Nxfilter BR Tutorial

NxSkinBR Documentation
Release 0.2
Bruno Emanuel
mar 27, 2017

Sumrio
1 Iniciando 3
1.1 Requisitos Bsicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 Instalando o NxFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3 Atualizando o NxFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.4 Iniciar e/ou Parar NxFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.5 Configurando o Cliente DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.6 Integrao com o Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.7 Quando o NxFilter no Inicializa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.8 Instalando o NxCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2 Categorias - Blacklist e Domnios 17

2.1 O que uma blacklist/lista negra ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.2 Usando a Jahaslist, Cloudlist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.3 Atualizando a Shallalist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.4 Reclassificao de um domnio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3 Autenticao 21
3.1 NxFilter e Autenticao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2 Single Sign-On com AD usando NxLogon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3 Single sign-on com AD usando NxMapper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.4 SSO com AD, OpenLDAP usando NxClient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.5 Script de Login Personalizado para SSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.6 A Ordem dos mtodos/modos de autenticao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4 Entendendo a GUI 31
4.1 GUI - Config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2 GUI - DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.3 GUI - Usurio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.4 GUI - Policy / Poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.5 GUI - Categoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.6 GUI - NxClassifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.7 GUI - Whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.8 GUI - Dashboard, Logging, Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5 Agentes/Clientes 45
5.1 Diferenas entre os agentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
5.2 NxClient e filtro de usurio remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
i
5.3 NxUpdate e atualizao dinmica de IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
5.4 Controlando aplicaes com NxClient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.5 Proxy filter com NxClient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.6 Instalando NxClient ou NxUpdate no Mac OS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.7 NxBlock para Chromebook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.8 NxForward para ocultar falhas no SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6 NxCloud 55
6.1 O que NxCloud? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
6.2 Custos de uso do NxCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
6.3 Instalao do NxCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.4 Diferenas entre NxFilter e NxCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.5 Tipos de Contas Business and Home . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.6 Criando Bilhetagem prpria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
6.7 NxRelay - para identificar usurios de outras redes . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
7 Customizao ou melhorias do NxFilter e seus clientes 63

7.1 GUI - Estrutura de diretrios e padronizao dos nomes . . . . . . . . . . . . . . . . . . . . . . . . 63
7.2 GUI - Acessando a base de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
7.3 GUI - Javadoc para classes Dao and Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
7.4 Propriedades OEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
7.5 Modelos para email e pgina de bloqueio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
7.6 Outros pontos para se observar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
7.7 Criando seu prprio pacote de instalao dos agentes . . . . . . . . . . . . . . . . . . . . . . . . . . 67
8 NxClassifier 71
8.1 O que NxClassifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
8.2 Por que usar o NxClassifier? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
8.3 Jahaslist e sua estrutura de diretrios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
8.4 Entendendo o fluxo de trabalho do NxClassifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
8.5 O que uma regra de classificao? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
8.6 Ajustes de performance no NxClassifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
8.7 Repositrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
9 Servidor DNS 77
9.1 Forward . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
9.2 Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
9.3 DNS Autoritativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
9.4 DNS Dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
9.5 Evitando ataques DDOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
10 Diversos 81
10.1 Cluster com NxFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
10.2 Controle de Banda com NxFilter ( Bandwidth ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
10.3 Detectando e prevenindo aes de malware/botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
10.4 Removendo anncios embutidos em pginas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
10.5 Exportar Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
10.6 Ajustes de performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
10.7 Permisso de Acesso aos Relatrios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
11 FAQ 89
11.1 Posso burlar o NxFilter usando endereo IP para acessar sites? . . . . . . . . . . . . . . . . . . . . . 89
11.2 Mesmo tendo alterado o NxFilter continua bloqueando/permitindo o acesso ao site . . . . . . . . . . 89
11.3 Como obrigar o usurio a usar o NxFilter? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
11.4 Como o NxFilter determina que poltica aplicar a um usurio? . . . . . . . . . . . . . . . . . . . . . 90
ii
11.5 Qual forma mais rpida de bloquear facebook.com? . . . . . . . . . . . . . . . . . . . . . . . . . 90
11.6 Desejo bloquear o facebook.com apenas para um determinado grupo . . . . . . . . . . . . . . . . . 90
11.7 Como alterar a porta do servidor web do NxFilter? . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
11.8 Como resetar a senha de administrador? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
11.9 Posso vincular o NxFilter a um determinado endereo IP? . . . . . . . . . . . . . . . . . . . . . . . 91
11.10 Como fazer o bypass do meu domnio local? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
11.11 Tenho de usar a correspondncia exata do que estou pesquisando no log ? . . . . . . . . . . . . . . . 92
11.12 Por que preciso autenticar novamente aps a parada para almoar? . . . . . . . . . . . . . . . . . . . 92
11.13 Como aplicar meu prprio certificado SSL? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
11.14 Como habilitar o modo de debug? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
11.15 Como oculto o alerta de SSL? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
11.16 No vejo o nome do meu usurio em Logging > Request . . . . . . . . . . . . . . . . . . . . . . . 93
11.17 Como evitar qualquer registro de log? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
11.18 Como alterar a timezone? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
11.19 Meus Browsers ficam fechando e abrindo aps o NxClient iniciar . . . . . . . . . . . . . . . . . . . 94
11.20 Como forar o usurio a fazer o logout? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
11.21 NxFilter deixa de funcionar aps o erro Queue full . . . . . . . . . . . . . . . . . . . . . . . . . . 94
iii
iv
NxSkinBR Documentation, Release 0.2
Contedo:
Sumrio 1
2 Sumrio
CAPTULO 1
Iniciando
A forma mais rpida de iniciar o uso de NxFilter seguindo esses passos
Requisitos Bsicos
Windows, Linux, FreeBSD ou Sistema Operacional que rode Java ( JRE ) 7 ou superior instalado.
512 MB RAM.
4 GB de espao em disco.
Portas Liberadas: 53/UDP, 80/TCP, 443/TCP.
Aviso: NxFilter pode ser executado com hardware inferior quando h poucos usurios, porm
recomendado se ter mais que 1 GB de memria RAM e 40 GB de espao em disco, principalmente
quando se tem mais de 1.000 usurios.
Nota: Por padro NxFilter configurado para usar 512 MB de RAM. Essa configurao pode no ser
suficiente para um ambiente maior. aconselhado aumentar o limite de memria para a JVM no seu
script de inicializao. Em startup.sh mude o valor 512m para valores superiores.
Instalando o NxFilter
Qual instalar?
O NxFilter tem 3 variaes:

1. NxFilter v4
3
Pode ser usado para qualquer prposito, inclusive para uso comercial. A licena de uso do NxFilter v4
permite este ser modificado, ajustado, adaptado e redistribuido. A lista Jahaslist pode ser usada para teste
por 30 dias sem nenhuma restrio, aps o prazo a lista fica com liberao para 20 usurios.
2. NxFilter v3
Gratuito para uso em residncias, sem ganho financeiro ou sem uso comercial. Pode ser distribuido sem
nenhuma alterao. Suporta a Shallalist.
3. NxCloud
Outra variao do NxFilter para rea comercial com ambientes variados, feito para uso na Cloud.
Instalando no Windows
O pacote de instalao do Windows disponibilizado no nosso site. Quando fizer o download e executar nxfilter-
x.y.z.exe aparecer a seguinte tela
Aps diversos Next, dever ser criado o servio do NxFilter no Windows. Se for retornada a seguinte mensagem,
tudo ocorreu bem.
4 Captulo 1. Iniciando
Para acessar a interface administrativa, abra o browser de sua preferncia e acesse pelo endereo
http://localhost/admin. Ou se voc tiver criado - durante a instalao - o cone no desktop, d dois cliques no mesmo.
Se a tela abaixo aparecer o NxFilter est ativo.
Nota: No primeiro login o usurio admin e a senha admin.
1.2. Instalando o NxFilter 5

Instalando no Debian
disponibilizado o pacote deb para o Ubuntu/Debian Linux na rea de Downloads. Para instal-lo, primeiro instale
o Java e o Sudo. Baixo o pacote atravs do comando wget e ento instale usando o comando dpkg. Feito isso bastar
inici-lo usando o script instalado atravs com o pacote.:
$ su - root
$ apt-get install openjdk-7-jre sudo
$ wget http://www.nxfilter.org/download/nxfilter-4.0.6.deb
$ sudo dpkg -i nxfilter-4.0.6.deb
$ systemctl enable nxfilter
$ systemctl start nxfilter
Em verses do Debian anteriores a 8, ele dever estar usando o Upstart ao invs do SystemD. Para esses casos o
procedimento de parada e inicializao do servio deve ser:
$ sudo stop nxfilter

$ sudo start nxfilter
Para acessar a interface administrativa, abra o seu browser de preferncia e entre o endereo http:
//<ip_servidor_nx>/admin. Se, por exemplo, voc instalou o servidor NxFilter em uma mquina com o IP
192.168.100.2 digite http://192.168.100.2/admin.
O procedimento de atualizao bem simples, garanta que o servio do NxFilter esteja parado.:
$ sudo systemctl stop nxfilter.service

$ sudo systemctl start nxfilter.service
Em verses do Debian anteriores a 8, ele dever estar usando o Upstart ao invs do SystemD. Para esses casos o
$ sudo stop nxfilter

Instalando no Ubuntu
disponibilizado o pacote deb para o Ubuntu Linux na rea de Downloads. Para instal-lo, primeiro instale o Java.
Baixo o pacote atravs do comando wget e ento instale usando o comando dpkg. Feito isso bastar inici-lo usando
o script instalado atravs com o pacote.:
$ sudo apt-get install openjdk-8-jre

$ wget http://www.nxfilter.org/download/nxfilter-4.0.6.deb
$ sudo systemctl start nxfilter
$ sudo systemctl stop nxfilter.service
$ sudo systemctl start nxfilter.service
Em verses do Ubuntu anteriores a 16.04, ele dever estar usando o Upstart ao invs do SystemD. Para esses casos o
$ sudo stop nxfilter $ sudo start nxfilter
Instalando no Alpine Linux
A verso usada para exemplo o Alpine Linux 3.4.0.

Para instalao no Alpine Linux ser usado o pacote zip disponibilizado na rea de Downloads.
Como pr-requisito necessrio instalar o OpenJDK, nesse caso instalaremos o OpenJDK 8.
No Alpine o pacote do OpenJDK disponibolizado no repositrio community, entre em /etc/apk/
repositories e dever haver uma linha descomentada como a descrita: http://dl-2.alpinelinux.org/
alpine/v3.4/community
Aps esse procedimento instale o OpenJDK JRE 8.
$ su - root
# apk --update add openjdk8-jre ca-certificates
# update-ca-certificates
Aviso: O comando update-ca-certificates pode retornar uma mensagem de alerta Warning porm isso no
prejudicial para o processo
Aps a instalao do Java faa o download do pacote do NxFilter atravs do comando wget e ento descompacte
usando o comando unzip.
$ su - root
# cd ~
# wget -t0 -c http://www.nxfilter.org/download/nxfilter-4.0.6.zip
# cd /
# mkdir nxfilter
# cd nxfilter
# unzip ~/nxfilter-4.0.6.zip
# chmod +x /nxfilter/bin/*.sh
Feito isso vamos criar os scripts para iniciar e parar o NxFilter, para que o mesmo fique como servio e inicie/pare
automaticamente no Alpine Linux.
$ su - root
# cd /etc/local.d
# echo '/nxfilter/bin/startup.sh -d' > nxfilter.start
# echo '/nxfilter/bin/shutdown.sh' > nxfilter.stop
# chmod +x nxfilter*
# rc-update add local

Agora vamos inicializar o sistema:
$ su - root
# service local start
Para saber se o mesmo est em execuo, espere alguns segundos aps inicializar e entre com o comando:
$ /nxfilter/bin/ping.sh
Atualizando
$ su - root
# cd /nxfilter
# /nxfilter/bin/shutdown.sh
-- Aguarde alguns segundos
# unzip ~/nxfilter-4.0.x.zip
# /nxfilter/bin/startup.sh
Instalando em outras distribuies Linux
Em geral, quando se instala o NxFilter em sistemas Linux:
* preciso ter acesso como usurio ``root``

* Ter o Java 7 ou superior instalado
* Pode iniciar NxFilter em modo daemon usando o parmetro '-d' ao executar o
script ``startup.sh``
1. Baixe o arquivo nxfilter-x.y.z.zip a partir da rea de Download.

2. Extraia o arquivo zip na pasta /nxfilter
3. Entre na pasta /nxfilter/bin e execute chmod +x *.sh
4. Execute startup.sh
1. Para acessar a GUI de administrao, entre com o endereo ip do servidor NxFilter no browser, http:
//<ip_servidor>/admin. Usurio e senha inicial so admin e admin.
Nota: Voc pode inicializar o NxFilter automticamente usando o arquivo /etc/rc.local. Considerando que o Nx-
Filter fora instalando em /nxfilter, basta adicionar a linha /nxfilter/bin/startup.sh -d no arquivo /etc/rc.local. No
esquea do parmetro -d pois ele coloca o servio NxFilter como daemon.
Instalando no Windows manualmente
Para instalar o NxFilter de forma manual, utilize o pacote zip. Ainda sim possvel execut-lo como um servio
Windows com um script batch incluso no pacote.
1. Baixe o arquivo nxfilter-x.y.z.zip na rea de Downloads.
2. Extraia o arquivo zip na pasta c:/nxfilter.
3. Acesse a pasta c:/nxfilter/bin.
4. Execute o script startup.bat.
* Se deseja instalar o NxFilter como um servio no Windows execute ``c:/nxfilter/bin/

instsvc.bat``. Ele criar o servio ``NxFilter``. Para remover o servio rode ``c:/
nxfilter/bin/unstsvc.bat``.
* Para rodar o NxFilter como um servio ``net start NxFilter``.

* Parar o servio ``net stop NxFilter``.
* Utilizando o servio do NxCloud:
Iniciar - net start NxCloud

Parar - net stop NxCloud

Atualizando o NxFilter
So disponibilizados um instalador Windows e um pacote deb para instalao e atualizao do NxFilter. Porm em
alguns casos pode ser mais conveniente usar o pacote zip. Ento para atualizar usando o pacote zip:
1. Faa o download do arquivo nxfilter-x.x.x.zip.
2. Pare o NxFilter.
3. Descompacte o arquivo zip de modo a sobrepor os arquivos j existentes.
4. Inicie o NxFilter.
Iniciar e/ou Parar NxFilter
So disponibilizados alguns scripts para o NxFilter no diretrio /nxfilter/bin:

Iniciar o servio : startup.sh
Parar o servio : shutdown.sh
Verificar se o servio est no ar : ping.sh
No Windows voc pode usar os arquivos .bat invs dos .sh.
Quando rodar o NxFilter como servio no Windows utilize net start NxFilter para iniciar e net stop
NxFilter para parar.
Usando o NxCloud, execute net start NxCloud para iniciar e net stop NxCloud para parar o servio.
Configurando o Cliente DNS
Aps a instalao do NxFilter para monitorar e/ou filtrar a atividade na sua rede voc precisa fazer com que o NxFilter
seja o servidor DNS das sua rede.
Windows
Linux
1.5. Configurando o Cliente DNS 11

A forma mais simples de configurar o Servidor DNS para seus usurios seria modificando a configurao de rede do
sistema operacional conforme mostrado logo acima.
Porm se sua rede tem muitos computadores provvel que voc utilize o servio DHCP. Ento voc s precisa
configurar no seu servidor DHCP informando que o servidor DNS de suas estaes ser o NXFilter.
Se voc tiver um firewall voc pode forar os usurios a usar o NxFilter como servidor de DNS bloqueando qualquer
trfego de sada para 53/UDP e 53/TCP. Assim garantir que o nico servidor DNS utilizado ser o NxFilter.
Integrao com o Active Directory
O NxFilter tem integrao com o AD. A seguir ser explicada a integrao do AD com o NxFilter, quando us-lo e
como implementlo.
O que a integrao com o AD
Um dos motivos para se integrar o NxFilter com o AD ter a possibilidade de aplicar polticas baseados em Usurios e
Grupos. Tambm pode no desejar que os usurios se autentiquem em uma pgina extra de autenticao s para poder
utilizar a internet, permitindo autenticao apenas quando fizessem Login nas estaes de trabalho. Ento a integrao
permite que se use a mesma conta do AD para identificar os usurios e ativar Single Sign-On.
Importao de Usurio
No NxFilter a integrao com o AD funciona importanto os usurios e grupos existentes no AD. Isso significa que
voc permitir o NxFilter acessar seus usurios e grupos. Para fazer esse procedimento acesse User & Group >
Active Directory.
Aps a importao dos usurios e grupos, seus usurios conseguiro usar suas credenciais na pgina de Login do
NxFilter.
Single Sign-On (SSO) com Active Directory
O objetivo do SSO aproveitar as credenciais utilizadas ao se autenticar na mquina, evitando assim que os usurios
tenham de acessar a pgina de login do NxFilter. Para usar a capacidade do Single Sign-On (SSO) alm da integrao
com o AD preciso utilizar um agente com o NxFilter. H diversos Agentes disponveis para tal finalidade. So:
NxLogon
NxMapper
NxClient
NxUpdate
NxBlock
Voc pode usar apenas um deles ou mais de um de modo a se complementarem.
Nota: Para mais informaes, leia as partes sobre Single Sign-On ou os devidos Agentes
Servidor MS DNS e NxFilter
Quando voc publicar o NxFilter em um ambiente com Active Directory voc pode se preocupar com a possibilidade
de quebrar a integridade do servio do AD pelo fato de que o NxFilter atuar como servidor DNS e o papel de servidor
DNS em uma estrutura com AD muito importante. Porm no desabilitaremos ou substituiremos o Servidor DNS
do AD. Nossa abordagem trabalhar com o servidor DNS j existente do AD de forma cooperativa.
Mas a ideia no desabilitar ou substituir o servidor DNS AD existente. Nosso objetivo trabalhar com o servidor
DNS AD de forma colaborativa. Ento voc precisa manter seu servidor MS DNS mesmo que use o NxFilter como
servidor DNS para toda a sua rede.
1. Onde instalar
Em alguns ambientes tentam instalar o NxFilter dentro do prprio controlador de Domnio (AD). Mas como dito antes,
j existe um servidor DNS no AD, o seu servidor MS DNS. O correto instalar o NxFilter em outro servidor de
modo que evite conflito de portas, no caso do DNS ( 53/udp e 53/tcp ).
2. Atualizao dinmica de IP
O Servidor MS DNS no MS Active Directory executa diversas operaes. Ele permite que os terminais/hosts saibam
onde esto os recursos que utilizam registros SRV. E mantem uma Zona DNS para todos os terminais/hosts. Ele
tambm faz atualizao dinmica do IP quando o endereo IP da mquina alterado.
Para manter todas essas coisas funcionando o NxFilter faz um bypass de consultas internas que seriam de cargo do
servidor AD, direcionando automaticamente - de modo transparente - para o servidor MS DNS. Ele entende que se
voc tem um servidor MS DNS no Domain Controller ( DC ) dele que seus usurios so importados.
3. Que servidor upstream utilizar no NxFilter
1.6. Integrao com o Active Directory 13

Voc pode se perguntar sobre que servidor DNS utilizar como upstream para o NxFilter pois voc j tem um servidor
DNS que o seu servidor MS DNS . Voc pode usar qualquer servidor DNS como upstream, inclusive o prprio
servidor MS DNS. O NxFilter continuara direcionando as suas consultas internas para seu servidor AD, isso no
impedir o funcionamento do NxFilter. Ento voc pode usar o servidor DNS que achar melhor.
Aviso: Ao usar seu servidor MS DNS como upstream leve em conta que o mesmo ter permisso
para consulta na internet.
4. Configurao Manual para o servidor MS DNS.

