prefieres desactivar esta característica, de forma que toda la navegación respete la velocidad límite, priorizando al máximo el ahorro de ancho de banda antes que la experiencia de velocidad del usuario, marca esta opción.

 Verificaciones exhaustivas de conexiones a internet (módulo de balanceo y respaldo)
Cuando se utilizan varias conexiones a internet simultaneas (balanceo) y/o algunas conexiones de respaldo, el servidor verificara periodicamente la disponibilidad de las conexiones. Marcando esta opcion, dichas verificaciones se haran mas exhaustivas para evitar 'falsos negativos' (que una conexión se detecte como no disponible cuando si lo esta, pero se encontraba saturada por ejemplo). Esta opción es conveniente en enlaces satelitales o debiles, pero tiene la desventaja que hace un poco mas largo el tiempo de verificación y, por lo tanto, el tiempo en dar de baja o de alta una conexión (igualmente no pasa de 2 o 3 minutos). 

DNS secundarios
El servidor incluye un servidor DNS interno que los clientes pueden utilizar como servidor DNS en su configuración de red (o sea que utilizan la misma IP como puerta de enlace y como DNS primario, de hecho asó es como se les configura automáticamente a los clientes que se conectan por DHCP). El servidor DNS  tiene una lista interna de servidores DNS secundarios para consultar. En algunas ocasiones queremos que el DNS del servidor no consulte a esa amplia lista sino a DNS específicos (por ej., a los DNS que nos indica nuestro proveedor del enlace que suelen ser de acceso más veloz porque están más "cerca"). Esos DNS específicos se configuran aquí, una IP junto a la otra separadas por espacio únicamente.
En ocasiones, se han presentado periodos donde hay problemas en internet para acceder a algunos servidores DNS. En estos casos también puede ser útil fijar DNS en este campo. Pueden utilizarse los DNS de nuestro proveedor o DNS públicos como 208.67.222.222, 67.138.54.100, 4.2.2.1, 4.2.2.3 y otros DNS públicos. Para probar si un DNS es abierto y accesible desde el servidor podemos ejecutar, por terminal o consola virtual, un comando como dig -t ns sitaram.org @208.67.222.222 reemplazando 208.67.222.222 por la IP del DNS que queremos testear y sitaram.org por cualquier dominio existente (o utilizar este mismo).
 
Proxy externo
Si estás utilizando un proxy externo como ThunderCache aquí puedes agregar su IP y PUERTO (Ej.: 192.168.2.254:8080). Toda la navegación web será redireccionada a este proxy. El servidor monitorea cada tanto la disponibilidad del proxy externo y si no recibe respuesta, anula la redirección al mismo hasta que vuelva a detectarlo. Cuando el proxy externo está activado el proxy interno no trabaja aunque esté activado. Los usuarios con IP pública o ruteo selectivo (a menos que su grupo tenga ruteo selectivo con proxy balanceado) no pasarán por el proxy externo al igual que no lo hacen por el proxy interno. 

Sitios sin proxy
El servidor hace pasar toda la navegación http (puerto 80) por el proxy Squid que tiene instalado y preconfigurado. Esto permite "cachear" (almacenar) los contenidos y ahorrar ancho de banda cuando otro usuario requiere el mismo material. Sin embargo, algunos sitios no funcionan bien cuando pasan a través de un proxy por lo cual podemos en este campo agregar dichos sitios (por IP o por dominio) separados por espacios para que no sean redirigidos al proxy.
 Avanzadas   
Puertos liberados
Podemos especificar puertos a los cuales el servidor no les aplicará control de acceso. Es un parámetro a utilizar con cuidado ya que si se trata de clientes cuyas IP no corresponden a ningún usuario cargado en el sistema, tendrán el puerto abierto pero ningún control de ancho de banda, también estos puertos podría ser utilizados por programas p2p. Solo se recomienda en redes controladas en las cuales se desea que algunos protocolos estén liberados para toda la red.
 Consultas DNS: máximo ancho de banda de subida permitido.
Aquí opcionalmente puede limitarse el ancho de banda de subida que el servidor puede utilizar para las consultas DNS. No es necesario llenar este parámetro a no ser en enlaces con problemas de ancho de banda de subida muy limitado.
No fijar las placas de red
El sistema crea una configuración que le informa al sistema operativo cómo tiene que nombrar cada placa de red de acuerdo con su mac (por ejemplo la placa con la MAC 00:11:AA:BB:66:DD se llamará eth0) lo cual sirve para que no cambien los nombres de las placas al apagar y encender el equipo o al agregar otra placa. Sin embargo, en algunos equipos esta configuración no surte efecto lo cual se comprueba porque las placas de red cambian de nombre en cada reinicio o frecuentemente (y la configuración de red no tiene efecto). En esos casos especiales, conviene marcar esta opción.
 
