- Je peux contourner NxFilter en accédant à des sites Web à l'aide d'une adresse IP.
- Cela ne fonctionne pas blocked/unblocked right away.
- Comment puis-je forcer un utilisateur à être filtré par NxFilter ?
- Comment NxFilter détermine-t-il la politique à appliquer à un utilisateur ?
- Quel est le moyen le plus rapide de bloquer « facebook.com » ?
- Je souhaite bloquer « facebook.com » uniquement pour mes élèves.
- Je souhaite autoriser le service commercial à utiliser librement Internet pendant la pause déjeuner.
- Comment modifier le port du serveur Web de NxFilter ?
- Comment réinitialiser le mot de passe administrateur ?
- Puis-je lier NxFilter à une adresse IP spécifique ?
- Comment contourner le filtrage de mon domaine local ?
- Puis-je utiliser un mot-clé correspondant exactement pour la recherche dans les journaux ?
- Pourquoi dois-je me reconnecter après la pause déjeuner ?
- Comment puis-je appliquer mon propre certificat SSL ?
- Comment puis-je activer le débogage ?
- Comment afficher la page de blocage de NxFilter sur HTTPS ?
- Comment masquer l'avertissement SSL ?
- Pourquoi le message d'erreur « Licence non valide » s'affiche-t-il ?
- Je ne vois aucun nom d'utilisateur sur Logging > DNS Request.
- Comment configurer un fuseau horaire ?
- Comment forcer un utilisateur à se déconnecter ?
- Qu'est-ce que l'erreur « File d'attente pleine » ?
- Comment bloquer les contenus pornographiques dans les résultats de recherche Google et Youtube ?
- Puis-je exclure un utilisateur spécifique du filtrage/enregistrement ?
- Puis-je installer NxFilter sur mon contrôleur de domaine Active Directory ?
- Comment calculer le nombre d'utilisateurs pour une licence commerciale ?
- Qu'est-ce que l'erreur 'Too many requests' error?
- Comment ajouter des utilisateurs à ma licence ?
- Ma connexion Internet est plus rapide depuis que j'ai installé NxFilter.
- Puis-je contourner l'authentification par NxCloud ?
- NxFilter prend-il en charge IPv6 ?
- Comment passer de la version 3 à la version 4 ?
- Comment utiliser les listes de blocage publiques disponibles sur Internet ?
- Pourquoi un avertissement SSL s'affiche-t-il à la place de la page de connexion ?
- Comment autoriser l'accès invité ?
- Puis-je vider le cache de réponse DNS sur NxFilter sans le redémarrer ?
Certaines personnes affirment que le filtrage DNS est inutile, car elles peuvent accéder à un site Web à l'aide de l'adresse IP. C'est une idée très naïve et tout simplement fausse. Dans l'environnement Internet actuel, la plupart des sites Web fonctionnent sur des hôtes virtuels. Cela signifie qu'il existe plusieurs sites Web sur une seule adresse IP. Vous ne pouvez pas accéder à ces sites Web sans utiliser un domaine.
Vous devez également tenir compte du fait qu'une page Web contient de nombreuses URL. C'est particulièrement vrai pour les grands portails. Ces URL sont également basées sur le DNS. Si vous essayez d'accéder à un site Web bloqué à l'aide d'une adresse IP, vous obtiendrez dans la plupart des cas une page Web endommagée.
Cela est principalement dû au cache DNS de votre système. Si vous utilisez un système Windows, il existe deux types de cache DNS. L'un provient de votre navigateur et l'autre de votre système d'exploitation Windows. Avant leur expiration, votre modification de politique de blocage/déblocage ne fonctionnera pas. Les deux caches expirent à terme, mais vous pouvez les effacer immédiatement. S'il s'agit d'un cache de navigateur, vous pouvez l'effacer en redémarrant votre navigateur.
