Configurações

Licença

Tela: /admin/license

Objetivo

Consultar o estado da licença do RR Flow, validar a chave cadastrada e conferir os dados de vínculo do ambiente, como hardware, limite de fontes, expiração e informações do titular.

Como usar

1. Acesse Configurações > Licença.
2. Em Chave da Licença, confira a chave atual ou cole a nova chave fornecida para o ambiente.
3. Clique em Validar para gravar a chave e forçar uma nova validação.
4. Revise os cards de resumo para confirmar estado, versão, limite de fontes, hardware vinculado e prazo de validade.
5. Confira os blocos Informações do Proprietário da Licença e, quando existir, Informações do parceiro.
6. Use esta tela como referência antes de troubleshooting de bloqueio de licença, divergência de hardware, expiração ou limite de fontes.

Campos e opções

• Chave da Licença: campo da chave ativa no ambiente. A tela espera uma chave no formato padrão com blocos separados por hífen, como xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.
• Validar: grava a chave informada e inicia uma nova validação da licença.
• Status da Licença: mostra o estado atual da licença. Os estados mais comuns são:
  • Licença ativa e validada
  • Licença expirada
  • Licença inválida
  • Licença inativa
  • Chave de hardware incompatível
  • Não foi possível verificar licença (sem conexão com a internet)
  • Verificando licença…
  • Aguardando registro…
• Aplicação: mostra a versão atual do RR Flow em uso no ambiente.
• Fontes: mostra a quantidade de fontes permitida ou vinculada à licença.
• Chave de Hardware: identificador do host usado no vínculo do licenciamento.
• Expira em: mostra quantos dias faltam para a expiração. Também pode indicar Expirado ou Expira hoje.
• Data de expiração: mostra a data final de vigência da licença.
• Informações do Proprietário da Licença: bloco com os dados do titular da licença:
  • Nome
  • Empresa
  • Cidade / Estado
  • CNPJ
  • Telefone
  • Telegram
  • ASN
• Informações do parceiro: bloco exibido quando a licença possui parceiro associado. Pode mostrar:
  • Nome
  • Empresa
  • Cidade / Estado
  • CNPJ
  • Telefone
  • Telegram
  • Documentação
  • Suporte
  • Logo do parceiro
  • Quando houver link configurado, os campos de Documentação e Suporte ficam clicáveis.

Validação

• Após clicar em Validar, a chave informada deve permanecer salva ao recarregar a página.
• O Status da Licença deve refletir a situação real do ambiente.
• O total em Fontes deve ser coerente com o plano contratado.
• A Chave de Hardware deve ser compatível com o host atual.
• Expira em e Data de expiração devem bater com a vigência contratada.
• Se houver parceiro associado à licença, o bloco Informações do parceiro deve aparecer preenchido.

Problemas comuns

• Licença inválida: revisar se a chave foi colada corretamente e se o formato está completo.
• Licença inativa ou Licença expirada: revisar a vigência contratual e a renovação da licença.
• Chave de hardware incompatível: revisar se houve troca de host, clone de VM ou mudança de hardware.
• Não foi possível verificar licença (sem conexão com a internet): revisar conectividade do servidor até o serviço de validação.
• Limite de Fontes insuficiente: revisar o plano contratado antes de ativar novas fontes.
• Algumas telas operacionais, como Fontes, podem ficar bloqueadas quando a licença estiver inválida ou inativa.

---

Sistema

Tela: /admin/settings

Objetivo

Configurar parâmetros globais da API, controle de acesso externo, caminhos de armazenamento, backups, desempenho de consultas de dados brutos, ramdisk e conexão com o banco da interface.

Pré-requisitos

• Usuário com permissão para acessar e alterar Configurações > Sistema.
• Planejamento prévio dos caminhos, portas e dados de conexão antes de alterar o ambiente.

Como usar

1. Acesse Configurações > Sistema.
2. Ajuste cada bloco separadamente conforme a necessidade da operação.
3. Use o botão Salvar do próprio bloco após cada alteração.
4. Valide o efeito da mudança antes de seguir para o próximo bloco.

Cada botão Salvar grava apenas a seção em que foi clicado.

Campos e opções

• Configurações do Sistema:

  • IP de Vinculação da API: define em qual endereço a API interna vai escutar. A tela oferece:
    • Tudo IPv4/IPv6 (::)
    • Tudo IPv4 (0.0.0.0)
  • Porta da API: porta usada pela API.
  • Idioma da API: idioma padrão da API. A tela oferece:
    • Inglês (en_US)
    • Português (pt_BR)
    • Espanhol (es_ES)

• Token da API:

  • Requer token para chamadas /api externas: quando habilitado, acessos externos à /api precisam enviar token. Usuários autenticados no painel continuam funcionando normalmente.
  • Token: valor usado na autenticação externa.
  • Gerar: cria um novo token no campo.
  • Copiar: copia o token atual.
  • Uso esperado: Authorization: Bearer <token>.
  • Se o token estiver habilitado e o campo for salvo vazio, o sistema pode gerar um token automaticamente.

• IPs Permitidos:

  • Adicionar IP/Rede: campo para incluir IP único ou rede em IPv4 ou IPv6.
  • Aceita endereço com ou sem CIDR, como 1.1.1.1, 10.0.0.0/8 ou 2804:ff4::/48.
  • Lista atual: mostra os IPs e redes liberadas.
  • Botão de +: adiciona o item digitado.
  • Botão de lixeira: remove o item da lista.
  • A tela valida o formato antes de salvar. Entradas inválidas não entram na lista.

