- Ich kann NxFilter umgehen, indem ich über die IP-Adresse auf Websites zugreife.
- Es wird nicht blocked/unblocked right away.
- Wie kann ich einen Benutzer zwingen, sich von NxFilter filtern zu lassen?
- Wie bestimmt NxFilter, welche Richtlinie auf einen Benutzer angewendet wird?
- Was ist der schnellste Weg, um „facebook.com” zu blockieren?
- Ich möchte „facebook.com” nur für meine Schüler blockieren.
- Ich möchte der Vertriebsabteilung erlauben, das Internet in der Mittagspause frei zu nutzen.
- Wie ändere ich den Webserver-Port von NxFilter?
- Wie setze ich das Admin-Passwort zurück?
- Kann ich NxFilter an eine bestimmte IP-Adresse binden?
- Wie kann ich meine lokale Domain von der Filterung ausnehmen?
- Kann ich ein genau übereinstimmendes Schlüsselwort für die Protokollsuche verwenden?
- Warum muss ich mich nach der Mittagspause erneut anmelden?
- Wie wende ich mein eigenes SSL-Zertifikat an?
- Wie aktiviere ich das Debugging?
- Wie zeige ich die Sperrseite von NxFilter über HTTPS an?
- Wie kann ich die SSL-Warnung ausblenden?
- Warum erhalte ich die Fehlermeldung „Ungültige Lizenz”?
- Ich sehe keinen Benutzernamen auf Logging > DNS Request.
- Wie richte ich eine Zeitzone ein?
- Wie kann ich einen Benutzer zum Abmelden zwingen?
- Was ist der Fehler „Warteschlange voll”?
- Wie kann ich Pornografie in den Suchergebnissen von Google und YouTube blockieren?
- Kann ich einen bestimmten Benutzer von der Filterung/Protokollierung ausnehmen?
- Kann ich NxFilter auf meinem Active Directory-Domänencontroller installieren?
- Wie berechne ich die Anzahl der Benutzer für eine kommerzielle Lizenz?
- Was ist der Fehler 'Too many requests' error?
- Wie füge ich meiner Lizenz weitere Benutzer hinzu?
- Meine Internetverbindung wird schneller, nachdem ich NxFilter installiert habe.
- Kann ich die Authentifizierung durch NxCloud umgehen?
- Unterstützt NxFilter IPv6?
- Wie aktualisiere ich von v3 auf v4?
- Wie nutze ich die öffentlichen Sperrlisten aus dem Internet?
- Warum erhalte ich eine SSL-Warnung anstelle der Anmeldeseite?
- Wie erlaube ich Gastzugriff?
- Kann ich den DNS-Antwortcache auf NxFilter löschen, ohne ihn neu zu starten?
Es gibt Leute, die sagen, dass DNS-Filterung nutzlos ist, da sie über die IP-Adresse auf eine Website zugreifen können. Das ist eine sehr naive Denkweise und schlichtweg falsch. In der heutigen Internetumgebung laufen die meisten Websites auf virtuellen Hosts. Das bedeutet, dass es mehrere Websites unter einer IP-Adresse gibt. Ohne Verwendung einer Domain können Sie nicht auf diese Websites zugreifen.
Außerdem muss man bedenken, dass eine Webseite viele URLs enthält. Dies gilt insbesondere für große Portalseiten. Diese URLs basieren ebenfalls auf DNS. Wenn Sie versuchen, über eine IP-Adresse auf eine gesperrte Website zuzugreifen, erhalten Sie in den meisten Fällen nur eine fehlerhafte Webseite.
Dies liegt hauptsächlich am DNS-Cache Ihres Systems. Wenn Sie ein Windows-System verwenden, gibt es zwei Arten von DNS-Cache. Einen von Ihrem Browser und einen von Ihrem Windows-Betriebssystem. Bevor diese ablaufen, funktioniert Ihre Richtlinienänderung zum Blockieren/Entsperren nicht. Beide Caches laufen irgendwann ab, aber Sie möchten sie möglicherweise sofort löschen. Wenn es sich um einen Browser-Cache handelt, können Sie ihn durch einen Neustart Ihres Browsers löschen.
