- Posso bypassare NxFilter accedendo ai siti web tramite indirizzo IP.
- Non riceve blocked/unblocked right away.
- Come posso forzare un utente a essere filtrato da NxFilter?
- Come fa NxFilter a determinare quale politica applicare a un utente?
- Qual è il modo più veloce per bloccare "facebook.com"?
- Voglio bloccare "facebook.com" solo per i miei studenti.
- Voglio consentire al reparto vendite di utilizzare liberamente Internet durante la pausa pranzo.
- Come posso modificare la porta del server web di NxFilter?
- Come posso reimpostare la password di amministratore?
- Posso associare NxFilter a un indirizzo IP specifico?
- Come posso escludere il mio dominio locale dal filtraggio?
- Posso utilizzare una parola chiave esatta per la ricerca nel registro?
- Perché devo effettuare nuovamente il login dopo la pausa pranzo?
- Come posso applicare il mio certificato SSL?
- Come posso abilitare il debug?
- Come faccio a visualizzare la pagina di blocco di NxFilter su HTTPS?
- Come faccio a nascondere l'avviso SSL?
- Perché ricevo l'errore "Licenza non valida"?
- Non vedo alcun nome utente su Logging > DNS Request.
- Come impostare un fuso orario?
- Come posso forzare il logout di un utente?
- Che cos'è l'errore "Coda piena"?
- Come bloccare i contenuti pornografici nei risultati di ricerca di Google e Youtube?
- Posso escludere un utente specifico dal filtraggio/registrazione?
- Posso installare NxFilter sul mio controller di dominio Active Directory?
- Come posso calcolare il numero di utenti per una licenza commerciale?
- Che cos'è l'errore 'Too many requests' error?
- Come posso aggiungere altri utenti alla mia licenza?
- La mia connessione Internet diventa più veloce dopo aver installato NxFilter.
- Posso bypassare l'autenticazione tramite NxCloud?
- NxFilter supporta IPv6?
- Come si aggiorna dalla versione 3 alla versione 4?
- Come posso utilizzare le liste di blocco pubbliche da Internet?
- Perché ricevo un avviso SSL invece della pagina di accesso?
- Come posso consentire l'accesso agli ospiti?
- Posso cancellare la cache delle risposte DNS su NxFilter senza riavviarlo?
Alcuni sostengono che il filtraggio DNS sia inutile, poiché è possibile accedere a un sito web utilizzando l'indirizzo IP. Si tratta di un'idea molto ingenua e semplicemente non vera. Nell'attuale ambiente Internet, la maggior parte dei siti web funziona su host virtuali. Ciò significa che su un unico indirizzo IP sono presenti più siti web. Non è possibile accedere a questi siti web senza utilizzare un dominio.
Un altro aspetto da considerare è che in una pagina web sono incorporati molti URL. Ciò è particolarmente vero nel caso dei grandi portali. Anche questi URL si basano sul DNS. Se si tenta di accedere a un sito web bloccato utilizzando un indirizzo IP, nella maggior parte dei casi si otterrà solo una pagina web danneggiata.
Ciò è dovuto principalmente alla cache DNS sul tuo sistema. Se utilizzi un sistema Windows, esistono due tipi di cache DNS. Uno dal browser e un altro dal sistema operativo Windows. Prima che scadano, la modifica della politica di blocco/sblocco non funzionerà. Entrambe le cache scadono alla fine, ma potresti volerle cancellare immediatamente. Se si tratta della cache del browser, puoi cancellarla riavviando il browser.
Se desideri cancellare la cache DNS di Windows, utilizza il seguente comando su CMD.
ipconfig /flushdns
Normalmente, la cache DNS scade al massimo entro un giorno. Naturalmente, dipende dal TTL di un record DNS, ma di solito non supera gli 86.400 secondi (1 giorno). Per quanto riguarda la cache del browser, potrebbero essere necessari alcuni minuti prima che scada. Tuttavia, alla fine scadrà e la tua politica di filtraggio funzionerà. Quindi, alla fine, questo non è un problema, poiché non è necessario bloccare/sbloccare un sito web più volte al giorno.
