NxFilter Tutorial

ネットワーク全体のNxRelay

NxRelay は NxCloud の中継 DNS サーバです。NxRelay を使うと、NxCloud 上のユーザにプライベート IP を関連付けることができます。つまり、クラウドフィルタリングサービスからルーターの後ろにあるプライベートIPに基づいてポリシーを適用することができます。

NxFilter と一緒に NxRelay を実行することで、複数の支店のフィルタリングや Active Directory をクラウド上で統合することができます。これについては NxRelayとNxFilter パート

Globlist が NxRelay をサポートしていない。

どのように動作するか

NxRelay 自体が転送 DNS サーバです。NxCloud に問い合わせることでフィルタリングを行い、DNS クエリをローカル DNS サーバに転送することで DNS サーバとして動作します。をローカル DNS サーバに転送します。 NxRelayにとって、NxCloudは上流のDNSサーバーではない。むしろ、ポリシー・サーバーです。その上流サーバーは既存のDNSサーバーです。つまり、NxCloudへの接続が切れても、DNSに障害が発生することはありません。

次のように送信します。 START and PING signals. You can see if it's running on Logging > Agent Signal on NxCloud GUI.

Windowsにインストール

NxRelay の Windows 版インストーラを提供します。このインストーラは NxRelay を Windows のサービスとしてインストールし、GUI セットアッププログラムを実行します。

NxRelay サービスを手動で Windows にインストールする場合、

1.ZIP パッケージをダウンロードする。

2.解凍して c:/nxrelay

3. c:/nxrelay/conf/cfg.properties の設定パラメータを変更する。

CMDで


	cd c:/nxrelay/bin
	instsvc.bat
	net start NxRelay

Linuxへのインストール

NxRelay 用の DEB パッケージと RPM パッケージがあります。NxFilter と同様に NxRelay をインストールすることができます。詳しくは NxFilterのLinuxへのインストール.

ZIP パッケージを使って NxRelay をインストールする場合：

1.ZIPパッケージをダウンロードする。

2.それを /nxrelay.

コマンドラインで


	cd /nxrelay
	sudo chmod +x bin/*.sh
	sudo cp script/nxrelay.service /lib/systemd/system/nxrelay.service
	sudo systemctl enable nxrelay.service
	sudo systemctl start nxrelay.service

停止するには


	sudo systemctl stop nxrelay.service

起動する前に、/nxrelay/conf/cfg.properties の設定パラメータを変更する必要があります。

設定方法

NxCloud サーバの IP とユーザアカウントのログイントークンが必要です。設定パラメータは nxrelay/conf/cfg.propertiesファイルから読み取ります。

例えば


	server = 192.168.0.100
	token = BSYEB28O
	local_dns = 8.8.8.8,8.8.4.4
	local_domain = mydomain.local

これらの設定値が設定ファイルにある場合、NxCloud サーバの IP は 192.168.0.100、ログイントークンは 'BSYEB28O' です。ローカルDNSサーバまたは既存のDNSサーバは8.8.8.8と8.8.4.4です。フィルタリングをバイパスしたいドメインがある場合 local_domain'のカンマ区切りの値として追加できます。

設定ファイルを変更したら、/nxrelay/bin/test.sh を実行して設定値とサーバへの接続を確認します。その後、NxRelay を再起動し、ネットワークの唯一の DNS サーバーとして設定してください。

カンマ区切りで複数の NxCloud サーバー IP アドレスを追加できます。

/nxrelay/bin/test.sh を実行して、設定値と接続性を確認できます。

設定パラメータ

NxRelay は /nxrelay/conf/cfg.properties で以下のパラメータをサポートしています、

- server

NxCloud IP。

- token

ユーザのログイントークン。

- local_dns

実際のDNS解決を行うアップストリームDNSサーバまたはローカルDNSサーバ。DNSサーバが指定されていない場合 8.8.8.8および8.8.4.4を使用します。

- local_domain

フィルタリングをバイパスするドメイン。カンマ区切りで複数のドメインを追加できます。

- listen_ip

NxRelay が特定の IP アドレスをリッスンするように設定できます。

- block_redi_ip

NxRelay を特定の IP アドレスでリッスンするように設定できます。 Block Redirection IP NxCloud の。

- use_https_dns

DNS 解決のために DNS over HTTPS (DoH) を有効にできます。
ex) 0 = false, 1 = true

- https_dns_type

DNS over HTTPS サーバーを選択して、上流の DNS サービスとして使用できます。
ex) 1 = Cloudflare, 2 = Google, 3 = Custom DoH server

- https_dns_url

カスタム DoH サーバを選択する場合、'https_dns_url' パラメータを設定して URL を指定する必要があります。

- use_https_query

このオプションを有効にすると、NxRelay はポリシーの問い合わせを HTTPS で行います。
ex) 0 = false, 1 = true

- https_query_port

HTTPS 経由のポリシークエリでは、以下のものが使用されます。 TCP/443 at default but if you need to use another port you can change it here.

