f NxFilter Tutorial
NxFilter Tutorial

  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
Часто задаваемые вопросы
Часто задаваемые вопросы по NxFilter.


Я могу обойти NxFilter, получая доступ к веб-сайтам по IP-адресу.

Некоторые люди считают, что DNS-фильтрация бесполезна, поскольку они могут получить доступ к веб-сайту по IP-адресу. Это очень наивное мнение, которое просто не соответствует действительности. В современной интернет-среде большинство веб-сайтов работают на виртуальных хостах. Это означает, что на одном IP-адресе находится несколько веб-сайтов. Вы не сможете получить доступ к этим веб-сайтам без использования домена.

И еще одна вещь, о которой нужно подумать, — это то, что в веб-странице может быть много встроенных URL-адресов. Это особенно актуально для крупных порталов. Эти URL-адреса также основаны на DNS. Если вы попытаетесь получить доступ к заблокированному веб-сайту, используя IP-адрес, в большинстве случаев вы получите просто неработающую веб-страницу.

- Перейти к индексу -


Это не происходит blocked/unblocked  right away.

В основном это связано с кэшем DNS в вашей системе. Если вы используете систему Windows, существует два вида кэша DNS. Один из вашего браузера, а другой из вашей ОС Windows. До истечения их срока действия ваши изменения политики блокировки/разблокировки не будут работать. Оба кэша в конечном итоге истекают, но вы можете захотеть очистить их немедленно. Если это кэш браузера, вы можете очистить его, перезапустив браузер.

Если вы хотите очистить кэш DNS Windows, используйте следующую команду в CMD.


	ipconfig /flushdns

Обычно кэш DNS истекает максимум через день. Конечно, это зависит от TTL из записи DNS, но обычно он не превышает 86 400 секунд (1 день). Что касается кэша браузера, его истечение может занять несколько минут. Однако в конечном итоге он истечет, и ваша политика фильтрации начнет работать. Таким образом, в конечном итоге это не является проблемой, так как вам не нужно блокировать/разблокировать веб-сайт много раз в день.

- Перейти к индексу -


Как заставить пользователя проходить фильтрацию NxFilter?

Если в вашей сети есть брандмауэр, это простая задача. Вам просто нужно заблокировать исходящий UDP/53, TCP/53  traffic except from NxFilter. And then use DHCP to set up NxFilter to be the DNS server for your network. Now NxFilter becomes the only DNS server your users can use and their DNS setup to point NxFilter will be done automatically.

- Перейти к индексу -


Как NxFilter определяет, какую политику применять к пользователю?

Если вы опытный системный администратор, вы, возможно, уже знакомы со многими функциями NxFilter, так как они распространены в других решениях для сетевой безопасности. Однако для тех, кто менее опытен в таких технологиях, система принятия решений по политикам NxFilter может показаться не такой простой. Это особенно актуально для пользователей домашних сетей.

Чтобы узнать больше, https://forum.nxfilter.org/tips-tricks/2739-understanding-the-policy-application-system-of-nxfilter

- Перейти к индексу -


Как можно быстрее заблокировать «facebook.com»?

Добавьте «*.facebook.com» в Whitelist > Domain  with Admin Block  option.

- Перейти к индексу -


Я хочу заблокировать «facebook.com» только для своих учеников.

Сначала вам необходимо различать своих учеников в NxFilter по аутентификации. Затем заблокируйте Social Networking  category on a policy when you use Jahaslist. Then assign the policy to the user or group associated to your students.

- Перейти к индексу -


Я хочу разрешить отделу продаж свободно пользоваться Интернетом в обеденное время.

1. Создайте пользователя или группу для вашего отдела продаж.

2. Определите free-time  in Policy > Free Time  for the lunchtime in your company.

3. Создайте политику, не блокирующую ничего.

4. Назначьте политику в качестве политики свободного времени для пользователя или группы.

- Перейти к индексу -


Как изменить порт веб-сервера NxFilter?

Вы можете изменить HTTP/HTTPS  listening ports on NxFilter. However, when you change HTTP port you will lose your block page redirection. It is because when NxFilter redirects a user on HTTP, there needs to be something waiting for the browser on TCP/80 port.