Se hai un firewall nella tua rete, è un'operazione semplice. Devi solo bloccare il traffico in uscita UDP/53, TCP/53 traffic except from NxFilter. And then use DHCP to set up NxFilter to be the DNS server for your network. Now NxFilter becomes the only DNS server your users can use and their DNS setup to point NxFilter will be done automatically.
Se sei un amministratore di sistema esperto, potresti già avere familiarità con molte delle funzionalità di NxFilter, poiché sono comuni in altre soluzioni di sicurezza di rete. Tuttavia, per chi ha meno esperienza con tali tecnologie, il sistema di determinazione delle politiche di NxFilter potrebbe non essere così intuitivo. Ciò è particolarmente vero per gli utenti di reti domestiche.
Per saperne di più, https://forum.nxfilter.org/tips-tricks/2739-understanding-the-policy-application-system-of-nxfilter
Aggiungi "*.facebook.com" su Whitelist > Domain with Admin Block option.
Devi prima essere in grado di differenziare i tuoi studenti su NxFilter tramite autenticazione. Quindi blocca Social Networking category on a policy when you use Jahaslist. Then assign the policy to the user or group associated to your students.
1. Crea un utente o un gruppo per il tuo reparto vendite.
2. Definisci free-time in Policy > Free Time for the lunchtime in your company.
3. Crea una politica che non blocchi nulla.
4. Assegna la politica come politica del tempo libero dell'utente o del gruppo.
È possibile cambiare HTTP/HTTPS listening ports on NxFilter. However, when you change HTTP port you will lose your block page redirection. It is because when NxFilter redirects a user on HTTP, there needs to be something waiting for the browser on TCP/80 port.
Per cambiare le porte, devi modificare questi due parametri nel file /nxfilter/conf/cfg.properties.
https_port = 443
Dopo aver modificato le porte, riavviare NxFilter.
Abbiamo lo script /nxfilter/bin/reset-pw.sh per reimpostare la password amministratore. Una volta eseguito lo script, il nome e la password dell'amministratore verranno reimpostati su "admin". È necessario eseguire lo script mentre NxFilter è in esecuzione.
Potresti voler associare NxFilter a un indirizzo IP specifico per evitare problemi di collisione delle porte. È possibile associare NxFilter a un indirizzo IP specifico utilizzando il parametro "listen_ip" nel file /nxfilter/conf/cfg.properties. Se lo si imposta su "0.0.0.0", NxFilter ascolterà tutti gli indirizzi IP del sistema, ma se lo si imposta su un indirizzo IP specifico, NxFilter ascolterà solo l'indirizzo IP specificato.
On DNS > SetupÈ possibile impostare il server DNS locale e il dominio locale. Con questa configurazione, se ci sono query DNS per il dominio locale, NxFilter inoltra le query al server DNS locale e bypassa l'autenticazione, il filtraggio e la registrazione.
È possibile utilizzare le parentesi quadre per la corrispondenza esatta nella ricerca nel registro.
ex) [john], [192.168.0.1]
La tua sessione di login è scaduta. Se non viene rilevata alcuna attività (query DNS) dal tuo PC per un certo periodo di tempo, la tua sessione di login scade. Puoi aumentare il valore di Login Session TTL on Sistema > Configurazione.
A partire dalla versione 4.7.4.5, NxFilter supporta i file PEM. Nella maggior parte dei casi, avrai due file: your-domain.all.crt.pem e your-domain.key.pem. Copia questi file nella directory /nxfilter/conf/, quindi aggiungi le seguenti righe al file /nxfilter/conf/cfg.properties:
pem_key_file = conf/your-domain.key.pem
Riavviare NxFilter affinché le modifiche abbiano effetto.
