NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
NxRelais pour l'ensemble du réseau
NxRelay est un serveur DNS de relais pour NxCloud. Avec NxRelay, vous pouvez associer une IP privée à un utilisateur sur NxCloud. Cela signifie que vous pouvez appliquer des politiques basées sur des IP privées derrière un routeur à partir de votre service de filtrage dans le nuage.

Vous pouvez utiliser NxRelay avec NxFilter pour le filtrage de plusieurs succursales ou l'intégration d'Active Directory sur le cloud. Nous en parlerons sur NxRelay et NxFilter partie.

Globlist ne supporte pas NxRelay.

Comment ça marche
NxRelay lui-même est un serveur DNS de transfert. Il effectue le filtrage en interrogeant NxCloud et fonctionne comme un serveur DNS en transmettant les requêtes DNS à votre serveur DNS local. vers votre serveur DNS local. Pour NxRelay, NxCloud n'est pas son serveur DNS en amont. Il s'agit plutôt d'un serveur de politique. Son serveur en amont est votre serveur DNS existant. Cela signifie que même si vous perdez la connexion à NxCloud, vous n'aurez pas de défaillance DNS.

Il envoie START and PING signals. You can see if it's running on Logging > Agent Signal on NxCloud GUI.

Installation sur Windows
Nous fournissons un programme d'installation Windows pour NxRelay. Il installe NxRelay en tant que service Windows et exécute son programme d'installation GUI.

Si vous devez installer manuellement le service NxRelay sous Windows,

1. Télécharger son paquet ZIP

2. L'extraire dans c:/nxrelay

3. Modifier ses paramètres de configuration dans c:/nxrelay/conf/cfg.properties

Sur CMD, 


	cd c:/nxrelay/bin
	instsvc.bat
	net start NxRelay

Installation sous Linux
Nous avons des paquets DEB et RPM disponibles pour NxRelay. Vous pouvez installer NxRelay de la même manière que NxFilter. Pour en savoir plus, lisez Installer NxFilter sur Linux.

Lorsque vous installez NxRelay à l'aide d'un paquet ZIP :

1. Télécharger le paquet ZIP.

2. L'extraire dans /nxrelay.

En ligne de commande, 


	cd /nxrelay
	sudo chmod +x bin/*.sh
	sudo cp script/nxrelay.service /lib/systemd/system/nxrelay.service
	sudo systemctl enable nxrelay.service
	sudo systemctl start nxrelay.service

Pour l'arrêter, 


	sudo systemctl stop nxrelay.service

Avant de le démarrer, vous devez modifier ses paramètres de configuration dans /nxrelay/conf/cfg.properties.

Comment l'installer ?
Vous avez besoin de l'IP de votre serveur NxCloud et d'un jeton de connexion de l'un de vos comptes d'utilisateur. Il lit ses paramètres de configuration dans le fichier /nxrelay/conf/cfg.properties.

Par exemple, 


	server = 192.168.0.100
	token = BSYEB28O
	local_dns = 8.8.8.8,8.8.4.4
	local_domain = mydomain.local

Lorsque vous avez ces valeurs de configuration dans le fichier de configuration, l'IP de votre serveur NxCloud est 192.168.0.100 et le jeton de connexion est " BSYEB28O ". et vos serveurs DNS locaux ou existants sont 8.8.8.8 et 8.8.4.4. Si vous avez des domaines à contourner du filtrage vous pouvez les ajouter comme valeur de 'local_domain' séparée par des virgules.

Après avoir modifié le fichier de configuration, vérifiez les valeurs de configuration et la connectivité au serveur en exécutant /nxrelay/bin/test.sh. Redémarrez ensuite NxRelay et configurez-le comme seul serveur DNS pour votre réseau.

Vous pouvez ajouter plusieurs adresses IP de serveurs NxCloud séparées par des virgules.

Vous pouvez vérifier vos valeurs de configuration et la connectivité en exécutant /nxrelay/bin/test.sh.

Paramètres de configuration
NxRelay supporte les paramètres suivants dans /nxrelay/conf/cfg.properties,

- server

IP NxCloud.

