Documentacion Nethserver

NethServer Documentation
Versión 7 Final
Nethesis
21 de septiembre de 2017
Índice general
1. Notas de lanzamiento 7 3
1.1. Notas de lanzamiento 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Instalación 5
2.1. Tipos de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2. Accediendo al administrador del servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3. Configuración 11
3.1. Centro de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.2. Sistema base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.3. Usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.4. DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.5. Servidor DHCP y PXE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4. Módulos 27
4.1. Copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.2. Correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.3. Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.4. WebTop 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.5. WebTop 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
4.6. POP3 proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.7. Conector POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.8. Chat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
4.9. UPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
4.10. Servidor de fax . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.11. Firewall y gateway / Cortafuego y Puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.12. Proxy web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.13. Filtro de contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
4.14. IPS (Suricata) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.15. Proxy inverso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.16. Hosts virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.17. Carpetas compartidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
4.18. Monitor de ancho de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
4.19. Estadísticas (collectd) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
4.20. VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
4.21. Nextcloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
4.22. FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
I
4.23. Phone Home . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
4.24. SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.25. FreePBX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
5. Módulos NethForge 81
5.1. WebVirtMgr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6. Mejores prácticas 83
6.1. Software de terceros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
7. Apéndice 85
7.1. Migración del servidor NethService/SME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
7.2. Actualizar desde NethServer 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
7.3. Documentación de la licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
8. Índices 95
II
NethServer Documentation, Versión 7 Final
See also
Web site
Community
Wiki
Developer manual
Índice general 1
2 Índice general
CAPÍTULO 1
Notas de lanzamiento 7
Notas de lanzamiento 7
NethServer versión 7
Esta versión se basa en CentOS 7.3: https://wiki.centos.org/Manuals/ReleaseNotes/CentOS7
Cambios relevantes desde RC4:
Instalador: nuevo método de instalación manual
Proveedores de cuentas: el grupo “administradores” ha sido sustituido por el grupo “administradores de domi-
nio” (Acceso al Administrador del servidor)
Servidor de correo: corrige la expansión del pseudónimo para grupos
Servidor de correo: habilita el buzón de correo compartido del usuario de forma predeterminada (Buzón de
correo compartido del usuario)
Servidor de correo: el seudónimo específico por dominio ahora sustituye a los genéricos
Servidor de correo: el seudónimo específico por dominio ahora sustituye a los genéricos
Filtro Web: fijar perfiles basados en grupos
Firewall: Selecciona correcciones según condiciones de tiempo
IPS: actualiza la configuración para la última liberación preferida
Actualización de RC4 a Final
Para actualizar una instalación de RC4 a Final, vaya a la página Centro de software y siga las instrucciones del
Administrador del servidor
3
Actualizando NethServer 6 a NethServer 7
Es posible actualizar completa la versión anterior de NethServer a 7, mediante una estrategia de respaldo/recuperación.
Vea Actualizar desde NethServer 6 para más detalles.
Acceso al Administrador del servidor
Si desea conceder al Administrador del servidor acceso a otros usuarios que root, agregue los usuarios al grupo de
“administradores de dominio” y ejecute:
config delete admins

/etc/e-smith/events/actions/initialize-default-databases
Buzón de correo compartido del usuario
Si desea habilitar el buzón de correo compartido de usuario, ejecute:
config setprop dovecot SharedMailboxesStatus enabled

signal-event nethserver-mail-server-update
Registro de cambios
‘Log de cambios final de la ISO<https://github.com/NethServer/dev/issues?utf8= %E2 %9C %93&q=is %3Aissue %20is %

01-17T00 %3A00 %3A00Z..2017-01-30>‘_ (de 2017-01-17 a 2017-01-30)
Registro de cambios de la liberación continua (de 2017-01-30 a 2024-06-30)
Errores conocidos
Lista de errores conocidos

Discusiones sobre posibles errores
Paquetes descontinuados
Los siguientes paquetes estaban disponibles en la versión anterior 6 y se han eliminado en 7:

nethserver-collectd-web: reemplazado por nethserver-cgp
nethserver-password: integrado en nethserver-sssd
nethserver-faxweb2: vea la discusión faxweb2 vs avantfax.
nethserver-fetchmail: reemplazado por getmail
nethserver-ocsinventory, nethserver-adagios: debido a problemas de compatibilidad con Nagios, estos módulos
se mantendrán sólo en la liberación NethServer 6
nethserver-ipsec: IPSec tunnels are now implemented in nethserver-ipsec-tunnels, L2TP function has been drop-
ped
4 Capítulo 1. Notas de lanzamiento 7

CAPÍTULO 2
Instalación
Tipos de instalación
Requerimientos mínimos
Los requisitos mínimos son:

64 bit CPU (x86_64)
1 GB de RAM
10 GB de espacio en disco
Consejo: Recomendamos utilizar al menos 2 discos para configurar un RAID 1. El software RAID garantizará la
integridad de los datos en caso de fallo del disco.
Compatibilidad de hardware
NethServer es compatible con cualquier hardware certificado por Red Hat® Enterprise Linux® (RHEL®), que apa-
rezca en hardware.redhat.com
Tipos de instalación
NethServer admite dos modos de instalación. En resumen:

Instalación desde ISO
Descargar la imagen ISO
Preparar un DVD o una memoria USB
Seguir el asistente
5
Instalación desde YUM

Instalar CentOS Minimal
Configurar la red
Instalar desde la red
Instalación desde ISO
Advertencia: ¡La instalación ISO borrará todos los datos existentes en los discos duros!
Creación de medios
Descargar el archivo ISO desde el sitio oficial www.nethserver.org. El archivo ISO descargado se puede utilizar para
crear un medio de arranque tal como DVD o memoria USB.
Memoria USB
En una máquina Linux, abra el shell y ejecute:
dd if=NethServer.iso of=/dev/sdc
Donde NethServer.iso es el nombre de archivo de la ISO descargada y /dev/sdc es el dispositivo de destino correspon-
diente a la llave USB y no a una partición (como /dev/sdc1).
En una máquina Windows, asegúrese de formatear la unidad USB y luego desmontarla. Utilice una de las siguientes
herramientas para escribir la memoria USB:
Etcher
Win32 Disk Imager
Rawrite32
dd for Windows
DVD
La creación de un DVD de arranque es diferente de escribir archivos en memoria USB, y requiere el uso de una función
dedicada (por ejemplo, escribir o quemar imagen ISO). Las instrucciones sobre cómo crear un DVD de arranque de la
ISO están fácilmente disponibles en Internet o en la documentación de su sistema operativo.
Modos de instalación
Encienda la máquina utilizando el soporte recién respaldado. Si la máquina no se inicia desde el DVD o la memoria
USB, consulte la documentación del BIOS de la placa base. Un problema típico es cómo se configura la prioridad del
dispositivo de arranque. El primer dispositivo de arranque debe ser el lector de DVD o memoria USB.
Al iniciar un menú se mostrarán diferentes tipos de instalación:
NethServer instalación interactiva
6 Capítulo 2. Instalación
Requiere sólo ajustes de teclado y zona horaria. De forma predeterminada, intenta configurar las interfaces
de red con DHCP y los dos primeros discos disponibles con RAID-1.
Otros métodos de instalación NethServer
Instalación desatendida – Se aplica un conjunto de parámetros por defecto al sistema sin intervención humana.
Instalación manual – Esto es lo contrario de desatendida. No se aplican valores predeterminados: red, almace-
namiento, zona horaria, teclado ... todos los ajustes deben proporcionarse explícitamente.
Las instalaciones estándar de CentOS
Utilice el procedimiento de instalación estándar de CentOS. A continuación, puede configurar NethServer
siguiendo la sección Instalar en CentOS.
Herramientas
Inicie el sistema en el modo rescate (recuperación), ejecute una prueba de memoria o inicie la herramienta
de detección de hardware.
Arranque desde una unidad local
Intente iniciar un sistema que ya esté instalado en el disco duro.
Al final del proceso de instalación, se le pedirá que reinicie la máquina. Asegúrese de retirar el soporte de instalación
antes de reiniciar.
Parámetros de arranque opcionales
En el menú de arranque, puede agregar parámetros adicionales pulsando TAB y editando la línea de comandos del
kernel. Esto puede ser útil en modo desatendido.
Para deshabilitar la raid, simplemente añada esta opción a la línea de comandos:
raid=none
Si necesita seleccionar los discos duros de instalación, utilice:
disks=sdx,sdy
Para activar el cifrado del sistema de archivos, utilice:
fspassword=s3cr3t
Al activar esta opción, todos los datos escritos en el disco se cifrarán mediante cifrado simétrico. En caso de robo, un
atacante no podrá leer los datos sin la clave de cifrado.
Nota: ¡Tendrá que introducir la contraseña de cifrado en cada arranque del sistema!
Otras opciones disponibles (modo desatendido solamente):

keyboard`, la disposición del teclado, por defecto es ``keyboard=us
timezone, por defecto es timezone=UTC
2.1. Tipos de instalación 7

Configuración IP de fallo
Si no se asigna ninguna dirección IP por DHCP o por otros medios, durante la primera inicialización del sistema se
aplica la siguiente configuración IP a la primera interfaz de red
IP 192.168.1.1
Máscara de red 255.255.255.0
Contraseña del administrador del sistema
Se recomienda encarecidamente elegir una contraseña segura para el usuario root. Una buena contraseña:
Tiene al menos 8 caracteres
contiene letras mayúsculas y minúsculas
contiene símbolos y números
La contraseña predeterminada en el modo desatendido es Nethesis,1234.
Idioma del sistema
The system language of NethServer installations is English (United States). Additional languages can be installed later.
See Next steps.
Modos interactivo y manual
El modo interactivo le permite realizar algunas elecciones sencillas en la configuración del sistema.
Las opciones requeridas son:
Idioma
Diseño del teclado
Contraseña de root
Todas las demás opciones se ajustan a un valor razonable de acuerdo con el hardware actual (consulte la sección Modo
desatendido para obtener detalles), pero puede editar cualquier configuración de instalación disponible.
Por otro lado, el modo manual inicia el instalador sin ninguna configuración predeterminada. También se deben
configurar las secciones de red y almacenamiento.
Advertencia: En la sección Red > General, sólo las interfaces marcadas como Conectarse automáticamente a esta
red cuando está disponible están habilitadas al arrancar en el sistema instalado. Para más información, consulte
Guía de instalación de RHEL 7.
Modo desatendido
El modo desatendido no requiere intervención humana. Después de la instalación, se reinicia el sistema y se aplica la
siguiente configuración:
Disposición del teclado: us
Zona horaria: UTC
Contraseña predeterminada de‘‘root‘‘: Nethesis,1234

DHCP habilitado en todas las interfaces de red; Si no se recibe una concesión DHCP, se aplica la opción
:ref:‘Configuración IP alternativa <fallback-ip-configuration>
Si hay dos o más discos, se creará un RAID 1 en los dos primeros discos y se crearán volúmenes LVM en él
Las particiones swap y root se asignan automáticamente; 1GB está asignado a boot
Instalar en CentOS
Es posible instalar NethServer En una nueva instalación mínima de CentOS utilizando un par de comandos para
descargar los paquetes de software adicionales. Este método de instalación está diseñado para servidores privados
virtuales (VPS) donde CentOS viene ya instalado por el proveedor de VPS.
Habilitar repositorios de software NethServer con este comando:
yum localinstall -y http://mirror.nethserver.org/nethserver/nethserver-release-7.rpm
Para instalar el sistema base, ejecute:
nethserver-install
Alternativamente, para instalar el sistema base and módulos adicionales, pase el nombre del módulo como parámetro
al script de instalación. Ejemplo:
nethserver-install nethserver-mail nethserver-nextcloud
Próximos pasos
Al final del procedimiento de instalación, acceda por el administrador del servidor a: ref:Instalar software adicional
<package_manager-section>.
Accediendo al administrador del servidor
NethServer puede ser configurado mediante la interfaz web de Server Manager. Necesitas un navegador web como
Mozilla Firefox o Google Chrome para acceder a la interfaz web mediante la dirección (URL) https://a.b.
c.d:980 o https://server_name:980 donde abcd y Server_name son respectivamente la dirección IP y el
nombre del servidor configurados durante la instalación.
Si el módulo del servidor web está instalado, también puede acceder a la interfaz web utilizando esta dirección
https://server_name/server-manager.
El Administrador del Servidor utiliza certificados SSL autofirmados. Debe aceptarlos explícitamente la primera vez
que acceda al servidor. La conexión es segura y encriptada.
Iniciar sesión
La página de inicio de sesión permite seleccionar un idioma alternativo entre los ya instalados en el sistema. Después
de iniciar sesión, vaya a la página Centro de software para instalar idiomas adicionales.
La página de inicio de sesión le dará un acceso confiable a la interfaz web. Inicie sesión como root y escriba la
contraseña elegida durante la instalación de NethServer.
2.2. Accediendo al administrador del servidor 9

Nota: El procedimiento de instalación desatendida establece la contraseña predeterminada de root como Nethesis,
1234.
Asistente de Primera Configuracion
La primera vez que root ingresa al sistema, el procedimiento de First configuration wizard es desplegado
El password root todavia esta en el valor por defecto, un cambio de password es requerido.
Es posible recuperar un configuration backup. Refierase a ref:disaster-recovery-section para mas informacion.
De otro modo el procedimiento de asistente ayuda en la configuracion:
Nombre de Equipo
Date and time zone
Puerto SSH
Smarthost configuration
Usage statistics
Cambiar la contraseña actual
Puede cambiar la contraseña de root desde la interfaz web, accediendo a la etiqueta root@host.domain.com en la
esquina superior derecha de la pantalla y haciendo clic en: guilabel:‘ Profile‘.
Cerrar sesión
Finalice la sesión actual del Administrador del Servidor acudiendo a la etiqueta root@host.domain.com en la esquina
superior derecha de la pantalla y haciendo clic en Logout.
CAPÍTULO 3
Configuración
Centro de software
NethServer es altamente modular. Al final de la instalación, un conjunto mínimo de módulos está listo para ser utiliza-
do. El sistema básico incluye módulos como configuración de red y visualizador de registro. Además, el administrador
puede instalar módulos adicionales, como Correo electrónico, Servidor DHCP y PXE, Firewall y gateway / Cortafuego
y Puerta de enlace...
La pestaña Disponible enumera todos los módulos que se pueden instalar. Esta lista puede ser filtrada por categoría.
Para instalar un módulo, marque la casilla correspondiente y haga clic en Añadir. Algunos módulos sugieren paquetes
opcionales que pueden instalarse ya sea al mismo tiempo o posteriormente.
Para instalar paquetes opcionales en un momento posterior, seleccione la pestaña Instalado y pulse el botón Editar
en una entrada en la lista.
Para eliminar un módulo, pulse el botón Eliminar.
Advertencia: ¡Al quitar un módulo también se podrían quitar otros módulos! Lea cuidadosamente la lista de
paquetes afectados para evitar la eliminación de las funciones necesarias.
Actualizaciones de software
Las actualizaciones para el software instalado aparecen en la pestaña Actualizaciones. Se mostrará un mensaje cuando
hay actualizaciones de software disponibles.
Consejo: Actualiza regularmente el software instalado para corregir errores, problemas de seguridad y recibir nuevas
funciones.
11
Lista de paquetes instalados
La lista completa de los paquetes RPM instalados está disponible en Instalado > Paquetes.
La sección Software instalado muestra todos los paquetes ya instalados en el sistema con la versión completa del
paquete.
Idiomas adicionales
El Administrador de servidores permite seleccionar el idioma de la interfaz en la pantalla de inicio de sesión. Sólo se
muestran los idiomas instalados.
En la pestaña Disponible, seleccione la categoría Idiomas e instale los idiomas que desee.
Sistema base
Este capítulo describe todos los módulos disponibles al final de la instalación. Todos los módulos fuera de esta sección
deben instalarse desde la página Centro de software, incluyendo Copia de seguridad.
Dashboard
La página Dashboard es la página de destino después de un inicio de sesión satisfactorio. La página mostrará el estado
y la configuración del sistema.
Analizador de disco
Esta herramienta se utiliza para visualizar el uso del disco en un simple y agradable gráfico en el que puedes interactuar,
hacer clic y hacer doble clic para navegar en el árbol de directorios.
Después de la instalación, vaya a la pestaña Dashboard, y luego Uso del disco, y haga clic en Actualizar para indexar
el directorio raíz y mostrar el gráfico. Este proceso puede tomar varios minutos dependiendo del espacio en disco
ocupado.
Las carpetas conocidas son:
Carpetas compartidas: /var/lib/nethserver/ibay
Directorios de los usuarios: /var/lib/nethserver/home
Correo: /var/lib/nethserver/vmail
Faxes: /var/lib/nethserver/fax
Bases de datos MySQL: /var/lib/mysql
Red
La página Red configura cómo el servidor está conectado a la red local (LAN) y/o a otras redes (es decir, Internet).
Si el servidor tiene funcionalidad de firewall y gateway, manejará redes adicionales con funciones especiales como
DMZ (Zona desmilitarizada) y la red de invitados.
NethServer soporta un número ilimitado de interfaces de red. Cualquier red administrada por el sistema debe seguir
estas reglas:
12 Capítulo 3. Configuración
Las redes deben estar físicamente separadas (no se pueden conectar múltiples redes al mismo conmuta-
dor/concentrador)
Las redes deben estar lógicamente separadas: cada red debe tener direcciones diferentes
Las redes privadas, como las LAN, deben seguir la convención de la dirección del documento RFC1918 Ver
Dirección para redes privadas (RFC1918)
Cada interfaz de red tiene un rol específico que determina su comportamiento. Todos los roles se identifican por
colores. Cada función corresponde a una zona conocida con reglas especiales de tráfico de red:
verde: red local (función/zona verde). Los hosts de esta red pueden acceder a cualquier otra red configurada
azul: red de invitados (función/zona azul). Los hosts de esta red pueden acceder a redes naranjas y rojas, pero
no pueden acceder a la red verde
naranja: red DMZ (función/zona naranja). Los hosts de esta red pueden acceder a la red roja, pero no pueden
acceder a redes azules y verdes
roja: red pública (funcion/zona roja). Los hosts de esta red sólo pueden acceder al servidor en sí
Consulte Política para obtener más información sobre las funciones y las reglas de firewall.
Nota: El servidor debe tener al menos una interfaz de red. Cuando el servidor tiene sólo una interfaz, esta interfaz
debe tener rol verde.
Si el servidor está instalado en un VPS público (Virtual Private Server), debe estar configurado con una interfaz verde.
Todos los servicios críticos deben cerrarse mediante el panel Servicios de red.
Alias IP
Utilice alias IP para asignar más direcciones IP a la misma NIC.

El uso más común es con una interfaz roja: cuando el ISP proporciona un grupo de direcciones IP públicas (dentro de
la misma subred), puede agregar algunas (o todas) a la misma interfaz en rojo y administrarlas individualmente (por
ejemplo, en la configuración de reenvío de puertos).
La sección IP de alias se puede encontrar en el menú desplegable de la interfaz de red relacionada.
Nota: Los Alias de las IP en la interfaz PPPoE podrían no funcionar correctamente, debido a las diferentes imple-
mentaciones del servicio realizado por los proveedores de Internet.
Interfaces lógicas
En la página Red pulse el botón Nueva interfaz para crear una interfaz lógica. Las interfaces lógicas soportadas son:
balanceo: organiza dos o más interfaces de red (proporciona equilibrio de carga y tolerancia a fallos)
puente: conecta dos redes diferentes (a menudo se utiliza para puentear VPN y máquina virtual)
VLAN (Virtual Local Area Network): crea dos o más redes separadas lógicamente utilizando una sola interfaz
PPPoE (Point-to-Point Protocol over Etherne): conéctese a Internet a través de un módem DSL
Los balances le permiten agregar ancho de banda o tolerar errores de enlace. Los balances se pueden configurar en
varios modos.
Modos que proporcionan equilibrio de carga y tolerancia a fallos:
3.2. Sistema base 13

Balance Round Robin (recomendado)

Balance XOR
802.3ad (LACP): requiere soporte a nivel de controlador y un conmutador con IEEE 802.3ad Modo de agrega-
ción de vínculo dinámico habilitado
Balance TLB: requiere soporte a nivel de driver
Balance ALB
Modos que proporcionan tolerancia a fallos solamente:
Copia de seguridad activa (recomendado)
Política de difusión
Un puente tiene la función de conectar los diferentes segmentos de la red, por ejemplo, permitiendo máquinas virtua-
les, o un cliente conectado a través de una VPN, para acceder a la red local (verde).
Cuando no es posible separar físicamente dos redes diferentes, puede utilizar una VLAN etiquetada. El tráfico de las
dos redes se puede transmitir en el mismo cable, pero se manejará como si fuera enviado y recibido en tarjetas de red
separadas. El uso de VLAN, requiere switches configurados correctamente.
Advertencia: La interfaz lógica PPPoE debe asignarse al rol rojo, por lo que se requiere la funcionalidad de la
pasarela o gateway. Véase Firewall y gateway / Cortafuego y Puerta de enlace para más detalles.
Dirección para redes privadas (RFC1918)
Las redes privadas TCP/IP que no estén conectadas directamente a Internet deben utilizar direcciones especiales se-
leccionadas por la Autoridad de Números Asignados de Internet (IANA).
Red privada Máscara de subred Intervalo de direcciones IP
10.0.0.0 255.0.0.0 10.0.0.1 - 10.255.255.254
172.16.0.0 255.240.0.0 172.16.0.1 - 172.31.255.254
192.168.0.0 255.255.0.0 192.168.0.1 - 192.168.255.254
Servicios de red
Un servicio de red es un servicio que se ejecuta en el propio firewall.