• Uploads:

  • Caminho de Uploads: diretório usado para arquivos de upload do sistema.

• Armazenamento:

  • Caminho de Armazenamento: diretório principal de dados.
  • Retenção (GB): limite de retenção em disco para esse armazenamento.

• Backups:

  • Diretório: caminho onde os backups serão gravados.
  • Retenção (dias): quantidade de dias para manter os backups.
  • Backup diário automático: ativa a rotina diária.
  • Horário exibido na tela: 02:00.

• Desempenho (Dados Brutos):

  • Bloco usado para ajustar concorrência e tempo de consulta das telas e APIs que usam dados brutos.
  • Máximo de processos: alvo de processos paralelos.
  • Limite rígido: máximo absoluto de processos paralelos.
  • Tempo limite padrão de consulta (segundos): tempo máximo padrão das consultas de dados brutos.
  • Modo de limitação:
    • Clamp automático: reduz a concorrência automaticamente quando RAM ou swap entram sob pressão.
    • Fixo: usa o valor configurado sem reduzir automaticamente por pressão de memória.
    • Agressivo: usa o limite rígido como alvo de concorrência.
  • Mínimo de shards por requisição: força divisão mínima das consultas para aumentar paralelismo.
  • Prévia de slots efetivos: mostra uma estimativa da concorrência efetiva com base no hardware atual e nos limites informados.
  • Botão da varinha: pré-preenche valores recomendados para o hardware detectado.
  • Limites avançados:
    • Reservar RAM (MB)
    • Reservar RAM (%%)
    • RAM estimada por proc (MB)
    • Pressão média de memória (%%)
    • Pressão alta de memória (%%)
    • Limite médio de swap (MB)
    • Limite alto de swap (MB)
  • Esses limites refinam o comportamento do Clamp automático.

• Ramdisk:

  • Habilitar Ramdisk: ativa o uso de sistema de arquivos em RAM.
  • Recriar na Inicialização: recria o ramdisk ao iniciar o serviço ou o host.
  • Caminho do Ramdisk: diretório montado em RAM.
  • Tamanho (MB): tamanho reservado para o ramdisk.
  • Limite de cache (%%): limite percentual do cache usado junto ao processamento de dados brutos.

• Banco de dados:

  • O título do card pode exibir o tamanho atual do PostgreSQL entre parênteses, quando disponível.
  • Host
  • Porta
  • Nome de Usuário
  • Senha
  • Mostrar/Ocultar: exibe ou oculta a senha digitada.
  • Nome do Banco de Dados
  • Este bloco monta a URL de conexão PostgreSQL usada pela interface.

Validação

• Após salvar um bloco, os valores devem permanecer ao recarregar a página.
• A API deve continuar acessível após alterações em IP de Vinculação da API e Porta da API.
• O token deve ser exigido nas chamadas externas quando Requer token para chamadas /api externas estiver ativo.
• A lista de IPs Permitidos deve conter apenas IPs e redes válidos.
• Os caminhos de Uploads, Armazenamento, Backups e Ramdisk devem existir ou ser compatíveis com o ambiente.
• O bloco Banco de dados deve continuar apontando para a base correta após salvar.
• A prévia de slots efetivos deve reagir quando os campos de desempenho forem alterados.

Problemas comuns

• API inacessível após mudança: revisar IP de Vinculação da API, Porta da API e firewall do host.
• Acesso externo bloqueado: revisar Requer token para chamadas /api externas, o valor do token e a lista de IPs Permitidos.
• IP ou rede não entra na lista: revisar o formato do endereço ou CIDR.
• Token perdido: gerar um novo token e salvar novamente o bloco.
• Consultas lentas ou excesso de consumo: revisar o bloco Desempenho (Dados Brutos) antes de aumentar agressivamente a concorrência.
• Falha em gravação de arquivos: revisar caminhos de Uploads, Armazenamento, Backups e Ramdisk.
• Erro de banco após alteração: revisar Host, Porta, Nome de Usuário, Senha e Nome do Banco de Dados.

---

Hora do Servidor

Tela: /admin/server-time

Objetivo

Configurar a sincronização de horário do servidor, revisar o estado atual do serviço de tempo e monitorar desvio de relógio nas fontes ativas.

Pré-requisitos

• Ter servidores NTP definidos para o ambiente.
• Para usar alertas, ter Telegram ou E-mail configurados em Configurações > Notificações.

Como usar

1. Acesse Configurações > Hora do Servidor.
2. No bloco Status do serviço, confirme se o pacote está instalado, se o serviço está ativo e se o relógio está sincronizado.
3. Se a tela mostrar o botão Ativar serviço de hora, use-o para instalar ou habilitar o serviço de tempo quando necessário.
4. Em Verificação do relógio dos dados das fontes, revise as fontes ativas e identifique se alguma está dentro da janela, atrasada, adiantada ou sem dados válidos.
5. Em Notificações de desvio de horário, defina se o sistema vai alertar quando encontrar fontes fora de sincronia.
6. Em Configuração NTP, ajuste Fuso horário, NTP e FallbackNTP.
7. Clique em Salvar e Aplicar no bloco correspondente.
8. Revise o bloco timedatectl status para validar o estado final do host.
9. Use Atualizar sempre que quiser recarregar o estado atual da tela.

Campos e opções

• Status do serviço:

  • Pacote: indica se o serviço de sincronização está instalado.
  • Serviço: indica se o serviço está ativo.
  • Serviço NTP: mostra se o NTP está habilitado no host.
  • Sincronizado: informa se o relógio do sistema está sincronizado.
  • Atualizar: recarrega os dados da tela.
  • Ativar serviço de hora: aparece quando o serviço precisa ser instalado, habilitado ou reativado.