- token

jeton de connexion d'un utilisateur.

- local_dns

Serveur DNS en amont ou serveur DNS local effectuant la résolution DNS réelle. Si aucun serveur DNS n'est spécifié ici, nous utilisons 8.8.8.8 et 8.8.4.4.

- local_domain

Domaines à exclure du filtrage. Vous pouvez ajouter plusieurs domaines séparés par des virgules.

- listen_ip

Vous pouvez faire en sorte que NxRelay écoute sur une adresse IP spécifique.

- block_redi_ip

Vous pouvez remplacer Block Redirection IP de NxCloud.

- use_https_dns

Vous pouvez activer DNS over HTTPS (DoH) pour la résolution DNS.
    ex) 0 = false, 1 = true

- https_dns_type

Vous pouvez sélectionner un serveur DNS over HTTPS à utiliser comme service DNS en amont.
    ex) 1 = Cloudflare, 2 = Google, 3 = Custom DoH server

- https_dns_url

Si vous optez pour un serveur DoH personnalisé, vous devez spécifier l'URL en définissant le paramètre 'https_dns_url'.

- use_https_query

Si cette option est activée, NxRelay effectuera ses requêtes de politique via HTTPS.
    ex) 0 = false, 1 = true

- https_query_port

Les requêtes de politique par HTTPS utiliseront les données suivantes TCP/443 at default but if you need to use another port you can change it here.

- query_cache_ttl

NxRelay dispose d'un cache de 300 secondes pour les résultats d'une requête provenant de son serveur de politique. Vous pouvez définir un nombre entre 0 et 3600 secondes. Si vous augmentez la valeur, cela réduira le trafic vers votre serveur de politique de filtrage. mais votre changement de politique de filtrage sera reflété après l'expiration du cache.
    ex) 0 = bypass, 300 = 5 minutes, 1200 = 20 minutes

- a_query_only

Si cette option est activée, NxRelay filtrera uniquement les requêtes de type A, AAAA et vous obtiendrez de meilleures performances.
    ex) 0 = false, 1 = true

- run_mapper

NxRelay dispose d'un module NxMapper intégré pour envoyer le nom d'utilisateur du login Active Directory lorsque vous l'installez sur un contrôleur de domaine.

- radius_accounting_port

Le port sur lequel vous recevez les demandes de comptabilité RADIUS. Nous utilisons UDP/1813 at default.

- radius_shared_secret

Chaîne de secret partagée par votre routeur Wi-Fi pour communiquer avec NxRelay.

- radius_enable_logout

Détruit la session de connexion de l'utilisateur lorsque le type de statut d'une demande de comptabilité est 'Stop'.
    ex) 0 = false, 1 = true

- use_radius

Exécuter le serveur de comptes RADIUS.
    ex) 0 = false, 1 = true

- drop_blocked_request_type

Activer le contrôle du type de demande sur NxRelay. Vous pouvez définir des types de demande bloqués sur DNS > Server Protection > Request Type Control .
    ex) 0 = false, 1 = true

Quelle politique appliquer
Par défaut, NxRelay applique la politique de filtrage liée au jeton de connexion spécifié dans son fichier de configuration. Il s'agit de la politique par défaut de NxRelay. Si vous souhaitez appliquer plusieurs politiques pour les utilisateurs de votre réseau, vous pouvez associer les IP prioritaires détectées par NxRelay aux utilisateurs que vous avez créés dans l'interface utilisateur de NxCloud. Vous pouvez également associer les noms d'utilisateur Windows détectés par NxRelay aux politiques que vous avez créées sur NxCloud.

À partir de la v4.7.1.3 de NxCloud, vous pouvez lier les utilisateurs détectés par NxRelay aux politiques de NxCloud. Policy > Policy > EDIT de l'interface utilisateur.

Scripts d'utilitaires
In /nxrelay/bin  there are several utility scripts included.

