Escolar Documentos
Profissional Documentos
Cultura Documentos
Nxfilter BR Tutorial PDF
Nxfilter BR Tutorial PDF
Release 0.2
Bruno Emanuel
1 Iniciando 3
1.1 Requisitos Bsicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 Instalando o NxFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3 Atualizando o NxFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.4 Iniciar e/ou Parar NxFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.5 Configurando o Cliente DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.6 Integrao com o Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.7 Quando o NxFilter no Inicializa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.8 Instalando o NxCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3 Autenticao 21
3.1 NxFilter e Autenticao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2 Single Sign-On com AD usando NxLogon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3 Single sign-on com AD usando NxMapper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.4 SSO com AD, OpenLDAP usando NxClient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.5 Script de Login Personalizado para SSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.6 A Ordem dos mtodos/modos de autenticao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4 Entendendo a GUI 31
4.1 GUI - Config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2 GUI - DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.3 GUI - Usurio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.4 GUI - Policy / Poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.5 GUI - Categoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.6 GUI - NxClassifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.7 GUI - Whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.8 GUI - Dashboard, Logging, Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5 Agentes/Clientes 45
5.1 Diferenas entre os agentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
5.2 NxClient e filtro de usurio remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
i
5.3 NxUpdate e atualizao dinmica de IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
5.4 Controlando aplicaes com NxClient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.5 Proxy filter com NxClient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.6 Instalando NxClient ou NxUpdate no Mac OS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.7 NxBlock para Chromebook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.8 NxForward para ocultar falhas no SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6 NxCloud 55
6.1 O que NxCloud? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
6.2 Custos de uso do NxCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
6.3 Instalao do NxCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.4 Diferenas entre NxFilter e NxCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.5 Tipos de Contas Business and Home . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.6 Criando Bilhetagem prpria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
6.7 NxRelay - para identificar usurios de outras redes . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
8 NxClassifier 71
8.1 O que NxClassifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
8.2 Por que usar o NxClassifier? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
8.3 Jahaslist e sua estrutura de diretrios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
8.4 Entendendo o fluxo de trabalho do NxClassifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
8.5 O que uma regra de classificao? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
8.6 Ajustes de performance no NxClassifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
8.7 Repositrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
9 Servidor DNS 77
9.1 Forward . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
9.2 Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
9.3 DNS Autoritativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
9.4 DNS Dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
9.5 Evitando ataques DDOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
10 Diversos 81
10.1 Cluster com NxFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
10.2 Controle de Banda com NxFilter ( Bandwidth ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
10.3 Detectando e prevenindo aes de malware/botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
10.4 Removendo anncios embutidos em pginas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
10.5 Exportar Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
10.6 Ajustes de performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
10.7 Permisso de Acesso aos Relatrios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
11 FAQ 89
11.1 Posso burlar o NxFilter usando endereo IP para acessar sites? . . . . . . . . . . . . . . . . . . . . . 89
11.2 Mesmo tendo alterado o NxFilter continua bloqueando/permitindo o acesso ao site . . . . . . . . . . 89
11.3 Como obrigar o usurio a usar o NxFilter? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
11.4 Como o NxFilter determina que poltica aplicar a um usurio? . . . . . . . . . . . . . . . . . . . . . 90
ii
11.5 Qual forma mais rpida de bloquear facebook.com? . . . . . . . . . . . . . . . . . . . . . . . . . 90
11.6 Desejo bloquear o facebook.com apenas para um determinado grupo . . . . . . . . . . . . . . . . . 90
11.7 Como alterar a porta do servidor web do NxFilter? . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
11.8 Como resetar a senha de administrador? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
11.9 Posso vincular o NxFilter a um determinado endereo IP? . . . . . . . . . . . . . . . . . . . . . . . 91
11.10 Como fazer o bypass do meu domnio local? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
11.11 Tenho de usar a correspondncia exata do que estou pesquisando no log ? . . . . . . . . . . . . . . . 92
11.12 Por que preciso autenticar novamente aps a parada para almoar? . . . . . . . . . . . . . . . . . . . 92
11.13 Como aplicar meu prprio certificado SSL? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
11.14 Como habilitar o modo de debug? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
11.15 Como oculto o alerta de SSL? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
11.16 No vejo o nome do meu usurio em Logging > Request . . . . . . . . . . . . . . . . . . . . . . . 93
11.17 Como evitar qualquer registro de log? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
11.18 Como alterar a timezone? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
11.19 Meus Browsers ficam fechando e abrindo aps o NxClient iniciar . . . . . . . . . . . . . . . . . . . 94
11.20 Como forar o usurio a fazer o logout? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
11.21 NxFilter deixa de funcionar aps o erro Queue full . . . . . . . . . . . . . . . . . . . . . . . . . . 94
iii
iv
NxSkinBR Documentation, Release 0.2
Contedo:
Sumrio 1
NxSkinBR Documentation, Release 0.2
2 Sumrio
CAPTULO 1
Iniciando
Requisitos Bsicos
Windows, Linux, FreeBSD ou Sistema Operacional que rode Java ( JRE ) 7 ou superior instalado.
512 MB RAM.
4 GB de espao em disco.
Portas Liberadas: 53/UDP, 80/TCP, 443/TCP.
Aviso: NxFilter pode ser executado com hardware inferior quando h poucos usurios, porm
recomendado se ter mais que 1 GB de memria RAM e 40 GB de espao em disco, principalmente
quando se tem mais de 1.000 usurios.
Nota: Por padro NxFilter configurado para usar 512 MB de RAM. Essa configurao pode no ser
suficiente para um ambiente maior. aconselhado aumentar o limite de memria para a JVM no seu
script de inicializao. Em startup.sh mude o valor 512m para valores superiores.
Instalando o NxFilter
Qual instalar?
3
NxSkinBR Documentation, Release 0.2
Pode ser usado para qualquer prposito, inclusive para uso comercial. A licena de uso do NxFilter v4
permite este ser modificado, ajustado, adaptado e redistribuido. A lista Jahaslist pode ser usada para teste
por 30 dias sem nenhuma restrio, aps o prazo a lista fica com liberao para 20 usurios.
2. NxFilter v3
Gratuito para uso em residncias, sem ganho financeiro ou sem uso comercial. Pode ser distribuido sem
nenhuma alterao. Suporta a Shallalist.
3. NxCloud
Outra variao do NxFilter para rea comercial com ambientes variados, feito para uso na Cloud.
Instalando no Windows
O pacote de instalao do Windows disponibilizado no nosso site. Quando fizer o download e executar nxfilter-
x.y.z.exe aparecer a seguinte tela
Aps diversos Next, dever ser criado o servio do NxFilter no Windows. Se for retornada a seguinte mensagem,
tudo ocorreu bem.
4 Captulo 1. Iniciando
NxSkinBR Documentation, Release 0.2
Para acessar a interface administrativa, abra o browser de sua preferncia e acesse pelo endereo
http://localhost/admin. Ou se voc tiver criado - durante a instalao - o cone no desktop, d dois cliques no mesmo.
Se a tela abaixo aparecer o NxFilter est ativo.
Instalando no Debian
disponibilizado o pacote deb para o Ubuntu/Debian Linux na rea de Downloads. Para instal-lo, primeiro instale
o Java e o Sudo. Baixo o pacote atravs do comando wget e ento instale usando o comando dpkg. Feito isso bastar
inici-lo usando o script instalado atravs com o pacote.:
$ su - root
$ apt-get install openjdk-7-jre sudo
$ wget http://www.nxfilter.org/download/nxfilter-4.0.6.deb
$ sudo dpkg -i nxfilter-4.0.6.deb
$ systemctl enable nxfilter
$ systemctl start nxfilter
Em verses do Debian anteriores a 8, ele dever estar usando o Upstart ao invs do SystemD. Para esses casos o
procedimento de parada e inicializao do servio deve ser:
Para acessar a interface administrativa, abra o seu browser de preferncia e entre o endereo http:
//<ip_servidor_nx>/admin. Se, por exemplo, voc instalou o servidor NxFilter em uma mquina com o IP
192.168.100.2 digite http://192.168.100.2/admin.
