OVERVIEW

Acessando o painel de gerenciamento e configuração

 Configurando o NxFilter

Block Redirection IP: É o endereço IP do próprio NxFilter. Se

houver alguma requisição de um domínio bloqueado, ele será
redirecionado
para este endereço IP. Geralmente ele é preenchido
automaticamente durante o processo de instalação.

Enable Authentication: Essa opção deve ser ativada quando é

utilizado algum método de autenticação, inclusive Autenticação
vinculada
a IP.

Essa opções não mexeremos:

SYSLOG: Nos permite exporter registro de logs para um servidor de logs.

NETFLOW: Controle de Banda.

MISC: URL para acesso a GUI de administração do NxFilter

 ADMIN NAME e ADMIN PASSWORD: Alterar o
usuário administrador e a senha da GUI de
administração.

REPORT PASSWORD: É para permitir que o gestor de

relatórios acesse os menus de logging/report na GUI

No nosso caso vamos só alterar a senha do usuário admin.

NxFilter envia um email de alerta informando dos blocks recentes ou caso algum nó do
cluster caia
NxFilter permite que se faça
restrição de acesso baseado em
IP para funcionalidades como
serviço DNS, GUI ou
redirecionamento para login. Isso
pode ser útil quando NxFilter é
utilizado com endereço de IP
público. Você pode
fazer uma ACL com permissões e
exclusões nessa área.
Forçar o backup das configurações. Os arquivos ficarão gravados em ‘/nxfilter/backup’ ou
em /usr/local/nxfilter/backup ou podemos salvar em nosso computador.

Antes de qualquer alteração no nxfilter recomenda-se fazer o BACKUP.

Personalização da página de bloqueio, login e boas
vindas. Quando editar a página de bloqueio podem
ser usados os seguintes parâmetros caso deseje
deixar a página com mais informações.
• #{domain} : Domínio bloqueado
• #{reason} : Motivo do bloqueio
• #{user} : Usuário autenticado
• #{group} : Grupos aos quais o usuário pertence
• #{policy} : Que política foi aplicada
• #{category} : Categorias em que se enquadra ou o
domínio bloqueado
NxFilter tem a possibilidade de trabalhar em cluster. Você pode
ativar seu NxFilter como um nó principal ou secundário
em um Cluster. Após alterações na configuração do cluster você
precisa reiniciar seu NxFilter para que as mudanças
sejam aplicadas.
NxFilter é basicamente um servidor DNS com a habilidade de aplicar filtros. Estes são os
parâmetros relacionados a configuração do Serviço DNS.
Upstream DNS server
NxFilter funciona como um servidor de encaminhamento DNS. É obrigatório ter
ao menos um servidor de Upstream DNS para o NxFilter.
Upstream DNS Query Timeout
Timeout para uma consulta DNS retornar do seu servidor Upstream DNS.
Upstream DNS Load Balance
Opção para ativar balanceamento de carga entre seus servidores de upstream
DNS.
Max Client Cache TTL
O TTL pode ser modificado para uma resposta de registro DNS a partir do
NxFilter. Se for definido o valor ‘60’
o NxFilter modificará o cache TTL para ‘60’ caso ele seja superior a esse valor.
• 0 - Ignorará o valor TTL enviado pelo servidor Upstream
• 60 - Ignora somente se o valor for inferior a ‘60’, caso seja superior força com
que o mesmo seja ‘60’
A ideia principal dessa funcionalidade é minimizar os efeitos causados pelo cache
dns do cliente. Em todo caso se no seu ambiente houver mais de 1.000 usuários
é interessante desligar essa funcionalidade de alteração do TTL para obter
melhor performance.
Response Cache Size
NxFilter tem seu próprio cache DNS, que é alimentado a partir do servidor
Upstream. Geralmente, quanto maior o cache melhor a performance.
Use Persistent Cache
O NxFilter mantém 1 milhão de registros DNS em seu próprio banco. Tendo um
cache constante você não perderá acesso aos domínios acessados na sua rede,
mesmo que os servidores DNS da sua região caiam. Seus usuários terão acesso
sem problemas.
Minimal Responses
É possível enviar somente os registros ‘Answer’ em uma resposta DNS do NxFilter
e ignorar seções como ‘Additional’ e ‘Autority’, reduzindo assim o tamanho do
pacote a ser retornando e melhorando a performance.
Local DNS Server
Quando há um servidor DNS para resolver os endereços do domínio interno/local insira o ip dele nessa área.
Você pode inserir múltiplos servidores DNS separando-os por ‘,’ visando redundância.
Local Domain
Quando existe um domínio o qual você deseja fazer o foward para seu servidor DNS local adicione
o mesmo nesse campo. É possível adicionar multimpos domínios separando-os por ‘,’.
Aviso: Não use ‘*’ ou qualquer outro caracter especial para um domínio local
Local DNS Query Timeout
Timeout para uma consulta DNS feita no seu servidor de DNS local.
Upstream DNS Load Balance
Habilitar o balanceamento de carga para seus servidores de DNS locais.
Use Local DNS
Ativa o uso de DNS Local

