Tüm ağ için NxRelay
NxRelay, NxCloud için bir aktarma DNS sunucusudur. NxRelay ile, özel bir IP'yi NxCloud'daki bir kullanıcıyla ilişkilendirebilirsiniz.
Bu, bulut filtreleme hizmetinizden bir yönlendiricinin arkasındaki özel IP'lere dayalı ilkeler uygulayabileceğiniz anlamına gelir.
Nasıl çalışır
NxRelay'in kendisi bir yönlendirme DNS sunucusudur. NxCloud'u sorgulayarak filtreleme yapar ve DNS sorgularını ileterek bir DNS sunucusu olarak çalışır
yerel DNS sunucunuza yönlendirin.
NxRelay için NxCloud, yukarı akış DNS sunucusu değildir. Aksine, bir ilke sunucusudur. Yukarı akış sunucusu mevcut DNS sunucunuzdur.
Bu, NxCloud bağlantısını kaybetseniz bile bir DNS arızası yaşamayacağınız anlamına gelir.
Windows'a Yükleme
NxRelay için bir Windows yükleyicisi sağlıyoruz. NxRelay'i bir Windows hizmeti olarak yükler ve GUI kurulum programını çalıştırır.
NxRelay hizmetini Windows'a manuel olarak yüklemeniz gerekiyorsa,
1. ZIP paketini indirin
2. İçine çıkar c:/nxrelay
3. Yapılandırma parametrelerini c:/nxrelay/conf/cfg.properties dosyasında değiştirin
Açık CMD,
cd c:/nxrelay/bin
instsvc.bat
net start NxRelay
Linux'a Yükleme
NxRelay'i ZIP paketi kullanarak yüklediğinizde:
1. ZIP paketini indirin.
2. İçine çıkar /nxrelay.
Komut satırında,
cd /nxrelay
sudo chmod +x bin/*.sh
sudo cp script/nxrelay.service /lib/systemd/system/nxrelay.service
sudo systemctl enable nxrelay.service
sudo systemctl start nxrelay.service
Durdurmak için,
sudo systemctl stop nxrelay.service
Nasıl kurulur
NxCloud sunucu IP'nize ve kullanıcı hesaplarınızdan birinden bir oturum açma belirtecine ihtiyacınız vardır. Yapılandırma parametrelerini okur
/nxrelay/conf/cfg.properties dosyasından.
Örneğin,
server = 192.168.0.100
token = BSYEB28O
local_dns = 8.8.8.8,8.8.4.4
local_domain = mydomain.local
Yapılandırma dosyasında bu yapılandırma değerlerine sahip olduğunuzda, NxCloud sunucu IP'niz 192.168.0.100 ve oturum açma belirteciniz 'BSYEB28O' olur
ve yerel DNS sunucularınız veya mevcut DNS sunucularınız 8.8.8.8 ve 8.8.4.4'tür. Filtrelemeden atlamak için bazı etki alanlarınız varsa
bunları virgülle ayrılmış 'local_domain' değeri olarak ekleyebilirsiniz.
Yapılandırma dosyasını değiştirdikten sonra /nxrelay/bin/test.sh dosyasını çalıştırarak yapılandırma değerlerini ve sunucuya bağlanabilirliği doğrulayın.
Ardından NxRelay'i yeniden başlatın ve ağınız için tek DNS sunucusu olarak ayarlayın.
Yapılandırma parametreleri
NxRelay /nxrelay/conf/cfg.properties içinde aşağıdaki parametreleri destekler,
- server
NxCloud IP.
- token
Bir kullanıcının oturum açma belirteci.
- local_dns
Yukarı akış DNS sunucusu veya Yerel DNS sunucusu gerçek DNS çözümlemesini yapar. Eğer DNS sunucusu yoksa
burada belirtilen, 8.8.8.8 ve 8.8.4.4 kullanırız.