O procedimento de atualizao bem simples, garanta que o servio do NxFilter esteja parado.:
Em verses do Debian anteriores a 8, ele dever estar usando o Upstart ao invs do SystemD. Para esses casos o
procedimento de parada e inicializao do servio deve ser:
Instalando no Ubuntu
disponibilizado o pacote deb para o Ubuntu Linux na rea de Downloads. Para instal-lo, primeiro instale o Java.
Baixo o pacote atravs do comando wget e ento instale usando o comando dpkg. Feito isso bastar inici-lo usando
o script instalado atravs com o pacote.:
Para acessar a interface administrativa, abra o seu browser de preferncia e entre o endereo http:
//<ip_servidor_nx>/admin. Se, por exemplo, voc instalou o servidor NxFilter em uma mquina com o IP
192.168.100.2 digite http://192.168.100.2/admin.
6 Captulo 1. Iniciando
NxSkinBR Documentation, Release 0.2
O procedimento de atualizao bem simples, garanta que o servio do NxFilter esteja parado.:
$ sudo systemctl stop nxfilter.service
$ sudo dpkg -i nxfilter-4.0.6.deb
$ sudo systemctl start nxfilter.service
Em verses do Ubuntu anteriores a 16.04, ele dever estar usando o Upstart ao invs do SystemD. Para esses casos o
procedimento de parada e inicializao do servio deve ser:
$ sudo stop nxfilter $ sudo start nxfilter
Aviso: O comando update-ca-certificates pode retornar uma mensagem de alerta Warning porm isso no
prejudicial para o processo
Aps a instalao do Java faa o download do pacote do NxFilter atravs do comando wget e ento descompacte
usando o comando unzip.
$ su - root
# cd ~
# wget -t0 -c http://www.nxfilter.org/download/nxfilter-4.0.6.zip
# cd /
# mkdir nxfilter
# cd nxfilter
# unzip ~/nxfilter-4.0.6.zip
# chmod +x /nxfilter/bin/*.sh
Feito isso vamos criar os scripts para iniciar e parar o NxFilter, para que o mesmo fique como servio e inicie/pare
automaticamente no Alpine Linux.
$ su - root
# cd /etc/local.d
# echo '/nxfilter/bin/startup.sh -d' > nxfilter.start
# echo '/nxfilter/bin/shutdown.sh' > nxfilter.stop
# chmod +x nxfilter*
# rc-update add local
$ su - root
# service local start
Para saber se o mesmo est em execuo, espere alguns segundos aps inicializar e entre com o comando:
$ /nxfilter/bin/ping.sh
Para acessar a interface administrativa, abra o seu browser de preferncia e entre o endereo http:
//<ip_servidor_nx>/admin. Se, por exemplo, voc instalou o servidor NxFilter em uma mquina com o IP
192.168.100.2 digite http://192.168.100.2/admin.
Atualizando
O procedimento de atualizao bem simples, garanta que o servio do NxFilter esteja parado.:
$ su - root
# cd /nxfilter
# /nxfilter/bin/shutdown.sh
-- Aguarde alguns segundos
# unzip ~/nxfilter-4.0.x.zip
# /nxfilter/bin/startup.sh
$ sudo start nxfilter
8 Captulo 1. Iniciando
NxSkinBR Documentation, Release 0.2
1. Para acessar a GUI de administrao, entre com o endereo ip do servidor NxFilter no browser, http:
//<ip_servidor>/admin. Usurio e senha inicial so admin e admin.
Nota: Voc pode inicializar o NxFilter automticamente usando o arquivo /etc/rc.local. Considerando que o Nx-
Filter fora instalando em /nxfilter, basta adicionar a linha /nxfilter/bin/startup.sh -d no arquivo /etc/rc.local. No
esquea do parmetro -d pois ele coloca o servio NxFilter como daemon.
Para instalar o NxFilter de forma manual, utilize o pacote zip. Ainda sim possvel execut-lo como um servio
Windows com um script batch incluso no pacote.
1. Baixe o arquivo nxfilter-x.y.z.zip na rea de Downloads.
2. Extraia o arquivo zip na pasta c:/nxfilter.
3. Acesse a pasta c:/nxfilter/bin.
4. Execute o script startup.bat.
nxfilter/bin/unstsvc.bat``.
Atualizando o NxFilter
So disponibilizados um instalador Windows e um pacote deb para instalao e atualizao do NxFilter. Porm em
alguns casos pode ser mais conveniente usar o pacote zip. Ento para atualizar usando o pacote zip:
1. Faa o download do arquivo nxfilter-x.x.x.zip.
2. Pare o NxFilter.
3. Descompacte o arquivo zip de modo a sobrepor os arquivos j existentes.
4. Inicie o NxFilter.
Aps a instalao do NxFilter para monitorar e/ou filtrar a atividade na sua rede voc precisa fazer com que o NxFilter
seja o servidor DNS das sua rede.
Windows
10 Captulo 1. Iniciando
NxSkinBR Documentation, Release 0.2
Linux
A forma mais simples de configurar o Servidor DNS para seus usurios seria modificando a configurao de rede do
sistema operacional conforme mostrado logo acima.
Porm se sua rede tem muitos computadores provvel que voc utilize o servio DHCP. Ento voc s precisa
configurar no seu servidor DHCP informando que o servidor DNS de suas estaes ser o NXFilter.
Se voc tiver um firewall voc pode forar os usurios a usar o NxFilter como servidor de DNS bloqueando qualquer
trfego de sada para 53/UDP e 53/TCP. Assim garantir que o nico servidor DNS utilizado ser o NxFilter.
O NxFilter tem integrao com o AD. A seguir ser explicada a integrao do AD com o NxFilter, quando us-lo e
como implementlo.
Um dos motivos para se integrar o NxFilter com o AD ter a possibilidade de aplicar polticas baseados em Usurios e
Grupos. Tambm pode no desejar que os usurios se autentiquem em uma pgina extra de autenticao s para poder
utilizar a internet, permitindo autenticao apenas quando fizessem Login nas estaes de trabalho. Ento a integrao
permite que se use a mesma conta do AD para identificar os usurios e ativar Single Sign-On.
12 Captulo 1. Iniciando
NxSkinBR Documentation, Release 0.2
Importao de Usurio
No NxFilter a integrao com o AD funciona importanto os usurios e grupos existentes no AD. Isso significa que
voc permitir o NxFilter acessar seus usurios e grupos. Para fazer esse procedimento acesse User & Group >
Active Directory.
Aps a importao dos usurios e grupos, seus usurios conseguiro usar suas credenciais na pgina de Login do
NxFilter.
O objetivo do SSO aproveitar as credenciais utilizadas ao se autenticar na mquina, evitando assim que os usurios
tenham de acessar a pgina de login do NxFilter. Para usar a capacidade do Single Sign-On (SSO) alm da integrao
com o AD preciso utilizar um agente com o NxFilter. H diversos Agentes disponveis para tal finalidade. So:
NxLogon
NxMapper
NxClient
NxUpdate
NxBlock
Voc pode usar apenas um deles ou mais de um de modo a se complementarem.
Nota: Para mais informaes, leia as partes sobre Single Sign-On ou os devidos Agentes
Quando voc publicar o NxFilter em um ambiente com Active Directory voc pode se preocupar com a possibilidade
de quebrar a integridade do servio do AD pelo fato de que o NxFilter atuar como servidor DNS e o papel de servidor
DNS em uma estrutura com AD muito importante. Porm no desabilitaremos ou substituiremos o Servidor DNS
do AD. Nossa abordagem trabalhar com o servidor DNS j existente do AD de forma cooperativa.