• Verificação do relógio dos dados das fontes:

  • Usa o último arquivo de cada fonte ativa para estimar desvio de horário.
  • Os contadores do topo mostram:
  • OK
  • Aviso
  • Crítico
  • Sem arquivos / Erro
  • A tabela traz:
  • Origem: nome da fonte ativa.
  • Último arquivo: arquivo de coleta mais recente encontrado.
  • Janela esperada: janela de horário em que o primeiro fluxo deveria cair.
  • Primeiro fluxo: primeiro fluxo lido no arquivo analisado.
  • Desvio: mostra se a fonte está Dentro da janela, Atrasado ou Adiantado.
  • Status:
  • OK
  • Aviso
  • Crítico
  • Sem arquivos
  • Sem fluxos
  • Erro
  • Atualizar: refaz a análise das fontes.

• Notificações de desvio de horário:

  • Receber aviso quando dessincronizados: ativa a lógica de alerta.
  • Pelo menos um canal precisa estar ativo: Telegram ou E-mail.
  • Limite de alerta (segundos): define a partir de quantos segundos de desvio o sistema considera a fonte fora de sincronia para envio de alerta.
  • A tela aceita valores entre 10 e 86400.
  • Telegram: habilita envio por Telegram.
  • Selecionar usuário do Telegram / Usuário do Telegram: destino do alerta no Telegram.
  • Se não houver usuários disponíveis, a tela avisa para configurar primeiro em Notificações.
  • E-mail: habilita envio por e-mail.
  • E-mail de destino: destinatário do alerta.
  • Se o SMTP não estiver configurado, a tela avisa para configurar primeiro em Notificações.
  • Salvar e Aplicar: grava a configuração dos alertas.
  • Testar agora: executa o teste com a configuração informada naquele momento.
  • Importante: o teste só envia algo se houver pelo menos uma fonte fora de sincronia acima do limite configurado. Se nenhuma fonte estiver fora do limite, nada é enviado.
  • A verificação automática diária roda às 12:00, no horário local do servidor.

• Configuração NTP:

  • Fuso horário: lista de fusos disponíveis no host.
  • NTP: servidor ou lista de servidores NTP principais.
  • FallbackNTP: servidores de fallback usados quando o principal falha.
  • Os campos NTP e FallbackNTP aceitam um ou mais servidores separados por espaço ou vírgula.
  • Salvar e Aplicar: grava a configuração, ativa o NTP e reinicia o serviço de sincronização.

• timedatectl status:

  • Resume o estado do relógio com:
  • Hora local
  • Hora universal
  • RTC
  • Fuso horário
  • Abaixo, o bloco mostra a saída bruta do timedatectl status.

Validação

• O serviço deve ficar ativo após Ativar serviço de hora ou após salvar a configuração NTP.
• O bloco Status do serviço deve ficar coerente com o bloco timedatectl status.
• Fontes fora de sincronia devem aparecer como Aviso ou Crítico na verificação de drift.
• O Fuso horário, NTP e FallbackNTP devem permanecer salvos ao recarregar a página.
• O teste de alerta deve usar apenas os canais habilitados e configurados.
• Quando nenhuma fonte estiver acima do limite configurado, o teste não envia notificação.

Problemas comuns

• Serviço não ativa: revisar permissões administrativas, gerenciador de pacotes ocupado ou falha na instalação do serviço de tempo.
• Drift frequente: revisar horário no exportador, atraso da coleta e sincronização NTP do host.
• Fonte em Sem arquivos / Erro: revisar coleta, armazenamento e disponibilidade dos arquivos dessa origem.
• Fonte em Sem fluxos: revisar se o arquivo existe, mas não contém fluxo útil para análise.
• Alerta não envia: revisar se Receber aviso quando dessincronizados está habilitado e se ao menos um canal está configurado corretamente.
• Telegram indisponível: revisar usuários e bot em Notificações.
• E-mail não envia: revisar SMTP e E-mail de destino.
• Fuso horário inválido ou servidor NTP incorreto: revisar os valores digitados e aplicar novamente.

---

Firewall

Tela: /admin/firewall

Objetivo

Controlar o firewall gerenciado pelo RR Flow no host Linux, definindo quais portas ficam públicas, quais portas ficam restritas e quais redes podem acessar os serviços protegidos.

Pré-requisitos

• Aplicar a partir de um IP que continuará permitido após a mudança.

Como usar

1. Acesse Configurações > Firewall.
2. Em Perfil de regras, habilite o firewall gerenciado e marque apenas as inclusões automáticas que fazem sentido para o ambiente.
3. Preencha Redes IPv4 permitidas e Redes IPv6 permitidas com os IPs ou blocos que poderão acessar portas restritas.
4. Defina as portas em Portas TCP públicas, Portas UDP públicas, Portas TCP restritas e Portas UDP restritas.
5. Revise Portas efetivas para confirmar o resultado final entre portas informadas manualmente e portas incluídas automaticamente.
6. Revise Status em execução, principalmente Seu IP atual, o estado do nftables e os Endereços IPv4/IPv6 do servidor detectados.
7. Clique em Salvar e aplicar.
8. Confirme no Log de operação se as regras foram validadas e aplicadas sem erro.

