- Я могу обойти NxFilter, получая доступ к веб-сайтам по IP-адресу.
- Он не получает blocked/unblocked right away.
- Как заставить пользователя проходить фильтрацию NxFilter?
- Как NxFilter определяет, какую политику применять к пользователю?
- Каков самый быстрый способ заблокировать «facebook.com»?
- Я хочу заблокировать «facebook.com» только для своих студентов.
- Я хочу разрешить отделу продаж свободно пользоваться Интернетом в обеденное время.
- Как изменить порт веб-сервера NxFilter?
- Как сбросить пароль администратора?
- Можно ли привязать NxFilter к определенному IP-адресу?
- Как обойти фильтрацию для моего локального домена?
- Можно ли использовать точное совпадение ключевого слова для поиска в журнале?
- Почему после обеденного перерыва нужно повторно входить в систему?
- Как применить собственный SSL-сертификат?
- Как включить отладку?
- Как отобразить страницу блокировки NxFilter в HTTPS?
- Как скрыть предупреждение SSL?
- Почему появляется ошибка «Недопустимая лицензия»?
- Я не вижу никаких имен пользователей на Logging > DNS Request.
- Как настроить часовой пояс?
- Как заставить пользователя выйти из системы?
- Что такое ошибка «Очередь переполнена»?
- Как заблокировать порнографию в результатах поиска Google и Youtube?
- Можно ли обойти фильтрацию/регистрацию для конкретного пользователя?
- Можно ли установить NxFilter на контроллере домена Active Directory?
- Как рассчитать количество пользователей для коммерческой лицензии?
- Что такое ошибка 'Too many requests' error?
- Как добавить больше пользователей к моей лицензии?
- Мое интернет-соединение стало быстрее после установки NxFilter.
- Можно ли обойти аутентификацию NxCloud?
- Поддерживает ли NxFilter IPv6?
- Как обновить его с v3 до v4?
- Как использовать публичные списки блокировки из Интернета?
- Почему я получаю предупреждение SSL вместо страницы входа?
- Как разрешить гостевой доступ?
- Могу ли я очистить кэш ответов DNS в NxFilter без перезапуска?
Некоторые люди считают, что DNS-фильтрация бесполезна, поскольку они могут получить доступ к веб-сайту по IP-адресу. Это очень наивное мнение, которое просто не соответствует действительности. В современной интернет-среде большинство веб-сайтов работают на виртуальных хостах. Это означает, что на одном IP-адресе находится несколько веб-сайтов. Вы не сможете получить доступ к этим веб-сайтам без использования домена.
И еще одна вещь, о которой нужно подумать, — это то, что в веб-странице может быть много встроенных URL-адресов. Это особенно актуально для крупных порталов. Эти URL-адреса также основаны на DNS. Если вы попытаетесь получить доступ к заблокированному веб-сайту, используя IP-адрес, в большинстве случаев вы получите просто неработающую веб-страницу.
В основном это связано с кэшем DNS в вашей системе. Если вы используете систему Windows, существует два вида кэша DNS. Один из вашего браузера, а другой из вашей ОС Windows. До истечения их срока действия ваши изменения политики блокировки/разблокировки не будут работать. Оба кэша в конечном итоге истекают, но вы можете захотеть очистить их немедленно. Если это кэш браузера, вы можете очистить его, перезапустив браузер.
Если вы хотите очистить кэш DNS Windows, используйте следующую команду в CMD.
ipconfig /flushdns
Обычно кэш DNS истекает максимум через день. Конечно, это зависит от TTL из записи DNS, но обычно он не превышает 86 400 секунд (1 день). Что касается кэша браузера, его истечение может занять несколько минут. Однако в конечном итоге он истечет, и ваша политика фильтрации начнет работать. Таким образом, в конечном итоге это не является проблемой, так как вам не нужно блокировать/разблокировать веб-сайт много раз в день.
Если в вашей сети есть брандмауэр, это простая задача. Вам просто нужно заблокировать исходящий UDP/53, TCP/53 traffic except from NxFilter. And then use DHCP to set up NxFilter to be the DNS server for your network. Now NxFilter becomes the only DNS server your users can use and their DNS setup to point NxFilter will be done automatically.
Если вы опытный системный администратор, вы, возможно, уже знакомы со многими функциями NxFilter, так как они распространены в других решениях для сетевой безопасности. Однако для тех, кто менее опытен в таких технологиях, система принятия решений по политикам NxFilter может показаться не такой простой. Это особенно актуально для пользователей домашних сетей.