Mas a ideia no desabilitar ou substituir o servidor DNS AD existente. Nosso objetivo trabalhar com o servidor
DNS AD de forma colaborativa. Ento voc precisa manter seu servidor MS DNS mesmo que use o NxFilter como
servidor DNS para toda a sua rede.
1. Onde instalar
Em alguns ambientes tentam instalar o NxFilter dentro do prprio controlador de Domnio (AD). Mas como dito antes,
j existe um servidor DNS no AD, o seu servidor MS DNS. O correto instalar o NxFilter em outro servidor de
modo que evite conflito de portas, no caso do DNS ( 53/udp e 53/tcp ).
2. Atualizao dinmica de IP
O Servidor MS DNS no MS Active Directory executa diversas operaes. Ele permite que os terminais/hosts saibam
onde esto os recursos que utilizam registros SRV. E mantem uma Zona DNS para todos os terminais/hosts. Ele
tambm faz atualizao dinmica do IP quando o endereo IP da mquina alterado.
Para manter todas essas coisas funcionando o NxFilter faz um bypass de consultas internas que seriam de cargo do
servidor AD, direcionando automaticamente - de modo transparente - para o servidor MS DNS. Ele entende que se
voc tem um servidor MS DNS no Domain Controller ( DC ) dele que seus usurios so importados.
3. Que servidor upstream utilizar no NxFilter
Voc pode se perguntar sobre que servidor DNS utilizar como upstream para o NxFilter pois voc j tem um servidor
DNS que o seu servidor MS DNS . Voc pode usar qualquer servidor DNS como upstream, inclusive o prprio
servidor MS DNS. O NxFilter continuara direcionando as suas consultas internas para seu servidor AD, isso no
impedir o funcionamento do NxFilter. Ento voc pode usar o servidor DNS que achar melhor.
Aviso: Ao usar seu servidor MS DNS como upstream leve em conta que o mesmo ter permisso
para consulta na internet.
Nota: Voc pode ter de ativar Atualizao Dinmica Insegura em Propriedades na Zona do servidor
MS DNS para que o NxFilter faa a atualizao dos IP das estaes diretamente na Zona.
Suponha que na empresa ACME o ambiente composto por diversos desktops com Windows, alguns Macbooks e
recentemente foram adquiridos muitos Chromebooks. Os usurios da rede ainda trazem seus smartphones Android e
iPhone. E claro para garantir a qualidade dos servios na rede voc tem servidores Linux para manter os sites, sistemas
e compartilhamento de arquivos.
H ainda o interesse de controlar os acessos dentro ou fora do escritrios, mantendo os logins de usurios atravs de
contas no AD.
A primeira coisa a se fazer configurar o NxOEM ( j que estamos em um ambiente empresarial esse o modelo certo
) para importar as contas de usurios e grupos do AD. E ento usar o NxLogon nos desktops Windows.
Porm o NxLogon no funciona nos MacBooks. Para os Mac voc pode usar o NxMapper, s precisa instalar o
NxMapper no controlador de domnio.
J para os notebooks voc pode instalar o NxClient. NxClient atua, basicamente, como um agente de filtro remoto
para o NxFilter mas eles tentaro fazer o SSO quanto estiverem na rede local.
Para os Chromebook h a extenso NxBlock. O NxBlock uma extenso para o Chrome e voc pode us-lo como um
agente de filtro remoto ou agente SSO para o AD.
J para seus servidores melhor no filtr-los, ento defina IP esttico para eles e use outro servidor DNS para eles -
afinal - geralmente voc no precisa bloquear nada - de consulta DNS - para os servidores.
Para os smartphones Android e iPhone, no tem preocupao, afinal o NxFilter tem sua pgina de login ( estilo Captive
Portal ) e eles acessaro a mesma normalmente para autenticar.
14 Captulo 1. Iniciando
NxSkinBR Documentation, Release 0.2
Quando o NxFilter no inicializa, a primeira coisa a se verificar o contedo do arquivo de log, geralmente fica em
/nxfilter/log/nxfilter.log. Nesse arquivo possvel encontrar a possvel causa do problema.
Outra parte importante a se verificar se no est havendo conflito de portas e a instalao do Java. O NxFilter usa
as portas: UDP/53, TCP/80, TCP/443, TCP/19001. Para o Cluster usa ainda as portas: TCP/19002, TCP/19003,
TCP/19004. Isto por que alm do NxFilter ser um servidor DNS e Web ( por conta das pginas de administrao,
autenticao e bloqueio ), ele tem as portas prprias para comunicao entre os servios. Ento, caso haja algum outro
servidor DNS ou Web rodando no mesmo servidor o NxFilter no inicializar ou inicializar de modo incorreto.
Sobre a instalao Java, se voc usa o instalador do NxFilter para Windows, na marioria dos casos voc no ter
problema algum, porm, se voc instalar o NxFilter de modo manual ou inicializ-lo manualmente sem usar o gestor
de servios do Windows voc pode encontrar alguns problemas relacionados ao Java. Para evitar esse tipo de problema
o Java dever ser instalado previamente e voc tem de configurar de maneira correta as variveis de ambiente para o
Java.
Se voc est em um ambiente Windows com o Java configurado corretamente, voc receber a seguinte mensagem ao
digitar java na linha de comando.
Instalando o NxCloud
NxCloud nada mais que um NxFilter modificado. possvel instalar e executar o NxCloud da mesma forma como
feito com o NxFilter.
Porm diferente do NxFilter, aps sua instalao, voc ainda no pode usar o servidor DNS. Isso por que o NxCloud
um programa para atender mltiplos clientes visando prestar um servio comercial. suposto que voc no o usar
na sua rede interna. Seus clientes que o usaro em suas redes. Ento voc precisa criar uma conta para cada um dos
seus clientes primeiro.
No NxCloud existem 3 tipos de usurios:
Admin > Operator > User
1. Admin - voc, que administra todos os operadores.
2. Operator - o seu cliente, ele gerencia os usurios finais e as polticas.
3. User - o usurio final, o usurio do servio DNS.
Ento necessrio criar antes o operador. Para fazer isso entre na GUI do NxCloud como administrador
e ento v ao menu Operator. Voc pode criar um operador nessa rea.
Quando for criado um operador ele ter criado por padro um usurio e uma poltica como o mesmo
nome do operador. E a senha padro para o operador tambm o seu nome. Uma vez que seja criado um
operador possvel se autenticar com a conta do mesmo e configurar um usurio para testes.
:: preciso associar seu endereo IP ao usurio padro do seu primeiro operador para poder test-lo.
16 Captulo 1. Iniciando
CAPTULO 2
A lista negra/blacklist uma base de dados com domnios organizados por categorias. Esta uma parte essencial para
que um filtro DNS possa bloquear os sites em categorias. NxFilter suporte as seguintes listas negras:
1. Jahaslist
Jahaslist a lista padro do NxFilter. Ela tem suporte a classificao dinmica dos sites atravs do Nx-
Classifier, que um motor de classificao automtica de sites.
Para mais informaes sobre a funcionalidade do NxClassifier e como adicionar registros Jahaslist leia
a seo NxClassifier.
2. Shallalist
Livre somente para uso em residncias. Ela mantida pela http://www.shallalist.de.
3. Cloudlist
Contm a classificao de mais de 30 milhes de domnios e ainda faz classificao de forma dinmica.
Muitas empresas esto usando a base de dados da Komodia em seus produtos comerciais. NxFilter usa os
servios diretamente da nuvem, no sendo necessrio importar ou atualizar a lista.
As listas Jahaslist e Cloudlist so produtos comerciais. Voc pode adquirir a licena em nossa homepage.
Para adquirir a licena da Jahaslist
Para adquirir a licena da Cloudlist
Nota: Temos uma poltica de descontos para organizaes sem fins lucrativos. Para saber mais entre em contato em
suporte @ kernel.inf.br.