Si vous souhaitez effacer votre cache DNS Windows, utilisez la commande suivante sur CMD.
ipconfig /flushdns
Normalement, le cache DNS expire au maximum au bout d'une journée. Bien sûr, cela dépend du TTL d'un enregistrement DNS, mais il n'est généralement pas supérieur à 86 400 secondes (1 jour). En ce qui concerne le cache du navigateur, son expiration peut prendre plusieurs minutes. Cependant, il finira par expirer et votre politique de filtrage fonctionnera. Donc, en fin de compte, ce n'est pas un problème, car vous n'avez pas besoin de bloquer/débloquer un site web plusieurs fois par jour.
Si vous avez un pare-feu sur votre réseau, c'est une tâche simple. Vous devez juste bloquer le trafic sortant UDP/53, TCP/53 traffic except from NxFilter. And then use DHCP to set up NxFilter to be the DNS server for your network. Now NxFilter becomes the only DNS server your users can use and their DNS setup to point NxFilter will be done automatically.
Si vous êtes un administrateur système expérimenté, vous connaissez peut-être déjà bon nombre des fonctionnalités de NxFilter, car elles sont courantes dans d'autres solutions de sécurité réseau. Cependant, pour ceux qui sont moins familiarisés avec ces technologies, le système de décision de politique de NxFilter peut ne pas être aussi simple. Cela est particulièrement vrai pour les utilisateurs de réseaux domestiques.
Pour en savoir plus, https://forum.nxfilter.org/tips-tricks/2739-understanding-the-policy-application-system-of-nxfilter
Ajoutez « *.facebook.com » sur Whitelist > Domain with Admin Block option.
Vous devez d'abord pouvoir différencier vos élèves sur NxFilter par authentification. Ensuite, bloquez Social Networking category on a policy when you use Jahaslist. Then assign the policy to the user or group associated to your students.
1. Créez un utilisateur ou un groupe pour votre service commercial.
2. Définissez free-time in Policy > Free Time for the lunchtime in your company.
3. Créez une politique qui ne bloque rien.
4. Attribuez la politique comme politique de temps libre de l'utilisateur ou du groupe.
Vous pouvez modifier HTTP/HTTPS listening ports on NxFilter. However, when you change HTTP port you will lose your block page redirection. It is because when NxFilter redirects a user on HTTP, there needs to be something waiting for the browser on TCP/80 port.
Pour modifier les ports, vous devez modifier ces deux paramètres dans le fichier /nxfilter/conf/cfg.properties.
https_port = 443
Après avoir modifié les ports, redémarrez NxFilter.
Nous disposons du script /nxfilter/bin/reset-pw.sh pour réinitialiser le mot de passe administrateur. Une fois le script exécuté, le nom d'administrateur et le mot de passe seront réinitialisés à « admin ». Vous devez exécuter le script pendant que NxFilter est en cours d'exécution.
Vous pouvez lier NxFilter à une adresse IP spécifique afin d'éviter tout problème de collision de ports. Vous pouvez lier NxFilter à une adresse IP spécifique à l'aide du paramètre « listen_ip » dans le fichier /nxfilter/conf/cfg.properties. Si vous le définissez sur « 0.0.0.0 », NxFilter écoutera toutes les adresses IP de votre système, mais si vous le définissez sur une adresse IP spécifique, NxFilter n'écoutera que l'adresse IP spécifiée.
On DNS > SetupVous pouvez définir votre serveur DNS local et votre domaine local. Avec cette configuration, s'il y a des requêtes DNS pour votre domaine local, NxFilter transfère les requêtes à votre serveur DNS local et contourne l'authentification, le filtrage et la journalisation.
Vous pouvez utiliser des crochets pour une correspondance exacte lors de la recherche dans les journaux.
ex) [john], [192.168.0.1]
Votre session de connexion a expiré. Si aucune activité (requête DNS) n'est détectée sur votre PC pendant un certain temps, votre session de connexion expire. Vous pouvez augmenter la valeur de Login Session TTL on Système > Configuration.
Depuis la version 4.7.4.5, NxFilter prend en charge les fichiers PEM. Dans la plupart des cas, vous disposerez de deux fichiers : your-domain.all.crt.pem et your-domain.key.pem. Copiez ces fichiers dans le répertoire /nxfilter/conf/, puis ajoutez les lignes suivantes à /nxfilter/conf/cfg.properties :
pem_key_file = conf/your-domain.key.pem
Redémarrez ensuite NxFilter pour que les modifications prennent effet.