Aps fazer a importao dos seus usurios e grupos no AD, NxFilter tentar automticamente usar seu servidor MS
DNS, baseado nas configuraes da sua importao porm algumas vezes se deseja usar outro servidor MS DNS.
Ou pode se deseja ter uma redundncia do MS DNS. Neste caso, voc pode fazer todas as alteraes na pgina de
configurao do Active Directory na GUI do NxFilter. Para ter redundncia na consulta de servidores DNS voc pode
inserir os servidores separando por vrgulas.
Nota: Voc pode ter de ativar Atualizao Dinmica Insegura em Propriedades na Zona do servidor
MS DNS para que o NxFilter faa a atualizao dos IP das estaes diretamente na Zona.
Exemplo de um ambiente em produo
Suponha que na empresa ACME o ambiente composto por diversos desktops com Windows, alguns Macbooks e
recentemente foram adquiridos muitos Chromebooks. Os usurios da rede ainda trazem seus smartphones Android e
iPhone. E claro para garantir a qualidade dos servios na rede voc tem servidores Linux para manter os sites, sistemas
e compartilhamento de arquivos.
H ainda o interesse de controlar os acessos dentro ou fora do escritrios, mantendo os logins de usurios atravs de
contas no AD.
A primeira coisa a se fazer configurar o NxOEM ( j que estamos em um ambiente empresarial esse o modelo certo
) para importar as contas de usurios e grupos do AD. E ento usar o NxLogon nos desktops Windows.
Porm o NxLogon no funciona nos MacBooks. Para os Mac voc pode usar o NxMapper, s precisa instalar o
NxMapper no controlador de domnio.
J para os notebooks voc pode instalar o NxClient. NxClient atua, basicamente, como um agente de filtro remoto
para o NxFilter mas eles tentaro fazer o SSO quanto estiverem na rede local.
Nota: O NxClient tem verses para Mac e Windows.
Para os Chromebook h a extenso NxBlock. O NxBlock uma extenso para o Chrome e voc pode us-lo como um
agente de filtro remoto ou agente SSO para o AD.
J para seus servidores melhor no filtr-los, ento defina IP esttico para eles e use outro servidor DNS para eles -
afinal - geralmente voc no precisa bloquear nada - de consulta DNS - para os servidores.
Para os smartphones Android e iPhone, no tem preocupao, afinal o NxFilter tem sua pgina de login ( estilo Captive
Portal ) e eles acessaro a mesma normalmente para autenticar.
Quando o NxFilter no Inicializa
Quando o NxFilter no inicializa, a primeira coisa a se verificar o contedo do arquivo de log, geralmente fica em
/nxfilter/log/nxfilter.log. Nesse arquivo possvel encontrar a possvel causa do problema.
Outra parte importante a se verificar se no est havendo conflito de portas e a instalao do Java. O NxFilter usa
as portas: UDP/53, TCP/80, TCP/443, TCP/19001. Para o Cluster usa ainda as portas: TCP/19002, TCP/19003,
TCP/19004. Isto por que alm do NxFilter ser um servidor DNS e Web ( por conta das pginas de administrao,
autenticao e bloqueio ), ele tem as portas prprias para comunicao entre os servios. Ento, caso haja algum outro
servidor DNS ou Web rodando no mesmo servidor o NxFilter no inicializar ou inicializar de modo incorreto.
Sobre a instalao Java, se voc usa o instalador do NxFilter para Windows, na marioria dos casos voc no ter
problema algum, porm, se voc instalar o NxFilter de modo manual ou inicializ-lo manualmente sem usar o gestor
de servios do Windows voc pode encontrar alguns problemas relacionados ao Java. Para evitar esse tipo de problema
o Java dever ser instalado previamente e voc tem de configurar de maneira correta as variveis de ambiente para o
Java.
Se voc est em um ambiente Windows com o Java configurado corretamente, voc receber a seguinte mensagem ao
digitar java na linha de comando.
No ambiente Windows voc dever ter as seguinte variveis:

JAVA_HOME = C:Program FilesJavajre7 PATH = %JAVA_HOME%bin;C:bin
Se est usando um Sistema Operacional Linux, NxFilter tentar encontrar primeiro o java em /usr/bin e depois
em /usr/local/bin ento caso no haja o comando java nesses diretrios voc precisa alterar o scripts em
/nxfilter/bin ou definir a varivel JAVA_HOME com o caminho correto.
Para configurar a varivel PATH para o Java voc pode seguir os passos em
http://java.com/en/download/help/path.xml.
1.7. Quando o NxFilter no Inicializa 15

Instalando o NxCloud
NxCloud nada mais que um NxFilter modificado. possvel instalar e executar o NxCloud da mesma forma como
feito com o NxFilter.
Porm diferente do NxFilter, aps sua instalao, voc ainda no pode usar o servidor DNS. Isso por que o NxCloud
um programa para atender mltiplos clientes visando prestar um servio comercial. suposto que voc no o usar
na sua rede interna. Seus clientes que o usaro em suas redes. Ento voc precisa criar uma conta para cada um dos
seus clientes primeiro.
No NxCloud existem 3 tipos de usurios:
Admin > Operator > User
1. Admin - voc, que administra todos os operadores.
2. Operator - o seu cliente, ele gerencia os usurios finais e as polticas.
3. User - o usurio final, o usurio do servio DNS.
Ento necessrio criar antes o operador. Para fazer isso entre na GUI do NxCloud como administrador
e ento v ao menu Operator. Voc pode criar um operador nessa rea.
Quando for criado um operador ele ter criado por padro um usurio e uma poltica como o mesmo
nome do operador. E a senha padro para o operador tambm o seu nome. Uma vez que seja criado um
operador possvel se autenticar com a conta do mesmo e configurar um usurio para testes.
:: preciso associar seu endereo IP ao usurio padro do seu primeiro operador para poder test-lo.
CAPTULO 2
Categorias - Blacklist e Domnios
O que uma blacklist/lista negra ?
A lista negra/blacklist uma base de dados com domnios organizados por categorias. Esta uma parte essencial para
que um filtro DNS possa bloquear os sites em categorias. NxFilter suporte as seguintes listas negras:
1. Jahaslist
Jahaslist a lista padro do NxFilter. Ela tem suporte a classificao dinmica dos sites atravs do Nx-
Classifier, que um motor de classificao automtica de sites.
Para mais informaes sobre a funcionalidade do NxClassifier e como adicionar registros Jahaslist leia
a seo NxClassifier.
2. Shallalist
Livre somente para uso em residncias. Ela mantida pela http://www.shallalist.de.
3. Cloudlist
Contm a classificao de mais de 30 milhes de domnios e ainda faz classificao de forma dinmica.
Muitas empresas esto usando a base de dados da Komodia em seus produtos comerciais. NxFilter usa os
servios diretamente da nuvem, no sendo necessrio importar ou atualizar a lista.
Usando a Jahaslist, Cloudlist
As listas Jahaslist e Cloudlist so produtos comerciais. Voc pode adquirir a licena em nossa homepage.
Para adquirir a licena da Jahaslist
Para adquirir a licena da Cloudlist
Nota: Temos uma poltica de descontos para organizaes sem fins lucrativos. Para saber mais entre em contato em
suporte @ kernel.inf.br.
17
Ativando a licena
Aps a aquisio da licena para a Jahaslist voc receber um arquivo license.lic. Siga os passos:
1. Copie o arquivo license.lic na pasta conf dentro do diretrio de instalao do nxfilter, ex: /nxfilter/conf.
2. Selecione em Categoria > Sistema a opo de uso da Jahaslist
3. Reinicie o NxFilter
Contando o nmero de usurios
NxFilter contabiliza o nmero de usurios autenticado ou o nmero de endereos IP registrados diaria-

mente. Se um deles excede o nmero de licenas adquiridas aparecer como um usurio bloqueado nos
registros de log do sistema. E os domnios consultados por esses usurios sem licena sero registrados
como No Classificado. Porm como essa uma mensagem de alerta no ocorrer o bloqueio no lado
do usurio.
Nota: Para idenficar quantos usurios tem em sua rede, acesse o relatrio de uso dos ltimos 30 dias em Relatrio >
Uso.
Atualizando a Shallalist
Nota: A Shallalist s suportada na vero 3 do NxFilter.
O NxFilter tem um script para atualizao automtica. Para proceder com a atualizao da lista Shallalist pare o
NxFilter e execute /nxfilter/bin/update_sh.sh. Dependendo da velocidade do seu link de internet esse processo pode
levar um tempo maior para concluir todo o processo.
18 Captulo 2. Categorias - Blacklist e Domnios

Caso seja preciso atualizar a lista no modo manual, baixe a mesma no endereo http://www.shallalist.
de/Downloads/shallalist.tar.gzip e descompacte esse arquivo em /nxfilter/shallalist1/BL
e execute o comando update_sh.sh /nxfilter/shallalist1/BL.
cd /nxfilter/bin
update_sh.sh /nxfilter/shallalist1/BL
Reclassificao de um domnio
possvel adicionar domnios diretamente nas categorias do sistema. Ele trabalha usando os domnios adicionados
nas categorias personalizadas. Mesmo que voc j tenha esse domnio na sua blacklist a classificao personalizada a
sobrepe.
Ento o resultado imediato. No h a necessidade de verificar o relatrio novamente e esperar isso ser refletido.
H duas formas de reclassificao.
1. Adicionar os domnios em Category > System, ou
2. Em Logging > Request, clicar no domnio desejado e uma janela popup permitir a reclassificao.
2.4. Reclassificao de um domnio 19

20 Captulo 2. Categorias - Blacklist e Domnios

CAPTULO 3
Autenticao
O NxFilter prov diversas formas de autenticao, incluindo Single Sign-On integrado com AD
NxFilter e Autenticao
Porqu autenticar?
Quando o NxFilter instalado ele vem com somente uma poltica e ela aplicada a todos os usurios da sua rede.
Porm como faria se voc estivesse trabalhando para uma escola - por exemplo - como administrador de sistemas e
voc deseja aplicar uma poltica baseada em usurios e grupos? Criando para estudantes uma poltica mais rgida
e para professores uma poltica menos restritiva sem ter como identific-los? Ento preciso distinguir os usurios
ativando a autenticao.
Que autenticao usar?
Nxfilter tem suporte a diversos modos de autenticao. possvel escolher um deles ou mescl-los de modo a identi-
ficar atravs de um deles.
1. Autenticao baseada em IP
O modo mais simples de autenticao. Quando se usa IP esttico no desktop est pode ser a melhor
alternativa. Apenas um endereo IP associado a um usurio criado na GUI do NxFilter. possivel
tambm associar uma faixa de IPs a um usurio.
Nota: Muitas pessoas tentam usar a autenticao baseada em IP sem ativar a mesma em Config > Setup. Porm a
autenticao baseada em endereo IP ainda precisa que seja habilitado antes o mtodo de autenticao.
2. Autenticao baseada em Senha
21
Quando ativada a autenticao o NxFilter bloqueia qualquer usurio que tentar usar a Internet, apresen-
tando a pgina de Login - a menos que j tenham se autenticado ou tenham seu endereo IP j associado.
Para passar da pgina de login seus usurios precisam entrar com as senhas definidas antes. Voc pode
setar a senha para cada usurio na GUI NxFilter.
3. Autenticao baseada em LDAP
Se voc tem um servidor OpenLDAP ou AD, seus usurios pode se autenticar usando as mesmas creden-
ciais registradas no LDAP.
Aviso: Para usar essa funcionalidade voc precisa importar seus usurios do servidor LDAP antes.
4. Autenticao por token

NxFilter tem uma funcionalidade especial chamada Login Token.
Ela usada para autenticar usurios remotos ou filtros. Esse token registrado para cada usurio de forma
automtica quando voc o cria ou importa. O Token utilizado para diferenciar usurios remotos com os
agentes NxClient, NxBlock ou IPs dinmicos com NxUpdate.
5. Single Sign-On atravs do AD
Muitas pessoas desejam autenticar seus usurios de forma transparante. Ou simplesmente no querem
que os mesmos tenham de digitar mais uma vez suas credncias.
NxFilter prov integrao com AD. Uma vez que tenha implementado o mesmo seus usurios no pre-
cisaro passar pela tela de autenticao e eles j estaro visiveis na GUI do NxFilter com seus logins e
grupos do AD.
Single Sign-On com AD usando NxLogon
Quando se tem um AD possvel usar o recurso de Single Sign-On e no emitir mais uma solicitao de Login a seus
usurios. Para isso disponibilizado o agente NxLogon. Quando o NxLogon executado ele cria e atualiza a sesso
de login desse mesmo usurio no NxFilter.
Caso no deseje instalar este programa em cada PC na sua rede possvel usar um Script de Logon na GPO. Este
script de logon ser executado toda vez que um usurio se autenticar no AD e lanar o NxLogon.
Nota: Antes de iniciar esse processo preciso importar usurios e grupos do AD. Para import-los leia o procedimento
GUI - Usurio.
Aviso: NxLogon usa a porta 19002/TCP para se comunicar o NxFilter.

Ela precisa estar liberada no seu firewall - caso haja um.
Voc pode seguir esses passos para executar o NxLogon atravs do GPO.
1. Baixe o pacote nxlogon-x.x.zip do <www.nxfilter.org>.
2. Mude o endereo IP em nxlogon.bat para o IP do seu servidor NxFilter. Se estiver usando um cluster Nx
voc pode colocar mltiplos IPs apenas separando-os por espao.
3. Abra Ferramentas Administrativas > Usurios e Computadores do Active Directory em seu Domain Controller
(DC).
22 Captulo 3. Autenticao
4. Abra a aba Poltica de Grupo em Propriedade do seu Domnio AD.
5. Clique no boto Editar e ento v em Configurao do Usurio > Configuraes do Windows > Scripts (
Logon/Logoff )
3.2. Single Sign-On com AD usando NxLogon 23

6. Clique em Logon e clique em Adicionar ento clique em Navegar. Voc ver o diretrio Logon para
selecionar o arquivo. Copie seu nxlogon.bat e nxlogon.exe do diretrio gerado pelo pacote NxLogon, contido
no diretrio Logon. Voc pode arrastar e soltar os arquivos no diretrio.
7. Selecione o arquivo copiado na pasta o nxlogon.bat como um script de logon para adicionar.
8. Agora toda vez que um usurio se autenticar no sistema logon.bat ser executado e vai executar nxlogon.exe.
Voc pode verificar se o processo est rodando no Gereciador de Tarefas do Windows.
3.2. Single Sign-On com AD usando NxLogon 25

Nota: Se deseja fechar a sesso do usurio no NxFilter imeditamente aps o usurio fazer logout use o script
nxlogoff.bat como script de logoff na GPO.
Quando voc rodar mltiplas instncias do NxLogon no mesmo PC com mltiplos usurios ele pode causar confuso
no processo de deteco.Se usurios podem aparecer com nomes diferentes na visualizao do log. Para impedir
mltiplas instncias no mesmo sistema use o parmetro -bm.
Atualmente o suporte ao controle de aplicaes do NxLogon se tornou muito complicado comparado as verses ante-
riores. Se voc deseja usar algo mais simples - sem controle de aplicao - use nxlogon-1.0.-p1.zip disponibilizado
na pgina de download.
Single sign-on com AD usando NxMapper
Enquanto que usar o NxLogon seja a melhor soluo para SSO com AD, algumas pessoas encontram
dificuldade na sua configurao por envolver ajustes de GPO e script de logon.
Ento oferecida uma alternativa mais fcil de implementar o SSO.Quando voc instala o NxMapper no
seu Domain Controller ele vai buscar o nome do usurio e o endereo IP ao se autenticar no AD e cria a
sesso no NxFilter.
Nota: Se deseja usar o recurso de SSO no AD preciso, antes de qualquer coisa, importar usurios e grupos do seu
AD. Para fazer isso leia a parte GUI - User.
Instalando e rodando o NxMapper
O instalador do NxMapper para Windows disponibilizado na nossa seo de Download. Ele instalar o
NxMapper como um servio do Windows. Aps instal-lo, aparecer a tela de configurao.
1. NxMapper precisa ser instalado no Domain Controller.
2. Voc pode adicionar diversos IP separados por vrgulas, caso tenha um cluster de NxFilter.
3. NxMapper usa a porta TCP/19002 para se comunicar com o NxFilter.
Aps modificar os arquivos de configurao, teste sua configurao antes e ento inicie o servio.
Diferena de uso com o NxLogon
Apesar de ser facilmente confundido com o NxLogon, NxMapper tem suas limitaes.
A sesso criada com o NxMapper pode expirar. Enquanto que o NxLogon atualiza as informaes da
sesso a todo minuto, NxMapper cria ou atualiza somente quando o usurio faz algo no controlado de
domnio. Uma vez que a sesso expira os usurios sero redirecionados para a tela de login do NxFilter.
Para evitar que isso ocorra voc pode aumentar o tempo da sesso em Config > Setup > Block and
Authentication > Login session TTL.
Nota: A sesso pode expirar j que o NxMapper no a atualiza. Mas enquanto houver atividade ( consulta de DNS )
o NxFilter renovar a sesso. Ela s chegar a expirar em casos como quando o usurio faz uma grande pausa no uso
do terminal de trabalho.
Terminal server exclusion
Quando o NxMapper usado, podem haver problemas com o Terminal Server do Windows. Se existirem
mltiplos usurios em um s sistema o endereo IP do sistema ser associado ao ltimo usurio detectado
pelo NxMapper. O que significa que seus usurios podem aparecer no NxFilter com um nome diferente.
Para evitar esse tipo de problema a melhor soluo seria vincular um IP para o seu terminal server.
3.3. Single sign-on com AD usando NxMapper 27

SSO com AD, OpenLDAP usando NxClient
NxClient basicamente um servio de controle para usurios remotos como os que tem seus prprios
dispositivos mveis ( Notebooks ). Mas voc pode usar o mesmo no modo SSO em AD ou OpenLDAP.
Uma coisa boa que h verso do NxClient para MAC OS, ento pode ter a funcionalidade de SSO no
MAC OS.
Caso j tenhas usado o NxClient sabers que o SSO possvel por usar o conceito de Login Token.
Mas com esta abordagem um dos problemas que impossvel manter - levando em conta o trabalho -
centenas de instalaes do NxClient com suas prprias Login Token.
Ento disponibilizada uma forma de rodar o NxClient em uma rede local sem definir um
token para cada PC. O que preciso fazer instalar o NxClient usando apenas um Token para
todos os computadores. Ento quando ele inicializa o sistema acessar o servidor NxFilter
nessa rede local e ao se comunicar com o mesmo ele tentar criar uma sesso para o usurio
autenticado atualmente ou o usurio da console.
:: Para que o NxClient seja capaz de encontrar o NxFilter da rede local, preciso usar o NxFilter como
servidor DNS no computador em questo.
Para entender mais sobre NxCliente leia : NxClient - Filtrando usurio Remoto
Script de Login Personalizado para SSO
Atualmente NxFilter suporta SSO com AD. Em todo caso algumas pessoas querem outros tipos de vali-
dadores. Por exmeplo, voc pode querer que o SSO seja aplicado ao seu OpenLDAP.
NxFilter tem uma API para permitir a criao de sesses atravs do protocolo HTTP. Voc precisa escrever
seu prprio script de login para executar uma determinada pgina no servidor Web do NxFilter. E ento
seus usurios no precisaro acessar a pgina de login do NxFilter.
Existem alguns exemplos em /nxfilter/example/login_user.jsp. Inicialmente o acesso a pgina restrito
apenas a localhost, por questes de segurana, mas voc pode editar o arquivo JSP e permitir chamadas a
partir da sua rede local.
O caminho para executar essa pgina :
Nota: http://192.168.0.100/example/login_user.jsp?ip=192.168.0.100&uname=john
Como podes ver a pgina recebe 2 parmetros. O primeiro o IP da mquina do usurio e o segundo o nome do
usurio.
Aviso: No esquea de importar ou criar os usurios no NxFilter.
Um ponto a se considerar quando for feito o script que tem de ser verificar uma forma da pgina ser chamada
periodicamente. Lembre que h no NxFilter o conceito de tempo de sesso. Se no houver atividade de um usurio
autenticado por um determinado tempo a sesso expirar. Ento se voc no deseja que a pgina de Login fique
aparecendo para os seus usurios, preciso fazer o refresh na pgina desse script de tempos em tempos.
H 3 mtodos na classe UserLoginDao que so utilizados pelo script de login:
createIPSession(String ip, String uname) // Cria a sesso de login com IP e usurio
deleteIPSession(String ip) // Fecha a sesso informando o IP
findUser(String ip) // Localiza o usurio com base no IP informado.
Nota: Todas as paginas de exemplo esto em /nxfilter/webapps/example.
A Ordem dos mtodos/modos de autenticao
NxFilter permite diversas formas de autenticao ao mesmo tempo. Porm h uma ordem a ser seguida. Voc precisa
entender essa ordem para poder montar sua configurao de controle.
A ordem :
1. Associar a um determinado IP
Essa associao a primeira, ento verifica se o endereo IP est associado a uma determinado faixa ou permitir alguns
usurios se autenticar sem o procedimento de login.
2. Sesso por IP
Sesso por IP o login sendo criado e mantido no NxFilter atravs de SSO ou pgina de login, exatamente nessa
ordem.
3. IP range association
Quando se faz necessrio permitir o acesso de um usurio qualquer sem que este precise se autenticar voc pode
criar/associar o mesmo a uma faixa de IPs que cubra toda a sua rede.
Mas voc pode desejar distinguir os usurios fazendo a associao atravs de um nico IP ou Sesso por IP. Ento o
vnculo ao range de IPs aplicado por ltimo.
Ento temos a ideia de que Se aplica primeiro o range mais prximo. Se houver faixas de IP cadastradas, quanto
menor a faixa maior a prioridade de aplicao antes das outras faixas.
3.6. A Ordem dos mtodos/modos de autenticao 29