- local_domain
Filtrelemeden atlanacak etki alanları. Virgülle ayırarak birden fazla etki alanı ekleyebilirsiniz.
- listen_ip
NxRelay'in belirli bir IP adresini dinlemesini sağlayabilirsiniz.
- block_redi_ip
Geçersiz kılabilirsiniz Block Redirection IP NxCloud'un.
- use_https_dns
DNS çözümlemesi için HTTPS üzerinden DNS'yi (DoH) etkinleştirebilirsiniz.
ex) 0 = false, 1 = true
- https_dns_type
Yukarı akış DNS hizmetiniz olarak kullanmak için HTTPS üzerinden bir DNS sunucusu seçebilirsiniz.
ex) 1 = Cloudflare, 2 = Google, 3 = Custom DoH server
- https_dns_url
Özel bir DoH sunucusu seçerken, 'https_dns_url' parametresini ayarlayarak URL'yi belirtmelisiniz.
- use_https_query
Bu seçenek etkinleştirildiğinde, NxRelay ilke sorgularını HTTPS üzerinden yapacaktır.
ex) 0 = false, 1 = true
- https_query_port
HTTPS üzerinden yapılan ilke sorguları TCP/443 at default but if you need to use another port
you can change it here.
- query_cache_ttl
NxRelay, ilke sunucusundan gelen bir sorgu sonucu için 300 saniyelik önbelleğe sahiptir. Bir sayı ayarlayabilirsiniz
0 ile 3600 saniye arasında. Değeri artırırsanız, ilke sunucunuza giden trafiği azaltacaktır
ancak filtreleme ilkesi değişikliğiniz önbelleğin süresi dolduktan sonra yansıtılacaktır.
ex) 0 = bypass, 300 = 5 minutes, 1200 = 20 minutes
- a_query_only
Bu seçenek etkinleştirildiğinde, NxRelay yalnızca A, AAAA türündeki sorguları filtreleyecek ve daha iyi performans elde edeceksiniz.
ex) 0 = false, 1 = true
- run_mapper
NxRelay, bir etki alanı denetleyicisine yüklediğinizde Active Directory oturum açma kullanıcı adını göndermek için entegre bir NxMapper modülüne sahiptir.
- radius_accounting_port
RADIUS hesap isteklerini aldığınız bağlantı noktası. Biz kullanıyoruz UDP/1813 at default.
- radius_shared_secret
Wi-Fi yönlendiricinizin NxRelay ile iletişim kurması için paylaşılan gizli dize.
- radius_enable_logout
Bir muhasebe talebinin durum türü şu olduğunda kullanıcı oturum açma oturumunu yok et 'Stop'.
ex) 0 = false, 1 = true
- use_radius
RADIUS hesap sunucusunu çalıştır.
ex) 0 = false, 1 = true
- drop_blocked_request_type
NxRelay üzerinde istek türü kontrolünü etkinleştirin. Engellenen istek türlerini
DNS > Server Protection > Request Type Control .
ex) 0 = false, 1 = true
Hangi ilkenin uygulanacağı
Varsayılan olarak, NxRelay yapılandırma dosyasında belirtilen oturum açma belirtecine bağlı filtreleme ilkesini uygular.
Bu, NxRelay için varsayılan ilkedir. Ağınızdaki kullanıcılar için birden fazla politika uygulamak istiyorsanız,
NxRelay tarafından algılanan priavte IP'leri NxCloud operatör GUI'sinde oluşturduğunuz kullanıcılarla ilişkilendirebilirsiniz. Ayrıca Windows'u da bağlayabilirsiniz
NxRelay tarafından NxCloud'da oluşturduğunuz ilkelere göre algılanan kullanıcı adları.
Yardımcı komut dosyaları
In /nxrelay/bin
there are several utility scripts included.
