NxFilter como um servidor DNS
O NxFilter é basicamente um servidor DNS de encaminhamento e armazenamento em cache com capacidade de filtragem. Você também pode usá-lo
como um servidor DNS autoritativo.
Servidor DNS autoritativo
O NxFilter pode estar funcionando como um servidor DNS autoritativo.
1. Zone File
Usamos o mesmo formato de arquivo de zona que o BIND. Você cria um arquivo de zona para um domínio em DNS > Zone File.
Você pode adicionar seus hosts à zona DNS editando-a na GUI.
2. Clustering
Quando você constrói um cluster do NxFilter, os nós escravos também trabalharão como um servidor DNS autoritativo
com as configurações do nó mestre. Não é necessário configurar um servidor DNS secundário para redundância.
Ele já está em um cluster.
Execute-o na Internet
Como o NxFilter é um filtro de DNS com autenticação, quando você o usa como um servidor de DNS autoritativo
autoritativo, há várias coisas que você precisa considerar.
- Autenticação
Você deve ativar a autenticação, especialmente quando colocar o NxFilter na Internet para evitar ser alvo de ataques de DNS.
ser alvo de um ataque de DNS. Mas o problema é que, se você ativar a autenticação,
as consultas de DNS para seus domínios de usuários anônimos serão redirecionadas para a página de login do NxFilter.
Para permitir as consultas anônimas de DNS contra o seu domínio, é necessário ignorar a autenticação do domínio.
- Filtragem
Por ser um filtro de DNS, o NxFilter pode bloquear seu domínio por algum motivo. Isso levará
a uma falha na resolução de seu próprio domínio. Para evitar esse tipo de problema,
você precisa ignorar a filtragem do seu domínio.
- Muitos dados de registro
Você pode ter muitos dados de registro para o seu domínio como resultado de um ataque de DNS. Talvez seja melhor ignorar o registro
o registro em log do seu domínio.
Quando você estiver sofrendo ataques de DNS
Quando você coloca o NxFilter na nuvem, ele pode sofrer ataques de DNS. Quando você estiver sob ataques de DNS
você terá um tráfego enorme para o seu servidor. Seu NxFilter não conseguirá lidar com todo o tráfego e, em algum momento, ele parecerá quase
morto e você receberá registros de erro sobre "Queue full" (Fila cheia).
Para evitar esse tipo de problema, o melhor a fazer é ocultar seu servidor DNS e não responder a esses invasores.
Para ocultar o NxFilter desses invasores, primeiro você pode ativar a autenticação. O NxFilter responderá às consultas de DNS
de usuários desconhecidos com seu IP de redirecionamento de bloqueio.
No entanto, eles ainda podem pensar que há um servidor DNS para atacar, pois recebem a resposta de qualquer forma. Para ocultá-lo completamente desses atacantes,
precisamos descartar silenciosamente os pacotes desses usuários desconhecidos. Para isso, você pode ativar a opção "Disable Login Redirection" (Desativar redirecionamento de login)
em System > Setup e o NxFilter eliminará os pacotes desses invasores.
Executando um servidor recursivo local
Talvez você queira executar um servidor DNS recursivo local, como o MaraDNS ou o Unbound, na mesma máquina em que executa o NxFilter.
Algumas pessoas querem fazer isso para acelerar o processo e outras querem fazer isso para se esconderem
de servidores DNS públicos ou da censura da Internet.
Quando você executa um servidor DNS recursivo local, pode haver um problema de colisão de portas.
Portanto, você precisa alterar o número da porta do seu servidor DNS recursivo. Depois de alterar o número da porta para
um não padrão, como 5353, você pode especificar o número da porta do servidor DNS upstream em DNS > Setup usando
dois pontos, como abaixo.
ex) 127.0.0.1:5353