Nota: Se você configurar um servidor DNS local para seu domínio local, todas as consultas DNS para seu
domínio local serão direcionadas sem regras não tendo autenticação, filtro e registros dessas consultas.
Atualmente a Censura a Internet tem sido algo comum. Quando se utiliza servidores DNS publicos ou de um ISP há a
possibilidade de que suas requisições DNS estejam sendo censuradas. Há ainda questionamentos acerca de que alguns desses
serviços estejam sendo controlados por autoridades sob a aplicação de leis e se aproveitando de suas informações de tráfego.

Para quem deseja uma internet sem esse tipo de controle foi adicionado o recurso DNS over HTTPS a partir da versão 4.2.6 do
NxFilter. É possível utilizar o DNS Cloudflare ou o HTTPS do Google como servidor DNS Upstream. A partir da ativação desse
recursos todas as consultas/requisições DNS do NxFilter estarão criptografadas. Protegendo as solicitações vindas da rede
interna.
Drop Hostname Without Domain: Quando você usa NxFilter ou NxCloud na nuvem, não precisa lidar apenas com os
domínios do nome do host.

Drop Reverse Lookup For Private IP: DROP as consultas de pesquisa inversa para endereços IP privados. Você pode
precisar desta opção ao executar o NxFilter na nuvem.

Allow Reverse Lookup For Server IP: Por padrão, o NxFilter descarta pesquisas reversas para si mesmo. Você pode
permitir isso com essa opção.
Quando você usa NXFilter como um servidor DNS autoritativo você pode precisar configurar um arquivo
de Zona. É utilizado o mesmo padrão usado em arquivos de zona do serviço BIND.

Em algumas situações pode ser necessário importar uma zona DNS a partir de outro servidor DNS. Ao
ser configurada uma zona para transferência, o NxFilter importa a mesma constantemente usando o
protocolo IXFR.
Redirecionamento Domínio para IP ou domínio para domínio é possivel de ser feito com NxFilter.
Ele funciona como um registro DNS alterado.
1. IP user: O Usuário tem um endereço de IP ou um Range de
IPs e será automaticamente vinculado a ele(s).

2. Password user: Se você definir uma senha para um usuário

ele se classifica como ‘password user’. Você pode usar a senha
para se autenticar no NxFilter.

3. LDAP user: Quando você importa usuários dos servidores

LDAP ou AD ele se tornam LDAP users. Podem usar as
credenciais definidas no servidor LDAP ou AD na página de
login do NxFilter.
Propriedades do usuário

• Password : A senha usada para se autenticar

• Work-time Policy : A política que será aplicada quando não estiver em horário livre.
• Free-time Policy : A política aplicada durante o horário livre. Você pode definir o horário livre em ‘Policty- &
Rule > Free Time’.
• Expiration Date : Data em que a conta de usuário expira
• Login Token : Token para filtro em usuários remotos ou autenticação dos mesmos. É criado automaticamente
quando o usuário é criado ou importado.

Quando você tem usuários importados através do LDAP este pode estar cadastrado em diversos grupos e políticas.
Como resultado disso fica a dificuldade em determinar que política será aplicada ao mesmo. Para saber que política
vem sendo aplicada ao usuário use o botão ‘Test’ na listagem dos usuários e verifique o campo ‘Applied Policy’, isso
informa os dados do usuário naquele momento.

