NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
NxRelay para toda a rede
NxRelay é um servidor DNS de retransmissão para a NxCloud. Com o NxRelay, você pode associar um IP privado a um usuário no NxCloud. Isso significa que você pode aplicar políticas com base em IPs privados atrás de um roteador do seu serviço de filtragem de nuvem.

Você pode executar o NxRelay com o NxFilter para filtrar várias filiais ou integrar o Active Directory na nuvem. Falaremos sobre isso em NxRelay e NxFilter parte.

Globlist não suporta NxRelay.

Como funciona
O NxRelay em si é um servidor DNS de encaminhamento. Ele faz a filtragem consultando o NxCloud e funciona como um servidor DNS encaminhando as consultas DNS para seu servidor DNS local. Para o NxRelay, o NxCloud não é seu servidor DNS upstream. Em vez disso, ele é um servidor de políticas. Seu servidor upstream é o seu servidor DNS existente. Isso significa que, mesmo que você perca a conexão com o NxCloud, não haverá uma falha de DNS.

Ele envia START and PING signals. You can see if it's running on Logging > Agent Signal on NxCloud GUI.

Instalando no Windows
Fornecemos um instalador do Windows para o NxRelay. Ele instalará o NxRelay como um serviço do Windows e executará o programa de configuração da GUI.

Se você precisar instalar o serviço NxRelay no Windows manualmente,

1. Faça o download do pacote ZIP

2. Extraia-o para c:/nxrelay

3. modifique seus parâmetros de configuração em c:/nxrelay/conf/cfg.properties

No CMD, 


	cd c:/nxrelay/bin
	instsvc.bat
	net start NxRelay

Instalando no Linux
Temos pacotes DEB e RPM disponíveis para o NxRelay. Você pode instalar o NxRelay da mesma forma que o NxFilter. Para saber mais, leia Instalar o NxFilter no Linux.

Quando você instala o NxRelay usando o pacote ZIP:

1. Faça o download do pacote ZIP.

2. Extraia-o para /nxrelay.

Na linha de comando, 


	cd /nxrelay
	sudo chmod +x bin/*.sh
	sudo cp script/nxrelay.service /lib/systemd/system/nxrelay.service
	sudo systemctl enable nxrelay.service
	sudo systemctl start nxrelay.service

Para interrompê-lo, 


	sudo systemctl stop nxrelay.service

Antes de iniciá-lo, é necessário modificar seus parâmetros de configuração em /nxrelay/conf/cfg.properties.

Como configurá-lo
Você precisa do IP do servidor NxCloud e de um token de login de uma das suas contas de usuário. Ele lê seus parâmetros de configuração do arquivo /nxrelay/conf/cfg.properties.

Por exemplo, 


	server = 192.168.0.100
	token = BSYEB28O
	local_dns = 8.8.8.8,8.8.4.4
	local_domain = mydomain.local

Quando você tem esses valores de configuração no arquivo de configuração, o IP do servidor NxCloud é 192.168.0.100 e o token de login é "BSYEB28O e seus servidores DNS locais ou servidores DNS existentes são 8.8.8.8 e 8.8.4.4. Se você tiver alguns domínios para ignorar da filtragem poderá adicioná-los como um valor separado por vírgulas de "local_domain".

Depois de modificar o arquivo de configuração, verifique os valores de configuração e a conectividade com o servidor executando /nxrelay/bin/test.sh. Em seguida, reinicie o NxRelay e defina-o como o único servidor DNS da sua rede.

Você pode adicionar vários endereços IP do servidor NxCloud separados por vírgulas.

Você pode verificar seus valores de configuração e a conectividade executando /nxrelay/bin/test.sh.

Parâmetros de configuração
O NxRelay suporta os seguintes parâmetros em /nxrelay/conf/cfg.properties,

- server

IP do NxCloud.

- token

Token de login de um usuário.

- local_dns

Servidor DNS upstream ou servidor DNS local que faz a resolução real do DNS. Se não houver um servidor DNS especificado aqui, usaremos 8.8.8.8 e 8.8.4.4.

- local_domain

Domínios a serem ignorados da filtragem. Você pode adicionar vários domínios separados por vírgulas.

- listen_ip

Você pode fazer com que o NxRelay escute em um endereço IP específico.

- block_redi_ip

Você pode substituir Block Redirection IP do NxCloud.

- use_https_dns

Você pode ativar o DNS sobre HTTPS (DoH) para resolução de DNS.
    ex) 0 = false, 1 = true

- https_dns_type

Você pode selecionar um servidor DNS sobre HTTPS para usar como serviço DNS upstream.
    ex) 1 = Cloudflare, 2 = Google, 3 = Custom DoH server

- https_dns_url

Ao optar por um servidor DoH personalizado, você deve especificar o URL definindo o parâmetro "https_dns_url".