CAPTULO 4
Entendendo a GUI
Entendendo as opes disponveis na interface de administrao do NxFilter
GUI - Config
rea com os principais parmetros de configurao do NxFilter.
Config > Setup > Block and Authentication
Block Redirection IP
o endereo IP do prprio NxFilter. Se houver alguma requisio de um domnio bloqueado, ele ser redireci-
onado para este endereo IP. Geralmente ele preenchido automticamente durante o processo de instalao.
Nota: Para adicionar mais de um endereo IP separe-os por vrgulas. Isso pode ser usado em caso de redundncia ou
cluster.
External Redirection IP
Quando usar um agente remoto para filtrar requisies DNS ( como o NxClient ) voc pode precisar usar um
IP diferente do inserido em Block Redirection IP para casos onde o agente esteja sendo executado fora da sua
rede. Deixando esse campo vazio o sistema usar mesmo registrado em Block Redirection IP para redirecionar
requisies do agente remoto
IPv6 Redirection IP
preciso definir esse endereo quando NxFilter usado como servidor DNS na rede IPv6.
Enable Authentication
Essa opo deve ser ativada quando utilizado algum mtodo de autenticao, inclusive Autenticao vinculada
a IP.
Aps habilitar est opo, qualquer usurio ainda no autenticado ser direcionado para a pgina de login. Desse
modo s conseguiro navegar na internet aps se autenticar.
31
Login Domain
URL para a pgina de login.
Nota: ex) login.nxfilter.org
Logout Domain
URL para forar o trmino da sesso do usurio.
Nota: ex) logout.nxfilter.org
Login Session TTL

NxFilter mantm a sesso do usurio por um tempo determinado. Isso pode ser necessrio para casos em
que o computador seja compartilhado com outras pessoas, desse modo no haver requisies DNS por um
determinado tempo.
Atingindo o tempo definido nesse parmetro a sesso do usurio expira e ele precisar se autenticar novamente.
Config > Setup > Syslog
O NxFilter permite que se exporte os registros para um Servidor Syslog. Voc pode montar seu prprio sistema de
relatrios ou pode monitorar todos os registros em real-time.
Syslog Host
Endereo do servidor para o qual sero enviados os dados.
Syslog Port
Porta UDP usada para se comunicar com o servidor.
Export Blocked Only
Enviar somente os registros de bloqueios.
From Each Node
Por padro, o cluster NxFilter envia os dados para o Syslog apenas pelo n Master. Ativando essa opo, cada
n envia seus prprios dados.
Enable Remote Logging
Ativar o envio para o Servidor Syslog definido em Syslog Host.
Config > Setup > NetFlow
O sistema tem suporte a controle de banda. Isso possvel atravs da importao de dados do NetFlow.
Para mais detalhes leia em Controle de Banda neste mesmo tutorial.
Router IP
O endereo IP do servidor que enviar os dados NetFlow ao NxFilter.
Listen Port
Porta do coletor NetFlow ( Protocolo UDP ).
Run Collector
Ativar o coletor. Aps alterar esse parmetro necessrio reiniciar o NxFilter.
32 Captulo 4. Entendendo a GUI

Config > Setup > Misc
Admin Domain
URL para acesso a GUI de administrao do NxFilter. Se, por exemplo, voc registrar admin.nxfilter.org a rea
de administrao ser acessvel atravs do endereo http://admin.nxfilter.org/admin.
Nota: Isso s funcionar quando voc estiver usando o NxFilter como seu servidor DNS. Caso contrrio voc
precisar registrar o domnio em seu prprio servidor DNS.
Bypass Microsoft Update

Caso sua rede tenha estaes Windows essa opo permite que os updates no sejam bloqueados. Habilitando
esta opo os domnios e subdomnios microsoft.com e windowsupdate.com no exigiro autenticao nem ser
bloqueados.
Logging Retention Period
Tempo em que os registros ficaro armazenados.
SSL Only to Admin GUI
Forar que o acesso a rea de administrao seja feito apenas atravs de HTTPS/Pgina segura. Uma vez que
esta opo seja habilitada voc ser redirecionado para o endereo HTTPS automticamente, mesmo que esteja
colocando o endereo HTTP.
Auto Backup
Backups so executados todos os dias a 01:00 e ficam gravados na pasta /nxfilter/backup. Os arquivos de
backup tero o prefixo auto-.
Agent Policy Update Period
Os agentes disponibilizados pelo NxFilter baixam suas polticas periodicamente. Essa frequncia determinada
por esse parmetro.
Config > Admin
Voc pode alterar o usurio administrador e a senha da GUI de administrao aqui.
Nota: Client Password para configuraes de agentes remotos para filtragem. Ele tem sido usado para acessar a
pgina de configurao do NxBlock
Config > Alert
NxFilter envia um email de alerta informando dos blocks recentes ou caso algum n do cluster caia.
Por exemplo, caso deseje enviar um email de alerta para admin @ nxfilter.org de alert200 @ gmail.com a cada 15
minutos a configurao seria :
Admin email : admin @ nxfilter.org
SMTP host : smtp:gmail.com
SMTP host : 465
SMTP SSL : on
SMTP user : alert200
SMTP password : ****
4.1. GUI - Config 33

Alert period : Every 15 minutes
Config > Allowed IP
NxFilter permite que se faa restrio de acesso baseado em IP para funcionalidades como servio DNS, GUI ou
redirecionamento para login. Isso pode ser til quando NxFilter utilizado com endereo de IP pblico. Voc pode
fazer uma ACL com permisses e excluses nessa rea.
Config > Backup
Forar o backup das configuraes. Os arquivos ficaro gravados em /nxfilter/backup.
Config > Block Page
Personalizao da pagina de bloqueio, login e boas vindas. Quando editar a pgina de bloqueio podem ser usados os
seguintes parmetros caso deseje deixar a pgina com mais informaes.
#{domain} : Domnio bloqueado
#{reason} : Motivo do bloqueio
#{user} : Usurio autenticado
#{group} : Grupos aos quais o usurio pertence
#{policy} : Que poltica foi aplicada
#{category} : Categorias em que se enquadra ou o domnio bloqueado
Config > Cluster
NxFilter tem a possibilidade de trabalhar em cluster. Voc pode ativar seu NxFilter como um n principal ou secundrio
em um Cluster. Aps alteraes na configurao do cluster voc precisa reiniciar seu NxFilter para que as mudanas
sejam aplicadas.
GUI - DNS
NxFilter basicamente um servidor DNS com a habilidade de aplicar filtros. Estes so os parmetros relacionados a
configurao do Servio DNS.
DNS > Setup > DNS Setup
Upstream DNS server

NxFilter funciona como um servidor de encaminhamento DNS. obrigatrio ter ao menos um servidor de
Upstream DNS para o NxFilter.
Upstream DNS Query Timeout
Timeout para uma consulta DNS retornar do seu servidor Upstream DNS.
Upstream DNS Load Balance
Opo para ativar balanceamento de carga entre seus servidores de upstream DNS.

Max Client Cache TTL

O TTL pode ser modificado para uma resposta de registro DNS a partir do NxFilter. Se for definido o valor 60
o NxFilter modificar o cache TTL para 60 caso ele seja superior a esse valor.
0 - Ignorar o valor TTL enviado pelo servidor Upstream
60 - Ignora somente se o valor for inferior a 60, caso seja superior fora com que o mesmo seja 60
A ideia principal dessa funcionalidade minimizar os efeitos causados pelo cache dns do cliente. Em todo caso
se no seu ambiente houver mais de 1.000 usurios interessante desligar essa funcionalidade de alterao do
TTL para obter melhor performance.
Desativando essa funcionalidade colocando o valor 0 poder fazer com que alguns controles como o de Quota
no tenham a funcionalidade esperada j que o Cliente poder demorar mais para consultar o registro DNS.
Response Cache Size
NxFilter tem seu prprio cache DNS, que alimentado a partir do servidor Upstream. Geralmente, quanto maior
o cache melhor a performance.
Nota: Atualmente o NxFilter comporta 200.000 registros e suficiente para a maioria dos ambientes.
DNS > Setup > Local DNS
Local DNS Server

Quando j um servidor DNS para resolver os endereos do domnio interno/local insira o ip dele nessa rea.
Voc pode inserir mltiplos servidores DNS separando-os por , visando redundncia.
Local Domain
Quando existe um domnio o qual voc deseja fazer o foward para seu servidor DNS local adicione
o mesmo nesse campo. possvel adicionar multimpos domnios separando-os por ,.
Aviso: No use * ou qualquer outro caracter especial para um domnio local
Local DNS Query Timeout

Timeout para uma consulta DNS feita no seu servidor de DNS local.
Upstream DNS Load Balance
Habilitar o balanceamento de carga para seus servidores de DNS locais.
Use Local DNS
Ativa o uso de DNS Local.
Nota: Se voc configurar um servidor DNS local para seu domnio local, todas as consultas DNS para seu
domnio local sero direcionadas sem regras no tendo autenticao, filtro e registros dessas consultas.
DNS > Setup > Dynamic DNS
NxFilter suporta o servio de DNS dinmico. Para saber como leia,Servidor DNS Dinmico nesse
mesmo tutorial.
4.2. GUI - DNS 35

DNS > Zone File
Quando voc usa NXFilter como um servidor DNS autoritativo voc pode precisar configurar um arquivo
de Zona. utilizado o mesmo padro usado em arquivos de zona do servio BIND. Para saber mais sobre
servidores de DNS Autoritativos, acesse nesse tutorial.
DNS > Redirection
Redirecionamento Domnio para IP ou domnio para domnio possivel de ser feito com NxFilter. Ele
funciona como um registro DNS alterado.
GUI - Usurio
Voc pode criar ou importar usurios e grupos nessa rea. H suporte a importao de usurios do AD ou OpenLDAP.
Criando o usurio
Para criar um usurio v em User & Group > User. Existem 3 tipos de usurios no NxFilter
1. IP user
O Usurio tem um endereo de IP ou um Range de IPs e ser automaticamente vinculado a ele(s).
2. Password user
Se voc definir uma senha para um usurio ele se classifica como password user. Voc pode usar a senha
para se autenticar no NxFilter.
3. LDAP user
Quando voc importa usurios dos servidores LDAP ou AD ele se tornam LDAP users. Podem usar as
credenciais definidas no servidor LDAP ou AD na pgina de login do NxFilter.
Propriedades do usurio
Password : A senha usada para se autenticar

Work-time Policy : A poltica que ser aplicada quando no estiver em horrio livre.
Free-time Policy : A poltica aplicada durante o horrio livre. Voc pode definir o horrio livre em Policty- &
Rule > Free Time.
Expiration Date : Data em que a conta de usurio expira
Login Token : Token para filtro em usurios remotos ou autenticao dos mesmos. criado automaticamente
quando o usurio criado ou importado.
Testando um usurio
Quando voc tem usurios importados atravs do LDAP este pode estar cadastrado em diversos grupos e polticas.
Como resultado disso fica a dificuldade em determinar que poltica ser aplicada ao mesmo. Para saber que poltica
vem sendo aplicada ao usurio use o boto Test na listagem dos usurios e verifique o campo Applied Policy, isso
informa os dados do usurio naquele momento.

Nota: Voc pode usar a viso de teste para verificar tambm a quota ou o volume de dados utilizado por um determi-
nado usurio ou at resetar esses limites.
Criando um grupo
Pode-se criar um grupo em User & Group > Group. Aps a criao de um grupo possvel definir uma poltica para
este grupo atravs da edio de suas propriedade. Nessa mesma rea pode tambm atribuir mebros ao grupo.
Importando usurios e grupos a partir do LDAP ou AD
Voc pode importar usurios e grupos do AD em User & GRoup > Active Directory.
Por exemplo, se voc tem nas instalaes um AD nos seguintes moldes
- Controlador de Domnio: 192.168.0.100
- Domnio : nxfilter.local
- Login de Administrador : Administrator
Voc definir os parmetros dessa forma:

Host : 192.168.0.100
Admin : Administrator@nxfilter.local
Password : your-password
Base DN : cn=users,dc=nxfilter,dc=local
Domain : nxfilter.local
Aps ter feito a configurao do AD voc pode importar os usurios e grupo clicando em IMPORT. Pode ainda
definir que essa definir que a importao seja executada peridicamente selecionando um intervalor de tempo na
opo auto-sync.
Nota: Para verificar o funcionamento clique no boto TEST
GUI - Policy / Poltica
Com NxFilter voc pode ter diversas polticas de filtro aplicveis a usurios e/ou grupos.
Criando uma poltica
Quando o NxFilter instalado, h somente uma poltica no sistema que Default. Est poltica ser aplicada a todos
se no for feita nenhuma alterao. Para aplicar uma poltica diferente para um determinado usurio ou grupo preciso
criar uma nova poltica e habilitar a autenticao.
4.4. GUI - Policy / Poltica 37

Editando uma poltica
Aps criar uma poltica voc pode modificar suas propriedades

Priority Points
Se h diversas polticas associadas a um nico usurio, a poltica com o maior valor ser aplicada.
Enable Filter
Se est opo estiver desmarcada essa poltica no efetuar bloqueios.
Block All
Tudo bloqueado
Block Unclassified
Bloqueia domnios no classificados.
Ad-remove
Bloqueia domnios que estejam na categoria Ads da Jahashlist colocando uma pgina em branco.
Nota: muito til pro caso de remover ads embutidos em pginas e no distorcer mostrando a pgina de bloqueio do
nxfilter.
Max Domain Length

Existem alguns malwares que usam um domnio prprio como um protocolo de mensagem. Esses domnios so ex-
tensos de forma anormal, enquanto a maioria dos domnios tem menos de 30 caracteres. Voc pode definiar um limite
para esse tamanho.Para previnir falso positivo NxFilter no aplica Max Domain Length contra 100 mil domnios
conhecidos.
Block Covert Channel
Alguns malwares ou botnets usam o protocolo DNS como ferramenta de comunicao. Eles usam consultas DNS e
respostas para se comunicar uns com os outros.
Block Mailer Worm
incomum se ver consultas MX feitas de uma estao de trabalho. Quando NxFilter encontra essa consulta vinda de
uma estao ela provavelmente feita por algum malware tentando enviar emails.
Block DNS Rebinding
Quando NxFilter identifica um IP privado (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) nos pacotes de respostas DNS
ele ser bloqueado, sendo tratado como um ataque de DNS Rebinding.
Nota: Se voc tem seu prprio registro DNS com IP privado voc precisa colocar o bypass do domnio
na whitelist.
Allow 'A' Record Only

Esta a forma mais restrita de filtrar malwares e botnets que usam o protocolo DNS como ferramenta de comunicao.
Se voc tem um tpico escritrio no precisa usar nenhum tipo de registro DNS especial. Com essa opo o NxFilter
permite apenas consultas a registros do tipo A, AAAA, PTR, CNAME e os outros tipos de registros DNS sero
bloqueados.
Quota

NxFilter tem a funcionalidade de quota-por-tempo ( quota-time ). Voc pode permitir que seus usurios naveguem por
certos sites por um determinado tempo. Voc pode definir a quantidade de tempo nesse campo.
Quota All
Aplicar quota a todos os domnios, inclusive os no classificados.
Safe-search
Fora o uso de safe-search no Goolg, Yahoo, Youtube e Bing.
Nota: Para uso com Yahoo obrigatrio o uso de proxy agent rodando no sistema
Block-time
Voc pode definir o perodo em que a poltica de bloqueios aplicada.
Disable Application Control
Inativa o controle de aplicao na poltica.
Disable Proxy Filtering
Inativa o filtro de proxy na poltica.
Logging Only
Monitora somente a atividade do usurio mas no o bloqueia.
Blocked Categories
Permite bloquear consultas DNS por categorias.
Quotaed Categories
Se algumas categorias forem marcadas, ento os usurios que estiverem nessa poltica, s podero acessar os sites
classificados nelas pelo tempo determinado em Quota. Quando o usurio consome o tempo da quota suas requisies
para os sites dentro das categorias em Quotaed Categories sero bloqueadas.
Definir um horrio livre
Voc pode definir um perodo livre global em Policy & Rule > Free Time. Se for atribuido um perodo livre para
usurios ele estar subordinado ao horrio definido aqui.
Nota: Se a hora inicial for maior que a hora final ento ela funcionar da seguinte forma hora-fim ~
24:00 e 00:00 ~ hora-inicio no mesmo dia. Voc pode definir um tempo livre especfico para um grupo
em User & Group > Group > EDIT.
Controle de Aplicao
NxFilter permite o controle de aplicaes atravs de seus agentes: NxLogon e NxClient. Para mais detalhes leia
Controle de Aplicao com NxLogon e NxClient nesse mesmo tutorial.
4.4. GUI - Policy / Poltica 39

Proxy Filtering
NxFilter prov um proxy filter HTTP atravs do NxClient. Para mais detalhes leia Proxy filtering com NxClient
nesse mesmo tutorial.
GUI - Categoria
H categorias do sistema e personalizadas.

Categorias do Sistema so pr-definidas por sua blacklist em uso. Mas voc pode criar suas prprias
classificaes adicionando domnios em categorias do sistema ou personalizadas e bloquear os domnios
atravs dessas categorias.
Atualmente o sistema d suporte a diversos tipos de blacklist. Se voc deseja entender mais leia em
Categorias - Blacklist e Domnios neste mesmo tutorial.
Nota:
Se deseja incluir subdomnios basta usar asterisco. ex) *.nxfilter.org
Caso queira verificar em que categoria est cadastrado determinado domnio, use Category > Domain Test.
GUI - NxClassifier
O NxClassifier tem as seguintes opes nos submenus.
Setup > Classifier Setup
DNS Test Timeout

NxClassifier s classifica os domnios existentes/vlidos. Ento ele primeiro testa o registro DNS antes de
classfic-lo.
HTTP Connection Timeout
Aps testar o registro DNS, a pgina baixada no servidor para anlise. Este parmetro define o timeout para a
conexo HTTP.
HTTP Read Timeout
Este parmetro define o timeout para recebimento dos dados referentes a pgina, medido aps a
conexo HTTP
Nota: Se esses timeouts estiverem com valores muito altos voc pode ter degradao na performance no
momento da execuo do NxClassifier.
Classified Data Retention Days

Este parmetro define quanto tempo a classificao feita a um site pelo NxClassifier fica armazenada. O Nx-
Classifier armazena os resultados da classificao para os sites mais recentes. O sistema no classifica domnios
j categorizados ou que j estejam nos registros de classificao sem qualquer erro.
Disable Domain Pattern Dic
O NxFilter tem um modelo de domnios baseado no processo de classificao

Disable Classification
Desabilita a classificao dos domnios pelo NxClassifier.
Setup > Mass Import
Para importar um arquivo ruleset ou um arquivo Jahaslist exportado de outro sistema. Ele no remove nenhum registro
existente mas sobrepe caso os dados sejam iguais.
Ruleset
Voc pode definir sua prpria ruleset. Ou modificar a ruleset pr-existente. Voc pode exportar a ruleset e compartilhar
com outros.
Classified
Este o log resultante da classificao feita pelo NxClassifier. Ele exibir os domnios classificados recentemente e
qual foi a classificao recebida ou no. Baseado no resultado da classificao voc pode melhorar sua ruleset.
Nota: Com o boto VIEW voc pode visualizar detalhes do log e com o boto TEST voc saber qual a classifi-
cao atual.
Nota: Se deseja aplicar uma nova ruleset de classificao clique em RECLASSIFY-ALL
Excluded
So os domnios que durante o processo de classificao apresentaram algum erro. Por exemplo, se for recebido o
cdigo 403 de um website em processo de classificao no h por que tentar classific-lo pois se entende que o site
est fora do ar. Ou se ao invs de receber um texto ou arquivo HTML receber arquivos que fogem desse padro ele
tambm ser excludo.
Jahaslist
Permite que seja visualizado o contedo da Jahaslist e modifique a mesma diretamente.
Nota: Quando voc executa a reclassificao em Logging > Request ou NxClassifier > Classified suas alteraoes
ficam em Category > system.
Quando voc exporta Jahaslist, o NxFilter faz a juno de suas personalizaes de domnios em Category > System
com a Jahaslist e exporta essa lista em um nico arquivo.
Test Run
Aps adicionar suas prprias regras de classificao voc pode validar usando o Test Run para verificar se o domnio
se enquadra nas regras definidas.
4.6. GUI - NxClassifier 41

Nota: A simples execuo de Test Run no atualiza a classificao do domnio. Para que isso ocorra voc precisa
consultar o servio de DNS do NxFilter para que este entre na lista de classificao.
GUI - Whitelist
Usado para criar a classificao como whitelist/blacklist baseado em um domnio ou ocorrncia.

