NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
NxRelay для всей сети
NxRelay - это ретранслирующий DNS-сервер для NxCloud. С помощью NxRelay вы можете связать частный IP с пользователем в NxCloud. Это означает, что вы можете применять политики на основе частных IP-адресов за маршрутизатором из облачной службы фильтрации.

Вы можете использовать NxRelay вместе с NxFilter для фильтрации нескольких филиалов или интеграции Active Directory через облако. Мы поговорим об этом на NxRelay и NxFilter часть.

Globlist не поддерживает NxRelay.

Как это работает
NxRelay сам по себе является перенаправляющим DNS-сервером. Он выполняет фильтрацию путем запроса к NxCloud и работает как DNS-сервер, перенаправляя DNS-запросы на ваш локальный DNS-сервер. Для NxRelay NxCloud не является его восходящим DNS-сервером. Скорее, это сервер политики. Его вышестоящий сервер - это ваш существующий DNS-сервер. Это означает, что даже если вы потеряете соединение с NxCloud, у вас не будет сбоя DNS.

Он отправляет START and PING signals. You can see if it's running on Logging > Agent Signal on NxCloud GUI.

Установка на Windows
Мы предоставляем программу установки NxRelay для Windows. Он установит NxRelay как службу Windows и запустит программу настройки GUI.

Если вам нужно установить службу NxRelay на Windows вручную,

1. Скачайте его ZIP-пакет

2. Распакуйте его в c:/nxrelay

3. Измените параметры его конфигурации в файле c:/nxrelay/conf/cfg.properties

На CMD, 


	cd c:/nxrelay/bin
	instsvc.bat
	net start NxRelay

Установка в Linux
У нас есть DEB и RPM пакеты для NxRelay. Вы можете установить NxRelay тем же способом, что и NxFilter. Чтобы узнать больше, прочитайте Установка NxFilter в Linux.

Когда вы устанавливаете NxRelay с помощью ZIP-пакета:

1. Скачайте его ZIP-пакет.

2. Распакуйте его в /nxrelay.

В командной строке, 


	cd /nxrelay
	sudo chmod +x bin/*.sh
	sudo cp script/nxrelay.service /lib/systemd/system/nxrelay.service
	sudo systemctl enable nxrelay.service
	sudo systemctl start nxrelay.service

Чтобы остановить его, 


	sudo systemctl stop nxrelay.service

Перед запуском необходимо изменить параметры конфигурации в файле /nxrelay/conf/cfg.properties.

Как его настроить
Вам нужен IP-адрес вашего сервера NxCloud и токен входа от одной из ваших учетных записей. Он считывает свои параметры конфигурации из файла /nxrelay/conf/cfg.properties.

Например, 


	server = 192.168.0.100
	token = BSYEB28O
	local_dns = 8.8.8.8,8.8.4.4
	local_domain = mydomain.local

При наличии этих значений в файле конфигурации IP-адрес вашего сервера NxCloud равен 192.168.0.100, токен для входа - 'BSYEB28O' а ваши локальные DNS-серверы или существующие DNS-серверы - 8.8.8.8 и 8.8.4.4. Если у вас есть несколько доменов, которые необходимо обойти фильтрацией вы можете добавить их в значение 'local_domain' через запятую.

После изменения конфигурационного файла проверьте значения конфигурации и соединение с сервером, выполнив команду /nxrelay/bin/test.sh. Затем перезапустите NxRelay и установите его в качестве единственного DNS-сервера в вашей сети.

Вы можете добавить несколько IP-адресов сервера NxCloud через запятую.

Вы можете проверить значения конфигурации и возможность подключения, запустив /nxrelay/bin/test.sh.

Параметры конфигурации
NxRelay поддерживает следующие параметры в /nxrelay/conf/cfg.properties,

- server

NxCloud IP.

- token

Логин-токен пользователя.

- local_dns

Восходящий DNS-сервер или локальный DNS-сервер, выполняющий фактическое DNS-разрешение. Если DNS-сервер не указан указанного здесь, мы используем 8.8.8.8 и 8.8.4.4.

- local_domain

Домены, которые будут исключены из фильтрации. Вы можете добавить несколько доменов через запятую.

- listen_ip

Вы можете заставить NxRelay слушать определенный IP-адрес.

- block_redi_ip

Вы можете переопределить Block Redirection IP NxCloud.

- use_https_dns

Вы можете включить DNS через HTTPS (DoH) для разрешения DNS.
    ex) 0 = false, 1 = true

- https_dns_type

Вы можете выбрать сервер DNS over HTTPS для использования в качестве восходящего DNS-сервиса.
    ex) 1 = Cloudflare, 2 = Google, 3 = Custom DoH server

- https_dns_url

При выборе пользовательского DoH-сервера, вы должны указать URL, задав параметр 'https_dns_url'.