- use_https_query

Com essa opção ativada, o NxRelay fará suas consultas de política por HTTPS.
    ex) 0 = false, 1 = true

- https_query_port

As consultas de política por HTTPS usarão TCP/443 at default but if you need to use another port you can change it here.

- query_cache_ttl

O NxRelay tem 300 segundos de cache para um resultado de consulta de seu servidor de políticas. Você pode definir um número entre 0 e 3600 segundos. Se você aumentar o valor, isso reduzirá o tráfego para o servidor de políticas mas a alteração da política de filtragem será refletida após a expiração do cache.
    ex) 0 = bypass, 300 = 5 minutes, 1200 = 20 minutes

- a_query_only

Com essa opção ativada, o NxRelay filtrará somente os tipos de consulta A, AAAA e você terá melhor desempenho.
    ex) 0 = false, 1 = true

- run_mapper

O NxRelay tem um módulo NxMapper integrado para enviar o nome de usuário de login do Active Directory quando você o instala em um controlador de domínio.

- radius_accounting_port

A porta para a qual você recebe solicitações de contabilidade RADIUS. Usamos UDP/1813 at default.

- radius_shared_secret

Sequência de segredo compartilhado para o roteador Wi-Fi se comunicar com o NxRelay.

- radius_enable_logout

Destrói a sessão de login do usuário quando o tipo de status de uma solicitação de contabilidade é 'Stop'.
    ex) 0 = false, 1 = true

- use_radius

Executa o servidor de contas RADIUS.
    ex) 0 = false, 1 = true

- drop_blocked_request_type

Habilita o controle do tipo de solicitação no NxRelay. Você pode definir tipos de solicitação bloqueados em DNS > Server Protection > Request Type Control .
    ex) 0 = false, 1 = true

Qual política aplicar
Por padrão, o NxRelay aplica a política de filtragem vinculada ao token de login especificado em seu arquivo de configuração. Essa é a política padrão do NxRelay. Se quiser aplicar várias políticas para os usuários da sua rede, você poderá associar os IPs privados detectados pelo NxRelay aos usuários que criou na GUI do operador do NxCloud. Você também pode vincular os nomes de usuário do Windows detectados pelo NxRelay às políticas que você criou no NxCloud.

A partir da versão 4.7.1.3 do NxCloud, é possível vincular os usuários detectados pelo NxRelay às políticas do NxCloud. Policy > Policy > EDIT da GUI do operador.

Scripts de utilitários
In /nxrelay/bin  there are several utility scripts included.

  • startup.sh : Starting NxRelay
  • shutdown.sh : Stopping NxRelay
  • test.sh : Test the connectivity to NxCloud
  • ping.sh : Test if it is running

Temos versões .bat desses scripts para Windows.

Para Windows, temos mais 2,

  • instsvc.bat : Installing NxRelay service
  • unstsvc.bat : Uninstall NxRelay service

Para o Ubuntu Linux, temos um script systemd que é /nxrelay/script/nxrelay.service.

Integração do Active Directory na nuvem
A integração do Active Directory na nuvem é possível com o NxRelay. Quando você instala o NxRelay em um controlador de domínio no seu Active Directory, ele pode detectar e enviar nomes de usuário do AD conectados ao seu servidor.

Estas são as condições para impulsionar a integração do Active Directory na nuvem.

1. instalar o NxRelay em um controlador de domínio

Para que o NxRelay detecte o nome de usuário conectado, é necessário instalá-lo em um controlador de domínio. No entanto, você pode ter um problema de colisão de portas com seu servidor MS DNS existente. Nesse caso, você pode Nesse caso, você pode adicionar mais um endereço IP em seu servidor e vincular seu servidor MS DNS a um endereço IP e o NxRelay ao outro endereço IP. Endereço IP.

Você pode instalar o NxRelay em outro servidor quando usar a autenticação CxLogon ou 802.1X WiFi.

2. Use o servidor DNS do Active Directory como servidor DNS local

No Active Directory, o DNS desempenha um papel crucial. Para não quebrar nada em sua integração com o Active Directory, você deve configurar o servidor DNS do MS para ser o servidor DNS local. Local DNS of NxRelay and bypass your Active Directory domain as the Local Domain of NxRelay.