Чтобы изменить порты, необходимо изменить эти два параметра в файле /nxfilter/conf/cfg.properties.

http_port = 80
https_port = 443

После изменения портов перезапустите NxFilter.

- Перейти к индексу -


Как сбросить пароль администратора?

Для сброса пароля администратора у нас есть скрипт /nxfilter/bin/reset-pw.sh. После запуска скрипта имя и пароль администратора будут сброшены до «admin». Скрипт необходимо запускать при работающем NxFilter.

Существует скрипт /nxfilter/bin/reset-acl.sh для сброса ограничений доступа к графическому интерфейсу.

- Перейти к индексу -


Можно ли привязать NxFilter к определенному IP-адресу?

Вы можете привязать NxFilter к определенному IP-адресу, чтобы избежать конфликта портов. Вы можете привязать NxFilter к определенному IP-адресу с помощью параметра «listen_ip» в файле /nxfilter/conf/cfg.properties. Если вы установите значение «0.0.0.0», NxFilter будет прослушивать все IP-адреса вашей системы, но если вы установите определенный IP-адрес, NxFilter будет прослушивать только указанный IP-адрес.

Даже если вы привязываете NxFilter к определенному IP-адресу, вы не можете запустить несколько NxFilter на одном компьютере. Это связано с тем, что NxFilter необходимо привязать несколько портов на localhost для внутренней коммуникации.

- Перейти к индексу -


Как обойти фильтрацию моего локального домена?

On DNS > SetupВы можете настроить локальный DNS-сервер и локальный домен. При такой настройке, если поступают DNS-запросы для вашего локального домена, NxFilter перенаправляет запросы на ваш локальный DNS-сервер и обходит аутентификацию, фильтрацию и регистрацию в журнале.

- Перейти к индексу -


Можно ли использовать точное совпадение ключевого слова для поиска в журнале?

Вы можете использовать квадратные скобки для точного совпадения при поиске в журнале.

    ex) [john], [192.168.0.1]


Почему мне нужно повторно входить в систему после обеденного перерыва?

Ваша сессия входа в систему истекла. Если в течение определенного времени с вашего ПК не поступает никаких действий (DNS-запросов), ваша сессия входа в систему истекает. Вы можете увеличить значение для Login Session TTL  on Система > Настройка.

Если вы используете единый вход с Active Directory, вы можете избежать этой проблемы.

- Перейти к индексу -


Как применить свой собственный SSL-сертификат с помощью файлов PEM?

Начиная с версии 4.7.4.5, NxFilter поддерживает файлы PEM. В большинстве случаев у вас будет два файла: your-domain.all.crt.pem и your-domain.key.pem. Скопируйте эти файлы в каталог /nxfilter/conf/, затем добавьте следующие строки в файл /nxfilter/conf/cfg.properties:

pem_crt_file = conf/your-domain.all.crt.pem
pem_key_file = conf/your-domain.key.pem

Затем перезапустите NxFilter, чтобы изменения вступили в силу.

- Перейти к индексу -


Как применить собственный SSL-сертификат с помощью файла JKS?

Для использования собственного SSL-сертификата вам понадобится файл Java KeyStore (JKS). Если у вас уже есть сертификат в формате CRT, вам сначала нужно будет преобразовать его в файл JKS. В Интернете есть много ресурсов, посвященных созданию файла JKS или преобразованию файла CRT в такой файл.

После того как у вас будет файл JKS, скопируйте его в каталог /nxfilter/conf/ и установите следующие два параметра в файле /nxfilter/conf/cfg.properties:

keystore_file = conf/myown.jks
keystore_pass = 123456

Затем перезапустите NxFilter, чтобы изменения вступили в силу.

- Перейти к индексу -


Как включить отладку?

Если с NxFilter что-то не так, первое, что можно сделать, — это выяснить, что именно происходит, с помощью данных системного журнала. NxFilter хранит данные системного журнала в каталоге /nxfilter/log  directory. If you need more detailed log data, enable debugging on /nxfilter/conf/log4j.properties. Change INFO  to DEBUG  inside the file and restart NxFilter.