Campos e opções

• Perfil de regras:

  • Habilitar firewall gerenciado: liga o conjunto de regras controlado pelo RR Flow.
  • Permitir ping das redes permitidas: libera resposta a ping somente para as redes listadas em Redes IPv4 permitidas e Redes IPv6 permitidas.
  • Incluir porta da API: adiciona automaticamente a porta atual da API no grupo restrito, para que o painel continue acessível.
  • Incluir portas dos coletores de origem: adiciona automaticamente as portas usadas pelas fontes de fluxo. Isso inclui as portas UDP de coleta e, quando aplicável, a porta TCP 179 para sessões BGP usadas pelas fontes.
  • Incluir SSH (automático): adiciona automaticamente as portas SSH detectadas no host. O rótulo pode mostrar a porta encontrada, por exemplo Incluir SSH (22).
  • Manter TLS 80/443 sempre aberto: mantém HTTP e HTTPS sempre públicos. Se desativado, essas portas só ficam abertas quando a emissão ou renovação do certificado exigir.
  • Observação: localhost é sempre permitido e não precisa ser cadastrado.

• Redes IPv4 permitidas e Redes IPv6 permitidas:

  • definem quem pode acessar as portas restritas.
  • Aceitam IP ou rede em CIDR, com um item por linha ou separados por vírgula, espaço ou ;.
  • Exemplos:
  • 192.0.2.10
  • 192.0.2.0/24
  • 2001:db8::/48

• Portas TCP públicas e Portas UDP públicas:

  • ficam abertas para qualquer origem.
  • Use aqui apenas o que realmente precisa ficar exposto à internet.

• Portas TCP restritas (somente redes permitidas) e Portas UDP restritas (somente redes permitidas):

  • ficam abertas apenas para as redes informadas nos blocos de permissão.
  • São os campos indicados para acesso administrativo, API privada e portas internas.

• Formato das portas:

  • aceita portas isoladas e intervalos, como:
  • 22
  • 443
  • 2055,6343
  • 10000-10100

• Portas efetivas:

  • mostra o resultado final em quatro grupos:
  • TCP público
  • UDP público
  • TCP restrito
  • UDP restrito
  • Este é o bloco mais importante para validação, porque já considera:
  • portas digitadas manualmente
  • porta da API
  • portas SSH detectadas
  • portas das fontes
  • portas TLS

• Status em execução:

  • Binário nft: informa se o comando nft está disponível no host.
  • nftables ativo: informa se o serviço está em execução.
  • nftables habilitado: informa se o serviço inicia com o sistema.
  • Tabela gerenciada carregada: confirma se a tabela aplicada pelo RR Flow está carregada.
  • Seu IP atual: mostra o IP da sessão atual. Se ele não estiver coberto pelas permissões e a API depender de rede restrita, a tela alerta antes da aplicação.
  • Endereços IPv4 do servidor e Endereços IPv6 do servidor: mostram os IPs detectados nas interfaces principais do host. A chave ao lado de cada IP permite excluir aquele endereço específico do conjunto gerenciado.

• Regras de firewall ativas foram detectadas…:

  • este aviso indica que já existem regras ativas no host e que elas serão substituídas ao aplicar o firewall gerenciado pelo RR Flow.

• Salvar e aplicar:

  • salva a configuração, valida se o acesso ao sistema continuará possível e tenta aplicar as regras no host.

• Log de operação:

  • mostra o retorno da validação e da aplicação. Use este bloco sempre que a mudança não produzir o resultado esperado.

Validação

• As Portas efetivas devem bater com a política que você pretende aplicar.
• A porta da API deve continuar acessível, de forma pública ou restrita para a sua rede.
• O Seu IP atual não deve aparecer como fora das permissões antes da aplicação.
• A Tabela gerenciada carregada deve aparecer como ativa após Salvar e aplicar.
• O Log de operação deve indicar aplicação concluída sem erro.

Problemas comuns

• Não salva: normalmente a própria validação detectou que a nova política bloquearia a API ou o seu IP atual.
• Erro dizendo que a porta da API ficará bloqueada: revisar Incluir porta da API e o grupo correto de portas.
• Erro dizendo que o seu IP atual não está permitido: incluir o seu IP ou a sua rede em Redes IPv4 permitidas ou Redes IPv6 permitidas antes de aplicar.
• Porta esperada não aparece em Portas efetivas: revisar se ela foi digitada no grupo correto e se alguma inclusão automática deveria estar habilitada.
• SSH parou de responder: revisar Incluir SSH (automático) e confirmar quais portas o host realmente usa.
• Coleta de fluxo ou sessão BGP parou após a mudança: revisar Incluir portas dos coletores de origem e conferir o resultado em Portas efetivas.
• O aviso sobre regras existentes apareceu: isso indica que o host já tinha regras ativas e elas serão substituídas quando o firewall gerenciado for aplicado.
• Aplicação falhou: revisar o Log de operação, o estado do nftables e os IPs do servidor detectados na própria tela.

---

Certificado

Tela: /admin/tls

Objetivo

Configurar a borda TLS do RR Flow, publicar o painel em HTTPS e acompanhar a emissão, renovação e recarga do certificado.

Pré-requisitos

• Para emissão e renovação com Let’s Encrypt, o domínio deve apontar para o servidor e as portas HTTP/HTTPS precisam estar acessíveis.

Como usar

1. Acesse Configurações > Certificado.
2. Em Configurações da borda TLS, defina se o Habilitar TLS interno ficará ligado.
3. Revise Porta HTTP, Porta HTTPS, Domínio e E-mail.
4. Confirme Caminho do certificado, Caminho da chave privada e Diretório de desafio ACME.
5. Clique em Salvar Configurações para gravar o bloco da borda TLS.
6. Use Recarregar Borda quando precisar recarregar os listeners após uma alteração de configuração ou troca manual de certificado.
7. No card Runtime e certificado, confira o estado dos listeners, do Certbot, dos Privilégios root e da Renovação automática do certificado.
8. Use Emitir certificado para solicitar um certificado novo e Renovar agora para forçar uma renovação manual.
9. Revise Log de operações TLS para confirmar o retorno de cada ação.