Cada servicio tiene una lista de puertos “abiertos” en los que responde a las conexiones. Se pueden aceptar conexiones
desde zonas seleccionadas. Puede configurarse un control más detallado del acceso a los servicios de red desde la
página de reglas del firewall.
Redes de confianza
Las redes de confianza son redes especiales (locales, VPN o remotas) que pueden acceder a los servicios de un servidor
especial.
Por ejemplo, los hosts dentro de redes de confianza pueden acceder a:
Administrador del servidor
Carpetas compartidas (SAMBA)
Si la red remota es accesible mediante un router, recuerde agregar una ruta estática dentro de la página Rutas estáticas.
Rutas estáticas
Esta página permite crear rutas estáticas especiales que usará la puerta de enlace especificada. Estas rutas se utilizan
generalmente para conectar la red privada.
Recuerde agregar la red a Redes de confianza, si desea permitir que los hosts remotos tengan acceso a los servicios
locales.
Organización contactos
Los campos de la página Organización contactos se utilizan como valores predeterminados para las cuentas de usuario.
El nombre y la dirección de la organización también se muestran en la pantalla de inicio de sesión del Administrador
del servidor.
Certificado del servidor
La página del Certificado del servidor muestra los certificados X.509 actualmente instalados y el predeterminado
proporcionado por los servicios del sistema para las comunicaciones cifradas TLS/SSL.
El botón: guilabel: Establecer predeterminado permite elegir el certificado por defecto. Cuando se elige un nuevo cer-
tificado, todos los servicios que utilizan TLS/SSL se reinician y los clientes de red deben aceptar el nuevo certificado.
Cuando NethServer se instala un certificado autofirmado predeterminado temporal se genera automáticamente. Debe
ser editado insertando los valores correctos antes de configurar los clientes de la red para usarlos. Como alternativa, la
página Certificado del servidor permite:
cargar un certificado existente y una clave RSA privada. También se puede especificar un archivo de cadena de
certificados. Todos los archivos deben estar codificados con PEM.
solicitar un nuevo certificado de Let’s Encrypt1 . Esto es posible si se cumplen los siguientes requisitos:
1. El servidor debe ser accesible desde el exterior en el puerto 80. Asegúrese de que su puerto 80 está abierto
a la Internet pública (puede consultar con sitios como2 );
2. Los dominios que desea que el certificado de debe ser los nombres de dominio público asociado a la IP
pública del servidor propio. Asegúrese de que tiene un nombre DNS público que apunta a su servidor
(puede consultar con sitios como3 ).
Nota: Para evitar problemas al importar el certificado en Internet Explorer, el campo Nombre Común (CN) debe
coincidir con el FQDN de servidor.
Apagar
La máquina donde NethServer está instalado puede reiniciarse o detenerse desde la página Apagar. Seleccione una
opción (reiniciar o detener) y, a continuación, haga clic en el botón Enviar.
Utilice siempre este módulo para evitar un apagado incorrecto que pueda causar daños en los datos.
1 Sitio web Let’s Encrypt https://letsencrypt.org/
2 Sitio web http://www.canyouseeme.org/
3 Sitio web http://viewdns.info/
3.2. Sistema base 15

Visor de registro
Todos los servicios guardarán las operaciones dentro de los archivos llamados logs. El análisis de log es la herramienta
principal para encontrar y resolver problemas. Para analizar los archivos de registro, haga clic en Visor de registro.
Este módulo permite:
Iniciar la búsqueda en todos los registros del servidor
Mostrar un solo registro
Seguir el contenido de un registro en tiempo real
Fecha y hora
Después de la instalación, asegúrese de que el servidor esté configurado con la zona horaria correcta. El reloj de la
máquina puede configurarse manual o automáticamente utilizando servidores públicos NTP (de preferencia).
El reloj de la máquina es muy importante en muchos protocolos. Para evitar problemas, todos los hosts en LAN se
pueden configurar para utilizar el servidor como servidor NTP.
Ayuda en línea
Todos los paquetes dentro del Administrador del servidor contienen una ayuda en línea. La ayuda en línea explica
cómo funciona el módulo y todas las opciones disponibles.
Estas páginas de ayuda están disponibles en todos los idiomas del Administrador de servidores.
Puede encontrar una lista de todas las páginas de ayuda en línea disponibles en la dirección:
https://<server>:980/<language>/Help
Ejemplo
Si el servidor tiene la dirección “192.168.1.2”, y desea ver todas las páginas de ayuda en inglés, use esta dirección:
https://192.168.1.2:980/en/Help
Usuarios y grupos
Proveedores de cuentas
NethServer soporta autenticación y autorización contra un proveedor de cuentas local o remoto

Los tipos de proveedores compatibles son:
OpenLDAP local corriendo en el propio NethServer
Servidor LDAP remoto con esquema RFC2307
Controlador local de Active Directory de Samba 4
Active Directory remoto (Microsoft y Samba)
The root user can configure any type of accounts provider from the Accounts provider page.
Be aware of the following rule about account providers:
Una vez que NethServer ha estado vinculado a un proveedor de cuentas, el FQDN no se puede cambiar
más
Proveedores remotos Luego de que NethServer ha sido unido a un proveedor de cuentas remoto la pagina de Usua-
rios y grupos muestra las cuentas del dominio en modo solo-lectura.
Proveedores locales Después de instalar un proveedor local (ya sea Samba 4 o OpenLDAP), el administrador puede
crear, modificar y eliminar los usuarios y grupos.
Advertencia: Please choose wisely your account provider because the choice could not be reversible. Also the
system will forbid any change to the FQDN after the account provider has been configured.
Elegir el proveedor de cuenta correcto
Beside choosing to bind a remote provider or install a local one, the administrator has to decide which backend type
suits his needs.
El módulo Servidor de archivos de NethServer, que habilita la página Carpetas compartidas, sólo puede autenticar
clientes SMB/CIFS si NethServer está enlazado a un dominio de Active Directory. Los proveedores LDAP permiten
el acceso a Carpetas compartidas sólo en modo invitado. Véase: ref:shared_folders-section.
Por otro lado, el proveedor local de OpenLDAP es más fácil de instalar y configurar.
Al final, si no se requiere el soporte para el protocolo de intercambio de archivos SMB, un proveedor LDAP es la
mejor opción.
Instalación del proveedor local de OpenLDAP
To install and configure an OpenLDAP local accounts provider, go to page Accounts provider > LDAP > Install
locally. The system needs a working internet connection to download additional packages.
At the end of the installation the package is automatically configured and the administrator will be able to manage
users and groups from the User and groups page.
See Cuenta de administrador section for more details about default administrative user and group.
Instalación del proveedor local de Active Directory de Samba
When installing Samba Active Directory as local account provider, the system needs an additional IP address and a
working internet connection.
El IP adicional se asigna a un contenedor Linux que ejecuta las funciones de controlador de dominio de Active
Directory y debe ser accesible desde la LAN (red verde).
Por lo tanto, la dirección IP adicional debe satisfacer tres condiciones:
1. La dirección IP tiene que ser libre; no debe ser utilizada por ninguna otra máquina
2. La dirección IP debe estar en el mismo rango de subred de una red verde
3. the green network has to be bound to a bridge interface where the Linux Container can attach its virtual interface;
the installation procedure can create the bridge interface automatically, if it is missing
To install a local Active Directory accounts provider, go to page Accounts provider > Active Directory > Create a new
domain.
3.3. Usuarios y grupos 17

The DNS domain name defines the DNS suffix of the new domain. NethServer acts as an authoritative DNS server for
that domain. See also DNS and AD domain.
The NetBIOS domain name (also known as “domain short name”, “NT domain name”) is the alternative Active Direc-
tory domain identifier, compatible with older clients. See also Acceso a la red.
The Domain Controller IP address field must be filled with the additional IP address explained above.
When all fields are filled, press the Create domain button.
Advertencia: The Active Directory DNS domain name and NetBIOS domain name values cannot be changed once
that the domain has been created
El procedimiento de configuración de Active Directory puede requerir algún tiempo para ejecutarse. Crea el chroot
del Contenedor de Linux, descargando paquetes adicionales.
Al final del procedimiento de configuración de Active Directory, el host NethServer se configura automáticamente
para unirse al dominio de Active Directory. Vaya a la página Usuario y grupos para ver las cuentas por defecto.
The previously assigned IP address can be changed from Accounts provider > Change IP.
Advertencia: Changing the Domain Controller IP address can cause problems to Active Directory clients. If they
use an external DNS server, update it to use the new IP address.
Después de instalar Samba Active Directory, la página Usuarios y grupos tiene dos entradas predeterminadas; ambas
están desactivadas: administrador y admin. “Administrador” es la cuenta privilegiada de Active Directory predeter-
minada y no es requerida por NethServer; es seguro mantenerlo deshabilitado. “Admin” es definido por NethServer
como la cuenta administrativa predeterminada del sistema. Es miembro del grupo de administradores de dominio de
AD. Véase la sección ref:admin-account-section para más detalles.
DNS and AD domain
An Active Directory domain requires a reserved DNS domain to work. It is a good choice to allocate a subdomain of
the public DNS domain for it. The AD subdomain can be accessible only from LAN (green) networks.
Example:
public (external) domain: nethserver.org
server FQDN: mail.nethserver.org
Active Directory (internal LAN only) domain: ad.nethserver.org
domain controller FQDN (assigned by default): nsdc-mail.ad.nethserver.org
Truco: When choosing a domain for Active Directory use an internal domain which is a subdomain of the external
domain1
1 https://social.technet.microsoft.com/wiki/contents/articles/34981.active-directory-best-practices-for-internal-domain-and-network-names.
aspx#Recommendation
Instalación en una máquina virtual
Samba Active Directory se ejecuta dentro de un contenedor Linux que utiliza una interfaz de red virtual puenteada
a la interfaz de red del sistema. La interfaz de red virtual debe ser visible dentro de la red física, pero a menudo las
soluciones de virtualización bloquean el tráfico ARP. Como resultado, el contenedor de Active Directory de Samba no
es visible desde hosts en LAN.
Al instalar en un entorno virtual, asegúrese de que la solución de virtualización permite el tráfico en modo promiscuo.
VirtualBox
Para configurar la política de modo promiscuo, seleccione “Permitir todo” en la lista desplegable ubicada en la sección
de configuración de red.
VMWare
Introduzca la sección de configuración de red del modo de virtualización y establezca el conmutador virtual en modo
promiscuo.
KVM
Asegúrese de que la máquina virtual está conectada a un puente real (como br0) y el puente se pone en modo promis-
cuo.
Es posible forzar un puente (es decir br0) en modo promiscuo usando este comando:
ifconfig br0 promisc
Hyper-V
Configure MAC Address Spoofing for Virtual Network Adapters2
Local accounts provider uninstallation
Both LDAP and AD local accounts provider can be uninstalled from the Accounts provider > Uninstall page.
When the local accounts provider DB is uninstalled, any user, group and computer account is erased.
A list of users and groups in TSV format is dumped to /var/lib/nethserver/backup/users.tsv
and /var/lib/nethserver/backup/groups.tsv. See also Import accounts from plain-text files.
Existing files owned by users and groups must be removed manually. This is the list of system directories
containing users and groups data:
/var/lib/nethserver/home
/var/lib/nethserver/vmail
/var/lib/nethserver/ibay
2 https://technet.microsoft.com/en-us/library/ff458341.aspx

Unirse a un dominio de Active Directory existente
Aquí NethServer está enlazado a un proveedor de cuenta de Active Directory remoto. Puede ser proporcionado por
implementaciones de Samba o Microsoft. En este escenario NethServer se convierte en un servidor de confianza de un
dominio de Active Directory existente. Al acceder a un recurso NethServer de una estación de trabajo del dominio, las
credenciales de usuario se comprueban contra uno de los controladores de dominio y se concede el acceso al recurso.
Joining an Active Directory domain has the following pre-requisite:
El protocolo Kerberos requiere que la diferencia entre los relojes de los sistemas en la red sea inferior
a 5 minutos. Configure los clientes de red para alinear sus relojes a una fuente de hora común. Para
NethServer Vaya a la página Fecha y hora.
After the prerequisite is fulfilled, proceed to the page Accounts provider > Active Directory > Join a domain.
Enter the DNS domain name of the AD domain. The NetBIOS domain name (domain short name) is probed
automatically.
Fill the AD DNS server field. Usually it is the IP address of an AD domain controller.
Provide the User name and Password of an AD account with the privilege of joining a computer to the domain.
Remember that the default administrator account could be disabled!
Advertencia: Some additional modules, like Nextcloud, WebTop, Roundcube, Ejabberd require read-only access
to AD LDAP services. To be fully operational they require an additional account to perform simple LDAP binds.
Create a dedicated user account in AD, and set a complex non-expiring password for it.
Once NethServer has successfuly joined AD, specify the dedicated user account credentials in Accounts provider >
Read-only bind credentials.
Vincular a un servidor LDAP remoto
To configure a remote LDAP accounts provider, go to page Accounts provider > LDAP > Bind remotely.
Type the LDAP server IP address in the field Host name or IP. If the LDAP service runs on a non-standard TCP port,
specify it in TCP port.
Then an LDAP rootDSE query is sent to the specified host and a form is filled with returned data. Check the values
are correct then press the Save button to confirm.
If the LDAP server requires authentication, fill in the fields under Authenticated bind. Enable either ldaps:// or
STARTTLS to encrypt the connection.
Truco: If the remote LDAP server is also a NethServer installation and it is in the LAN (green) network, select
Anonymous bind
Usuarios
Una nueva cuenta de usuario permanece bloqueada hasta que una contraseña ha sido configurada. Los usuarios desha-
bilitados tienen denegado el accesos a los servicios del sistema.
Cuando se crea un usuario, los siguientes campos son obligatorios.
Nombre de usuario
Nombre completo (nombre y apellido)

Un usuario puede ser agregado a uno o mas grupos de la pagina Usuarios o de la pagina Grupos .
Algunas veces ud. puede necesitar bloquear el acceso de un usuario a algún servicio, sin tener que borrar la cuenta.
Esto se puede realizar usando las opciones Bloquear y Desbloquear
Nota: Cuando se elimina un usuario, también se eliminarán todos los datos del usuario.
Cambio de la contraseña
Si no se configuro una contraseña inicial durante la creación del usuario, la cuenta del usuario es deshabilitada. Para
habilitarla, configure una contraseña utilizando el botón Cambiar contraseña.
Cuando un usuario es habilitado, el usuario puede acceder a la administración del servidor para cambiar su propia
contraseña yendo a la etiqueta user@domain.com en la esquina superior derecha de la pantalla y cliqueando en Perfil.
Si el sistema esta unido a un proveedor de cuentas de Active Directory, los usuario pueden cambiar su contraseña
usando las herramientas de Windows. En este caso ud. no puede configurar contraseñas de menos de 6 caracteres sin
importar las políticas del servidor. Los chequeos preliminares de windows envían la contraseña al servidor donde son
evaluados de acuerdo a políticas configuradas.
Credenciales de servicios
Las credenciales de usuario son usuario y su contraseña. Las credenciales son requeridas para acceder a los servicios
instalados en el sistema.
El nombre de usuario se puede emitir en dos formas: largo (predeterminado) y corto. El formulario largo siempre es
aceptado por los servicios. Depende del servicio aceptar también el formulario corto.
Por ejemplo si el dominio es example.com y el usuario es goofy:
User long name form goofy@example.com
User short name form goofy
Para acceder a una carpeta compartida, vea también Acceso a la red.
Grupos
A un grupo de usuarios se le puede conceder algún permiso, como autorizar el acceso a través de Carpetas comparti-
das. El permiso concedido se propaga a todos los miembros del grupo.
Se pueden crear dos grupos especiales. Los miembros de estos grupos tienen acceso a los paneles del Administrador
de servidores:
administradores de dominio: los miembros de este grupo tienen los mismos permisos que el usuario root del
Administrador de servidores.
managers: los miembros de este grupo tienen acceso a la sección Administración del Administrador de servido-
res.

Cuenta de administrador
Si se instala un proveedor local de AD o LDAP, se crea automáticamente un usuario admin, miembro del grupo ad-
ministradores del dominio. Esta cuenta permite acceder a todas las páginas de configuración dentro del Administrador
del servidor. El acceso está inicialmente deshabilitado y no tiene acceso desde la consola.
Truco: Para habilitar la cuenta admin, establezca su contraseña.
Cuando se aplica, la cuenta admin tiene privilegios especiales en algunos servicios específicos, como unirse a una
estación de trabajo a un dominio de Active Directory.
La gestión de grupos está disponible desde la línea de comandos a través de los eventos group-create y
group-modify
Si un usuario o grupo con un propósito similar ya está presente en la base de datos del proveedor de cuentas remotas,
pero se denomina de forma diferente, NethServer puede ser configurado para confiar en él con los siguientes comandos:
config setprop admins user customadmin group customadmins

/etc/e-smith/events/actions/system-adjust custom
Gestión de contraseñas
El sistema proporciona la capacidad de establecer restricciones en la contraseña complejidad y expiración.

Las directivas de contraseñas se pueden cambiar desde la interfaz web.
Complejidad
La complejidad de la contraseña es un conjunto de condiciones mínimas para que la misma sea aceptada por el sistema:
Puede elegir entre dos políticas de administración diferentes sobre la complejidad de la contraseña:
none: no hay control específico sobre la contraseña introducida, pero la longitud mínima es de 7 caracteres
strong
La directiva strong requiere que la contraseña cumpla con las siguientes reglas:
Longitud mínima de 7 caracteres
Contiene al menos 1 número
Contiene al menos 1 carácter en mayúscula
Contiene al menos 1 carácter minúscula
Contiene al menos 1 carácter especial
Al menos 5 caracteres diferentes
No debe estar presente en los diccionarios de palabras comunes
Debe ser diferente del nombre de usuario
No se pueden realizar repeticiones de patrones formados por 3 o más caracteres (por ejemplo, la contraseña
As1.$ AS1. $ No es válida)
Si se instala Samba Active Directory, también el sistema habilitará el historial de contraseñas
La directiva predeterminada es: dfn:strong.
Advertencia: El cambio de las políticas predeterminadas es contraindicado. El uso de contraseñas débiles a

menudo conduce a servidores comprometidos por atacantes externos.
Vencimiento
La Caducidad de contraseña está habilitada de forma predeterminada a 6 meses desde el momento en que se establece
la contraseña. El sistema enviará un correo electrónico para informar a los usuarios cuando su contraseña está a punto
de expirar.
Nota: El sistema se referirá a la fecha del último cambio de contraseña, si la contraseña es mayor de 6 meses, el
servidor enviará un correo electrónico para indicar que la contraseña ha caducado. En este caso, debe cambiar la
contraseña de usuario. Por ejemplo, si el último cambio de contraseña se realizó en enero y la activación de la fecha
límite en octubre, el sistema asumirá que la contraseña cambiada en enero expiró y notifica al usuario.
Efectos de contraseñas caducadas
Después de la expiración de la contraseña, el usuario sigue siendo capaz de leer y enviar mensajes de correo electró-
nico.
Si NethServer tiene un proveedor de cuenta de Active Directory, el usuario no puede tener acceso a carpetas compar-
tidas, impresoras (por Samba) y otros equipos de dominio.
Import accounts from plain-text files
Importar usuarios
Es posible crear cuentas de usuario desde un archivo TSV (Tab Separated Values, valores separados por tabulación)
con el siguiente formato:
username <TAB> fullName <TAB> password <NEWLINE>
Ejemplo:
mario <TAB> Mario Rossi <TAB> 112233 <NEWLINE>
Luego ejecutar:
/usr/share/doc/nethserver-sssd-<ver>/import_users <youfilename>
Por ejemplo, si el archivo del usuario es /root/users.tsv, ejecute el siguiente comando:
/usr/share/doc/nethserver-sssd-`rpm --query --qf "%{VERSION}" nethserver-sssd`/

˓→scripts/import_users /root/users.tsv
Carácter de separador alternativo:
import_users users.tsv ','

Import emails
Es posible crear alias de correo desde un archivo TSV (Tab Separated Values, valores separados por tabulación) con el
siguiente formato:
username <TAB> emailaddress <NEWLINE>
A continuación, puede utilizar el script import_emails. Ver Import accounts from plain-text files para una invoca-
ción del script de ejemplo.
Import groups
La gestión de grupos está disponible desde la línea de comandos a través de los eventos group-create y
group-modify
signal-event group-create group1 user1 user2 user3

signal-event group-modify group1 user1 user3 user4
DNS
NethServer puede configurarse como servidor DNS (Domain Name System/Sistema de nombres de dominio) dentro
de la red. Un servidor DNS es responsable de la resolución de nombres de dominio (ej. www.example.com) a sus
direcciones numéricas correspondientes (por ejemplo, 10.11.12.13) y viceversa.
El servidor realiza solicitudes de resolución de nombres DNS en nombre de clientes locales y sólo es accesible desde
la red LAN (verde) y la red de invitados (azul).
Durante una búsqueda de nombres el servidor será:
Busque el nombre entre los hosts configurados localmente
Realizar una consulta en dns externo: las solicitudes se almacenan en el caché para acelerar las consultas poste-
riores
Nota: Debe especificar al menos un servidor DNS externo dentro de la página Red > Servidores DNS.
Si NethServer es también el servidor DHCP en la red, todas las máquinas se configuran para utilizar el propio servidor
para la resolución de nombres.
Hosts
La página Hosts le permite asignar nombres de host a direcciones IP, ya sean locales o remotas.
Por ejemplo, si tiene un servidor web interno, puede asociar el nombre www.mysite.com a la dirección IP del servidor
web. Entonces todos los clientes pueden llegar al sitio web escribiendo el nombre elegido.
Los nombres configurados localmente siempre tienen prioridad sobre los registros DNS de servidores externos. De
hecho, si el proveedor inserta www.mydomain.com con una dirección IP correspondiente al servidor web oficial, pero
dentro de NethServer el IP de www.mydomain.com está configurado con otra dirección, los hosts dentro de la LAN no
podrán ver el sitio.
Alias
Un alias es un nombre alternativo usado para llegar al servidor local. Por ejemplo, si el servidor se llama
mail.example.com, puede crear un Alias de DNS myname.example.com. A continuación, el servidor será accesible
desde los clientes de la LAN incluso con el nombre que acaba de definir.
Los alias sólo son válidos para la LAN interna. Si desea que el servidor sea accesible desde el exterior con el mismo
nombre, deberá solicitar al proveedor que asocie la dirección pública del servidor al nombre deseado.
Servidor DHCP y PXE
El servidor Dynamic Host Configuration Protocol (DHCP)1 centraliza la gestión de la configuración de red local
para cualquier dispositivo conectado a ella. Cuando un ordenador (o un dispositivo como una impresora, un teléfono
inteligente, etc.) se conecta a la red local, puede solicitar los parámetros de configuración de red mediante el protocolo
DHCP. El servidor DHCP responde, proporcionando el IP, DNS y otros parámetros de red relevantes.
Nota: En la mayoría de los casos, los dispositivos ya están configurados para utilizar el protocolo DHCP al iniciar.
La especificación de Preboot eXecution Environment (PXE) [#PXE] _ permite a un dispositivo de red recuperar el
sistema operativo desde una ubicación de red centralizada mientras se inicia, a través de los protocolos DHCP y TFTP.
Véase Arranque desde la configuración de red para un ejemplo sobre cómo configurar un caso similar.
Configuración DHCP
El servidor DHCP se puede habilitar en todas las interfaces *verde * y *azul * (ver Red). NethServer asignará una
dirección IP libre dentro de la configuración rango DHCP en la página DHCP > Servidor DHCP.
El rango DHCP debe definirse dentro de la red de la interfaz asociada. Por ejemplo, si la interfaz verde tiene IP/netmask
192.168.1.1/255.255.255.0 el rango debe ser 192.168.1.2 - 192.168.1.254.
Opciones avanzadas
Hay siete opciones avanzadas para DHCP. Puede asignar cero opciones, una opción o las siete opciones.
Para los servidores - DNS, NTP, WINS y TFTP - puede asignar cero, uno o más para cada servidor; si coloca más de
uno, utilice una coma entre cada servidor sin espacio.
Reserva IP del host
El servidor DHCP concede una dirección IP a un dispositivo durante un período de tiempo limitado. Si un dispositivo
requiere tener siempre la misma dirección IP, se le puede otorgar una reserva IP asociada a su dirección MAC.
La página DHCP> IP reservation lista las direcciones IP actualmente asignadas:
Una línea con botón IP reservation identifica un host con un arriendo temporal (color gris);
Una línea con el botón Edit identifica un host con una IP reservada (color negro). Un pequeño icono de dos
flechas junto al nombre del host indica que la concesión DHCP ha caducado: es una condición normal para los
hosts con configuración IP estática, ya que nunca se ponen en contacto con el servidor DHCP.
1 Dynamic Host Configuration Protocol (DHCP) https://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
3.5. Servidor DHCP y PXE 25