- Перейти к индексу -


Как скрыть предупреждение SSL?

Когда вы заблокированы по HTTPS, в браузере вместо страницы блокировки NxFilter появляется страница с предупреждением SSL. Это сделано для предотвращения атаки 'Man In The Middle' атаки. Однако многие люди считают это раздражающим и хотят, чтобы отображалась страница блокировки с указанием причины блокировки.

Проще всего включить опцию «Тихая блокировка» в System > Setup. При включении этой опции NxFilter не выполняет перенаправление блокировки. Таким образом, страница блокировки не отображается, а предупреждение SSL также не появляется. В браузере будет отображаться проблема с подключением или сбой разрешения DNS.

Другой вариант — использовать CxForward. CxForward — это расширение для Chrome/Edge, которое мы предоставляем. Оно обойдет SSL-предупреждение и перенаправит ваш браузер на страницу блокировки. Чтобы узнать больше, прочтите CxForward для блокировок на HTTPS

- Перейти к индексу -


Я не вижу никакого имени пользователя на Logging > DNS Request.

Первое, что вам нужно проверить, это Enable Authentication  option on System > Setup. Некоторые люди не понимают, что им необходимо включить аутентификацию перед внедрением любого метода аутентификации.

- Перейти к индексу -


Как настроить часовой пояс?

Некоторые из наших пользователей сообщили, что у них в NxFilter другой часовой пояс, чем в системе, на которой он работает. Это происходит в основном на CentOS. Когда вам нужно вручную настроить часовой пояс для NxFilter. Вы можете сделать это на уровне JVM. В файле /nxfilter/bin/startup.sh установите следующий параметр.

-Duser.timezone=Europe/Rome

- Перейти к индексу -


Как заставить пользователя выйти из системы?

Вы можете уничтожить сессию входа пользователя на Пользователь > Список > Тест.

- Перейти к индексу -


Что такое 'Queue full'  error?

Вы получаете 'Queue full'  error when NxFilter can't process the DNS requests in its job queue fast enough. It can happen when you lose the network connection to your upstream server or when you have too many requests for your system performance. If it is caused by a network connection problem it will go away after your connection restored.

NxFilter ввел Persistent Cache  as of v4.1.1. NxFilter will be working with Persistent Cache when it loses its connection to its upstream server.

Если у вас нет проблем с сетевым подключением, возможно, вам потребуется внести некоторые изменения в настройки вашей системы. Если у вас более 1000 пользователей, возможно, вам потребуется увеличить объем памяти, выделенный для NxFilter.


Как заблокировать порнографию в результатах поиска Google и Youtube?

Вы можете принудительно включить безопасный поиск в NxFilter. У нас есть опция безопасного поиска в политике.

Переключение между опциями «Умеренный» и «Строгий» имеет значение только для Youtube.

- Перейти к индексу -


Можно ли обойти фильтрацию и регистрацию для конкретного пользователя?

Возможно, вы захотите обойти фильтрацию и регистрацию для некоторых пользователей. Вы можете добавить IP-адреса клиентов, для которых вы хотите обойти фильтрацию и регистрацию, в DNS > Access Control > Bypass All.

- Перейти к индексу -


Можно ли установить NxFilter на контроллере домена Active Directory?

Некоторые пользователи хотят установить NxFilter на контроллере домена Active Directory. Это идеальный вариант, если вы не хотите иметь еще одно оборудование или виртуальную машину. Однако контроллер домена обычно имеет собственный сервер MS DNS, что приводит к конфликту портов с NxFilter. Решением является добавление еще одного IP-адреса на контроллер домена и настройка MS DNS-сервера на прослушивание только одного IP-адреса, а NxFilter — на прослушивание другого IP-адреса.

Например, если вы хотите, чтобы NxFilter прослушивал только 192.168.0.100, вам необходимо изменить значение параметра «listen_ip» в файле c:/nxfilter/conf/cfg.properties.

    listen_ip = 192.168.0.100

У нас есть видеоурок по этой теме на Youtube - Посмотреть видеоурок на Youtube!

- Перейти к индексу -


Как рассчитать количество пользователей для коммерческой лицензии?