Campos e opções

• Configurações da borda TLS:

  • Habilitar TLS interno: liga a borda HTTPS do RR Flow. Quando desativado, a interface TLS interna não sobe.
  • Porta HTTP: porta usada para o listener HTTP. O padrão é 80.
  • Porta HTTPS: porta usada para o listener HTTPS. O padrão é 443.
  • Domínio: nome público usado no certificado.
  • E-mail: e-mail usado no processo de emissão e renovação.
  • Caminho do certificado: arquivo fullchain.pem que a borda vai usar.
  • Caminho da chave privada: arquivo privkey.pem usado pela borda.
  • Diretório de desafio ACME: diretório usado no desafio HTTP do Let’s Encrypt.
  • Quando você informa o Domínio e os caminhos estão vazios, a tela sugere automaticamente:
  • /opt/rr-flow/config/cert/<dominio>/fullchain.pem
  • /opt/rr-flow/config/cert/<dominio>/privkey.pem
  • e mantém o diretório de desafio padrão em /opt/rr-flow/config/tls-challenges.
  • Salvar Configurações: salva este bloco e reaplica a configuração da borda.
  • Recarregar Borda: recarrega os listeners usando a configuração já salva. Use quando o certificado foi trocado manualmente ou quando você quer reaplicar o runtime sem alterar os campos.

• Runtime e certificado:

  • Listener HTTP: mostra se o listener HTTP está ativo.
  • Listener HTTPS: mostra se o listener HTTPS está ativo.
  • Certbot: informa se o certbot está instalado no host.
  • Privilégios root: informa se o processo tem privilégio suficiente para emissão, renovação e operações que exigem acesso ao sistema.
  • Renovação automática do certificado: ativa ou desativa a renovação automática. Nesta tela, a troca dessa chave é salva automaticamente.
  • A linha abaixo da chave mostra o estado da renovação automática e a Próxima checagem.
  • O quadro de resumo mostra:
  • Domínio
  • Certificado expira em
  • Arquivo do certificado
  • Emitir certificado: solicita um certificado novo com base no Domínio e no E-mail configurados.
  • Renovar agora: executa uma renovação manual imediata.

• Log de operações TLS:

  • mostra o retorno de Salvar Configurações, Recarregar Borda, Emitir certificado e Renovar agora.
  • Se houver erro, este é o primeiro bloco que deve ser consultado.

Validação

• Listener HTTP e Listener HTTPS devem refletir o estado esperado da borda.
• O Domínio exibido no resumo deve ser o mesmo que será usado publicamente.
• Certificado expira em deve mostrar uma data válida após emissão ou renovação.
• Certbot e Privilégios root devem aparecer disponíveis quando você for usar Emitir certificado ou Renovar agora.
• O Log de operações TLS deve confirmar a ação executada sem erro.

Problemas comuns

• Emitir certificado falha: revisar Domínio, E-mail, DNS público e acesso externo às portas HTTP/HTTPS.
• Erro de porta em uso ao habilitar TLS: outra aplicação web já está ocupando a Porta HTTP ou a Porta HTTPS.
• Recarregar Borda não surte efeito: revisar se os caminhos do certificado e da chave privada apontam para os arquivos corretos.
• Listener HTTPS não sobe: revisar se o certificado e a chave existem nos caminhos configurados.
• Renovar agora falha: revisar o Log de operações TLS, a presença do certbot e os privilégios de root.
• Se o firewall estiver ativo e as portas TLS não ficarem permanentemente abertas, o sistema tenta abrir as portas HTTP/HTTPS temporariamente durante emissão e renovação. Se isso falhar, a operação também falha.

---

Looking Glass

Tela: /admin/looking-glass

Objetivo

Configurar o portal público de Looking Glass: aparência, fontes BGP expostas, abas de consulta, ferramentas permitidas e redes autorizadas a acessar a página.

Pré-requisitos

• Definir se o portal será usado apenas internamente ou publicado para redes externas.
• Revisar porta, firewall e certificado quando o acesso for externo.

Como usar

1. Acesse Configurações > Looking Glass.
2. Ative Habilitar Looking Glass quando quiser disponibilizar o portal público.
3. Em Configuração básica, defina nome público, porta, idioma, tema e limite de acesso.
4. Em Cores, ajuste a paleta que será usada no portal.
5. Em Identidade visual, envie os logos para tema claro e tema escuro, se quiser personalizar a página pública.
6. Em Recursos visíveis, escolha quais abas de consulta BGP, quais fontes e quais ferramentas ficarão disponíveis ao usuário final.
7. Em Links do rodapé, mantenha apenas os links que devem aparecer no portal.
8. Em Sub-redes permitidas, informe as redes autorizadas a acessar a página pública.
9. Clique em Salvar Configurações.
10. Valide o acesso no portal público.

Campos e opções

Ativação e configuração básica

• Habilitar Looking Glass: liga ou desliga o portal público.
• Título público: nome principal exibido no topo da página.
• Subtítulo público: texto complementar logo abaixo do título.
• Porta: porta do serviço público do Looking Glass.
• Limite de Acesso: quantidade de requisições permitidas por origem.
• Janela de Tempo (segundos): período usado junto com o Limite de Acesso. Em conjunto, esses dois campos funcionam como controle de taxa por IP.
• Idioma: idioma exibido no portal público.
• Tema: define se o portal abre com aparência Light ou Dark.