Wenn Sie Ihren Windows-DNS-Cache löschen möchten, verwenden Sie den folgenden Befehl in CMD.
ipconfig /flushdns
Normalerweise läuft der DNS-Cache nach maximal einem Tag ab. Das hängt natürlich von der TTL eines DNS-Eintrags ab, aber normalerweise ist sie nicht größer als 86.400 Sekunden (1 Tag). Was den Browser-Cache betrifft, kann es einige Minuten dauern, bis er abläuft. Er läuft jedoch irgendwann ab und Ihre Filterrichtlinie wird dann wirksam. Letztendlich ist dies also kein Problem, da Sie eine Website nicht mehrmals am Tag sperren/entsperren müssen.
Wenn Sie eine Firewall in Ihrem Netzwerk haben, ist dies eine einfache Aufgabe. Sie müssen lediglich den ausgehenden Datenverkehr außer von NxFilter blockieren. 0x055 -> Datenverkehr zu blockieren, außer dem von NxFilter. Verwenden Sie dann DHCP, um NxFilter als DNS-Server für Ihr Netzwerk einzurichten. Nun ist NxFilter der einzige DNS-Server, den Ihre Benutzer verwenden können, und ihre DNS-Einstellungen werden automatisch auf NxFilter umgestellt. UDP/53, TCP/53 traffic except from NxFilter. And then use DHCP to set up NxFilter to be the DNS server for your network. Now NxFilter becomes the only DNS server your users can use and their DNS setup to point NxFilter will be done automatically.
Wenn Sie ein erfahrener Systemadministrator sind, sind Sie möglicherweise bereits mit vielen Funktionen von NxFilter vertraut, da diese auch in anderen Netzwerksicherheitslösungen üblich sind. Für diejenigen, die weniger Erfahrung mit solchen Technologien haben, ist das Richtlinienentscheidungssystem von NxFilter jedoch möglicherweise nicht so einfach zu verstehen. Dies gilt insbesondere für Benutzer von Heimnetzwerken.
Weitere Informationen finden Sie unter https://forum.nxfilter.org/tips-tricks/2739-understanding-the-policy-application-system-of-nxfilter
Fügen Sie „*.facebook.com” zu Whitelist > Domain with Admin Block option.
Sie müssen zunächst in der Lage sein, Ihre Schüler auf NxFilter durch Authentifizierung zu unterscheiden. Blockieren Sie dann die Social Networking category on a policy when you use Jahaslist. Then assign the policy to the user or group associated to your students.
1. Erstellen Sie einen Benutzer oder eine Gruppe für Ihre Vertriebsabteilung.
2. Definieren Sie free-time in Policy > Free Time for the lunchtime in your company.
3. Erstellen Sie eine Richtlinie, die nichts blockiert.
4. Weisen Sie die Richtlinie als Freizeitrichtlinie des Benutzers oder der Gruppe zu.
Sie können HTTP/HTTPS listening ports on NxFilter. However, when you change HTTP port you will lose your block page redirection. It is because when NxFilter redirects a user on HTTP, there needs to be something waiting for the browser on TCP/80 port.
Um die Ports zu ändern, müssen Sie diese beiden Parameter in der Datei /nxfilter/conf/cfg.properties ändern.
https_port = 443
Starten Sie NxFilter nach der Änderung der Ports neu.
Wir haben das Skript /nxfilter/bin/reset-pw.sh, um das Admin-Passwort zurückzusetzen. Sobald Sie das Skript ausführen, werden der Admin-Name und das Passwort auf „admin” zurückgesetzt. Sie müssen das Skript ausführen, während NxFilter läuft.