Arranque desde la configuración de red
Para permitir a los clientes arrancar desde la red, se requieren los siguientes componentes:
El servidor DHCP, como hemos visto en las secciones anteriores
el servidor TFTP2
El software para el cliente, servido a través de TFTP
TFTP es un protocolo de transferencia de archivos muy simple y por lo general se utiliza para la transferencia auto-
matizada de archivos de configuración y arranque.
En NethServer la implementación TFTP viene con el módulo DHCP y está habilitada de forma predeterminada. Para
permitir el acceso a un archivo a través de TFTP, basta con ponerlo en /var/lib/tftpboot.
Nota: Para deshabilitar TFTP, escriba los siguientes comandos en una consola como root:
config setprop dhcp tftp-status disabled

signal-event nethserver-dnsmasq-save
Por ejemplo, ahora configuramos un cliente para iniciar CentOS desde la red. En NethServer, escriba desde la consola
de root:
yum install syslinux

cp /usr/share/syslinux/{pxelinux.0,menu.c32,memdisk,mboot.c32,chain.c32} /var/lib/
˓→tftpboot/
config setprop dnsmasq dhcp-boot pxelinux.0

signal-event nethserver-dnsmasq-save
mkdir /var/lib/tftpboot/pxelinux.cfg
A continuación, cree el archivo /var/lib/tftpboot/pxelinux.cfg/default con el siguiente contenido:
default menu.c32
prompt 0
timeout 300
MENU TITLE PXE Menu
LABEL CentOS
kernel CentOS/vmlinuz
append initrd=CentOS/initrd.img
Crear un directorio CentOS:
mkdir /var/lib/tftpboot/CentOS
Copie dentro del directorio vmlinuz y initrd.img. Estos archivos son públicos y se pueden encontrar en la
imagen ISO, en el directorio /images/pxeboot o descargados desde un espejo de CentOS.
Por último, encienda el host del cliente, seleccionando el arranque PXE (o arranque desde la red) desde la pantalla de
inicio.
Referencias
2 Protocolo Trivial de transferencia de archivos https://es.wikipedia.org/wiki/TFTP
CAPÍTULO 4
Módulos
Copia de seguridad
Backup es la única manera de restaurar una máquina cuando ocurren desastres. El sistema maneja dos tipos de copia
de seguridad:
copia de seguridad configuración
copia de seguridad datos
Configuration backup contains only system configuration files. The purpose of this kind of backup is to quickly
restore a machine in case of disaster recovery. When the machine is functional, a full data restore can be done even if
the machine is already in production.
Data backup is enabled by installing the “Backup” module and contains all data like user’s home directories and
mails. It runs every night and can be full or incremental on a weekly basis. This backup also contains the archive of
the configuration backup.
Los datos de respaldo pueden ser guardados en destinos diferentes
USB: disco conectado a un puerto USB local (Ver: Configuración del disco USB)
CIFS: Carpeta compartida de Windows, está disponible en todas las NAS (Network Attached Storage)
NFS: Carpeta compartida de Linux, está disponible en todas las NAS, generalmente más rápido que CIFS
WebDAV: disponible en muchos NAS y servidores remotos (Utilice un servidor con un certificado SSL válido
como destino webDAV, de lo contrario el sistema fallará al montar el sistema de archivos)
El estado de la copia de seguridad se puede notificar al administrador del sistema o a una dirección de correo externa.
Nota: El directorio de destino se basa en el nombre de host del servidor: en caso de cambio de FQDN, el administrador
debe tener cuidado de copiar los datos de copia de seguridad del directorio antiguo al nuevo.
27
Configuration backup
From page Backup (configuration) the system configuration can be saved, downloaded, uploaded and restored again.
Furthermore an automated task runs every night at 00.15 and creates a new archive, /var/lib/nethserver/
backup/backup-config.tar.xz, if the configuration was changed during the previous 24 hours. Under Backup
(configuration) > Configure page, specify the number of Automatic backups to keep.
The list of installed modules is included in the backup archive. The restore procedure can download and install the
listed modules automatically.
Recuperación de desastres
El sistema se restablece en dos fases: primero configuración, luego datos. Justo después de la restauración de la confi-
guración, el sistema está listo para ser utilizado si se instalan paquetes adecuados. Puede instalar paquetes adicionales
antes o después de la restauración. Por ejemplo, si el servidor de correo está instalado, el sistema puede enviar y recibir
correo.
Otras configuraciones restauradas:
Usuarios y grupos
Certificados SSL
Nota: La contraseña de root/admin no se ha restaurado.
Pasos a ejecutar:
1. Install the new machine. If possible, enable a network connection at boot (refer to Modos interactivo y manual
section) to automatically reinstall the required modules
2. Access the Server Manager and follow the Asistente de Primera Configuracion procedure
3. At step Restore configuration, upload the configuration archive. The option Download modules automatically
should be enabled.
4. Si un mensaje de advertencia lo requiere, reconfigure la asignación de roles de red. Ver Restaurar funciones de
red a continuación.
5. Verificar que el sistema es funcional
6. Restore data backup executing on the console
restore-data
Restaurar funciones de red
Si la configuración de roles apunta a una placa de red ausente, las páginas Dashboard, Copia de seguridad (configu-
ración) > Restaurar y Red muestran una advertencia. Esto podría suceder en los siguientes casos:
La copia de seguridad de la configuración se ha restaurado en un nuevo hardware
Una o más tarjetas de red han sido sustituidas
Los discos del sistema se mueven a una nueva máquina
28 Capítulo 4. Módulos
La advertencia sugiere una página que muestra una lista de placas de red instaladas en el sistema, resaltando las que
no tienen asignadas un rol rol. A estas últimas, se les puede restaurar el rol desde el menú desplegable.
Por ejemplo, si una placa de red de rol “naranja” ha sido reemplazada; en el menú desplegable aparecerá listado un
elemento “naranja” cerca de la placa de red.
Lo mismo se aplica si la tarjeta antigua era un componente de una interfaz lógica, como un puente o enlace.
Escogiendo un elemento del menú desplegable, el rol antiguo se transfiere a la nueva interfaz física.
Haga clic en el botón Submit para aplicar los cambios.
Advertencia: Elija cuidadosamente la nueva asignación de interfaces: ¡cometer un error aquí podría conducir a
tener un sistema aislado de la red!
If the missing role is green an automatic procedure attempts to fix the configuration at boot-time, to ensure a minimal
network connectivity and login again on the Server Manager.
Selective restore of files
Asegúrese de que el destino de la copia de seguridad está accesible (por ejemplo, debe estar conectado el disco USB).
In the Restore files menu section it is possible to search, select and restore one or more directories from backup,
navigating the graphical tree with all paths included in the backup.
By default, last backup tree is shown. If you want to restore a file from a previous backup, select the backup date from
Backup File selector.
Hay dos opciones para restaurar:
Al restaurar archivos en la ruta original, los existentes en el sistema de archivos se sobrescriben por los archivos
restaurados desde la copia de seguridad.
Restaura archivos en la ruta original pero los archivos restaurados de la copia de seguridad se mueven a un nuevo
directorio en esta ruta de acceso (los archivos no se sobrescriben):
/complete/path/of/file_YYYY-MM-DD (YYYY-MM-DD is the date of restore)
To use the search field, simply insert at least 3 chars and the searching starts automatically, highlighting the matched
directories.
Es posible restaurar los directorios haciendo clic en el botón Restaurar.
Nota: Multiple selection can be done with Ctrl key pressed.
Command line procedure
Todos los archivos relevantes se guardan en el directorio /var/lib/nethserver/

Correos: /var/lib/nethserver/vmail/<user>
Carpetas compartidas: /var/lib/nethserver/ibay/<name>
Página de inicio del usuarios: /var/lib/nethserver/home/<user>
It is possible to list all files inside the last backup using this command:
4.1. Copia de seguridad 29

backup-data-list
The command can take some time depending on the backup size.
Para restaurar un archivo/directorio, utilice el comando:
restore-file <position> <file>
Ejemplo, restaure la cuenta de correo prueba al directorio /tmp:
restore-file /tmp /var/lib/nethserver/vmail/test
Ejemplo, restaure la cuenta del correo prueba a la posición original:
restore-file / /var/lib/nethserver/vmail/test
El sistema puede restaurar una versión anterior de directorio (o archivo).

Ejemplo, restaure la versión de un archivo de hace 15 días:
restore-file -t 15D /tmp "/var/lib/nethserver/ibay/test/myfile"
La opción -t permite especificar el número de días (15 en este escenario).
Nota: Cuando está utilizando CIFS para tener acceso al recurso compartido y el comando no funciona como se espera,
compruebe que el usuario y la contraseña del recurso compartido de red son correctos. Si el usuario o la contraseña
están equivocados, encontrará los errores NT_STATUS_LOGON_FAILURE en /var/log/messages. Además,
puede utilizar el backup-data-list para comprobar si la copia de seguridad es accesible.
Personalización de la copia de seguridad de datos
Si se instala software adicional, el administrador puede editar la lista de archivos y directorios incluidos (o excluidos).
Inclusion
Si desea agregar un archivo o carpeta para copias de seguridad, agregue una línea al archivo /etc/backup-data.
d/custom.include.
Por ejemplo, para hacer una copia de seguridad de un software instalado en el directorio /opt, agregue esta línea:
/opt/mysoftware
Exclusion
Si desea excluir un archivo o carpeta de hacer copias de seguridad, agregue una línea al archivo /etc/
backup-data.d/custom.exclude.
Por ejemplo, para excluir todos los directorios llamados Download, agregue esta línea:
**Download**
Para excluir un listado de direcciones llamado test, agrege la siguiente línea:
/var/lib/nethserver/vmail/test/
La misma sintaxis se aplica a la copia de seguridad de configuración. Modificar el archivo /etc/backup-config.

d/custom.exclude.
Advertencia: Asegúrese de no dejar líneas vacías dentro de los archivos editados.
Personalización de la copia de seguridad de la configuración
En la mayoría de los casos no es necesario cambiar la copia de seguridad de la configuración. Pero puede ser útil, por
ejemplo, si tiene una configuración personalizada de httpd. En este caso se puede añadir el archivo que contiene la
personalización de la lista de archivos de copia de seguridad.
Inclusion
Si desea agregar un archivo o directorio a la copia de seguridad de la configuración, agregue una línea al archivo
/etc/backup-config.d/custom.include.
Por ejemplo, al archivo de copia de seguridad /etc/httpd/conf.d/mycustom.conf, agregue esta línea:
/etc/httpd/conf.d/mycustom.conf
No agregue directorios o archivos grandes a la copia de seguridad de la configuración.

Exclusion
Si desea excluir un archivo o directorio a la copia de seguridad de la configuración, agregue una línea al archivo
/etc/backup-config.d/custom.exclude.
Advertencia: Asegúrese de no dejar líneas vacías dentro de los archivos editados. La sintaxis de la copia de
seguridad de configuración sólo admite rutas de directorio y de archivos simples.
Configuración del disco USB
El mejor sistema de archivos para copias de seguridad en unidades USB es EXT3. El sistema FAT se puede usar pero
no es recomendado. Con NTFS directamente no funciona.
Antes de formatear el disco, adjúntelo al servidor y busque el nombre del dispositivo:
# dmesg | tail -20
Apr 15 16:20:43 mynethserver kernel: usb-storage: device found at 4

Apr 15 16:20:43 mynethserver kernel: usb-storage: waiting for device to settle before
˓→scanning
Apr 15 16:20:48 mynethserver kernel: Vendor: WDC WD32 Model: 00BEVT-00ZCT0 Rev:
Apr 15 16:20:48 mynethserver kernel: Type: Direct-Access ANSI SCSI
˓→revision: 02
Apr 15 16:20:49 mynethserver kernel: SCSI device sdc: 625142448 512-byte hdwr sectors
˓→(320073 MB)
Apr 15 16:20:49 mynethserver kernel: sdc: Write Protect is off

Apr 15 16:20:49 mynethserver kernel: sdc: Mode Sense: 34 00 00 00
Apr 15 16:20:49 mynethserver kernel: sdc: assuming drive cache: write through
Apr 15 16:20:49 mynethserver kernel: SCSI device sdc: 625142448 512-byte hdwr sectors
˓→(320073 MB)
Apr 15 16:20:49 mynethserver kernel: sdc: Write Protect is off

Apr 15 16:20:49 mynethserver kernel: sdc: Mode Sense: 34 00 00 00
4.1. Copia de seguridad 31

Apr 15 16:20:49 mynethserver kernel: sdc: assuming drive cache: write through
Apr 15 16:20:49 mynethserver kernel: sdc: sdc1
Apr 15 16:20:49 mynethserver kernel: sd 7:0:0:0: Attached scsi disk sdc
Apr 15 16:20:49 mynethserver kernel: sd 7:0:0:0: Attached scsi generic sg3 type 0
Apr 15 16:20:49 mynethserver kernel: usb-storage: device scan complete
Otro buen comando podría ser:
lsblk -io KNAME,TYPE,SIZE,MODEL
En este escenario, el disco es accesible como dispositivo sdc.

Crear una partición Linux en todo el disco:
echo "0," | sfdisk /dev/sdc
Cree el sistema de archivos en la partición sdc1 con una etiqueta denominada backup:
mke2fs -v -T largefile4 -j /dev/sdc1 -L backup
Desconecte y vuelva a conectar el disco USB:

Puede simularlo con el siguiente comando:
blockdev --rereadpt /dev/sdc
Ahora la etiqueta backup aparecerá en la página Copia de seguridad (datos).
Correo electrónico
El módulo de correo electrónico se divide en tres partes principales:

Servidor SMTP para enviar y recibir1
Servidor IMAP y POP3 para leer el correo electrónico2 , y el lenguaje Sieve para organizarlo3
Filtro anti-spam, antivirus y bloqueador de archivos adjuntos4
Los beneficios son
autonomía completa en la gestión del correo electrónico
evitar problemas por el Proveedor de Servicios de Internet
capacidad de seguimiento de la ruta de los mensajes con el fin de detectar errores
análisis antivirus y antispam optimizados
Consulte también los siguientes temas relacionados:
Cómo funciona el correo electrónico5
Registro MX DNS6
1 Postfix mail server http://www.postfix.org/
2 Dovecot Secure IMAP server http://www.dovecot.org/
3 Lenguaje de filtrado de correo https://en.wikipedia.org/wiki/Sieve_(mail_filtering_language)
4 MTA/content-checker interface http://www.ijs.si/software/amavisd/
5 Correo electrónico, https://es.wikipedia.org/wiki/Correo_electrónico
6 El registro MX DNS, https://es.wikipedia.org/wiki/MX_(registro)
Simple Mail Transfer Protocol (SMTP)7
Dominios
NethServer puede manejar un número ilimitado de dominios de correo, configurable desde la página Correo electró-
nico > Dominios. Para cada dominio hay dos alternativas:
Entregar mensajes a buzones locales, de acuerdo con el formato Maildir8 .
Retransmitir mensajes a otro servidor de correo.
Nota: Si se elimina un dominio, el correo electrónico no se eliminará; Se conserva cualquier mensaje recibido.
NethServer permite almacenar una copia oculta de todos los mensajes dirigidos a un dominio particular: estos serán
entregados al destinatario final y también a una dirección de correo electrónico personalizada. La copia oculta se activa
mediante la casilla de verificación Enviar siempre una copia (Cco).
Advertencia: En algunos países, habilitar la opción Enviar siempre una copia (Cco) puede estar en contra de las
leyes de privacidad.
NethServer puede automáticamente añadir un aviso legal a los mensajes enviados. Este texto se llama renuncia y
puede utilizarse para cumplir con algunos requisitos legales. Tenga en cuenta firma y renuncia son conceptos muy
diferentes.
La firma debe insertarse dentro del texto del mensaje sólo por el cliente de correo (MUA, Mail User Agent): Outlook,
Thunderbird, etc. Normalmente es un texto definido por el usuario que contiene información como direcciones de
remitente y números de teléfono.
Ejemplo de firma:
John Smith
President | My Mighty Company | Middle Earth
555-555-5555 | john@mydomain.com | http://www.mydomain.com
La “renuncia” es un texto fijo y solo puede ser adjunto (no añadido) a los mensajes del servidor de correo.
Esta técnica permite mantener la integridad del mensaje en caso de firma digital.
Ejemplo de renuncia:
This email and any files transmitted with it are confidential and
intended solely for the use of the individual or entity to whom they
are addressed. If you have received this email in error please
notify the system manager. This message contains confidential
information and is intended only for the individual named.
El texto de la renuncia puede contener el código Markdown9 para dar formato al texto.
7 SMTP, https://es.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol
8 El formato Maildir, https://es.wikipedia.org/wiki/Maildir
9 La sintaxis de formato de texto plano Markdown, https://es.wikipedia.org/wiki/Markdown
4.2. Correo electrónico 33

Correos electrónicos
Cada usuario tiene un buzón personal y cualquier nombre de usuario en el formulario <username>@<domain> es
también una dirección de correo electrónico válida para entregar mensajes en él.
La lista de buzones aparece en la página Direcciones de correo electrónico > Buzones de usuario. El botón Editar per-
mite deshabilitar el Acceso a servicios de correo electrónico (IMAP, POP3, SMTP/AUTH) para un usuario específico.
Los mensajes enviados al buzón de ese usuario pueden ser reenviados a una dirección de correo electrónico externa.
Advertencia: Si el sistema está enlazado a proveedor de cuenta remota y una cuenta de usuario se elimina
remotamente, el buzón asociado debe borrarse manualmente. El prefijo de la ruta del sistema de archivos es /
var/lib/nethserver/vmail/.
Los buzones se pueden compartir entre grupos de usuarios. La página Direcciones de correo electrónico > Buzones
compartidos permite crear un nuevo buzón compartido y definir uno o más grupos propietarios. Los buzones de correo
compartidos también pueden ser creados por cualquier cliente IMAP que soporte la extensión de protocolo ACL IMAP
(RFC 4314).
El sistema permite la creación de un número ilimitado de direcciones de correo electrónico adicionales, desde la página
Direcciones de correo electrónico > Alias de correo. Cada alias de correo está asociado a uno o más destinos. Un
destino puede ser de los siguientes tipos:
buzón del usuario,
buzón compartido,
dirección de correo electrónico externa.
Un alias de correo puede enlazarse a cualquier dominio de correo o ser específico de un dominio de correo. Por
ejemplo:
Primer dominio: mydomain.net
Segundo dominio: example.com
La dirección de correo electrónico info es válida para ambos dominios: info@mydomain.net, in-
fo@example.com
Dirección de correo electrónico goofy válido sólo para un dominio: goofy@example.com
A veces una compañía prohíbe las comunicaciones de fuera de la organización usando direcciones de correo electróni-
co personales. La opción Sólo red local bloquea la posibilidad de una dirección para recibir correo electrónico desde el
exterior. Sin embargo, la dirección “sólo de red local” se puede utilizar para intercambiar mensajes con otras cuentas
del sistema.
Configuración del buzón
La página Correo electrónico > Buzones controla qué protocolos están disponibles para acceder a un buzón de usuario:
IMAP10 (recomendado)
POP311 (obsoleto)
Por razones de seguridad, todos los protocolos requieren el cifrado STARTTLS de forma predeterminada. El comando
Permitir conexiones sin cifrar, desactiva este requisito importante y permite pasar contraseñas y contenido de correo
de texto claro en la red.
10 IMAP https://es.wikipedia.org/wiki/Internet_Message_Access_Protocol
11 POP3 https://es.wikipedia.org/wiki/Post_Office_Protocol
Advertencia: ¡No permita conexiones no cifradas en entornos de producción!
Desde la misma página, el espacio en disco’ de cada buzón se puede limitar a un valor predeterminado de :dfn:‘cuota.
Si la cuota de buzón está habilitada, la página Dashboard > Cuota de correo’ resume el uso de cuota para cada usuario.
Este resumen se actualiza cuando un usuario inicia sesión o se envía un mensaje. La cuota se puede personalizar para
un usuario específico en :guilabel:‘Direcciones de correo electrónico > Buzones de usuario > Editar > Cuota de
buzón personalizado.
Los mensajes marcados como spam (ver Filtro) se pueden mover automáticamente a la carpeta Basura activando
la opción Mueve a la carpeta “Basura”. Los mensajes de spam se eliminan automáticamente después de que haya
transcurrido el período de espera. El período de espera de spam se puede personalizar para un usuario específico en
Direcciones de correo electrónico > Buzones de usuario > Editar > Personalizar retención de mensajes de spam.
El usuario root puede hacerse pasar por otro usuario, ganando derechos completos a cualquier contenido de buzón y
permisos de carpeta. La opción Root puede iniciar sesión como otro usuario controla este empoderamiento, conocido
también como usuario maestro en2 .
Cuando Root puede iniciar sesión como otro usuario está habilitado, las siguientes credenciales son aceptadas por el
servidor IMAP:
Nombre de usuario con el sufijo ‘‘ *root‘‘ añadido
Contraseña de root
Por ejemplo, para acceder como john con la contraseña root secr3t, utilice las siguientes credenciales:
Nombre de usuario: john*root
Contraseña: secr3t
Mensajes
Desde la página Correo electrónico > Mensajes, el cursor Máximo tamaño del mensajes de cola ajusta el tamaño
máximo de los mensajes que atraviesan el sistema. Si se excede este límite, un mensaje no puede entrar en el sistema
en absoluto y se rechaza.
Una vez que un mensaje entra en NethServer, se mantiene en una cola, esperando la entrega final o la retransmisión.
Cuando NethServer retransmite un mensaje a un servidor remoto, pueden producirse errores. Por ejemplo,
La conexión de red falla, o
El otro servidor está inactivo o está sobrecargado.
Estos y otros errores son temporales: en tales casos, NethServer intenta volver a conectar el host remoto a intervalos
regulares hasta que se alcance un límite. El control deslizante Vida del mensaje de cola cambia este límite. De forma
predeterminada, se establece en 4 días.
Mientras los mensajes están en la cola, el administrador puede solicitar un intento inmediato de retransmisión de
mensajes, pulsando el botón Intento de envío desde la página Correo electrónico > Gestión de colas. De lo contrario,
el administrador puede eliminar de forma selectiva los mensajes en cola o vaciarla con el botón Borrar todo.
Para mantener una copia oculta de cualquier mensaje que atraviese el servidor de correo, active la casilla de verifi-
cación Enviar siempre una copia (Cco). Esta característica es diferente de la misma casilla de verificación en Correo
electrónico > Dominio, ya que no diferencia entre dominios de correo y captura también cualquier mensaje saliente.
Advertencia: En algunos países, habilitar la opción Enviar siempre una copia (Cco) puede estar en contra de las
leyes de privacidad.