Чтобы узнать больше, https://forum.nxfilter.org/tips-tricks/2739-understanding-the-policy-application-system-of-nxfilter
Добавьте «*.facebook.com» в Whitelist > Domain with Admin Block option.
Сначала вам необходимо различать своих учеников в NxFilter по аутентификации. Затем заблокируйте Social Networking category on a policy when you use Jahaslist. Then assign the policy to the user or group associated to your students.
1. Создайте пользователя или группу для вашего отдела продаж.
2. Определите free-time in Policy > Free Time for the lunchtime in your company.
3. Создайте политику, не блокирующую ничего.
4. Назначьте политику в качестве политики свободного времени для пользователя или группы.
Вы можете изменить HTTP/HTTPS listening ports on NxFilter. However, when you change HTTP port you will lose your block page redirection. It is because when NxFilter redirects a user on HTTP, there needs to be something waiting for the browser on TCP/80 port.
Чтобы изменить порты, необходимо изменить эти два параметра в файле /nxfilter/conf/cfg.properties.
https_port = 443
После изменения портов перезапустите NxFilter.
Для сброса пароля администратора у нас есть скрипт /nxfilter/bin/reset-pw.sh. После запуска скрипта имя и пароль администратора будут сброшены до «admin». Скрипт необходимо запускать при работающем NxFilter.
Вы можете привязать NxFilter к определенному IP-адресу, чтобы избежать конфликта портов. Вы можете привязать NxFilter к определенному IP-адресу с помощью параметра «listen_ip» в файле /nxfilter/conf/cfg.properties. Если вы установите значение «0.0.0.0», NxFilter будет прослушивать все IP-адреса вашей системы, но если вы установите определенный IP-адрес, NxFilter будет прослушивать только указанный IP-адрес.
On DNS > SetupВы можете настроить локальный DNS-сервер и локальный домен. При такой настройке, если поступают DNS-запросы для вашего локального домена, NxFilter перенаправляет запросы на ваш локальный DNS-сервер и обходит аутентификацию, фильтрацию и регистрацию в журнале.
Вы можете использовать квадратные скобки для точного совпадения при поиске в журнале.
ex) [john], [192.168.0.1]
Ваша сессия входа в систему истекла. Если в течение определенного времени с вашего ПК не поступает никаких действий (DNS-запросов), ваша сессия входа в систему истекает. Вы можете увеличить значение для Login Session TTL on Система > Настройка.
Начиная с версии 4.7.4.5, NxFilter поддерживает файлы PEM. В большинстве случаев у вас будет два файла: your-domain.all.crt.pem и your-domain.key.pem. Скопируйте эти файлы в каталог /nxfilter/conf/, затем добавьте следующие строки в файл /nxfilter/conf/cfg.properties:
pem_key_file = conf/your-domain.key.pem
Затем перезапустите NxFilter, чтобы изменения вступили в силу.
Для использования собственного SSL-сертификата вам понадобится файл Java KeyStore (JKS). Если у вас уже есть сертификат в формате CRT, вам сначала нужно будет преобразовать его в файл JKS. В Интернете есть много ресурсов, посвященных созданию файла JKS или преобразованию файла CRT в такой файл.
После того как у вас будет файл JKS, скопируйте его в каталог /nxfilter/conf/ и установите следующие два параметра в файле /nxfilter/conf/cfg.properties:
keystore_pass = 123456
Затем перезапустите NxFilter, чтобы изменения вступили в силу.
Если с NxFilter что-то не так, первое, что можно сделать, — это выяснить, что именно происходит, с помощью данных системного журнала. NxFilter хранит данные системного журнала в каталоге /nxfilter/log directory. If you need more detailed log data, enable debugging on /nxfilter/conf/log4j.properties. Change INFO to DEBUG inside the file and restart NxFilter.
Когда вы заблокированы по HTTPS, в браузере вместо страницы блокировки NxFilter появляется страница с предупреждением SSL. Это сделано для предотвращения атаки 'Man In The Middle' атаки. Однако многие люди считают это раздражающим и хотят, чтобы отображалась страница блокировки с указанием причины блокировки.
Проще всего включить опцию «Тихая блокировка» в System > Setup. При включении этой опции NxFilter не выполняет перенаправление блокировки. Таким образом, страница блокировки не отображается, а предупреждение SSL также не появляется. В браузере будет отображаться проблема с подключением или сбой разрешения DNS.
Другой вариант — использовать CxForward. CxForward — это расширение для Chrome/Edge, которое мы предоставляем. Оно обойдет SSL-предупреждение и перенаправит ваш браузер на страницу блокировки. Чтобы узнать больше, прочтите CxForward для блокировок на HTTPS
Первое, что вам нужно проверить, это Enable Authentication option on System > Setup. Некоторые люди не понимают, что им необходимо включить аутентификацию перед внедрением любого метода аутентификации.