Bypass Authentication : Quando voc deseja que o devido domnio seja acessvel sem a necessidade de se
autenticar
Bypass Filtering : Quando voc quer que esse domnio/ocorrncia no seja filtrado
Bypass Logging : Para casos em que existem muitos registros de um determinado dominio e isso no interes-
sante guardar
Admin Block : Bloquear sempre, aplicvel quando no quer ter de configurar cada uma das polticas. Isso
bloqueia imediatamente mesmo que j tenha uma outra usando o ByPass Filtering
Nota:
possvel usar asterisco para incluir subdomnios ex) *.nxfilter.org
GUI - Dashboard, Logging, Report
NxFilter armazena os registros de acesso por at 400 dias e voc pode gerar relatrios dirios, semanais e por usurios
baseado nesses registros.
Dashboard
Ao acessar a GUI o Dashboard logo apresentado. H diversos grficos mostrando um resumo das ltimas
2 horas de acesso. Na parte inferior do Dashboard possvel ver o 10 bloqueios mais recentes das ltimas
12 horas.
Nota: A diferena entre request-sum e request-cnt vem do sistema de logging do NxFilter. Para recuzir a quan-
tidade de acesso a disco NxFilter mantm todos registros na memria. E ento ele faz um flush dos dados a cada
minuto. Se h uma requisio ao mesmo domnio feito pelo mesmo usurio em um minuto, ele s incrementa na
contagem. Ento request-sum significa a soma de todas as contagens e request-cnt significa a contagem de todos
os dados distintos.
Logging
possvel pesquisar as requisies em diversas variveis em Logging > Request. Os registros so atualizados a cada
minuto para reduzir a carga no Banco de Dados.
Em Logging > Signal possvel ver os registros de acesso dos agentes do NxFilter. Em Logging > NetFlow voc
pode monitorar os dados NetFlow recebidos.

Nota:
Use colchetes para melhorar sua busca. ex) [nxfilter], [192.168.0.100]
Relatrio
NxFilter gera relatrios dirios, Semanais e por usurios
4.8. GUI - Dashboard, Logging, Report 43


CAPTULO 5
Agentes/Clientes
Agentes funcionais do NxFilter
Diferenas entre os agentes
NxFilter tem diversos agentes, com atribuies diferentes. Alguns so para single sign-on com Active Directory.
Outros para filtro de usurios remotos e atualizao de IP dinmico. Outros podem ser usados para controle de
aplicaes e proxy filtering.
1. NxLogon
Agente Single Sign-On para Active Directory. Voc pode inicializ-lo com um script de logon atravs de
uma GPO. Ele suporte controle de aplicao.
2. NxMapper
Outra opo para Single Sign-On com Active Directory. Mas diferente do NxLogon voc o instala no
Controlador de Domnio.
3. NxClient
Agente para filtro de usurio remoto do NxFilter. Para casos de dispositivos mveis ou de redes distintas
voc pode instalar o NxClient em seus laptops.
4. NxUpdate
Atualiizao dinmica de IP para NxFilter.
5. NxBlock
Extenso para filtro remoto e Single Sign-On para o ChromeBook - Extenso do Browser Chrome.
45
NxClient e filtro de usurio remoto
NxFilter prov um aplicativo cliente para filtro em usurio remoto que o NxClient. Uma vez instalado o NxClient no
sistema de usurio voc pode filtrar e monitorar o trfego de Internet daquele usurio em sua GUI NxFilter de modo
centralizado independente de sua localizao.
Nota: Voc precisa permitir o acesso s portas 53/UDP e 80,443/TCP no(s) servidor(es) NxFilter.
Instalao do NxClient
Aps instalar o NxClient usando seu instalador, o sistema de configurao estar rodando. Aparecer um formulrio
com os campos Server IP e Login Token e voc precisa preench-los de acordo com seu ambiente.
Nota: No NxFilter cada usurio tem um login token. Voc pode encontrar esse token em User & Group > User
> Edit. NxClient um programa Windows que roda como servio. Ele iniciar automaticamente com o sistema.
Quando voc instalar NxClient ou NxUpdate on Mac OS X, leia as instrues para NxCliente ou NxUpdate no MAC
OS X neste tutorial.
Aps fazer as devidas modificaes e testar sua configurao e assim inicialiizar o sistema, possvel verificar se est
funcionando em Logging > Signal. Dever haver registros do NxClient nesse relatrio.
Nota: possvel adicionar mais de um IP de servidor NxFilter separando por , ser voc estiver rodando um cluster
do NxFilter. Para mudar a configurao execute o programa C:/Arquivos de Programas/nxclient/setup.exe.
Sinais do NxClient
Quando h o interesse em controlar um usurio remoto a parte mais difcil forar os usurios a ter o acesso controlado.
Ningum tem interesse em ter o acesso controlado e ainda mais esto afastados da empresa. Se esses seus prprios
computadores no trabalho no h como garantir o controle. Porm se o dispositivo for da empresa possvel control-
lo instalando NxClient no sistema dele.
Em todo caso o que impede do usurio desinstalar e parar o NxClient? NxClient roda como servio e no dispe de um
desinstalador em Adicionar/Remover programas no Painel de Controle. Ento se seus usurios no tem privilgios
de administrao e no pode desinstal-lo.
Porm em alguns casos necessrio dar o privilgio de Administrador Local a seus usurios. Neste caso no
possvel impedir os usurios de removerem o NxClient.
Por conta disso foram definidos diversos sinais que podem indicar o que est ocorrendo no sistema. NxCliente envia
os seguintes sinais:
- START : Quando NxClient inicia ele envia esse sinal para o NxFilter.
- STOP : Quando o NxClient para ele envia esse sinal para o NxFilter.
- PING : A cada 5 minutos o NxClient envia esse sinal para o NXFilter.
Voc pode visualizar esses sinais em Logging > Signal na rea de administrao do NxFilter.
46 Captulo 5. Agentes/Clientes
Medidas de segurana para o NxClient
O NxClient precisa se conectar ao NxFilter para atualizar as polticas e regras. Quando o NxClient no consegue
se conectar ao servidor NxFilter ele faz um bypass nas regras de acesso, afinal seus usurios precisaro acessar a
internet de qualquer forma. possvel especificar mltiplos endereos de IP dos servidores NxFilter na configurao
do NxCliente visando redundncia.
Alterao automtica entre filtro local ou remoto
Quando voc usa o NxClient no notebook da empresa voc pode ter problemas com as polticas de controle de acesso
quando estiver na empresa. Seu notebook pode ser controlado duas vezes, uma pelo NxClient e outra pelo NxFilter. E
o funcionrio pode acabar sendo forado a seu autenticar no NxFilter.
Para resolver estas questes o NxClient faz a mudana automticamente entre fazer o filtro local ou remoto. Isso
signigica que o NxClient pode localizar o servidor NxFilter na rede local e quando consegue ele desativa o proxy. E
mais, ele ainda tem seu prprio mdulo NxLogon o que permite que seja feito o Single Sign-On na rede local.
Aviso: Caso no ache interessante a mudana automtica voc pode adicionar o seguinte parmetro
no arquivo de configurao cfg.properties
no_switch = 1
Removendo o NxClient
Para evitar uma desinstalao acidental feita pelo prprio usurio, o NxClient no prov um mdulo de remoo em
Adicionar/Remover programas no Painel de Controle. Quando voc decidir desinstalar o NxClient voc precisar
faz-lo manualmente com os seguintes comandos.
# Rode C:/Program Files/nxclient/bin/unstsvc.bat.
# Apague o diretrio C:/Program Files/nxclient.
Instalao silenciosa
Some people want to install NxClient on multiple PCs using GPO or PDQ deployment. For this, we have the silent
install option for NxClient.
Em alguns casos pode ser interessante instalar o NxClient em diversos terminais de trabalho usando GPO or publicao
PDQ. Para isso nos podemos usar a opo de instalao em modo silencioso do NxClient.
Para faz-lo,
/silent : Executa o instalar no modo silencioso ( A janela de progresso exibida ).
/verysilent : Nada exibido.
E ainda possvel passar como parmetro o IP do servidor e/ou o Login Token.
/server=192.168.0.100
/token=2P1WQ6VF
Por exemplo:
nxclient-6.0-win.exe /silent /server=192.168.0.102 /token=2P1WQ6VF
5.2. NxClient e filtro de usurio remoto 47

Nota: Voc pode criar seu prprio pacote MSI usando o MSP wrapper disponvel em http://www.exemsi.com.
Quando voc instala o Java no modo silencioso/discreto ( j que ele tambm um pre-requisito para o NxClient ), o
NxClient pode no funcionar, isso por que instalando o Java nesse modo as vezes faz com que ele no sete o caminho
para sua instalao em PATH
NxUpdate e atualizao dinmica de IP
Para casos em que se tem um cliente que usa IPs dinmicos e ainda sim se deseja associar esse IP a um determinado
usurio, voc pode instalar o NxUpdate no sistema. Ele ir atualizar os IPs associados ao usurio no NxFilter.
NxUpdate tem, basicamente, a mesma estrutura do NxClient. Voc pode instal-lo do mesmo modo que instalaria o
NxClient.
Nota: Ele envia os sinais: START, STOP e IPUPDATE.

NxUPDATE pode trabalhar como um cliente de DNS dinmico para o NxFilter.
Escrevendo seu prprio NxUpdate
Para a comunicao entre o NxFilter e o NxUpdate usado o protoloco DNS. Significa ento que voc pode simular
ou criar o seu prprio NxUpdate usando apenas o nslookup ou outra ferramenta que faa uma simples consulta DNS.
NxFilter v3.3.0 ou superiores e NxUpdate v7.0 ou superiores seguem esse formato de comunicao baseado no
protoloco DNS.
Ento, para fazer a atualizao de um IP usando o nslookup, voc pode proceder da seguinte forma:
nslookup GKSYEJYG.ipupdate.signal.nxfilter.org. 192.168.0.100
Onde GKSYEJYG o token de um usurio e ipupdate.signal.nxfilter.org. o domnio especial para sinalizar o

IPUPDATE e 192.168.0.100 o endereo IP do seu servidor NxFilter.
So utilizados os seguintes sinais.
start.signal.nxfilter.org : START - inicializa .
stop.signal.nxfilter.org : STOP - para .
ipupdate.signal.nxfilter.org : IPUPDATE - atualiza.
Nota: Como demonstrado anteriormente, voc tem de escrever o token do usurio para que esses sinais o identifi-
quem.
Quando esses sinais so enviados voc pode receber dois tipos de respostas ( como registro DNS ) a partir do NxFilter.
E elas so
- 127.100.100.1 = Erro.
- 127.100.100.100 = Successo.
No necessrio enviar os sinais START ou STOP a cada atualizao. Basta enviar IPUPDATE.
Controlando aplicaes com NxClient
O NxFilter permite que se controle as aplicaes executadas no desktop com o agente NxClient. Voc pode bloquear
as aplicaes desejadas configurando a poltica de controle de aplicaes atravs da GUI do NxFilter - de modo
centralizado - e ainda visualizar, quem tentou executar os programas bloqueados, atravs dos logs.
Como funciona?
Aps definir a sua poltica de controle de aplicaes em Policy & Rule > Application Control o Nxcli-
ent obtm essas definies de tempos em tempos.
Nota: Voc pode ajustar o tempo de atualizao alterando os valores no parmetro Agent Policy Update Period
em Config > Setup.
Opes suportadas
1. Bloquear a busca de portas

NxClient detecta processos do UltraSurf e Tor atravs de verificao de portas. Isso significa que mesmo
que os usurios mudem o nome do aplicativo ou os execute atravs de um pen drive possvel encontr-los
e bloque-los.
2. Bloquear por nome do processo
Voc pode bloquear um processo por um determinado nome. Funciona baseado na identificao de pala-
vras chave. Voc pode adicionar as palavras chave na GUI e se o agente identificar algum processo com
esse nome ele ser bloqueado.
Habilitar o controle de aplicaes apenas para determinados usurios
Partimos de um principio em que o controle de aplicaes uma poltica global. Porm se houver necessidade de
aplic-las a apenas determinados usurios, altere o parmetro Disable Application Control em Policy & Rule
> Policy > EDIT.
Registrando o bloqueio de aplicaes
NxFilter , em sua essncia, um filtro DNS ento o formato de registro de logs foi preparado para exibir domnio blo-
queados/permitidos. Para poder registrar dados sobre aplicaes bloqueadas o NxFilter insere os seguintes domnios
ou regras.
ultrasurf.port.app : UltraSurf foi bloqueado por verificao de portas.
tor.port.app : Tor foi bloqueado por verificao de portas.
chrome.exe.pname.app : Chrome foi bloqueado atravs do nome do processo.
Skype.title.app : Skype foi bloqueado com base no ttulo da aplicao.
Aviso: Quando voc ativa o parmetro Block UltraSurf e existem extenses do UltraSurf no Chrome ou h
outras extenses para proxy instalados, o NxClient mata o processo e registra o sinal ultrasurf.chrome.app.
5.4. Controlando aplicaes com NxClient 49

Intervalo de execuo
Encontrar e bloquear aplicaes pode causar uma certa carga no processamento. Se voc no deseja causar um grande
impacto na carga do PC/Desktop do usurio, incremente o valor no parmetro Execution Interval em Policy &
Rule > Application Control.
Proxy filter com NxClient
NxClient tem mdulo de proxy local para filtro em protocolo HTTP.
Como funciona?
Antes de qualquer coisa defina sua poltica de filtragem em Policy & Rule > Proxy Filtering. Aps
iniciar o NxClient no sistema do usurio ele ir filtrar o trfego HTTP definindo ele mesmo como um servidor proxy
local. NxClient coleta as polticas/regras de filtro do proxy de tempos em tempos, definido de acordo com o parmetro
Agent Policy Update Period em Config > Setup.
Opes Suportadas
1. Block HTTPS
Voc pode bloquear todo o trfego HTTPS.
2. Block IP Host
Bloquear requisies HTTP que utilizam somente IP.
3. Block Other Browser
O processo de filtro no Proxy do NxFilter ativado atravs das configuraes de proxy de sistema. Inter-
net Explorer e browsers como o Chrome e muitas outras aplicaes usam as configuraes de proxy do
sistema operacional. Porm algumas aplicaes ainda usam conexes diretas para a internet.
Com essa opo ativada o NxClient ir bloquear qualquer programa que faa conexo HTTP diretamente
a internet.
Nota:
O servio de Proxy Filter suporta Internet Explorer e os Navegadores Chrome e Firefox.
Voc pode permitir acesso direto a internet atraves do HTTP para determinadas aplicaes usando a opo
Excluded Keywords em Policy & Rule > Application. Ele usado para controle de aplicaes,
mas ele pode ser usado para bypassar a opo Other Browser Blocking.
4. Blocked Keyword in URL

Verifica palavras chave com base na URL solicitada.
5. IE Proxy Bypass
NxClient ignora os domnios registrados em Whitelist > Domain no parmetro Bypass Filtering. Porm
s aplicado no Windows sobre o protocolo HTTP. Quando voc precisa ignorar outros protocolos alm do HTTP ou
sites usando outras portas que no sejam 80/TCP insira os sites nesse campo. Ele ser inserido em Proxy do Sistema,
na lista de endereos ignorados no Windows.
Ativando o filtro de proxy somente para usurios especficos
O filtro de proxy do NxFilter funciona de modo global. Se voc precisar desabilit-lo para um determinado usurio,
marque o item Disable Proxy Filtering em Policy & Rule > Policy > EDIT.
Logging
Voc s ter registro a nvel de domnio. Mas voc ver a razo do bloqueio detalhada como a seguir.
Domnio: www.google.com
Razo: Bloqueado por proxy, url_kw=jogos
Instalando NxClient ou NxUpdate no Mac OS X
So dispionibilizados o instalador do NxClient e do NxUpdate para o Mac OS X. Voc pode instal-los atravs do
instalador do Windows. Voc configura sua conexo e executa Test e Start.
Para executar o programa de configurao voc precisa rodar o script setup-mac.sh no diretrio de instalao. Se o NxClient f
sudo /Library/nxclient/setup-mac.sh
Para desinstal-lo,
sudo /Library/nxclient/uninstall-mac.sh
NxBlock para Chromebook
NxBlock o agente remoto para filtragem no Chromebook. Ele tambm pode ser usado como um agente SSO em uma
rede local.
Nota: NxBlock se tornou um software open source desde a verso 1.8. Voc pode fazer o download do cdigo
completo na rea de download.
5.6. Instalando NxClient ou NxUpdate no Mac OS X 51

Instalao do NxBlock
NxBlock basicamente uma extenso do Chrome. Voc pode instala-lo a partir da loja Chrome Web Store. possvel,
tambm, baixar do seguinte link.
https://chrome.google.com/webstore/detail/nxblock/gibapcjkdgdiamgdkbcpgaldogcoldgf
Poltica de filtro do NxBlock
NxBlock compartilha a poltica em Policy & Rule > Proxy Filtering com os outros agentes de filtro
proxy. Ele sincorniza a poltica a cada 120 segundos.
Conexo com o NxFilter
Depois de instalar, voc ver o NxBlock na rea de extenses no painel de configuraes do Chrome ou chrome://extensions. Aba
Sever IP : O endereo IP do NxFilter.