- query_cache_ttl

NxRelay はポリシーサーバからのクエリ結果を 300 秒間キャッシュします。0秒から3600秒の間でを設定できます。この値を大きくすると、ポリシーサーバへのトラフィックが減ります。しかし、フィルタリングポリシーの変更はキャッシュが切れた後に反映されます。
ex) 0 = bypass, 300 = 5 minutes, 1200 = 20 minutes

- a_query_only

このオプションを有効にすると、NxRelay は A, AAAA タイプのクエリのみをフィルタリングし、パフォーマンスが向上します。
ex) 0 = false, 1 = true

- run_mapper

NxRelay には NxMapper モジュールが統合されており、ドメインコントローラーにインストールすると Active Directory のログインユーザー名を送信します。

- radius_accounting_port

RADIUS アカウンティング要求を受信するポート。ここでは UDP/1813 at default.

- radius_shared_secret

Wi-Fi ルーターが NxRelay と通信するための共有秘密文字列。

- radius_enable_logout

アカウンティング要求のステータスタイプが 'Stop'.
ex) 0 = false, 1 = true

- use_radius

RADIUS アカウントサーバを実行する。
ex) 0 = false, 1 = true

- drop_blocked_request_type

NxRelay のリクエストタイプ制御を有効にする。でブロックされたリクエストタイプを設定できる。 DNS > Server Protection > Request Type Control .
ex) 0 = false, 1 = true

どのポリシーを適用するか

デフォルトでは、NxRelay は設定ファイルに指定されたログイン・トークンにリンクされたフィルタリング・ポリシーを適用する。これが NxRelay のデフォルトのポリシーです。ネットワーク内のユーザに複数のポリシーを適用したい場合は、優先IPを関連付けることができます、 NxCloud オペレータ GUI で作成したユーザに NxRelay が検出した優先 IP アドレスを関連付けることができます。また、NxRelay が検出した Windows ユーザ名を NxCloud で作成したポリシーに関連付けることもできます。

NxCloud の v4.7.1.3 以降では、NxRelay によって検出されたユーザーを、NxCloud 上のポリシーにリンクすることができます。 Policy > Policy > EDIT オペレータ GUI の

ユーティリティスクリプト

In /nxrelay/bin there are several utility scripts included.

startup.sh : Starting NxRelay
shutdown.sh : Stopping NxRelay
test.sh : Test the connectivity to NxCloud
ping.sh : Test if it is running

Windows 用の .bat バージョンのスクリプトがあります。

Windows 用にさらに 2 つあります、

instsvc.bat : Installing NxRelay service
unstsvc.bat : Uninstall NxRelay service

Ubuntu Linux用のsystemdスクリプトは/nxrelay/script/nxrelay.serviceです。

クラウド上でのActive Directoryの統合

NxRelay はクラウド上で Active Directory を統合することができます。NxRelay をインストールするとをインストールすると、ログインした AD ユーザ名を検出してサーバーに送信することができます。

Active Directory をクラウド上で統合するための条件です。

1.ドメインコントローラにNxRelayをインストールする。

NxRelay がログインしているユーザー名を検出するためには、NxRelay をドメインコントローラにインストールする必要があります。しかし既存の MS DNS サーバーとポートが衝突する可能性があります。その場合はサーバーに IP アドレスをもう一つ追加して、MS DNS サーバーをその IP アドレスに、NxRelay をもう一つの IP アドレスにバインドします。 IPアドレス

CxLogon または 802.1X WiFi 認証を使用する場合、NxRelay を別のサーバーにインストールできます。

2.Active Directory DNSサーバーをローカルDNSサーバーとして使用する。

Active Directoryでは、DNSは重要な役割を果たしています。ActiveDirect DNSサーバーをローカルDNSサーバーに設定する必要があります。 Local DNS of NxRelay and bypass your Active Directory domain as the Local Domain of NxRelay.

