- Posso contornar o NxFilter acessando sites usando o endereço IP.
- Não obtém blocked/unblocked right away.
- Como posso forçar um usuário a ser filtrado pelo NxFilter?
- Como o NxFilter determina qual política aplicar a um usuário?
- Qual é a maneira mais rápida de bloquear o 'facebook.com'?
- Quero bloquear o 'facebook.com' apenas para meus alunos.
- Quero permitir que o departamento de vendas use a internet livremente na hora do almoço.
- Como altero a porta do servidor web do NxFilter?
- Como redefinir a senha de administrador?
- Posso vincular o NxFilter a um endereço IP específico?
- Como ignorar a filtragem do meu domínio local?
- Posso usar uma palavra-chave exata para pesquisa de log?
- Por que preciso fazer login novamente após o intervalo do almoço?
- Como aplico meu próprio certificado SSL?
- Como habilitar a depuração?
- Como exibir a página de bloqueio do NxFilter em HTTPS?
- Como ocultar o aviso SSL?
- Por que recebo o erro “Licença inválida”?
- Não vejo nenhum nome de usuário em Logging > DNS Request.
- Como configurar um fuso horário?
- Como forçar um usuário a sair?
- O que é o erro “Fila cheia”?
- Como bloquear pornografia nos resultados de pesquisa do Google e do Youtube?
- Posso ignorar um usuário específico da filtragem/registro?
- Posso instalar o NxFilter no meu controlador de domínio do Active Directory?
- Como calculo o número de usuários para uma licença comercial?
- O que é o erro 'Too many requests' error?
- Como adicionar mais usuários à minha licença?
- Minha conexão com a Internet fica mais rápida depois que instalo o NxFilter.
- Posso ignorar a autenticação pelo NxCloud?
- O NxFilter suporta IPv6?
- Como atualizá-lo da versão 3 para a versão 4?
- Como utilizo as listas de bloqueio públicas da Internet?
- Por que recebo um aviso SSL em vez da página de login?
- Como permito o acesso de convidados?
- Posso limpar o cache de resposta DNS no NxFilter sem reiniciá-lo?
Há pessoas que dizem que a filtragem DNS é inútil, pois podem acessar um site usando o endereço IP. Esse é um pensamento muito ingênuo e simplesmente falso. No ambiente atual da Internet, a maioria dos sites é executada em hosts virtuais. Isso significa que há vários sites em um único endereço IP. Você não pode acessar esses sites sem usar um domínio.
E outra coisa que você precisa levar em consideração é que há muitos URLs incorporados em uma página da web. Isso é especialmente verdadeiro quando se trata de um grande site portal. Esses URLs também são baseados em DNS. Se você tentar acessar um site bloqueado usando um endereço IP, na maioria dos casos, você obterá apenas uma página da web corrompida.
Isso ocorre principalmente devido ao cache DNS no seu sistema. Se você estiver em um sistema Windows, existem dois tipos de cache DNS. Um do seu navegador e outro do seu sistema operacional Windows. Antes que eles expirem, sua alteração de política para bloquear/desbloquear não funcionará. Ambos os caches expiram eventualmente, mas você pode querer limpá-los imediatamente. Se for um cache do navegador, você pode limpá-lo reiniciando o navegador.
Se você quiser limpar o cache DNS do Windows, use o seguinte comando no CMD.
ipconfig /flushdns
Normalmente, o cache DNS expira em no máximo um dia. É claro que isso depende do TTL de um registro DNS, mas geralmente não é maior que 86.400 segundos (1 dia). Quanto ao cache do navegador, pode levar vários minutos para expirar. No entanto, ele expirará eventualmente e sua política de filtragem estará funcionando. Portanto, no final das contas, isso não é um problema, pois você não precisa bloquear/desbloquear um site várias vezes ao dia.
Se você tiver um firewall em sua rede, é uma tarefa simples. Você só precisa bloquear o tráfego de saída UDP/53, TCP/53 traffic except from NxFilter. And then use DHCP to set up NxFilter to be the DNS server for your network. Now NxFilter becomes the only DNS server your users can use and their DNS setup to point NxFilter will be done automatically.
Se você é um administrador de sistemas experiente, talvez já esteja familiarizado com muitos dos recursos do NxFilter, pois eles são comuns em outras soluções de segurança de rede. No entanto, para aqueles menos experientes com essas tecnologias, o sistema de decisão de política do NxFilter pode não ser tão simples. Isso é particularmente verdadeiro para usuários de redes domésticas.