Per utilizzare il proprio certificato SSL, è necessario un file Java KeyStore (JKS). Se si dispone già di un certificato in formato CRT, sarà necessario convertirlo prima in un file JKS. Su Internet sono disponibili molte risorse su come creare un file JKS o convertire un file CRT in uno.
Una volta ottenuto il file JKS, copialo nella directory /nxfilter/conf/ e imposta i seguenti due parametri in /nxfilter/conf/cfg.properties:
keystore_pass = 123456
Quindi riavvia NxFilter affinché le modifiche abbiano effetto.
Quando c'è qualcosa che non va con NxFilter, la prima cosa da fare è scoprire cosa sta succedendo esattamente con i dati del log di sistema. NxFilter conserva i dati di log di sistema nella directory /nxfilter/log directory. If you need more detailed log data, enable debugging on /nxfilter/conf/log4j.properties. Change INFO to DEBUG inside the file and restart NxFilter.
Quando si viene bloccati su HTTPS, nel browser viene visualizzata una pagina di avviso SSL invece della pagina di blocco di NxFilter. Questo serve a prevenire 'Man In The Middle' attacchi. Tuttavia, molte persone lo trovano fastidioso e desiderano visualizzare la pagina di blocco con un motivo di blocco appropriato.
La soluzione più semplice è abilitare l'opzione Blocco silenzioso in System > Setup. Con questa opzione abilitata, NxFilter non esegue il reindirizzamento del blocco. Quindi, non viene visualizzata alcuna pagina di blocco e non viene visualizzato alcun avviso SSL. Apparirà come un problema di connessione o un errore di risoluzione DNS nel browser.
Un'altra opzione è quella di utilizzare CxForward. CxForward è un'estensione Chrome/Edge che forniamo. Essa ignorerà l'avviso SSL e reindirizzerà il browser alla pagina di blocco. Per ulteriori informazioni, leggere CxForward per i blocchi su HTTPS
La prima cosa da controllare è Enable Authentication option on System > Setup. Alcune persone non capiscono che è necessario abilitare l'autenticazione prima di implementare qualsiasi metodo di autenticazione.
Alcuni dei nostri utenti hanno segnalato di avere un fuso orario diverso su NxFilter rispetto al sistema su cui è in esecuzione. Ciò accade principalmente su CentOS. Quando è necessario impostare manualmente un fuso orario per NxFilter, è possibile farlo a livello di JVM. In /nxfilter/bin/startup.sh impostare il seguente parametro.
È possibile interrompere la sessione di accesso dell'utente su Utente > Elenco > Test.
Si ottiene 'Queue full' error when NxFilter can't process the DNS requests in its job queue fast enough. It can happen when you lose the network connection to your upstream server or when you have too many requests for your system performance. If it is caused by a network connection problem it will go away after your connection restored.
Se non si riscontrano problemi di connessione di rete, potrebbe essere necessario apportare alcune modifiche al sistema. Se si hanno più di 1.000 utenti, potrebbe essere necessario aumentare l'allocazione di memoria a NxFilter.
È possibile forzare la ricerca sicura da NxFilter. Abbiamo un'opzione di ricerca sicura su una politica.
Potresti voler escludere alcuni dei tuoi utenti dal filtraggio e dalla registrazione. Puoi aggiungere gli indirizzi IP dei client che desideri escludere dal filtraggio e dalla registrazione su DNS > Access Control > Bypass All.
Alcuni utenti desiderano installare NxFilter sul proprio controller di dominio Active Directory. È l'ideale se non si desidera avere un altro hardware o VM. Tuttavia, un controller di dominio di solito ha il proprio server DNS MS e questo causa un problema di collisione delle porte con NxFilter. La soluzione è aggiungere un altro IP sul controller di dominio e fare in modo che il server DNS MS ascolti solo un indirizzo IP e NxFilter ascolti su un altro indirizzo IP.
