NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
NxFilter comme serveur DNS
NxFilter est essentiellement un serveur DNS de transfert et de mise en cache avec capacité de filtrage. Vous pouvez également l'utiliser comme serveur DNS faisant autorité.

Serveur DNS faisant autorité
NxFilter peut être utilisé comme serveur DNS faisant autorité.

1. Zone File

Nous utilisons le même format de fichier de zone que BIND. Vous créez un fichier de zone pour un domaine sur DNS > Zone File. Vous pouvez ajouter vos hôtes dans la zone DNS en l'éditant dans l'interface graphique.

2. Clustering

Lorsque vous construisez un cluster de NxFilter, vos nœuds esclaves fonctionneront également en tant que serveur DNS faisant autorité avec les paramètres du nœud maître. Vous n'avez pas besoin de configurer un serveur DNS secondaire pour la redondance. Il est déjà en cluster.

Exécuter sur internet
Puisque NxFilter est un filtre DNS avec authentification, lorsque vous l'utilisez en tant que serveur DNS autoritaire, il y a plusieurs choses à faire. autoritaire, il y a plusieurs choses auxquelles vous devez penser.

- Authentification

Vous devez activer l'authentification en particulier lorsque vous mettez NxFilter sur Internet afin d'éviter d'être la cible d'une attaque DNS. d'être la cible d'une attaque DNS. Mais le problème est que si vous activez l'authentification, les requêtes DNS pour vos domaines provenant d'utilisateurs anonymes seront redirigées vers la page d'accueil de NxFilter. Pour autoriser les requêtes DNS anonymes contre votre domaine, vous devez contourner l'authentification pour le domaine.

- Filtrage

Etant un filtre DNS, NxFilter peut bloquer votre domaine pour une raison quelconque. Cela entraînera à un échec de la résolution de votre propre domaine. Pour éviter ce genre de problème, vous devez contourner le filtrage pour votre domaine, vous devez contourner le filtrage pour votre domaine.

- Trop de données de journal

Vous pourriez avoir trop de données d'enregistrement pour votre domaine à la suite d'une attaque DNS. Il serait préférable de contourner l'enregistrement pour votre domaine.

Vous pouvez créer une liste blanche pour votre domaine avec les options de contournement nécessaires. les fichiers de zone que vous avez créés dans l'interface graphique car ils ont des options de contournement.

Lorsque vous subissez des attaques DNS
Lorsque vous placez NxFilter sur le nuage, il peut être soumis à des attaques DNS. Une fois que vous êtes soumis à des attaques DNS vous aurez un trafic massif vers votre serveur. Votre NxFilter ne peut pas gérer tout le trafic et il finira par sembler presque mort et vous obtiendrez des journaux d'erreurs. presque mort et vous obtiendrez des journaux d'erreur sur 'Queue full'.

Pour éviter ce genre de problème, la meilleure chose à faire est de cacher votre serveur DNS et de ne pas répondre à ces attaquants. Pour cacher votre NxFilter de ces attaquants, vous pouvez tout d'abord activer l'authentification. NxFilter répondra aux requêtes DNS DNS provenant d'utilisateurs inconnus avec son IP de redirection de bloc.

Cependant, ils peuvent toujours penser qu'il y a un serveur DNS à attaquer puisqu'ils obtiennent une réponse de toute façon. Pour le cacher complètement à ces attaquants, nous devons laisser tomber les paquets provenant de ces serveurs, nous devons laisser tomber les paquets de ces utilisateurs inconnus silencieusement. Pour ce faire, vous pouvez activer l'option "Disable Login Redirection" (Désactiver la redirection de connexion) sur System > Setup et NxFilter supprimera les paquets de ces attaquants.

Pour en savoir plus sur les mesures de prévention des attaques DNS, lisez Prévention des attaques DNS.
Exécuter un serveur récursif local
Vous pouvez vouloir exécuter un serveur DNS récursif local comme MaraDNS ou Unbound sur la même machine que celle sur laquelle vous exécutez NxFilter. Certaines personnes veulent le faire pour accélérer le processus et d'autres pour se cacher des serveurs DNS publics ou de la censure Internet. des serveurs DNS publics ou de la censure Internet.

Lorsque vous utilisez un serveur DNS récursif local, vous pouvez avoir un problème de collision de port. Vous devez donc modifier le numéro de port de votre serveur DNS récursif. Après avoir changé le numéro de port en un numéro de port non standard comme 5353, vous pouvez spécifier le numéro de port pour le serveur DNS en amont sur DNS > Setup en utilisant deux points comme ci-dessous.

    ex) 127.0.0.1:5353

Vous pouvez spécifier le numéro de port pour le paramètre Upstream DNS Server sur DNS > Setup depuis la v4.3.9.1 de NxFilter et NxCloud.