Login Token : A chave token definida para o usurio no NxFilter.
Uma vez que esses parmetros tenham sido configurados voc pode testar a conectividade com o servidor NxFilter
clicando no boto Test. E ento clique em Save e abra novamente o Chome para receber a nova configurao.
Protegendo a configurao com senha
Voc pode ocultar a rea de configurao do NxBlock de seus usurios atravs de uma senha de autenticao.
Uma vez que tenha sido definida a senha e esta tenha sido ativada, os usurios sero impedidos de acessar a pgina de
configurao do NxBlock e chrome://extension.
Nota: Voc pode usar a senha de cliente do NxFilter para acessar a configurao do NxBlock uma vez que ele tenha
se conectado ao servidor.
Identificao do usurio
Para identificar os usurios so usados o token e a conta do Google. Suponhamos que tenha sido criado um usurio
com o nome estudante no NxFilter e foram configurados 10 NxBlock com o mesmo token desde usurio. Se nenhum
dos usurios se autenticarem no Chrome ( na autenticao do Google ) eles aparecero nos registros do NxFilter como
estudante porm se um deles se autenticar no Chrome usando zedosanzois@gmail.com - por exemplo - ento ele/ela
aparecer como estudante_zedosanzois no log do NxFilter.
Configurao centralizada para instalao em massa
Ao fazer uma instalao em massa do NxBlock o problema que voc no ter interesse em configurar os parmetros
necessrios um a um. Se voc usar somente o agente SSO em sua rede local poderia at ser bom sem os parmetros
de conexo, mas se voc deseja us-lo como filtro remote voc precisa definir esses parmetros.
Para resolver esse problema, ns temos uma alternativa, uma forma de configurar esses valores de modo centralizado.
Ns usamos uma pagina web e a funo de pgina de inicializao do Chrome para isto.
Falando de forma objetiva, voc ir criar uma pgina web contendo os valores de configurao e ento fazer com
que est pgina seja a pgina inicial do Chrome. Ento toda vez que seus usurios abrirem seus browsers eles sero
configurados com estes valores.
Ao criar a pgina web voc adicione a meta tag descrita a seguir
<meta name='nxblock' content='192.168.0.100:HW00IYKW:1'>
H 3 parmetros separados por vrgulas. O primeiro o IP do servidor NxFilter e o segundo o token de login e o
ltimo sobre bloquear ou no o acesso a pgina de configurao de extenso do Chrome.
No lado do Google Admin - para configurar a pgina inicial,
1. No dashboard, v em Gerenciamento de Dispositivo > Chrome > Configuraes do Usurio
2. Selecione a unidade organizacional onde sero aplicadas as configuraes.
3. Localize Pginas para carregar na inicializao.
4. Insira a URL para pgina web que contm a tag de configurao do NxBlock.
5. Clique em Salvar alteraes.
NxForward para ocultar falhas no SSL
No filtro DNS, quando bloqueado um site HTTPS recebido um alerta de SSL no seguro.
5.8. NxForward para ocultar falhas no SSL 53

um erro comum pois o browser tenta proteg-lo do que chamado de ataque Man in the Middle. De
qualquer forma ainda um processo irritante pois na verdade causado pela politica de filtragem. Muitas
pessoas j solicitaram que este alerta seja removido, a soluo para esse problema - atualmente - s
aplicvel no browser Google Chrome.
Ao instalar o NxForward - que uma extenso para o Google Chrome - as pginas HTTPS que forem
bloqueadas sero redirecionadas para uma pgina HTTP novamente, permitindo assim a visualizao da
pgina de bloqueio em HTTP.
O NxForward pode ser instalado a partir da Chrome Web Store. Baixe a partir do link.
Download NxForward na Chrome Web Store1
1 https://chrome.google.com/webstore/detail/nxforward/ohhmhnionmgplhblinhpijfbaelmaojd
CAPTULO 6
NxCloud
O que NxCloud?
NxCloud um ambiente completo para mltiplas empresas baseado no filtro de DNS. Ele baseado no NxFilter e
herda as suas principais funcionalidades. Basicamente, voc pode criar sua prpria nuvem de servio de filtro DNS
como o OpenDNS.
A seguir algumas das funcionalidade disponveis apenas no NxCloud.
Administrao em mltiplos nveis
Se voc quiser criar seu prprio servio nas nuvens, um dos fatores principais seria ter a possibilidade de criar contas
para seus clientes e estes estarem aptos a configurar suas prprias polticas em uma GUI.
No NxCloud h 3 tipos de usurios.
Admin > Operator > User
Admin - o administrador da NxCloud. Ele tem praticamente a mesma GUI do NxFilter porm sendo adminis-
trador voc pode criar as contas de operadores.
Operator - So as contas dos clientes e algo como um sub-administrador na NxCloud. Podem criar e gerenciar
suas prprias polticas.
User - So criados pelos Operator, so os usurios do cliente.
Criando um operador
Para criar um operador voc precisar se autenticar na GUI do NxCloud com uma conta de administrador. Em Config
> Operator voc pode criar um operador. Quando voc criar um operador NxCloud cria um usurio padro e uma
poltica padro para este mesmo operador com o mesmo nome dele.
Voc pode definir o nmero de usurios e polticas que o operador pode criar. Isto significa que voc pode ter diversos
nveis em seus servio baseado nas permisses de um operador.
55
GUI do Operador
No NxCloud cada operador tem sua prpria GUI. Se voc autenticar na GUI NxCloud com uma conta de operador
voc entrar em um GUI para Operador. Ele um pouco mais limitado/restritivo se comparado a interface GUI do
administrador e voc poder manipular somente os parmetros do operador.
Operador e usurio
Operadores podem criar seus prprios usurios e aplicar uma poltica diferente baseada na autenticao do usurio.
Usurios podem ser validados com base no endereo IP ou usando o NxClient.
Dashboard e relatrio especficos para o operador
Dashboard e relatrios do NxClound disponveis na GUI do Operador.
Free-Time especifico do operador
Cada operador pode definir seus prprios Free-Time ( horrios livre ) e eles podem configurar uma poltica de horio
de trabalho e uma poltica de Free-Time para seus usurios.
Lista Branca e Negra especficas do Operador
Voc pode adicionar uma lista branca/negra especfica baseada em nome de domnio. Porm voc ainda ter uma lista
branca/negra global para o admin. Ento voc pode ter maior flexibilidade para trabalhar com essas listas como um
administrador.
Alertas por email especfico para o operador
NxCloud envia um email de alerta sobre registros de bloqueios para cada operador. Os operadores podem definir seus
endereos de email para receber esses alertas e definir os perodos em que os recebe em Config > Alert.
Nota: Voc precisa configurar antes um email que receber os alertas gerais para comunicar a um operador especfico.
Voc o define em Config > Alert.
Pgina de bloqueio esepecfica do operador
Cada operador pode ter sua prpria pgina de bloqueio. Se no houver pginas de bloqueio definidas pelo operador o
NxCloud ir exibir a pgina padro configurada pelo Admin.
Autenticao nas nuvens
NxClient se conecta no NxCloud. O que significa que voc pode diferenciar os usurios em sua prpria rede e voc
pode aplicar uma poltica diferente por usurio.
56 Captulo 6. NxCloud
Atualizador de IP Dinmico
Muitos de seus clientes usurio o servio de IP dinmico. Voc pode usar NxUpdate como um atualizador de IP
dinmico para seu servio.
Associo de DNS Dinmico
Alguns dos seus usurios podem ter um domnio dinmico para a rede deles. Voc pode associar um domnio para um
usurio em NxCloud.
Agente NxRelay para diferenciar os usurios de redes distintas
NxCloud suporta NxRelay que um servidor de DNS relay instalado por trs de um roteador e permite que voc
aplique diferentes polticas baseados em IP privado ou ranges de IP da rede do seu cliente.
Padronizao/Customizao da GUI
uma camda da GUI que feita para uma fcil customizao. A camada de visualizao ou seja da GUI separada
da parte principal do software.
Voc s precisar mudar as pginas JSP em /nxcloud/webapps. Esses arquivos/pginas JSP seguem um padro de nome
correspondente a sua funcionalidade/estrutura descrita no menu da GUI. Ento fcil de encontrar a funcionalidade
de cada arquivo que precisa ser modificado.
Ex.:
Menu ( Operator > Operator - Edit )
Arquivo operator,operator_edit.jsp
Custos de uso do NxCloud
Para usar o NxCloud s se exige que a blacklist esteja licenciada, seja a Jahaslist ou Komodia. Porm essa licena tem
de ser para o mnimo de 500 usurios ao ano.
possvel se ter sua prpria GUI customizada. E pode tambm customizar os agentes do Nx.
Nota: Ao incrementar o nmero de licenas possvel adicion-los ao tempo restante do adquirido antes. Por
exemplo, se precisar adicionar mais 100 licenas de usurios 6 meses aps ter adquirido o primeiro pacote de licenas
ento o preo ser equivalente aos 6 meses restantes. Aps esse prazo a renovao ocorre normalmente, sendo um
pacote s para todo o montante.
Aviso: Se desejar usar outra lista negra que no seja a Jahaslist ou a Komodia haver um encargo de 2 dlares por
usurio ao ano. necessrio comprar uma licena de uso do provedor escolhido. No momento so suportadas as
listas: Zvelo, NetSweeper como opes para o NxCloud.
6.2. Custos de uso do NxCloud 57

Instalao do NxCloud
NxCloud - basicamente - um NxFilter modificado. Voc pode instalar e rodar o NxCloud da mesma
forma que o NxFilter.
Porm, diferente do NxFilter, aps instal-lo voc ainda no pode us-lo diretamente como um servidor
DNS. Isto por que o foco de NxCloud para venda de servios comerciais. Voc - teoricamente - no o
usar na sua rede interna ( por conta de custos de licena e etc ). Seus clientes o utilizaro em suas redes.
Ento necessrio primeiro criar uma conta para seu cliente.
No NxCloud h 3 tipos de usurios: 1. Admin - que voc ou a empresa responsvel pela instalao do
NxCloud. 2. Operador - que seu cliente 3. Usurio - Que o usurio da rede do seu cliente.
O admin gerencia as contas dos operadores e um operador gerencia o usurio final.
Ento preciso que voc crie antes o operador. Para isso acesse a GUI do NxCloud ( como admin ) e
ento v ao menu Operator para criar o operador.
Ao criar um operador haver - por padro - um usurio e uma poltica para o operador com o mesmo nome
deste. E a senha padro para o operador o nome do mesmo. Uma vez criado um operador possvel que
este se autentique na GUI a fim de criar um usurio de teste.
Nota: Voc precisa associar seu endereo IP para que o operador inicial possa testar o o usurio padro.
Diferenas entre NxFilter e NxCloud
1. Autenticao sempre habilitada

Nem todo o servio disponibilizado por voc dever ser gratuito. Voc querendo disponibilizar o servio apenas
para assinantes ento a autenticao habilitada por padro.
2. Redirecionamento de Login desabilitado por padro
possivel usar a pgina de login com NxCloud mas se voc usar o mesmo em uma rede pblica pode acabar
sendo alvo de um ataque DDOS.
Seria melhor desabilitar o acesso vindo de alguma rede pblica. Quando NxCloud desabilitado ele simples-
mente destri os pacotes de requisio DNS vindos de redes desconhecidas.
3. Magic Password para acesso do operador a GUI
Como um administrador de NxCloud algumas vezes voc precisar acessar a GUI para um possvel suporte
tcnico. Por essa razo, NxCloud tem uma senha a mais para a administrao. chamada de Magic password.
Com a qual possvel acessar o ambiente de administrao. A magic password magic1023 e voc pode
alterar a senha em Config > Admin.
Tipos de Contas Business and Home
Quando voc criar um servio de filtragem baseado nas nuvens um dos problemas que voc tem como definir o
nmero de usurios na rede interna. mais fcil quando voc tem um tipo de agente instalado e sendo executado
dentro dessa rede e NxCloud suporta diversos agentes para esse caso.
Em todo caso alguns de seus clientes no podem When you build a cloud based filtering service one of the problems
you have is to find out the exact number of users behind a router. It may be possible when there are some kind
of agent installed and running behind router and NxCloud supports several agents for that. However some of your
customers dont need to differentiate users and they just want to have one global policy for everybody. It means you
dont know how many users they have. To solve this problem, we limit the request count for a user. Currently one
user can make 3,000 requests a day. This is more than enough considering a user makes under 1,000 requests a day
according to our statistics so far. However we may have another issue from this request count limit approach. If
you have a customer using your service in their home they probably have several Internet accessing devices and have
several family members but not wanting to pay for multiple users. In that case this 3,000 daily request limit is too
small for them. To address this issue, we introduced the concept of operator type. There are 2 kinds of operator types
on NxCloud. One is Business and the other is Home. Business type operators are nothing special. You can create
as many users as you want for them and each of the users has 3,000 request limit. But if it is a home type operator its
first user has 12,000 extra request count and that makes 15,000 daily request count limit for the first user. If it has the
second user its request count limit becomes 18,000 and that would be more than enough for most home users.
Nota: Pra um operador residencial voc pode criar acima de 5 usurios
Criando Bilhetagem prpria
possver ter no servio do NxCloud, falando comercialmente, um sistema de bilhetagem automtica. Tendo por base
que todas as pginas da GUI so disponibilizadas para alterao, no haver dificuldade para criar seus prprio sistema
de bilhetagem com o NxCloud.
Para implementar seu prprio sistema de bilhetagem pode - por exemplo - ser necessrio criar, editar um operador que
esteja vinculado a conta do seu cliente no seu servio de DNS. Voc dever estar apto a executar esse procedimento em
suas prprias pginas JSP.
Supondo que haja a necessidade de criar um operador com os atributos abaixo:
Name : triton
Password : triton1234
Email : tmail0487@yahoo.com
Max user : 3
Max user IP : 3
Max policy : 3
Max whitelist : 20
Max free-time : 10
A pgina JSP dever estar com os seguintes comandos:
<%
OperatorData data = new OperatorData();
data.name = triton;
data.passwd = triton1234;
data.email = tmail0487@yahoo.com;
data.max_user = 3;
data.max_user_ip = 3;
data.max_policy = 3;
data.max_whitelist = 20;
data.max_free_time = 10;
OperatorDao dao = new OperatorDao();
6.6. Criando Bilhetagem prpria 59

dao.insert(data);
%>
Se precisa atualizar alguns dados do operador :
<%
OperatorData data = dao.select_one_by_name(triton);
data.max_user = 5;
data.max_user_ip = 5;
data.max_policy = 5;
dao.update(data);
%>
Se voc precisa desativar um operador :
<%
OperatorData data = dao.select_one_by_name(triton);
data.stop_flag = true;
dao.update(data);
%>
Nota: H uma seo, nesta documentao, dedicada exclusivamente a customizao da GUI e tambm disponibili-
zado o Javadoc para facilitar a criao da suas prpria GUI.
NxRelay - para identificar usurios de outras redes
NxRelay um servidor Relay de DNS para o NxCloud. Com NxRelay voc pode associar um IP Privado ou um Range
de IPs a um determinado usurio no NxCloud. O que significa que voc pode aplicar diferentes polticas de controle
baseados nos IPs privados dos seus clientes.
Nota: NxRelay tem como pre-requisito o NxCloud 3.4.2 ou superior.
Como funciona?
O NxRelay por si s um servidor DNS Forward. Ele faz a filtragem consultando o NxCloud e trabalha como um
servidor DNS redirecionando as consulta DNS para seu servidor de DNS local. Para o NxRelay, o NxCloud no um
servidor DNS Upstream, pelo contrrio um servidor de polticas. O servidor upstream o seu servidor DNS local ou
o servidor MS do AD que responde as suas consultas DNS.
Isso significa que mesmo que voc percar a conexo com o NxCloud sua rede continuar a funcionar. E voc no ter
problemas com sua rede AD ou resoluo de nomes do domnio locai, j que suas consultas DNS continuaro sendo
resolvidas por seu servidor local.
Nota: Sendo ele um servidor DNS voc pode ter alta disponibilidade e load balance facilmente. Instale mltiplos
servidores NxRelay e configure suas estaes usando eles como servidores DNS Primrio e Secundrio.
Ele envia o sinal START e PING. Voc pode verificar se ele est funcionando em Logging > Signal na GUI do
NxCloud.
Instalando como um servio no Windows
1. Faa o download do pacote zip

2. Descompacte dentro do diretrio c:/nxrelay
No Prompt CMD, faa
cd c:\nxrelay/bin
instsvc.bat
net start NxRelay
Nota: Antes de iniciar o servio preciso alterar os parmetros de configurao em c:nxrelayconfcfg.properties.
Instalando SystemD no Linux
1. Faa o download do pacote zip

2. Descompacte dentro do diretrio /opt/nxrelay
No shell ( bash/sh ) digite:
cd /opt/nxrelay
sudo chmod +x bin/*.sh
sudo cp script/nxrelay.service /lib/systemd/system/nxrelay.service
sudo systemctl enable nxrelay.service
sudo systemctl start nxrelay.service
Para parar o servio
sudo systemctl stop nxrelay.service
Nota: Antes de iniciar o servio preciso alterar os parmetros de configurao em

/opt/nxrelay/conf/cfg.properties.
Parametrizando
Antes de iniciar voc precisa ter o endereo IP do servidor NxCloud e um token de uma das contas de usurio. Os
parmetros ficam em /opt/nxrelay/conf/cfg.properties.
Por exemplo:
server = 192.168.0.100
token = BSYEB28O
local_dns = 8.8.8.8,8.8.4.4
local_domain =
6.7. NxRelay - para identificar usurios de outras redes 61

Tendo esses parmetros no arquivo de configurao, considerando que o IP do servidor NxCloud 192.168.0.100 e
o token do usurio BSYEB280 e o servidor de DNS local ou o existente o 8.8.8.8 e 8.8.4.4. Se h domnios ou
endereos que deseja que no sejam filtrados voc pode adiciona-los em local_domain separando-os por virgula.
Depois de modificar o arquivo de configurao, sempre reinicie o NxRelay. E ento configure o mesmo para ser seu
nico servidor DNS na rede.
Nota:
possvel adicionar mltiplos servidores NxCloud, basta separar os IPs por vrgulas.
Pode ainda verificar se a configurao est correta e a conectividade com o servidor atravs do comando
/opt/nxrelay/bin/test.sh
Que polticas aplicar?
Quando o NxRelay estiver funcionando em sua rede local como o servidor DNS ele inicia o filtro com a poltica
associada ao token registrado nele. Porm isso apenas um procedimento padro para o NxRelay. Voc pode aplicar
diferentes polticas baseadas nos endereos IP. Na GUI, do NxCloud, o operador cria um usurio e associa o mesmo a
um IP privado ou range de IPs em sua rede para aquele usurio. Agora os usurios associados aquele IP ou range de
endereos estar subordinado a poltica definida ao mesmo usurio criado na GUI do NxCloud.
Scripts inclusos
Em /opt/nxrelay/bin existem diversos scripts.

Para o Linux/BSD :
startup.sh - Ativa o servio.
shutdown.sh - Para o servio.
test.sh - Testa a conectividade com o NxCloud, de acordo com os parmetros definidos no arquivo de configu-
rao.
ping.sh - Testa se o servio do NxRelay est ativo.
Para o Windows,
instsvc.bat - Para instalar o servio NxRelay.
unstsvc.bat - Para remover o servio NxRelay.
J para o Ubuntu disponibilizado tambm o script para o Systemd em /opt/nxrelay/script, nxrelay.service
CAPTULO 7
Customizao ou melhorias do NxFilter e seus clientes
*Antes de modificar o NxOEM
Aviso: Se h o desejo de fazer melhorias no NxFilter para sua ferramenta comercial, use NxOEM ou NxCloud.
Agora vamos falar sobre como personalizar NxOEM e seus aplicativos com sua prpria marca. Antes de qualquer
coisa, iremos demonstrar como padronizar a GUI. E depois falaremos sobre os outros componentes pois voc pode se
interessa.
Por ltimo mostraremos como customizar os aplicativos do NxOEM.
GUI - Estrutura de diretrios e padronizao dos nomes
A camada GUI do NxOEM foi desenhada de modo a facilitar sua personalizao. uma parte completamente separada
do Core principal. E segue uma padronizao, que a faz ser correspondente a estrutura de menus, facilitando localizar
os arquivos desejados.
Por exemplo: se voc quer modificar Policy & Rule > Free Time, no menu do NxOEM, o arquivo a ser modificado
ser /nxfilter/webapps/policy,free_time.jsp.
Nota:
No NxCloud h um menu especifico para o operador. Se haver um JSP especfico para o menu do operador ento ele deve ter o
ex) zop,policy,free_time.jsp
Estrutura de diretrios da aplicao web
Todos os arquivos JSP ficam em /nxfilter/webapps e no usado nenhum sub-diretrio para armazenar pginas JSP,
isso para simplificar e facilitar o entendimento. Tudo que necessrio est no diretrio /nxfilter/webapps.
63
Segue a seguinte estrutura dentro do diretrio /nxfilter:

Diretrio Funo
webapps/error Pginas de erro para os cdigos
HTTP.
Um cdigo de erro especfico
defina em /webapps/WEB-
INF/web.xml
webapps/example Pginas de exemplo para customizar
o mdulo de login
webapps/img Imagens para as pginas web
webapps/include Arquivos JSP comuns a outras pgi-
nas, que pode ser includas em ou-
tros arquivos JSP.
webapps/lib Contm arquivos CSS e Javascript
webapps/WEB-INF Necessrio para o servidor WEB
Tomcat embutido
Aviso:
Os erros HTTP 400 so usados para um propsito especial. Voc no pode definir nenhuma pgina para o
cdigo de erro HTTP 400.
O arquivo /include/lib.jsp uma biblioteca compartilhada por todos os arquivos JSP. Ele tem algumas
funes, iniciliza todo o cdigo e verifica a autenticao tambm.
No inclumos diretamente o arquivo /include/lib.jsp. Ele executado quando ns inclumos o arquivo
/include/top.jsp
Separando a GUI personalizada em outro diretrio
Quando a GUI personalizada, no uma boa ideia modificar os arquivos originais. Voc pode mant-las para usar
como referncia e criar outro diretrio dentro do /nxfilter e copiar todos os arquivos que esto dentro de /nxfil-
ter/webapps para o novo diretrio e ento modificar esses arquivos que foram copiados. Para facilitar mais ainda,
NxOEM permite que se defina o parmetro www_dir em /nxfilter/conf/cfg.properties.
Se por exemplo voc armazenou sua GUI personalizada em /nxfilter/myweb e quer us-la como a raiz do servidor
web do NxOEM, voc ir adicionar a seguinte linha no arquivo cfg.properties.
www_dir = myweb
Ento reinicie o NxOEM.
GUI - Acessando a base de dados
Geralmente na programao web, o uso de um banco de dados algo muito importante.