Ad esempio, se si desidera che NxFilter ascolti solo su 192.168.0.100, è necessario modificare il valore del parametro "listen_ip" nel file c:/nxfilter/conf/cfg.properties.
listen_ip = 192.168.0.100
NxFilter conta quotidianamente il numero di nomi utente, indirizzi IP dei client e richieste DNS. Se uno di essi supera il numero di utenti con licenza, qualsiasi utente o richiesta senza licenza apparirà bloccato nella visualizzazione del log. Tuttavia, poiché si tratta di una misura di avvertimento, questo blocco non avviene effettivamente dal lato dell'utente.
Il numero di richieste giornaliere consentite da NxFilter per un utente è 4.000 (se si dispone di una licenza per 100 utenti, è possibile effettuare 4000 x 100 richieste al giorno). Secondo le nostre statistiche, in un normale ambiente di ufficio o scolastico, un utente effettua fino a 1.500 richieste al giorno. Abbiamo aggiunto 2.500 richieste come ridondanza. Quindi, si arriva a 4.000 richieste al giorno per un utente. Per il conteggio delle richieste, contiamo solo le query DNS di tipo "A".
Contiamo il numero di richieste per la protezione della licenza e stai effettuando più richieste DNS rispetto al numero consentito dalla tua licenza. Leggi Come posso calcolare il numero di utenti per una licenza commerciale?
È possibile aumentare la dimensione della licenza esistente dopo l'acquisto. Quando si aggiungono altri utenti, è necessario pagare solo per il periodo rimanente della licenza. Supponiamo che si desideri aggiungere 100 utenti dopo aver utilizzato la licenza per 6 mesi, in tal caso sarà necessario pagare solo il 50% del nuovo acquisto. Per aggiungere altri utenti alla tua licenza, contattaci all'indirizzo 'support @ nxfilter.org'.
Questo perché ora hai un server di cache DNS nella tua rete. Prima di installare NxFilter, i tuoi utenti effettuavano ripetutamente query DNS su "google.com". Quando si utilizza un server DNS pubblico da Internet, ciò significa che i tuoi utenti inviano pacchetti UDP a qualche parte su Internet e attendono le seguenti risposte molte volte al giorno. Tuttavia, dopo aver installato NxFilter, una volta che una risposta DNS è stata memorizzata nella cache da NxFilter, i tuoi utenti riceveranno le loro risposte DNS direttamente da NxFilter. Quindi, non ci sarà alcuna latenza da un server DNS pubblico su Internet e i tuoi utenti sperimenteranno una connessione Internet più veloce.
Quando si esegue NxCloud, è necessario sapere prima chi è chi, poiché tutto deve appartenere a un operatore. Tuttavia, alcune persone desiderano consentire ai propri utenti di risolvere alcuni domini senza processo di autenticazione. In tal caso, è possibile eseguire 'Total Bypass' for a domain. When you whitelist a domain on admin GUI with Bypass Filtering and Bypass Logging flags, it becomes Total Bypass for the domain and it bypasses authentication also.
Sì, è possibile puntare NxFilter tramite il suo indirizzo IPv6. Tuttavia, abbiamo disabilitato il suo server socket sull'indirizzo IPv6 per impostazione predefinita. Questo perché se accettiamo richieste DNS sia su IPv4 che su IPv6, potrebbe essere necessario effettuare il login due volte quando si utilizza l'autenticazione. Per evitare tale confusione, si consiglia di non impostare nulla per il server DNS della rete IPv6. Gli utenti utilizzeranno il server DNS impostato per la rete IPv4.
