NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
NxRelay per l'intera rete
NxRelay è un server DNS di rilancio per NxCloud. Con NxRelay è possibile associare un IP privato a un utente su NxCloud. Ciò significa che è possibile applicare criteri basati su IP privati dietro un router dal servizio di filtraggio del cloud.

È possibile eseguire NxRelay con NxFilter per filtrare più filiali o integrare Active Directory nel cloud. Ne parleremo in NxRelay e NxFilter parte.

Globlist non supporta NxRelay.

Come funziona
NxRelay stesso è un server DNS di inoltro. Esegue il filtraggio interrogando NxCloud e funziona come server DNS inoltrando le query DNS al server DNS locale. al server DNS locale. Per NxRelay, NxCloud non è il suo server DNS a monte. È piuttosto un server di policy. Il suo server a monte è il server DNS esistente. Ciò significa che anche se si perde la connessione a NxCloud, non si verifica un errore DNS.

Invia START and PING signals. You can see if it's running on Logging > Agent Signal on NxCloud GUI.

Installazione su Windows
Forniamo un programma di installazione Windows per NxRelay. Questo installerà NxRelay come servizio di Windows ed eseguirà il programma di configurazione dell'interfaccia grafica.

Se è necessario installare manualmente il servizio NxRelay su Windows,

1. Scaricare il pacchetto ZIP

2. Estrarlo in c:/nxrelay

3. Modificare i parametri di configurazione in c:/nxrelay/conf/cfg.properties

Su CMD, 


	cd c:/nxrelay/bin
	instsvc.bat
	net start NxRelay

Installazione su Linux
Sono disponibili pacchetti DEB e RPM per NxRelay. È possibile installare NxRelay nello stesso modo di NxFilter. Per saperne di più, leggere Installare NxFilter su Linux.

Quando si installa NxRelay utilizzando il pacchetto ZIP:

1. Scaricare il pacchetto ZIP.

2. Estrarlo in /nxrelay.

Sulla riga di comando, 


	cd /nxrelay
	sudo chmod +x bin/*.sh
	sudo cp script/nxrelay.service /lib/systemd/system/nxrelay.service
	sudo systemctl enable nxrelay.service
	sudo systemctl start nxrelay.service

Per fermarlo, 


	sudo systemctl stop nxrelay.service

Prima di avviarlo, è necessario modificare i parametri di configurazione in /nxrelay/conf/cfg.properties.

Come configurarlo
Sono necessari l'IP del server NxCloud e un token di accesso da uno degli account utente. Legge i suoi parametri di configurazione dal file /nxrelay/conf/cfg.properties.

Per esempio, 


	server = 192.168.0.100
	token = BSYEB28O
	local_dns = 8.8.8.8,8.8.4.4
	local_domain = mydomain.local

Se nel file di configurazione sono presenti questi valori, l'IP del server NxCloud è 192.168.0.100 e il token di accesso è 'BSYEB28O'. e i server DNS locali o esistenti sono 8.8.8.8 e 8.8.4.4. Se si vogliono escludere alcuni domini dal filtro è possibile aggiungerli come valore separato da virgola di 'local_domain'.

Dopo aver modificato il file di configurazione, verificare i valori di configurazione e la connettività al server eseguendo /nxrelay/bin/test.sh. Quindi riavviare NxRelay e impostarlo come unico server DNS della rete.

È possibile aggiungere più indirizzi IP di server NxCloud separati da virgole.

È possibile verificare i valori di configurazione e la connettività eseguendo /nxrelay/bin/test.sh.

Parametri di configurazione
NxRelay supporta i seguenti parametri in /nxrelay/conf/cfg.properties,

- server

IP NxCloud.

- token

Token di accesso di un utente.

- local_dns

Server DNS a monte o server DNS locale che esegue la risoluzione DNS effettiva. Se non viene specificato un server DNS specificato, si utilizzano 8.8.8.8 e 8.8.4.4.

- local_domain

Domini da escludere dal filtraggio. È possibile aggiungere più domini separati da virgole.

- listen_ip

Si può fare in modo che NxRelay ascolti su un indirizzo IP specifico.

- block_redi_ip

È possibile sovrascrivere Block Redirection IP di NxCloud.

- use_https_dns

È possibile attivare il DNS over HTTPS (DoH) per la risoluzione DNS.
    ex) 0 = false, 1 = true

- https_dns_type

È possibile selezionare un server DNS over HTTPS da utilizzare come servizio DNS upstream.
    ex) 1 = Cloudflare, 2 = Google, 3 = Custom DoH server

- https_dns_url

Se si sceglie un server DoH personalizzato, è necessario specificare l'URL impostando il parametro 'https_dns_url'.