Smarthost
The Email > Smarthost page, configures all outgoing messages to be directed through a special SMTP server, techni-
cally named smarthost. A smarthost accepts to relay messages under some restrictions. It could check:
La dirección IP del cliente,
Las credenciales SMTP AUTH del cliente.
Nota: Por lo general, no se recomiendan envíos a través de smarthost. Puede ser utilizado sólo si el servidor está
temporalmente en la lista negra12 , o el acceso SMTP normal está restringido por el ISP.
Filtro
Todos los mensajes de correo electrónico en tránsito están sujetos a una lista de comprobaciones que se pueden activar
selectivamente en la página: Correo electrónico > Filtro
Bloque de archivos adjuntos
Anti-virus
Anti-spam
Bloque de archivos adjuntos
El sistema puede inspeccionar los archivos adjuntos de correo, denegando el acceso a mensajes que contengan formatos
de archivo prohibidos. El servidor puede comprobar las siguientes clases de datos adjuntos:
ejecutables (eg. exe, msi)
archivos (eg. zip, tar.gz, docx)
Lista de formato de archivo personalizado
El sistema reconoce los tipos de archivo mirando su contenido, independientemente del nombre del archivo adjunto.
Por lo tanto, es posible que el archivo MS Word (docx) y OpenOffice (odt) estén bloqueados porque en realidad
también son archivos zip.
Anti-virus
El componente antivirus detecta mensajes de correo electrónico que contienen virus. Los mensajes infectados se
descartan. La base de datos de firmas de virus se actualiza periódicamente.
Anti-spam
El componente anti-spam14 analiza los correos electrónicos detectando y clasificando mensajes spam13 usando criterios
heurísticos, reglas predeterminadas y evaluaciones estadísticas sobre el contenido de los mensajes. Las reglas son
públicas y se actualizan regularmente. El filtro también puede comprobar si el servidor remitente aparece en una o más
listas negras (DNSBL). Una puntuación está asociada a cada regla.
12 DNSBL https://en.wikipedia.org/wiki/DNSBL
14 Página de inicio de Spamassassin http://wiki.apache.org/spamassassin/Spam
13 SPAM https://es.wikipedia.org/wiki/Spam
La puntuación total de spam recogida al final del análisis permite al servidor decidir si rechazar el mensaje o marcarlo
como spam y entregarlo de todos modos. Los umbrales de puntuación se controlan mediante los siguientes controles
Umbral de spam y Denegar el umbral de spam de mensajes en la página Correo electrónico > Filtro.
Los mensajes marcados como spam tienen una cabecera especial X-Spam-Flag: SI. La opción Añadir un prefijo
al asunto de los mensajes de spam hace que el indicador de spam sea visible en el asunto del mensaje, prefijando la
cadena dada al encabezado‘‘Asunto‘‘.
Los filtros estadísticos, llamados Bayesian15 , son reglas especiales que evolucionan y se adaptan rápidamente al aná-
lisis de mensajes marcados como spam o ham.
Los filtros estadísticos pueden ser entrenados con cualquier cliente IMAP simplemente moviendo un mensaje dentro
y fuera del directorio Carpeta de correo basura. Como requisito previo, la carpeta de correo electrónico no deseado
debe estar habilitada desde la página :guilabel:’Correo electrónico > Buzones’ marcando Mueve a la opción “Carpeta
de correo basura”.
Al poner un mensaje en la carpeta de correo basura, los filtros aprenden que es spam y asignará una puntuación
más alta a mensajes similares.
Por el contrario, al sacar un mensaje de la carpeta de correo basura, los filtros aprenden que este es ham: la
próxima vez se le asignará una puntuación menor.
De forma predeterminada, todos los usuarios pueden entrenar los filtros utilizando esta técnica. Si existe un grupo
llamado spamtrainers, sólo los usuarios de este grupo podrán entrenar los filtros.
Nota: Es un buen hábito comprobar frecuentemente la carpeta de correo basura para no perder el correo electrónico
equivocadamente reconocido como spam.
Si el sistema no reconoce el spam correctamente incluso después del entrenamiento, las listas blancas y listas negras
pueden ayudar. Esas son listas de direcciones de correo electrónico o dominios respectivamente siempre permitidos y
siempre bloqueados para enviar o recibir mensajes.
La sección Reglas por correo electrónico permite crear tres tipos de reglas:
Bloquear de: cualquier mensaje del remitente especificado está bloqueado
Permitir de: se acepta cualquier mensaje del remitente especificado
Permitir a: se acepta cualquier mensaje al destinatario especificado
Es posible crear una regla de “Permitir” o “Bloquear” incluso para un dominio de correo electrónico completo, no
sólo para una dirección de correo electrónico única: solo necesita especificar el dominio deseado (por ejemplo: neth-
server.org).
Nota: Las verificaciones de antivirus se aplican a pesar de la configuración de lista blanca.
Bloquear el puerto 25
Si el sistema actúa como puerta de enlace de red, las zonas verde y azul no podrán enviar correo a servidores externos
a través del puerto 25 (SMTP). El bloqueo del puerto 25 podría impedir que las máquinas controladas remotamente
dentro de la LAN enviasen SPAM.
El administrador puede cambiar esta política creando una regla de firewall personalizada dentro de la página Reglas.
15 Filtrado Bayesiano https://en.wikipedia.org/wiki/Naive_Bayes_spam_filtering

Configuración del cliente
El servidor admite clientes de correo electrónico estándar que cumplan con los siguientes puertos IANA:
imap/143
pop3/110
smtp/587
sieve/4190
La autenticación requiere el comando STARTTLS y admite las siguientes variantes:
LOGIN
PLAIN
GSSAPI (Sólo si NethServer está vinculado a Samba/Microsoft Active Directory)
También los siguientes puertos habilitados para SSL están disponibles para software heredado que aún no admite
STARTTLS:
imaps/993
pop3s/995
smtps/465
Advertencia: El puerto estándar SMTP 25 está reservado para transferencias de correo entre servidores MTA. En
los clientes sólo utilizan puertos de envío.
Si NethServer actúa también como servidor DNS en la LAN, registra su nombre como registro MX junto con los
siguientes alias:
smtp.<domain>
imap.<domain>
pop.<domain>
pop3.<domain>
Por ejemplo:
Dominio: mysite.com
Hostname: mail.mysite.com
MX record: mail.mysite.com
Aliases disponibles: smtp.mysite.com, imap.mysite.com, pop.mysite.com, pop3.mysite.
com.
Nota: Algunos clientes de correo electrónico (por ejemplo, Mozilla Thunderbird) pueden utilizar alias de DNS y
registro MX para configurar automáticamente las cuentas de correo electrónico simplemente escribiendo la dirección
de correo electrónico.
Para deshabilitar MX locales y alias, acceda a la consola de root y escriba:
config setprop postfix MxRecordStatus disabled

signal-event nethserver-hosts-update
Políticas especiales de acceso SMTP
La configuración predeterminada de NethServer requiere que todos los clientes utilicen el puerto de envío (587) con
cifrado y autenticación habilitados para enviar correo a través del servidor SMTP.
Para facilitar la configuración de los entornos heredados, la página Correo electrónico > Acceso SMTP permite realizar
algunas excepciones en la directiva de acceso SMTP predeterminada.
Advertencia: ¡No cambie la política predeterminada en nuevos entornos!
Por ejemplo, hay algunos dispositivos (impresoras, escáneres, ...) que no son compatibles con la autenticación SMTP,
el cifrado o la configuración de puertos. Estos pueden estar habilitado para enviar mensajes de correo electrónico por
lista de su dirección IP en: guilabel:Permitir la retransmisión de direcciones IP area de texto
Además, bajo Opciones avanzadas hay otras opciones:
La opción Permitir la retransmisión desde redes de confianza permite a cualquier cliente de las redes de con-
fianza enviar mensajes de correo electrónico sin ninguna restricción.
La opción Habilitar la autenticación en el puerto 25 permite a los clientes SMTP autenticados enviar mensajes
de correo electrónico también en el puerto 25.
HELO personalizada
El primer paso de una sesión SMTP es el intercambio de comando HELO (o EHLO). Este comando toma un nombre
de servidor válido como parámetro requerido (RFC 1123).
NethServer y otros servidores de correo intentan reducir el spam al no aceptar dominios HELO que no estén registrados
en un DNS público.
Al hablar con otro servidor de correo, NethServer utiliza su nombre de host completo (FQDN) como el valor para el
comando HELO. Si el FQDN no está registrado en el DNS público, el HELO se puede fijar estableciendo un apoyo
especial. Por ejemplo, asumiendo que “myhelo.example.com” es el registro DNS registrado públicamente, escriba los
siguientes comandos:
config setprop postfix HeloHost myhelo.example.com

signal-event nethserver-mail-common-save
Esta configuración también es valiosa si el servidor de correo está utilizando un servicio DNS dinámico gratuito.
Correo eliminado de Outlook
A diferencia de casi cualquier cliente IMAP, Outlook no mueve los mensajes eliminados a la papelera, pero simple-
mente los marca como “eliminados”.
Es posible mover automáticamente mensajes dentro de la papelera utilizando los siguientes comandos:
config setprop dovecot DeletedToTrash enabled

signal-event nethserver-mail-server-save
También debe cambiar la configuración de Outlook para ocultar mensajes eliminados de la carpeta Bandeja de entrada.
Esta configuración está disponible en el menú de opciones.

Registro
Cada operación del servidor de correo se guarda en los siguientes archivos de registro:
/var/log/maillog registra todas las transacciones de correo
/var/log/imap contiene las operaciones de inicio de sesión y cierre de sesión de los usuarios
Una transacción registrada en el archivo maillog normalmente implica diferentes componentes del servidor de
correo. Cada línea contiene respectivamente
La marca de tiempo,
El nombre de host,
El nombre del componente y el ID de proceso de la instancia de componente
Un mensaje de texto que detalla la operación
Una imagen de todo el sistema está disponible en workaround.org16 .
Referencias
Webmail
El cliente predeterminado webmail es Roundcube. Las principales características de Roundcube son:

Simple y rápido
Libreta de direcciones integradas adaptado con LDAP interno
Soporte para mensajes HTML
Soporte para carpetas compartidas
Plugins
El webmail está disponible en las siguientes URL:
http://_server_/webmail
http://_server_/roundcubemail
Por ejemplo, dado un servidor con dirección IP 192.168.1.1 * y nombre *mail.mydomain.com, las direcciones válidas
son:
http://192.168.1.1/webmail
http://192.168.1.1/roundcubemail
http://mail.mydomain.com/webmail
http://mail.mydomain.com/roundcubemail
Nota: If NethServer is bound to a remote Active Directory account provider a dedicated user account in AD is required
by the module to be fully operational! See Unirse a un dominio de Active Directory existente.
16 Las formas maravillosas de un correo electrónico https://workaround.org/ispmail/wheezybig-picture/
Plugins
Roundcube soporta muchos complementos que ya están incluidos en la instalación.

Los complementos habilitados por defecto son:
Administrar filtros: gestionar filtros para el correo entrante
Marcar como basura: marque los mensajes seleccionados como basura y muévalos a la carpeta de correo no
deseado configurada
Complementos recomendados:
Notificador de nuevo correo
Emoticonos
Soporte VCard
Los complementos se pueden agregar o eliminar editando la lista separada por comas dentro de la propiedad
Plugins. Por ejemplo, para habilitar “notificación de correo”, “marcar como basura” y “administrar filtrado”, ejecute
desde la línea de comandos:
config setprop roundcubemail PluginsList managesieve,markasjunk,newmail_notifier

signal-event nethserver-roundcubemail-update
Se puede encontrar una lista de complementos agrupados dentro del directorio /usr/share/roundcubemail/
plugins. Para obtener la lista, ejecute:
ls /usr/share/roundcubemail/plugins
Acceso
Con la configuración predeterminada webmail es accesible mediante HTTPS desde cualquier red.
Si desea restringir el acceso sólo a redes verdes y de confianza, ejecute:
config setprop roundcubemail access private

Si desea abrir el acceso desde cualquier red:
config setprop roundcubemail access public

Quitar
Si desea eliminar Roundcube, ejecute el siguiente comando en la consola del servidor.
yum autoremove nethserver-roundcubemail
WebTop 4
WebTop es un groupware completo que implementa el protocolo ActiveSync.

El acceso a la interfaz web es: https://<server_name>/webtop.
4.4. WebTop 4 41
Autenticación
Nota: Cuando el servidor está configurado para utilizar un proveedor de cuentas remoto, WebTop no rellena correcta-
mente el nombre y el apellido de los usuarios. Cada usuario debe modificar su propio nombre y apellido en el primer
inicio de sesión.
Interfaz web
El método de acceso a la aplicación web es con un nombre de usuario y una contraseña simples, independientemente
de cuántos dominios de correo estén configurados.
Ejemplo
Nombre del servidor: mymail.mightydomain.com
Dominio de correo alternativo: baddomain.net
Usuario: goofy
Ingresar: goofy
Sincronización activa
Iniciar sesión en la cuenta de Active Sync se puede realizar con <username>@<domain> donde <domain> es la
parte del dominio del servidor FQDN.
Ejemplo
Usuario: goofy
Nombre de usuario: goofy@mightydomain.com
Al configurar una cuenta de Active Sync, asegúrese de especificar la dirección del servidor y de dejar el campo de
dominio vacío.
Nota: El protocolo Active Sync sólo se admite en dispositivos Android e iOS. Outlook no es compatible. La sincro-
nización de correo no es compatible actualmente.
Usuario administrador
Después de la instalación, WebTop será accesible a través del usuario administrador. El usuario administrador puede
cambiar la configuración global y el inicio de sesión como todos los demás usuarios, sin embargo, no es un usuario
del sistema y no puede acceder a otros servicios como correo, calendario, etc.
Las credenciales predeterminadas son:
Usuario: admin
Contraseña: admin
La contraseña del usuario administrador debe cambiarse desde dentro de la interfaz WebTop.
Advertencia: ¡Recuerde cambiar la contraseña de administrador justo después de la instalación!
Para comprobar el correo de la cuenta de administrador de usuario del sistema, utilice el siguiente inicio de sesión:
admin@<domain> donde <domain> es la parte del dominio del servidor FQDN.
Ejemplo
Usuario: admin
Nombre de usuario: admin@mightydomain.com
WebTop vs SOGo
WebTop y SOGo se pueden instalar en la misma máquina.

ActiveSync está habilitada de forma predeterminada en SOGo y WebTop, pero si ambos paquetes están instalados,
SOGo tendrá prioridad.
Para deshabilitar ActiveSync en SOGo:
config setprop sogod ActiveSync disabled

signal-event nethserver-sogo-update
Para deshabilitar ActiveSync en WebTop:
config setprop webtop ActiveSync disabled

signal-event nethserver-webtop4-update
Todos los filtros de correo entrantes configurados dentro de SOGo, deben ser recreados manualmente dentro de la
interfaz WebTop. Esto también se aplica si el usuario está cambiando de WebTop a SOGo.
Importando desde SOGo
Por favor, lea todas las instrucciones antes de importar cualquier dato para asegurar que la importación sea
exitosa
La migración de los datos del calendario y de la libreta de direcciones de SOGo a WebTop se puede realizar mediante
las siguientes secuencias de comandos y siguiendo los pasos que se enumeran a continuación:
Calendarios: /usr/share/webtop/doc/sogo2webtop_cal.php
Libretas de direcciones: /usr/share/webtop/doc/sogo2webtop_card.php
Antes de utilizar las secuencias de comandos, debe instalar este paquete:
yum install php-mysql -y
Al iniciar los scripts, indique el nombre de usuario que desea importar desde SOGo:
php /usr/share/webtop/doc/sogo2webtop_cal.php <user>

php /usr/share/webtop/doc/sogo2webtop_card.php <user>
4.4. WebTop 4 43
Donde usuario puede ser un nombre de usuario o todos.

Ejemplos
Para importar todas las libretas de direcciones de SOGo:
php /usr/share/webtop/doc/sogo2webtop_card.php all
Para importar el calendario del usuario “foo”:
php /usr/share/webtop/doc/sogo2webtop_cal.php foo
Nota: Si la secuencia de comandos se ejecuta varias veces, tanto los calendarios como las libretas de direcciones se
importarán varias veces. Actualmente, no se admite la importación de listas de distribución y eventos recurrentes.
Importación desde Outlook PST
Puede importar correo electrónico, calendarios y libretas de direcciones desde un archivo Outlook PST.
Antes de usar los scripts siguientes, necesitará instalar el paquete libpst:
yum install libpst -y
Correo
Script inicial para importar mensajes de correo: /usr/share/webtop/doc/pst2webtop.sh

Para iniciar la importación, ejecute el script especificando el archivo PST y el usuario del sistema:
/usr/share/webtop/doc/pst2webtop.sh <filename.pst> <user>
Se importarán todos los mensajes de correo. Los contactos y los calendarios se guardarán dentro de los archivos
temporales para su posterior importación. El script mostrará todos los archivos temporales creados.
Contactos
Script para importar contactos: /usr/share/webtop/doc/pst2webtop_card.php.

El script utilizará los archivos generados desde la fase de importación de correo:
/usr/share/webtop/doc/pst2webtop_card.php <user> <file_to_import> <phonebook_category>
Ejemplo
Supongamos que el script pst2webtop.sh ha generado la siguiente salida de la importación de correo:
Contacts Folder found: Cartelle personali/Contatti/contacts

Import to webtop:
./pst2webtop_card.php foo '/tmp/tmp.0vPbWYf8Uo/Cartelle personali/Contatti/contacts'
˓→<foldername>
Para importar la libreta de direcciones predeterminada (WebTop) de *foo usuario:
/usr/share/webtop/doc/pst2webtop_card.php foo '/tmp/tmp.0vPbWYf8Uo/Cartelle personali/

˓→Contatti/contacts' WebTop
Calendarios
Script para importar calendarios: /usr/share/webtop/doc/pst2webtop_cal.php

El script utilizará los archivos generados desde la fase de importación de correo:
/usr/share/webtop/doc/pst2webtop_cal.php <user> <file_to_import> <foldername>
Ejemplo
Supongamos que el script pst2webtop.sh ha generado la siguiente salida de la importación de correo:
Events Folder found: Cartelle personali/Calendario/calendar

Import to webtop:
./pst2webtop_cal.php foo '/tmp/tmp.0vPbWYf8Uo/Cartelle personali/Calendario/calendar'
˓→<foldername>
Para importar el calendario predeterminado (WebTop) de foo usuario:
/usr/share/webtop/doc/pst2webtop_cal.php foo '/tmp/tmp.0vPbWYf8Uo/Cartelle personali/

˓→Calendario/calendar' WebTop
Nota: El script importará todos los eventos utilizando la zona horaria seleccionada por el usuario dentro de WebTop,
si se establece. De lo contrario se utilizará la zona horaria del sistema.
Integración de Google y Dropbox
Los usuarios pueden agregar sus propias cuentas de Google Drive y Dropbox dentro de WebTop. Antes de continuar,
el administrador debe crear un par de credenciales de acceso a la API.
API de Google
Acceder a https://console.developers.google.com/project y crear un nuevo proyecto

Cree nuevas credenciales seleccionando el tipo “OAuth 2.0 clientID” y recuerde compilar la sección “Pantalla
de consentimiento de OAuth”
Inserte nuevas credenciales (Client ID e Client Secret) dentro de la configuración de WebTop
Desde shell, accede a la base de datos webtop:
su - postgres -c "psql webtop"
Ejecute las consultas, utilizando el valor correspondiente en lugar de la variable __value__:
INSERT INTO settings (idsetting,value) VALUES ('main.googledrive.clientid', '__

˓→value__');
INSERT INTO settings (idsetting,value) VALUES ('main.googledrive.clientsecret', '_

˓→_value__');
4.4. WebTop 4 45
API de Dropbox
Acceder a https://www.dropbox.com/developers/apps y crear una nueva aplicación

Inserte el nuevo par de claves de credencial (App key e App secret) dentro de la configuración de WebTop
INSERT INTO settings (idsetting,value) VALUES ('main.googledrive.clientsecret', '_

˓→_value__');
INSERT INTO settings (idsetting,value) VALUES ('main.dropbox.appsecret', '__value_

˓→_');
Si necesita aumentar el límite de usuario, lea la documentación oficial de Dropbox.
Nota: La versión Enterprise ya está integrada con Google y Dropbox.
WebTop 5
WebTop es un groupware completo que implementa el protocolo ActiveSync.

El acceso a la interfaz web es: https://<server_name>/webtop.
Autenticación
Utilice siempre el formato de nombre de usuario completo “<user>@<domain>” para iniciar sesión en la aplicación
web y Active Sync
Ejemplo
Usuario: goofy
Nombre de usuario: goofy@mightydomain.com
Nota: El protocolo Active Sync sólo se admite en dispositivos Android e iOS. Outlook no es compatible. La sincro-
nización de correo no es compatible actualmente.
Usuario administrador
Después de la instalación, WebTop será accesible a través del usuario administrador. El usuario administrador puede
cambiar la configuración global y el inicio de sesión como todos los demás usuarios, sin embargo, no es un usuario
del sistema y no puede acceder a otros servicios como correo, calendario, etc.
Las credenciales predeterminadas son:
Usuario: admin
Contraseña: admin
La contraseña del usuario administrador debe cambiarse desde dentro de la interfaz WebTop.
Advertencia: ¡Recuerde cambiar la contraseña de administrador justo después de la instalación!
Para comprobar el correo de la cuenta de administrador de usuario del sistema, utilice el siguiente inicio de sesión:
admin@<domain> donde <domain> es la parte del dominio del servidor FQDN.
Ejemplo
Usuario: admin
Nombre de usuario: admin@mightydomain.com
Nextcloud integration
Nextcloud installation is disabled by default for all users. To enable Nextcloud integration:
1. Install “Nextcloud” module from Software Center.
2. Access WebTop as admin user then enable the Nextcloud authorization:
Access the Administration menu, then Domains → NethServer → Groups → Users → Authorizations
Add (+) → Services → com.sonicle.webtop.vfs (Cloud) → Resource → STORE_CLOUD → Action →
CREATE
:menuselection:‘Add (+) –> Services –> com.sonicle.webtop.vfs (Cloud) –> Resource –> STO-
RE_OTHER –> Action –> CREATE
Click OK then save and close
Chat integration
Web chat integration installation is disabled by default for all users. To enable chat integration:
1. Install “Instant messaging”” module from Software Center.
2. Access WebTop as admin user then enable the web chat authorization:
Access the Administration menu, then Domains → NethServer → Groups → Users → Authorizations
Add (+) → Services → com.sonicle.webtop.core (WebTop) → Resource → WEBCHAT → Action → AC-
CESS
Click OK then save and close
4.5. WebTop 5 47
Importing from Outlook PST
You can import email, calendars and address books from an Outlook PST archive.
Before using followings scripts, you will need to install libpst package:
yum install libpst -y
Also make sure the PHP timezone corresponds to the server timezone:
config getprop php DateTimezone
PHP time zone can be updated using the following command:
config setprop php DateTimezone Europe/Rome

signal-event nethserver-php-update
Mail
Initial script to import mail messages: /usr/share/webtop/doc/pst2webtop.sh

To start the import, run the script specifying the PST file and the system user:
/usr/share/webtop/doc/pst2webtop.sh <filename.pst> <user>
Example:
# /usr/share/webtop/doc/pst2webtop.sh data.pst goofy

Do you wish to import email? [Y]es/[N]o:
All mail messages will be imported. Contacts and calendars will be saved inside a temporary and the script will output
further commands to import contacts and calendars.
Example:
Events Folder found: Outlook/Calendar/calendar

pst2webtop_cal.php goody '/tmp/tmp.Szorhi5nUJ/Outlook/Calendar/calendar' <foldername>
...
log created: /tmp/pst2webtop14271.log
All commands are saved also in the reported log.
Contacts
Script for contacts import: /usr/share/webtop/doc/pst2webtop_card.php.