- startup.sh : Starting NxRelay
- shutdown.sh : Stopping NxRelay
- test.sh : Test the connectivity to NxCloud
- ping.sh : Test if it is running
Windows için 2 tane daha var,
- instsvc.bat : Installing NxRelay service
- unstsvc.bat : Uninstall NxRelay service
Ubuntu Linux için, /nxrelay/script/nxrelay.service olan bir systemd betiğimiz var.
Bulut üzerinden Active Directory entegrasyonu
Bulut üzerinden Active Directory entegrasyonu NxRelay ile mümkündür. NxRelay'i yüklediğinizde
Active Directory'nizdeki bir etki alanı denetleyicisinde, oturum açmış AD kullanıcı adlarını algılayabilir ve sunucusuna gönderebilir.
Bunlar, bulut üzerinden Active Directory entegrasyonunu zorlamak için gereken koşullardır.
1. NxRelay'i bir etki alanı denetleyicisine yükleyin
NxRelay'in oturum açmış kullanıcı adını algılayabilmesi için, onu bir etki alanı denetleyicisine yüklemeniz gerekir. Ancak, siz
mevcut MS DNS sunucunuzla bir bağlantı noktası çakışması sorunu yaşıyor olabilirsiniz. Bu durumda şunları yapabilirsiniz
sunucunuza bir IP adresi daha ekleyin ve MS DNS sunucunuzu bir IP adresine ve NxRelay'i diğerine bağlayın
IP adresi.
2. Active Directory DNS sunucunuzu yerel DNS sunucunuz olarak kullanma
Active Directory'de DNS çok önemli bir rol oynamaktadır. Active ile hiçbir şeyi kırmamak
Dizin entegrasyonu için MS DNS sunucunuzu Local DNS of NxRelay and bypass your
Active Directory domain as the Local Domain of NxRelay.
Ancak, 'bulut üzerinden Active Directory entegrasyonu' aşağıdaki durumdan biraz farklıdır
NxFilter ile yerel ağınızda 'Active Directory entegrasyonu' yaparsınız. NxCloud'da Active Directory'den kullanıcı içe aktarımını desteklemiyoruz.
Yani, henüz tam ölçekli bir Active Directory entegrasyonu değil. Yine de Active Directory kullanıcı adını 'tokenname_username' formunda gösterebilir
kimin kim olduğunu bulabilmeniz için günlük görünümünüzde.
Örneğin, Active Directory'nizde 'john100' kullanıcınız varsa ve NxRelay'i 'myrelay' oturum açma belirteciyle çalıştırırsanız
kullanıcısı NxCloud'da, DNS istekleri NxCloud'da 'myrelay_john100' olarak görünecektir. Logging > DNS Request.
Ve 'john100' için varsayılan ilke 'myrelay' ilkesi olacaktır.
'john100' için farklı bir ilke uygulamak istiyorsanız, tam olarak eşleşen kullanıcı adını oluşturabilirsiniz
NxCloud'da 'john100' olan veya 'myrelay_john100' öğesini NxCloud operatör GUI'sindeki bir ilkeye bağlayabilirsiniz.
802.1X Wi-Fi kimlik doğrulaması ile kullanıcı algılama
NxRelay entegre bir RADIUS muhasebe sunucusu modülüne sahiptir. Bu modül, çoklu oturum açma için NxFilter ile kullandığımız modülle aynıdır
802.1X Wi-Fi kimlik doğrulaması ile. NxRelay tespit ettiği kullanıcı adlarını NxCloud'a gönderecektir.
Nasıl çalıştığını anlamak için okuyun 802.1X ile tek oturum açma
CxLogon tarafından kullanıcı algılama
NxRelay v2.6.4'ten beri CxLogon'u desteklemektedir. Bu, bilgisayarlarınızdaki oturum açmış kullanıcı adlarını tespit edebileceğiniz anlamına gelir.
Active Directory olmadan ağ. CxLogon hakkında daha fazla bilgi edinmek için,
okuyun CxLogon ile tek oturum açma.