Puertos adicionales de aplicaciones VOIP
En ocasiones en tu red se utilizan programas VOIP específicos que no son detectados como voip por los filtros del sistema ni operan en los puertos preconfigurados para voip. Puedes reconfigurar esos programas para que utilicen los puertos aquí indicados o puedes agregar los puertos que quieres que el servidor considere como voip y les de máxima prioridad. 
La lista solo debe contener números (los puertos) separados por comas, permitiéndose los rangos como 2000:2005 (o sea, del 2000 al 2005).
Ejemplo de lista adicional: 6987, 23658, 2568,4587,8900:8999,1254
 
 
Puertos Adicionales de aplicaciones P2P 
El sistema identifica a los programas p2p a través de filtros especiales y de puertos preconfigurados que tradicionalmente utilizan estos programas. A los puertos que el sistema de control reconoce como transferencias de programas peer to peer y a los cuales les aplica un ancho de banda diferenciado -tanto de bajada como de subida-, el administrador puede agregar una lista adicional que se aplicará en cuanto se guarde la configuración si el sistema está activado.
La lista solo debe contener números (los puertos) separados por comas, permitiéndose los rangos como 2000:2005 (o sea, del 2000 al 2005).
Ejemplo de lista adicional: 6987, 23658, 2568,4587,8900:8999,1254
¡ATENCIÓN! Pueden haber espacios pero no puede omitirse la separación con comas, incluir letras ni ningún otro símbolo. Errores en esta lista pueden resultar en que el sistema no haga el modulado diferenciado de ningún puerto p2p.
En este listado de puertos pueden incluirse puertos correspondientes a otros protocolos (no p2p) que se pretenda sean controlados con el mismo ancho de banda que los p2p.
 
 
Comandos post-control general
Este campo permite agregar comandos de Linux  a ejecutarse a continuación de cada reinicio del control general (control de ancho de banda), lo cual permite agregar reglas de control e inclusive deshacer algunas configuraciones automáticas aplicadas por el sistema de control y otras tareas avanzadas. Requiere conocimientos de la estructura interna del sistema o, al menos, de las reglas que se aplican en cada control general.

Comandos post configuración de red
Este campo permite agregar comandos de Linux a ejecutarse a continuación de cada reconfiguración de red, lo cual permite agregar configuraciones y reglas de control e inclusive deshacer algunas configuraciones automáticas realizadas por el sistema de control y otras tareas avanzadas. Requiere conocimientos de la estructura interna del sistema o, al menos, de las reglas que se aplican en cada configuración de red.


En el panel izquierdo podemos configurar datos informativos:
NOMBRE EMPRESA
Aparecerá en la página de login, o sea que será visto por los usuarios que accedan por nombre de usuario/contraseña. Se superpone al nombre de la empresa configurado en la intranet, si se hubiera hecho.

EMAIL para avisos del sistema
Es el mail al cual el servidor enviará avisos como caida y recuperación de enlaces (módulo de balanceo) y otros.

Imagen o HTML para página de login
Aparecerá en la sección derecha de la página de login cuando los usuarios sin autenticación por IP/MAC quieran conectarse. Lo mejor es subir una imagen JPG o GIF con el diseño que queramos (tamaño máximo recomendado 440px de ancho por 380px de alto). También puede ser un archivo HTML o de texto.

Imagen o HTML luego de logueo exitoso
Aparecerá ocupando toda la pantalla luego de la autenticación exitosa por login. También puede ser un archivo HTML o de texto.
 
Esta página nos muestra información sobre el sistema y algunas opciones para configurarlo.
Más opciones de configuración e información del sistema irán apareciendo en esta página en futuras versiones.