Para ler mais, https://forum.nxfilter.org/tips-tricks/2739-understanding-the-policy-application-system-of-nxfilter
Adicione '*.facebook.com' em Whitelist > Domain with Admin Block option.
Você precisa primeiro diferenciar seus alunos no NxFilter por autenticação. Em seguida, bloqueie Social Networking category on a policy when you use Jahaslist. Then assign the policy to the user or group associated to your students.
1. Crie um usuário ou um grupo para o seu departamento de vendas.
2. Defina free-time in Policy > Free Time for the lunchtime in your company.
3. Crie uma política que não bloqueie nada.
4. Atribua a política como política de tempo livre do usuário ou grupo.
Você pode alterar HTTP/HTTPS listening ports on NxFilter. However, when you change HTTP port you will lose your block page redirection. It is because when NxFilter redirects a user on HTTP, there needs to be something waiting for the browser on TCP/80 port.
Para alterar as portas, você precisa modificar esses dois parâmetros no arquivo /nxfilter/conf/cfg.properties.
https_port = 443
Após alterar as portas, reinicie o NxFilter.
Temos o script /nxfilter/bin/reset-pw.sh para redefinir a senha de administrador. Depois de executar o script, o nome e a senha de administrador serão redefinidos para “admin”. Você precisa executar o script enquanto o NxFilter estiver em execução.
Você pode querer vincular o NxFilter a um endereço IP específico para evitar problemas de colisão de portas. Você pode vincular o NxFilter a um endereço IP específico usando o parâmetro 'listen_ip' no arquivo /nxfilter/conf/cfg.properties. Se você defini-lo como '0.0.0.0', o NxFilter ouvirá todos os endereços IP do seu sistema, mas se você defini-lo como um endereço IP específico, o NxFilter ouvirá apenas o endereço IP especificado.
On DNS > SetupVocê pode definir seu servidor DNS local e domínio local. Com essa configuração, se houver consultas DNS para o seu domínio local, o NxFilter encaminhará as consultas para o seu servidor DNS local e ignorará a autenticação, a filtragem e o registro.
Você pode usar colchetes para correspondência exata na pesquisa de registro.
ex) [john], [192.168.0.1]
Sua sessão de login expirou. Se não houver atividade (consulta DNS) do seu PC por um determinado período, sua sessão de login expira. Você pode aumentar o valor para Login Session TTL on Sistema > Configuração.
Desde a versão 4.7.4.5, o NxFilter oferece suporte a arquivos PEM. Na maioria dos casos, você terá dois arquivos: seu-domínio.all.crt.pem e seu-domínio.key.pem. Copie esses arquivos para o diretório /nxfilter/conf/ e, em seguida, adicione as seguintes linhas ao arquivo /nxfilter/conf/cfg.properties:
pem_key_file = conf/your-domain.key.pem
Em seguida, reinicie o NxFilter para que as alterações tenham efeito.
Para usar seu próprio certificado SSL, você precisa de um arquivo Java KeyStore (JKS). Se você já tem um certificado no formato CRT, precisará convertê-lo para um arquivo JKS primeiro. Existem muitos recursos na internet sobre como criar um arquivo JKS ou converter um arquivo CRT em um.
Depois de obter seu arquivo JKS, copie-o para o diretório /nxfilter/conf/ e defina os dois parâmetros a seguir em /nxfilter/conf/cfg.properties:
keystore_pass = 123456
Em seguida, reinicie o NxFilter para que as alterações tenham efeito.
Quando há algo errado com o NxFilter, a primeira coisa que você pode fazer é descobrir o que está acontecendo exatamente com os dados do log do sistema. O NxFilter mantém os dados do log do sistema no diretório /nxfilter/log directory. If you need more detailed log data, enable debugging on /nxfilter/conf/log4j.properties. Change INFO to DEBUG inside the file and restart NxFilter.
Quando você é bloqueado no HTTPS, recebe uma página de aviso SSL em vez da página de bloqueio do NxFilter no seu navegador. Isso serve para impedir 'Man In The Middle' ataques. No entanto, muitas pessoas acham isso irritante e querem ver a página de bloqueio com um motivo adequado para o bloqueio.
A opção mais simples é ativar a opção Bloqueio Silencioso em System > Setup. Com essa opção ativada, o NxFilter não faz o redirecionamento de bloqueio. Portanto, não há página de bloqueio a ser exibida e também não há aviso SSL. Ele aparecerá como um problema de conexão ou uma falha de resolução de DNS no seu navegador.
