NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
NxRelay für das gesamte Netzwerk
NxRelay ist ein weiterleitender DNS-Server für NxCloud. Mit NxRelay können Sie einem Benutzer in NxCloud eine private IP zuordnen. Dies bedeutet, dass Sie Richtlinien basierend auf privaten IPs hinter einem Router von Ihrem Cloud-Filterdienst anwenden können.

Sie können NxRelay mit NxFilter betreiben, um mehrere Zweigstellen zu filtern oder Active Directory über die Cloud zu integrieren. Wir werden darüber sprechen auf NxRelay und NxFilter Teil.

Globlist unterstützt kein NxRelay.

Wie es funktioniert
NxRelay selbst ist ein weiterleitender DNS-Server. Es filtert, indem es NxCloud abfragt und arbeitet als DNS-Server, indem es DNS-Anfragen an Ihren lokalen DNS-Server weiterleitet. an Ihren lokalen DNS-Server weiterleitet. Für NxRelay ist NxCloud nicht sein vorgeschalteter DNS-Server. Vielmehr ist es ein Richtlinienserver. Sein Upstream-Server ist Ihr vorhandener DNS-Server. Das bedeutet, dass selbst wenn Sie die Verbindung zu NxCloud verlieren, kein DNS-Fehler auftritt.

Es sendet START and PING signals. You can see if it's running on Logging > Agent Signal on NxCloud GUI.

Installation unter Windows
Wir bieten ein Windows-Installationsprogramm für NxRelay. Es installiert NxRelay als Windows-Dienst und führt sein GUI-Setup-Programm aus.

Wenn Sie den NxRelay-Dienst unter Windows manuell installieren müssen,

1. Laden Sie das ZIP-Paket herunter

2. Entpacken Sie es in c:/nxrelay

3. ändern Sie die Konfigurationsparameter in c:/nxrelay/conf/cfg.properties

Auf CMD, 


	cd c:/nxrelay/bin
	instsvc.bat
	net start NxRelay

Installieren unter Linux
Wir haben DEB- und RPM-Pakete für NxRelay verfügbar. Sie können NxRelay auf die gleiche Weise wie NxFilter installieren. Um mehr darüber zu erfahren, lesen Sie NxFilter unter Linux installieren.

Wenn Sie NxRelay mit einem ZIP-Paket installieren:

1. Laden Sie das ZIP-Paket herunter.

2. Entpacken Sie es in /nxrelay.

Auf der Kommandozeile, 


	cd /nxrelay
	sudo chmod +x bin/*.sh
	sudo cp script/nxrelay.service /lib/systemd/system/nxrelay.service
	sudo systemctl enable nxrelay.service
	sudo systemctl start nxrelay.service

Um es zu stoppen, 


	sudo systemctl stop nxrelay.service

Bevor Sie es starten, müssen Sie seine Konfigurationsparameter in /nxrelay/conf/cfg.properties ändern.

Wie man es einrichtet
Sie benötigen die IP Ihres NxCloud-Servers und ein Login-Token von einem Ihrer Benutzerkonten. Es liest seine Konfigurationsparameter aus der Datei /nxrelay/conf/cfg.properties.

Zum Beispiel, 


	server = 192.168.0.100
	token = BSYEB28O
	local_dns = 8.8.8.8,8.8.4.4
	local_domain = mydomain.local

Wenn Sie diese Konfigurationswerte in der Konfigurationsdatei haben, ist die IP-Adresse Ihres NxCloud-Servers 192.168.0.100 und das Login-Token ist 'BSYEB28O' und Ihre lokalen DNS-Server oder vorhandenen DNS-Server sind 8.8.8.8 und 8.8.4.4. Wenn Sie einige Domains von der Filterung ausschließen wollen umgangen werden sollen, können Sie diese als kommagetrennten Wert von 'local_domain' hinzufügen.

Nachdem Sie die Konfigurationsdatei geändert haben, überprüfen Sie die Konfigurationswerte und die Konnektivität zum Server, indem Sie /nxrelay/bin/test.sh ausführen. Starten Sie dann NxRelay neu und legen Sie es als einzigen DNS-Server für Ihr Netzwerk fest.