Pour utiliser votre propre certificat SSL, vous avez besoin d'un fichier Java KeyStore (JKS). Si vous disposez déjà d'un certificat au format CRT, vous devrez d'abord le convertir en fichier JKS. Il existe de nombreuses ressources sur Internet expliquant comment créer un fichier JKS ou convertir un fichier CRT en fichier JKS.
Une fois que vous disposez de votre fichier JKS, copiez-le dans le répertoire /nxfilter/conf/ et définissez les deux paramètres suivants dans /nxfilter/conf/cfg.properties :
keystore_pass = 123456
Redémarrez ensuite NxFilter pour que les modifications prennent effet.
Lorsque NxFilter rencontre un problème, la première chose à faire est de déterminer exactement ce qui se passe à l'aide des données du journal système. NxFilter conserve les données de son journal système dans le répertoire /nxfilter/log directory. If you need more detailed log data, enable debugging on /nxfilter/conf/log4j.properties. Change INFO to DEBUG inside the file and restart NxFilter.
Lorsque vous êtes bloqué sur HTTPS, vous obtenez une page d'avertissement SSL au lieu de la page de blocage NxFilter dans votre navigateur. Ceci permet d'empêcher 'Man In The Middle' les attaques. Cependant, beaucoup de gens trouvent cela ennuyeux et souhaitent afficher la page de blocage avec une raison de blocage appropriée.
La solution la plus simple consiste à activer l'option Silent Block (Blocage silencieux) dans System > Setup. Lorsque cette option est activée, NxFilter ne procède à aucune redirection de blocage. Ainsi, aucune page de blocage n'est affichée et aucun avertissement SSL n'apparaît. Cela s'affichera comme un problème de connexion ou un échec de résolution DNS dans votre navigateur.
Une autre option consiste à utiliser CxForward. CxForward est une extension Chrome/Edge que nous fournissons. Elle contournera l'avertissement SSL et redirigera votre navigateur vers la page de blocage. Pour en savoir plus, consultez CxForward pour les blocages sur HTTPS
La première chose à vérifier serait Enable Authentication option on System > Setup. Certaines personnes ne comprennent pas qu'elles doivent activer l'authentification avant de mettre en œuvre une méthode d'authentification.
Certains de nos utilisateurs ont signalé que leur fuseau horaire sur NxFilter était différent de celui du système sur lequel il fonctionne. Cela se produit principalement sur CentOS. Lorsque vous devez configurer manuellement un fuseau horaire pour NxFilter. Vous pouvez le faire au niveau de la JVM. Dans /nxfilter/bin/startup.sh, définissez le paramètre suivant.
Vous pouvez détruire la session de connexion de l'utilisateur sur Utilisateur > Liste > Test.
Vous obtenez 'Queue full' error when NxFilter can't process the DNS requests in its job queue fast enough. It can happen when you lose the network connection to your upstream server or when you have too many requests for your system performance. If it is caused by a network connection problem it will go away after your connection restored.
Si vous n'avez pas de problème de connexion réseau, vous devrez peut-être effectuer quelques réglages sur votre système. Si vous avez plus de 1 000 utilisateurs, vous devrez peut-être augmenter l'allocation de mémoire à NxFilter.
Vous pouvez forcer la recherche sécurisée à partir de NxFilter. Nous avons une option de recherche sécurisée dans une politique.
Vous pouvez exclure certains de vos utilisateurs du filtrage et de la journalisation. Vous pouvez ajouter les adresses IP des clients que vous souhaitez exclure du filtrage et de la journalisation sur DNS > Access Control > Bypass All.
Certaines personnes souhaitent installer NxFilter sur leur contrôleur de domaine Active Directory. C'est l'idéal si vous ne voulez pas avoir un matériel ou une machine virtuelle supplémentaire. Cependant, un contrôleur de domaine dispose généralement de son propre serveur DNS MS, ce qui entraîne un problème de collision de ports avec NxFilter. La solution consiste à ajouter une adresse IP supplémentaire sur votre contrôleur de domaine et à configurer votre serveur DNS MS pour qu'il n'écoute qu'une seule adresse IP, tandis que votre NxFilter écoute une autre adresse IP.