  • startup.sh : Starting NxRelay
  • shutdown.sh : Stopping NxRelay
  • test.sh : Test the connectivity to NxCloud
  • ping.sh : Test if it is running

Nous avons des versions .bat de ces scripts pour Windows.

Nous avons 2 scripts supplémentaires pour Windows,

  • instsvc.bat : Installing NxRelay service
  • unstsvc.bat : Uninstall NxRelay service

Pour Ubuntu Linux, nous avons un script systemd qui est /nxrelay/script/nxrelay.service.

Intégration de l'Active Directory sur le cloud
L'intégration de l'Active Directory dans le nuage est possible grâce à NxRelay. Lorsque vous installez NxRelay sur un contrôleur de domaine dans votre Active Directory, il peut détecter et envoyer les noms d'utilisateur AD connectés à son serveur.

Ce sont les conditions pour améliorer l'intégration de l'Active Directory dans le nuage.

1. installer NxRelay sur un contrôleur de domaine

Pour que NxRelay puisse détecter le nom d'utilisateur connecté, vous devez l'installer sur un contrôleur de domaine. Cependant, il se peut que vous ayez un problème de collision de ports avec votre contrôleur de domaine. Cependant, il se peut que vous ayez un problème de collision de port avec votre serveur MS DNS existant. Dans ce cas, vous pouvez ajouter une adresse IP supplémentaire sur votre serveur et lier votre serveur MS DNS à une adresse IP et NxRelay à l'autre adresse IP. adresse IP.

Vous pouvez installer NxRelay sur un autre serveur lorsque vous utilisez CxLogon ou l'authentification WiFi 802.1X.

2. Utilisez votre serveur DNS Active Directory comme serveur DNS local.

Dans Active Directory, le DNS joue un rôle crucial. Pour ne pas perturber l'intégration d'Active Directory, vous devez configurer votre serveur MS DNS comme serveur DNS local. Active Directory, vous devez configurer votre serveur MS DNS pour qu'il soit le serveur DNS local. Local DNS of NxRelay and bypass your Active Directory domain as the Local Domain of NxRelay.

Cependant, l'intégration de l'Active Directory dans le nuage est un peu différente de l'intégration de l'Active Directory dans votre réseau local. l'intégration de l'Active Directory dans votre réseau local avec NxFilter. Sur NxCloud, nous ne prenons pas en charge l'importation d'utilisateurs à partir d'Active Directory. Il ne s'agit donc pas encore d'une intégration complète d'Active Directory. NxFilter peut néanmoins afficher le nom d'utilisateur Active Directory sous la forme 'tokenname_username' dans la vue du journal, de sorte que vous puissiez voir le nom d'utilisateur de votre réseau local. dans la vue du journal afin que vous puissiez savoir qui est qui.

Par exemple, si vous avez l'utilisateur " john100 " dans votre Active Directory et que vous exécutez NxRelay avec le jeton de connexion de l'utilisateur " myrelay " sur NxCloud, son nom d'utilisateur n'apparaîtra pas dans l'Active Directory. sur NxCloud, ses requêtes DNS apparaîtront en tant que " myrelay_john100 " sur la page Logging > DNS Request. Et la politique par défaut pour 'john100' sera la politique de 'myrelay'. Si vous souhaitez appliquer une politique différente à 'john100', vous pouvez créer un nom d'utilisateur correspondant exactement à la politique de 'myrelay'. correspondant exactement à " john100 " sur NxCloud ou vous pouvez lier " myrelay_john100 " à une politique sur l'interface utilisateur de NxCloud.

À partir de la version 4.7.1.3 de NxCloud, vous pouvez lier les utilisateurs détectés par NxRelay à des politiques sur l'interface utilisateur de NxCloud. Policy > Policy > EDIT de l'interface utilisateur.