- use_https_query

Con questa opzione abilitata, NxRelay eseguirà le interrogazioni dei criteri su HTTPS.
    ex) 0 = false, 1 = true

- https_query_port

Le interrogazioni dei criteri su HTTPS utilizzeranno TCP/443 at default but if you need to use another port you can change it here.

- query_cache_ttl

NxRelay ha una cache di 300 secondi per i risultati di una query dal suo server di policy. È possibile impostare un numero tra 0 e 3600 secondi. Se si aumenta il valore, si riduce il traffico verso il server dei criteri. ma la modifica del criterio di filtraggio si rifletterà dopo la scadenza della cache.
    ex) 0 = bypass, 300 = 5 minutes, 1200 = 20 minutes

- a_query_only

Con questa opzione abilitata, NxRelay filtrerà solo le query di tipo A, AAAA e le prestazioni saranno migliori.
    ex) 0 = false, 1 = true

- run_mapper

NxRelay ha un modulo NxMapper integrato per inviare il nome utente di accesso ad Active Directory quando viene installato su un controller di dominio.

- radius_accounting_port

La porta su cui si ricevono le richieste di accounting RADIUS. Noi usiamo UDP/1813 at default.

- radius_shared_secret

Stringa di segreto condiviso per il router Wi-Fi per comunicare con NxRelay.

- radius_enable_logout

Distrugge la sessione di login dell'utente quando il tipo di stato di una richiesta di accounting è 'Stop'.
    ex) 0 = false, 1 = true

- use_radius

Eseguire il server account RADIUS.
    ex) 0 = false, 1 = true

- drop_blocked_request_type

Abilita il controllo del tipo di richiesta su NxRelay. È possibile impostare i tipi di richiesta bloccati su DNS > Server Protection > Request Type Control .
    ex) 0 = false, 1 = true

Quale politica applicare
Per impostazione predefinita, NxRelay applica la politica di filtraggio legata al token di accesso specificato nel suo file di configurazione. Questo è il criterio predefinito di NxRelay. Se si desidera applicare più criteri per gli utenti della rete, è possibile associare gli IP principali rilevati da NxRelay agli utenti creati nella GUI dell'operatore NxCloud. È inoltre possibile associare i nomi utente Windows Windows rilevati da NxRelay alle policy create su NxCloud.

A partire dalla versione 4.7.1.3 di NxCloud, è possibile associare gli utenti rilevati da NxRelay alle policy create su NxCloud. Policy > Policy > EDIT della GUI dell'operatore.

Script di utilità
In /nxrelay/bin  there are several utility scripts included.

  • startup.sh : Starting NxRelay
  • shutdown.sh : Stopping NxRelay
  • test.sh : Test the connectivity to NxCloud
  • ping.sh : Test if it is running

Sono disponibili versioni .bat di questi script per Windows.

Per Windows ne abbiamo altre 2,

  • instsvc.bat : Installing NxRelay service
  • unstsvc.bat : Uninstall NxRelay service

Per Ubuntu Linux, abbiamo uno script systemd che è /nxrelay/script/nxrelay.service.

Integrazione di Active Directory nel cloud
L'integrazione di Active Directory nel cloud è possibile grazie a NxRelay. Quando si installa NxRelay su un controller di dominio di Active Directory, è in grado di rilevare e inviare al proprio server i nomi degli utenti AD connessi.

Queste sono le condizioni per implementare l'integrazione di Active Directory nel cloud.

1. Installare NxRelay su un controller di dominio.

Affinché NxRelay possa rilevare il nome utente connesso, è necessario installarlo su un controller di dominio. Tuttavia, è possibile che Tuttavia, è possibile che si verifichi un problema di collisione di porte con il server DNS MS esistente. In questo caso, è possibile aggiungere un altro indirizzo IP sul server e associare il server MS DNS a un indirizzo IP e NxRelay all'altro indirizzo IP. Indirizzo IP.

È possibile installare NxRelay su un altro server quando si utilizza l'autenticazione CxLogon o 802.1X WiFi.

2. Utilizzare il server DNS di Active Directory come server DNS locale.

In Active Directory, il DNS svolge un ruolo cruciale. Per non interrompere l'integrazione con Active Directory, è necessario impostare il server DNS MS come server DNS locale. Local DNS of NxRelay and bypass your Active Directory domain as the Local Domain of NxRelay.

Tuttavia, l'"integrazione di Active Directory nel cloud" è un po' diversa da quella che si effettua nella rete locale con NxFilter. integrazione di Active Directory nella rete locale con NxFilter. Su NxCloud, non supportiamo l'importazione di utenti da Active Directory. Quindi, non si tratta ancora di un'integrazione completa con Active Directory. Può comunque mostrare il nome utente di Active Directory nella forma 'tokenname_username'. nella vista del registro, in modo da poter scoprire chi è chi.