No NxFilter/NxOEM so utilizados Data Access Object e Data Object para manipular o Banco de Dados.
Mtodos utilizados para manipular os Data Access Object
Alguns mtodos so usados para acessar a maioria dos dados.
64 Captulo 7. Customizao ou melhorias do NxFilter e seus clientes

Por exemplo. em policy,policy.jsp so usadas as classes PolicyDao e PolicyData class para manipular as Polticas.
PolicyDao tem os seguinte mtodos:
public int select_count() : Quantidade de polticas.

public List select_list() : Retornar uma lista contendo as polticas
public PolicyData select_one(int id) : Retornar uma determinada poltica com base no
ID.
public boolean insert(PolicyData data) : Insere uma nova poltica

public boolean update(PolicyData data) : Atualiza uma poltica existente.
public boolean delete(int id) : Apaga/Remove uma poltica com determinado ID.
Cada poltica tem seu prprio ID que um nmero e pode ser usado para encontrar e atualizar uma determinada
poltica.
Inserir, remover, atualizar, selecionar registros
Se h o interesse em modificar whitelist,domain.jsp tem de se usar as classes WhitelistDomainDao e Whitelist-

Data.
Inserir um novo registro,
<%
WhitelistDomainDao dao = new WhitelistDomainDao();
WhitelistData data = new WhitelistData();
data.domain = "*.nxfilter.org";
data.bypass_auth = true;
data.bypass_filter = true;
dao.insert(data);
%>
Para remover um registro cujo ID igual a 12,
<%
dao.delete(12);
%>
Para selecionar um registro com ID igual a 12,
<%
WhitelistData data = dao.select_one(12);
%>
E para atualizar o registro selecionado,
<%
data.bypass_filter = false;
dao.update(data);
%>
E listar os registros.
<%
List data_list = dao.select_list();
for(WhitelistData data : data_list){
7.2. GUI - Acessando a base de dados 65

out.println(data.domain + "<br>");
}
%>
Accessing data field
Muitos desenvolvedores Java esto usando accessors get e set visando encapsular e para fazer outros procedimentos
como validar os registros. Para para facilitar, na maioria do casos permitido o acesso direto ao campo.
Por exemplo, se criar uma instncia de UserData e ele tiver a propriedade name, dever ser feito como o exemplo:
Porm, existem muitas classes que tem os mtodos comeando por get_. Geralmente esses mtodos so vinculados a
formatao. H a propriedade ctime para RequestData que usado em Logging > Request. Se usar a chamada
direta, obter como retorno 201507081415, j se chamar o mtodo get_ctime() ser retornado 07/08 14:14.
GUI - Javadoc para classes Dao and Data
A documentao Javadoc para os pacotes dao e data.

Javadoc for NxOEM
Javadoc for NxCloud
Propriedades OEM
O arquivo oem.properties para armazenar parmetros especficos do NxOEM e NxCloud. Se existir o arquivo
oem.properties em /nxfilter/conf com o seguinte valor.
appname = MyFilter
1. NxOEM ou NxCloud adiciona o prefixo MYFILTER nas mensagens Syslog.

2. Quando o NxOEM ou NxCloud envia um email de alerta para os usurios ele adiciona MyFilter como prefixo
do assunto.
Modelos para email e pgina de bloqueio
NxFilter envia emails de alera para o administrador.

Geralmente esses emails so sobre tentativas de acesso a sites bloqueados porm h tambm emails sobre falhas no
cluster ou violao de licena. H dois modelos de email para esses alertas.
/nxfilter/conf/tpl/access_violation.ftl
/nxfilter/conf/tpl/alert_email.ftl
No diretrio /nxfilter/conf/tpl possvel encontrar os modelos de pginas de bloqueio, login e boas-vindas. Esses
modelos so utilizados na instalao inicial do NXFilter para popular o Banco de Dados ou quando voc clica em
RESTORE-DEFAULT em Config > Block Page na GUI NxFilter.

Outros pontos para se observar
Voc pode sobrepor ou remover o readme.txt e license.txt com seus prprios arquivos. Voc ainda pode manter o
arquivo original license.txt.
Ainda mantido o arquivo com as licenas de terceiros em third-party-license.txt e pode adicinar sua licena nesse
mesmo arquivo.
H links para nosso tutorial online em /nxfilter/tutorial.html e /nxfilter/bin/tutorial.bat, esses arquivos podem ser
removidos ou substituidos quando voc criar sua prpria distribuio do NxOEM.
Outro ponto que pode ser necessrio alterar so os arquivos de cones. Existem dois arquivos com cones. 1 para os
programas Windows e o outro para o favicon na pgina de administrao. Voc pode remover ou substituir com seus
prprios arquivos os cones em /nxfilter/nxd.ico e /nxfilter/webapps/favicon.ico.
Aviso: Voc no deve remover nosso arquivo de licenas ou qualquer licena de terceiros
Criando seu prprio pacote de instalao dos agentes
Voc pode fazer seu prprio pacote dos agentes NxClient, NxUpdate, NxMapper, NxLogon, NxBlock, NxRelay.
J o NxLogon, que uma aplicao simples sem instalador voc s precisa substituir vrios arquivos do arquivo zip
original e fazer seu prprio arquivo zip. Voc pode alterar o nome dele tambm, mas quando fizer essa alterao
indicado mudar tambm o contedo dos arquivos batch mas isso ser visto a frente.
Contudo esse processo um pouco diferente para o NxClient, NxUpdate e NxMapper uma vez que estes requerem
que sejam feitos instaladores para Windows e Mac OS.
Criando sua prpria instalao Windows
Para fazer os instaladores do Windows foi utilizado o Inno Setup1 . Quando NxClient, NxUpdate e NxMapper insta-
lando, eles criam seus prprios diretrios dentro de C:/Program Files (x86) e registrado como um servio Windows.
Por exemplo, quando executado o instalador NxClient todos os arquivos necessrios so copiados para C:/Program
Files (x86)/nxclient e ento executado bin/instsvc.bat para registr-lo como servio Windows e ento executado
o arquivo bin/setup.bat ao trmino do processo de instalao para rodar seu programa de configurao.
Nota:
Se voc se tornar nosso parceiro comercial podemos disponibilizar nosso script Inno Setup.
Os arquivos zip usados para criar nossos pacotes de instaladores esto em um pacote antigo na nossa pgina de
download.
Quanto o sistema removido, executado o batch bin/unstsvc.bat para remover o registro do servio do
Windows.
1 http://www.jrsoftware.org
7.6. Outros pontos para se observar 67

Criando seu instalador para o Mac OS
usado o programa Packages2 para construir nosso instalador Mac OS. Quando o instalador executado ele criar
seus diretrios em /Library e o arquivo conf/plist.default copiado para dentro de /Library/LaunchDaemons
com um novo nome como org.nxfilter.nxclient.plist para ser executado como um daemon. E ento ele roda o script
setup-mac.sh localizado no diretrio de instalao para iniciar o programa de configuraoi.
Para remover o programa voc precisa rodar o script uninstall-mac.sh, que est dentro do diretrio de instalao.
Nota:
Podemos disponibilizar nosso script do Packages se for nosso parceiro comercial.
Os arquivos zip usados para criar nossos pacotes de instaladores esto em um pacote antigo na nossa pgina de
download.
Mudando o nome da aplicao
Quando voc personalizar nossos agentes, uma das coisas que pode desejar mudar os nomes dos nossos agentes.
Altere o arquivo conf/appname, localizado no diretrio de instalao. Quando o nome alterado, ele aparecer no
programa de instalao dos nossos agentes.
Replacing icon file and default setup value Substituindo/Alterando cones
Para usar seu prprio cone, o arquivo nxd.ico localizado no diretrio de instalao e um arquivo que contm
cones com as dimenses 16x16, 32x32 e 48x48. No momento s usado para o Instalador Windows e programa de
configurao.
Nota: A verso do NxClient e NxUpdate baseado em Java precisa que seja adicionado mais um cone cujo nome
seria nxd16.png. um arquivo PNG de 16x16 para a GUI de configurao.
Tambm possvel mudar os valores padro na conexo com o servidor. Voc pode modificar os valores padro de
Server IP e Login Token do programa de configurao alterando o arquivo conf/cfg.default.
O arquivo conf/cfg.default ser copiado por cima do arquivo conf/cfg.properties quando voc executa
o programa de configurao pela primeira vez ou durante o processo de instalao.
Escrevendo seu programa de configurao
possvel construir seu prprio pacote, para faz-lo e incluir seu programa de configurao. Em nossos pro-
gramas de configurao existem alguns controles e botes. Para controle, ns lemos os paramtros no arquivo
conf/cfg.properties.
E quando voc clicar nos botes que so SAVE, TEST, START, STOP as aes so feitas relendo/alterando o
arquivo de configurao.
O boto SAVE grava os valores definidos na tela em conf/cfg.properties.
Os botes START e STOP, se forem usados no Windows chamam os comandos net start e net stop
considerando que o agente foi instalado como servio. J no Mac OS, executado o programa /bin/launchstl
com o arquivo Plist gravado no diretrio /Library/LaunchDaemons.
2 http://s.sudre.free.fr

Ento - reafirmando - ao fazer seu programa de configurao para o NxClient no Windows, quando for clicando em
START e STOP voc precisa executar os comandos,
net start NxClient
net stop NxClient
Quando for no Mac OS,
/bin/launchctl load -w /Library/LaunchDaemons/org.nxfilter.nxclient.plist
/bin/launchctl unload -w /Library/LaunchDaemons/org.nxfilter.nxclient.plist
O boto TEST executa o batch bin/test.bat ou o script bin/test.sh. Antes de executar seu prprio script de testes
voc precisa gravar primeiro os valores de configurao.
Aps voc executar o script de teste voc pode receber algumas mensagens com os seguintes cdigos de sada.
0 = Sucesso -1 = Valores incorretos na configurao -2 = Erro de conexo -3 = Erro de login
Nota: Para o NxMapper, ao invs de bin/test.bat usado o aplicativo test.exe.

Para o NxMapper no h code de erro do login j que no existe processo de login.
Personalizando o NxBlock
NxBlock um software Open Source. Voc pode fazer o download de seu cdigo fonte na rea de download de nossa
pgina.
Personalizando o NxRelay
No disponibilizado um instalador ou programa de configurao do NxRelay por no ser um sistema para um usurio
comum do Windows. Mas sua estrutura a mesma do NxFilter. Nos tpicos anteriores explicado como criar um
pacote de instalao, siga o mesmo procedimento.
Limitao
Preparando seu prprio instalador e modificando os nomes dos agentes geralmente atende a maioria das necessidades.
Mas h algo que no pode ser mudado. Internamente, no sistema, h uma codificao contendo a assinatura nxfilter.
importante mant-la para que tenhamos uma unica assinatura e possamos diferenciar os sinais recebidos dos agentes.
E tambm no permitido remove a licena ou qualquer das licenas de terceiro sob pena de caracterizar uma violao
na licena base. Voc pode ter seu prprio arquivo de licena mas a licena base precisa ser mantida. So permitidas
muitas caracterizaes e alteraes, ento inevitvel no ter alguma limitao.
7.7. Criando seu prprio pacote de instalao dos agentes 69


CAPTULO 8
NxClassifier
O que NxClassifier
NxClassifier o recurso de auto-classificao integrado ao NxFilter para uso com a Jahaslist. Ele faz uma classificao
dinmica em cima dos sites solicitados por seus usurios baseando em expresses regulares e sistema de pontuao.
Voc pode definir ou modificar as regras de classificao de acordo com sua linguagem.
Nota: Para usar o NxClassifier o pr-requisito ter a licena Jahaslist.
Por que usar o NxClassifier?
H duas formas que podem ser usadas como mtodo de Classificao para montar uma lista.
1. Auto-Classificao
2. Classificao manual
A auto-classificao uma tarefa executada de forma extremamente rpida, porm no to assertiva quanto a clas-
sificao manual. E a classificao manual tem um custo elevado tanto em trabalho quanto financeiro pois precisa de
pessoas dedicadas a essa funcionalidade.
Ento a melhor forma combinar os dois mtodos ou diminuir o mximo a necessidade da avaliao humana se
baseando nos resultados da auto-classificao.
Diversas ferramentas de classificao automtica fazem essa funo baseadas em ocorrncias de palavras chave usando
dicionrios ou algum tipo de conjunto de regras. Ento precisamos fazer um dicionrio de palavras mais eficaz ou con-
junto de regras para uma auto-classificao com resultados satisfatrios. Porm possvel haver opinies diferentes
com relao a que categoria se aplica a uma determinada ocorrncia e o nvel de importncia dessa ocorrncia compa-
rada a outras.
71
Por exemplo, www.stackoverflow.com classificado como uma Comunidade ou um Frum mas tambm pode
ser classificado como na categoria Computer/Technology j que o foco do site exatamente computador e tecnolo-
gias. E ainda pode estar na categoria Business/Service. Ns podemos classific-lo em multiplas categorias. Porm
no caso analisado podemos encontrar outro problema. E se quisermos bloquear Forum mas permitir o acesso Compu-
ter/Technology? Podemos acabar obtendo um resultado inesperado.
Outro ponto a se observar, a lista de classificao padro feita em Ingls mas essa no a nica linguagem no
mundo. Existem muitos sites em outras lnguas. Ento preciso ter dicionrios em outras lnguas tambm. Porm
como contruir todos esses dicionrios visando atender as outras lnguas? E se fizermos classificao manual ou a
verificao preciso atender pblicos que falam outras lngas. Ento as necessidades tomam uma dimenso maior e
ningum tem interesse de arcar com isso. Com isso passamos a ter falsos positivos e desse modo passa a ser impossvel
ter uma lista que atenda 100% dos casos.
bom observar que uma lista no pode atender a toda a internet. Mesmo que se tenha arquivos extensos que vizem
cobrir toda a Internet, quantos sites registrados nessa lista podem realmente ser teis para seu caso? A maioria dos
sites listados nunca seriam acessados por seus usurios.
Contudo com NxClassifier voc tem:
1. Voc cria suas prprias regras.
Significa que voc pode criar suas regras de classificao de acordo com sua necessidade. Nada melhor que
voc para classificar os sites em sua prpria lngua.
2. No so permitidas mltiplas categorias
Um site s pode ser classificado em uma nica categoria.
Nota: O motivo para que provedores de listas tenham categorias mltiplas para um nico site no apenas refletir a
ambiguidade existente no mundo real. Eles utilizam isso forma a fim de atender mercados/clientes diversos, por isso
precisam ter sites classificados em mltiplas categorias mas isso no atende a nossa necessidade em muitos casos.
3. Voc pode re-categorizar um site instntaneamente.

No precisa esperar que um provedor aceite e atenda sua solicitao de mudana de categoria para um ou
vrios sites. Voc pode alterar sua lista de acordo com sua necessidade.
4. Jahaslist em crescimento contnuo
Visando deixar o pacote do NxFilter pequeno, o sistema vem com uma lista mnima embutida. Ela atende
os principais sites. Mas visando assessorar a classificao dinmica do NxClassifier e de acordo com o
uso ela vai sendo alimentada e mantm os sites usados pelos seus usurios.
5. Voc pode compartilhar suas listas e regras com outros.
Uma vez que voc tenha criado sua prpria lista usando NxClassifier voc pode compartilh-la com
outros. E no somente a lista, voc pode compartilhar tambm suas regras de classificao.
Jahaslist e sua estrutura de diretrios
Jahaslist o nome da lista que surgiu junto com o NxClassifier. Jahaslist ativada quando voc instala o NxFilter. O
diretrio /nxfilter/jahaslist armazena diversos arquivos nele.
categories.txt : As categorias do Jahaslist so definidas neste arquivo.
baselist.txt : As categorias do Jahaslist so armazenadas nele.
ruleset.txt : Aqui ficam armazenadas as regras padro para o NxFilter.
72 Captulo 8. NxClassifier
Nota: baselist.txt e ruleset.txt sero importados para a base de dados do NxFilter quando voc inicializ-lo pela
primeira vez.
Tudo armazenado exceto as regras de classificao que ficam em um arquivo de banco separado. Esse arquivo o
/nxfilter/db/jahaslist.h3.db. Quando houver interesse em reiniciar a Jahaslist - por algum motivo que parea vivel -
voc pode apagar este arquivo e reiniciar o NxFilter.
Entendendo o fluxo de trabalho do NxClassifier
preciso entender o fluxo de trabalho do NxClassifier antes voc pode criar uma regra de classificao eficaz para
voc.
NxClassifier por si s um programa multi-tarefa dentro do NxFilter. Quando o NxFilter recebe a requisio de um
domnio no requisitado, ele adiciona o domnio em uma fila de processos do NxClassifier. NxClassifier faz verifica
o DNS para ver se o domnio j est registrado e ento tenta acessar o site desse domnio. Se h um website o
NxClassifier baixa essa pgina e analisa o ttulo, descrio e o texto.
Uma vez que o NxClassifier obtm os detalhes de um website ento ele executa as regras de classificao com base
nos dados coletados. Enquanto est executando a verificao dos dados, se ele encontrar uma regra que se encaixe
com o dados, ele para e classifica o dominio de acordo a categoria definida na regra. Ainda soma a pontuao a outras
regras j identificadas e classifica do dominio em uma categoria cuja pontuao mxima seja atingida.
O que uma regra de classificao?
Entendendo como feita uma regra de classificao. Uma regra de classificao consiste nos seguinte fatores.
Keyword : Palavras chave. Na realidade uma expresso regular.
Target : Se a palavra chave ser utilizada na verificao do domain (dominio), title (ttulo do site), description
(descrio) e text ( texto ) do site.
Nota: Os dados como ttulo, descrio e texto de um site so obtidos atravs da pgina inicial do mesmo que
coletada pelo NxClassifier.
Points : Voc pode definir a pontuao para quando as informaes baterem de acordo com o nvel de impor-
tncia para a classificao do domnio. A pontuao mnima para ser classificado 100 e a mxima 1000.
Category : A qual categoria o domnio ser associado se as informaes baterem.
Nota: Se houver o interesse em criar uma regra de excluso ( liberar o domnio de uma classificao ) para uma
determinada categoria, defina com pontos negativos ( - ). Por exemplo, se voc associar a palavra chave filme a
categoria Entretenimento mas voc no quer classificar a pgina de download na mesma categoria, ento voc pode
associar a palavra download a Entretenimento com pontos negativos.
8.4. Entendendo o fluxo de trabalho do NxClassifier 73

Ajustes de performance no NxClassifier
Para ambientes grandes com muitos usurios pode ser que a velocidade de classificao do NxClassifier ( que feito
em sites ainda no qualificados ) esteja muito abaixo do esperado. Isso ocorre por que a configurao do NxFilter
priorisa filtrar sites e no qualific-los, at para evitar um consumo de recursos desnecessrio o nmero de agentes do
NxClassifier de apenas 2 agentes por padro.
Para aumentar o nmero de agentes, melhorando assim a resposta do NxClassifier, altera-se o parmetro classi-
fier_num em /nxfilter/conf/cfg.properties.
classifier_num = 8
E quando h um cluster NxFilter, o NxClassifier tambm fica em cluster. Com essa funcionalidade voc tambm pode
dedicar um n s para trabalhar com classficao. Rodando 16 agentes para a classficao em um n e nos demais
definindo o parmetro classifier_num para 0.
Outro ponto a ser observado que quanto maior a ruleset maior o consumo de CPU.
Repositrio
O NxFilter executa atualizaes da Jahaslist automaticamente. Ele faz o download dos arquivos a partir da Internet e
atualiza a Jahaslist.
Voc pode criar seu prprio repositrio para esta atualizao remota. Ele prtico para pessoas que desejam compar-
tilhar suas lista ou fazer negcio criando uma lista prpria.
1. O processo de atualizao.
Ao adicionar a URL indicando o arquivo de atualizao em NxClassifier > Setup > Jahaslist Repository,
o NxFilter far o download e buscar atualizaes para a Jahaslist. Esse processo ser executado em dois
momentos: ao reiniciar o NxFilter e uma vez a noite. O processo de atualizao roda em paralelo com o
NxFilter desde modo no haver prejuzo para sua funcionalidade padro ( os filtros de DNS ) enquanto
ele executa a atualizao.
Nota: Voc pode adicionar mais de um repositrio separados por linhas.
2. O formato do arquivo.
De modo geral o que necessrio se ter o arquivo com a extenso .txt. Porm, se o arquivo for grande,
possvel usar arquivos compactados no formato tarball com a extenso .tgz ou .tar.gz, dentro desse
arquivo haver o arquivo texto.
Dentro desse arquivo havero registros com os domnios e suas categorias separados por virgulas, como a
seguir:
google.com,46
yahoo.com,46
nxfilter.org,9
Atualmente esse o formato usado para arquivos importados ou exportados da Jahaslist na GUI. Ento permitido
compartilhar esse arquivo exportado.
Aviso:
Arquivos texto podem conter ae 100.000 domnios.
Ao criar um arquivo recatlist.tgz para armazenar recatlist.txt, faa do seguinte modo:
ex) tar cvzf recatlist.tgz recatlist.txt
3. O versionamento dos arquivos.

