NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
NxRelay para toda la red
NxRelay es un servidor DNS de retransmisión para NxCloud. Con NxRelay, puedes asociar una IP privada a un usuario en NxCloud. Esto significa que puede aplicar políticas basadas en IPs privadas detrás de un router desde su servicio de filtrado en la nube.

Puede ejecutar NxRelay con NxFilter para el filtrado de múltiples sucursales o la integración de Active Directory en la nube. Hablaremos de ello en NxRelay y NxFilter parte.

Globlist no soporta NxRelay.

Como funciona
NxRelay es un servidor DNS de redireccionamiento. Hace filtrado consultando NxCloud y funciona como un servidor DNS reenviando consultas DNS a su servidor DNS local. Para NxRelay, NxCloud no es su servidor DNS ascendente. Más bien, es un servidor de políticas. Su servidor upstream es su servidor DNS existente. Esto significa que incluso si pierdes la conexión con NxCloud, no tendrás un fallo DNS.

Envía START and PING signals. You can see if it's running on Logging > Agent Signal on NxCloud GUI.

Instalando en Windows
Proporcionamos un instalador de Windows para NxRelay. Instalará NxRelay como un servicio de Windows y ejecutará su programa de instalación GUI.

Si necesita instalar el servicio NxRelay en Windows manualmente,

1. Descargue su paquete ZIP

2. Extraerlo en c:/nxrelay

3. Modificar sus parametros de configuracion en c:/nxrelay/conf/cfg.properties

En CMD, 


	cd c:/nxrelay/bin
	instsvc.bat
	net start NxRelay

Instalando en Linux
Disponemos de paquetes DEB y RPM para NxRelay. Puede instalar NxRelay de la misma forma que NxFilter. Para más información, lea Instalar NxFilter en Linux.

Cuando instala NxRelay usando el paquete ZIP:

1. Descargue su paquete ZIP.

2. Extraerlo en /nxrelay.

En línea de comandos, 


	cd /nxrelay
	sudo chmod +x bin/*.sh
	sudo cp script/nxrelay.service /lib/systemd/system/nxrelay.service
	sudo systemctl enable nxrelay.service
	sudo systemctl start nxrelay.service

Para detenerlo 


	sudo systemctl stop nxrelay.service

Antes de arrancarlo, hay que modificar sus parámetros de configuración en /nxrelay/conf/cfg.properties.

Como configurarlo
Necesita la IP de su servidor NxCloud y un login token de una de sus cuentas de usuario. Lee sus parámetros de configuración del archivo /nxrelay/conf/cfg.properties.

Por ejemplo, 


	server = 192.168.0.100
	token = BSYEB28O
	local_dns = 8.8.8.8,8.8.4.4
	local_domain = mydomain.local

Cuando usted tiene estos valores de configuración en el archivo de configuración, su IP del servidor NxCloud es 192.168.0.100 y el token de inicio de sesión es 'BSYEB28O' y tus servidores DNS locales o existentes son 8.8.8.8 y 8.8.4.4. Si desea evitar el filtrado de algunos dominios puede añadirlos como un valor separado por comas de 'local_domain'.

Después de modificar el archivo de configuración, verifique los valores de configuración y la conectividad con el servidor ejecutando /nxrelay/bin/test.sh. A continuación reinicie NxRelay y configúrelo como único servidor DNS de su red.

Puede añadir múltiples direcciones IP del servidor NxCloud separadas por comas.

Puede verificar sus valores de configuración y la conectividad ejecutando /nxrelay/bin/test.sh.

Parámetros de configuración
NxRelay soporta los siguientes parámetros en /nxrelay/conf/cfg.properties,

- server

IP de NxCloud.

- token

Token de inicio de sesión de un usuario.

- local_dns

Servidor DNS ascendente o servidor DNS local que realiza la resolución DNS real. Si no hay un servidor DNS especificado aquí, usamos 8.8.8.8 y 8.8.4.4.

- local_domain

Dominios a evitar del filtrado. Puede añadir varios dominios separados por comas.

- listen_ip

Puede hacer que NxRelay escuche en una dirección IP específica.

- block_redi_ip

Puede sobreescribir Block Redirection IP de NxCloud.

- use_https_dns

Puede habilitar DNS sobre HTTPS (DoH) para la resolución DNS.
    ex) 0 = false, 1 = true

- https_dns_type

Puede seleccionar un servidor DNS sobre HTTPS para utilizarlo como servicio DNS ascendente.
    ex) 1 = Cloudflare, 2 = Google, 3 = Custom DoH server

- https_dns_url

Al optar por un servidor DoH personalizado, debe especificar la URL configurando el parámetro 'https_dns_url'.