Par exemple, si vous souhaitez que votre NxFilter n'écoute que sur 192.168.0.100, vous devez modifier la valeur du paramètre « listen_ip » dans le fichier c:/nxfilter/conf/cfg.properties.
listen_ip = 192.168.0.100
NxFilter compte quotidiennement le nombre de noms d'utilisateur, d'adresses IP de clients et de requêtes DNS. Si l'un d'entre eux dépasse le nombre d'utilisateurs autorisés par votre licence, tout utilisateur ou requête non autorisé apparaîtra comme bloqué dans votre journal. Cependant, comme il s'agit d'une mesure préventive, ce blocage ne se produit pas réellement du côté de l'utilisateur.
Le nombre quotidien de requêtes autorisées par NxFilter pour un utilisateur est de 4 000 (si vous disposez d'une licence pour 100 utilisateurs, vous pouvez effectuer 4 000 x 100 requêtes par jour). D'après nos statistiques, dans un environnement de bureau ou scolaire ordinaire, un utilisateur effectue jusqu'à 1 500 requêtes par jour. Nous avons ajouté 2 500 requêtes à titre de redondance. Cela donne donc 4 000 requêtes par jour pour un utilisateur. Pour le comptage des requêtes, nous ne comptons que les requêtes DNS de type « A ».
Nous comptons le nombre de requêtes pour la protection de la licence et vous effectuez plus de requêtes DNS que le nombre autorisé par votre licence. Lire Comment puis-je calculer le nombre d'utilisateurs pour une licence commerciale ?
Vous pouvez augmenter la taille de votre licence existante après son achat. Lorsque vous ajoutez des utilisateurs, vous ne payez que pour la période restante de votre licence. Supposons que vous souhaitiez ajouter 100 utilisateurs après avoir utilisé votre licence pendant 6 mois, vous n'aurez alors à payer que 50 % du prix de votre nouvel achat. Pour ajouter des utilisateurs à votre licence, contactez-nous à l'adresse « support @ nxfilter.org ».
C'est parce que vous disposez désormais d'un serveur de mise en cache DNS dans votre réseau. Avant d'installer NxFilter, vos utilisateurs effectuaient sans cesse des requêtes DNS vers « google.com ». Lorsque vous utilisez un serveur DNS public sur Internet, cela signifie que vos utilisateurs envoient des paquets UDP vers un endroit quelconque sur Internet et attendent les réponses suivantes plusieurs fois par jour. Cependant, après avoir installé NxFilter, une fois qu'une réponse DNS a été mise en cache par NxFilter, vos utilisateurs obtiennent leurs réponses DNS directement depuis NxFilter. Il n'y a donc plus de latence provenant d'un serveur DNS public sur Internet et vos utilisateurs bénéficient d'une connexion Internet plus rapide.
Lorsque vous exécutez NxCloud, vous devez d'abord savoir qui est qui, car tout doit appartenir à un opérateur. Cependant, certaines personnes souhaitent permettre à leurs utilisateurs de résoudre certains domaines sans processus d'authentification. Dans ce cas, vous pouvez faire 'Total Bypass' for a domain. When you whitelist a domain on admin GUI with Bypass Filtering and Bypass Logging flags, it becomes Total Bypass for the domain and it bypasses authentication also.
Oui, vous pouvez pointer NxFilter vers son adresse IPv6. Cependant, nous avons désactivé son serveur socket sur l'adresse IPv6 par défaut. En effet, si nous acceptons les requêtes DNS à la fois sur IPv4 et IPv6, vous devrez peut-être vous connecter deux fois lorsque vous utilisez l'authentification. Pour éviter toute confusion, nous vous recommandons de ne rien définir pour le serveur DNS de votre réseau IPv6. Vos utilisateurs utiliseront le serveur DNS défini pour votre réseau IPv4.