Sie können mehrere NxCloud-Server-IP-Adressen durch Kommata getrennt hinzufügen.

Sie können Ihre Konfigurationswerte und die Konnektivität überprüfen, indem Sie /nxrelay/bin/test.sh ausführen.

Konfig-Parameter
NxRelay unterstützt die folgenden Parameter in /nxrelay/conf/cfg.properties,

- server

NxCloud IP.

- token

Login-Token eines Benutzers.

- local_dns

Upstream DNS-Server oder lokaler DNS-Server, der die eigentliche DNS-Auflösung vornimmt. Wenn hier kein DNS-Server angegeben ist angegeben ist, verwenden wir 8.8.8.8 und 8.8.4.4.

- local_domain

Domänen, die bei der Filterung umgangen werden sollen. Sie können mehrere Domains durch Kommas getrennt angeben.

- listen_ip

Sie können NxRelay veranlassen, auf eine bestimmte IP-Adresse zu hören.

- block_redi_ip

Sie können Folgendes außer Kraft setzen Block Redirection IP von NxCloud.

- use_https_dns

Sie können DNS über HTTPS (DoH) für die DNS-Auflösung aktivieren.
    ex) 0 = false, 1 = true

- https_dns_type

Sie können einen DNS-over-HTTPS-Server auswählen, der als vorgeschalteter DNS-Dienst verwendet werden soll.
    ex) 1 = Cloudflare, 2 = Google, 3 = Custom DoH server

- https_dns_url

Wenn Sie sich für einen benutzerdefinierten DoH-Server entscheiden, müssen Sie die URL durch Setzen des Parameters "https_dns_url" angeben.

- use_https_query

Wenn diese Option aktiviert ist, führt NxRelay seine Richtlinienabfragen über HTTPS durch.
    ex) 0 = false, 1 = true

- https_query_port

Richtlinienabfragen über HTTPS verwenden TCP/443 at default but if you need to use another port you can change it here.

- query_cache_ttl

NxRelay hat einen Cache von 300 Sekunden für ein Abfrageergebnis von seinem Policy Server. Sie können eine Zahl zwischen 0 und 3600 Sekunden einstellen. Wenn Sie den Wert erhöhen, wird der Datenverkehr zu Ihrem Richtlinienserver reduziert aber die Änderung Ihrer Filterrichtlinie wird erst nach Ablauf des Caches wiedergegeben.
    ex) 0 = bypass, 300 = 5 minutes, 1200 = 20 minutes

- a_query_only

Wenn diese Option aktiviert ist, filtert NxRelay nur die Abfragetypen A und AAAA und Sie erhalten eine bessere Leistung.
    ex) 0 = false, 1 = true

- run_mapper

NxRelay verfügt über ein integriertes NxMapper-Modul zum Senden von Active Directory-Anmeldenamen, wenn Sie es auf einem Domänencontroller installieren.

- radius_accounting_port

Der Port, an dem Sie RADIUS-Accounting-Anfragen empfangen. Wir verwenden UDP/1813 at default.

- radius_shared_secret

Gemeinsame Geheimzeichenfolge für Ihren Wi-Fi-Router zur Kommunikation mit NxRelay.

- radius_enable_logout

Benutzer-Login-Sitzung zerstören, wenn der Statustyp einer Abrechnungsanforderung lautet 'Stop'.
    ex) 0 = false, 1 = true

- use_radius

RADIUS-Konto-Server ausführen.
    ex) 0 = false, 1 = true

- drop_blocked_request_type

Aktivieren Sie die Anfragetypkontrolle auf NxRelay. Sie können blockierte Anfragetypen auf DNS > Server Protection > Request Type Control .
    ex) 0 = false, 1 = true

Welche Richtlinie angewendet werden soll
Standardmäßig wendet NxRelay die Filterungsrichtlinie an, die mit dem in der Konfigurationsdatei angegebenen Login-Token verknüpft ist. Dies ist die Standardrichtlinie für NxRelay. Wenn Sie mehrere Richtlinien für die Benutzer in Ihrem Netzwerk anwenden möchten, können Sie die von NxRelay erkannten bevorzugten IPs mit den Benutzern verknüpfen, die Sie auf der NxCloud Operator GUI erstellt haben. Sie können auch die Windows Benutzernamen, die von NxRelay erkannt werden, mit den Richtlinien verknüpfen, die Sie in NxCloud erstellt haben.