17
NxSkinBR Documentation, Release 0.2
Ativando a licena
Aps a aquisio da licena para a Jahaslist voc receber um arquivo license.lic. Siga os passos:
1. Copie o arquivo license.lic na pasta conf dentro do diretrio de instalao do nxfilter, ex: /nxfilter/conf.
2. Selecione em Categoria > Sistema a opo de uso da Jahaslist
3. Reinicie o NxFilter
Nota: Para idenficar quantos usurios tem em sua rede, acesse o relatrio de uso dos ltimos 30 dias em Relatrio >
Uso.
Atualizando a Shallalist
O NxFilter tem um script para atualizao automtica. Para proceder com a atualizao da lista Shallalist pare o
NxFilter e execute /nxfilter/bin/update_sh.sh. Dependendo da velocidade do seu link de internet esse processo pode
levar um tempo maior para concluir todo o processo.
Caso seja preciso atualizar a lista no modo manual, baixe a mesma no endereo http://www.shallalist.
de/Downloads/shallalist.tar.gzip e descompacte esse arquivo em /nxfilter/shallalist1/BL
e execute o comando update_sh.sh /nxfilter/shallalist1/BL.
cd /nxfilter/bin
update_sh.sh /nxfilter/shallalist1/BL
Reclassificao de um domnio
possvel adicionar domnios diretamente nas categorias do sistema. Ele trabalha usando os domnios adicionados
nas categorias personalizadas. Mesmo que voc j tenha esse domnio na sua blacklist a classificao personalizada a
sobrepe.
Ento o resultado imediato. No h a necessidade de verificar o relatrio novamente e esperar isso ser refletido.
H duas formas de reclassificao.
1. Adicionar os domnios em Category > System, ou
2. Em Logging > Request, clicar no domnio desejado e uma janela popup permitir a reclassificao.
Autenticao
O NxFilter prov diversas formas de autenticao, incluindo Single Sign-On integrado com AD
NxFilter e Autenticao
Porqu autenticar?
Quando o NxFilter instalado ele vem com somente uma poltica e ela aplicada a todos os usurios da sua rede.
Porm como faria se voc estivesse trabalhando para uma escola - por exemplo - como administrador de sistemas e
voc deseja aplicar uma poltica baseada em usurios e grupos? Criando para estudantes uma poltica mais rgida
e para professores uma poltica menos restritiva sem ter como identific-los? Ento preciso distinguir os usurios
ativando a autenticao.
Nxfilter tem suporte a diversos modos de autenticao. possvel escolher um deles ou mescl-los de modo a identi-
ficar atravs de um deles.
1. Autenticao baseada em IP
O modo mais simples de autenticao. Quando se usa IP esttico no desktop est pode ser a melhor
alternativa. Apenas um endereo IP associado a um usurio criado na GUI do NxFilter. possivel
tambm associar uma faixa de IPs a um usurio.
Nota: Muitas pessoas tentam usar a autenticao baseada em IP sem ativar a mesma em Config > Setup. Porm a
autenticao baseada em endereo IP ainda precisa que seja habilitado antes o mtodo de autenticao.
21
NxSkinBR Documentation, Release 0.2
Quando ativada a autenticao o NxFilter bloqueia qualquer usurio que tentar usar a Internet, apresen-
tando a pgina de Login - a menos que j tenham se autenticado ou tenham seu endereo IP j associado.
Para passar da pgina de login seus usurios precisam entrar com as senhas definidas antes. Voc pode
setar a senha para cada usurio na GUI NxFilter.
3. Autenticao baseada em LDAP
Se voc tem um servidor OpenLDAP ou AD, seus usurios pode se autenticar usando as mesmas creden-
ciais registradas no LDAP.
Aviso: Para usar essa funcionalidade voc precisa importar seus usurios do servidor LDAP antes.
Quando se tem um AD possvel usar o recurso de Single Sign-On e no emitir mais uma solicitao de Login a seus
usurios. Para isso disponibilizado o agente NxLogon. Quando o NxLogon executado ele cria e atualiza a sesso
de login desse mesmo usurio no NxFilter.
Caso no deseje instalar este programa em cada PC na sua rede possvel usar um Script de Logon na GPO. Este
script de logon ser executado toda vez que um usurio se autenticar no AD e lanar o NxLogon.
Nota: Antes de iniciar esse processo preciso importar usurios e grupos do AD. Para import-los leia o procedimento
GUI - Usurio.
Voc pode seguir esses passos para executar o NxLogon atravs do GPO.
1. Baixe o pacote nxlogon-x.x.zip do <www.nxfilter.org>.
2. Mude o endereo IP em nxlogon.bat para o IP do seu servidor NxFilter. Se estiver usando um cluster Nx
voc pode colocar mltiplos IPs apenas separando-os por espao.
3. Abra Ferramentas Administrativas > Usurios e Computadores do Active Directory em seu Domain Controller
(DC).
22 Captulo 3. Autenticao
NxSkinBR Documentation, Release 0.2
5. Clique no boto Editar e ento v em Configurao do Usurio > Configuraes do Windows > Scripts (
Logon/Logoff )
6. Clique em Logon e clique em Adicionar ento clique em Navegar. Voc ver o diretrio Logon para
selecionar o arquivo. Copie seu nxlogon.bat e nxlogon.exe do diretrio gerado pelo pacote NxLogon, contido
no diretrio Logon. Voc pode arrastar e soltar os arquivos no diretrio.
7. Selecione o arquivo copiado na pasta o nxlogon.bat como um script de logon para adicionar.
24 Captulo 3. Autenticao
NxSkinBR Documentation, Release 0.2
8. Agora toda vez que um usurio se autenticar no sistema logon.bat ser executado e vai executar nxlogon.exe.
Voc pode verificar se o processo est rodando no Gereciador de Tarefas do Windows.
Nota: Se deseja fechar a sesso do usurio no NxFilter imeditamente aps o usurio fazer logout use o script
nxlogoff.bat como script de logoff na GPO.
Quando voc rodar mltiplas instncias do NxLogon no mesmo PC com mltiplos usurios ele pode causar confuso
no processo de deteco.Se usurios podem aparecer com nomes diferentes na visualizao do log. Para impedir
mltiplas instncias no mesmo sistema use o parmetro -bm.
Atualmente o suporte ao controle de aplicaes do NxLogon se tornou muito complicado comparado as verses ante-
riores. Se voc deseja usar algo mais simples - sem controle de aplicao - use nxlogon-1.0.-p1.zip disponibilizado
na pgina de download.
26 Captulo 3. Autenticao
NxSkinBR Documentation, Release 0.2
Enquanto que usar o NxLogon seja a melhor soluo para SSO com AD, algumas pessoas encontram
dificuldade na sua configurao por envolver ajustes de GPO e script de logon.
Ento oferecida uma alternativa mais fcil de implementar o SSO.Quando voc instala o NxMapper no
seu Domain Controller ele vai buscar o nome do usurio e o endereo IP ao se autenticar no AD e cria a
sesso no NxFilter.
Nota: Se deseja usar o recurso de SSO no AD preciso, antes de qualquer coisa, importar usurios e grupos do seu
AD. Para fazer isso leia a parte GUI - User.
O instalador do NxMapper para Windows disponibilizado na nossa seo de Download. Ele instalar o
NxMapper como um servio do Windows. Aps instal-lo, aparecer a tela de configurao.
1. NxMapper precisa ser instalado no Domain Controller.
2. Voc pode adicionar diversos IP separados por vrgulas, caso tenha um cluster de NxFilter.
3. NxMapper usa a porta TCP/19002 para se comunicar com o NxFilter.
Aps modificar os arquivos de configurao, teste sua configurao antes e ento inicie o servio.
Apesar de ser facilmente confundido com o NxLogon, NxMapper tem suas limitaes.