Cores

• Cor Primária: cor de destaque do portal.
• Fundo Claro: fundo usado no tema claro.
• Fundo Escuro: fundo usado no tema escuro.
• Card Claro: cor dos cards no tema claro.
• Card Escuro: cor dos cards no tema escuro.
• Cada cor pode ser ajustada pelo seletor visual ou digitando o valor hexadecimal.
• Redefinir cores: volta a paleta para os valores padrão.

Identidade visual

• Logo (Tema Claro): logo exibido quando o portal estiver em tema claro.
• Logo (Tema Escuro): logo exibido quando o portal estiver em tema escuro.
• Remover logo: limpa o logo daquele tema.
• O envio aceita PNG e JPG.
• A pré-visualização mostra como o logo ficará sobre o fundo configurado.

Recursos visíveis

• Habilitar Ping & Traceroute: libera essas ferramentas no portal público.
• Traduzir mapa de comunidades: mostra a tradução do catálogo de comunidades quando houver mapeamento disponível.
• Abas de consulta BGP visíveis: define quais tipos de consulta aparecem no portal público. As opções da tela incluem:
• Consulta
• Prefixos mais longos
• Comunidade
• Comunidade L.
• ASN origem
• ASN trânsito
• ASN direto
• RPKI inválido
• Fontes visíveis: escolhe quais fontes BGP podem ser consultadas no portal público.

Links do rodapé

• Adicionar link: cria uma nova linha no rodapé do portal.
• Cada linha usa:
• Nome do link
• URL
• Os links abrem em nova aba.
• A URL deve usar http:// ou https://.

Sub-redes permitidas

• Sub-redes Permitidas: lista de IPs ou redes autorizadas a acessar o portal.
• Aceita IPv4 e IPv6 com CIDR, como 10.0.0.0/24 ou 2001:db8::/32.
• É possível colar vários itens de uma vez, separados por espaço, vírgula ou quebra de linha.
• Cada rede adicionada aparece na lista abaixo e pode ser removida individualmente.
• Este bloco é o controle principal de acesso ao portal.
• Se a lista não incluir a rede do usuário que tentará acessar o Looking Glass, a página pública não ficará acessível para essa origem.
• Para uso externo, informe explicitamente as redes ou IPs que poderão acessar o portal.

Salvamento

• Salvar Configurações: grava a configuração atual do portal público.

Validação

• O portal deve responder na Porta configurada.
• O título, subtítulo, tema, cores e logos devem refletir a configuração salva.
• Somente as abas e fontes marcadas devem aparecer no portal público.
• Ping & Traceroute e tradução de comunidades só devem aparecer quando habilitados.
• As redes cadastradas em Sub-redes permitidas devem conseguir acessar o portal; redes fora da lista devem ficar bloqueadas.

Problemas comuns

• Portal não abre: revisar Porta, firewall e exposição do serviço.
• Portal abre só localmente: revisar Sub-redes permitidas. Se a rede externa não estiver cadastrada, o acesso não será liberado para ela.
• Consulta sem fontes: revisar Fontes visíveis.
• Faltam abas no portal: revisar Abas de consulta BGP visíveis.
• Link do rodapé não salva: revisar se a URL usa http:// ou https://.
• Cor não aplica: revisar se o valor hexadecimal está válido.
• Logo não aparece: revisar o envio da imagem, o tema ativo e o salvamento da configuração.

---

Usuários

Tela: /admin/users

Objetivo

Gerenciar contas de acesso, grupos e permissões da barra lateral do RR Flow.

Como usar

1. Acesse Configurações > Usuários.
2. No bloco Usuários, revise a lista atual e os grupos associados a cada conta.
3. Use Novo Grupo para montar primeiro o conjunto de permissões que o usuário deverá receber.
4. Use Novo Usuário para cadastrar a conta e marcar os grupos desejados.
5. Para alterar uma conta existente, use o botão de edição na linha do usuário.
6. Para remover uma conta, use o botão de exclusão na linha correspondente.
7. No bloco Grupos, revise Membros e Permissões antes de editar ou excluir um grupo.

Campos e opções

• Bloco Usuários:

  • mostra a lista de contas, o Nome completo, o Nome de usuário e os grupos vinculados em forma de etiqueta.
  • O total no cabeçalho mostra quantos usuários existem no sistema.

• Novo Usuário:

  • abre o modal de cadastro com os campos:
  • Nome de usuário: identificador usado no login. Depois de criado, não é alterado por esta tela.
  • Nome completo: nome exibido no painel.
  • Grupos: define quais permissões e quais itens da barra lateral o usuário receberá.
  • Tema: define o tema inicial da conta, como Claro ou Escuro.
  • Idioma: define o idioma inicial da conta.
  • Senha: obrigatória no cadastro de um usuário novo.

• Editar usuário:

  • ao editar, a tela mantém o Nome de usuário bloqueado para alteração.
  • O campo Senha passa a ser opcional. Se ficar vazio, a senha atual é mantida.
  • Alterações de Tema e Idioma feitas no próprio usuário logado também passam a valer para a sessão atual.

• Excluir usuário:

  • remove a conta após confirmação.
  • A própria conta logada não pode ser removida por esta tela.

• Bloco Grupos:

  • mostra cada grupo com:
  • Nome do grupo
  • Descrição
  • selo Sistema, quando aplicável
  • total de Membros
  • total de Permissões

• Novo Grupo e Editar grupo:

  • usam o mesmo modal.
  • Os campos principais são:
  • Nome do grupo
  • Descrição
  • lista de permissões organizada por seção da barra lateral
  • A seleção define o que aquele grupo poderá ver e acessar no painel.