ただし、「クラウド経由でのActive Directoryの統合」は、ローカルネットワークで「Active Directoryの統合」を行う場合とは少し異なる。 NxFilter を使ってローカルネットワーク上で Active Directory を統合する場合とは少し異なります。NxCloud では Active Directory からのユーザーインポートをサポートしていません。つまり、まだ本格的なActive Directoryとの統合ではありません。しかし、Active Directory のユーザー名を 'tokenname_username' フォームで表示することはできます。で表示することができます。

例えば、Active Directory に 'john100' ユーザがいて、NxCloud 上で 'myrelay' ユーザのログイントークンを使って NxRelay を実行したとします。のログイントークンで NxRelay を実行すると、彼の DNS リクエストは Logging > DNS Request. そして、'john100'に対するデフォルトのポリシーは'myrelay'のポリシーになります。もし、'john100' に別のポリシーを適用したい場合は、完全に一致するユーザ名を作成するか、NxCloud オペレータ GUI で 'myrelay_john100' をポリシーにリンクします。

NxCloud の v4.7.1.3 以降では、NxRelay によって検出されたユーザを Policy > Policy > EDIT オペレータ GUI の

802.1X Wi-Fi認証によるユーザー検出

NxRelay には RADIUS アカウンティングサーバモジュールが統合されている。このモジュールは、802.1X Wi-Fi認証によるシングルサインオンのためにNxFilterで使用しているものと同じものです。 802.1X Wi-Fi 認証で使用するものと同じものです。NxRelay は検出したユーザ名を NxCloud に送信します。この仕組みを理解するには 802.1Xによるシングルサインオン

CxLogon によるユーザ検出

NxRelayはv2.6.4からCxLogonをサポートしています。これは、Active Directoryを使用せずに、ネットワーク上のPCのログインユーザ名を検出できることを意味します。を検出することができます。CxLogonの詳細については読む CxLogonによるシングルサインオン.

デフォルトでは、検出されたユーザ名が'tokenname_username'形式で表示されます。 NxCloud上で完全に一致するユーザ名を作成すると、ユーザ名がそのまま表示されます。ポリシーを割り当てることができます。これは、私たちがクラウド上でのActive Directory統合.

ドメインの一括バイパス

ポリシーの問い合わせからドメインを一括でバイパスすることで、NxCloudへのトラフィックを減らすことができます。ドメインを一括でバイパスするには、次のように作成する必要があります。 /nxrelay/conf/bypass.txtファイルを作成し、そこにドメインを追加します。アスタリスクを使用してサブドメインを含めることができます。ファイル内のドメインは、以下のように改行で区切る必要があります、


	www.jahastech.com
	mail.jahastech.com
	*.nxfilter.org

NxRelay と NxFilter

あなたは複数の支店を持つ会社に勤めているかもしれません。すべての支店を一元的にフィルタリングしたい。また、ローカルネットワークで NxFilter を使用するように、ユーザー認証とシングルサインオンを行いたい。しかし、NxCloud を自分だけが管理者として実行することは避けたい。ポリシーを変更するために各オペレータの GUI にログインしたくない。これらのことはすべて NxRelay と NxFilter でできます。

NxRelay を使うことで、NxFilter 上のユーザとルータの後ろにあるプライベート IP を関連付けることができます。また、ADユーザーをNxFilterにインポートし、各支社でNxRelayを実行してADユーザーを検出することもできます。 NxRelayは、Active Directoryを使わないシングルサインオンのためのCxLogonもサポートしています。また、802.1X Wi-Fi認証を実装することもできます。つまり、ローカルネットワークでNxFilterを実行するのとほとんど何も変わらないようなものだ。ただし、一つだけ条件がある。支社ごとに異なるIPレンジを使わなければならない。例えば、支店#1が192.168.0.0/24を使う場合、ブランチオフィス#2は192.168.0.1/24のような別のものを使わなければならない。これはIPの衝突を防ぐためである。

ドメイン再割り当て

NxRelay が動作しているローカルネットワークのドメインリダイレクトを設定したいかもしれません。ドメインリダイレクトを設定するには、/nxrelay/conf/redirection.txt ファイルを作成し、IP マップにドメインを追加します。 IPマップにドメインを追加します、


	router.mynet.local     192.168.0.1
	printer.mynet.local    192.168.0.10
	*.myorg.local          192.168.0.12
	wpad                   192.168.0.20
	wpad.mynet.local       192.168.0.1

リクエストタイプコントロール

NxRelay によって特定のタイプの DNS リクエストをブロックすることができます。NxRelayはNxFilterからリクエストタイプコントロールの設定を取得し、ブロックされたタイプのクエリを削除します。ドロップします。この機能を有効にするには、/nxrelay/conf で 'drop_blocked_request_type' を '1' に設定する必要があります。 /に '1' を設定する必要がある、

drop_blocked_request_type = 1

In this page