- use_https_query

Con esta opción activada, NxRelay realizará sus consultas de políticas sobre HTTPS.
    ex) 0 = false, 1 = true

- https_query_port

Las consultas de políticas sobre HTTPS utilizarán TCP/443 at default but if you need to use another port you can change it here.

- query_cache_ttl

NxRelay tiene 300 segundos de caché para el resultado de una consulta desde su servidor de políticas. Puede establecer un número entre 0 y 3600 segundos. Si aumenta el valor, se reducirá el tráfico a su servidor de políticas pero su cambio de política de filtrado se reflejará después de que expire la caché.
    ex) 0 = bypass, 300 = 5 minutes, 1200 = 20 minutes

- a_query_only

Con esta opción activada, NxRelay filtrará sólo consultas de tipo A, AAAA y tendrá un mejor rendimiento.
    ex) 0 = false, 1 = true

- run_mapper

NxRelay tiene un módulo NxMapper integrado para enviar el nombre de usuario de inicio de sesión de Active Directory cuando lo instala en un controlador de dominio.

- radius_accounting_port

El puerto al que recibe las peticiones de contabilidad RADIUS. Usamos UDP/1813 at default.

- radius_shared_secret

Cadena secreta compartida para que su router Wi-Fi se comunique con NxRelay.

- radius_enable_logout

Destruye la sesión de inicio de sesión del usuario cuando el tipo de estado de una solicitud de contabilidad es 'Stop'.
    ex) 0 = false, 1 = true

- use_radius

Ejecutar servidor de cuentas RADIUS.
    ex) 0 = false, 1 = true

- drop_blocked_request_type

Habilitar control de tipo de petición en NxRelay. Se pueden configurar tipos de petición bloqueados en DNS > Server Protection > Request Type Control .
    ex) 0 = false, 1 = true

Que política aplicar
Por defecto, NxRelay aplica la política de filtrado vinculada al token de acceso especificado en su fichero de configuración. Esa es la política por defecto para NxRelay. Si desea aplicar varias políticas para los usuarios de su red, puedes asociar las IPs priavte detectadas por NxRelay a los usuarios que creaste en la GUI del operador NxCloud. También puede asociar los detectados por NxRelay a las políticas que creó en NxCloud.

A partir de la v4.7.1.3 de NxCloud, puede vincular los usuarios detectados por NxRelay a las políticas de Policy > Policy > EDIT de la GUI del operador.

Scripts de utilidad
In /nxrelay/bin  there are several utility scripts included.

  • startup.sh : Starting NxRelay
  • shutdown.sh : Stopping NxRelay
  • test.sh : Test the connectivity to NxCloud
  • ping.sh : Test if it is running

Tenemos versiones .bat de estos scripts para Windows.

Para Windows tenemos 2 mas,

  • instsvc.bat : Installing NxRelay service
  • unstsvc.bat : Uninstall NxRelay service

Para Ubuntu Linux, tenemos un script systemd que es /nxrelay/script/nxrelay.service.

Integración de Active Directory en la nube
La integración de Active Directory en la nube es posible gracias a NxRelay. Cuando instale NxRelay en un controlador de dominio de su Directorio Activo, puede detectar y enviar nombres de usuario AD conectados a su servidor.

Estas son las condiciones para impulsar la integración de Active Directory en la nube.

1. Instalar NxRelay en un controlador de dominio

Para que NxRelay detecte el nombre de usuario conectado, tiene que instalarlo en un controlador de dominio. Sin embargo puede tener un problema de colisión de puertos con su servidor MS DNS existente. En ese caso, puede puede añadir una dirección IP más en su servidor y enlazar su servidor MS DNS a una dirección IP y NxRelay a la otra dirección IP. Dirección IP.

Puede instalar NxRelay en otro servidor cuando utilice CxLogon o autenticación WiFi 802.1X.

2. Use su servidor DNS de Active Directory como su servidor DNS local

En Active Directory, DNS juega un papel crucial. Para no romper nada con su integración de Active Directory, debe configurar su servidor MS DNS para que sea el servidor local DNS. Local DNS of NxRelay and bypass your Active Directory domain as the Local Domain of NxRelay.