A sesso criada com o NxMapper pode expirar. Enquanto que o NxLogon atualiza as informaes da
sesso a todo minuto, NxMapper cria ou atualiza somente quando o usurio faz algo no controlado de
domnio. Uma vez que a sesso expira os usurios sero redirecionados para a tela de login do NxFilter.
Para evitar que isso ocorra voc pode aumentar o tempo da sesso em Config > Setup > Block and
Authentication > Login session TTL.
Nota: A sesso pode expirar j que o NxMapper no a atualiza. Mas enquanto houver atividade ( consulta de DNS )
o NxFilter renovar a sesso. Ela s chegar a expirar em casos como quando o usurio faz uma grande pausa no uso
do terminal de trabalho.
Quando o NxMapper usado, podem haver problemas com o Terminal Server do Windows. Se existirem
mltiplos usurios em um s sistema o endereo IP do sistema ser associado ao ltimo usurio detectado
pelo NxMapper. O que significa que seus usurios podem aparecer no NxFilter com um nome diferente.
Para evitar esse tipo de problema a melhor soluo seria vincular um IP para o seu terminal server.
NxClient basicamente um servio de controle para usurios remotos como os que tem seus prprios
dispositivos mveis ( Notebooks ). Mas voc pode usar o mesmo no modo SSO em AD ou OpenLDAP.
Uma coisa boa que h verso do NxClient para MAC OS, ento pode ter a funcionalidade de SSO no
MAC OS.
Caso j tenhas usado o NxClient sabers que o SSO possvel por usar o conceito de Login Token.
Mas com esta abordagem um dos problemas que impossvel manter - levando em conta o trabalho -
centenas de instalaes do NxClient com suas prprias Login Token.
Ento disponibilizada uma forma de rodar o NxClient em uma rede local sem definir um
token para cada PC. O que preciso fazer instalar o NxClient usando apenas um Token para
todos os computadores. Ento quando ele inicializa o sistema acessar o servidor NxFilter
nessa rede local e ao se comunicar com o mesmo ele tentar criar uma sesso para o usurio
autenticado atualmente ou o usurio da console.
:: Para que o NxClient seja capaz de encontrar o NxFilter da rede local, preciso usar o NxFilter como
servidor DNS no computador em questo.
Para entender mais sobre NxCliente leia : NxClient - Filtrando usurio Remoto
Atualmente NxFilter suporta SSO com AD. Em todo caso algumas pessoas querem outros tipos de vali-
dadores. Por exmeplo, voc pode querer que o SSO seja aplicado ao seu OpenLDAP.
NxFilter tem uma API para permitir a criao de sesses atravs do protocolo HTTP. Voc precisa escrever
seu prprio script de login para executar uma determinada pgina no servidor Web do NxFilter. E ento
seus usurios no precisaro acessar a pgina de login do NxFilter.
Existem alguns exemplos em /nxfilter/example/login_user.jsp. Inicialmente o acesso a pgina restrito
apenas a localhost, por questes de segurana, mas voc pode editar o arquivo JSP e permitir chamadas a
partir da sua rede local.
O caminho para executar essa pgina :
Nota: http://192.168.0.100/example/login_user.jsp?ip=192.168.0.100&uname=john
Como podes ver a pgina recebe 2 parmetros. O primeiro o IP da mquina do usurio e o segundo o nome do
usurio.
Um ponto a se considerar quando for feito o script que tem de ser verificar uma forma da pgina ser chamada
periodicamente. Lembre que h no NxFilter o conceito de tempo de sesso. Se no houver atividade de um usurio
autenticado por um determinado tempo a sesso expirar. Ento se voc no deseja que a pgina de Login fique
aparecendo para os seus usurios, preciso fazer o refresh na pgina desse script de tempos em tempos.
H 3 mtodos na classe UserLoginDao que so utilizados pelo script de login:
28 Captulo 3. Autenticao
NxSkinBR Documentation, Release 0.2
NxFilter permite diversas formas de autenticao ao mesmo tempo. Porm h uma ordem a ser seguida. Voc precisa
entender essa ordem para poder montar sua configurao de controle.
A ordem :
1. Associar a um determinado IP
Essa associao a primeira, ento verifica se o endereo IP est associado a uma determinado faixa ou permitir alguns
usurios se autenticar sem o procedimento de login.
2. Sesso por IP
Sesso por IP o login sendo criado e mantido no NxFilter atravs de SSO ou pgina de login, exatamente nessa
ordem.
3. IP range association
Quando se faz necessrio permitir o acesso de um usurio qualquer sem que este precise se autenticar voc pode
criar/associar o mesmo a uma faixa de IPs que cubra toda a sua rede.
Mas voc pode desejar distinguir os usurios fazendo a associao atravs de um nico IP ou Sesso por IP. Ento o
vnculo ao range de IPs aplicado por ltimo.
Ento temos a ideia de que Se aplica primeiro o range mais prximo. Se houver faixas de IP cadastradas, quanto
menor a faixa maior a prioridade de aplicao antes das outras faixas.
30 Captulo 3. Autenticao
CAPTULO 4
Entendendo a GUI
GUI - Config
Block Redirection IP
o endereo IP do prprio NxFilter. Se houver alguma requisio de um domnio bloqueado, ele ser redireci-
onado para este endereo IP. Geralmente ele preenchido automticamente durante o processo de instalao.
Nota: Para adicionar mais de um endereo IP separe-os por vrgulas. Isso pode ser usado em caso de redundncia ou
cluster.
External Redirection IP
Quando usar um agente remoto para filtrar requisies DNS ( como o NxClient ) voc pode precisar usar um
IP diferente do inserido em Block Redirection IP para casos onde o agente esteja sendo executado fora da sua
rede. Deixando esse campo vazio o sistema usar mesmo registrado em Block Redirection IP para redirecionar
requisies do agente remoto
IPv6 Redirection IP
preciso definir esse endereo quando NxFilter usado como servidor DNS na rede IPv6.
Enable Authentication
Essa opo deve ser ativada quando utilizado algum mtodo de autenticao, inclusive Autenticao vinculada
a IP.
Aps habilitar est opo, qualquer usurio ainda no autenticado ser direcionado para a pgina de login. Desse
modo s conseguiro navegar na internet aps se autenticar.
31
NxSkinBR Documentation, Release 0.2
Login Domain
URL para a pgina de login.
Logout Domain
URL para forar o trmino da sesso do usurio.
O NxFilter permite que se exporte os registros para um Servidor Syslog. Voc pode montar seu prprio sistema de
relatrios ou pode monitorar todos os registros em real-time.
Syslog Host
Endereo do servidor para o qual sero enviados os dados.
Syslog Port
Porta UDP usada para se comunicar com o servidor.
Export Blocked Only
Enviar somente os registros de bloqueios.
From Each Node
Por padro, o cluster NxFilter envia os dados para o Syslog apenas pelo n Master. Ativando essa opo, cada
n envia seus prprios dados.
Enable Remote Logging
Ativar o envio para o Servidor Syslog definido em Syslog Host.
O sistema tem suporte a controle de banda. Isso possvel atravs da importao de dados do NetFlow.
Para mais detalhes leia em Controle de Banda neste mesmo tutorial.
Router IP
O endereo IP do servidor que enviar os dados NetFlow ao NxFilter.
Listen Port
Porta do coletor NetFlow ( Protocolo UDP ).
Run Collector
Ativar o coletor. Aps alterar esse parmetro necessrio reiniciar o NxFilter.
Admin Domain
URL para acesso a GUI de administrao do NxFilter. Se, por exemplo, voc registrar admin.nxfilter.org a rea
de administrao ser acessvel atravs do endereo http://admin.nxfilter.org/admin.
Nota: Isso s funcionar quando voc estiver usando o NxFilter como seu servidor DNS. Caso contrrio voc
precisar registrar o domnio em seu prprio servidor DNS.