Nota: Você pode usar a visão de teste para verificar também a quota ou o volume de dados utilizado por um determinado
usuário ou até resetar esses limites.
Pode-se criar um grupo em ‘User & Group > Group’. Após a
criação de um grupo é possível definir uma política para
este grupo através da edição de suas propriedade. Nessa
mesma área pode também atribuir mebros ao grupo.
Importando usuários e grupos a partir do LDAP ou AD
Você pode importar usuários e grupos do AD em ‘User & Group > Active Directory’.
Por exemplo, se você tem nas instalações um AD nos seguintes moldes
- Controlador de Domínio: 192.168.0.100
- Domínio : nxfilter.local
- Login de Administrador : Administrator
Você definirá os parâmetros dessa forma:
• Host : 192.168.0.100
• Admin : Administrator@nxfilter.local
• Password : your-password
• Base DN : cn=users,dc=nxfilter,dc=local
• Domain : nxfilter.local
Após ter feito a configuração do AD você pode importar os usuários e grupo clicando em ‘IMPORT’. Pode ainda
definir que essa definir que a importação seja executada periódicamente selecionando um intervalor de tempo na
opção ‘auto-sync’.
Autenticação baseada em LDAP

Se você tem um servidor OpenLDAP ou AD, seus usuários pode se autenticar usando as mesmas credenciais registradas no LDAP.
A partir da versão 4.3.4.3, o NxFilter oferece suporte a autenticação usando 802.1x através de um servidor embutido de RADIUS
Account. Isso significa que é possível ter single sign-on em smartphone e diversos dispositivos móveis em sua rede. Só é
necessário importar usuários e grupos do seu servidor AD, LDAP do Google G Suite para que seus usuários estejam sincronizados
na base do NxFilter.

Como funciona
O protocolo Radius Accounting recebe os usuários através da autenticação do Wi-FI. O Nxfilter age como um servidor RADIUS
accounting e é necessário que o roteador Wi-Fi envie as requisições de RADUS Accounting para o NxFilter.
Advertencia.
•Vale destacar que o NxFilter não faz a parte de autenticação do RADIUS, essa parte é feita pelo seu servidor de autenticação
RADIUS.
•Caso esteja usando o Active Diretory (AD) seu servidor de autenticação pode ser o NPS - Windows Network Policty Server. Então
o NxFilter não quebra a cadeia de autenticação do RADIUS.
 Single sign-on with Active Directory using VxLogon

Nós introduzimos uma versão de script do NxLogon que é o VxLogon. Percebemos que alguns usuários têm problemas com
o NxLogon, já que é um arquivo EXE e seus softwares antivírus fazem falsos positivos com ele. Então nós escrevemos uma
versão de script do NxLogon usando o VBScript. É mais simples e mais fácil de implantar. O VxLogon é suportado a partir da
v4.1.8 do NxFilter.
Logon único usando o CxLogon
CxLogon é o mais novo agente de logon único do NxFilter introduzido com v4.3 do NxFilter. Ao
contrário do NxLogon ou NxMapper, você não precisa iniciá-lo do GPO ou executá-lo em um
controlador de domínio. Basta instalá-lo em um sistema de usuário e ele criará uma sessão de
login no NxFilter com o nome de usuário logado no sistema em que está sendo executado. Isso
significa que você pode conseguir single sing-on without Active Directory.
Quando o NxFilter é instalado, há somente uma política no sistema que é ‘Default’. Está política
será aplicada a todos se não for feita nenhuma alteração. Para aplicar uma política diferente
para um determinado usuário ou grupo é preciso criar uma nova política e habilitar a
autenticação.
Pontos Prioritários
Se houver várias políticas associadas a um usuário, a política com os maiores pontos será aplicada.

- Ativar filtro
Se você desabilitar esta opção, não haverá bloqueio da política.

- Bloqueie todos
Bloqueie tudo no nível da política.

- Bloco não classificado

Bloquear domínios não classificados.

- Remover anúncio
Bloqueie domínios na categoria 'Anúncios' de Jahaslist com uma página de bloqueio em branco.