The script will use files generated from mail import phase:
/usr/share/webtop/doc/pst2webtop_card.php <user> <file_to_import> <phonebook_category>
Ejemplo
Let us assume that the pst2webtop.sh script has generated following output from mail import:
Contacts Folder found: Personal folders/Contacts/contacts

Import to webtop:
./pst2webtop_card.php foo '/tmp/tmp.0vPbWYf8Uo/Personal folders/Contacts/contacts'
˓→<foldername>
To import the default address book (WebTop) of foo user:
/usr/share/webtop/doc/pst2webtop_card.php foo '/tmp/tmp.0vPbWYf8Uo/Personal folders/

˓→Contacts/contacts' WebTop
Calendars
Script for calendars import: /usr/share/webtop/doc/pst2webtop_cal.php

The script will use files generated from mail import phase:
/usr/share/webtop/doc/pst2webtop_cal.php <user> <file_to_import> <foldername>
Ejemplo
Let us assume that the pst2webtop.sh script has generated following output from mail import:
Events Folder found: Personal folders/Calendar/calendar

Import to webtop:
./pst2webtop_cal.php foo '/tmp/tmp.0vPbWYf8Uo/Personal folders/Calendar/calendar'
˓→<foldername>
To import the default calendar (WebTop) of foo user:
/usr/share/webtop/doc/pst2webtop_cal.php foo '/tmp/tmp.0vPbWYf8Uo/Personal folders/

˓→Calendar/calendar' WebTop
Known limitations:
only the first occurrence of recurrent events will be imported
Outlook reminders will be ignored
Nota: The script will import all events using the timezone selected by the user inside WebTop, if set. Otherwise
system timezone will be used.
WebTop vs SOGo
WebTop y SOGo se pueden instalar en la misma máquina.

ActiveSync está habilitada de forma predeterminada en SOGo y WebTop, pero si ambos paquetes están instalados,
SOGo tendrá prioridad.
Para deshabilitar ActiveSync en SOGo:
config setprop sogod ActiveSync disabled

signal-event nethserver-sogo-update
Para deshabilitar ActiveSync en WebTop:
4.5. WebTop 5 49
config setprop webtop ActiveSync disabled

signal-event nethserver-webtop5-update
Todos los filtros de correo entrantes configurados dentro de SOGo, deben ser recreados manualmente dentro de la
interfaz WebTop. Esto también se aplica si el usuario está cambiando de WebTop a SOGo.
Integración de Google y Dropbox
Los usuarios pueden agregar sus propias cuentas de Google Drive y Dropbox dentro de WebTop. Antes de continuar,
el administrador debe crear un par de credenciales de acceso a la API.
API de Google
Acceder a https://console.developers.google.com/project y crear un nuevo proyecto

Cree nuevas credenciales seleccionando el tipo “OAuth 2.0 clientID” y recuerde compilar la sección “Pantalla
de consentimiento de OAuth”
Inserte nuevas credenciales (Client ID y Client Secret) dentro de la configuración de WebTop
UPDATE core.settings SET value = '__value__' WHERE service_id = 'com.sonicle.webtop.

˓→core' AND key = 'googledrive.clientid';

˓→core' AND key = 'googledrive.clientsecret';
API de Dropbox
Acceder a https://www.dropbox.com/developers/apps y crear una nueva aplicación

Inserte el nuevo par de claves de credencial (App key e App secret) dentro de la configuración de WebTop

˓→core' AND key = 'dropbox.appkey';

˓→core' AND key = 'dropbox.appsecret';
Si necesita aumentar el límite de usuario, lea la documentación oficial de Dropbox.
POP3 proxy
Un usuario de la LAN puede configurar un cliente de correo electrónico para conectarse a un servidor POP3 externo
y descargar mensajes de correo. Tenga en cuenta que el correo recuperado podría contener virus que pueden infectar
cualquier equipo en la red.
El proxy POP3 intercepta la conexión a servidores externos en el puerto 110, luego analiza todo el correo electrónico
entrante, con el fin de bloquear los virus y etiquetar el spam. El proceso es absolutamente transparente para los
clientes de correo. El usuario creerá que están conectados directamente al servidor POP3 del proveedor, pero el proxy
interceptará todo el tráfico y gestionará la conexión al servidor.
Es posible activar selectivamente los siguientes controles:
antivirus: los mensajes que contienen virus son rechazados y se envía un correo electrónico de notificación al
usuario
spam: los mensajes serán marcados con las puntuaciones anti-spam apropiadas
POP3s
El proxy también puede interceptar conexiones POP3 en el puerto 995. El proxy establecerá una conexión segura con
el servidor externo, pero el intercambio de datos con el cliente LAN estará en texto claro.
Nota: Los clientes de correo deben estar configurados para conectarse al puerto 995 y tendrán que desactivar el
cifrado.
Conector POP3
La página Conector POP3 permite configurar una lista de cuentas de correo que se verán con regularidad. Los mensajes
procedentes de las cuentas remotas se entregarán a los usuarios locales.
No se recomienda utilizar el conector POP3 como método principal de administración de correo electrónico. La entrega
de correo puede verse afectada por el espacio en disco y los problemas de conectividad del servidor del proveedor.
Además, el filtro de spam será menos efectivo debido a la información original del sobre de correo electrónico que se
pierde.
Las cuentas POP3/IMAP se configuran desde la página :guilabel:’Conector POP3 > Cuentas’. Cada cuenta se puede
especificar:
la dirección de correo electrónico (como identificador de cuenta único)
el protocolo (IMAP/POP3/IMAP con SSL/POP3 con SSL)
La dirección del servidor remoto
Las credenciales de la cuenta
La cuenta de usuario local donde entregar mensajes
Si hay que borrar un mensaje desde el servidor remoto hacerlo después de la entrega
Revisión antiSPAM y antivirus
4.6. POP3 proxy 51

Nota: Se permite asociar más de una cuenta externa a una local. La eliminación de una cuenta no eliminará los
mensajes ya entregados.
Una vez completada la configuración de la cuenta, se comprueba automáticamente si hay correo nuevo.
La implementación en si se basa en Getmail1 . Después de recuperar los mensajes de correo del proveedor POP3/IMAP
Getmail aplica todos los filtros necesarios (SPAM y virus) antes de entregar el correo localmente. Todos los mensajes
se filtran de acuerdo con reglas configuradas.
Todas las operaciones se registran en /var/log/maillog.
Advertencia: Si se seleccionó una cuenta para la entrega y se ha suprimido posteriormente, la configuración se

vuelve incoherente. Si esto sucede, la configuración de la cuenta existente en Conector POP3 debe estar deshabi-
litada o borrada.
Referencias
Chat
El servicio: index:chat utiliza el protocolo estándar: index:Jabber/XMPP y soporta TLS en puertos estándar (5222 o
5223).
Las características principales son:
Messaging between users of the system
Administración del servidor de Chat
Mensajes de difusión
Grupo de chat
Mensajes sin conexión
Transferencia de archivos a través de LAN
Todos los usuarios del sistema pueden acceder al chat usando sus propias credenciales.
Cliente
Los clientes Jabber están disponibles para todas las plataformas de escritorio y móviles.
Algunos clientes comunes:
Pidgin está disponible para Windows y Linux
Adium para Mac OS X
BeejibelIM para Android e iOS, Xabber sólo para Android
1 Getmail es una utilidad de recuperación remota de correo http://pyropus.ca/software/getmail/
Cuando configure el cliente, asegúrese de que TLS (o SSL) esté habilitado. Introduzca el nombre de usuario y el
dominio de la máquina.
Si NethServer Es también el servidor DNS de la red, el cliente debe buscar automáticamente la dirección del servidor
a través de los registros DNS especiales preconfigurados. De lo contrario, especifique la dirección del servidor en las
opciones avanzadas.
Administradores
Todos los usuarios dentro del grupo jabberadmins son considerados administradores del servidor de chat.
Los administradores pueden:
Enviar mensajes de difusión
Compruebe el estatus de los usuarios conectados
El grupo jabberadmins es configurable desde la página Grupos.
UPS
NethServer soporta la gestión de UPS (Uninterruptible Power Supply - Fuente de Poder Ininterrumpible) conectado al
sistema.
El servidor se puede configurar de dos maneras:
maestro: UPS está conectado directamente al servidor, el servidor acepta conexiones de esclavos
esclavo: El UPS está conectado a otro servidor accesible a través de la red
Nota: Debe consultar la lista de modelos compatibles antes de comprar. Vía Administración > Centro de software
instale el paquete UPS. En Configuración aparece la nueva entrada UPS donde se puede encontrar el modelo soportado
escribiendo en el campo Buscar controlador para el modelo.
En modo maestro, el UPS puede conectarse al servidor:

en un puerto serial
en un puerto USB
con un adaptador USB a serial
En modo esclavo, deberá proporcionar la dirección IP del servidor maestro
La configuración predeterminada proporciona un apagado controlado en caso de ausencia de alimentación.
Dispositivo personalizado
Si el UPS está conectado a un puerto que no aparece en la interfaz web, puede configurar un dispositivo personalizado
con los siguientes comandos:
config setprop ups Device <your_device>

signal-event nethserver-nut-save
4.9. UPS 53
Estadísticas del UPS
Si el módulo estadístico (collectd) está instalado y funcionando, el módulo recopilará automáticamente datos estadís-
ticos sobre el estado del UPS.
Servidor de fax
El servidor de fax le permite enviar y recibir faxes a través de un módem conectado directamente a un puerto de
servidor o a través de modem virtual.
La interfaz web le permite configurar:
Código de área y número de fax
Remitente (TSI)
Un módem físico con parámetros de línea telefónica y cómo enviar / recibir faxes
Uno o más Módems virtuales
Notificaciones por correo electrónico para los faxes enviados y recibidos, con el documento adjunto en varios
formatos (PDF, PostScript, TIFF)
Imprimir faxes recibidos
Impresora Virtual Samba
Informe diario de los faxes enviados
Envío de faxes por correo electrónico
Modem
Aunque HylaFAX admite un gran número de marcas y modelos, recomendamos el uso de un módem externo en serie
o USB.
Si se bloquea un módem interno, debe reiniciar todo el servidor, mientras que un módem externo se puede desactivar
por separado. Además, la mayoría de los módems internos del mercado pertenece a la llamada familia de winmodem,
módems “de software” que necesitan un controlador, usualmente disponible sólo en Windows.
También tenga en cuenta que muchos módems externos USB también son winmodem.
Debe preferir los módems en Clase 1 o 1.0, especialmente si se basan en chips Rockwell/Conexant o Lucent/Agere.
El sistema también admite módems en las clases 2, 2.0 y 2.1.
Cliente
Recomendamos utilizar el cliente de fax YajHFC (http://www.yajhfc.de/) que se conecta directamente al servidor y
permite:
El uso de una libreta de direcciones LDAP
capacidad de seleccionar el módem para enviar
Ver el estado de los módems
Autenticación
El sistema admite dos métodos de autenticación para enviar faxes:

Basado en host: utiliza la dirección IP del equipo que envía la solicitud
PAM: utiliza nombre de usuario y contraseña, los usuarios deben pertenecer al grupo faxmaster. El grupo fax-
master debe ser creado explícitamente.
Asegúrese también de habilitar la opción Ver faxes de clientes.
Impresora virtual Samba
Si la opción SambaFax está habilitada, el servidor creará una impresora virtual llamada “sambafax” disponible para la
red local.
Cada cliente debe configurar la impresora mediante el controlador Apple LaserWriter 16/600 PS.
Los documentos enviados deben cumplir los siguientes requisitos previos:
Debe contener exactamente la cadena “Numero Fax:”, que contiene el número de fax, por ejemplo:
Numero Fax: 12345678
La cadena puede estar presente en cualquier posición del documento, pero en una sola línea
La cadena debe escribirse en fuentes sin mapa de bits (por ejemplo, Truetype)
Los faxes se enviarán mediante el ID de usuario que envía. Esta información se mostrará en la cola de faxes.
Mail2Fax
Todos los correos electrónicos enviados a la red local en sendfax@<domainname> serán transformados en un fax
y enviados al destinatario.
El <domainname> debe coincidir con un dominio de correo local configurado para la entrega local.
El correo electrónico debe cumplir con este formato:
El número del destinatario debe especificarse en el objeto (o asunto)
El correo electrónico debe estar en formato de texto sin formato
Puede contener archivos adjuntos como PDF o PS que se convertirán y enviarán con su fax
Nota: Este servicio está habilitado sólo para clientes que envían correo electrónico desde la red verde.
Módems virtuales
Los módems virtuales son módems de software conectados a un PBX (Asterisk usualmente) utilizando una extensión
IAX.
La configuración de los módems virtuales consta de dos partes:
1. Creación de la extensión IAX dentro de la PBX
2. Configuración del módem virtual
4.10. Servidor de fax 55

Firewall y gateway / Cortafuego y Puerta de enlace
NethServer Puede actuar como: index:cortafuego y puerta de enlace dentro de la red donde está instalado. Todo el
tráfico entre computadoras de la red local e Internet pasa a través del servidor que decide cómo enrutar paquetes y qué
reglas aplicar.
Principales características:
Configuración de red avanzada (puente, enlaces, alias, etc.)
Soporte multi WAN (hasta 15)
Gestión de reglas de firewall
Conformación del tráfico (QoS)
Reenvío de puertos
Reglas de enrutamiento para desviar tráfico en una WAN específica
Sistema de prevención de intrusiones (IPS, Intrusion Prevention System)
Inspección profunda de paquetes (DPI, Deep Packet Inspection)
Los modos de firewall y gateway sólo están habilitados si:
El paquete nethserver-firewall-base está instalado
Al menos hay una interfaz de red configurada con rol rojo
Política
Cada interfaz se identifica con un color que indica su función dentro del sistema. Véase red-sección.
Cuando un paquete de red pasa a través de una zona de cortafuegos, el sistema evalúa una lista de reglas para decidir
si el tráfico debe ser bloqueado o permitido. Políticas son las reglas predeterminadas que se aplicarán cuando el tráfico
de red no coincide con los criterios existentes.
El cortafuego implementa dos políticas predeterminadas editables desde la página Reglas de firewall -> :guilabel:‘
Configurar‘:
Allowed: all traffic from green to red is allowed
Bloqueado: todo el tráfico de la red verde a la red roja está bloqueado. Se debe permitir tráfico específico con
reglas personalizadas.
Las políticas de firewall permiten el tráfico entre zonas según este esquema:
GREEN -> BLUE -> ORANGE -> RED
El tráfico se permite de izquierda a derecha, bloqueado de derecha a izquierda.

Puede crear reglas entre zonas para cambiar las políticas predeterminadas de la página Reglas de firewall.
Nota: El tráfico desde la red local al servidor en el puerto SSH (predeterminado 22) y el puerto del Administrador del
servidor (predeterminado 980) es siempre permitido.
Reglas
Las Reglas se aplican a todo el tráfico que pasa a través del cortafuego. Cuando un paquete de red se desplaza de una
zona a otra, el sistema busca entre las reglas configuradas. Si el paquete coincide con una regla, se aplica la regla.
Nota: El orden de la regla es muy importante. El sistema siempre aplica la primera regla que coincide.
Una regla consta de cuatro partes principales:

Acción
Fuente
Destino
Servicio
Condición de tiempo
Las acciones disponibles son:
ACCEPT: acepta el tráfico de red
REJECT: bloquea el tráfico y notifica al host remitente
DROP: bloquea el tráfico, los paquetes se eliminan y no se envía ninguna notificación al host del remitente
ROUTE: enruta el tráfico al proveedor de WAN especificado. Véase Multi WAN.
Hi-Prio: marca el tráfico como prioridad alta. Véase Conformación del tráfico.
Low-Prio: marca el tráfico como prioridad baja. Véase Conformación del tráfico.
Nota: El cortafuego no generará reglas para las zonas azul y naranja, si al menos una interfaz roja está configurada.
REJECT vs DROP
Como regla general, debe utilizar: index: REJECT cuando desea informar al host de origen de que el puerto al que
está intentando acceder está cerrado. Por lo general, las reglas en el lado de LAN pueden usar REJECT.
Para conexiones desde Internet, se recomienda utilizar: index:DROP, con el fin de minimizar la divulgación de infor-
mación a cualquier atacante.
Registro
Cuando una regla coincide con el tráfico en curso, es posible registrar el evento en un archivo de registro marcando la
opción de la interfaz web. El registro de firewall se guarda en /var/log/firewall.log.
Inspección profunda de paquetes (DPI, Deep Packet Inspection)
La Deep Packet Inspection (DPI) [#DPI] _ es una avanzada técnica de filtrado de paquetes.
Cuando el módulo DPI está activo, los nuevos elementos del campo Servicio están disponibles en el formulario Editar
regla. Estos elementos están etiquetados como protocolo DPI, entre los elementos habituales de servicio de red y
objeto de servicio.
La lista completa de los protocolos DPI disponibles se puede obtener desde el Dashboard o con el siguiente comando:
4.11. Firewall y gateway / Cortafuego y Puerta de enlace 57

db NethServer::Database::Ndpi keys
Ejemplos
A continuación hay algunos ejemplos de reglas.

Bloquear todo el tráfico de DNS de la LAN a Internet:
Acción: REJECT
Fuente: verde
Destino: rojo
Servicio: DNS (puerto UDP 53)
Permitir que la red de invitados tenga acceso a todos los servicios que escuchan en Servidor1
Acción: ACCEPT
Fuente: azul
Destino: Servidor1
Servicio: -
Multi WAN
El término WAN (Wide Area Network) se refiere a una red pública fuera del servidor, generalmente conectada a
Internet. Un proveedor es la empresa que realmente gestiona el enlace WAN.
El sistema admite hasta 15 conexiones WAN. Si el servidor tiene dos o más tarjetas rojas configuradas, es necesario
rellenar correctamente los campos Enlace ponderado, Ancho de banda entrante y :guilabel: Ancho de banda saliente
desde la página Red .
Cada proveedor representa una conexión WAN y está asociado con un adaptador de red. Cada proveedor define un
peso: mientras mayor es el peso, mayor es la prioridad de la tarjeta de red asociada con el proveedor.
El sistema puede utilizar conexiones WAN en dos modos (botón Configurar en la página Multi WAN):
Balance: todos los proveedores se utilizan simultáneamente según su peso
Activar copia de seguridad: los proveedores se utilizan uno a uno al vuelo con el que tiene el peso más alto. Si
el proveedor que está utilizando pierde su conexión, todo el tráfico se desviará al proveedor siguiente.
Para determinar el estado de un proveedor, el sistema envía un paquete ICMP (ping) a intervalos regulares. Si el
número de paquetes perdidos excede un determinado umbral, el proveedor está deshabilitado.
El administrador puede configurar la sensibilidad de la supervisión mediante los siguientes parámetros:
Porcentaje de paquetes perdidos
Número de paquetes perdidos consecutivos
Intervalo en segundos entre paquetes enviados
La página Reglas de firewall permite enrutar paquetes de red a un proveedor de WAN determinado, si se cumplen
algunos criterios. Véase Reglas.
Ejemplo
Dados dos proveedores configurados:

Proveedor1: interfaz de red eth1, peso 100
Proveedor2: interfaz de red eth0, peso 50
Si se selecciona el modo equilibrado, el servidor encaminará un número doble de conexiones en Proveedor1 sobre
Proveedor2.
Si se selecciona el modo de copia de seguridad activa, el servidor enrutará todas las conexiones en Proveedor1; Sólo
si Proveedor1 se vuelve inasequible las conexiones se redirigirán a Proveedor2.
Reenviar puerto
El cortafuego bloquea las solicitudes de las redes públicas a las privadas. Por ejemplo, si el servidor web se ejecuta
dentro de la LAN, sólo los equipos de la red local pueden acceder al servicio en la zona verde. Cualquier solicitud
hecha por un usuario fuera de la red local está bloqueada.
Para permitir que cualquier usuario externo acceda al servidor web, debe crear una remisión de puerto. Una remisión
de puerto es una regla que permite un acceso limitado a los recursos desde fuera de la LAN.
Al configurar el servidor, debe elegir los puertos de escucha. El tráfico de las interfaces rojas se redireccionará a los
puertos seleccionados. En el caso de un servidor web, los puertos de escucha son generalmente el puerto 80 (HTTP) y
443 (HTTPS).
Cuando cree un puerto hacia adelante, debe especificar al menos los siguientes parámetros:
El puerto fuente
El puerto de destino, que puede ser diferente del puerto de origen
La dirección del host interno al que se debe redirigir el tráfico
Es posible especificar un rango de puertos usando dos puntos como separador en el campo de puerto de origen
(eX: 1000: 2000), en este caso el puerto de destino de campo se debe dejar vacío
Ejemplo
Dado el siguiente escenario:

Servidor interno con IP 192.168.1.10, denominado Servidor1
Servidor Web escuchando en el puerto 80 en Servidor1
Servidor SSH escuchando en el puerto 22 en Servidor1
Otros servicios en el rango de puerto entre 5000 y 6000 en Servidor1
Si desea que el servidor web esté disponible directamente desde redes públicas, debe crear una regla como esta:
puerto de origen: 80
puerto de destino: 80
Dirección del host: 192.168.1.10
Todo el tráfico entrante en las interfaces rojas del firewall en el puerto 80, será redirigido al puerto 80 en Servidor1.
En caso de que quiera hacer accesible desde fuera del servidor SSH en el puerto 2222, tendrá que crear un puerto hacia
adelante de esta manera:

puerto de origen: 2222

puerto de destino: 22
Todo el tráfico entrante en las interfaces rojas del firewall en el puerto 2222, será redirigido al puerto 22 en Servidor1.
En caso de que quiera hacer accesible desde fuera del servidor en toda la gama de puertos entre 5000 y 6000, tendrá
que crear un puerto como este:
Puerto de origen: 5000:6000
puerto de destino:
Todo el tráfico entrante en las interfaces de firewall rojo en el rango de puerto entre 5000 y 6000 será redirigido a los
mismos puertos en Servidor1.
Limitar el acceso
Puede restringir el acceso al puerto sólo desde algunas direcciones IP o redes utilizando el campo Permitir sólo de.
Esta configuración es útil cuando los servicios deben estar disponibles sólo de IP o redes de confianza. Algunos valores
posibles:
10.2.10.4: habilitar el puerto hacia adelante para el tráfico procedente de la IP 10.2.10.4
10.2.10.4,10.2.10.5: habilitar el puerto hacia adelante para el tráfico procedente de las IPs 10.2.10.4 y
10.2.10.5
10.2.10.0/24: habilita el reenvío del puerto sólo para el tráfico procedente de la red 10.2.10.0/24
!10.2.10.4: habilita el reenvío de puertos para todas las IP excepto 10.2.10.4
192.168.1.0/24!192.168.1.3,192.168.1.9: habilita el reenvío de puertos para la red
192.168.1.0/24, excepto los hosts 192.168.1.3 y 192.168.1.9
sNAT 1:1
NAT uno a uno es una forma de hacer que los sistemas detrás de un cortafuegos y configurado con direcciones IP
privadas parecieran tener direcciones IP públicas.
Si tiene un montón de direcciones IP públicas y si desea asociar una de ellas a un host de red específico, NAT 1:1 es el
camino.
This feature only applies to traffic from the network specific host to internet.
It doesn’t affect in any way the traffic from internet toward the Alias IP, if you need to route some specific traffic to
the internal host use the port forward as usual.
If you need to route all traffic to the internal host (not recommended!) use a port forward with protocol TCP & UDP
and source port 1:65535.
Ejemplo
En nuestra red tenemos un host llamado example_host con IP 192.168.5.122. También hemos asociado una
dirección IP pública 89.95.145.226 como un alias de la interfaz eth0 (ROJA).
Queremos mapear nuestro host interno (example_host - 192.168.5.122) con IP pública 89.95.145.226.
En el panel NAT 1:1, elegimos para el IP‘‘89.95.145.226‘‘ (campo de sólo lectura) el host específico
(example_host) del cuadro combinado. Hemos configurado correctamente el NAT de uno a uno para nuestro
host.
Conformación del tráfico
La Modulación del tráfico permite aplicar reglas de prioridad sobre el tráfico de red a través del cortafuego. De esta
forma es posible optimizar la transmisión, comprobar la latencia y afinar el ancho de banda disponible.
Para habilitar la modulación del tráfico es necesario conocer la cantidad de ancho de banda disponible en ambas
direcciones y rellenar los campos que indican la velocidad del enlace de Internet. Tenga en cuenta que en caso de
congestión por el proveedor no hay nada que hacer para mejorar el rendimiento.
Las reglas de modulación del tráfico se pueden configurar desde la página Reglas firewall, mientras que el ancho de
banda disponible se puede establecer desde la página Red para todas las interfaces rojas.
El sistema proporciona dos niveles de prioridad, alto y bajo: por defecto todo el tráfico tiene prioridad media. Es
posible asignar alta o baja prioridad a ciertos servicios basados en el puerto utilizado (por ejemplo, peer to peer de
bajo tráfico).
El sistema funciona incluso sin especificar servicios con prioridad alta o baja, ya que, de forma predeterminada, el
tráfico interactivo se ejecuta automáticamente con alta prioridad (lo que significa, por ejemplo, que no es necesario
especificar puertos para tráfico VoIP o SSH). También se garantiza alta prioridad el tráfico de ping ICMP.
Nota: Asegúrese de especificar una estimación precisa del ancho de banda en las interfaces de red. Para elegir un
ajuste apropiado, no confíe en el valor nominal, pero utilice las herramientas en línea para probar la velocidad real del
proveedor.
Objetos del cortafuego
Los Objetos del cortafuego son representaciones de componentes de red y son útiles para simplificar la creación de
reglas.
Hay 6 tipos de objetos, 5 de ellos representan fuentes y destinos:
Host: representa los ordenadores locales y remotos. Ejemplo: web_server, pc_boss
Grupos de hosts: representación de grupos homogéneos de ordenadores. Los hosts de un grupo siempre deben
ser accesibles utilizando la misma interfaz. Ejemplo: servidores, pc_secretaria
Redes CIDR: Puede expresar una red CIDR para simplificar las reglas del firewall.
Ejemplo 1 : los últimos 14 direcciones IP de la red se asignan a servidores (192.168.0.240/28).
Ejemplo 2 : tiene varias interfaces verdes pero desea crear reglas de firewall sólo para una verde
(192.168.2.0/24).
Zona: representa redes de hosts, deben expresarse en notación CIDR. Su uso es para definir una parte de una red
con diferentes reglas de firewall de las de la interfaz nominal. Se utilizan para necesidades muy específicas.
Nota: De forma predeterminada, todos los hosts pertenecientes a una zona no pueden realizar ningún tipo de tráfico.
Es necesario crear todas las reglas en el cortafuegos para obtener el comportamiento deseado.
Condiciones de tiempo: se pueden asociar a las reglas de firewall para limitar su eficacia a un período de tiempo
determinado.

El último tipo de objeto se utiliza para especificar el tipo de tráfico:

Servicios: un servicio de escucha en un host con al menos un puerto y protocolo. Ejemplo: ssh, https
Al crear reglas, puede utilizar los registros definidos en DNS y Servidor DHCP y PXE como objetos host. Además,
cada interfaz de red con un rol asociado se lista automáticamente entre las zonas disponibles.
Nota: Las reglas que tienen condiciones de tiempo se aplican sólo para nuevas conexiones. Ejemplo: si está bloquean-
do conexiones HTTP de 09:00 a 18:00, las conexiones establecidas antes de las 09:00 serán permitidas hasta que se
cierre. Cualquier nueva conexión después de las 09:00 será eliminada.
Enlace IP/MAC
Cuando el sistema actúa como servidor DHCP, el cortafuego puede utilizar la lista de reservas de DHCP para verificar
estrictamente todo el tráfico generado desde los hosts dentro de las redes locales. Cuando Enlace IP/MAC está habili-
tado, el administrador elegirá qué política se aplicará a los hosts sin una reserva de DHCP. El uso común es permitir
el tráfico solamente desde los anfitriones conocidos y bloquear todo el otro tráfico. En este caso, los hosts sin reserva
no podrán acceder al cortafuego ni a la red externa.
Para habilitar el tráfico sólo desde hosts bien conocidos, siga estos pasos:
1. Crear una reserva DHCP para un host
2. Vaya a la página Reglas firewall y seleccione Configurar en el menú de botones
3. Seleccione Validación MAC (enlace IP/MAC)
4. Elija Bloquear tráfico como directiva para aplicar a hosts no registrados
Nota: Recuerde crear al menos una reserva DHCP antes de habilitar el enlace IP/MAC, de lo contrario ningún host
será capaz de administrar el servidor utilizando la interfaz web o SSH.
Proxy web
El proxy web es un servidor que se encuentra entre las PCs de LAN y los sitios de Internet. Los clientes hacen
peticiones al proxy que se comunica con sitios externos y luego envían la respuesta al cliente.
Las ventajas de un proxy web son:
capacidad de filtrar contenido
reducir el uso del ancho de banda mediante el almacenamiento en caché de las páginas que visita
El proxy sólo se puede activar en zonas verdes y azules. Los modos admitidos son:
Manual: todos los clientes deben configurarse manualmente
Los usuarios autenticados deben ingresar un nombre de usuario y una contraseña para navegar
Transparente: todos los clientes se ven obligados automáticamente a usar el proxy para las conexiones HTTP
SSL transparente: todos los clientes se obligan automáticamente a utilizar el proxy para las conexiones HTTP y
HTTPS
Authenticated mode
Before enabling the web proxy in authenticated mode, please make sure to configure a local or remote account provider.
When Samba Active Directory is installed, or the server is joined to a remote Active Directory, Windows machines
can use integrated authentication with Kerberos. All Windows clients must access the proxy server using the FQDN.
All other clients can use basic authentication mechanism.
Nota: NTLM authentications is deprecated and it’s not supported.
Configuración del cliente
El proxy está siempre escuchando en el puerto 3128. Cuando se utilizan modos manuales o autenticados, todos los
clientes deben estar configurados explícitamente para usar el proxy. El panel de configuración es accesible desde la
configuración del navegador. Por cierto, la mayoría de los clientes serán configurados automáticamente usando el
protocolo WPAD. En este caso, es útil habilitar la opción Bloquear puertos HTTP y HTTPS para evitar el bypass de
proxy.
Si el proxy está instalado en modo transparente, todo el tráfico web procedente de clientes se desvía a través del proxy.
No se requiere configuración en los clientes individuales.
Nota: Para que el archivo WPAD sea accesible desde la red de invitados, agregue la dirección de la red azul dentro
del campo Permitir hosts para el servicio httpd desde la página :guilabel:‘ Servicios de red‘.
Proxy SSL
En el modo SSL transparente, el proxy implementa el llamado comportamiento “mirar y empalmar, peek and splice”:
establece la conexión SSL con sitios remotos y comprueba la validez de los certificados sin descifrar el tráfico. A
continuación, el servidor puede filtrar las URL solicitadas utilizando el filtro web y devolver la respuesta al cliente.
Nota: There is no need to install any certificate into the clients, just enabling the SSL proxy is enough.
Bypass
En algunos casos, puede ser necesario garantizar que el tráfico procedente de una dirección IP específica o destinado
a algunos sitios no se enrute a través del proxy HTTP / HTTPS.
El proxy le permite crear:
bypass by domains
bypass by source
bypass by destination
4.12. Proxy web 63

Bypass by domains
Bypass by domains can be configured from Domains without proxy section. All domains listed inside this page can be
directly accessed from LAN clients. No antivirus or content filtering is applied to these domains.
Every domain listed will be expanded also for its own sub-domains. For example, adding nethserver.org will bypass
also www.nethserver.org, mirror.nethserver.org, etc.
Nota: All LAN clients must use the server itself as DNS, either directly or as a forwarder.
Bypass by source and destinations
A source bypass allows direct access to any HTTP/HTTPS sites from selected hosts, host groups, IP ranges and
network CIDR. Source bypasses are configurable from Hosts without proxy section.
A destination bypass allows direct access from any LAN clients to HTTP/HTTPS sites hosted on specific hosts, host
groups or network CIDR. Destination bypasses are configurable from Sites without proxy section.
These bypass rules are also configured inside the WPAD file.
Priority and divert rules
Firewall rules for routing traffic to a specific provider, or decrease/increase priority, are applied only to network traffic
which traverse the gateway. These rules don’t apply if the traffic goes through the proxy because the traffic is generated
from the gateway itself.
In a scenario where the web proxy is enabled in transparent mode and the firewall contains a rule to lower the priority
for a given host, the rule applies only to non-HTTP services like SSH.
The Rules tab allows the creation of priority and divert rules also for the traffic intercepted by the proxy.
The web interface allow the creation of rules for HTTP/S traffic to:
raise the priority of an host or network
lower the priority of an host or network
divert the source to a specific provider with automatic fail over if the provider fails
force the source to a specific provider without automatic fail over
Reporte
Instale el paquete nethserver-lightsquid para generar estadística proxy web.

LightSquid es un analizador lite y rápido del registro para el proxy del Squid, analiza registros y genera el nuevo
informe del HTML diario, resumiendo hábitos que hojean de los usuarios del proxy. La interfaz web de Lightsquid se
puede encontrar en la pestaña Aplicaciones dentro de :guilabel:‘ Dashboard‘.
Cache
En la pestaña Cache hay un formulario para configurar los parámetros del caché:
El caché puede ser activado o desactivado (desactivado por defecto)
Tamaño de caché de disco: valor máximo de caché de squid en disco (en MB)
Tamaño mínimo de objeto: se puede dejar en 0 para almacenar en caché todo, pero puede ser elevado si no se
desean objetos pequeños en la caché (en kB)
Tamaño máximo del objeto: los objetos mayores que este valor no se guardarán en el disco. Si la velocidad es
más deseable que ahorrar ancho de banda, esto debería establecerse en un valor bajo (en kB)
El botón :guilabel:‘Vaciar caché ‘también funciona si el squid está deshabilitado, puede ser útil para liberar espacio en
el disco.
Sitios sin caché
En algún momento el proxy no puede manejar correctamente algunos sitios mal diseñados. Para excluir uno o varios
dominios de la caché, utilice la propiedad NoCache.
Ejemplo:
config setprop squid NoCache www.nethserver.org,www.google.com

signal-event nethserver-squid-save
Puertos seguros
Los puertos seguros son una lista de puertos accesibles mediante el proxy. Si un puerto no está dentro de la lista de
puertos seguros, el proxy se negará a ponerse en contacto con el servidor. Por ejemplo, dado un servicio HTTP que se
ejecuta en el puerto 1234, no se puede acceder al servidor mediante el proxy.
La propiedad SafePorts es una lista de puertos separados por comas. Los puertos listados se agregarán a la lista
predeterminada de puertos seguros.
P.ej. Acceda a puertos adicionales 446 y 1234:
config setprop squid SafePorts 446,1234

signal-event nethserver-squid-save
Filtro de contenido web
El filtro de contenido analiza todo el tráfico web y bloquea sitios web seleccionados o sitios que contienen virus. Los
sitios prohibidos se seleccionan de una lista de categorías, que a su vez deben ser descargadas desde fuentes externas
y almacenadas en el sistema.
El sistema permite crear un número infinito de perfiles. Un perfil se compone de tres partes:
Quién: el cliente asociado con el perfil. Puede ser un usuario, un grupo de usuarios, un host, un grupo de hosts,
una zona o una función de interfaz (como verde, azul, etc.).
Qué: qué sitios pueden ser explorados por el cliente perfilado. Es un filtro creado dentro de la sección Filtros.
Cuando: el filtro siempre se puede activar o validar sólo durante cierto período de tiempo. Los intervalos de
tiempo se pueden crear dentro de la sección Tiempos.
Este es el orden recomendado para la configuración del filtro de contenido:
1. Seleccione una lista de categorías de la página Listas negras e inicie la descarga
2. Crear una o más condiciones de tiempo (opcional)
3. Crear categorías personalizadas (opcional)
4.13. Filtro de contenido web 65

4. Cree un filtro nuevo o modifique el predeterminado

5. Cree un nuevo perfil asociado a un usuario u host, luego seleccione un filtro y un marco de tiempo (si está
habilitado)
Si no hay coincidencias de perfiles, el sistema proporciona un perfil predeterminado que se aplica a todos los clientes.
Filtros
Un filtro puede:
Bloquear el acceso a categorías de sitios
Bloquear el acceso a los sitios a los que se accede mediante la dirección IP (recomendado)
Filtrar URL con expresiones regulares
Bloquear archivos con extensiones específicas
Habilitar lista negra y lista blanca global
Un filtro puede funcionar en dos modos diferentes:
Permitir todo: permitir el acceso a todos los sitios, excepto los explícitamente bloqueados
Bloquear todos: bloquea el acceso a todos los sitios, excepto los explícitamente permitidos
Nota: La lista de categorías se mostrará sólo después de la descarga de la lista seleccionada de la página Blacklist.
Bloquando Google Translate
Los servicios de traducción en línea, como Google Translate, se pueden utilizar para evitar el filtro de contenido porque
las páginas visitadas a través del traductor siempre se refieren a un dominio de Google a pesar de tener contenido de
servidores externos.
Es posible bloquear todas las solicitudes a Google translate, creando una URL bloqueada dentro de la página General.
El contenido de la URL bloqueada debe ser: translate.google.
Antivirus
La navegación web se puede verificar por contenido malicioso, pero sólo para el protocolo HTTP de texto claro. Si el
proxy está configurado en modo transparente SSL (Proxy SSL), el contenido descargado a través de HTTPS no será
escaneado.
Solución de problemas
Si no se bloquea una página incorrecta, compruebe:

El cliente está navegando usando el proxy
El cliente no tiene un bypass configurado dentro la sección Hosts sin proxy
El cliente no está navegando por un sitio con un bypass configurado dentro de la sección Sitios sin proxy
El cliente está realmente asociado con un perfil no permitido para visitar la página
El cliente está navegando dentro de un marco de tiempo cuando el filtro es permisivo
IPS (Suricata)
Suricata es un IPS (Intrusion Prevention System), un sistema para el análisis de intrusiones de red. El software analiza
todo el tráfico a través del cortafuegos buscando ataques conocidos y anomalías.
Cuando se detecta un ataque o una anomalía, el sistema puede decidir si bloquea el tráfico o simplemente guarda el
evento en un registro (/var/log/suricata/fast.log).
Suricata puede configurarse de acuerdo con las siguientes políticas. Cada política consta de varias reglas:
Conectividad: compruebe un gran número de vulnerabilidades, no impacte en aplicaciones de tiempo no real
(por ejemplo VoIP)
Equilibrado: adecuado para la mayoría de los escenarios, es un buen compromiso entre seguridad y usabilidad
(recomendado)
Seguridad: modo seguro pero muy invasivo, puede tener impacto en las aplicaciones de chat y peer-to-peer
Experto: el administrador debe seleccionar manualmente las reglas desde la línea de comandos
Nota: El uso de un IPS impacta en todo el tráfico que pasa a través del firewall. Asegúrese de comprender todas las
implicaciones antes de habilitarlo.
Rule categories
Suricata is configured to use free rules from https://rules.emergingthreats.net/.1

Rules are divided into categories listed below.
Activex Attacks and vulnerabilities(CVE, etc.) regarding ActiveX.
Attack Response Responses indicative of intrusion—LMHost file download, certain banners, Metasploit Meterpreter
kill command detected, etc. These are designed to catch the results of a successful attack. Things like “id=root”,
or error messages that indicate a compromise may have happened.
Botcc (Bot Command and Control) These are autogenerated from several sources of known and confirmed active
Botnet and other Command and Control hosts. Updated daily, primary data source is Shadowserver.org. Bot
command and control block rules generated from shadowserver.org, as well as spyeyetracker, palevotracker, and
zeustracker. Port grouped rules offer higher fidelity with destination port modified in rule.
Botcc Portgrouped Same as above, but grouped by destination port.
Chat Identification of traffic related to numerous chat clients, irc, and possible check-in activity.
CIArmy Collective Intelligence generated IP rules for blocking based upon www.cinsscore.com.
Compromised This is a list of known compromised hosts, confirmed and updated daily as well. This set varied from
a hundred to several hunderd rules depending on the data sources. This is a compilation of several private but
highly reliable data sources. Warming: Snort does not handle IP matches well load-wise. If your sensor is already
pushed to the limits this set will add significant load. We recommend staying with just the botcc rules in a high
load case.
Current Events Category for active and short lived campaigns. This category covers exploit kits and malware that
will be aged and removed quickly due to the short lived nature of the threat. High profile items that we don’t
expect to be there long—fraud campaigns related to disasters for instance. These are rules that we don’t intend
to keep in the ruleset for long, or that need to be tested before they are considered for inclusion. Most often these
1 Categories documentation source: proofpoint - ETPro Category Descriptions
4.14. IPS (Suricata) 67

will be simple sigs for the Storm binary URL of the day, sigs to catch CLSID’s of newly found vulnerable apps
where we don’t have any detail on the exploit, etc.
Deleted Rules removed from the rule set.
DNS Rules for attacks and vulnerabilities regarding DNS. Also category for abuse of the service for things such as
tunneling.
DOS Denial of Service attempt detection. Intended to catch inbound DOS activity, and outbound indications.
Drop Rules to block spamhaus “drop” listed networks. IP based. This is a daily updated list of the Spamhaus DROP
(Don’t Route or Peer) list. Primarily known professional spammers. More info at http://www.spamhaus.org.
Dshield IP based rules for Dshield Identified attackers. Daily updated list of the DShield top attackers list. Also very
reliable. More information can be found at http://www.dshield.org.
Exploit Exploits that are not covered in specific service category. Rules to detect direct exploits. Generally if you’re
looking for a windows exploit, Veritas, etc, they’ll be here. Things like SQL injection and the like, whie they are
exploits, have their own category.
FTP Rules for attacks, exploits, and vulnerabilities regarding FTP. Also includes basic none malicious FTP activity
for logging purposes, such as login, etc.
Games Rules for the Identification of gaming traffic and attacks against those games. World of Warcraft, Starcraft,
and other popular online games have sigs here. We don’t intend to label these things evil, just that they’re not
appropriate for all environments.
Info General rules to track suspicious host network traffic.
Inappropriate Rules for the identification of pornography related activity. Includes Porn, Kiddy porn, sites you
shouldn’t visit at work, etc. Warning: These are generally quite Regex heavy and thus high load and frequent
false positives. Only run these if you’re really interested.
Malware Malware and Spyware related, no clear criminal intent. The threshold for inclusion in this set is typically
some form of tracking that stops short of obvious criminal activity. This set was originally intended to be just
spyware. That’s enough to several rule categories really. The line between spyware and outright malicious bad
stuff has blurred to much since we originally started this set. There is more than just spyware in here, but rest
assured nothing in here is something you want running on your net or PC. There are URL hooks for known
update schemed, User-Agent strings of known malware, and a load of others.
Misc. Miscellaneous rules for those rules not covered in other categories.
Mobile Malware Specific to mobile platforms: Malware and Spyware related, no clear criminal intent.
Netbios Rules for the identification, as well as attacks, exploits and vulnerabilities regarding Netbios. Also included
are rules detecting basic activity of the protocol for logging purposes.
P2P Rules for the identification of Peer-to-Peer traffic and attacks against. Including torrents, edonkey, Bittorrent,
Gnutella, Limewire, etc. We’re not labeling these things malicious, just not appropriate for all networks and
environments.
Policy Application Identification category. Includes signatures for applications like DropBox and Google Apps, etc.
Also covers off port protocols, basic DLP such as credit card numbers and social security numbers. Included in
this set are rules for things that are often disallowed by company or organizational policy. Myspace, Ebay, etc.
SCADA Signatures for SCADA attacks, exploits and vulnerabilities, as well as protocol detection.
SCAN Things to detect reconnaissance and probing. Nessus, Nikto, portscanning, etc. Early warning stuff.
Shellcode Remote Shellcode detection. Remote shellcode is used when an attacker wants to target a vulnerable pro-
cess running on another machine on a local network or intranet. If successfully executed, the shellcode can
provide the attacker access to the target machine across the network. Remote shellcodes normally use standard
TCP/IP socket connections to allow the attacker access to the shell on the target machine. Such shellcode can
be categorised based on how this connection is set up: if the shellcode can establish this connection, it is called
a “reverse shell” or a connect-back shellcode because the shellcode connects back to the attacker’s machine.
SMTP Rules for attacks, exploits, and vulnerabilities regarding SMTP. Also included are rules detecting basic activity
of the protocol for logging purposes.
SNMP Rules for attacks, exploits, and vulnerabilities regarding SNMP. Also included are rules detecting basic activity
SQL Rules for attacks, exploits, and vulnerabilities regarding SQL. Also included are rules detecting basic activity of
the protocol for logging purposes.
TELNET Rules for attacks and vulnerabilities regarding the TELNET service. Also included are rules detecting basic
activity of the protocol for logging purposes.
TFTP Rules for attacks and vulnerabilities regarding the TFTP service. Also included are rules detecting basic activity
TOR IP Based rules for the identification of traffic to and from TOR exit nodes.
Trojan Malicious software that has clear criminal intent. Rules here detect malicious software that is in transit, active,
infecting, attacking, updating, and whatever else we can detect on the wire. This is also a highly important ruleset
to run if you have to choose.
User Agents User agent identification and detection.
VOIP Rules for attacks and vulnerabilities regarding the VOIP environment. SIP, h.323, RTP, etc.
Web Client Web client side attacks and vulnerabilities.
Web Server Rules for attacks and vulnerabilities against web servers.
Web Specific Apps Rules for very specific web applications.
WORM Traffic indicative of network based worm activity.
EveBox
EveBox is a web based alert and event management tool for events generated by the Suricata.
It can be accessed from the Server Manager under the Applications page.
Proxy inverso
La característica proxy inverso es útil cuando se desea acceder a sitios internos desde la red externa.
Escenario típico
NethServer es el cortafuegos de su LAN
Usted tiene un dominio http://mydomain.com
Usted desea que http://mydomain.com/mysite reenvíe al servidor interno (IP interno: 192.168.2.100)
En este escenario, cree un nuevo registro en la página Proxy inverso. Configure el Nombre del elemento a mysite y
el URL de destino a http://192.168.2.100.
Si sólo se permiten las conexiones cifradas, habilite Requiere conexión cifrada SSL.
Sólo se puede permitir que los clientes de determinadas redes se conecten, especificando una lista separada por comas
de las redes CIDR bajo el campo Acceso desde las redes CIDR.
4.15. Proxy inverso 69