Détection d'utilisateurs par authentification Wi-Fi 802.1X
NxRelay dispose d'un module de serveur de comptabilité RADIUS intégré. Ce module est le même que celui que nous utilisons avec NxFilter pour l'authentification unique par Wi-Fi 802.1X. par l'authentification Wi-Fi 802.1X. NxRelay enverra les noms d'utilisateur qu'il a détectés à NxCloud. Pour comprendre comment cela fonctionne, lisez Authentification unique par 802.1X

Détection de l'utilisateur par CxLogon
NxRelay prend en charge CxLogon depuis la version 2.6.4. Cela signifie que vous pouvez détecter les noms d'utilisateur connectés sur les PC de votre réseau sans Active Directory. réseau sans Active Directory. Pour en savoir plus sur CxLogon, lisez Connexion unique par CxLogon.

Par défaut, il vous montrera le nom d'utilisateur détecté comme dans le formulaire 'tokenname_username' mais si vous créez le nom d'utilisateur correspondant sur NxCloud, il vous montrera le nom d'utilisateur détecté. mais si vous créez le nom d'utilisateur correspondant exactement sur NxCloud, il vous montrera le nom d'utilisateur tel quel et vous pourrez assigner une politique spécifique à l'utilisateur. spécifique à l'utilisateur. Il s'agit de la même règle que celle que nous utilisons avec Intégration de l'Active Directory dans le nuage.

Contournement de domaines en masse
Vous pouvez réduire le trafic vers NxCloud en contournant massivement les domaines des requêtes de politique. Pour contourner les domaines en masse, vous devez créer /nxrelay/conf/bypass.txt et ajouter des domaines dans le fichier. Vous pouvez utiliser un astérisque pour inclure les sous-domaines. Les domaines dans le fichier doivent être séparés par des nouvelles lignes comme ci-dessous, 


	www.jahastech.com
	mail.jahastech.com
	*.nxfilter.org

NxRelay et NxFilter
Vous travaillez peut-être pour une entreprise qui possède plusieurs succursales. Vous souhaitez filtrer toutes les succursales de manière centralisée. Vous souhaitez également disposer d'une authentification des utilisateurs et d'une signature unique, comme vous le faites avec NxFilter dans un réseau local. Cependant, vous ne voulez pas exécuter NxCloud en tant qu'administrateur unique. Vous ne voulez pas vous connecter à l'interface graphique de chaque opérateur pour modifier les politiques. Vous pouvez faire tout cela avec NxRelay et NxFilter.

Grâce à NxRelay, vous pouvez associer des IP privées derrière un routeur à vos utilisateurs sur NxFilter. Vous pouvez également importer des utilisateurs AD dans votre NxFilter, puis exécuter NxRelay dans chaque succursale pour détecter les noms d'utilisateur AD. NxRelay prend également en charge CxLogon pour l'authentification unique sans Active Directory. Et vous pouvez mettre en œuvre l'authentification Wi-Fi 802.1X. Il semble donc qu'il n'y ait pratiquement aucune différence avec l'exécution de NxFilter dans un réseau local. Cependant, il y a une condition. Chaque succursale doit utiliser une plage IP différente. Par exemple, si la succursale 1 utilise 192.168.0.0/24, la succursale n° 2 doit en utiliser une autre, comme 192.168.0.1/24. Cela permet d'éviter les collisions d'IP.

Redireciton du domaine
Il se peut que vous souhaitiez définir des redirections de domaine pour votre réseau local utilisant NxRelay. Pour définir les redirections de domaine, créez le fichier /nxrelay/conf/redirection.txt et ajoutez le domaine à la carte IP dans le fichier. et ajoutez le domaine à la carte IP dans le fichier comme ci-dessous, 


	router.mynet.local     192.168.0.1
	printer.mynet.local    192.168.0.10
	*.myorg.local          192.168.0.12
	wpad                   192.168.0.20
	wpad.mynet.local       192.168.0.1

Contrôle du type de demande
Vous pouvez bloquer certains types de requêtes DNS par NxRelay. Il récupérera les paramètres de contrôle du type de requête de NxFilter et abandonnera les requêtes de type bloqué. les requêtes de type bloqué. Pour activer cette fonctionnalité, vous devez définir 'drop_blocked_request_type' à '1' dans le fichier /nxrelay/conf/cfg.properties comme ci-dessous,

drop_blocked_request_type = 1