Möglicherweise möchten Sie NxFilter an eine bestimmte IP-Adresse binden, um Port-Kollisionsprobleme zu vermeiden. Sie können NxFilter über den Parameter „listen_ip” in der Datei /nxfilter/conf/cfg.properties an eine bestimmte IP-Adresse binden. Wenn Sie den Wert auf „0.0.0.0” setzen, überwacht NxFilter alle IP-Adressen Ihres Systems. Wenn Sie jedoch eine bestimmte IP-Adresse angeben, überwacht NxFilter nur die angegebene IP-Adresse.
On DNS > SetupSie können Ihren lokalen DNS-Server und Ihre lokale Domäne festlegen. Mit dieser Konfiguration leitet NxFilter DNS-Anfragen für Ihre lokale Domäne an Ihren lokalen DNS-Server weiter und umgeht die Authentifizierung, Filterung und Protokollierung.
Sie können eckige Klammern für die exakte Übereinstimmung bei der Protokollsuche verwenden.
ex) [john], [192.168.0.1]
Ihre Anmeldesitzung ist abgelaufen. Wenn für einen bestimmten Zeitraum keine Aktivität (DNS-Abfrage) von Ihrem PC aus erfolgt, läuft Ihre Anmeldesitzung ab. Sie können den Wert für Login Session TTL on System > Setup.
Seit Version 4.7.4.5 unterstützt NxFilter PEM-Dateien. In den meisten Fällen haben Sie zwei Dateien: your-domain.all.crt.pem und your-domain.key.pem. Kopieren Sie diese Dateien in das Verzeichnis /nxfilter/conf/ und fügen Sie dann die folgenden Zeilen zu /nxfilter/conf/cfg.properties hinzu:
pem_key_file = conf/your-domain.key.pem
Starten Sie anschließend NxFilter neu, damit die Änderungen wirksam werden.
Um Ihr eigenes SSL-Zertifikat zu verwenden, benötigen Sie eine Java KeyStore (JKS)-Datei. Wenn Sie bereits über ein Zertifikat im CRT-Format verfügen, müssen Sie es zunächst in eine JKS-Datei konvertieren. Im Internet finden Sie zahlreiche Ressourcen dazu, wie Sie eine JKS-Datei erstellen oder eine CRT-Datei in eine solche konvertieren können.
Sobald Sie Ihre JKS-Datei haben, kopieren Sie sie in das Verzeichnis /nxfilter/conf/ und legen Sie die folgenden beiden Parameter in /nxfilter/conf/cfg.properties fest:
keystore_pass = 123456
Starten Sie anschließend NxFilter neu, damit die Änderungen wirksam werden.
Wenn etwas mit NxFilter nicht stimmt, können Sie zunächst anhand der Systemprotokolldaten herausfinden, was genau vor sich geht. NxFilter speichert seine Systemprotokolldaten im Verzeichnis /nxfilter/log directory. If you need more detailed log data, enable debugging on /nxfilter/conf/log4j.properties. Change INFO to DEBUG inside the file and restart NxFilter.
Wenn Sie bei HTTPS blockiert werden, erhalten Sie in Ihrem Browser eine SSL-Warnseite anstelle der NxFilter-Blockierungsseite. Dies dient dazu, 'Man In The Middle' Angriffe zu verhindern. Viele Nutzer empfinden dies jedoch als störend und möchten lieber eine Blockierungsseite mit einem angemessenen Grund für die Blockierung sehen.
Die einfachere Möglichkeit besteht darin, die Option „Silent Block” unter System > Setupzu aktivieren. Wenn diese Option aktiviert ist, führt NxFilter keine Blockierungsumleitung durch. Es wird also keine Blockierungsseite angezeigt und es gibt auch keine SSL-Warnung. In Ihrem Browser wird dies als Verbindungsproblem oder als Fehler bei der DNS-Auflösung angezeigt.