Si vous souhaitez tout de même définir NxFilter comme serveur DNS pour votre réseau IPv6, une approche possible consiste à utiliser une adresse IPv4 sur IPv6. Supposons que votre NxFilter fonctionne sur 192.168.0.100. Vous pouvez alors utiliser une adresse IPv6 comme ci-dessous pour pointer le serveur,
::ffff:192.168.0.100
Si vous devez utiliser une adresse IPv6 réelle pour NxFilter, définissez la valeur de « java.net.preferIPv4Stack » sur « false » dans /nxfilter/bin/startup.sh.
java -Djava.net.preferIPv4Stack=false -Xmx1024m -cp $NX_HOME/nxd.jar:$NX_HOME//lib/*: nxd.Main
Certains utilisateurs souhaitent passer de NxFilter v3 à v4. En principe, cela ne devrait poser aucun problème, mais comme certains d'entre eux utilisent Shallalist, qui n'est pas pris en charge par la version 4, ils pourraient rencontrer des difficultés. Si vous effectuez la mise à jour de la version 3 à la version 4 en conservant l'option Shallalist, vous ne pourrez pas démarrer NxFilter. Vous devez donc la remplacer par Jahaslist ou l'une des autres options de catégorisation de domaine prises en charge par la version 4 avant d'effectuer la mise à jour.
Si vous devez passer manuellement à Jahaslist, vous pouvez modifier le fichier /nxfilter/conf/cfg.properties. Modifiez la valeur de « blacklist_type » à 5 comme ci-dessous,
blacklist_type = 5
À partir de la version 4.3.3.7 de NxFilter, vous pouvez utiliser les listes de blocage publiques disponibles sur Internet pour le filtrage. S'il s'agit d'un fichier hosts ou d'un fichier contenant des domaines séparés par des sauts de ligne, vous pouvez le télécharger et le fusionner sur Classifier > Blocklist overnight automatically. To find out more, read Classifier > Blocklist
Vous pouvez autoriser l'accès au réseau aux invités qui visitent temporairement votre bureau tout en activant le filtrage et l'authentification. Avec NxFilter, c'est très simple, car vous pouvez utiliser plusieurs méthodes d'authentification en même temps. Vous pouvez créer un compte invité associé à une plage d'adresses IP couvrant l'ensemble du réseau de votre bureau. Selon les préférences d'authentification de NxFilter, l'association de plages d'adresses IP vient en dernier. Si vos utilisateurs effectuent une authentification unique via l'agent SSO de NxFilter ou s'ils ont une association IP unique, ils apparaîtront toujours avec leur propre nom d'utilisateur, tandis que vos invités apparaîtront avec le compte invité que vous avez créé.
Pour en savoir plus sur les préférences d'authentification de NxFilter, consultez Priorité d'authentification
Cela provient principalement de vos règles de pare-feu. Vous devez ouvrir les ports TCP/80, TCP/443 et UDP/123 sortants pour NxFilter.
Depuis la version 4.3.9.4, nous avons un script « cachecon.sh » dans le répertoire /nxfilter/bin. Pour effacer le cache en mémoire,
cachecon.sh -m
Pour effacer le cache persistant,
cachecon.sh -p
Vous pouvez également supprimer le cache pour un seul domaine,
cachecon.sh -m google.com
cachecon.sh -p google.com
Si vous souhaitez afficher les informations actuelles du cache pour un domaine,
cachecon.sh -s google.com
Vous pouvez également spécifier le type de requête. S'il s'agit d'une requête MX,
cachecon.sh -s google.com 15
cachecon.sh -m google.com 15
Auparavant, lorsque vos utilisateurs essayaient d'accéder à un site web avant de se connecter à NxFilter, ils étaient redirigés vers la page de connexion de NxFilter. Cependant, depuis que Google oblige les sites web à mettre en place un certificat SSL, vous obtenez un avertissement SSL au lieu de la page de connexion lorsqu'il y a une redirection de connexion.
Pour résoudre ce problème, vous pouvez installer CxForward dans le navigateur des utilisateurs. CxForward est une extension Chrome/Edge. Vous pouvez l'installer à partir du Chrome Web Store ou du Microsoft Store. Pour en savoir plus, consultez CxForward pour les blocages sur HTTPS