- use_https_query

При включении этой опции NxRelay будет выполнять запросы политики по HTTPS.
    ex) 0 = false, 1 = true

- https_query_port

Запросы политики по HTTPS будут использовать TCP/443 at default but if you need to use another port you can change it here.

- query_cache_ttl

NxRelay имеет 300 секунд кэша для результата запроса от сервера политик. Вы можете установить число между 0 и 3600 секундами. Если вы увеличите значение, это уменьшит трафик на ваш сервер политики но изменения в политике фильтрации будут отражены после истечения срока действия кэша.
    ex) 0 = bypass, 300 = 5 minutes, 1200 = 20 minutes

- a_query_only

При включении этой опции NxRelay будет фильтровать только запросы типа A, AAAA, и производительность будет выше.
    ex) 0 = false, 1 = true

- run_mapper

NxRelay имеет интегрированный модуль NxMapper для отправки имени пользователя Active Directory, когда вы устанавливаете его на контроллер домена.

- radius_accounting_port

Порт, на который вы получаете запросы на учет RADIUS. Мы используем UDP/1813 at default.

- radius_shared_secret

Строка общего секрета для вашего Wi-Fi роутера для связи с NxRelay.

- radius_enable_logout

Уничтожить сеанс входа пользователя в систему, если тип состояния запроса учета 'Stop'.
    ex) 0 = false, 1 = true

- use_radius

Запустить сервер учетных записей RADIUS.
    ex) 0 = false, 1 = true

- drop_blocked_request_type

Включить контроль типов запросов на NxRelay. Вы можете установить заблокированные типы запросов на DNS > Server Protection > Request Type Control .
    ex) 0 = false, 1 = true

Какую политику применять
По умолчанию NxRelay применяет политику фильтрации, связанную с токеном входа, указанным в его конфигурационном файле. Это политика по умолчанию для NxRelay. Если вы хотите применить несколько политик для пользователей в вашей сети, вы можете связать приавтные IP-адреса, обнаруженные NxRelay, с пользователями, созданными в графическом интерфейсе оператора NxCloud. Вы также можете связать имена пользователей Windows имена пользователей, обнаруженные NxRelay, с политиками, созданными в NxCloud.

Начиная с версии 4.7.1.3 NxCloud, вы можете связать пользователей, обнаруженных NxRelay, с политиками на Policy > Policy > EDIT графического интерфейса оператора.

Утилитные скрипты
In /nxrelay/bin  there are several utility scripts included.

  • startup.sh : Starting NxRelay
  • shutdown.sh : Stopping NxRelay
  • test.sh : Test the connectivity to NxCloud
  • ping.sh : Test if it is running

У нас есть .bat версии этих скриптов для Windows.

Для Windows у нас есть еще 2 версии,

  • instsvc.bat : Installing NxRelay service
  • unstsvc.bat : Uninstall NxRelay service

Для Ubuntu Linux у нас есть systemd-скрипт /nxrelay/script/nxrelay.service.

Интеграция Active Directory через облако
Интеграция Active Directory через облако возможна с помощью NxRelay. Когда вы устанавливаете NxRelay на контроллере домена в Active Directory, он может обнаруживать и отправлять имена пользователей AD на свой сервер.

Это условия для ускорения интеграции Active Directory через облако.

1. Установите NxRelay на контроллер домена

Для того чтобы NxRelay мог обнаружить имя пользователя, необходимо установить его на контроллер домена. Однако, у вас может возникнуть проблема коллизии портов с существующим сервером MS DNS. В этом случае вы можете добавить еще один IP-адрес на вашем сервере и привязать ваш MS DNS-сервер к одному IP-адресу, а NxRelay - к другому. IP-адрес.

Вы можете установить NxRelay на другой сервер, если вы используете CxLogon или 802.1X WiFi аутентификацию.

2. Используйте DNS-сервер Active Directory в качестве локального DNS-сервера.

В Active Directory DNS играет важную роль. Чтобы ничего не нарушить в интеграции Active интеграции с Active Directory, вы должны установить ваш MS DNS сервер в качестве Local DNS of NxRelay and bypass your Active Directory domain as the Local Domain of NxRelay.