Outra opção é usar o CxForward. O CxForward é uma extensão do Chrome/Edge que fornecemos. Ela ignorará o aviso SSL e encaminhará seu navegador para a página de bloqueio. Para saber mais, leia CxForward para bloqueios em HTTPS
A primeira coisa que você precisa verificar seria Enable Authentication option on System > Setup. Algumas pessoas não entendem que precisam habilitar a autenticação antes de implementar qualquer método de autenticação.
Alguns de nossos usuários relataram que têm um fuso horário diferente no NxFilter do sistema em que ele está sendo executado. Isso acontece principalmente no CentOS. Quando você precisar configurar um fuso horário para o NxFilter manualmente. Você pode fazer isso no nível da JVM. Em /nxfilter/bin/startup.sh, defina o seguinte parâmetro.
Você pode destruir a sessão de login do usuário em Usuário > Lista > Teste.
Você recebe o erro 'Queue full' error when NxFilter can't process the DNS requests in its job queue fast enough. It can happen when you lose the network connection to your upstream server or when you have too many requests for your system performance. If it is caused by a network connection problem it will go away after your connection restored.
Se você não tiver um problema de conexão de rede, talvez seja necessário fazer alguns ajustes no sistema. Se você tiver mais de 1.000 usuários, talvez seja necessário aumentar a alocação de memória para o NxFilter.
Você pode forçar a Pesquisa Segura a partir do NxFilter. Temos a opção Pesquisa Segura em uma política.
Você pode querer isentar alguns de seus usuários da filtragem e do registro. Você pode adicionar os endereços IP dos clientes que deseja isentar da filtragem e do registro em DNS > Access Control > Bypass All.
Algumas pessoas desejam instalar o NxFilter em seu controlador de domínio do Active Directory. Isso é ideal se você não deseja ter mais um hardware ou VM. No entanto, um controlador de domínio geralmente tem seu próprio servidor MS DNS, o que causa um problema de colisão de porta com o NxFilter. A solução é adicionar mais um IP ao seu controlador de domínio e fazer com que seu servidor MS DNS escute apenas um endereço IP e seu NxFilter escute outro endereço IP.
Por exemplo, se você deseja que o NxFilter escute apenas em 192.168.0.100, é necessário modificar o valor do parâmetro 'listen_ip' no arquivo c:/nxfilter/conf/cfg.properties.
listen_ip = 192.168.0.100
O NxFilter conta o número de nomes de usuário e endereços IP de clientes e solicitações DNS diariamente. Se um deles exceder o número de usuários licenciados, qualquer usuário ou solicitação não licenciada aparecerá bloqueada na sua visualização de log. No entanto, como se trata de uma medida de alerta, esse bloqueio não está realmente ocorrendo no lado do usuário.
O número diário de solicitações permitido pelo NxFilter para um usuário é 4.000 (se você tiver uma licença para 100 usuários, poderá fazer 4.000 x 100 solicitações por dia). De acordo com nossas estatísticas até o momento, em um ambiente comum de escritório ou escola, um usuário faz até 1.500 solicitações por dia. Adicionamos 2.500 solicitações como redundância. Portanto, são 4.000 solicitações por dia para um usuário. Para a contagem de solicitações, contamos apenas consultas DNS do tipo “A”.
Contamos o número de solicitações para proteção da licença e você está fazendo mais solicitações DNS do que o número permitido pela sua licença. Leia Como posso calcular o número de usuários para uma licença comercial?
Você pode aumentar o tamanho da sua licença existente após a compra. Ao adicionar mais usuários, você só precisa pagar pelo período restante da sua licença. Suponha que você queira adicionar 100 usuários após usar sua licença por 6 meses. Nesse caso, você só precisará pagar 50% do valor da nova compra. Para adicionar mais usuários à sua licença, entre em contato conosco pelo e-mail 'support @ nxfilter.org'.
Isso ocorre porque agora você tem um servidor de cache DNS na sua rede. Antes de instalar o NxFilter, seus usuários faziam consultas DNS ao 'google.com' repetidamente. Quando você usa um servidor DNS público da Internet, isso significa que seus usuários estão enviando pacotes UDP para algum lugar na Internet e aguardando as seguintes respostas muitas vezes ao dia. No entanto, depois de instalar o NxFilter, uma vez que uma resposta DNS tenha sido armazenada em cache pelo NxFilter, seus usuários receberão suas respostas DNS diretamente do NxFilter. Portanto, não haverá latência de um servidor DNS público na Internet e seus usuários terão uma conexão de Internet mais rápida.