Configuración manual
Si la página Proxy inverso no es suficiente, siempre se puede configurar Apache manualmente, mediante la creación
de un nuevo archivo dentro del directorio /etc/httpd/conf.d/.
Ejemplo
Crear archivo /etc/httpd/conf.d/myproxypass.conf con este contenido:
<VirtualHost *:443>
SSLEngine On
SSLProxyEngine On
ProxyPass /owa https://myserver.exchange.org/
ProxyPassReverse /owa https://myserver.exchange.org/
</VirtualHost>
<VirtualHost *:80>
ServerName www.mydomain.org
ProxyPreserveHost On
ProxyPass / http://10.10.1.10/
ProxyPassReverse / http://10.10.1.10/
</VirtualHost>
Consulte la documentación oficial de Apache para obtener más información: http://httpd.apache.org/docs/2.2/mod/

mod_proxy.html
Hosts virtuales
Virtual hosting allows to host multiple domain names on a single server. On NethServer, from Virtual hosts page, is
possible to configure web sites as Apache named virtual hosts.
Nombres de host virtuales (FQDN)
Es la lista de Nombres de Dominio Completamente Calificados - FQDN por sus siglas en inglés - que están asociados
al host virtual. Los valores deben separarse con una ”,” (coma). Para acceder al host virtual, también se necesita un
registro DNS. Si está activado en “Acciones adicionales”, se crea automáticamente un alias para el servidor en “DNS
> Alias del servidor”, pero sólo es útil para los clientes que utilizan el servidor como DNS.
Configuración de una aplicación web
Cuando se crea un nuevo host virtual, también se crea la carpeta /var/lib/nethserver/vhost/NAME. Si el acceso FTP está
habilitado, es posible cargar archivos a esta carpeta usando un cliente FTP y un nombre de host virtual como nombre
de usuario.
Advertencia: El acceso FTP está desactivado de forma predeterminada, también es necesario habilitarlo desde la
página de configuración FTP
La contraseña de autenticación HTTP debe ser diferente a la de FTP, ya que se utiliza FTP para cargar contenido en el
host virtual y HTTP para leer contenido.
Permisos de Apache
Los archivos subidos por FTP son propiedad del grupo “apache”. Si necesita permitir acceso de escritura o ejecución
de apache, puede cambiar permisos de grupo utilizando el cliente FTP
Advertencia: Si un host virtual contiene código ejecutable, como scripts PHP, los permisos de usuario y las
implicaciones de seguridad deben evaluarse cuidadosamente.
Carpetas compartidas
Una carpeta compartida es un lugar donde un grupo de personas puede acceder a los archivos mediante Samba
(SMB/CIFS).
Para crear, editar y borrar una carpeta compartida vaya a la pagina Carpetas compartidas
Autorizaciones
Si Active directory está seleccionado como proveedor de cuentas, una carpeta compartida pertenece a un grupo de
usuarios (Grupo propietario). A cada miembro del grupo se le permite leer el contenido de la carpeta. Opcionalmente,
el grupo puede tener derecho a modificar el contenido de la carpeta y el permiso de lectura se puede extender a todos los
que acceden al sistema. Este modelo de permiso simple se basa en los permisos tradicionales del sistema de archivos
UNIX.
Los privilegios de acceso se pueden refinar aún más con la pestaña ACL, que permite a los usuarios individuales ya
otros grupos obtener permisos de lectura y escritura.
En cualquier momento, el botón Restablecer permisos propaga los permisos UNIX de la carpeta compartida y las ACL
de Posix a su contenido.
Si Guest access está habilitado, las credenciales de autenticación proporcionadas se consideran válidas.
Si se selecciona un proveedor de cuenta LDAP o no hay ningún proveedor de cuentas, el acceso a carpetas compartidas
se considera como Acceso de invitado para que todos puedan leer y escribir su contenido.
Acceso a la red
SMB/CIFS es un protocolo ampliamente utilizado que permite compartir archivos a través de una red de computadoras.
El nombre de la carpeta compartida se convierte en el SMB “nombre de recurso compartido”.
Por ejemplo, las direcciones de red SMB de la carpeta documentos podrían ser
\\192.168.1.1\docs
\\MYSERVER\docs
Advertencia: El acceso autenticado a carpetas compartidas está disponible con un proveedor de cuentas de Active
Directory. El proveedor LDAP sólo permite el acceso de invitados.
Cuando se accede a un recurso compartido SMB, algunas interfaces de usuario solo proveen el nombre de usuario en
el campo. En este caso, especifique el nombre de usuario corto con el prefijo Nombre de dominio NetBIOS. Por
4.17. Carpetas compartidas 71

ejemplo, si el nombre de dominio NetBIOS es “DOMAIN”, y el usuario es “jhon.smith”, el nombre de usuario con el
prefijo de dominio para acceder al recurso compartido SMB es:
DOMAIN\john.smith
Por el contrario, algunas aplicaciones proveen campos separados para el nombre de dominio NetBIOS y el nombre de
usuario; en este caso llene cada uno de los campos individualmente.
Papelera de reciclaje en red
Si la opción Papelera de reciclaje en red está habilitada, los archivos removidos son reubicados en un directorio
“papelera” especial . La opción Guardar copias de archivos con el mismo nombre mantiene distintos nombres de
archivos en el directorio “papelera”, evitando sobrescrituras.
Ocultar una carpeta compartida
Si Navegable está habilitado, la carpeta compartida aparece públicamente. Esto no afecta al permiso para usar este
recurso.
Home share
Each NethServer user has a personal shared folder that is mapped to his Unix home directory. The SMB share name
correspond to the user short name. For example:
user short name john.smith
server name MYSERVER
server address 192.168.1.2
The SMB network address is:
\\MYSERVER\john.smith
\\192.168.1.2\john.smith
Provide John’s credentials as explained in Acceso a la red.
Truco: The Unix home directory is created the first time the user accesses it by either SMB or SFTP/SSH protocol.
Monitor de ancho de banda
BandwidthD
BandwidthD controla el uso de subredes de red TCP/IP y genera gráficos para mostrar su utilización. Después de la
instalación, BandwidthD se inicia automáticamente. Se puede acceder a los gráficos mediante el Administrador del
servidor.
ntopng
ntopng es una potente herramienta que le permite analizar el tráfico de red en tiempo real. Le permite evaluar el ancho
de banda utilizado por los hosts individuales e identificar los protocolos de red más utilizados.
Habilitar ntopng Al habilitar ntopng, se analizará todo el tráfico que pasa a través de las interfaces de red. Puede
causar una ralentización de la red y un aumento en la carga del sistema.
Puerto El puerto donde ver la interfaz web ntopng.
Contraseña para el usuario ‘admin’ Contraseña del usuario administrador. Esta contraseña no está relacionada con
la clave de administrador de NethServer .
Interfaces Interfaces en las que ntopng escuchará.
Estadísticas (collectd)
Collectd es un demonio que recopila el rendimiento del sistema estadísticas periódicamente y los almacena en archivos
RRD. Las estadísticas se mostrarán dentro de una interfaz web llamada
Panel de gráficos Collectd (CGP), paquete nethserver-cgp
La interfaz web se puede acceder desde Gráficos.
Después de la instalación, el sistema reunirá las siguientes estadísticas:
uso de CPU
carga del sistema
número de procesos
Uso de la memoria RAM
uso de memoria virtual (swap)
tiempo de actividad del sistema
uso del espacio en disco
operaciones de lectura y escritura de disco
interfaces de red
latencia de la red
Para cada comprobación, la interfaz web mostrará un gráfico que contiene el último valor recopilado y también valores
mínimos, máximos y medios.
Latencia de conexion
El complemento ping mide la latencia de la red. A intervalos regulares, envía un ping al DNS configurado arriba. Si el
módulo WAN múltiple está configurado, también se comprueba cualquier proveedor habilitado.
Los hosts adicionales podrían ser monitoreados (es decir, un servidor web) usando una lista de hosts separados por
comas dentro de la propiedad PingHosts.
Ejemplo:
config setprop collectd PingHosts www.google.com,www.nethserver.org

signal-event nethserver-collectd-update
4.19. Estadísticas (collectd) 73

VPN
Una VPN (Virtual Private Network, Red Privada Virtual) le permite establecer una conexión segura y encriptada entre
dos o más sistemas usando una red pública, como la Internet.
El sistema admite dos tipos de VPN:
1. roadwarrior: o modo guerrero, conecta un cliente remoto a la red interna
2. net2net o tunel: conecta dos redes remotas
OpenVPN
OpenVPN le permite crear fácilmente conexiones VPN, que trae con numerosas ventajas, incluyendo:
Disponibilidad de clientes para varios sistemas operativos: Windows, Linux, Apple, Android, iOS
Múltiple NAT traversal, no necesita una IP estática dedicada en el firewall
Alta estabilidad
Configuración sencilla
Roadwarrior / guerrero
El servidor OpenVPN en modo roadwarrior - o modo guerrero - permite la conexión de varios clientes.
Los métodos de autenticación admitidos son:
Usuario y contraseña del sistema
Certificado
Usuario del sistema, contraseña y certificado
El servidor puede funcionar en dos modos: enrutado o puenteado. Usted debe elegir el modo puente solo si el túnel
debe llevar tráfico no-IP.
Para permitir que un cliente establezca una VPN:
1. Crear una nueva cuenta: se recomienda utilizar una cuenta VPN dedicada con certificado, evitando la necesidad
de crear un usuario del sistema.
Por otro lado, es obligatorio elegir una cuenta de sistema si desea utilizar la autenticación con nombre de usuario
y contraseña.
2. Descargue el archivo que contiene la configuración y los certificados.
3. Importe el archivo en el cliente e inicie la VPN.
Túnel (net2net)
When creating an OpenVPN net2net connection, a server will have the master role. All other servers are considered as
slaves (clients).
A client can be connected to another NethServer or any other firewall which uses OpenVPN.
All tunnels use OpenVPN routed mode, but there are two kind of topologies: subnet and p2p (Point to Point)
Topology: subnet
This is the recommended topology. In subnet topology, the server will accept connections and will act as DHCP server
for every connected clients.
In this scenario
the server will authenticate clients using TLS certificates
the server can push local routes to remote clients
the client will be able to authenticate with TLS certificates or user name and password
Topology: P2P
In p2p topology, the administrator must configure one server for each client.
In this scenario:
the only supported authentication method is the PSK (Pre-Shared Key). Please make sure to exchange the PSK
using a secure channel (like SSH or HTTPS)
the administrator must select an IP for both end points
routes to remote networks must be configured on each end point
To configure a tunnel, proceed as follow:
1. Access the tunnel server and open the OpenVPN tunnels page, move to Tunnel servers tab and click on Create
new button
2. Insert all required fields, but please note:
Public IPs and/or public FQDN, it’s a list of public IP addresses or host names which will be used by
clients to connect to the server over the public Internet
Local networks, it’s a list of local networks which will be accessible from the remote server. If topology is
set to p2p, the same list will be reported inside the client Remote networks field
Remote networks, it’s a list of networks behind the remote server which will be accessible from hosts in
the local network
3. After the configuration is saved, click on the Download action and select Client configuration
4. Access the tunnel client, open the OpenVPN tunnels page, move to Tunnel clients tab, click on Upload button
Advanced features
The web interface allows the configuration of advanced features like:

on the client, multiple addresses can be specified inside the Remote hosts field for redundancy; the OpenVPN
client will try to connect to each host in the given order
WAN priority: if the client has multiple WAN (red interfaces), the option allows to select the order in which the
WAN will be used to connect to the remote server
protocol: please bear in mind that OpenVPN is designed to operate optimally over UDP, but TCP capability is
provided for situations where UDP cannot be used
cipher: the cryptographic algorithm used to encrypt all the traffic. If not explicitly selected, the server and client
will try to negotiate the best cipher available on both sides
LZO compression: enabled by default, can be disabled when using legacy servers or clients
4.20. VPN 75
Legacy mode
Tunnels can still be created also using Roadwarriors accounts.

Pasos a realizar en el servidor maestro:
Habilitar servidor roadwarrior
Cree una cuenta VPN solo para cada esclavo
Durante la creación de la cuenta, recuerde especificar la red remota configurada detrás del esclavo
Pasos a realizar en el esclavo:
Crear un cliente desde la página: guilabel: Cliente, especificando los datos de conexión al servidor maestro.
Copie y pegue el contenido de los certificados descargados desde la página de configuración principal.
IPsec
IPsec (IP Security) protocol is the ‘de facto’ standard in VPN tunnels, it’s tipically used to create net to net tunnels
and it’s supported from all manufacturers. You can use this protocol to create VPN tunnels between a NethServer and
a device from another manufacturer as well as VPN tunnels between 2 NethServer.
Túnel (net2net)
IPsec is extremely reliable and compatible with many devices. In fact, it is an obvious choice when you need to create
net2net connections between firewalls of different manufacturers.
Unlike OpenVPN configuration, in an IPsec tunnel, firewalls are considered peers.
If you are creating a tunnel between two NethServer, given the firewalls A and B:
1. Configure the server A and specify the remote address and LAN of server B. If the Remote IP field is set to the
special value %any, the server waits for connections from the other endpoint.
2. Configure the second firewall B by mirroring the configuration from A inside the remote section. The special
value %any is allowed in one side only!
If an endpoint is behind a NAT, the values for Local identifier and Remote identifier fields must be set to custom unique
names prepended with @. Common names are the geographic locations of the servers, such as the state or city name.
Nextcloud
Nextcloud proporciona acceso universal a sus archivos a través de la web, su computadora o sus dispositivos móviles
dondequiera que se encuentre. También proporciona una plataforma para ver y sincronizar fácilmente sus contactos,
calendarios y marcadores en todos sus dispositivos y permite la edición básica directamente en la web.
Características principales:
preconfigurar Nextcloud con MariaDB y credencial de acceso predeterminada
Integración con usuarios y grupos del sistema NethServer
Datos de copia de seguridad automática con la herramienta nethserver-backup-data
Instalación
La instalación se puede culminar a través de la interfaz web de NethServer. Después de la instalación:

abrir la url https://your_nethserver_ip/nextcloud
use admin/Nethesis,1234 como credenciales por defecto
cambiar la contraseña por defecto
Todos los usuarios configurados dentro de cualquier proveedor de usuarios (ver Usuarios y grupos) pueden acceder
automáticamente a la instalación de NextCloud. Después de la instalación, se agrega un nuevo widget de aplicación al
panel de interfaz web NethServer.
Lista de usuarios
Todos los usuarios se enumeran dentro del panel del administrador de NextCloud usando un identificador único que
contiene letras y números. Esto se debe a que el sistema asegura que no hay nombres de usuario internos duplicados
como se informó en la sección Nombre de usuario interno de Official NextCloud documentation.
Dominios confiables
Los dominios de confianza son una lista de dominios en los que los usuarios pueden iniciar sesión. Los dominios de
confianza predeterminados son:
nombre de dominio
dirección ip
Para añadir uno nuevo use:
config setprop nextcloud TrustedDomains server.domain.com

signal-event nethserver-nextcloud-update
Para agregar más de uno, concatene los nombres con una coma.
FTP
Nota: El protocolo FTP es inseguro: la contraseña se envía en texto claro.
El servidor FTP permite transferir archivos entre cliente y servidor.

Un usuario FTP puede ser virtual o un sistema de usuarios. Los usuarios virtuales sólo pueden acceder al servidor
FTP. Esta es la configuración recomendada. La interfaz web sólo permite la configuración de usuarios virtuales.
Al acceder al servidor FTP, un usuario puede explorar todo el sistema de archivos según sus propios privilegios. Para
evitar la divulgación de información, el usuario FTP puede configurarse en una jaula mediante la opción chroot: el
usuario no podrá salir del directorio de la jaula.
4.22. FTP 77
Este comportamiento puede ser útil en caso de que una carpeta compartida se utilice como parte de un simple aloja-
miento web. Inserte la ruta de la carpeta compartida dentro del campo personalizado. Por ejemplo, dada una carpeta
compartida llamada mysite, rellene el campo con:
/var/lib/nethserver/ibay/mywebsite
El usuario FTP virtual sólo podrá acceder al directorio especificado.
Usuarios del sistema
Advertencia: Esta configuración es sumamente desalentadora
Después de habilitar los usuarios del sistema, todos los usuarios virtuales se desactivarán. Toda la configuración debe
hacerse utilizando la línea de comandos.
Habilitar usuarios del sistema:
config setprop vsftpd UserType system

signal-event nethserver-vsftpd-save
Dado un nombre de usuario goofy, primero asegúrese de que el usuario tiene acceso a shell remoto. A continuación,
habilite el acceso FTP:
db accounts setprop goofy FTPAccess enabled

signal-event user-modify goofy
Para deshabilitar un usuario ya habilitado:
db accounts setprop goofy FTPAccess disabled

Si no se deshabilita explícitamente, todos los usuarios del sistema son chrooted. Para deshabilitar un chroot por un
usuario del sistema:
db accounts setprop goofy FTPChroot disabled

Phone Home
Durante el primer asistente de configuración, puede optar por no contribuir a las estadísticas de uso. Phone home
se utiliza para rastrear todas las instalaciones de NethServer en todo el mundo. Cada vez que se instala un nuevo
NethServer, esta herramienta envía algunos detalles de instalación a un servidor central. La información se almacena
en una base de datos y se utiliza para mostrar marcadores agradables en una vista de Google Map con el número de
instalación agrupada por país y versión.
Visión de conjunto
La herramienta está activada de forma predeterminada.

Para deshabilitarlo más adelante, ejecute: config setprop phone-home status disabled
Si phone home está habilitado, los datos enviados son:

UUID: guardado en /var/lib/yum/uuid
RELEASE: desde /sbin/e-smith/config getprop sysconfig Version
Todos los datos se utilizan para rellenar el mapa.
SNMP
The SNMP (Simple Network Management Protocol) protocol allows to manage and monitor devices connected to the
network. The SNMP server can reply to specific queries about current system status.
El servidor está deshabilitado de manera predeterminada
To enable it, you should set three main options:
el nombre de la comunidad SNMP
El nombre de la ubicación donde se encuentra el servidor
the name and email address of system administrator
The implementation is based on the Net-SNMP project. Please refer to the official project page for more information:
http://www.net-snmp.org/
Referencias
FreePBX
FreePBX is a web-based open source GUI (graphical user interface) that controls and manages Asterisk (PBX), an
open source communication server (https://www.freepbx.org/).
Installation
You can install FreePBX from the package manager of NethServer, the module named “FreePBX”.
All FreePBX configurations and data are saved inside configuration and data backup.
Web Access
After installed, FreePBX will be accessible at https://ip_address/freepbx from green interfaces. You can
also configure the access from the red interface under the “PBX Access” page of the NethServer Server Manager.
FwConsole
The fwconsole is a tool that allows the user to perform some FreePBX administrative tasks (see FreePBX wiki). In
order to use it with NethServer you have to use it in conjunction with scl:
/usr/bin/scl enable rh-php56 "/usr/sbin/fwconsole"
4.24. SNMP 79
Advanced Documentation
For further information you can read the FreePBX documentation at: https://wiki.freepbx.org
CAPÍTULO 5
Módulos NethForge
WebVirtMgr
Esta herramienta se utiliza para gestionar: index:máquina virtual a través de una sencilla interfaz web
Crear y destruir nuevas máquinas (KVM)
Crear plantilla personalizada de máquinas virtuales
Acceso remoto a shell fácil
Increíble interfaz de usuario
Configuración
La aplicación web escucha en el puerto 8000 de su máquina host, por ejemplo: http://HOST_IP:8000/.
El servidor está deshabilitado de manera predeterminada
Desde la página Máquinas virtuales puede:
habilitar el administrador de máquinas virtuales
habilitar el acceso a la consola de máquinas virtuales desde el navegador web
Para acceder a la interfaz web, debe iniciar sesión con credenciales que se pueden encontrar en la misma página:
Usuario: admin
Contraseña: aleatoria alfanumérica (editable)
Advertencia: No cree puentes de red utilizando la interfaz WebVirtManager. Basta con crear el puente dentro de
la página Red y usarla en WebVirtManager.
Para obtener más información, consulte la documentación oficial:
81
http://wiki.qemu.org/Manual
http://www.linux-kvm.org/page/Documents
82 Capítulo 5. Módulos NethForge

CAPÍTULO 6
Mejores prácticas
Software de terceros
Puede instalar cualquier certificado CentOS/RHEL software de terceros en NethServer.

Si el software es de 32 bits solamente, debe instalar las bibliotecas de compatibilidad antes de instalar el software. Las
bibliotecas relevantes deben ser:
glibc
glib
libstdc++
zlib
Por ejemplo, para instalar los paquetes mencionados anteriormente:
yum install glibc.i686 libgcc.i686 glib2.i686 libstdc++.i686 zlib.i686
Instalación
Si el software es un paquete RPM, utilice yum para instalarlo: el sistema se encargará de resolver todas las dependen-
cias necesarias.
En caso de que una instalación de yum no sea posible, el mejor directorio de destino para software adicional está en
/opt. Por ejemplo, dado un software llamado mysoftware, instálelo en /opt/mysoftware.
Copia de seguridad
El directorio que contiene datos relevantes debe incluirse dentro de la copia de seguridad añadiendo una línea a /
etc/backup-data.d/custom.include. Véase Personalización de la copia de seguridad de datos.
83
Firewall
Si el software necesita algunos puertos abiertos en el firewall, cree un nuevo servicio llamado
fw_<softwarename>.
Por ejemplo, dado el software mysoftware que necesita los puertos 3344 y 5566 en LAN, utilice los siguientes coman-
dos:
config set fw_mysoftware service status enabled TCPPorts 3344,5566 access green
signal-event firewall-adjust
signal-event runlevel-adjust
Inicio y detención
NethServer utiliza el destino multiusuario estándar para systemd.

El software instalado con yum ya debería estar configurado para iniciarse al arrancar. Para comprobar la configuración,
ejecute el comando systemctl. Este mostrará una lista de servicios con su propio estado.
Para habilitar un servicio en boot:
systemctl enable mysoftware
Para deshabilitar un servicio en boot:
systemctl disable mysoftware
84 Capítulo 6. Mejores prácticas

CAPÍTULO 7
Apéndice
Migración del servidor NethService/SME
Migration is the process to convert a SME Server/NethService machine (source) into a NethServer (destination). It
can be achieved from a backup or using rsync.
Nota: No se migra ninguna plantilla personalizada durante el proceso de migración. Compruebe los archivos de la
plantilla nueva antes de copiar cualquier fragmento personalizado de la copia de seguridad antigua.
Advertencia: Antes de ejecutar el procedimiento de migración, lea atentamente todas las secciones de este capí-
tulo.
Proveedor de cuentas
Debe configurar un proveedor de cuentas antes de iniciar el procedimiento de migración.