• Permissões do grupo:

  • são apresentadas por seção da interface.
  • No grupo de Painéis, a tela também pode exibir:
  • Meus dashboards (todos)
  • Permitir edição
  • dashboards individuais
  • Isso permite liberar todos os dashboards personalizados ou apenas alguns painéis específicos.

• Grupo de sistema:

  • grupos marcados como Sistema não podem ser editados nem removidos por esta tela.

• Excluir grupo:

  • só fica disponível quando o grupo não possui membros.
  • Se houver usuários vinculados, o grupo precisa ser esvaziado antes da remoção.

Validação

• O usuário deve aparecer na lista após cadastro.
• Os grupos exibidos no usuário devem ser coerentes com o acesso esperado.
• O total de Membros e Permissões do grupo deve refletir a configuração aplicada.
• Um usuário novo deve conseguir acessar apenas os itens liberados pelos grupos marcados.
• Um grupo recém-editado deve refletir imediatamente a nova combinação de permissões.

Problemas comuns

• Nome de usuário já existe: é necessário usar outro identificador.
• Usuário criado sem acesso esperado: revisar os Grupos marcados no cadastro.
• Usuário com menu excessivo: revisar as permissões do grupo atribuído.
• Não é possível remover um grupo: normalmente ele ainda possui Membros ou é um grupo de Sistema.
• Não é possível remover o próprio usuário: a tela bloqueia essa operação.
• Ao editar um usuário, a senha não mudou: revisar se o campo Senha foi realmente preenchido antes de salvar.
• Usuário não aparece na lista: revisar cadastro e filtros de sessão.
• Login falha após alteração: revisar senha e estado do usuário.

---

Atualizações

Tela: /admin/upgrade

Objetivo

Verificar disponibilidade de novas versões, atualizar componentes do RR Flow e acompanhar atualizações do sistema operacional.

Pré-requisitos

• Conectividade externa para checagem e download de atualização.
• Janela de manutenção definida para mudanças em produção.

Como usar

1. Acesse Configurações > Atualizações.
2. Revise os cards de RR Flow, Geolocalização e Nfdump para confirmar a versão instalada e o estado atual.
3. Use Verificar agora quando quiser consultar imediatamente a disponibilidade de novas versões.
4. Ajuste Atualização automática às e Tempo se quiser manter uma checagem automática diária.
5. Quando o card mostrar Atualização disponível, use Atualizar para iniciar a operação.
6. Use Reverter apenas quando houver backup disponível e a operação exigir retorno à versão anterior.
7. No bloco Atualizações do sistema, use Verificar atualizações, revise a lista de pacotes e escolha entre atualização individual, Atualizar tudo ou Liberar espaço (pacotes não usados).
8. Se a tela indicar Reinicialização necessária, avalie o impacto e use Reiniciar servidor na janela adequada.

Campos e opções

• Atualização automática às:

  • ativa ou desativa a checagem automática de novas versões.
  • A troca dessa chave é salva imediatamente pela própria tela.

• Tempo:

  • define o horário da checagem automática.
  • A alteração também é salva imediatamente.

• Verificar agora:

  • força uma nova consulta das versões remotas para os cards de RR Flow, Geolocalização e Nfdump.

• Cards RR Flow, Geolocalização e Nfdump:

  • cada card mostra:
  • Versão
  • status como Atualizado, Atualização disponível ou Desconhecido
  • botão Atualizar, quando existe versão nova
  • botão Reverter, quando existe backup local para retorno

• Versão:

  • quando há atualização disponível, a tela mostra a comparação no formato:
  • versão atual -> versão remota
  • Quando não há atualização, mostra apenas a versão instalada.

• Atualizar:

  • inicia a atualização do componente escolhido.
  • Nos cards de RR Flow e Geolocalização, a própria tela mostra o andamento em etapas como:
  • Verificando
  • Baixando
  • Extraindo
  • Instalando
  • Reiniciando ou Finalizando

• Reverter:

  • tenta restaurar o backup mais recente do componente.
  • Este botão só aparece quando existe backup local disponível para downgrade.

• Nfdump:

  • usa um modal próprio com barra de progresso e Log detalhado.
  • Após atualização ou reversão do Nfdump, a tela pode aguardar o reinício do serviço RR Flow antes de concluir.

• Atualizações do sistema:

  • este bloco controla os pacotes do sistema operacional.
  • A tela faz uma checagem automática ao abrir a página e também permite nova checagem manual por Verificar atualizações.
  • O resumo mostra quantas atualizações e quantos pacotes não usados foram encontrados.

• Tabela de atualizações do sistema:

  • lista:
  • Pacote
  • Repositório
  • Atual
  • Nova
  • ação de Atualizar por pacote
  • Pacotes de segurança aparecem com destaque próprio no repositório.

• Atualizar tudo:

  • inicia a atualização de todos os pacotes listados no bloco do sistema.

• Liberar espaço (pacotes não usados):

  • executa a limpeza de pacotes não utilizados.
  • O bloco Pacotes não usados mostra a lista encontrada e, quando disponível, a estimativa de liberação de espaço.

• Reinicialização necessária:

  • aparece quando o sistema identifica necessidade de reboot, normalmente por kernel pendente ou serviços aguardando reinício.
  • O alerta pode mostrar:
  • resumo do motivo
  • kernel atual e kernel instalado
  • serviços pendentes de reinício

• Reiniciar servidor:

  • abre um modal de confirmação e solicita o reboot do host.
  • Use apenas em janela controlada.