Nota: Client Password para configuraes de agentes remotos para filtragem. Ele tem sido usado para acessar a
pgina de configurao do NxBlock
NxFilter envia um email de alerta informando dos blocks recentes ou caso algum n do cluster caia.
Por exemplo, caso deseje enviar um email de alerta para admin @ nxfilter.org de alert200 @ gmail.com a cada 15
minutos a configurao seria :
Admin email : admin @ nxfilter.org
SMTP host : smtp:gmail.com
SMTP host : 465
SMTP SSL : on
SMTP user : alert200
SMTP password : ****
NxFilter permite que se faa restrio de acesso baseado em IP para funcionalidades como servio DNS, GUI ou
redirecionamento para login. Isso pode ser til quando NxFilter utilizado com endereo de IP pblico. Voc pode
fazer uma ACL com permisses e excluses nessa rea.
Personalizao da pagina de bloqueio, login e boas vindas. Quando editar a pgina de bloqueio podem ser usados os
seguintes parmetros caso deseje deixar a pgina com mais informaes.
#{domain} : Domnio bloqueado
#{reason} : Motivo do bloqueio
#{user} : Usurio autenticado
#{group} : Grupos aos quais o usurio pertence
#{policy} : Que poltica foi aplicada
#{category} : Categorias em que se enquadra ou o domnio bloqueado
NxFilter tem a possibilidade de trabalhar em cluster. Voc pode ativar seu NxFilter como um n principal ou secundrio
em um Cluster. Aps alteraes na configurao do cluster voc precisa reiniciar seu NxFilter para que as mudanas
sejam aplicadas.
GUI - DNS
NxFilter basicamente um servidor DNS com a habilidade de aplicar filtros. Estes so os parmetros relacionados a
configurao do Servio DNS.
Nota: Atualmente o NxFilter comporta 200.000 registros e suficiente para a maioria dos ambientes.
Nota: Se voc configurar um servidor DNS local para seu domnio local, todas as consultas DNS para seu
domnio local sero direcionadas sem regras no tendo autenticao, filtro e registros dessas consultas.
NxFilter suporta o servio de DNS dinmico. Para saber como leia,Servidor DNS Dinmico nesse
mesmo tutorial.
Quando voc usa NXFilter como um servidor DNS autoritativo voc pode precisar configurar um arquivo
de Zona. utilizado o mesmo padro usado em arquivos de zona do servio BIND. Para saber mais sobre
servidores de DNS Autoritativos, acesse nesse tutorial.
Redirecionamento Domnio para IP ou domnio para domnio possivel de ser feito com NxFilter. Ele
funciona como um registro DNS alterado.
GUI - Usurio
Voc pode criar ou importar usurios e grupos nessa rea. H suporte a importao de usurios do AD ou OpenLDAP.
Criando o usurio
Para criar um usurio v em User & Group > User. Existem 3 tipos de usurios no NxFilter
1. IP user
O Usurio tem um endereo de IP ou um Range de IPs e ser automaticamente vinculado a ele(s).
2. Password user
Se voc definir uma senha para um usurio ele se classifica como password user. Voc pode usar a senha
para se autenticar no NxFilter.
3. LDAP user
Quando voc importa usurios dos servidores LDAP ou AD ele se tornam LDAP users. Podem usar as
credenciais definidas no servidor LDAP ou AD na pgina de login do NxFilter.
Propriedades do usurio
Testando um usurio
Quando voc tem usurios importados atravs do LDAP este pode estar cadastrado em diversos grupos e polticas.
Como resultado disso fica a dificuldade em determinar que poltica ser aplicada ao mesmo. Para saber que poltica
vem sendo aplicada ao usurio use o boto Test na listagem dos usurios e verifique o campo Applied Policy, isso
informa os dados do usurio naquele momento.
Nota: Voc pode usar a viso de teste para verificar tambm a quota ou o volume de dados utilizado por um determi-
nado usurio ou at resetar esses limites.
Criando um grupo
Pode-se criar um grupo em User & Group > Group. Aps a criao de um grupo possvel definir uma poltica para
este grupo atravs da edio de suas propriedade. Nessa mesma rea pode tambm atribuir mebros ao grupo.
Importando usurios e grupos a partir do LDAP ou AD
Voc pode importar usurios e grupos do AD em User & GRoup > Active Directory.
Por exemplo, se voc tem nas instalaes um AD nos seguintes moldes
- Domnio : nxfilter.local
Com NxFilter voc pode ter diversas polticas de filtro aplicveis a usurios e/ou grupos.
Quando o NxFilter instalado, h somente uma poltica no sistema que Default. Est poltica ser aplicada a todos
se no for feita nenhuma alterao. Para aplicar uma poltica diferente para um determinado usurio ou grupo preciso
criar uma nova poltica e habilitar a autenticao.
Nota: muito til pro caso de remover ads embutidos em pginas e no distorcer mostrando a pgina de bloqueio do
nxfilter.
Nota: Se voc tem seu prprio registro DNS com IP privado voc precisa colocar o bypass do domnio
na whitelist.
NxFilter tem a funcionalidade de quota-por-tempo ( quota-time ). Voc pode permitir que seus usurios naveguem por
certos sites por um determinado tempo. Voc pode definir a quantidade de tempo nesse campo.
Quota All
Aplicar quota a todos os domnios, inclusive os no classificados.
Safe-search
Fora o uso de safe-search no Goolg, Yahoo, Youtube e Bing.
Nota: Para uso com Yahoo obrigatrio o uso de proxy agent rodando no sistema
Block-time
Voc pode definir o perodo em que a poltica de bloqueios aplicada.
Disable Application Control
Inativa o controle de aplicao na poltica.
Disable Proxy Filtering
Inativa o filtro de proxy na poltica.
Logging Only
Monitora somente a atividade do usurio mas no o bloqueia.
Blocked Categories
Permite bloquear consultas DNS por categorias.
Quotaed Categories
Se algumas categorias forem marcadas, ento os usurios que estiverem nessa poltica, s podero acessar os sites
classificados nelas pelo tempo determinado em Quota. Quando o usurio consome o tempo da quota suas requisies
para os sites dentro das categorias em Quotaed Categories sero bloqueadas.
Voc pode definir um perodo livre global em Policy & Rule > Free Time. Se for atribuido um perodo livre para
usurios ele estar subordinado ao horrio definido aqui.
Nota: Se a hora inicial for maior que a hora final ento ela funcionar da seguinte forma hora-fim ~
24:00 e 00:00 ~ hora-inicio no mesmo dia. Voc pode definir um tempo livre especfico para um grupo
em User & Group > Group > EDIT.
Controle de Aplicao
NxFilter permite o controle de aplicaes atravs de seus agentes: NxLogon e NxClient. Para mais detalhes leia
Controle de Aplicao com NxLogon e NxClient nesse mesmo tutorial.
Proxy Filtering
NxFilter prov um proxy filter HTTP atravs do NxClient. Para mais detalhes leia Proxy filtering com NxClient
nesse mesmo tutorial.
GUI - Categoria
Nota:
Se deseja incluir subdomnios basta usar asterisco. ex) *.nxfilter.org
Caso queira verificar em que categoria est cadastrado determinado domnio, use Category > Domain Test.
GUI - NxClassifier
Nota: Se esses timeouts estiverem com valores muito altos voc pode ter degradao na performance no
momento da execuo do NxClassifier.
Disable Classification
Desabilita a classificao dos domnios pelo NxClassifier.
Para importar um arquivo ruleset ou um arquivo Jahaslist exportado de outro sistema. Ele no remove nenhum registro
existente mas sobrepe caso os dados sejam iguais.
Ruleset
Voc pode definir sua prpria ruleset. Ou modificar a ruleset pr-existente. Voc pode exportar a ruleset e compartilhar
com outros.
Classified
Este o log resultante da classificao feita pelo NxClassifier. Ele exibir os domnios classificados recentemente e
qual foi a classificao recebida ou no. Baseado no resultado da classificao voc pode melhorar sua ruleset.