NxFilter ежедневно подсчитывает количество имен пользователей, IP-адресов клиентов и DNS-запросов. Если одно из этих значений превышает количество пользователей, указанное в лицензии, все нелицензированные пользователи или запросы будут отображаться в журнале как заблокированные. Однако, поскольку это предупреждающая мера, на стороне пользователя блокировка фактически не происходит.

Ежедневное количество запросов для одного пользователя, разрешенное NxFilter, составляет 4000 (если у вас есть лицензия на 100 пользователей, вы можете делать 4000 x 100 запросов в день). Согласно нашей статистике, в обычной офисной или школьной среде один пользователь делает до 1500 запросов в день. Мы добавили 2500 запросов в качестве резерва. Таким образом, для одного пользователя это составляет 4000 запросов в день. Для подсчета запросов мы учитываем только DNS-запросы типа «A».

Чтобы узнать количество пользователей в вашей сети, просмотрите отчет об использовании за последние 30 дней на Report > Usage.

Есть 'total'  and 'unique'  for request counting on the usage report. We use 'unique'  which is smaller for license restriction.

- Перейти к индексу -


Что такое 'Too many requests'  error?

Мы подсчитываем количество запросов для защиты лицензии, и вы делаете больше DNS-запросов, чем разрешено вашей лицензией. Читать Как я могу рассчитать количество пользователей для коммерческой лицензии?

Мы считаем только DNS-запросы типа «A».

- Перейти к индексу -


Как добавить больше пользователей к моей лицензии?

Вы можете увеличить размер существующей лицензии после ее покупки. При добавлении дополнительных пользователей вам нужно оплатить только оставшийся срок действия лицензии. Допустим, вы хотите добавить 100 пользователей после 6 месяцев использования лицензии, тогда вам нужно оплатить только 50% от стоимости новой покупки. Чтобы добавить дополнительных пользователей к вашей лицензии, свяжитесь с нами по адресу «support @ nxfilter.org».

- Перейти к индексу -


После установки NxFilter мое интернет-соединение стало быстрее.

Это потому, что теперь в вашей сети есть сервер кэширования DNS. До установки NxFilter ваши пользователи постоянно отправляли DNS-запросы на «google.com». При использовании общедоступного DNS-сервера из Интернета это означает, что ваши пользователи отправляют UDP-пакеты куда-то в Интернет и ждут следующих ответов много раз в день. Однако после установки NxFilter как только ответ DNS был закеширован NxFilter, ваши пользователи будут получать ответы DNS непосредственно от NxFilter. Таким образом, не будет задержек от общедоступного DNS-сервера в Интернете, и ваши пользователи будут иметь более быстрое интернет-соединение.

- Перейти к индексу -


Могу ли я обойти аутентификацию NxCloud?

При запуске NxCloud вам необходимо сначала узнать, кто есть кто, так как все должно принадлежать оператору. Однако некоторые люди хотят позволить своим пользователям разрешать некоторые домены без процесса аутентификации. В этом случае вы можете сделать 'Total Bypass'  for a domain. When you whitelist a domain on admin GUI with Bypass Filtering  and Bypass Logging  flags, it becomes Total Bypass  for the domain and it bypasses authentication also.

- Перейти к индексу -


Поддерживает ли NxFilter IPv6?

Да, вы можете указать NxFilter по его IPv6-адресу. Однако по умолчанию мы отключили его сокет-сервер по IPv6-адресу. Это связано с тем, что если мы принимаем DNS-запросы как по IPv4, так и по IPv6, вам может потребоваться дважды входить в систему при использовании аутентификации. Чтобы избежать такой путаницы, мы рекомендуем не настраивать ничего для DNS-сервера вашей сети IPv6. Ваши пользователи будут использовать DNS-сервер, настроенный для вашей сети IPv4.