 No presentar página de login a usuarios no autorizados
Cuando configuramos usuarios que autentican por login el servidor siempre presentará la página de logueo a las IPs no autorizadas que intenten conectarse, dándo la oportunidad de que se comience una sesión de navegación por login. Cuando no tenemos ningún usuario que autentica por login el servidor también presentará la página de logueo lo cual sirve, por ejemplo, para mostrar un aviso de cuenta suspendida si la IP/MAC no autorizada está configurada en algún usuario pero deshabilitada; también sirve para que los usuarios no autorizados conozcan los datos de la empresa a la cual se están conectando y puedan contactarse a fin de solicitar el servicio. Si no tenemos usuarios por login y no queremos que la página de logueo aparezca a los usuarios no autorizados, debemos marcar esta casilla.

No aislar redes internas
Cuando está activo el control de acceso (ver 3.2 Control de Procesos) el servidor también implementa reglas para que las diferentes redes lan (o redes intranet) no puedan comunicarse entre sí. Marcando esta opción dichas reglas no son aplicadas. Lo habitual en un servidor o router que soporta diversas subredes internas es que comunique las diferentes subredes entre sí. Esto significa que un cliente con la IP 192.168.1.10 tendría comunicación con otro de IP 10.42.42.50 -aunque tengan subredes incompatibles- gracias al ruteo del servidor. Para evitar este comportamiento normal del servidor incluye reglas internas que aislan las redes internas. Este aislamiento puede desactivarse con esta opción.
 

DNS secundarios
 incluye un servidor DNS interno que los clientes pueden utilizar como servidor DNS en su configuración de red (o sea que utilizan la misma IP como puerta de enlace y como DNS primario, de hecho asó es como se les configura automáticamente a los clientes que se conectan por DHCP). El servidor DNS del servidor tiene una lista interna de servidores DNS secundarios para consultar. En algunas ocasiones queremos que el DNS del servidor no consulte a esa amplia lista sino a DNS específicos (por ej., a los DNS que nos indica nuestro proveedor del enlace que suelen ser de acceso más veloz porque están más "cerca"). Esos DNS específicos se configuran aquí, una IP junto a la otra separadas por espacio únicamente.
En ocasiones, se han presentado periodos donde hay problemas en internet para acceder a algunos servidores DNS. En estos casos también puede ser útil fijar DNS en este campo. Pueden utilizarse los DNS de nuestro proveedor o DNS públicos como 208.67.222.222, 67.138.54.100, 4.2.2.1, 4.2.2.3 y otros DNS públicos. Para probar si un DNS es abierto y accesible desde el servidor podemos ejecutar, por terminal o consola virtual, un comando como dig -t ns sitaram.org @208.67.222.222 reemplazando 208.67.222.222 por la IP del DNS que queremos testear y sitaram.org por cualquier dominio existente (o utilizar este mismo).
 
Sitios sin proxy

El servidor hace pasar toda la navegación http (puerto 80) por el proxy Squid que tiene instalado y preconfigurado. Esto permite "cachear" (almacenar) los contenidos y ahorrar ancho de banda cuando otro usuario requiere el mismo material. Sin embargo, algunos sitios no funcionan bien cuando pasan a través de un proxy por lo cual podemos en este campo agregar dichos sitios (por IP o por dominio) separados por espacios para que no sean redirigidos al proxy.
 