Validação

• A checagem por Verificar agora deve atualizar os estados dos cards.
• A chave Atualização automática às e o campo Tempo devem permanecer com o valor configurado após a alteração.
• Após Atualizar ou Reverter, o card do componente deve refletir a nova versão e o novo status.
• Em Atualizações do sistema, a lista de pacotes deve bater com o resumo exibido no topo do bloco.
• Quando houver reboot pendente, o alerta de Reinicialização necessária deve aparecer na própria tela.

Problemas comuns

• Verificar agora não retorna versão: revisar conectividade externa e acesso aos repositórios remotos.
• O status ficou como Desconhecido: a tela não conseguiu comparar a versão local com a remota.
• Atualizar ou Reverter falha: revisar o progresso exibido no card ou o Log do modal, conforme o componente.
• O botão Reverter não aparece: normalmente não existe backup local disponível para aquele componente.
• O card do Nfdump conclui, mas a tela ainda aguarda: pode haver reinício do serviço RR Flow em andamento após a atualização.
• Atualizar tudo ou atualização de pacote não conclui: revisar estado do sistema operacional, permissões e possíveis travas do gerenciador de pacotes.
• O alerta de reboot permanece após atualização: o host ainda precisa ser reiniciado para concluir a troca de kernel ou descarregar serviços antigos.

---

Backups

Tela: /admin/backups

Objetivo

Criar, importar, baixar, restaurar e remover backups do ambiente RR Flow.

Pré-requisitos

• O diretório de backup precisa estar configurado e com espaço livre suficiente.

Como usar

1. Acesse Configurações > Backups.
2. Em Criar backup, revise as estimativas de tamanho e o Espaço livre disponível.
3. Clique em Criar backup para gerar um novo arquivo.
4. No bloco Backups, revise a lista de arquivos disponíveis.
5. Use Importar quando precisar enviar um backup externo para o diretório do sistema.
6. Use Atualizar para recarregar a listagem.
7. Na coluna Ações, use Baixar, Restaurar ou Remover conforme a necessidade.
8. Após restaurar um backup, escolha se o serviço RR Flow será reiniciado imediatamente ou depois.

Campos e opções

• Criar backup:
  • Tamanho estimado (sem compressão): estimativa do volume total antes da compactação.
  • Tamanho estimado (zip): estimativa do tamanho final do arquivo compactado.
  • Configuração: tamanho estimado dos arquivos de configuração que entrarão no backup.
  • Configuração do BD: tamanho estimado do conteúdo exportado do banco de configuração.
  • Espaço livre: espaço disponível no diretório de backup.
  • A observação de retenção informa por quantos dias os backups antigos são mantidos automaticamente.
  • Criar backup: gera um novo arquivo de backup.
  • Se o espaço livre for insuficiente, o botão fica indisponível.
• Backups:
  • Importar: abre o envio de um arquivo de backup externo.
  • Atualizar: recarrega a listagem sem precisar sair da página.
  • tabela com:
  • Nome
  • Tamanho
  • Criado
  • Ações
  • Quando não existe nenhum arquivo, a tela mostra Nenhum backup ainda.
• Importar backup:
  • permite enviar um arquivo .zip para o diretório de backups do RR Flow.
  • Se já existir um arquivo com o mesmo nome, o sistema salva a nova cópia com sufixo numérico para evitar sobrescrita direta.
• Ações por arquivo:
  • Baixar: faz o download do arquivo de backup.
  • Restaurar: abre o modal de restauração.
  • Remover: exclui o arquivo após confirmação.
• Restaurar backup:
  • o modal mostra:
  • Backup selecionado
  • Criado
  • Inclui
  • e as opções:
  • Restaurar config (JSON)
  • Restaurar configuração do banco
  • Sobrescrever dados existentes
• Inclui:
  • mostra o que existe dentro do backup selecionado.
  • Normalmente a tela informa se o arquivo contém:
  • Config
  • DB
• Restaurar config (JSON):
  • restaura os arquivos de configuração do sistema.
• Restaurar configuração do banco:
  • restaura o conteúdo do banco de configuração incluído no backup.
• Sobrescrever dados existentes:
  • permite substituir dados atuais.
  • Esta opção é necessária quando a restauração vai trocar configuração já existente ou restaurar a configuração do banco.
• Reiniciar serviço:
  • após uma restauração concluída, a tela oferece reiniciar o serviço RR Flow.
  • As opções são:
  • Depois
  • Reiniciar agora

Validação

• O backup criado deve aparecer na lista.
• A listagem deve refletir corretamente Nome, Tamanho e Criado.
• O Espaço livre deve ser suficiente antes da criação ou importação.
• Ao abrir Restaurar, o bloco Inclui deve bater com o conteúdo real do backup.
• Após restaurar, o ambiente deve refletir a configuração restaurada depois do reinício do serviço, quando necessário.

Problemas comuns

• Criar backup falha: revisar diretório de backup, permissões e espaço livre.
• O botão de criação fica indisponível: normalmente a estimativa indicou espaço insuficiente.
• Importar falha: revisar se o arquivo enviado é um backup válido e se há espaço livre suficiente.
• Restaurar falha sem alterar nada: revisar se ao menos uma opção de restauração foi marcada.
• Erro de sobrescrita na restauração: marcar Sobrescrever dados existentes quando for substituir configuração atual ou restaurar configuração do banco.
• O backup some da lista após alguns dias: isso pode ocorrer pela retenção automática configurada para o diretório de backups.
• A restauração conclui, mas o sistema não reflete a mudança: reiniciar o serviço RR Flow ao final da operação.