Sistema base

Nota

È disponibile il nuovo Server Manager basato su Cockpit. Vedi Sistema base (nuovo).

Questo capitolo descrive tutti i moduli disponibili al termine dell’installazione. Tutti i moduli al di fuori di questa sezione possono essere installati dalla pagina del Software center.

Dashboard

La pagina mostrata di default dopo il login è la Dashboard; qui viene visualizzato un riepilogo dello stato del sistema e delle sue impostazioni.

Analizzatore disco

Questo strumento è usato per visualizzare l”utilizzo del disco in un semplice grafico in cui è possibile interagire con click e doppio click per navigare nelle cartelle.

Dopo l’installazione andare nella pagina Dashboard e poi nella scheda Utilizzo disco, quindi cliccare su Aggiorna per indicizzare la directory root e mostrare il grafico. Questo processo può durare diversi minuti in base allo spazio occupato su disco.

Alcune cartelle note sono:

  • Cartelle condivise: /var/lib/nethserver/ibay
  • Home degli utenti: /var/lib/nethserver/home
  • Mail: /var/lib/nethserver/vmail
  • Fax: /var/lib/nethserver/fax
  • Database MySQL: /var/lib/mysql

Rete

La pagina Rete consente di stabilire in quale modo il server è collegato alla rete locale (LAN) oppure alle reti pubbliche (Internet).

Se il server svolge la funzionalità di firewall e gateway, sarà in grado di gestire reti aggiuntive con funzionalità speciali come DMZ (DeMilitarized Zone) o rete ospiti.

NethServer supporta un numero illimitato di schede di rete. Le reti gestite devono sottostare alle regole seguenti:

  • le reti devono essere fisicamente separate (non possono essere collegate allo stesso switch/hub)
  • le reti devono essere logicamente separate (essere configurate su sotto-reti differenti)
  • le reti private (es. LAN) devono rispettare le regole per gli indirizzi specificate nel documento RFC1918. Vedi Numerazione delle reti private (RFC1918)

Ogni interfaccia di rete ha un ruolo specifico che ne determina l’utilizzo e il comportamento. I ruoli sono indicati tramite colori. Ogni colore indica la zona di appartenenza della scheda di rete e le regole ad essa applicate:

  • green: rete locale. I computer su questa rete possono accedere a qualsiasi altra rete configurata sul server
  • blue: rete ospiti. I computer su questa rete possono accedere alle reti orange e red, ma non possono accedere alla zona green
  • orange: rete DMZ. I computer su questa rete possono accedere alle reti red, ma non possono accedere alle zone blue e green
  • red: rete pubblica. I computer in questa rete possono accedere solo al server stesso

Si veda Policy per maggiori informazioni sull’uso dei ruoli nelle regole del firewall.

Nota

Il server deve avere almeno un’interfaccia di rete. Quando il server ha una sola scheda di rete, tale scheda deve avere il ruolo green.

In caso di installazione su VPS (Virtual Private Server) pubblico, il server deve essere configurato con una schede di rete green. Si consiglia quindi di chiudere le porte dei servizi critici usando il pannello Servizi di rete.

Alias IP

Per assegnare più indirizzi IP alla stessa scheda è possibile utilizzare gli alias IP.

In tal modo è possibile ad esempio associare alla stessa red più indirizzi IP della stessa classe e gestirli in modo indipendente (ad esempio con dei port forward che discriminano in base allo specifico IP di destinazione).

L’alias è configurabile cliccando nel menu a tendina della specifica scheda di rete e avrà lo stesso ruolo della scheda fisica associata.

Nota

L’alias IP su interfaccia PPPoE in alcuni casi potrebbe non funzionare correttamente a causa di differenze nella fornitura del servizio tra i vari provider internet.

