NxFilter als DNS-Server
NxFilter ist im Grunde ein weiterleitender, cachender DNS-Server mit Filterfunktion. Sie können ihn auch
als autoritativer DNS-Server verwenden.
Autoritativer DNS-Server
NxFilter kann als autoritativer DNS-Server verwendet werden.
1. Zone File
Wir verwenden das gleiche Format der Zonendatei wie BIND. Sie erstellen eine Zonendatei für eine Domain auf DNS > Zone File.
Sie können Ihre Hosts in die DNS-Zone einfügen, indem Sie sie in der GUI bearbeiten.
2. Clustering
Wenn Sie einen NxFilter-Cluster erstellen, werden Ihre Slave-Knoten auch als autoritativer DNS-Server arbeiten
mit den Einstellungen des Master-Knotens. Sie brauchen keinen sekundären DNS-Server für Redundanz einzurichten.
Er ist bereits geclustert.
Führen Sie es im Internet aus
Da NxFilter ein DNS-Filter mit Authentifizierung ist, müssen Sie bei der Verwendung als autoritativer DNS
Server verwenden, gibt es einige Dinge, die Sie beachten müssen.
- Authentifizierung
Sie müssen die Authentifizierung vor allem dann aktivieren, wenn Sie NxFilter ins Internet stellen, um zu vermeiden
Ziel eines DNS-Angriffs zu werden. Das Problem ist jedoch, dass wenn Sie die Authentifizierung aktivieren,
die DNS-Anfragen für Ihre Domains von anonymen Benutzern auf die Loggingseite von NxFilter umgeleitet werden.
Um die anonymen DNS-Anfragen für Ihre Domäne zuzulassen, müssen Sie die Authentifizierung für die Domäne umgehen.
- Filterung
Da es sich um einen DNS-Filter handelt, könnte NxFilter Ihre Domain aus irgendeinem Grund blockieren. Dies wird dazu führen
zu einem Fehler bei der Auflösung Ihrer eigenen Domain. Um diese Art von Problem zu vermeiden,
müssen Sie die Filterung für Ihre Domäne umgehen.
- Zu viele Protokolldaten
Sie könnten zu viele Protokolldaten für Ihre Domäne als Ergebnis eines DNS-Angriffs haben. Es könnte besser sein, die
Logging für Ihre Domain zu umgehen.
Wenn Sie von DNS-Angriffen betroffen sind
Wenn Sie NxFilter in die Cloud stellen, kann es zu DNS-Angriffen kommen. Sobald Sie DNS-Angriffen ausgesetzt sind
haben Sie massiven Verkehr zu Ihrem Server. Ihr NxFilter kann den gesamten Datenverkehr nicht bewältigen, und schließlich sieht er fast
tot und Sie erhalten Fehlerprotokolle über 'Queue full'.
Um diese Art von Problem zu vermeiden, ist es am besten, Ihren DNS-Server zu verstecken und nicht auf diese Angreifer zu reagieren.
Um Ihren NxFilter vor diesen Angreifern zu verstecken, können Sie zunächst die Authentifizierung aktivieren. NxFilter antwortet auf DNS-Anfragen
von unbekannten Benutzern mit seiner Block Rediretion IP.
Allerdings könnten sie immer noch denken, dass es einen DNS-Server gibt, den sie angreifen können, da sie trotzdem eine Antwort erhalten. Um es vor diesen Angreifern vollständig zu verbergen,
müssen wir die Pakete von diesen unbekannten Nutzern unbemerkt verwerfen. Zu diesem Zweck können Sie 'Disable Login Redirection' aktivieren
auf aktivieren. System > Setup und NxFilter wird die Pakete von diesen Angreifern fallen lassen.
Ausführen eines lokalen rekursiven Servers
Sie können einen lokalen rekursiven DNS-Server wie MaraDNS oder Unbound auf demselben Rechner betreiben, auf dem Sie NxFilter ausführen.
Manche Leute wollen das tun, um es zu beschleunigen, und andere wollen sich damit vor öffentlichen DNS-Servern oder Internet-Zensoren verstecken.
vor öffentlichen DNS-Servern oder der Internetzensur.
Wenn Sie einen lokalen rekursiven DNS-Server betreiben, kann es zu Port-Kollisionen kommen.
Daher müssen Sie die Portnummer Ihres rekursiven DNS-Servers ändern. Nachdem Sie die Portnummer geändert haben auf
eine Nicht-Standardnummer wie 5353 geändert haben, können Sie die Portnummer für den Upstream DNS Server auf DNS > Setup mit
einen Doppelpunkt wie unten.
ex) 127.0.0.1:5353