Eine weitere Option ist die Verwendung von CxForward. CxForward ist eine von uns bereitgestellte Chrome/Edge-Erweiterung. Sie umgeht die SSL-Warnung und leitet Ihren Browser zur Blockierungsseite weiter. Weitere Informationen finden Sie unter CxForward für Blockierungen auf HTTPS
Als Erstes sollten Sie Enable Authentication option on System > Setup. Manche Leute verstehen nicht, dass sie die Authentifizierung aktivieren müssen, bevor sie eine Authentifizierungsmethode implementieren können.
Einige unserer Benutzer haben berichtet, dass sie in NxFilter eine andere Zeitzone haben als das System, auf dem es läuft. Dies tritt meist unter CentOS auf. Wenn Sie eine Zeitzone für NxFilter manuell einrichten müssen, können Sie dies auf JVM-Ebene tun. Setzen Sie in /nxfilter/bin/startup.sh den folgenden Parameter.
Sie können die Anmeldesitzung eines Benutzers unter Benutzer > Liste > Test.
Sie erhalten 'Queue full' error when NxFilter can't process the DNS requests in its job queue fast enough. It can happen when you lose the network connection to your upstream server or when you have too many requests for your system performance. If it is caused by a network connection problem it will go away after your connection restored.
Wenn Sie kein Problem mit der Netzwerkverbindung haben, müssen Sie möglicherweise einige Anpassungen an Ihrem System vornehmen. Wenn Sie mehr als 1.000 Benutzer haben, müssen Sie möglicherweise die Speicherzuweisung für NxFilter erhöhen.
Sie können die sichere Suche über NxFilter erzwingen. Wir haben eine Option für die sichere Suche in einer Richtlinie.
Möglicherweise möchten Sie einige Ihrer Benutzer von der Filterung und Protokollierung ausnehmen. Sie können die Client-IP-Adressen, die Sie von der Filterung und Protokollierung ausnehmen möchten, unter DNS > Access Control > Bypass All.
Manche Benutzer möchten NxFilter auf ihrem Active Directory-Domänencontroller installieren. Dies ist ideal, wenn Sie keine weitere Hardware oder VM haben möchten. Ein Domänencontroller verfügt jedoch in der Regel über einen eigenen MS-DNS-Server, was zu einem Port-Kollisionsproblem mit NxFilter führt. Die Lösung besteht darin, Ihrem Domänencontroller eine weitere IP-Adresse hinzuzufügen und Ihren MS-DNS-Server nur auf eine IP-Adresse und Ihren NxFilter auf eine andere IP-Adresse hören zu lassen.
Wenn Sie beispielsweise möchten, dass Ihr NxFilter nur auf 192.168.0.100 hört, müssen Sie den Wert des Parameters „listen_ip” in der Datei c:/nxfilter/conf/cfg.properties ändern.
listen_ip = 192.168.0.100
NxFilter zählt täglich die Anzahl der Benutzernamen und Client-IP-Adressen sowie die DNS-Anfragen. Wenn eine dieser Zahlen Ihre lizenzierte Benutzeranzahl überschreitet, werden alle nicht lizenzierten Benutzer oder Anfragen in Ihrer Protokollansicht als blockiert angezeigt. Da es sich jedoch um eine Warnmaßnahme handelt, findet diese Blockierung auf der Benutzerseite nicht tatsächlich statt.
Die von NxFilter zulässige tägliche Anzahl von Anfragen für einen Benutzer beträgt 4.000 (wenn Sie eine Lizenz für 100 Benutzer haben, können Sie 4.000 x 100 Anfragen pro Tag stellen). Nach unseren bisherigen Statistiken stellt ein Benutzer in einer normalen Büro- oder Schulumgebung bis zu 1.500 Anfragen pro Tag. Wir haben 2.500 Anfragen als Redundanz hinzugefügt. Somit ergibt sich eine Anzahl von 4.000 Anfragen pro Tag für einen Benutzer. Für die Zählung der Anfragen werden nur DNS-Abfragen vom Typ „A” berücksichtigt.