Se si desidera comunque impostare NxFilter come server DNS per la rete IPv6, un approccio possibile è quello di utilizzare un indirizzo IPv4 su IPv6. Supponiamo che NxFilter sia in esecuzione su 192.168.0.100. In tal caso, è possibile utilizzare un indirizzo IPv6 come quello riportato di seguito per indicare il server:
::ffff:192.168.0.100
Se devi utilizzare un indirizzo IPv6 reale per NxFilter, imposta il valore di 'java.net.preferIPv4Stack' su 'false' in /nxfilter/bin/startup.sh.
java -Djava.net.preferIPv4Stack=false -Xmx1024m -cp $NX_HOME/nxd.jar:$NX_HOME//lib/*: nxd.Main
Alcuni utenti desiderano aggiornare NxFilter dalla versione 3 alla versione 4. In linea di massima non dovrebbero esserci problemi, ma poiché alcuni di essi utilizzano Shallalist, che non è supportato dalla v4, potrebbero avere un problema. Se si esegue l'aggiornamento dalla v3 alla v4 mantenendo l'opzione Shallalist, non sarà possibile avviare NxFilter. Pertanto, prima di eseguire l'aggiornamento è necessario passare a Jahaslist o a una delle altre opzioni di categorizzazione dei domini supportate dalla v4.
Se devi cambiarla manualmente in Jahaslist, puoi modificare il file /nxfilter/conf/cfg.properties. Cambia il valore di 'blacklist_type' in 5 come di seguito,
blacklist_type = 5
A partire dalla versione 4.3.3.7 di NxFilter, è possibile utilizzare le blocklist pubbliche disponibili su Internet per il filtraggio. Se si tratta di un file hosts o di un file contenente domini separati da caratteri di nuova riga, è possibile scaricarlo e unirlo automaticamente durante la notte su Classifier > Blocklist overnight automatically. To find out more, read Classifier > Blocklist
Potresti voler consentire l'accesso alla rete agli ospiti che visitano temporaneamente il tuo ufficio mentre il filtraggio e l'autenticazione sono abilitati. Con NxFilter, questa è un'operazione semplice poiché puoi avere più metodi di autenticazione contemporaneamente. Puoi creare un account ospite associando un intervallo di IP che copre l'intera rete del tuo ufficio. In base alle preferenze di autenticazione di NxFilter, l'associazione dell'intervallo IP viene effettuata per ultima. Se gli utenti effettuano il single sign-on tramite l'agente SSO di NxFilter o se hanno un'associazione IP singola, continueranno ad apparire con il proprio nome utente, mentre gli ospiti appariranno con l'account ospite creato.
Per ulteriori informazioni sulle preferenze di autenticazione di NxFilter, leggere Precedenza di autenticazione
È principalmente dovuto alle regole del tuo firewall. Devi aprire le porte TCP/80, TCP/443, UDP/123 in uscita per NxFilter.
A partire dalla versione 4.3.9.4, nella directory /nxfilter/bin è presente lo script "cachecon.sh". Per cancellare la cache in memoria,
cachecon.sh -m
Per cancellare la cache persistente,
cachecon.sh -p
È anche possibile eliminare la cache per un singolo dominio,
cachecon.sh -m google.com
cachecon.sh -p google.com
Se si desidera visualizzare le informazioni sulla cache corrente per un dominio,
cachecon.sh -s google.com
È anche possibile specificare il tipo di query. Se si tratta di una query MX,
cachecon.sh -s google.com 15
cachecon.sh -m google.com 15
In passato, quando gli utenti cercavano di accedere a un sito web prima di effettuare il login su NxFilter, venivano reindirizzati alla pagina di login di NxFilter. Tuttavia, da quando Google ha iniziato a imporre ai siti web l'implementazione del certificato SSL, in caso di reindirizzamento al login viene visualizzato un avviso SSL invece della pagina di login.
Per risolvere questo problema è possibile installare CxForward nel browser degli utenti. CxForward è un'estensione per Chrome/Edge. È possibile installarla dal Chrome Web Store o dal Microsoft Store. Per saperne di più, leggere CxForward per i blocchi su HTTPS