Ao executar o NxCloud, você precisa saber quem é quem primeiro, pois tudo precisa pertencer a um operador. No entanto, algumas pessoas querem permitir que seus usuários resolvam alguns domínios sem o processo de autenticação. Nesse caso, você pode fazer 'Total Bypass' for a domain. When you whitelist a domain on admin GUI with Bypass Filtering and Bypass Logging flags, it becomes Total Bypass for the domain and it bypasses authentication also.
Sim, você pode apontar o NxFilter pelo seu endereço IPv6. No entanto, desativamos seu servidor de soquete no endereço IPv6 por padrão. Isso porque, se aceitarmos solicitações DNS tanto em IPv4 quanto em IPv6, você poderá precisar fazer login duas vezes ao usar a autenticação. Para evitar essa confusão, recomendamos que você não defina nada para o servidor DNS da sua rede IPv6. Seus usuários usarão o servidor DNS definido para sua rede IPv4.
Se você ainda quiser definir o NxFilter como o servidor DNS para sua rede IPv6, uma abordagem possível é usar um endereço IPv4 sobre IPv6. Suponha que seu NxFilter esteja sendo executado em 192.168.0.100. Então, você pode usar um endereço IPv6 como abaixo para apontar o servidor,
::ffff:192.168.0.100
Se você precisar usar um endereço IPv6 real para o NxFilter, defina o valor de 'java.net.preferIPv4Stack' como 'false' em /nxfilter/bin/startup.sh.
java -Djava.net.preferIPv4Stack=false -Xmx1024m -cp $NX_HOME/nxd.jar:$NX_HOME//lib/*: nxd.Main
Existem alguns usuários que desejam atualizar seu NxFilter v3 para v4. Basicamente, não deve haver nenhum problema com isso, mas como alguns deles estão usando o Shallalist, que não é compatível com a v4, eles podem ter um problema. Se você atualizar da v3 para a v4 mantendo a opção Shallalist, não será possível iniciar o NxFilter. Portanto, você deve alterá-lo para Jahaslist ou uma das outras opções de categorização de domínio compatíveis com a versão 4 antes de atualizá-lo.
Se você precisar alterá-lo para Jahaslist manualmente, poderá modificar o arquivo /nxfilter/conf/cfg.properties. Altere o valor de 'blacklist_type' para 5, conforme abaixo:
blacklist_type = 5
A partir da versão 4.3.3.7 do NxFilter, você pode usar as listas de bloqueio públicas da Internet para filtragem. Se for um arquivo hosts ou um arquivo contendo domínios separados por novas linhas, você pode baixá-lo e mesclá-lo em Classifier > Blocklist overnight automatically. To find out more, read Classifier > Blocklist
Você pode querer permitir o acesso à rede para os convidados que visitam seu escritório temporariamente enquanto a filtragem e a autenticação estão ativadas. Com o NxFilter, essa é uma tarefa simples, pois você pode ter vários métodos de autenticação ao mesmo tempo. Você pode criar uma conta de convidado associando um intervalo de IP que cubra toda a rede do seu escritório. De acordo com a preferência de autenticação do NxFilter, a associação do intervalo de IP vem por último. Se seus usuários fizerem login único pelo agente SSO do NxFilter ou se tiverem associação de IP único, eles ainda aparecerão com seu próprio nome de usuário, enquanto seus convidados aparecerão com a conta de convidado que você criou.
Para saber mais sobre a preferência de autenticação do NxFilter, leia Precedência de autenticação
Isso ocorre principalmente devido às regras do seu firewall. Você precisa abrir as portas TCP/80, TCP/443 e UDP/123 de saída para o NxFilter.
Desde a versão 4.3.9.4, temos o script “cachecon.sh” no diretório /nxfilter/bin. Para limpar o cache na memória,
cachecon.sh -m
Para limpar o cache persistente,
cachecon.sh -p
Você também pode excluir o cache de um único domínio,
cachecon.sh -m google.com
cachecon.sh -p google.com
Se quiser visualizar as informações atuais do cache de um domínio,
cachecon.sh -s google.com
Você também pode especificar o tipo de consulta. Se for para consulta MX,
cachecon.sh -s google.com 15
cachecon.sh -m google.com 15
Antigamente, quando seus usuários tentavam acessar um site antes de fazer login no NxFilter, eles eram redirecionados para a página de login do NxFilter. No entanto, desde que o Google começou a exigir que os sites implementassem o certificado SSL, você recebe um aviso SSL em vez da página de login quando há um redirecionamento de login.
Para resolver esse problema, você pode instalar o CxForward no navegador dos usuários. O CxForward é uma extensão do Chrome/Edge. Você pode instalá-lo na Chrome Web Store ou na Microsoft Store. Para saber mais, leia CxForward para bloqueios em HTTPS