Wir zählen die Anzahl der Anfragen zum Schutz der Lizenz, und Sie stellen mehr DNS-Anfragen als die von Ihrer Lizenz zugelassene Anzahl. Lesen Sie Wie kann ich die Anzahl der Benutzer für eine kommerzielle Lizenz berechnen?
Sie können Ihre bestehende Lizenz nach dem Kauf erweitern. Wenn Sie weitere Benutzer hinzufügen, müssen Sie nur für die verbleibende Laufzeit Ihrer Lizenz bezahlen. Angenommen Sie möchten nach 6 Monaten Laufzeit Ihrer Lizenz 100 Benutzer hinzufügen, dann müssen Sie nur 50 % des Neukaufpreises bezahlen. Um Ihrer Lizenz weitere Benutzer hinzuzufügen, kontaktieren Sie uns unter „support @ nxfilter.org”.
Das liegt daran, dass Sie jetzt einen DNS-Caching-Server in Ihrem Netzwerk haben. Bevor Sie NxFilter installiert haben, haben Ihre Benutzer immer wieder DNS-Anfragen an „google.com” gestellt. Wenn Sie einen öffentlichen DNS-Server aus dem Internet verwenden, bedeutet dies, dass Ihre Benutzer mehrmals täglich UDP-Pakete Pakete an einen Ort im Internet senden und viele Male am Tag auf die folgenden Antworten warten. Nachdem Sie jedoch NxFilter installiert haben, erhalten Ihre Benutzer ihre DNS-Antworten direkt von NxFilter, sobald eine DNS-Antwort von NxFilter zwischengespeichert wurde. Es gibt also keine Latenz durch einen öffentlichen DNS-Server im Internet und Ihre Benutzer profitieren von einer schnelleren Internetverbindung.
Wenn Sie NxCloud ausführen, müssen Sie zunächst wissen, wer wer ist, da alles einem Betreiber zugeordnet sein muss. Einige Personen möchten jedoch ihren Benutzern die Auflösung bestimmter Domains ohne Authentifizierungsprozess ermöglichen. In diesem Fall können Sie 'Total Bypass' for a domain. When you whitelist a domain on admin GUI with Bypass Filtering and Bypass Logging flags, it becomes Total Bypass for the domain and it bypasses authentication also.
Ja, Sie können NxFilter über seine IPv6-Adresse aufrufen. Allerdings haben wir den Socket-Server für IPv6-Adressen standardmäßig deaktiviert. Der Grund dafür ist, dass Sie sich möglicherweise zweimal anmelden müssen, wenn Sie die Authentifizierung verwenden, wenn wir DNS-Anfragen sowohl auf IPv4 als auch auf IPv6 akzeptieren. Um solche Verwirrungen zu vermeiden, empfehlen wir Ihnen, für den DNS-Server Ihres IPv6-Netzwerks keine Einstellungen vorzunehmen. Ihre Benutzer werden den für Ihr IPv4-Netzwerk eingestellten DNS-Server verwenden.
Wenn Sie NxFilter dennoch als DNS-Server für Ihr IPv6-Netzwerk festlegen möchten, besteht eine Möglichkeit darin, eine IPv4-über-IPv6-Adresse zu verwenden. Angenommen, Ihr NxFilter läuft unter 192.168.0.100. Dann können Sie eine IPv6-Adresse wie unten angegeben verwenden, um auf den Server zu verweisen:
::ffff:192.168.0.100
Wenn Sie eine echte IPv6-Adresse für NxFilter verwenden müssen, setzen Sie den Wert von „java.net.preferIPv4Stack” in /nxfilter/bin/startup.sh auf „false”.
java -Djava.net.preferIPv4Stack=false -Xmx1024m -cp $NX_HOME/nxd.jar:$NX_HOME//lib/*: nxd.Main
Einige Benutzer möchten ihren NxFilter v3 auf v4 aktualisieren. Grundsätzlich sollte das kein Problem darstellen, aber da einige von ihnen Shallalist verwenden, das von v4 nicht unterstützt wird, kann es zu Problemen kommen. Wenn Sie von v3 auf v4 aktualisieren und die Option Shallalist beibehalten, können Sie NxFilter nicht starten. Daher müssen Sie vor der Aktualisierung zu Jahaslist oder einer anderen von v4 unterstützten Option zur Domänenkategorisierung wechseln.