Sin embargo, la 'integración de Active Directory en la nube' es un poco diferente de cuando integración de Active Directory' en su red local con NxFilter. En NxCloud, no soportamos la importación de usuarios desde Active Directory. Por lo tanto, todavía no es una integración completa de Active Directory. Todavía puede mostrar el nombre de usuario de Active Directory en forma 'tokenname_username en su vista de registro para que pueda averiguar quién es quién.

Por ejemplo, si tienes el usuario 'john100' en tu Active Directory y ejecutas NxRelay con el token de login del usuario 'myrelay en NxCloud, sus peticiones DNS aparecerán como 'myrelay_john100' en Logging > DNS Request. Y la política defaut para 'john100' sería la política de 'myrelay'. Si desea aplicar una política diferente a 'john100', puede crear el nombre de usuario que coincida exactamente que es 'john100' en NxCloud o puede vincular 'myrelay_john100' a una política en NxCloud operador GUI.

A partir de la v4.7.1.3 de NxCloud, puede vincular los usuarios detectados por NxRelay a políticas en Policy > Policy > EDIT de la GUI del operador.

Detección de usuarios mediante autenticación Wi-Fi 802.1X
NxRelay tiene un módulo de servidor de contabilidad RADIUS integrado. Este módulo es el mismo que el que utilizamos con NxFilter para single sign-on mediante autenticación Wi-Fi 802.1X. NxRelay enviará los nombres de usuario que detecte a NxCloud. Para entender cómo funciona, lee Inicio de sesión único por 802.1X

Detección de usuarios por CxLogon
NxRelay soporta CxLogon desde v2.6.4. Esto significa que usted puede detectar los nombres de usuario conectados en los PCs en su red sin Active Directory. Para saber más sobre CxLogon, lea Inicio de sesión único mediante CxLogon.

Por defecto, le mostrará el nombre de usuario detectado como en el formulario 'tokenname_username' pero si usted crear el nombre de usuario que coincide exactamente en NxCloud, se le mostrará el nombre de usuario como es y se puede asignar un específico específica al usuario. Esta es la misma regla que usamos con Integración de Active Directory en la nube.

Anulación masiva de dominios
Puede reducir el tráfico a NxCloud omitiendo dominios de las consultas de políticas en masa. Para evitar los dominios en masa, es necesario crear /nxrelay/conf/bypass.txt y añadir dominios en el archivo. Puede utilizar un asterisco para incluir subdominios. Los dominios en el archivo deben estar separados por nuevas líneas como a continuación, 


	www.jahastech.com
	mail.jahastech.com
	*.nxfilter.org

NxRelay y NxFilter
Puede que trabaje para una empresa que tiene varias sucursales. Desea filtrar todas las sucursales de forma centralizada. También quiere tener autenticación de usuario y single sign-on como lo hace con NxFilter en una red local. Sin embargo, no quiere ejecutar NxCloud siendo usted el único administrador. Usted no quiere iniciar sesión en cada operador GUI para cambiar las políticas. Puedes hacer todas estas cosas con NxRelay y NxFilter.

Mediante NxRelay, puede asociar IPs privadas detrás de un router a sus usuarios en NxFilter. Y puede importar usuarios AD en su NxFilter y luego puede ejecutar NxRelay en cada sucursal para detectar los nombres de usuario AD. NxRelay también admite CxLogon para el inicio de sesión único sin Active Directory. Y puede implementar la autenticación Wi-Fi 802.1X. Por lo tanto, no hay casi ninguna diferencia con respecto a la ejecución de NxFilter en una red local. Sin embargo, hay una condición. Cada sucursal debe utilizar un rango IP diferente. Por ejemplo, si la sucursal nº 1 utiliza 192.168.0.0/24, La sucursal #2 debe usar una diferente como 192.168.0.1/24. Esto es para prevenir colisiones IP.

Redirección de dominio
Es posible que desee establecer redirecciones de dominio para su red local ejecutando NxRelay. Para establecer redirecciones de dominio, cree el archivo /nxrelay/conf/redirection.txt y agregue el dominio al mapa IP en el archivo como se muestra a continuación, 


	router.mynet.local     192.168.0.1
	printer.mynet.local    192.168.0.10
	*.myorg.local          192.168.0.12
	wpad                   192.168.0.20
	wpad.mynet.local       192.168.0.1

Control del tipo de petición
Puede bloquear ciertos tipos de peticiones DNS por NxRelay. Obtendrá la configuración de control de tipo de solicitud de NxFilter y dejará caer las peticiones bloqueadas. Para activar esta función, debe establecer 'drop_blocked_request_type' a '1' en /nxrelay/conf/cfg.properties como se indica a continuación,

drop_blocked_request_type = 1