Ad esempio, se si ha l'utente 'john100' in Active Directory e si esegue NxRelay con il token di accesso dell'utente 'myrelay' su NxCloud, il suo nome utente verrà visualizzato nel modulo 'tokenname_username'. su NxCloud, le sue richieste DNS appariranno come 'myrelay_john100' su Logging > DNS Request. E la policy di defaut per 'john100' sarà quella di 'myrelay'. Se si vuole applicare una politica diversa a 'john100', si può creare il nome utente esattamente corrispondente che è 'john100' su NxCloud o si può collegare 'myrelay_john100' a una policy sulla GUI dell'operatore NxCloud.

A partire dalla versione 4.7.1.3 di NxCloud, è possibile collegare gli utenti rilevati da NxRelay alle policy su Policy > Policy > EDIT della GUI operatore.

Rilevamento degli utenti tramite autenticazione Wi-Fi 802.1X
NxRelay dispone di un modulo server di accounting RADIUS integrato. Questo modulo è lo stesso che utilizziamo con NxFilter per il single sign-on per l'autenticazione Wi-Fi 802.1X. NxRelay invierà i nomi utente rilevati a NxCloud. Per capire come funziona, leggete Accesso singolo tramite 802.1X

Rilevamento dell'utente da parte di CxLogon
NxRelay supporta CxLogon dalla versione 2.6.4. Ciò significa che è possibile rilevare i nomi utente connessi sui PC della rete senza Active Directory. rete senza Active Directory. Per saperne di più su CxLogon, leggere Single sign-on con CxLogon.

Per impostazione predefinita, viene mostrato il nome utente rilevato come nel modulo 'tokenname_username', ma se si crea il nome utente esattamente corrispondente su NxCloud, viene mostrato il nome utente così com'è e si può accedere al sito. creare il nome utente esattamente corrispondente su NxCloud, il nome utente verrà mostrato così com'è e si potrà assegnare un criterio specifico all'utente. all'utente. Questa è la stessa regola che si usa con Integrazione di Active Directory nel cloud.

Bypassare i domini in massa
È possibile ridurre il traffico verso NxCloud bypassando in massa i domini dalle query dei criteri. Per bypassare in massa i domini, è necessario creare /nxrelay/conf/bypass.txt e aggiungere i domini nel file. È possibile utilizzare un asterisco per includere i sottodomini. I domini nel file devono essere separati da linee nuove come di seguito, 


	www.jahastech.com
	mail.jahastech.com
	*.nxfilter.org

NxRelay e NxFilter
Si potrebbe lavorare per un'azienda con più filiali. Si desidera filtrare tutte le filiali in modo centralizzato. Si desidera inoltre disporre dell'autenticazione utente e del single sign-on, come avviene con NxFilter in una rete locale. Tuttavia, non si vuole eseguire NxCloud come unico amministratore. Non si vuole accedere a ogni interfaccia grafica dell'operatore per modificare i criteri. È possibile fare tutte queste cose con NxRelay e NxFilter.

Con NxRelay, è possibile associare IP privati dietro un router agli utenti su NxFilter. È possibile importare gli utenti AD in NxFilter ed eseguire NxRelay in ogni filiale per rilevare i nomi utente AD. NxRelay supporta anche CxLogon per il single sign-on senza Active Directory. È inoltre possibile implementare l'autenticazione Wi-Fi 802.1X. Quindi, non c'è quasi nulla di diverso dall'esecuzione di NxFilter in una rete locale. Tuttavia, c'è una condizione. Ogni filiale deve utilizzare un intervallo IP diverso. Ad esempio, se la filiale n. 1 utilizza 192.168.0.0/24, la filiale n. 2 dovrebbe usarne uno diverso, come 192.168.0.1/24. Questo per evitare collisioni IP.

Reindirizzamento del dominio
È possibile impostare i reindirizzamenti di dominio per la rete locale su cui gira NxRelay. Per impostare i reindirizzamenti di dominio, creare il file /nxrelay/conf/redirection.txt e aggiungere il dominio alla mappa IP nel file. aggiungere la mappa dei domini agli IP nel file, come indicato di seguito, 


	router.mynet.local     192.168.0.1
	printer.mynet.local    192.168.0.10
	*.myorg.local          192.168.0.12
	wpad                   192.168.0.20
	wpad.mynet.local       192.168.0.1

Controllo del tipo di richiesta
È possibile bloccare alcuni tipi di richieste DNS da parte di NxRelay. Il sistema recupera le impostazioni di controllo del tipo di richiesta da NxFilter e abbandona le query bloccate. le query di tipo bloccato. Per abilitare questa funzione, è necessario impostare 'drop_blocked_request_type' su '1' in /nxrelay/conf/cfg.properties come di seguito,

drop_blocked_request_type = 1