Si el sistema de origen se unió a un dominio de Active Directory (la función de servidor Samba era ADS),
configure un proveedor de cuentas remoto de Active Directory.
Si el sistema de origen era un Primary Domain Controller de NT (el rol del servidor de Samba era PDC), instale
un proveedor de cuentas Active Directory local.
Si el acceso a carpetas compartidas en el sistema de destino requiere autenticación de usuario, instale un pro-
veedor de cuentas Active Directory local.
En cualquier otro caso, instale un proveedor de cuentas LDAP local.
85
Advertencia: Si elige un proveedor de cuentas de Active Directory local, recuerde configurar e iniciar com-
pletamente el controlador de dominio antes de ejecutar el evento migration-import. Véase Proveedores de
cuentas.
Correo electrónico
Before running NethServer in production, some considerations about the network and existing mail client configura-
tions are required: what ports are in use, if SMTPAUTH and TLS are enabled. Refer to Configuración del cliente and
Políticas especiales de acceso SMTP sections for more information.
En una migración de servidor de correo, el servidor de correo de origen podría estar en producción incluso después
de que se haya realizado la copia de seguridad y los mensajes de correo electrónico continúan siendo entregados hasta
que se borran permanentemente.
Un script de ayuda basado en rsync es proporcionado por el paquete nethserver-mail-server. Se ejecuta en
el host de destino y sincroniza los buzones de destino con el host de origen:
Usage:
/usr/share/doc/nethserver-mail-server-<VERSION>/sync_maildirs.sh [-h] [-n] [-p] -
˓→s IPADDR
-h help message
-n dry run
-p PORT ssh port on source host (default 22)
-s IPADDR rsync from source host IPADDR
-t TYPE source type: sme8 (default), ns6
El host de origen en IPADDR debe ser accesible por el usuario root, a través de ssh con autenticación de clave
pública.
Apache
La configuración de la suite de cifrado SSL no se migra automáticamente porque el sistema de origen utiliza un
conjunto de cifrado débil de forma predeterminada. Para migrarlo manualmente, ejecute los siguientes comandos:
MIGRATION_PATH=/var/lib/migration
config setprop httpd SSLCipherSuite $(db $MIGRATION_PATH/home/e-smith/db/
˓→configuration getprop modSSL CipherSuite)
signal-event nethserver-httpd-update
Ibays
El concepto ibay ha sido reemplazado por Carpetas compartidas. Los protocolos soportados para acceder a Carpetas
compartidas son:
SFTP, proporcionado por el demonio sshd
Protocolo de intercambio de archivos SMB, típico de las redes de Windows, implementado por Samba
Advertencia: Read carefully the Carpetas compartidas section in the Actualizar desde NethServer 6 chapter,
because the connection credentials may change when migrating to NethServer 7.
86 Capítulo 7. Apéndice
A partir de |product |version|, las carpetas compartidas no están configuradas para el acceso HTTP. Después del
evento migration-import, los ibays antiguos podrían migrarse de acuerdo con las siguientes reglas empíricas:
1. Si el ibay era un host virtual, instale el módulo “Servidor web” desde la página Centro de software. Copie el
contenido ibay en el directorio raíz del host virtual. Refiérase a Hosts virtuales.
2. Si el acceso ibay estaba restringido con una contraseña secreta (por ejemplo, para compartir contenido con un
grupo de personas a través de Internet), la página Hosts virtuales todavía ofrece la misma característica. También
el módulo Nextcloud podría ser un buen sustituto.
3. Si el contenido ibay era accesible con una URL como http://<IP>/ibayname, el procedimiento más
sencillo para mantenerlo funcionando es trasladarlo a la raíz del documento Apache:
mv -iv /var/lib/nethserver/ibay/ibayname /var/www/html/ibayname

chmod -c -R o+rX /var/www/html/ibayname
db accounts delete ibayname
signal-event nethserver-samba-update
Migration from backup
1. En el host de origen, cree un archivo de copia de seguridad completo y muévalo al host de destino.
2. En el host de destino, instale todos los paquetes que cubran las mismas características del origen.
3. Descargar el archivo de copia de seguridad completo en algún directorio; Por ejemplo, cree el directorio /var/
lib/migration.
4. En el host de destino, señale el evento migration-import:
signal-event migration-import /var/lib/migration
Este paso requerirá algún tiempo.

5. Compruebe si hay algún mensaje de error en /var/log/messages:
grep -E '(FAIL|ERROR)' /var/log/messages
Migration with rsync
The process is much faster than migrating from a backup.

Before starting make sure to have:
a running NethService/SME installation, we will call it original server or source server
a running NethServer 7 installation with at least the same disk space of the source server, we will call it destina-
tion server
a working network connection between the two severs
Please also make sure the source server allows root login via SSH key and password.
Sync files
The synchronization script copies all data using rsync over SSH. Files are saved inside /var/lib/migration
directory. If the destination server doesn’t have any SSH keys, the script will also create a pair of RSA keys and copy
the public key to the source server. All directories excluded from the backup data will not be synced.
7.1. Migración del servidor NethService/SME 87

On the target machine, execute the following command:
screen rsync-migrate <source_server_name> [ssh_port]
Where
source_server_name is the host name or IP of the original server
ssh_port is the SSH port of the original server (default is 22)
Example:
screen rsync-migrate mail.nethserver.org 2222
When asked, insert the root password of the source server, make a coffee and wait patiently.
The script will not perform any action on the source machine and can be invoked multiple times.
Sync and migrate
If called with -m option, rsync-migrate will execute a final synchronization and upgrade the target machine.
Example:
screen rsync-migrate -m mail.nethserver.org 2222
The script will:

stop every service on the source machine (except for SSH)
execute the pre-backup event on the source machine
sync all remaining data
execute the migration-import event on the destination machine
At the end, check for any error message in /var/log/messages:
Actualizar desde NethServer 6
The upgrade from NethServer 6 to NethServer 7 can be achieved from a backup (see also Recuperación de desastres )
or using rsync.
Advertencia: Before running the upgrade procedure, read carefully all the sections of this chapter. Please also
read Paquetes descontinuados.
Nota: During the whole upgrade process, all network services will be inaccessible.
Proveedor de cuentas
Hay diferentes escenarios de actualización, dependiendo de cómo se configuró la máquina de origen.

Si el sistema fuente era un Controlador de Dominio Primario de NT (la función de servidor Samba era Primary
Domain Controller – PDC) o un servidor de archivos independiente (rol era Workstation – WS), refiérase a :ref
:pdc-upgrade-section.
Si el sistema de origen estaba unido a un dominio de Active Directory (la función de servidor Samba era miembro
de Active Directory – ADS), consulte Actualización de miembros de Active Directory.
En cualquier otro caso, el servidor LDAP se actualiza automáticamente al proveedor de cuentas LDAP local,
preservando usuarios, contraseñas y grupos existentes.
Actualización de Controlador de Dominio Principal y estación de trabajo
After the restore procedure, go to Accounts provider page and select the Upgrade to Active Directory procedure. The
button will be available only if network configuration has already been fixed accordingly to the new hardware.
Una dirección IP adicional, libre de la red verde es requerida por el contenedor de Linux para ejecutar el proveedor
local de cuentas de Active Directory.
Por ejemplo:
server IP (green): 192.168.98.252
IP adicional libre en red verde:: 192.168.98.7
Asegúrese de que hay una conexión a Internet:
# curl -I http://packages.nethserver.org/nethserver/
HTTP/1.1 200 OK
Para obtener más información sobre el proveedor local de cuentas de Active Directory, consulte Instalación del pro-
veedor local de Active Directory de Samba.
Shared folder connections may require further adjustment.
Advertencia: Read carefully the Carpetas compartidas section, because the connection credentials may change
when upgrading to NethServer 7.
The upgrade procedure preserves user, group and computer accounts.
Advertencia: Users not enabled for Samba in NethServer 6 will be migrated as locked users. To enable these
locked users, the administrator will have to set a new password.
Actualización de miembros de Active Directory
After restoring the configuration, join the server to the existing Active Directory domain from the web interface. For
more information see Unirse a un dominio de Active Directory existente.
At the end, proceed with data restore.
7.2. Actualizar desde NethServer 6 89

Advertencia: ¡Los alias de correo del servidor AD no se importan automáticamente!
Carpetas compartidas
Las carpetas compartidas se han dividido en dos paquetes:

“Shared folders” page configures only Samba SMB shares; it provides data access using CIFS/SMB protocol
and can be used to share files among Windows and Linux workstations
El panel “Virtual hosts” proporciona acceso HTTP y FTP, ha sido diseñado para alojar sitios web y aplicaciones
web
SMB access
In NethServer 7 the SMB security model is based on Active Directory. As consequence when upgrading (or migrating)
a file server in Primary Domain Controller (PDC) or Standalone Workstation (WS) role the following rule apply:
When connecting to a shared folder, the NetBIOS domain name must be either prefixed to the user name
(i.e. MYDOMAIN\username), or inserted in the specific form field.
The upgrade procedure enables the deprecated1 NTLM authentication method to preserve backward compatibility
with legacy network clients, like printers and scanners.
Advertencia: Fix the legacy SMB clients configuration, then disable NTLM authentication.
Edit /var/lib/machines/nsdc/etc/samba/smb.conf
Remove the ntlm auth = yes line
Restart the samba DC with systemctl -M nsdc restart samba
HTTP access
Cada carpeta compartida con acceso a la web configurada en NethServer 6 se puede migrar a un host virtual directa-
mente desde la interfaz web seleccionando la acción Migrar a host virtual. Después de la migración, los datos dentro
del nuevo host virtual serán accesibles usando sólo protocolos FTP y HTTP.
See also Hosts virtuales for more information about Virtual hosts page.
Mail server
All mailboxes options like SPAM retention and quota, along with ACLs, user shared mailboxes and subscriptions are
preserved.
Mailboxes associated to groups with Deliver the message into a shared folder option enabled, will be converted to
public shared mailboxes. The public shared folder will be automatically subscribed by all group members, but all
messages will be marked as unread.
1 Badlock vulnerability http://badlock.org/
Let’s Encrypt
Let’s Encrypt certificates are restored during the process, but will not be automatically renewed.
After the upgrade process has been completed, access the web interface and reconfigure Let’s Encrypt from the Server
certificate page.
Owncloud y Nextcloud
En NethServer 7, Owncloud ha sido sustituido oficialmente por Nextcloud.

However Owncloud 7 is still available to avoid service disruption after the upgrade.
Nota: In case of upgrade from local LDAP to Samba AD, user data inside Owncloud will not be accessible either
from the web interface or desktop/mobile clients. In such case, install and migrate to Nextcloud after the upgrade to
Samba Active Directory has been completed.
Migration from Owncloud to Nextcloud is manual and can be arranged according to user’s need. The migration script
will import all files and users from LDAP to Nextcloud, but shared resources will not be migrated.
To migrate users and data, use following command:
/usr/share/doc/$(rpm -q --queryformat "%{NAME}-%{VERSION}" nethserver-nextcloud)/

˓→owncloud-migrate
After the migration, please replace Owncloud clients with Nextcloud ones2 , then make sure to set the new application
URL: https://<your_server_address>/nextcloud.
Perl libraries
In NethServer 7, perl library NethServer::Directory has been replaced by NethServer::Password. Plea-

se update your custom scripts accordingly.
Example of old code:
use NethServer::Directory;
NethServer::Directory::getUserPassword('myservice', 0);
New code:
use NethServer::Password;
my $password = NethServer::Password::store('myservice');
Documentation available via perldoc command:
perldoc NethServer::Password
Upgrade from backup
1. Asegúrese de tener una copia de seguridad actualizada de la instalación original.

2 Nextcloud clients download https://nextcloud.com/install/#install-clients
7.2. Actualizar desde NethServer 6 91

2. Install NethServer 7 and complete the initial steps using the first configuration wizard. The new machine must
have the same hostname of the old one, to access the backup set correctly. Install and configure the backup
module.
3. Restore the configuration backup using the web interface. The network configuration is restored, too! If any
error occurs, check the /var/log/messages log file for further information:
4. If needed, go to Network page and fix the network configuration accordingly to the new hardware. If the machine
was joined to an existing Active Directory domain, read Actualización de miembros de Active Directory.
5. Complete el procedimiento de restauración con el siguiente comando:
restore-data
6. Check the restore logs:
/var/log/restore-data.log
/var/log/messages
7. Each file under /etc/e-smith/templates-custom/ must be manually checked for compatibility with
version 7.
Advertencia: Do not reboot the machine before executing the restore-data procedure.
Upgrade with rsync
The process is much faster than a traditional backup and restore, also it minimizes the downtime for the users.
Before starting make sure to have:
a running NethServer 6 installation, we will call it original server or source server
a running NethServer 7 installation with at least the same disk space of the source server, we will call it destina-
tion server
a working network connection between the two severs
Please also make sure the source server allows root login via SSH key and password.
Sync files
The synchronization script copies all data using rsync over SSH. If the destination server doesn’t have any SSH keys,
the script will also a pair of RSA keys and copy the public key to the source server. All directories excluded from the
backup data will not be synced.
On the target machine, execute the following command:
screen rsync-upgrade <source_server_name> [ssh_port]
Where
source_server_name is the host name or IP of the original server
ssh_port is the SSH port of the original server (default is 22)
Example:
screen rsync-upgrade mail.nethserver.org 2222
When asked, insert the root password of the source server, make a coffee and wait patiently.
The script will not perform any action on the source machine and can be invoked multiple times.
Sync and upgrade
If called with -u option, rsync-upgrade will execute a final synchronization and upgrade the target machine.
Example:
screen rsync-upgrade -u mail.nethserver.org 2222
The script will:

close access to every network service on the source machine (except for SSH and httpd-admin)
execute pre-backup-config and pre-backup-data event on the source machine
sync all remaining data
execute restore-config on the destination machine
At the end call the post-restore-data event on the destination machine:
signal-event post-restore-data
At the end, check the restore logs:
/var/log/restore-data.log
/var/log/messages
Also each file under /etc/e-smith/templates-custom/ must be manually checked for compatibility with
version 7.
Advertencia: Do not reboot the machine before executing the post-restore-data event.
Documentación de la licencia
Esta documentación se distribuye bajo los términos de la licencia Creative Commons - Attribution-
NonCommercial-ShareAlike 4.0 Internacional (CC BY-NC-SA 4.0). Usted es libre de:

Compartir - copiar y redistribuir el material en cualquier medio o formato
Adaptar - combinar, transformar y construir sobre el material
El licenciante no puede revocar estas libertades siempre y cuando siga los términos de la licencia.
Bajo los siguientes términos:
7.3. Documentación de la licencia 93

Atribución - Debe dar un crédito apropiado, proporcionar un enlace a la licencia e indicar si se realizaron
cambios. Puede hacerlo de cualquier manera razonable, pero no de ninguna manera que sugiera que el licenciante
lo respalda o su uso.
No comercial - No puede utilizar el material con fines comerciales.
Compartir igual - Si combinas, transformas o construyes el material, debes distribuir tus contribuciones bajo
la misma licencia que el original.
No hay restricciones adicionales - No puede aplicar términos legales o medidas tecnológicas que restrinjan legalmente
a otros de hacer cualquier cosa que la licencia permita.
Este es un resumen legible (y no un sustituto) de la licencia completa disponible en: http://creativecommons.org/
licenses/by-nc-sa/4.0/
La documentación de la arquitectura es del proyecto SME Server y se autoriza bajo la licencia GNU de documenta-
ción libre 1.3 (http://www.gnu.org/copyleft/fdl.html). Consulte la documentación original en http://wiki.contribs.org/.
CAPÍTULO 8
Índices
Índice general
Buscar
95
96 Capítulo 8. Índices
Índice
A SSL, 15
account change IP
service, 20 active directory, 18
active directory Collectd, 73
change IP, 18 compatibility
default accounts, 18 hardware, 5
alert, 69 contraseña, 22
Alias de DNS, 25 copia de seguridad configuración, 27
alias: DHCP, 25 copia de seguridad datos, 27
alias: HELO custom
EHLO, 39 quota, email, 35
alias: PXE, 25 spam retention, email, 35
alias: Trivial File Transfer Protocol
TFTP, 26 D
always send a copy Dashboard, 12
email, 33, 35 default accounts
anti-spam, véase antispam active directory, 18
email, 36 delivery
anti-virus, véase antivirus email, 33
email, 36 DHCP, 25
archivos, 36 disclaimer
Asterisk, 79 email, 33
attachment DNS, 24
email, 36 DNSBL, 36
ayuda en línea, 16 domain
email, 33
B Dynamic Host Configuration Protocol, 25
Backup, 27
balanceo, 13 E
bcc ejecutables, 36
email, 33, 35 email
blacklist always send a copy, 33, 35
email, 37 anti-spam, 36
anti-virus, 36
C attachment, 36
Caducidad de contraseña, 23 bcc, 33, 35
CentOS blacklist, 37
installation, 9 custom quota, 35
Certificate custom spam retention, 35
97
delivery, 33 HTTP, 70
disclaimer, 33
domain, 33 I
filter, 36 imap
HELO, 39 port, 37
hidden copy, 33, 35 imaps
legal note, 33 port, 37
local network only, 34 installation, 5
master user, 35 CentOS, 9
message queue, 35 ISO, 6
migration, 86 USB, 9
private internal, 34 VPS, 9
relay, 33 installed
retries, 35 packages, 11
signature, 33 RPM, 11
size, 35 interface
smarthost, 35 role, 12
spam retention, 35 internal
spam training, 37 email private, 34
whitelist, 37 Intrusion Prevention System, 67
email address, 33 IPsec, 76
encryption ISO
file system, 7 installation, 6
Enlace IP/MAC, 62
enrutado, 74 K
esclavo, 53 KVM, 81
estadística proxy web, 64
estadísticas, 73 L
estado, 12 latencia de la red, 73
EveBox, 69 legal note
email, 33
F local network only
fax, 54 email, 34
file system log, 16
encryption, 7
filter M
email, 36 maestro, 53
filtro de contenido, 65 mailbox
FreePBX, 79 shared, 34
FTP, 77 user, 34
master user
G email, 35
Gethmail message queue
software, 52 email, 35
Google Translate, 66 migration, 85
email, 86
H modem virtual, 54
hardware Modulación del tráfico, 61
compatibility, 5
requirements, 5 N
HELO NAT 1:1, 60
email, 39 net2net, 74
hidden copy Network, 12
email, 33, 35 Nextcloud, 76
98 Índice
O Roundcube, 40
Objetos del cortafuego, 61 RPM
Outlook, 44, 48 installed, 11
update, 11
P rutas estáticas, 15
p2p topology, 75
packages S
installed, 11 score
update, 11 spam, 36
password, 21 Server Manager, 9
peso, 58 service
ping, 73 account, 20
políticas, 56 servicio de red, 14
pop3 shared
port, 37 mailbox, 34
pop3s shared folder, 71
port, 37 signature
port email, 33
imap, 37 size
imaps, 37 email, 35
pop3, 37 smarthost
pop3s, 37 email, 35
smtp, 37 smtp
smtps, 37 port, 37
PPPoE, 13 smtps
Preboot eXecution Environment, 25 port, 37
private SNMP, 79
internal, email, 34 software
proxy inverso, 69 Gethmail, 52
proxy web, 62 software de terceros, 83
pseudonym, 33 spam, 36
PST, 44, 48 score, 36
puente, 13 spam retention
puenteado, 74 email, 35
puerta de enlace, 56 email custom, 35
PXE, 25 spam training
email, 37
Q SSL
quota Certificate, 15
email custom, 35 strong, 22
subnet topology, 75
R Suricata, 67
registro de firewall, 57
Reglas, 57 T
relay TFTP, 26
email, 33 time conditions, 61
remisión de puerto, 59 trusted networks, 14
requirements tunel, 74
hardware, 5
retries U
email, 35 update
roadwarrior, 74 packages, 11
role, 13 RPM, 11
interface, 12 upgrade, 88
Índice 99
UPS, 53
USB
installation, 9
user
mailbox, 34
uso del disco, 12
V
virtual hosts, 70
VLAN, 13
VPN, 74
VPS
installation, 9
W
WAN, 58
WAN priority, 75
web interface, 9
webmail, 40
whitelist
email, 37
X
XMPP, 52
Z
zone, 13, 61
100 Índice

Documentacion Nethserver

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Documentacion Nethserver

Cargado por

Copyright:

Formatos disponibles

NethServer Documentation

Actualización de RC4 a Final

Actualizando NethServer 6 a NethServer 7

Acceso al Administrador del servidor

config delete admins

Buzón de correo compartido del usuario

Si desea habilitar el buzón de correo compartido de usuario, ejecute:

config setprop dovecot SharedMailboxesStatus enabled

‘Log de cambios final de la ISO<https://github.com/NethServer/dev/issues?utf8= %E2 %9C %93&q=is %3Aissue %20is %

Lista de errores conocidos

Los siguientes paquetes estaban disponibles en la versión anterior 6 y se han eliminado en 7:

4 Capítulo 1. Notas de lanzamiento 7

Los requisitos mínimos son:

NethServer admite dos modos de instalación. En resumen:

Instalación desde YUM

Instalación desde ISO

En una máquina Linux, abra el shell y ejecute:

Parámetros de arranque opcionales

Si necesita seleccionar los discos duros de instalación, utilice:

Para activar el cifrado del sistema de archivos, utilice:

Otras opciones disponibles (modo desatendido solamente):

2.1. Tipos de instalación 7

Contraseña del administrador del sistema

Idioma del sistema

Modos interactivo y manual

Contraseña predeterminada de‘‘root‘‘: Nethesis,1234

yum localinstall -y http://mirror.nethserver.org/nethserver/nethserver-release-7.rpm

Para instalar el sistema base, ejecute:

nethserver-install nethserver-mail nethserver-nextcloud

Accediendo al administrador del servidor

2.2. Accediendo al administrador del servidor 9

Asistente de Primera Configuracion

Cambiar la contraseña actual

Lista de paquetes instalados

Utilice alias IP para asignar más direcciones IP a la misma NIC.

3.2. Sistema base 13

Balance Round Robin (recomendado)

Dirección para redes privadas (RFC1918)

Un servicio de red es un servicio que se ejecuta en el propio firewall.

Certificado del servidor

3.2. Sistema base 15

NethServer soporta autenticación y autorización contra un proveedor de cuentas local o remoto

Elegir el proveedor de cuenta correcto

Instalación del proveedor local de OpenLDAP

Instalación del proveedor local de Active Directory de Samba

3.3. Usuarios y grupos 17

DNS and AD domain

Instalación en una máquina virtual

ifconfig br0 promisc

Configure MAC Address Spoofing for Virtual Network Adapters2

Local accounts provider uninstallation

3.3. Usuarios y grupos 19

Unirse a un dominio de Active Directory existente

Vincular a un servidor LDAP remoto

Nombre completo (nombre y apellido)

3.3. Usuarios y grupos 21

Truco: Para habilitar la cuenta admin, establezca su contraseña.

config setprop admins user customadmin group customadmins

El sistema proporciona la capacidad de establecer restricciones en la contraseña complejidad y expiración.

La directiva predeterminada es: dfn:strong.

Advertencia: El cambio de las políticas predeterminadas es contraindicado. El uso de contraseñas débiles a

Efectos de contraseñas caducadas

Import accounts from plain-text files

username <TAB> fullName <TAB> password <NEWLINE>