Ab v4.7.1.3 von NxCloud können Sie die von NxRelay erkannten Benutzer mit den Richtlinien auf Policy > Policy > EDIT der Bediener-GUI verknüpfen.

Dienstprogramm-Skripte
In /nxrelay/bin  there are several utility scripts included.

  • startup.sh : Starting NxRelay
  • shutdown.sh : Stopping NxRelay
  • test.sh : Test the connectivity to NxCloud
  • ping.sh : Test if it is running

Wir haben .bat-Versionen dieser Skripte für Windows.

Für Windows haben wir 2 weitere,

  • instsvc.bat : Installing NxRelay service
  • unstsvc.bat : Uninstall NxRelay service

Für Ubuntu Linux haben wir ein systemd-Skript, das /nxrelay/script/nxrelay.service heißt.

Active Directory-Integration über die Cloud
Active Directory-Integration über die Cloud ist mit NxRelay möglich. Wenn Sie NxRelay auf einem Domänencontroller in Ihrem Active Directory installieren, kann es angemeldete AD-Benutzernamen erkennen und an seinen Server senden.

Dies sind die Bedingungen, um die Active Directory-Integration über die Cloud voranzutreiben.

1. installieren Sie NxRelay auf einem Domänencontroller

Damit NxRelay angemeldete Benutzernamen erkennen kann, müssen Sie es auf einem Domänencontroller installieren. Sie können jedoch möglicherweise ein Portkollisionsproblem mit Ihrem vorhandenen MS DNS-Server. In diesem Fall können Sie eine weitere IP-Adresse auf Ihrem Server hinzufügen und Ihren MS DNS-Server an eine IP-Adresse und NxRelay an die andere IP-Adresse.

Sie können NxRelay auf einem anderen Server installieren, wenn Sie CxLogon oder 802.1X WiFi-Authentifizierung verwenden.

2. Verwenden Sie Ihren Active Directory-DNS-Server als Ihren lokalen DNS-Server.

In Active Directory spielt DNS eine entscheidende Rolle. Um Ihre Active Directory-Integration nicht zu gefährden Directory-Integration nichts kaputt zu machen, müssen Sie Ihren MS DNS-Server als den Local DNS of NxRelay and bypass your Active Directory domain as the Local Domain of NxRelay.

Die "Active Directory-Integration über die Cloud" unterscheidet sich jedoch ein wenig davon, wenn Active Directory-Integration' in Ihrem lokalen Netzwerk mit NxFilter durchführen. Bei NxCloud unterstützen wir den Benutzerimport aus Active Directory nicht. Es handelt sich also noch nicht um eine vollwertige Active Directory-Integration. Es kann jedoch Active Directory-Benutzernamen in der Form 'tokenname_username' anzeigen in Ihrer Protokollansicht anzeigen, damit Sie herausfinden können, wer wer ist.

Wenn Sie zum Beispiel den Benutzer "john100" in Ihrem Active Directory haben und NxRelay mit dem Login-Token von "myrelay" starten auf NxCloud ausführen, erscheinen seine DNS-Anfragen als "myrelay_john100" auf Logging > DNS Request. Und die Standardrichtlinie für "john100" wäre die Richtlinie von "myrelay". Wenn Sie eine andere Richtlinie auf 'john100' anwenden wollen, können Sie den exakt passenden Benutzernamen erstellen der 'john100' auf NxCloud ist, oder Sie können 'myrelay_john100' mit einer Richtlinie auf der NxCloud-Operator-GUI verknüpfen.

Beginnend mit v4.7.1.3 von NxCloud können Sie die von NxRelay erkannten Benutzer mit Richtlinien auf Policy > Policy > EDIT der Bediener-GUI.