* Isso é útil quando você deseja remover anúncios incorporados sem exibir a página de bloqueio do
NxFilter.

- Comprimento máximo do domínio

Existem alguns malwares usando o próprio nome de domínio como um protocolo de mensagens. Esses
domínios são anormalmente longos, enquanto o tamanho da maioria dos domínios tem menos de 30
caracteres. Você pode definir um limite para o tamanho de um domínio para bloquear esses domínios
anormais. Para evitar ter falsos positivos, o NxFilter não aplica 'Max Domain Domain' contra 100.000
domínios conhecidos.

- Bloquear canal secreto

Alguns malwares ou botnets estão usando o protocolo DNS como sua ferramenta de comunicação. Eles
estão usando consultas e respostas DNS para se comunicar.

- Bloquear Mailer Worm

Normalmente, você não deve ver a consulta MX no seu PC cliente. Quando o NxFilter encontra uma
consulta do tipo MX no PC do cliente, isso ocorre com relação a alguns malwares que tentam enviar e-
mails.

- Permitir apenas um registro 'A'

Essa é a maneira mais rigorosa de filtrar malwares e botnets utilizando o protocolo DNS como
ferramenta de comunicação. Se você é um trabalhador de escritório comum, não precisa usar nenhum
tipo especial de consulta DNS. Com essa opção ativada, o NxFilter permite apenas A, AAAA, PTR,
CNAME e os outros tipos de consultas DNS serão bloqueados.
- Quota
O NxFilter possui o recurso de tempo de cota. Você pode permitir que seus usuários navegem em alguns sites por um determinado período de tempo.

- Quaota All
Aplique cota a todos os domínios, incluindo domínios não classificados.

- Limite de banda larga

Você pode definir um limite de consumo de largura de banda no nível da política.

Esse recurso requer a importação de dados do NetFlow do seu roteador ou firewall. Para saber mais, leia Controle de largura de banda com o NxFilter.

- Pesquisa segura
Aplicação da Pesquisa segura contra Google, Bing, Youtube.

* No momento, alternar entre 'Moderado' e 'Estrito' faz diferença apenas para o YouTube.

- Tempo de bloco
Você pode definir o horário de bloqueio no nível da política.

- Apenas registro
Monitorando a atividade do usuário sem bloqueá-los.

- Categorias bloqueadas
Você pode bloquear domínios por categorias.
Categorias bloqueadas:

Você pode bloquear domínios por categorias.

Quotaed Categories:

Se você marcar algumas categorias em 'Quotaed Categories', seus usuários poderão acessar os sites nas categorias pelo
período de tempo especificado com 'Cota' acima. Quando um usuário consumir sua cota, as solicitações de DNS para
esses sites serão bloqueadas.
Você pode definir um período livre global em ‘Policy & Rule > Free Time’. Se for atribuído um período livre para
usuários ele estará subordinado ao horário definido aqui.

Nota: Se a hora inicial for maior que a hora final então ela funcionará da seguinte forma ‘hora-fim ~
24:00’ e ‘00:00 ~ hora-inicio’ no mesmo dia. Você pode definir um tempo livre específico para um grupo
em ‘User & Group > Group > EDIT’.
O NxFilter suporta filtragem remota e controle de aplicativos pelo NxClient. Para mais detalhes, leia:

https://www.nxfilter.org/tutorial.html#agent-nxclient
No NxFilter, existem categorias de sistema e categorias personalizadas. As categorias do sistema já estão definidas
pelo banco de dados de categorização de domínio. Mas você pode criar suas próprias categorias personalizadas.
Você pode adicionar domínios a essas categorias personalizadas do sistema / e bloquear domínios por essas
categorias.
Se você deseja descobrir em qual categoria um domínio se enquadra, use 'Categoria> Teste de Domínio'.
DNS Test Timeout: o NxClassifier classifica apenas os domínios existentes. Então, ele faz o teste de DNS primeiro.

- HTTP Connection Timeout: após o teste do DNS, agora é necessário baixar uma página da web para analisar. Este é o valor do tempo limite da conexão para a conexão HTTP.