Interfacce logiche

Nella pagina Network premere il pulsante Nuova interfaccia per creare una interfaccia logica. I tipi di interfacce logiche supportate sono:

  • bond: combina due o più interfacce, garantisce bilanciamento del traffico e tolleranza ai guasti
  • bridge: collega due reti distinte, è spesso utilizzata per le VPN in bridge e le macchine virtuali
  • VLAN (Virtual Local Area Network): crea due o più reti fisicamente separate usando una singola interfaccia fisica
  • PPPoE (Point-to-Point Protocol over Ethernet): collegamento a Internet attraverso un modem DSL

I bond consentono di aggregare banda o tollerare guasti. I bond posso essere configurati in varie modalità.

Modalità che supportano aggregazione di banda e tolleranza ai guasti:

  • Balance Round Robin (raccomandato)
  • Balance XOR
  • 802.3ad (LACP): richiede il supporto nel driver della scheda di rete ed uno switch in cui sia abilitata la modalità IEEE 802.3ad Dynamic link
  • Balance TLB: richiede il supporto nel driver della scheda di rete
  • Balance ALB

Modalità che supportano solo tolleranza ai guasti:

  • Active backup (raccomandato)
  • Broadcast policy

I bridge hanno la funzione di collegare segmenti di rete differenti, per esempio consentendo ai client collegati in VPN o macchine virtuali di accedere alla rete locale (green).

Quando non è possibile separare fisicamente due reti diverse, è possibile utilizzare le VLAN con tag. Il traffico delle due reti può essere trasmesso sullo stesso cavo ma sarà trattato come se fosse inviato e ricevuto da due schede separate. L’utilizzo delle VLAN necessita di switch adeguatamente configurati.

Avvertimento

All’interfaccia logica PPPoE deve essere assegnato il ruolo di red, quindi richiede la funzionalità di gateway. Vedi Firewall e gateway per i dettagli.

Numerazione delle reti private (RFC1918)

Per reti private TCP/IP indirettamente connesse a Internet dovrebbero utilizzare indirizzi speciali selezionati dall’Internet Assigned Numbers Authority (IANA)

ID rete privata Subnet mask Intervallo di indirizzi IP
10.0.0.0 255.0.0.0 10.0.0.1 - 10.255.255.254
172.16.0.0 255.240.0.0 172.16.0.1 - 172.31.255.254
192.168.0.0 255.255.0.0 192.168.0.1 - 192.168.255.254

Servizi di rete

Un servizio di rete è un servizio che viene eseguito sul firewall stesso.

Ogni servizio ha una lista di porte «aperte» su cui risponde alle connessioni. Le connessioni possono essere accettate da zone selezionate. Un controllo più fine sull’accesso ai servizi di rete può essere configurato utilizzando le regole del firewall.

Reti fidate

Le reti fidate sono reti speciali (locali, VPN o remote) a cui è garantito l’accesso a servizi speciali del server.

Ad esempio, i computer sulle reti fidate possono accedere a:

  • Server Manager
  • Cartelle condivise (SAMBA)

Se la rete remota è raggiungibile attraverso un router, ricordarsi di creare la rotta statica corrispondente nel pannello Rotte statiche.

Rotte statiche

Il pannello consente di specificare instradamenti particolari (rotte statiche) che non facciano uso del default gateway (ad esempio per raggiungere reti private collegate tramite linee dedicate o simili).

Ricordarsi di aggiungere la rete a Reti fidate, se si desidera consentire agli host remoti di accedere ai servizi locali.

Indirizzo dell’organizzazione

I campi della pagina Indirizzo dell’organizzazione sono utilizzati come valori di default nella creazione degli utenti. Inoltre il nome dell’organizzazione e l’indirizzo sono mostrati nella pagina di login del vecchio Server Manager.

Certificato del server

La pagina Certificato del server mostra i certificati X.509 attualmente installati e il certificato di default fornito dal sistema per cifrare le comunicazioni TLS/SSL.

NethServer controlla la validità del certificato e invia una email all’utente root se il certificato sta per scadere.

Il pulsante Imposta default consente di scegliere il certificato di default. Quando viene scelto un nuovo certificato, tutti i servizi che utilizzano TLS/SSL vengono riavviati e i client di rete devono accettare il nuovo certificato.