Benutzererkennung durch 802.1X Wi-Fi-Authentifizierung
NxRelay hat ein integriertes RADIUS Accounting Server Modul. Dieses Modul ist das gleiche, das wir mit NxFilter für Single Sign-On durch 802.1X Wi-Fi-Authentifizierung. NxRelay sendet die erkannten Benutzernamen an NxCloud. Um zu verstehen, wie es funktioniert, lesen Sie Einmalige Anmeldung nach 802.1X

Benutzererkennung durch CxLogon
NxRelay unterstützt CxLogon seit v2.6.4. Dies bedeutet, dass Sie die eingeloggten Benutzernamen auf den PCs in Ihrem Netzwerk ohne Active Directory erkennen. Um mehr über CxLogon zu erfahren, lesen Sie Einmalige Anmeldung mit CxLogon.

Standardmäßig wird Ihnen der erkannte Benutzername in der Form 'tokenname_username' angezeigt, aber wenn Sie aber wenn Sie den exakt passenden Benutzernamen auf NxCloud erstellen, wird der Benutzername so angezeigt, wie er ist, und Sie können dem Benutzer eine spezifische Richtlinie zuweisen. Richtlinie für den Benutzer zuweisen. Dies ist die gleiche Regel wie die, die wir mit Active Directory-Integration über die Cloud.

Umgehung von Domänen en masse
Sie können den Datenverkehr zu NxCloud reduzieren, indem Sie Domänen von Richtlinienabfragen en masse umgehen. Um Domains en masse zu umgehen, müssen Sie Folgendes erstellen /nxrelay/conf/bypass.txt erstellen und Domänen in die Datei aufnehmen. Sie können ein Sternchen verwenden, um Subdomänen einzuschließen. Die Domänen in der Datei müssen durch Zeilenumbrüche getrennt werden, wie unten dargestellt, 


	www.jahastech.com
	mail.jahastech.com
	*.nxfilter.org

NxRelay und NxFilter
Sie arbeiten vielleicht für ein Unternehmen mit mehreren Niederlassungen. Sie möchten alle Zweigstellen zentral filtern. Außerdem möchten Sie eine Benutzerauthentifizierung und eine einmalige Anmeldung wie mit NxFilter in einem lokalen Netzwerk durchführen. Sie möchten NxCloud jedoch nicht als einziger Administrator ausführen. Sie möchten sich nicht bei jeder Bediener-GUI anmelden, um Richtlinien zu ändern. Sie können all diese Dinge mit NxRelay und NxFilter erledigen.

Mit NxRelay können Sie private IPs hinter einem Router Ihren Benutzern auf NxFilter zuordnen. Und Sie können AD-Benutzer in Ihren NxFilter importieren und dann NxRelay in jeder Zweigstelle ausführen, um AD-Benutzernamen zu erkennen. NxRelay unterstützt auch CxLogon für Single Sign-On ohne Active Directory. Und Sie können 802.1X Wi-Fi-Authentifizierung implementieren. Es gibt also fast keinen Unterschied zum Betrieb von NxFilter in einem lokalen Netzwerk. Allerdings gibt es eine Bedingung. Jede Zweigstelle muss einen anderen IP-Bereich verwenden. Wenn zum Beispiel Zweigstelle 1 192.168.0.0/24 verwendet, sollte Zweigstelle #2 einen anderen Bereich wie 192.168.0.1/24 verwenden. Dies dient der Vermeidung von IP-Kollisionen.

Domänenumleitung
Möglicherweise möchten Sie für Ihr lokales Netzwerk, in dem NxRelay läuft, Domänenumleitungen einrichten. Um Domainumleitungen zu setzen, erstellen Sie die Datei /nxrelay/conf/redirection.txt und fügen Sie die Domänen-zu-IP-Zuordnung wie folgt in die Datei ein, 


	router.mynet.local     192.168.0.1
	printer.mynet.local    192.168.0.10
	*.myorg.local          192.168.0.12
	wpad                   192.168.0.20
	wpad.mynet.local       192.168.0.1

Steuerung des Anfragetyps
Sie können bestimmte Arten von DNS-Anfragen durch NxRelay blockieren. Es holt sich die Einstellungen für die Anfragetypkontrolle von NxFilter und lässt die blockierten Abfragetypen. Um diese Funktion zu aktivieren, müssen Sie 'drop_blocked_request_type' auf '1' setzen in /nxrelay/conf/cfg.properties Datei auf '1' setzen, wie unten beschrieben,

drop_blocked_request_type = 1