Avanzadas   
Puertos liberados

Podemos especificar puertos a los cuales el servidor no les aplicará control de acceso. Es un parámetro a utilizar con cuidado ya que si se trata de clientes cuyas IP no corresponden a ningún usuario cargado en el sistema, tendrán el puerto abierto pero ningún control de ancho de banda, también estos puertos podría ser utilizados por programas p2p. Solo se recomienda en redes controladas en las cuales se desea que algunos protocolos estén liberados para toda la red.
Consultas DNS: máximo ancho de banda de subida permitido.
Aquí opcionalmente puede limitarse el ancho de banda de subida que el servidor puede utilizar para las consultas DNS. No es necesario llenar este parámetro a no ser en enlaces con problemas de ancho de banda de subida muy limitado.
Duración en seg. guardián de conexiones
Si nuestra licencia incluye el módulo de balanceo de conexiones y ruteo selectivo, aparecerá esta opción que tiene sentido únicamente si efectivamente estamos utilizando el balanceo, o sea que conectamos el servidor a más de una conexión a internet. Para saber si las conexiones están funcionando adecuadamente el servidor testea las puertas de enlace o las IP de control de diferentes maneras en forma periódica . El último testeo consiste en enviarles ping en un lapso de tiempo de 5 segundos por test. Si más del 50% de los ping son respondidos considera que la conexión funciona aceptablemente; sino, la deshabilita hasta que la misma responde adecuadamente. En enlaces muy lentos, muy saturados o inestables, 5 segundos puede ser poco tiempo de prueba y producirse falsos negativos, con periódicas desactivaciones de enlace que perjudican el servicio. En conexiones con las características mencionadas o si notamos que en el registro del guardián de conexiones presenta desactivaciones muy frecuentes, puede ser conveniente aumentar este valor a 10 o más. Los tests serán más lentos pero más seguros.
No fijar las placas de red
El sistema crea una configuración que le informa al sistema operativo cómo tiene que nombrar cada placa de red de acuerdo con su mac (por ejemplo la placa con la MAC 00:11:AA:BB:66:DD se llamará eth0) lo cual sirve para que no cambien los nombres de las placas al apagar y encender el equipo o al agregar otra placa. Sin embargo, en algunos equipos esta configuración no surte efecto lo cual se comprueba porque las placas de red cambian de nombre en cada reinicio o frecuentemente (y la configuración de red no tiene efecto). En esos casos especiales, conviene marcar esta opción.

Puertos Adicionales de aplicaciones P2P 
El sistema identifica a los programas p2p a través de filtros especiales y de puertos preconfigurados que tradicionalmente utilizan estos programas. A los puertos que el sistema de control reconoce como transferencias de programas peer to peer y a los cuales les aplica un ancho de banda diferenciado -tanto de bajada como de subida-, el administrador puede agregar una lista adicional que se aplicará en cuanto se guarde la configuración si el sistema está activado.
La lista solo debe contener números (los puertos) separados por comas, permitiéndose los rangos como 2000:2005 (o sea, del 2000 al 2005).
Ejemplo de lista adicional: 6987, 23658, 2568,4587,8900:8999,1254
¡ATENCIÓN! Pueden haber espacios pero no puede omitirse la separación con comas, incluir letras ni ningún otro símbolo. Errores en esta lista pueden resultar en que el sistema no haga el modulado diferenciado de ningún puerto p2p.
En este listado de puertos pueden incluirse puertos correspondientes a otros protocolos (no p2p) que se pretenda sean controlados con el mismo ancho de banda que los p2p.
Comandos post-control general
Este campo permite agregar comandos de Linux (bash) a ejecutarse a continuación de cada reinicio del control general (control de ancho de banda), lo cual permite deshacer algunas configuraciones automáticas realizadas por el sistema de control y otras tareas avanzadas. Requiere conocimientos de la estructura interna del sistema o, al menos, de las reglas que se aplican en cada control general.

Comandos post configuración de red
Este campo permite agregar comandos de Linux (bash) a ejecutarse a continuación de cada reconfiguración de red, lo cual permite deshacer algunas configuraciones automáticas realizadas por el sistema de control y otras tareas avanzadas. Requiere conocimientos de la estructura interna del sistema o, al menos, de las reglas que se aplican en cada configuración de red.


En el panel izquierdo podemos configurar datos informativos:
NOMBRE EMPRESA
Aparecerá en la página de login, o sea que será visto por los usuarios que accedan por nombre de usuario/contraseña. Se superpone al nombre de la empresa configurado en la intranet, si se hubiera hecho.

EMAIL para avisos del sistema
Es el mail al cual el servidor enviará avisos como caida y recuperación de enlaces (módulo de balanceo) y otros.

Imagen o HTML para página de login
Aparecerá en la sección derecha de la página de login cuando los usuarios sin autenticación por IP/MAC quieran conectarse. Lo mejor es subir una imagen JPG o GIF con el diseño que queramos (tamaño máximo recomendado 440px de ancho por 380px de alto). También puede ser un archivo HTML o de texto.

Imagen o HTML luego de logueo exitoso
Aparecerá ocupando toda la pantalla luego de la autenticación exitosa por login. También puede ser un archivo HTML o de texto