Para evitar que o mesmo arquivo seja baixado diversas vezes o NxFilter tem um sistema de controle de verses para os
arquivos disponibilizados. Quando for gerado o arquivo na URL http://www.nxfilter.org/test/recatlist.txt, o NxFilter
tentar encontrar um arquivo de verso no mesmo endereo que tenha o seguinte formato http://www.nxfilter.org/
test/recatlist.ver
No arquivo de verso .ver voc dever registrar um nmero. Quando esse nmero for maior que a verso anterior, j
baixada pelo NxFilter, o sistema far um novo download do arquivo e atualiza a Jahaslist. Se o nmero for menor ou
igual, o NxFilter ignora o arquivo.
Nota: A verso no pode ser menor que 1.
8.7. Repositrio 75
CAPTULO 9
Servidor DNS
NxFilter basicamento um servidor DNS com capacidade de fazer forward e/ou cache com a habilidade de filtrar as
consultas DNS. Pode tambm ser usado como um servidor DNS Autoritativo. E tambm tem suporte ao servio de
DNS Dinmico.
Forward
Quando o NxFilter instalado ele j vem com a opo de servidor DNS forward ativa. Ele usa os servidores do
Google DNS, por padro, como servidor DNS upstream. permitida a alterao para outro servidor uptream em
DNS > Setup.
Caching
NxFilter tem seu prprio cache de DNS originado do servidor upstream configurado. Significa que quando voc usa
um endereo pblico ou um servidor DNS na internet como um servidor DNS na sua configurao do NxFilter e usar
o NxFilter como servidor DNS da sua rede local voc poder aumentar a velocidade da sua rede, j que o trfego de
rede deixar de fazer acessos externos e s far consultas de DNS locaias.
Isto ocorre por que uma vez que a consulta seja feita ela armazenada no cache do NxFilter ento seus usurios
recebero a resposta do NxFilter e no mais de uma servidor da internet.
No ter tambm problemas de latncia entre sua rede local e o servidor DNS na internet.
DNS Autoritativo
NxFilter pode atuar como um servidor DNS Autoritativo. 1. Arquivo de Zone ( Zone File )
usado o mesmo padro nos arquivos de zona do BIND. O arquivo criado em DNS > Zone File. E
ento voc pode adicionar suas estaes ( host ) na zona DNS diretamente pela GUI.
77
2. Para disponibilizar na internet. Sabendo que o NxFilter um filtro DNS com autenticao, quando voc o utilizar
como servidor DNS autoritativo necessrio tomar conhecimento dos seguintes pontos:
Autenticao Voc precisa habilitar a autenticao principalmente quando expe o NXFilter na In-
ternet com o objetivo de evitar ataques DDOS. Porm h o problema que se a autenticao for
ativada, usurios annimos sero redirecionados para a tela de login. Para permitir que usurios
annimos faam normalmente consulta DNS no seu domnio, voc precisar permitir o bypass da
autenticao para seu domnio.
Filtro NxFilter um filtro DNS, ento seu dominio pode ser bloqueado pelo NxFilter por algumas
razes. Para evitar problemas do tipo indicado fazer o bypass da filtragem do seu domnio.
Logs em excesso Voc pode acabar tendo muitos registros de log por conta de ataques DDOS em
seu domnio. No caso, pode ser melhor tambm ativar o bypass de logs no seu domnio.
Nota: Voc pode configurar uma whitelist para seu domnio ser liberado em alguns casos, mas tambm
possvel usar a opo de bypass de um arquivo de zona ( zone file ).
No NxCloud voc tem a opo Public Service ao invs da opo bypass. Na realidade essa opo
a combinao do ByPass Filtro e Bypass Logging no h opo Bypass Autenticao no NxCloud.
Voc precisa marcar essa opo para sua Zona DNS na internet quando usa o NxCloud.
3. Clustering / Usando o Cluster

Quando est usando o NxFilter em Cluster seus ns trabalharo como um servidor DNS Autoritativo
com as mesmas configuraes do n principal. Voc no precisa configurar DNS Secundrio para haver
redundncia. Isso j faz parte do servio de clusterizao.
DNS Dinmico
NxFilter tem suporte a DNS Dinmico. Voc pode construir um servio no estilo DynDNS com NxFilter se assim
desejar.
Para ativar esse servio voc precisa ter um domnio em DNS > Setup > Dynamic Domain e ento ativar o servio.
Se quiser que o servio seja pblico ou esteja disponvel na internet, voc tera de ativar uma Zone DNS Autoritativa
em DNS > Zone File para que seu Domnio Dinmico funcione.
Uma vez que esteja tudo configurado no lado do servidor, necessrio instalar o cliente de DNS Dinmico no sistema
do seu cliente. Para isso usamos o NxUpdate.
No NxUpdate voc precisa configurar o ip do Servidor, que no caso o IP do seu NxFilter e um token associado ao
nome do usurio da estao. No caso o nome do usurio ser o nome da mquina.
Por exemplo, se voc tem o domnio dinmico exemplo.com e instalar o NxUpdate na estao de trabalho com o
token do usurio minhamaquina, uma vez que o NxUpdate entre em ativa voc poder pingar o endereo minhama-
quina.example.com.
Nota: O servio de DNS Dinmico requer que a autenticao esteja ativada em Config > Setup.
Pode ser acessada a lista de domnios dinmicos que esto sendo resolvidos em DNS > Dynamic
Domain.
No servio NxCloud h em Logging > Dynamic DNS a possibilidade do administrador monitorar
as atividades relacionadas ao seu domnio dinmico.
78 Captulo 9. Servidor DNS

Evitando ataques DDOS
Quando o NxFilter disponibilizado a Internet h a possibilidade de sofrer ataques DDOS. Uma vez estando sob
ataque ou outros tipos de ataque DNS ser visvel o trfego intenso no servidor. O NxFilter no conseguir tratar todo
o trfego e provavelmente ele aparentar estar parado, assim como receber erros no log informando Queue full.
Para evitar que isso ocorra a melhor coisa a se fazer no expor o servidor DNS ou no responder a essas solicitaes
com um endereo vlido. Para evitar que o NxFilter atue como servidor de DNS para esses tipos de ataque a primeira
opo ativar a autenticao. Como no sero usurios autenticados eles sero redirecionados para o IP do NxFilter
quando fizerem consultas DNS.
Ainda assim o servidor DNS ser identificado pois estar respondendo as consultas do mesmo jeito. Para mitigar
de vez esses ataques necessrio matar os pacotes vindos desses clientes anonimos de forma silenciosa. Para isso
possvel ativar a opes Allowed IP for Login Regirection em Config > Allowed IP e o NxFilter vai ignorar os
pacotes desses atacantes.
Nota: Com o NxCloud voc pode ativar/desativar o redirecionamento de login em Config > Setup.
9.5. Evitando ataques DDOS 79

80 Captulo 9. Servidor DNS

CAPTULO 10
Diversos
Cluster com NxFilter
O NxFilter tem um sistema embutido para criar clusters com load balance e alta disponibilidade. Uma vez que voc
tenha um n master voc pode adicionar at 4 ns Slave no cluster.
Todos os ns slave em seu cluster recebem as configuraes do n master. Ento voc pode controlar tudo a partir do
n master.
Criando um cluster
Para criar um cluster, a primeira coisa a se fazer configurar o n master. Em Config > Cluster voc
definir que uma de suas instalaes do NxFilter seja o n Master. E ento voc pode adicionar os outros
NxFilter como ns Slave, vinculando-os ao n Master.
Aps definir o NxFilter como master, ou sempre que for feita qualquer alterao na parte de configurao
do cluster, voc precisa reiniciar os NxFilter.
Nota: O servio de cluster requer que as portas 19002,19003 e 19004 - que usam protocolo TCP - sejam liberadas (
todas no n master e demais )
Iniciando o NxFilter em cluster
Ao configurar o servio de cluster no NxFilter, voc precisa iniciar antes o n principal Master e s em seguida os
ns Slave. Isso necessrio pois os ns Slave tentaro baixar as configuraes iniciais a partir do n Master
assim que estes forem inicializados.
81
Load balance e alta disponibilidade
Uma coisa boa sobre o filtro DNS que o load balance (lb) e ia alta disponibilidade (ha) so funcionalidades nativas
do sistema. Configure seu n Master como o DNS Primrio e seu Slave como DNS Secundrio na sua rede.
Ento voc j tem tanto o load balance quanto a alta disponibilidade.
Nota: Se voc deseja ter LB e HA nas pginas de bloqueio e login ou atualizaes de politicas para os agentes do
NxFilter voc precisa definir diversos blocos de redirecionamento separados por vrgulas em Config > Setup.
Quando um ds ns cair
Quando um n slave cai os outros ns no sero afetados.

Quando cai o n master voc ainda no perder os filtros a menos que voc reinicie seu n slave antes de
restaurar o n master. Porm h diversas formas de evitar isso.
Nota: Se voc configurar o alerta de email, em Config > Alert, voc receber o aviso de que o n caiu.
1. Redirecionamento do Login no funciona

Quando o n master cai no se consegue compartilhar as sesses de login entre os ns restantes. Isso
significa que sua pgina de login no funcionar corretamente. Ento seu usurio no ser redirecionado
para a pgina de login.
2. Usurios no autenticados passaro livremente
Se no redirecionar as Senhas de usurios para a pgina de login eles no podero se autenticar. Mas os
clientes no podem ficar sem acesso Internet. Por isso o filtro desativado para os usurios que ainda
no tinham sido autenticados para o caso em que o servidor Master cair. Se voc no deseja desativar os
filtros para todos os usurios a alternativa para ocasies em que o servidor Master cair crie um usurio
padro com uma determinada faixa de ip da sua rede.
Nota: Para o NxCloud um pouco diferente. Ele cancela as requisies de usurios no autenticados, afinal para
o NxCloud a pgina de login no um opo padro e os usurios do NxCloud geralmente usam outros mtodos de
autenticao.
3. Diversos endereos IP para um agente

Se voc usar um dos agentes do NxFilter com mltiplos IP para contemplar os ns slave, eles continuaro
funcionando.
Controle de acesso para os ns slave
S permitido se conectar ao servidor Master os ns Slave listados em Config > Cluster, o que no estiverem
nessa lista sero bloqueados.
Monitorando os ns slave
Voc pode visualizar o status da conexo dos ns slave, acesse Config > Cluster. Uma vez que que o cluster for
levantado todos os ns slave aparecero informando o registro da ltima sincronia. Ele tambm informa as quantidades
82 Captulo 10. Diversos

de requisies, bloqueios, usurios e ips.

Esse contador ser zerado a meia-noite ou quando o NxFilter for reiniciado.
Compartilhando as sessoes entre os ns do cluster
Para permitir a troca de informaes entre os ns do cluster so utilizadas portas TCP.

Atravs dessas portas so compartilhados:
1. A sesso do usurio, evitando assim que o usurio se autentique toda vez que consultar um n diferente.
2. Consumo de banda
3. Tempo de navegao
Nota: A desvantagem dessa soluo que pode haver queda no tempo de resposta dos servios para os casos em que
os servidores ficarem lentos e tambm gerar uma carga maior de trfego entre os ns.
Se voc no deseja que essas informaes sejam compartilhadas, possvel desativar todo o compartilhamento de
informaes entre os ns.
Porm, ainda sim pode ser interessante no ter de se autenticar a cada troca de servidor DNS. E na verdade, a sesso
compartilhada somente para evitar o redirecionamento pgina de login. Se voc no usa autenticao - com base
em senhas - voc no ter problemas.
Os agente NxLogon, NxMapper e NxClient podem se comunicar com os ns do NxFilter, evitando a necessidade de
autenticao a cada acesso a um servidor diferente.
E a autenticao baseada em IP funciona tranquilamente sem compartilhar a sesso.
Para desativar o compartilhamento de sesses enquanto a autenticao estiver ativa, insira o seguinte parmetro em
/nxfilter/conf/cfg.properties.
no_share_session = 1
Aviso: O parmetro no_share_session tem de ser aplicado em todos os ns.
Controle de Banda com NxFilter ( Bandwidth )
NxFilter d suporte a controle de uso de banda por usurio usando os dados do NetFlow. A ideia simples.
NxFilter vincula os dados do NetFlow vindos de um roteador a sesso do usurio baseado no endereo IP
e se h um usurio consumindo o limite de uso especificado, NxFilter bloqueia todas as requisies feitas
pelo usurio.
A vantagem que isso no aplicado apenas no trfego HTTP. Desde que NxFilter esteja usando os dados
do NetFlow voc pode monitorar e bloquear outros protocolos incluindo HTTP, FTP, IM, Skype, Torrent
e qualquer outro protocolo usando TCP/UDP.
Para ativar o controle do uso de banda voc precisa de um roteador ou firewall com suporte a NetFlow
verso 5 em sua rede e voc precisa fazer com que este envie os dados de NetFlow para o NxFilter. E
ento ative o coletor de NetFlow no NxFilter em Config > Setup > NetFlow. Ento configure um limite
de banda em uma poltica.
Os pr-requisitos para que o NxFilter importe os dados do NetFlow:
10.2. Controle de Banda com NxFilter ( Bandwidth ) 83

1. O IP de origem ou o destino deve poder ser associado a um IP de um usurio autenticado no NxFilter.

2. NxFilter igrnora o trfego interno. Ento o IP de origem ou destino precisa ser um endereo pblico.
Isso por levar em considerao que se est interessado em trfego de entrada ou sada para a Internet.
3. Por ltimo NxFilter coleta somente dados TCP/UDP.
Aviso: Atualmente o NxFilter tem compatibilidade somente com o NetFlow v5
Detectando e prevenindo aes de malware/botnet
Uma das funcionalidades do NxFilter permitir a detecto e bloquear atividades de malware/botnets analisando os
pacotes DNS. Na realidade malware e botnets so outro tipo de cliente de rede ou programas. Isso significa que eles
tambm dependem consideravelmente do protocolo DNS para se comunicar com seus controladores ou vtimas.
Por exemplo, se voc tem um rob spammer na sua rede ele far diversas consultas DNS sobre registros MX buscando
seus alvos para enviar emails. Porm, normalmente seu PC no precisa fazer consultas sobre quem so os servidores
MX a menos que voc tenha um servidor de email rodando nessa mquina.
Outro exemplo poderia ser botnets usando os registros TXT ou outros registros DNS como ferramentas de comuni-
cao.
Esses so exemplos que ocorrem rotineiramente.
ex1) Trojan.Spachanel usava registros SPF.
ex2) W32.Morto usava registros TXT.
Outra mtodo seria detectar tamanhos anormais de domnios. Quando testamos os 100.000 domnios mais acessados
( segundo a Alexa ) todos os domnios - exceto por 142 deles - tinham menos de 30 caracteres. Mas existem domnios
anmalos tentando acessar algumas URLs de um site qualquer. Um exemplo disso seria o www.phishtank.com que
tenta acessar pginas do www.ebay.co.uk mas atualmente ele um domnio phishing.
ex1) cgi.ebay.co.uk-item-css.ebay-motors.session.id-sj3mzbasf3k12z581668115.login-
wpadmin-sw.buyitnow.sign-in.secure-process657943sddh53zix34235hj65rj.xml.config-
page.overview.buyer-protection-jsp.wpcs.spiridus-magic.org
Ento a deteco de botnet/malware analisando os pacotes DNS vem a ser uma tcnica bem eficaz. Nx-
Filter prov a possibilidade de ativar esses bloqueios atravs da configurao de suas polticas.
Max Domain Length
Block Covert Channel
Block Mailer Worm
Block DNS Rebinding
Allow A Record Only
Mas voc pode dizer que a forma mais eficaz de se prevenir contra malware/botnets na sua rede seria permitir apenas
consultas a registros A. Em muitos casos seus terminal no precisa consultar o DNS por outros tipos de registros que
no sejam o A, AAAA, PTR ou CNAME.

Removendo anncios embutidos em pginas
H diversas pginas com anncios embutidos vindos de outros domnios. Um dos problemas de bloquear esses ann-
cios com o NxFilter que a pgina pode ficar completamente descaracterizada. Afinal sua pgina de bloqueio ficar
embutida no lugar dos anncios.
Para evitar esse tipo de problema, existem duas formas de remover anncios com o NxFilter.
1. Usando uma categoria especial em Category > Custom chamado ad-remove. Se voc adicionar um domnio
nesta categoria e bloquear essa categoria em qualquer lugar, o NxFilter bloqueia o domnio com uma pgina em
branco.
2. O outro mtodo fazer o bloqueio usando a opo Ad-Remove em uma poltica. Com esta opo o NxFilter
bloqueia a categoria Ads a partir da Jahaslist.
Nota: Aps adicionar um domnio na categoria ad-remove voc precisa bloquear o domnio em uma lista ou outra
poltica caso contrrio ele no ser bloqueado.
Exportar Syslog
NxFilter permite exportar o Syslog. Os dados exportados tem seus campos separados por |.
Por exemplo a seguinte linha de Syslog do NxFilter:
NXFILTER|2017-03-13 10:53:23|Y|www.bbc.co.uk|pwuser|192.168.0.101|admin|news|Blocked
by admin|33|grupoA
Pode ser quebrado da seguinte forma:

Prefixo : NXFILTER
Data : 2017-03-13 10:53:23
Bloqueado (Sim=y/No=n) : Y
Domnio : www.bbc.co.uk
Usurio : pwuser
IP Cliente : 192.168.0.101
Poltica : admin
Categoria : news
Motivo do bloqueio : Blocked by admin
Tipo de consulta DNS : 33
Grupo: grupoA
Ajustes de performance
Apesar do Servio do NxFilter ser concebido para atender milhares de usurios facilmente, existem vrios fatores que
podem ser ajustados para atingir melhor performance do NxFilter caso seja necessrio.
10.4. Removendo anncios embutidos em pginas 85

Memria alocada
Por padro NxFilter usa cerca de 512 MB RAM. o suficiente para a maioria dos casos. Mas se voc alocar mais
memria para o NxFilter voc ter uma performance maior ainda.
No script de inicializao do servio do NxFilter /nxfilter/bin/startup.bat voc tem a linha.
java -Djava.net.preferIPv4Stack=true `-Xmx512m` -cp "%NX_HOME%"\nxd.jar;"%NX_HOME%

"\lib\*; nxd.Main
Se desejar aumentar para 1GB mude o parmetro -Xmx512m para -Xmx1024m.
Nota: Caso estejas usando o NxFilter como um servio no Windows, necessrio reinstalar o servio com esse
ajuste de memria. Quando for reinstal-lo, desinstale usando unstsvc.bat altere o arquivo instsvc.bat com o ajuste de
memria desejado e a sim reinstale executando instsvc.bat.
Espao em disco e reduo do volume de dados de log
NxFilter tem vrias modalidades de relatrios. Voc pode ver todos os registros de acesso dirios, semanais e por
usurio. Em todo caso este tipo de relatrio consome muito espao em dico. possvel que note uma degradao na
performance quando atingir um volume muito grande de registros nos relatrios.
Se na sua rede tem centenas de usurios interessante ter no mnimo 10GB reservados s para os registros de trfego.
Ou para economizar espao em disco possvel reduzir a quantidade de dados. Para reduzir possvel ajustar o valor
em Log Retention Days em Config > Setup.
A outra forma de reduzir o volume de dados de trfego fazer uma lista branca/whitelist com a opes Bypass
Logging para os domnios que no tem interesse em registrar.
Usar cache no cliente para consultas DNS
NxFilter manipula o TTL do DNS cache para que o cliente DNS limpe os registros o mais rpido possvel, de modo
que as atualizaes/ajustes nas polticas sejam aplicadas mais rapidamente. Porm essa no uma funcionalidade to
crtica e ela aumenta o nmero de consultas vindas dos clientes.
Para melhorar a performance voc pode achar interessante que o NxFilter no altere o TTL dos registros no DNS
Cache.
Pode alterar o parmetro Max Client Cache TTL em Config > Setup para 0, desligando assim a funcionalidade.
Quando isso desligado o sistema cliente no no far consultas DNS enquanto o registro estiver no cache e assim
reduzir a carga para o NxFilter drsticamente. Quando h mais de 1.000 usurios recomendado desligar esta
funcionalidade.
Aumentar o nmero de threads de requisies
NxFilter um sistema multi-thread. Ele tem threads que atendem as requisies DNS dos clientes. A quantidade de
threads padro 8 e suficiente em muitos casos. Mas se acha que o NxFilter est demorando a responder voc pode
aumentar essa quantidade.
Para aumentar para 16 threads insira a seguinte linha em /nxfilter/conf/cfg.properties e reinicie o NxFilter.
rh_num = 16