Некоторые из наших пользователей сообщили, что у них в NxFilter другой часовой пояс, чем в системе, на которой он работает. Это происходит в основном на CentOS. Когда вам нужно вручную настроить часовой пояс для NxFilter. Вы можете сделать это на уровне JVM. В файле /nxfilter/bin/startup.sh установите следующий параметр.
Вы можете уничтожить сессию входа пользователя на Пользователь > Список > Тест.
Вы получаете 'Queue full' error when NxFilter can't process the DNS requests in its job queue fast enough. It can happen when you lose the network connection to your upstream server or when you have too many requests for your system performance. If it is caused by a network connection problem it will go away after your connection restored.
Если у вас нет проблем с сетевым подключением, возможно, вам потребуется внести некоторые изменения в настройки вашей системы. Если у вас более 1000 пользователей, возможно, вам потребуется увеличить объем памяти, выделенный для NxFilter.
Вы можете принудительно включить безопасный поиск в NxFilter. У нас есть опция безопасного поиска в политике.
Возможно, вы захотите обойти фильтрацию и регистрацию для некоторых пользователей. Вы можете добавить IP-адреса клиентов, для которых вы хотите обойти фильтрацию и регистрацию, в DNS > Access Control > Bypass All.
Некоторые пользователи хотят установить NxFilter на контроллере домена Active Directory. Это идеальный вариант, если вы не хотите иметь еще одно оборудование или виртуальную машину. Однако контроллер домена обычно имеет собственный сервер MS DNS, что приводит к конфликту портов с NxFilter. Решением является добавление еще одного IP-адреса на контроллер домена и настройка MS DNS-сервера на прослушивание только одного IP-адреса, а NxFilter — на прослушивание другого IP-адреса.
Например, если вы хотите, чтобы NxFilter прослушивал только 192.168.0.100, вам необходимо изменить значение параметра «listen_ip» в файле c:/nxfilter/conf/cfg.properties.
listen_ip = 192.168.0.100
NxFilter ежедневно подсчитывает количество имен пользователей, IP-адресов клиентов и DNS-запросов. Если одно из этих значений превышает количество пользователей, указанное в лицензии, все нелицензированные пользователи или запросы будут отображаться в журнале как заблокированные. Однако, поскольку это предупреждающая мера, на стороне пользователя блокировка фактически не происходит.
Ежедневное количество запросов для одного пользователя, разрешенное NxFilter, составляет 4000 (если у вас есть лицензия на 100 пользователей, вы можете делать 4000 x 100 запросов в день). Согласно нашей статистике, в обычной офисной или школьной среде один пользователь делает до 1500 запросов в день. Мы добавили 2500 запросов в качестве резерва. Таким образом, для одного пользователя это составляет 4000 запросов в день. Для подсчета запросов мы учитываем только DNS-запросы типа «A».
Мы подсчитываем количество запросов для защиты лицензии, и вы делаете больше DNS-запросов, чем разрешено вашей лицензией. Читать Как я могу рассчитать количество пользователей для коммерческой лицензии?
Вы можете увеличить размер существующей лицензии после ее покупки. При добавлении дополнительных пользователей вам нужно оплатить только оставшийся срок действия лицензии. Допустим, вы хотите добавить 100 пользователей после 6 месяцев использования лицензии, тогда вам нужно оплатить только 50% от стоимости новой покупки. Чтобы добавить дополнительных пользователей к вашей лицензии, свяжитесь с нами по адресу «support @ nxfilter.org».
Это потому, что теперь в вашей сети есть сервер кэширования DNS. До установки NxFilter ваши пользователи постоянно отправляли DNS-запросы на «google.com». При использовании общедоступного DNS-сервера из Интернета это означает, что ваши пользователи отправляют UDP-пакеты куда-то в Интернет и ждут следующих ответов много раз в день. Однако после установки NxFilter как только ответ DNS был закеширован NxFilter, ваши пользователи будут получать ответы DNS непосредственно от NxFilter. Таким образом, не будет задержек от общедоступного DNS-сервера в Интернете, и ваши пользователи будут иметь более быстрое интернет-соединение.
При запуске NxCloud вам необходимо сначала узнать, кто есть кто, так как все должно принадлежать оператору. Однако некоторые люди хотят позволить своим пользователям разрешать некоторые домены без процесса аутентификации. В этом случае вы можете сделать 'Total Bypass' for a domain. When you whitelist a domain on admin GUI with Bypass Filtering and Bypass Logging flags, it becomes Total Bypass for the domain and it bypasses authentication also.