Quando NethServer è installato viene automaticamente generato un certificato RSA auto-firmato. Dovrebbe essere modificato inserendo dei valori appropriati prima di utilizzarlo dai client di rete. Quando il certificato auto-firmato sta per scadere ne viene creato automaticamente uno nuovo con la stessa chiave RSA e gli stessi attributi.

La pagina Certificato del server permette anche di:

  • caricare un certificato esistente e la chiave privata RSA/ECC. In aggiunta può essere specificato anche un chain file. Tutti i file devono essere codificati nel formato PEM.

  • richiedere un nuovo certificato di Let’s Encrypt [1]. Questo è possibile se sono rispettati i seguenti requisiti:

    1. il server deve essere raggiungibile dall’esterno alla porta 80. Assicurarsi che la porta 80 è aperta alle connessioni da Internet (si può effettuare un test da siti come [2]);

    2. i domini che si vogliono associare al certificato devono essere domini pubblici, associati all’indirizzo IP pubblico del server. Assicurarsi di avere un nome registrato nel DNS pubblico che punta correttamente al proprio server (si può effettuare un test da siti come [3]).

      I certificati wildcard (es. *.nethserver.org) non sono supportati.

    Il campo Invia notifiche a verrà usato da Let’s Encrypt per inviare notifiche sul certificato.

    Il certificato Let’s Encrypt viene automaticamente rinnovato 30 giorni prima della scadenza.

Nota

Per evitare problemi di importazione certificato con Internet Explorer, si consiglia di configurare il campo CN (Common Name) o Nome Comune in modo che corrisponda al FQDN del server.

[1]Sito web di Let’s Encrypt https://letsencrypt.org/
[2]Sito web http://www.canyouseeme.org/
[3]Sito web http://viewdns.info/

Disattivare Let’s Encrypt

Il certificato Let’s Encrypt può essere disabilitato seguendo questi passi:

  1. Accedere alla pagina Server certificate, impostare come predefinito il certificato autofirmato o uno caricato

  2. Aprire la shell ed eseguire i seguenti comandi:

    rm -rf /etc/letsencrypt/*
    config setprop pki LetsEncryptDomains ''
    

Arresto

La macchina su cui è installato NethServer può essere riavviata o spenta dalla pagina Arresto. Selezionare l’opzione Riavvia oppure Spegni e fare click su Arresta il sistema.

Al fine di evitare danni al sistema, utilizzare sempre questo modulo per effettuare una corretta procedura di riavvio o spegnimento del server.

Visualizza Log

Tutti i servizi registrano le operazioni svolte all’interno di file detti log. L’analisi dei log è lo strumento principale per individuare malfunzionamenti e problemi. Per visualizzare i file di log fare clic su Visualizza Log.

Questo modulo consente di:

  • effettuare ricerche all’interno di tutti i log del server
  • visualizzare un singolo log
  • seguire in tempo reale il contenuto di un log

Data e ora

Al termine dell’installazione, assicurarsi che il server sia configurato con il corretto fuso orario. L’orologio della macchina può essere configurato manualmente o automaticamente usando server NTP pubblici (consigliato).

La corretta configurazione dell’orologio è importante per il funzionamento di molti protocolli. Per evitare problemi, tutti gli host della LAN possono essere configurati per usare il server stesso come server NTP.

Aiuto in linea

Tutti i pacchetti che sono configurabili attraverso il Server Manager contengono un manuale in linea che spiega l’utilizzo base e tutti i campi contenuti nella pagina.

Il manuale in linea è consultabile in tutte le lingue in cui è tradotto il Server Manager.

Una lista di tutti i manuali installati nel sistema è disponibile all’indirizzo:

https://<server>:980/<language>/Help

Esempio

Se il server ha indirizzo 192.168.1.2 e si desidera visualizzare la lista dei manuali in italiano, usare il seguente indirizzo:

https://192.168.1.2:980/en/Help