Varsayılan olarak, algılanan kullanıcı adını 'tokenname_username' formundaki gibi gösterecektir, ancak eğer
NxCloud'da tam olarak eşleşen kullanıcı adını oluşturun, size kullanıcı adını olduğu gibi gösterecektir ve belirli bir kullanıcı adı atayabilirsiniz.
kullanıcıya politika. Bu, aşağıdakilerle kullandığımız kuralla aynıdır Bulut üzerinden Active Directory entegrasyonu.
Etki alanlarını toplu olarak atlama
Etki alanlarını ilke sorgularından toplu olarak atlayarak NxCloud'a giden trafiği azaltabilirsiniz. Etki alanlarını toplu olarak atlamak için şunları oluşturmanız gerekir
/nxrelay/conf/bypass.txt dosyasını açın ve alan adlarını dosyaya ekleyin.
Alt alan adlarını dahil etmek için yıldız işareti kullanabilirsiniz.
Dosyadaki alan adları aşağıdaki gibi satırsonu ile ayrılmalıdır,
www.jahastech.com
mail.jahastech.com
*.nxfilter.org
NxRelay ve NxFilter
Birden fazla şubesi olan bir şirkette çalışıyor olabilirsiniz. Tüm şubeleri merkezi olarak filtrelemek istiyorsunuz.
Ayrıca, yerel bir ağda NxFilter ile yaptığınız gibi kullanıcı kimlik doğrulamasına ve çoklu oturum açmaya sahip olmak istiyorsunuz.
Ancak, tek yönetici siz olduğunuz için NxCloud'u çalıştırmak istemiyorsunuz. İlkeleri değiştirmek için her operatör GUI'sinde oturum açmak istemezsiniz.
Tüm bunları NxRelay ve NxFilter ile yapabilirsiniz.
NxRelay ile, bir yönlendiricinin arkasındaki özel IP'leri NxFilter'daki kullanıcılarınızla ilişkilendirebilirsiniz.
Ayrıca AD kullanıcılarını NxFilter'ınıza aktarabilir ve ardından AD kullanıcı adlarını tespit etmek için her şubede NxRelay'i çalıştırabilirsiniz.
NxRelay ayrıca Active Directory olmadan çoklu oturum açma için CxLogon'u da destekler. Ve 802.1X Wi-Fi kimlik doğrulamasını uygulayabilirsiniz.
Yani, NxFilter'ı yerel bir ağda çalıştırmaktan neredeyse hiçbir farkı yok gibi.
Ancak bir koşul vardır. Her şube ofisi farklı bir IP aralığı kullanmalıdır. Örneğin, 1. Şube 192.168.0.0/24 kullanıyorsa,
2. Şube Ofisi 192.168.0.1/24 gibi farklı bir tane kullanmalıdır. Bu IP çarpışmasını önlemek içindir.
Etki alanı yeniden yineleme
NxRelay çalıştıran yerel ağınız için etki alanı yönlendirmelerini ayarlamak isteyebilirsiniz.
Etki alanı yönlendirmelerini ayarlamak için /nxrelay/conf/redirection.txt dosyasını oluşturun ve
aşağıdaki gibi dosyaya etki alanı ile IP eşlemesini ekleyin,
router.mynet.local 192.168.0.1
printer.mynet.local 192.168.0.10
*.myorg.local 192.168.0.12
wpad 192.168.0.20
wpad.mynet.local 192.168.0.1
İstek türü kontrolü
NxRelay tarafından belirli DNS istek türlerini engelleyebilirsiniz. NxFilter'dan istek türü kontrol ayarlarını getirecek ve
engellenen tür sorguları. Bu özelliği etkinleştirmek için, 'drop_blocked_request_type' öğesini '1' olarak ayarlamanız gerekir.
/nxrelay/conf/cfg.properties dosyası aşağıdaki gibi,
drop_blocked_request_type = 1