Nota: Com o boto VIEW voc pode visualizar detalhes do log e com o boto TEST voc saber qual a classifi-
cao atual.
Excluded
So os domnios que durante o processo de classificao apresentaram algum erro. Por exemplo, se for recebido o
cdigo 403 de um website em processo de classificao no h por que tentar classific-lo pois se entende que o site
est fora do ar. Ou se ao invs de receber um texto ou arquivo HTML receber arquivos que fogem desse padro ele
tambm ser excludo.
Jahaslist
Nota: Quando voc executa a reclassificao em Logging > Request ou NxClassifier > Classified suas alteraoes
ficam em Category > system.
Quando voc exporta Jahaslist, o NxFilter faz a juno de suas personalizaes de domnios em Category > System
com a Jahaslist e exporta essa lista em um nico arquivo.
Test Run
Aps adicionar suas prprias regras de classificao voc pode validar usando o Test Run para verificar se o domnio
se enquadra nas regras definidas.
Nota: A simples execuo de Test Run no atualiza a classificao do domnio. Para que isso ocorra voc precisa
consultar o servio de DNS do NxFilter para que este entre na lista de classificao.
GUI - Whitelist
Nota:
possvel usar asterisco para incluir subdomnios ex) *.nxfilter.org
NxFilter armazena os registros de acesso por at 400 dias e voc pode gerar relatrios dirios, semanais e por usurios
baseado nesses registros.
Dashboard
Ao acessar a GUI o Dashboard logo apresentado. H diversos grficos mostrando um resumo das ltimas
2 horas de acesso. Na parte inferior do Dashboard possvel ver o 10 bloqueios mais recentes das ltimas
12 horas.
Nota: A diferena entre request-sum e request-cnt vem do sistema de logging do NxFilter. Para recuzir a quan-
tidade de acesso a disco NxFilter mantm todos registros na memria. E ento ele faz um flush dos dados a cada
minuto. Se h uma requisio ao mesmo domnio feito pelo mesmo usurio em um minuto, ele s incrementa na
contagem. Ento request-sum significa a soma de todas as contagens e request-cnt significa a contagem de todos
os dados distintos.
Logging
possvel pesquisar as requisies em diversas variveis em Logging > Request. Os registros so atualizados a cada
minuto para reduzir a carga no Banco de Dados.
Em Logging > Signal possvel ver os registros de acesso dos agentes do NxFilter. Em Logging > NetFlow voc
pode monitorar os dados NetFlow recebidos.
Nota:
Use colchetes para melhorar sua busca. ex) [nxfilter], [192.168.0.100]
Relatrio
Agentes/Clientes
NxFilter tem diversos agentes, com atribuies diferentes. Alguns so para single sign-on com Active Directory.
Outros para filtro de usurios remotos e atualizao de IP dinmico. Outros podem ser usados para controle de
aplicaes e proxy filtering.
1. NxLogon
Agente Single Sign-On para Active Directory. Voc pode inicializ-lo com um script de logon atravs de
uma GPO. Ele suporte controle de aplicao.
2. NxMapper
Outra opo para Single Sign-On com Active Directory. Mas diferente do NxLogon voc o instala no
Controlador de Domnio.
3. NxClient
Agente para filtro de usurio remoto do NxFilter. Para casos de dispositivos mveis ou de redes distintas
voc pode instalar o NxClient em seus laptops.
4. NxUpdate
Atualiizao dinmica de IP para NxFilter.
5. NxBlock
Extenso para filtro remoto e Single Sign-On para o ChromeBook - Extenso do Browser Chrome.
45
NxSkinBR Documentation, Release 0.2
NxFilter prov um aplicativo cliente para filtro em usurio remoto que o NxClient. Uma vez instalado o NxClient no
sistema de usurio voc pode filtrar e monitorar o trfego de Internet daquele usurio em sua GUI NxFilter de modo
centralizado independente de sua localizao.
Nota: Voc precisa permitir o acesso s portas 53/UDP e 80,443/TCP no(s) servidor(es) NxFilter.
Instalao do NxClient
Aps instalar o NxClient usando seu instalador, o sistema de configurao estar rodando. Aparecer um formulrio
com os campos Server IP e Login Token e voc precisa preench-los de acordo com seu ambiente.
Nota: No NxFilter cada usurio tem um login token. Voc pode encontrar esse token em User & Group > User
> Edit. NxClient um programa Windows que roda como servio. Ele iniciar automaticamente com o sistema.
Quando voc instalar NxClient ou NxUpdate on Mac OS X, leia as instrues para NxCliente ou NxUpdate no MAC
OS X neste tutorial.
Aps fazer as devidas modificaes e testar sua configurao e assim inicialiizar o sistema, possvel verificar se est
funcionando em Logging > Signal. Dever haver registros do NxClient nesse relatrio.
Nota: possvel adicionar mais de um IP de servidor NxFilter separando por , ser voc estiver rodando um cluster
do NxFilter. Para mudar a configurao execute o programa C:/Arquivos de Programas/nxclient/setup.exe.
Sinais do NxClient
Quando h o interesse em controlar um usurio remoto a parte mais difcil forar os usurios a ter o acesso controlado.
Ningum tem interesse em ter o acesso controlado e ainda mais esto afastados da empresa. Se esses seus prprios
computadores no trabalho no h como garantir o controle. Porm se o dispositivo for da empresa possvel control-
lo instalando NxClient no sistema dele.
Em todo caso o que impede do usurio desinstalar e parar o NxClient? NxClient roda como servio e no dispe de um
desinstalador em Adicionar/Remover programas no Painel de Controle. Ento se seus usurios no tem privilgios
de administrao e no pode desinstal-lo.
Porm em alguns casos necessrio dar o privilgio de Administrador Local a seus usurios. Neste caso no
possvel impedir os usurios de removerem o NxClient.
Por conta disso foram definidos diversos sinais que podem indicar o que est ocorrendo no sistema. NxCliente envia
os seguintes sinais:
- START : Quando NxClient inicia ele envia esse sinal para o NxFilter.
- STOP : Quando o NxClient para ele envia esse sinal para o NxFilter.
- PING : A cada 5 minutos o NxClient envia esse sinal para o NXFilter.
Voc pode visualizar esses sinais em Logging > Signal na rea de administrao do NxFilter.
46 Captulo 5. Agentes/Clientes
NxSkinBR Documentation, Release 0.2
O NxClient precisa se conectar ao NxFilter para atualizar as polticas e regras. Quando o NxClient no consegue
se conectar ao servidor NxFilter ele faz um bypass nas regras de acesso, afinal seus usurios precisaro acessar a
internet de qualquer forma. possvel especificar mltiplos endereos de IP dos servidores NxFilter na configurao
do NxCliente visando redundncia.
Quando voc usa o NxClient no notebook da empresa voc pode ter problemas com as polticas de controle de acesso
quando estiver na empresa. Seu notebook pode ser controlado duas vezes, uma pelo NxClient e outra pelo NxFilter. E
o funcionrio pode acabar sendo forado a seu autenticar no NxFilter.
Para resolver estas questes o NxClient faz a mudana automticamente entre fazer o filtro local ou remoto. Isso
signigica que o NxClient pode localizar o servidor NxFilter na rede local e quando consegue ele desativa o proxy. E
mais, ele ainda tem seu prprio mdulo NxLogon o que permite que seja feito o Single Sign-On na rede local.
Aviso: Caso no ache interessante a mudana automtica voc pode adicionar o seguinte parmetro
no arquivo de configurao cfg.properties
no_switch = 1
Removendo o NxClient
Para evitar uma desinstalao acidental feita pelo prprio usurio, o NxClient no prov um mdulo de remoo em
Adicionar/Remover programas no Painel de Controle. Quando voc decidir desinstalar o NxClient voc precisar
faz-lo manualmente com os seguintes comandos.