Usando um servidor DNS recursivo internamente
Um dos motivos que podem causar degradao na performance do NxFilter a latncia do servidor upstream ( servidor
DNS que o NxFilter consulta ). No um caso para quando h centenas de usrios j que o NxFilter tem seu prprio
cache. Porm se sua rede tem milhares de usurios, isso pode ser um problema. Por isso foi criado o parmetro Local
DNS Server.
Em todo caso isso no quer dizer que o NxFilter faa consulta recursiva por si s. possivel instalar um servidor
DNS recursivo no mesmo servidor que j tem o NxFilter instalado e assim fazer com que o NxFilter o utilize como
um servidor DNS upstream.
Caso tenha instalado algo como o servidor de DNS recursivo MaraDNSs Deadwood e configurado-o para usar a porta
10053 e o ip for 127.0.0.1 preciso adicionar a seguinte linha em /nxfilter/conf/cfg.properties.
local_resolver_port = 10053
E reiniciar o NxFilter.
Desativando o compartilhamento de dados entre os clusters
Quando h um cluster NxFilter, existe uma troca constante de dados entre eles visando o compartilhamento de dados.
No caso do servidor ter um processamento alto isso pode ser um fator de degradao da performance.
Para diminuir o volume de troca de dados leia a seo Criando um Cluster NxFilter nessa mesma documentao.
Permisso de Acesso aos Relatrios
possvel definir senha de acesso aos menus Logging e Report. Essa senha definida em Config > Admin >
Report Password. E permitida a criao de link nos seguintes moldes,
http://192.168.0.100/admin?report_pw=pass1234
Ao clicar no link, o usurio receber permisso de visualizao de tudo abaixo de Logging e Report e ser
redirecionado para Report > Daily
10.7. Permisso de Acesso aos Relatrios 87


CAPTULO 11
FAQ
Perguntas frequentes sobre o NxFilter
Posso burlar o NxFilter usando endereo IP para acessar sites?
Existem casos de pessoas dizendo que filtros DNS no so prticos por poder se acessar um website usando seu
endereo IP. Esta uma afirmao nem sempre correta. Atualmente muitos servidores de sites esto rodando com
Virtual Host, deste modo diversos sites respondem no mesmo endereo IP. Por isso nem sempre possvel acessar
sites diretamente sem usar o respectivo domnio.
Outra coisa para se ter em mente que existem muitas URLs em uma pgina s ( endereo de css, endereo de imagem,
etc... ). Isso se aplica mais ainda se estivermos falando de algum portal. E essas URLS so baseadas em endereo
DNS. como se voc pudesse tentar acessar um site bloqueado usando IP porm o que voc obtem uma pgina com
erros.
Nota: NxFilter pode bloquear IP usando o agente de proxy.
Mesmo tendo alterado o NxFilter continua bloqueando/permitindo o

acesso ao site
provvel que seja o cache DNS do seu sistema interferindo. Se voc est usando o Windows saiba que nele existem
dois tipos de cache DNS:
1. O do Browser
2. O do prprio Windows
Digamos que antes do cache expirar foi alterada a poltica no NxFilter bloqueando/permitindo o acesso ao site. O
cache s vai expirar em um determinado momento, porm possivel forar a limpeza do cache imediatamente.
89
Para limpar o cache do Browser feche o mesmo completamente, todas as janelas e depois reabra o sistema.
Para limpar o cache DNS do Windows, execute o seguinte comando no prompt, vulgo CMD ipconfig /flushdns.
Geralmente o cache DNS do Windows expirar no mximo em 1 dia. claro que isso tambm depende do TTL do
registro definido pelo DNS, mas ainda no tivemos registros de TTLs superiores a 1 dia - ou 86400 segundos.
Quanto ao cache DNS no Browser o registro DNS pode levar vrios minutos para expirar. Porm ele ir expirar e
receber a nova poltica definida no NxFilter.
Nota: Na prtica isso no ser um problema, j que no comum executar esse procedimento de
bloqueio/desbloqueio vrias vezes ao dia.
Como obrigar o usurio a usar o NxFilter?
Havendo um firewall em sua rede esse um procedimento simples. S preciso bloquear a sada UDP/53 e TCP/53
de outros que no sejam o NxFilter. E ento voc pode usar o DHCP para registrar no cliente o NxFilter como servidor
DNS na sua rede. Desse modo o NxFilter se tornar seu nico servidor DNS que seus usurios podero utilizar e a
parte DHCP deixar isso configurado de modo automtico.
Como o NxFilter determina que poltica aplicar a um usurio?
Voc pode atribuir uma poltica diretamente a um usurio. Se o usurio pertence a um grupo, ento a poltica do
grupo sobrepe a poltica do usurio. Porm quando voc importa usurios do Active Directory eles podem pertencer
a diversos grupos. Nesse caso voc no saberia que poltica seria aplicada a determinado usurio. Para resolver esses
problema use a feature Priority Points. Se h mais de um grupo e se eles tem polticas diferentes, a poltica que tiver
a maior pontuao em prioridade ser aplicada. Voc pode definir essa pontuao em um poltica.
Nota: Para saber que poltica est sendo aplicada a um determinado usurio, utilize o boto TEST em
User & Group > User.
Qual forma mais rpida de bloquear facebook.com?
Insira *.facebook.com em Whitelist > Domain e marque a opo Admin Block.
Desejo bloquear o facebook.com apenas para um determinado

grupo
Antes necessrio separar de algum modo seu grupo de outros usurios usando a parte de autenticao do NxFilter.
Da bloquear a categoria de Social Networking em uma poltica quando estiver usando a Jahaslist. O ltimo passo
seria atribuir essa poltica ao grupo desejado.
Se houver o interesse em permitir, por exemplo, que o grupo de Vendas possa usar a internet sem bloqueios no
horrio de almoo.
90 Captulo 11. FAQ

Crie um usurio ou um grupo e defina o horrio livre em Polticas e Regras > Horrio Livre ento atribua a poltica
de horrio que mais convier para esse grupo.
Como alterar a porta do servidor web do NxFilter?
Voc pode mudar as portas HTTP/HTTPS do NxFilter. Porm ao mudar a porta HTTP voc perder a pgina de blo-
queio para o caso de redirecionamento. Isso ocorrer por conta do NxFilter redirecionar o usurio - quando necessrio
- para algo no browser do usurio na porta TCP/80.
Para fazer a alterao das portas voc precisa mudar os seguintes parmetros em /nxfilter/conf/cfg.
properties.
http_port = 80
https_port = 443
Aps a mudana de portas reinicie o NxFilter.
Como resetar a senha de administrador?
Existe o script /nxfilter/bin/reset_pw.sh para resetar a senha de administrador. Uma vez executado o script, o nome e a
senha do administrador ser resetada para o padro de instalao. Esse script deve ser executado enquando o NxFilter
est em execuo.
Nota: H tambm o script /nxfilter/bin/reset_acl.sh que reseta as resitries de acesso ao GUI.
Posso vincular o NxFilter a um determinado endereo IP?
Em casos como conflitos de portas possvel vincular o NxFilter a um IP especfico. Isso pode ser feito usando o
parmetro listen_ip em /nxfilter/conf/cfg.properties. Se estiver setado 0.0.0.0 o NxFilter ir responder em
todos os endereos IPs do sistema mas se for especificado o IP o NxFilter s responder nesse.
Nota: Mesmo que se vincule o NxFilter a um determinado endereo IP voc no poder ter multiplas instncias do
NxFilter na mesma mquina. Isso ocorre por que ele precisa se vincular a diversas portas no servidor para comunicao
interna.
Como fazer o bypass do meu domnio local?
Em DNS > Setup voc pode registrar seu servidor DNS interno e domnio local. Nessa configurao se houverem
consultas DNS ao domnio local o NxFilter direciona as consultas para o servidor DNS local e no exige autenticao,
filtro e/ou registro.
11.7. Como alterar a porta do servidor web do NxFilter? 91

Tenho de usar a correspondncia exata do que estou pesquisando

no log ?
Voc pode separar por colchetes para fazer um filtro mais preciso na pesquisa do log.
ex: [john], [192.168.0.1]
Por que preciso autenticar novamente aps a parada para almoar?
Sua sesso expirou.

No havendo atividade ( consultas DNS ) vindas do seu terminal de trabalho por um determinado tempo sua sesso
expira. Voc pode aumentar o tempo em Login Session TTL em Config > Setup.
Nota: Se voc usar o modo SSO com o AD voc pode evitar esse tipo de problema.
Como aplicar meu prprio certificado SSL?
O NxFilter usa o Tomcat 7.x de modo embarcado para ser o servidor de pginas. Se voc deseja aplicar seu prprio
certificado SSL no Tomcat h dois parmetros que voc precisa definir no arquivo de configurao dele.
Os dois parmetros so keystorefile e keystorePass. Em todo caso no h um arquivo separado s para configurar o
Tomcat. Ser utilizado o /nxfilter/conf/cfg.properties para definir esses parmetros.
keystore_file = conf/minha.keystore
keystore_pass = 123456
Nota: Para saber como gerar o arquivo keystore leia o manual do Tomcat 7.x
Como habilitar o modo de debug?
Quando h algo de errado com o NxFilter a primeira coisa recomendade verificar os logs. NxFilter mantm registros
de log dentro da pasta /nxfilter/log.
Caso precise de informaes mais detalhadas sobre o erro, habilite o modo de debug em /nxfilter/conf/log4j.properties,
alterando o trecho INFO para DEBUG dentro do arquivo e reinicie o NxFilter
Aviso: Aps identificar o erro ou terminar de analisar os logs no esquea de alterar isso novamente para o padro
INFO pois pode acabar gerando muito log e encher sua unidade de disco de modo acelerado.
92 Captulo 11. FAQ

Como oculto o alerta de SSL?
Quando um browser est sendo redirecionado para HTTPS ele alerta o usurio que isso est ocorrendo, pois tem o
objetivo de prevenir o ataque Man in the middle. Por esse motivo que recebida a mensagem de alerta ao invs da
tradicional pgina de bloqueio do NxFilter. Seu browser est apenas fazendo o que deve ser feito e no o objetivo do
NxFilter interferir nisso.
Em todo caso h situaes em que se deseja ocultar essa pgina de alerta. Para que isso ocorra pode se mudar a porta
HTTPS do NxFilter, desse modo os usurios recebero a mensagem de Erro de Conexo.
Nota: Para mudar a porta HTTPS modifique a linha https_port = 443 em /nxfilter/conf/cfg.properties, alte-
rando 443 para outra porta que no a padro.
Aviso: O Agente NxForward passou a funcionar a partir da verso 3.4.5 do NxFilter. O NxForward uma extenso
para o Google Chrome e se um site - em HTTPS - bloqueado, ele redireciona as requisies para uma pgina
HTTP de modo a permitir que seja exibida a pgina de bloqueio sem que haja o alerta da pgina SSL. Para mais
informaes acesse a sesso Agentes/Clientes > NxForward para ocultar falhas no SSL neste mesmo tutorial.
No vejo o nome do meu usurio em Logging > Request
A primeira coisa que voc precisa ativar Habilitar autenticao em Config > Setup.
As vezes passa despercebido que necessrio ativar a autenticao antes de fazer uso de qualquer coisa que dependa
do mtodo de autenticao.
Como evitar qualquer registro de log?
O tempo minimo de reteno de registros de 3 dias.

Mas caso no deseje registrar nada possvel burlar isso definindo o parmetro syslog_only em /nxfil-
ter/conf/cfg.properties. Se esse parmetro for registrado no arquivo sem ter nenhum valor o NxFilter no registrar
nada.
Para ativar o syslog_only insira a o seguinte registro em /nxfilter/conf/cfg.properties:
syslog_only = 1
Nota: Voc continuar tendo as contagens mas o registro dos dados no sero armazenados em sua tabela de trfego.
Como alterar a timezone?
Alguns usurios sentiram necessidade de usar um timezone diferente do usado no NxFilter.

Quando houver a necessidade de mudar o timezone de forma manual isso pode ser feito mudando os parmetros da
JVM.
11.15. Como oculto o alerta de SSL? 93

Em /nxfilter/bin/startup.sh na chamada do java, onde tem os parmtros da JVM, insira o seguinte parmetro
-Duser.timezone=America/Fortaleza.
Aviso: No CentOS esse procedimento geralmente necessrio.
Nota: America/Fortaleza foi um exemplo, voc pode ver a que se aplica melhor a sua regio em
http://www.ibm.com/support/knowledgecenter/ssw_i5_54/rzamy/reftzval.htm_ .
Meus Browsers ficam fechando e abrindo aps o NxClient iniciar
O Agente NxClient atua como um proxy local, ento ele precisa atualizar as configuraes de proxy de modo a
redirecionar o trfego HTTP/HTTPS dos browsers de suas mquina para ele mesmo. E aps essas configuraes de
proxy serem aplicadas necessrio reiniciar os browsers de modo a aplicar essas alteraes.
Mas voc pode ter outro programa no seu Windows bloqueando tais configuraes/atualizaes ou fazendo as modifi-
caes ele mesmo.
Voc ter um conflito nesse ponto. Para corrigir isso voc precisa deixar habilitado apenas um dos programas.
Como forar o usurio a fazer o logout?
No existe essa funo na GUI. Porm, em muitos casos, as pessoas desejam forar esse trmino de sesso quando os
usurios deixam de usar seus terminais e desejam forar que o prximo usurio se autentique. Para isso voc pode usar
a opo de logout do domnio em Config > Setup. Voc escrever um script batch para o browser acessar o endereo
assim que o usurio fizer o logoff.
Ou voc pode usar o sinal de logout do endereo que logout.signal.nxfilter.org. Verifique esse endereo usando o
aplicativo nslookup e a sesso de login associada ao IP dessa estao ser excludo.
@echo off
nslookup logout.signal.nxfilter.org.
NxFilter deixa de funcionar aps o erro Queue full
Ao receber a mensagem de erro Queue full voc perde a conexo com a internet ou com o servidor DNS Upstream.
Isso ocorre por que o NxFilter no consegue processar as requisies DNS em sua fila.
Entende-se que o NxFilter deveria retormar as funcionalidade quando sua conexo restaurada. Em todo caso em
alguns sistemas o processamento nao volta a ocorrer aps o retorno da conexo. E o problema que apesar do sistema
informar que est conectado no isso que esteja ocorrendo e como a conexo UDP no tem como confirmar. Esse
problema no ocorre em todas as instalaes do NxFilter e apesar de nossas tentativas, ainda no conseguimos repetir
o problema em nossos laboratrios, dificultando assim a identificao da causa.
A soluo para isso, temporariamente, reiniciar o NxFilter. E seria muito interessante se fosse possvel reiniciar
o NxFilter assim que receber a devida mensagem de erro Queue full. Na verso 3.4.4 foi introduzido o parmetro
queue_full_exit em /nxfilter/conf/cfg.properties.
No arquivo haver a seguinte linha:
94 Captulo 11. FAQ

queue_full_exit = 1
Assim o NxFilter fechar automaticamente ao receber a mensagem de erro Queue full e voc poder reinicia-lo. Por
exemplo, se estiver em um sistema Linux voc pode usar a opo respawn no Upstart ou no Systemd para reiniciar
o NxFilter.
11.21. NxFilter deixa de funcionar aps o erro Queue full 95

96 Captulo 11. FAQ

ndice
V LogoutDomain, 32
vriavel de ambiente MaxClientCacheTTL, 34
Ad-remove, 38 MaxDomainLength, 38
AdminDomain, 33 PriorityPoints, 38
AgentPolicyUpdatePeriod, 33 Quota, 38
AllowARecordOnly, 38 QuotaAll, 39
AutoBackup, 33 QuotaedCategories, 39
Block-time, 39 ResponseCacheSize, 35
BlockAll, 38 RouterIP, 32
BlockCovertChannel, 38 RunCollector, 32
BlockDNSRebinding, 38 Safe-search, 39
BlockedCategories, 39 SSLOnlytoAdminGUI, 33
BlockMailerWorm, 38 SyslogHost, 32
BlockRedirectionIP, 31 SyslogPort, 32
BlockUnclassified, 38 UpstreamDNSLoadBalance, 34, 35
BypassMicrosoftUpdate, 33 UpstreamDNSQueryTimeout, 34
ClassifiedDataRetentionDays, 40 UpstreamDNSserver, 34
DisableApplicationControl, 39 UseLocalDNS, 35
DisableClassification, 40
DisableDomainPatternDic, 40
DisableProxyFiltering, 39
DNSTestTimeout, 40
EnableAuthentication, 31
EnableFilter, 38
EnableRemoteLogging, 32
ExportBlockedOnly, 32
ExternalRedirectionIP, 31
FromEachNode, 32
HTTPConnectionTimeout, 40
HTTPReadTimeout, 40
IPv6RedirectionIP, 31
ListenPort, 32
LocalDNSQueryTimeout, 35
LocalDNSServer, 35
LocalDomain, 35
LoggingOnly, 39
LoggingRetentionPeriod, 33
LoginDomain, 31
LoginSessionTTL, 32
97

Nxfilter BR Tutorial

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Nxfilter BR Tutorial

Enviado por

Direitos autorais:

Formatos disponíveis

NxSkinBR Documentation

mar 27, 2017

2 Categorias - Blacklist e Domnios 17

7 Customizao ou melhorias do NxFilter e seus clientes 63

A forma mais rpida de iniciar o uso de NxFilter seguindo esses passos

O NxFilter tem 3 variaes:

Nota: No primeiro login o usurio admin e a senha admin.

1.2. Instalando o NxFilter 5

$ sudo stop nxfilter

Nota: No primeiro login o usurio admin e a senha admin.

$ sudo systemctl stop nxfilter.service

$ sudo stop nxfilter

$ sudo apt-get install openjdk-8-jre

Nota: No primeiro login o usurio admin e a senha admin.

Instalando no Alpine Linux

A verso usada para exemplo o Alpine Linux 3.4.0.

1.2. Instalando o NxFilter 7

Agora vamos inicializar o sistema:

Nota: No primeiro login o usurio admin e a senha admin.

Instalando em outras distribuies Linux

Em geral, quando se instala o NxFilter em sistemas Linux:

* preciso ter acesso como usurio ``root``

1. Baixe o arquivo nxfilter-x.y.z.zip a partir da rea de Download.

Instalando no Windows manualmente

* Se deseja instalar o NxFilter como um servio no Windows execute ``c:/nxfilter/bin/

* Para rodar o NxFilter como um servio ``net start NxFilter``.

Iniciar - net start NxCloud

1.2. Instalando o NxFilter 9

Iniciar e/ou Parar NxFilter

So disponibilizados alguns scripts para o NxFilter no diretrio /nxfilter/bin:

Configurando o Cliente DNS

1.5. Configurando o Cliente DNS 11

Integrao com o Active Directory

O que a integrao com o AD

Single Sign-On (SSO) com Active Directory

Servidor MS DNS e NxFilter

1.6. Integrao com o Active Directory 13

4. Configurao Manual para o servidor MS DNS.

Exemplo de um ambiente em produo

Nota: O NxClient tem verses para Mac e Windows.

Quando o NxFilter no Inicializa

No ambiente Windows voc dever ter as seguinte variveis:

1.7. Quando o NxFilter no Inicializa 15

Categorias - Blacklist e Domnios

O que uma blacklist/lista negra ?

Usando a Jahaslist, Cloudlist

Contando o nmero de usurios

NxFilter contabiliza o nmero de usurios autenticado ou o nmero de endereos IP registrados diaria-

Nota: A Shallalist s suportada na vero 3 do NxFilter.

18 Captulo 2. Categorias - Blacklist e Domnios

2.4. Reclassificao de um domnio 19

20 Captulo 2. Categorias - Blacklist e Domnios

Que autenticao usar?

2. Autenticao baseada em Senha

4. Autenticao por token

Single Sign-On com AD usando NxLogon

Aviso: NxLogon usa a porta 19002/TCP para se comunicar o NxFilter.

4. Abra a aba Poltica de Grupo em Propriedade do seu Domnio AD.

3.2. Single Sign-On com AD usando NxLogon 23

3.2. Single Sign-On com AD usando NxLogon 25

Single sign-on com AD usando NxMapper

Instalando e rodando o NxMapper