NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
NxFilter в качестве DNS-сервера
NxFilter - это, по сути, перенаправляющий, кэширующий DNS-сервер с возможностью фильтрации. Вы также можете использовать его в качестве авторитетного DNS-сервера.

Авторитетный DNS-сервер
NxFilter может работать в качестве авторитетного DNS-сервера.

1. Zone File

Мы используем тот же формат файла зоны, что и BIND. Вы создаете файл зоны для домена на DNS > Zone File. Вы можете добавить свои хосты в зону DNS, отредактировав ее в графическом интерфейсе.

2. Clustering

Когда вы создаете кластер NxFilter, ваши ведомые узлы также будут работать в качестве авторитетного DNS-сервера с настройками от главного узла. Вам не нужно настраивать вторичный DNS-сервер для резервирования. Он уже объединен в кластер.

Запустить через интернет
Поскольку NxFilter - это DNS-фильтр с аутентификацией, при использовании его в качестве авторитарного DNS-сервера есть несколько вещей, о которых вам нужно подумать.

- Аутентификация

Вы должны включить аутентификацию, особенно когда вы размещаете NxFilter в Интернете, чтобы избежать чтобы не стать мишенью для DNS-атак. Но проблема в том, что если вы включите аутентификацию, DNS-запросы к вашим доменам от анонимных пользователей будут перенаправляться на страницу регистрации NxFilter. Чтобы разрешить анонимные DNS-запросы к вашему домену, необходимо обойти аутентификацию для домена.

- Фильтрация

Будучи DNS-фильтром, NxFilter может по какой-то причине заблокировать ваш домен. Это приведет к сбою в разрешении вашего домена. Чтобы избежать подобных проблем, вам необходимо обойти фильтрацию для вашего домена.

- Слишком много данных журнала

В результате DNS-атаки на ваш домен может быть записано слишком много журнальных данных. Возможно, лучше обойти протоколирование для вашего домена.

Вы можете создать белый список для вашего домена с необходимыми опциями обхода, но вы также можете сделать это с помощью файлами зон, которые вы создали в GUI, так как они имеют опции обхода.

Когда вы подвергаетесь DNS атакам
Когда вы ставите NxFilter на облако, оно может быть подвержено DNS-атакам. Как только вы подвергнетесь DNS-атакам у вас будет огромный трафик на ваш сервер. Ваш NxFilter не сможет справиться со всем трафиком, и в итоге он будет выглядеть как почти мертвым, и вы получите журналы ошибок о 'Queue full'.

Чтобы избежать подобных проблем, лучше всего скрыть свой DNS-сервер и не отвечать на запросы злоумышленников. Чтобы скрыть ваш NxFilter от этих злоумышленников, вы можете включить аутентификацию. NxFilter будет отвечать на DNS-запросы от неизвестных пользователей со своим IP-адресом Block Rediretion.

Однако они все равно могут подумать, что существует DNS-сервер для атаки, так как они все равно получат ответ. Чтобы полностью скрыть это от этих злоумышленников, нам нужно отбрасывать пакеты от этих неизвестных пользователей молча. Для этого вы можете включить опцию 'Disable Login Redirection' на System > Setup и NxFilter будет отбрасывать пакеты от этих злоумышленников.

Чтобы узнать больше о мерах по предотвращению DNS-атак, прочитайте Предотвращение DNS-атак.
Запуск локального рекурсивного сервера
Вы можете захотеть запустить локальный рекурсивный DNS-сервер, такой как MaraDNS или Unbound, на той же машине, на которой вы запускаете NxFilter. Некоторые люди хотят сделать это для ускорения работы, а некоторые - для того, чтобы скрыть себя от публичных DNS-серверов или интернет-цензуры.

Когда вы запускаете локальный рекурсивный DNS-сервер, может возникнуть проблема с коллизией портов. Поэтому вам нужно изменить номер порта вашего рекурсивного DNS-сервера. После того как вы измените номер порта на нестандартный, например 5353, вы можете указать номер порта для Upstream DNS Server на DNS > Setup используя двоеточие, как показано ниже.

    ex) 127.0.0.1:5353

Вы можете указать номер порта для параметра Upstream DNS Server на DNS > Setup начиная с версии 4.3.9.1 NxFilter и NxCloud.