Wenn Sie die Änderung manuell auf Jahaslist vornehmen müssen, können Sie die Datei /nxfilter/conf/cfg.properties ändern. Ändern Sie den Wert von „blacklist_type” wie unten gezeigt auf 5.
blacklist_type = 5
Ab Version 4.3.3.7 von NxFilter können Sie die öffentlichen Blocklisten aus dem Internet zum Filtern verwenden. Wenn es sich um eine Hosts-Datei oder eine Datei mit durch Zeilenumbrüche getrennten Domänen handelt, können Sie diese herunterladen und Classifier > Blocklist overnight automatically. To find out more, read Classifier > Blocklist
Möglicherweise möchten Sie Gästen, die Ihr Büro vorübergehend besuchen, Netzwerkzugriff gewähren, während Filterung und Authentifizierung aktiviert sind. Mit NxFilter ist dies eine einfache Aufgabe, da Sie mehrere Authentifizierungsmethoden gleichzeitig verwenden können. Sie können ein Gastkonto erstellen, das einen IP-Bereich umfasst, der das gesamte Netzwerk Ihres Büros abdeckt. Gemäß den Authentifizierungseinstellungen von NxFilter erfolgt die Zuordnung des IP-Bereichs an letzter Stelle. Wenn Ihre Benutzer sich über den SSO-Agenten von NxFilter einmalig anmelden oder wenn sie eine einzelne IP-Zuordnung haben, werden sie weiterhin mit ihrem eigenen Benutzernamen angezeigt, während Ihre Gäste mit dem von Ihnen erstellten Gastkonto angezeigt werden.
Weitere Informationen zu den Authentifizierungseinstellungen von NxFilter finden Sie unter Authentifizierungsrangfolge
Dies liegt meist an Ihren Firewall-Regeln. Sie müssen die ausgehenden Ports TCP/80, TCP/443 und UDP/123 für NxFilter öffnen.
Seit Version 4.3.9.4 gibt es das Skript „cachecon.sh” im Verzeichnis /nxfilter/bin. Um den Cache im Arbeitsspeicher zu löschen,
cachecon.sh -m
Um den persistenten Cache zu löschen,
cachecon.sh -p
Sie können auch den Cache für eine einzelne Domäne löschen,
cachecon.sh -m google.com
cachecon.sh -p google.com
Wenn Sie die aktuellen Cache-Informationen für eine Domäne anzeigen möchten,
cachecon.sh -s google.com
Sie können auch den Abfragetyp angeben. Für MX-Abfragen verwenden Sie
cachecon.sh -s google.com 15
cachecon.sh -m google.com 15
Früher wurden Ihre Benutzer, wenn sie vor der Anmeldung bei NxFilter auf eine Website zugreifen wollten, zur Anmeldeseite von NxFilter weitergeleitet. Seit Google jedoch Websites zur Implementierung von SSL-Zertifikaten verpflichtet, erhalten Sie bei einer Anmeldeumleitung eine SSL-Warnung anstelle der Anmeldeseite.
Um dieses Problem zu beheben, können Sie CxForward im Browser der Benutzer installieren. CxForward ist eine Erweiterung für Chrome/Edge. Sie können sie aus dem Chrome Web Store oder dem Microsoft Store installieren. Weitere Informationen finden Sie unter CxForward für Blöcke auf HTTPS