- HTTP Read Timeout: este é o valor do tempo limite de leitura de dados após a conexão HTTP.

- Classified Data Retention Days: o NxClassifier mantém o log de resultados da classificação para os domínios classificados recentemente. O NxClassifier não faz a classificação nesses domínios
já classificados.

- Keep HTML Text: o NxClassifier extrai o texto da primeira página de um site e o mantém para reclassificação. Mas isso requer mais espaço em disco para que você possa decidir manter o texto
ou não.

- Disable Domain Pattern Analyzer: o NxFilter possui um processo de classificação de domínio com base nos padrões de domínio. Se um domínio puder ser classificado por esse analisador de
padrões de domínio, o NxClassifier não tentará classificá-lo por outros métodos.

- Disable Cloud Classification: quando o NxClassifier falha na classificação de um domínio, o classificador baseado em nuvem da Jahastech tenta classificá-lo.

- Disable Classification: você pode desativar a classificação, se desejar.

Conjunto de regras por categoria com suas experssões regulares, não mexeremos nesse lista a não ser que
seja necessário.
Este é o log de resultados da classificação pelo NxClassifier. Ele mostrará os domínios classificados recentemente e como
eles são classificados ou não classificados. Com base nesse resultado da classificação, você pode melhorar seu conjunto de
regras de classificação.

* Com o botão 'TEST', você executa o processo de classificação real de um domínio com seu conjunto de regras atual.

* Se você deseja aplicar um novo conjunto de regras de classificação aos sites já classificados, use o botão 'RECLASSIFY
ALL'.
Excluídos

Excluímos os domínios que cometem determinados erros durante o processo de classificação. Por exemplo, se tivermos uma
resposta de um site, não precisamos tentar classificá-lo, pois não podemos acessar o site. Ou se obtivermos um arquivo de
imagem ou algum outro tipo de arquivo em vez de um texto ou arquivo HTML, iremos excluí-lo.

* Como não excluímos esses domínios excluídos se você quiser permitir que o NxClassifier tente classificar um domínio
excluído, será necessário excluí-lo da lista primeiro.
Podemos fazre o download ou mesclar blacklists da internet em Jahaslist e Globallist, quando
adicionamos uma URL aqui ela só será proccessada durante a noite.
Você pode visualizar o conteúdo do Jahaslist e modificá-lo diretamente aqui. Mas não recomendamos que você faça
a reclassificação aqui, a menos que seja uma importação em massa de domínios. Mantemos o Jahaslist em um
arquivo DB separado e o NxFilter não faz backup automático para ele. Portanto, é melhor fazê-lo em 'Category>
System', pois os domínios reclassificados serão armazenados no banco de dados principal de configuração.
Execução de teste

Depois de adicionar suas próprias regras de classificação, você deseja ver a eficácia delas. Você pode fazer um
teste para o seu conjunto de regras de classificação em um site aqui.

* 'Test Run' não faz classificação real.

Isso é para criar uma lista de permissões / lista negra por um domínio ou uma palavra-chave.

- Bypass Authentication: Para permitir que seus usuários acessem alguns sites sem autenticação, use esta
opção.

- Bypass Filtering: para excluir alguns domínios da sua filtragem, marque esta opção.

- Bypass Logging: Quando você tem muitos dados de log para um domínio que não lhe interessa, você pode
ignorar o log do domínio.

- Admin Block: para bloquear alguns domínios sem configurar uma política, use esta opção. Esta opção
substitui 'Bypass Filtering'.

- Drop Packet: Quando você quiser ignorar completamente e não responder às solicitações de um domínio
específico, marque esta opção.

* Você pode usar um asterisco para incluir subdomínios.

ex) * .nxfilter.org
Poemos também criar filtros ou listas negras baseadas em palavras-chave (KeyWord)

Podemos criar uma lista de domínios

comuns que se tem a necessidade de
acesso.
Logging> Request'. Os dados de registro estão sendo atualizados uma vez a cada minuto para reduzir a carga do sistema.
'Logging> Signal', você tem o log dos sinais dos agentes do NxFilter.
'Logging> NetFlow', você tem os dados do NetFlow importados.

NetFlow: Controle de banda.