Если вы все же хотите настроить NxFilter в качестве DNS-сервера для вашей сети IPv6, одним из возможных подходов является использование адреса IPv4 over IPv6. Предположим, что ваш NxFilter работает на 192.168.0.100. Тогда вы можете использовать IPv6-адрес, как показано ниже, чтобы указать сервер:

    ::ffff:192.168.0.100

Если вам необходимо использовать реальный IPv6-адрес для NxFilter, установите значение 'java.net.preferIPv4Stack' равным 'false' в /nxfilter/bin/startup.sh.

    java -Djava.net.preferIPv4Stack=false -Xmx1024m -cp $NX_HOME/nxd.jar:$NX_HOME//lib/*: nxd.Main

- Перейти к индексу -


Как обновить с v3 до v4?

Некоторые пользователи хотят обновить NxFilter с v3 до v4. В принципе, это не должно вызвать никаких проблем, но поскольку некоторые из них используют Shallalist, который не поддерживается v4, у них могут возникнуть проблемы. Если вы обновите версию с v3 до v4, сохранив опцию Shallalist, вы не сможете запустить NxFilter. Поэтому перед обновлением вам необходимо изменить ее на Jahaslist или одну из других опций категоризации доменов, поддерживаемых версией v4.

Если вам необходимо вручную изменить его на Jahaslist, вы можете изменить файл /nxfilter/conf/cfg.properties. Измените значение «blacklist_type» на 5, как показано ниже:

    blacklist_type = 5

- Перейти к индексу -


Как использовать общедоступные списки блокировки из Интернета?

Начиная с версии NxFilter v4.3.3.7, для фильтрации можно использовать общедоступные списки блокировки из Интернета. Если это файл hosts или файл, содержащий домены, разделенные символами новой строки, вы можете загрузить и объединить его на Classifier > Blocklist  overnight automatically. To find out more, read  Classifier > Blocklist

- Перейти к индексу -


Как разрешить гостевой доступ?

Возможно, вы захотите разрешить доступ к сети гостям, временно посещающим ваш офис, при включенной фильтрации и аутентификации. С NxFilter это простая задача, так как вы можете использовать несколько методов аутентификации одновременно. Вы можете создать гостевую учетную запись, связав диапазон IP-адресов, охватывающий всю сеть вашего офиса. Согласно настройкам аутентификации NxFilter, связывание диапазона IP-адресов происходит в последнюю очередь. Если ваши пользователи выполняют единый вход с помощью агента SSO NxFilter или имеют одно IP-ассоциацию, они по-прежнему будут отображаться со своим собственным именем пользователя, а ваши гости — с созданной вами гостевой учетной записью.

Чтобы узнать больше о предпочтениях аутентификации NxFilter, прочтите Приоритет аутентификации

- Перейти к индексу -


Почему я получаю ошибку «Недействительная лицензия»?

В основном это связано с правилами вашего брандмауэра. Вам необходимо открыть исходящие порты TCP/80, TCP/443, UDP/123 для NxFilter.

- Перейти к индексу -


Можно ли очистить кэш ответов DNS в NxFilter без его перезапуска?

Начиная с версии 4.3.9.4, в каталоге /nxfilter/bin имеется скрипт «cachecon.sh». Чтобы очистить кэш в памяти,


	cachecon.sh -m

Чтобы очистить постоянный кэш,


	cachecon.sh -p

Вы также можете удалить кэш для отдельного домена,


	cachecon.sh -m google.com
	cachecon.sh -p google.com

Если вы хотите просмотреть текущую информацию о кэше для домена,


	cachecon.sh -s google.com

Вы также можете указать тип запроса. Если это запрос MX,


	cachecon.sh -s google.com 15
	cachecon.sh -m google.com 15

В Windows используйте файл «cachecon.bat».

- Перейти к индексу -


Почему я получаю предупреждение SSL вместо страницы входа?

Раньше, когда пользователи пытались получить доступ к веб-сайту до входа в NxFilter, они перенаправлялись на страницу входа в NxFilter. Однако с тех пор, как Google начал принудительно вводить SSL-сертификаты на веб-сайтах, при перенаправлении на вход вы получаете SSL-предупреждение вместо страницы входа.

Чтобы решить эту проблему, вы можете установить CxForward в браузере пользователей. CxForward — это расширение для Chrome/Edge. Вы можете установить его из Chrome Web Store или Microsoft Store. Чтобы узнать больше, читайте CxForward для блокировок на HTTPS

- Go to index -