Однако "интеграция Active Directory через облако" немного отличается от того, когда интеграции Active Directory в локальной сети с помощью NxFilter. В NxCloud мы не поддерживаем импорт пользователей из Active Directory. Таким образом, это еще не полномасштабная интеграция с Active Directory. Он все еще может показывать имя пользователя Active Directory в форме 'tokenname_username' в журнале, чтобы вы могли узнать, кто есть кто.

Например, если у вас есть пользователь 'john100' в Active Directory и вы запускаете NxRelay с токеном входа пользователя 'myrelay' на NxCloud, его DNS-запросы будут отображаться как 'myrelay_john100' на Logging > DNS Request. И дефаутная политика для 'john100' будет политикой 'myrelay'. Если вы хотите применить другую политику к 'john100', вы можете создать точно соответствующее имя пользователя 'john100' на NxCloud или связать 'myrelay_john100' с политикой в графическом интерфейсе оператора NxCloud.

Начиная с версии 4.7.1.3 NxCloud, вы можете связать пользователей, обнаруженных NxRelay, с политиками на Policy > Policy > EDIT в графическом интерфейсе оператора.

Обнаружение пользователей с помощью 802.1X Wi-Fi аутентификации
NxRelay имеет встроенный модуль сервера учета RADIUS. Этот модуль аналогичен тому, который мы используем с NxFilter для однократного входа в систему 802.1X Wi-Fi аутентификации. NxRelay будет отправлять обнаруженные им имена пользователей в NxCloud. Чтобы понять, как это работает, прочитайте Единый вход по 802.1X

Обнаружение пользователя с помощью CxLogon
NxRelay поддерживает CxLogon начиная с версии 2.6.4. Это означает, что вы можете обнаружить имена пользователей, вошедших в систему на ПК в вашей сети без использования Active Directory. Чтобы узнать больше о CxLogon, читайте Единая авторизация с помощью CxLogon.

По умолчанию, он покажет вам обнаруженное имя пользователя в форме 'tokenname_username', но если вы если вы создадите точно соответствующее имя пользователя в NxCloud, он покажет вам имя пользователя как оно есть, и вы сможете назначить определенную политику для этого пользователя. Это то же правило, что и то, которое мы используем с Интеграция Active Directory через облако.

Массовый обход доменов
Вы можете уменьшить трафик на NxCloud, массово обходя домены из запросов политики. Для массового обхода доменов необходимо создать файл /nxrelay/conf/bypass.txt и добавить в него домены. Вы можете использовать звездочку для включения поддоменов. Домены в файле должны быть разделены новыми строками, как показано ниже, 


	www.jahastech.com
	mail.jahastech.com
	*.nxfilter.org

NxRelay и NxFilter
Возможно, вы работаете в компании, имеющей несколько филиалов. Вы хотите централизованно фильтровать все филиалы. Вы также хотите иметь аутентификацию пользователей и единый вход, как это делается с NxFilter в локальной сети. Однако вы не хотите запускать NxCloud в качестве единственного администратора. Вы не хотите входить в графический интерфейс каждого оператора для изменения политик. Все это можно сделать с помощью NxRelay и NxFilter.

С помощью NxRelay вы можете связать частные IP-адреса за маршрутизатором с вашими пользователями на NxFilter. Вы можете импортировать пользователей AD в NxFilter, а затем запустить NxRelay в каждом филиале для обнаружения имен пользователей AD. NxRelay также поддерживает CxLogon для однократной регистрации без Active Directory. И вы можете реализовать аутентификацию 802.1X Wi-Fi. Так что, казалось бы, почти ничего не отличается от работы NxFilter в локальной сети. Однако есть одно условие. Каждый филиал должен использовать свой диапазон IP-адресов. Например, если филиал №1 использует 192.168.0.0/24, филиал №2 должен использовать другой, например 192.168.0.1/24. Это необходимо для предотвращения IP-коллизий.

Повторное обращение к домену
Возможно, вы захотите установить перенаправление доменов для вашей локальной сети, в которой работает NxRelay. Чтобы установить перенаправления доменов, создайте файл /nxrelay/conf/redirection.txt и добавьте в него карту домена к IP, как показано ниже, 


	router.mynet.local     192.168.0.1
	printer.mynet.local    192.168.0.10
	*.myorg.local          192.168.0.12
	wpad                   192.168.0.20
	wpad.mynet.local       192.168.0.1

Контроль типа запроса
Вы можете блокировать определенные типы DNS-запросов с помощью NxRelay. Он будет получать настройки контроля типов запросов из NxFilter и отбрасывать блокированные типы запросов. Чтобы включить эту функцию, вам нужно установить 'drop_blocked_request_type' в '1' в /nxrelay/conf/cfg.properties, как показано ниже,

drop_blocked_request_type = 1