Да, вы можете указать NxFilter по его IPv6-адресу. Однако по умолчанию мы отключили его сокет-сервер по IPv6-адресу. Это связано с тем, что если мы принимаем DNS-запросы как по IPv4, так и по IPv6, вам может потребоваться дважды входить в систему при использовании аутентификации. Чтобы избежать такой путаницы, мы рекомендуем не настраивать ничего для DNS-сервера вашей сети IPv6. Ваши пользователи будут использовать DNS-сервер, настроенный для вашей сети IPv4.
Если вы все же хотите настроить NxFilter в качестве DNS-сервера для вашей сети IPv6, одним из возможных подходов является использование адреса IPv4 over IPv6. Предположим, что ваш NxFilter работает на 192.168.0.100. Тогда вы можете использовать IPv6-адрес, как показано ниже, чтобы указать сервер:
::ffff:192.168.0.100
Если вам необходимо использовать реальный IPv6-адрес для NxFilter, установите значение 'java.net.preferIPv4Stack' равным 'false' в /nxfilter/bin/startup.sh.
java -Djava.net.preferIPv4Stack=false -Xmx1024m -cp $NX_HOME/nxd.jar:$NX_HOME//lib/*: nxd.Main
Некоторые пользователи хотят обновить NxFilter с v3 до v4. В принципе, это не должно вызвать никаких проблем, но поскольку некоторые из них используют Shallalist, который не поддерживается v4, у них могут возникнуть проблемы. Если вы обновите версию с v3 до v4, сохранив опцию Shallalist, вы не сможете запустить NxFilter. Поэтому перед обновлением вам необходимо изменить ее на Jahaslist или одну из других опций категоризации доменов, поддерживаемых версией v4.
Если вам необходимо вручную изменить его на Jahaslist, вы можете изменить файл /nxfilter/conf/cfg.properties. Измените значение «blacklist_type» на 5, как показано ниже:
blacklist_type = 5
Начиная с версии NxFilter v4.3.3.7, для фильтрации можно использовать общедоступные списки блокировки из Интернета. Если это файл hosts или файл, содержащий домены, разделенные символами новой строки, вы можете загрузить и объединить его на Classifier > Blocklist overnight automatically. To find out more, read Classifier > Blocklist
Возможно, вы захотите разрешить доступ к сети гостям, временно посещающим ваш офис, при включенной фильтрации и аутентификации. С NxFilter это простая задача, так как вы можете использовать несколько методов аутентификации одновременно. Вы можете создать гостевую учетную запись, связав диапазон IP-адресов, охватывающий всю сеть вашего офиса. Согласно настройкам аутентификации NxFilter, связывание диапазона IP-адресов происходит в последнюю очередь. Если ваши пользователи выполняют единый вход с помощью агента SSO NxFilter или имеют одно IP-ассоциацию, они по-прежнему будут отображаться со своим собственным именем пользователя, а ваши гости — с созданной вами гостевой учетной записью.
Чтобы узнать больше о предпочтениях аутентификации NxFilter, прочтите Приоритет аутентификации
В основном это связано с правилами вашего брандмауэра. Вам необходимо открыть исходящие порты TCP/80, TCP/443, UDP/123 для NxFilter.
Начиная с версии 4.3.9.4, в каталоге /nxfilter/bin имеется скрипт «cachecon.sh». Чтобы очистить кэш в памяти,
cachecon.sh -m
Чтобы очистить постоянный кэш,
cachecon.sh -p
Вы также можете удалить кэш для отдельного домена,
cachecon.sh -m google.com
cachecon.sh -p google.com
Если вы хотите просмотреть текущую информацию о кэше для домена,
cachecon.sh -s google.com
Вы также можете указать тип запроса. Если это запрос MX,
cachecon.sh -s google.com 15
cachecon.sh -m google.com 15
Раньше, когда пользователи пытались получить доступ к веб-сайту до входа в NxFilter, они перенаправлялись на страницу входа в NxFilter. Однако с тех пор, как Google начал принудительно вводить SSL-сертификаты на веб-сайтах, при перенаправлении на вход вы получаете SSL-предупреждение вместо страницы входа.
Чтобы решить эту проблему, вы можете установить CxForward в браузере пользователей. CxForward — это расширение для Chrome/Edge. Вы можете установить его из Chrome Web Store или Microsoft Store. Чтобы узнать больше, читайте CxForward для блокировок на HTTPS