Entretanto, a "integração do Active Directory na nuvem" é um pouco diferente de quando integração do Active Directory" em sua rede local com o NxFilter. No NxCloud, não oferecemos suporte à importação de usuários do Active Directory. Portanto, ainda não é uma integração do Active Directory em escala total. Ele ainda pode mostrar o nome de usuário do Active Directory no formato "tokenname_username na sua visualização de registro, para que você possa descobrir quem é quem.

Por exemplo, se você tiver o usuário 'john100' no Active Directory e executar o NxRelay com o token de login do usuário 'myrelay' na NxCloud, suas solicitações de DNS aparecerão como 'myrelay_john100' em Logging > DNS Request. E a política padrão para "john100" seria a política de "myrelay". Se você quiser aplicar uma política diferente a "john100", poderá criar o nome de usuário correspondente exato que é "john100" no NxCloud ou vincular "myrelay_john100" a uma política na GUI do operador do NxCloud.

A partir da versão 4.7.1.3 do NxCloud, é possível vincular os usuários detectados pelo NxRelay a políticas no Policy > Policy > EDIT da GUI do operador.

Detecção de usuários por autenticação Wi-Fi 802.1X
O NxRelay tem um módulo de servidor de contabilidade RADIUS integrado. Esse módulo é o mesmo que usamos com o NxFilter para login único por autenticação Wi-Fi 802.1X. O NxRelay enviará os nomes de usuário detectados para o NxCloud. Para entender como ele funciona, leia Logon único por 802.1X

Detecção de usuário por CxLogon
O NxRelay suporta o CxLogon desde a versão 2.6.4. Isso significa que você pode detectar os nomes de usuário conectados nos PCs da sua rede sem o Active Directory. rede sem o Active Directory. Para saber mais sobre o CxLogon, leia Logon único pelo CxLogon.

Por padrão, ele mostrará o nome de usuário detectado como no formulário "tokenname_username", mas se você criar o nome de usuário correspondente exato no NxCloud, ele mostrará o nome de usuário como ele é e você poderá atribuir uma política específica ao usuário. política específica para o usuário. Essa é a mesma regra que usamos com Integração do Active Directory na nuvem.

Ignorando domínios em massa
Você pode reduzir o tráfego para a NxCloud ignorando domínios de consultas de políticas em massa. Para ignorar domínios em massa, você precisa criar /nxrelay/conf/bypass.txt e adicionar domínios ao arquivo. Você pode usar um asterisco para incluir subdomínios. Os domínios no arquivo devem ser separados por novas linhas, como abaixo, 


	www.jahastech.com
	mail.jahastech.com
	*.nxfilter.org

NxRelay e NxFilter
Você pode trabalhar em uma empresa com várias filiais. Você deseja filtrar todas as filiais de forma centralizada. Também deseja ter autenticação de usuário e logon único, como faz com o NxFilter em uma rede local. No entanto, você não quer executar o NxCloud como se fosse o único administrador. Você não quer fazer login na GUI de cada operador para alterar as políticas. Você pode fazer todas essas coisas com o NxRelay e o NxFilter.

Com o NxRelay, você pode associar IPs privados atrás de um roteador aos seus usuários no NxFilter. Além disso, é possível importar usuários do AD para o NxFilter e, em seguida, executar o NxRelay em cada filial para detectar nomes de usuário do AD. O NxRelay também é compatível com o CxLogon para logon único sem o Active Directory. E você pode implementar a autenticação Wi-Fi 802.1X. Portanto, parece que não há quase nada diferente da execução do NxFilter em uma rede local. No entanto, há uma condição. Cada filial deve usar um intervalo de IP diferente. Por exemplo, se a Filial nº 1 usar 192.168.0.0/24, a Filial nº 2 deverá usar um intervalo diferente, como 192.168.0.1/24. Isso serve para evitar colisões de IP.

Redirecionamento de domínio
Talvez você queira definir redirecionamentos de domínio para a rede local que está executando o NxRelay. Para definir redirecionamentos de domínio, crie o arquivo /nxrelay/conf/redirection.txt e adicione o domínio ao mapa de IP no arquivo, como abaixo, 


	router.mynet.local     192.168.0.1
	printer.mynet.local    192.168.0.10
	*.myorg.local          192.168.0.12
	wpad                   192.168.0.20
	wpad.mynet.local       192.168.0.1

Controle do tipo de solicitação
Você pode bloquear determinados tipos de solicitações de DNS pelo NxRelay. Ele buscará as configurações de controle do tipo de solicitação do NxFilter e eliminará as consultas do tipo bloqueado. Para ativar esse recurso, você precisa definir "drop_blocked_request_type" como "1" em /nxrelay/conf/cfg.properties como abaixo,

drop_blocked_request_type = 1