# Rode C:/Program Files/nxclient/bin/unstsvc.bat.
# Apague o diretrio C:/Program Files/nxclient.
Instalao silenciosa
Some people want to install NxClient on multiple PCs using GPO or PDQ deployment. For this, we have the silent
install option for NxClient.
Em alguns casos pode ser interessante instalar o NxClient em diversos terminais de trabalho usando GPO or publicao
PDQ. Para isso nos podemos usar a opo de instalao em modo silencioso do NxClient.
Para faz-lo,
/silent : Executa o instalar no modo silencioso ( A janela de progresso exibida ).
/verysilent : Nada exibido.
E ainda possvel passar como parmetro o IP do servidor e/ou o Login Token.
/server=192.168.0.100
/token=2P1WQ6VF
Por exemplo:
nxclient-6.0-win.exe /silent /server=192.168.0.102 /token=2P1WQ6VF
Nota: Voc pode criar seu prprio pacote MSI usando o MSP wrapper disponvel em http://www.exemsi.com.
Quando voc instala o Java no modo silencioso/discreto ( j que ele tambm um pre-requisito para o NxClient ), o
NxClient pode no funcionar, isso por que instalando o Java nesse modo as vezes faz com que ele no sete o caminho
para sua instalao em PATH
Para casos em que se tem um cliente que usa IPs dinmicos e ainda sim se deseja associar esse IP a um determinado
usurio, voc pode instalar o NxUpdate no sistema. Ele ir atualizar os IPs associados ao usurio no NxFilter.
NxUpdate tem, basicamente, a mesma estrutura do NxClient. Voc pode instal-lo do mesmo modo que instalaria o
NxClient.
Para a comunicao entre o NxFilter e o NxUpdate usado o protoloco DNS. Significa ento que voc pode simular
ou criar o seu prprio NxUpdate usando apenas o nslookup ou outra ferramenta que faa uma simples consulta DNS.
NxFilter v3.3.0 ou superiores e NxUpdate v7.0 ou superiores seguem esse formato de comunicao baseado no
protoloco DNS.
Ento, para fazer a atualizao de um IP usando o nslookup, voc pode proceder da seguinte forma:
Nota: Como demonstrado anteriormente, voc tem de escrever o token do usurio para que esses sinais o identifi-
quem.
Quando esses sinais so enviados voc pode receber dois tipos de respostas ( como registro DNS ) a partir do NxFilter.
E elas so
- 127.100.100.1 = Erro.
- 127.100.100.100 = Successo.
No necessrio enviar os sinais START ou STOP a cada atualizao. Basta enviar IPUPDATE.
48 Captulo 5. Agentes/Clientes
NxSkinBR Documentation, Release 0.2
O NxFilter permite que se controle as aplicaes executadas no desktop com o agente NxClient. Voc pode bloquear
as aplicaes desejadas configurando a poltica de controle de aplicaes atravs da GUI do NxFilter - de modo
centralizado - e ainda visualizar, quem tentou executar os programas bloqueados, atravs dos logs.
Como funciona?
Aps definir a sua poltica de controle de aplicaes em Policy & Rule > Application Control o Nxcli-
ent obtm essas definies de tempos em tempos.
Nota: Voc pode ajustar o tempo de atualizao alterando os valores no parmetro Agent Policy Update Period
em Config > Setup.
Opes suportadas
Partimos de um principio em que o controle de aplicaes uma poltica global. Porm se houver necessidade de
aplic-las a apenas determinados usurios, altere o parmetro Disable Application Control em Policy & Rule
> Policy > EDIT.
NxFilter , em sua essncia, um filtro DNS ento o formato de registro de logs foi preparado para exibir domnio blo-
queados/permitidos. Para poder registrar dados sobre aplicaes bloqueadas o NxFilter insere os seguintes domnios
ou regras.
ultrasurf.port.app : UltraSurf foi bloqueado por verificao de portas.
tor.port.app : Tor foi bloqueado por verificao de portas.
chrome.exe.pname.app : Chrome foi bloqueado atravs do nome do processo.
Skype.title.app : Skype foi bloqueado com base no ttulo da aplicao.
Aviso: Quando voc ativa o parmetro Block UltraSurf e existem extenses do UltraSurf no Chrome ou h
outras extenses para proxy instalados, o NxClient mata o processo e registra o sinal ultrasurf.chrome.app.
Intervalo de execuo
Encontrar e bloquear aplicaes pode causar uma certa carga no processamento. Se voc no deseja causar um grande
impacto na carga do PC/Desktop do usurio, incremente o valor no parmetro Execution Interval em Policy &
Rule > Application Control.
Como funciona?
Antes de qualquer coisa defina sua poltica de filtragem em Policy & Rule > Proxy Filtering. Aps
iniciar o NxClient no sistema do usurio ele ir filtrar o trfego HTTP definindo ele mesmo como um servidor proxy
local. NxClient coleta as polticas/regras de filtro do proxy de tempos em tempos, definido de acordo com o parmetro
Agent Policy Update Period em Config > Setup.
Opes Suportadas
1. Block HTTPS
Voc pode bloquear todo o trfego HTTPS.
2. Block IP Host
Bloquear requisies HTTP que utilizam somente IP.
3. Block Other Browser
O processo de filtro no Proxy do NxFilter ativado atravs das configuraes de proxy de sistema. Inter-
net Explorer e browsers como o Chrome e muitas outras aplicaes usam as configuraes de proxy do
sistema operacional. Porm algumas aplicaes ainda usam conexes diretas para a internet.
Com essa opo ativada o NxClient ir bloquear qualquer programa que faa conexo HTTP diretamente
a internet.
Nota:
O servio de Proxy Filter suporta Internet Explorer e os Navegadores Chrome e Firefox.
Voc pode permitir acesso direto a internet atraves do HTTP para determinadas aplicaes usando a opo
Excluded Keywords em Policy & Rule > Application. Ele usado para controle de aplicaes,
mas ele pode ser usado para bypassar a opo Other Browser Blocking.
50 Captulo 5. Agentes/Clientes
NxSkinBR Documentation, Release 0.2
O filtro de proxy do NxFilter funciona de modo global. Se voc precisar desabilit-lo para um determinado usurio,
marque o item Disable Proxy Filtering em Policy & Rule > Policy > EDIT.
Logging
Voc s ter registro a nvel de domnio. Mas voc ver a razo do bloqueio detalhada como a seguir.
Domnio: www.google.com
Razo: Bloqueado por proxy, url_kw=jogos
So dispionibilizados o instalador do NxClient e do NxUpdate para o Mac OS X. Voc pode instal-los atravs do
instalador do Windows. Voc configura sua conexo e executa Test e Start.
Para executar o programa de configurao voc precisa rodar o script setup-mac.sh no diretrio de instalao. Se o NxClient f
sudo /Library/nxclient/setup-mac.sh
Para desinstal-lo,
sudo /Library/nxclient/uninstall-mac.sh
NxBlock o agente remoto para filtragem no Chromebook. Ele tambm pode ser usado como um agente SSO em uma
rede local.
Nota: NxBlock se tornou um software open source desde a verso 1.8. Voc pode fazer o download do cdigo
completo na rea de download.
Instalao do NxBlock
NxBlock basicamente uma extenso do Chrome. Voc pode instala-lo a partir da loja Chrome Web Store. possvel,
tambm, baixar do seguinte link.
https://chrome.google.com/webstore/detail/nxblock/gibapcjkdgdiamgdkbcpgaldogcoldgf
NxBlock compartilha a poltica em Policy & Rule > Proxy Filtering com os outros agentes de filtro
proxy. Ele sincorniza a poltica a cada 120 segundos.
Depois de instalar, voc ver o NxBlock na rea de extenses no painel de configuraes do Chrome ou chrome://extensions. Aba
52 Captulo 5. Agentes/Clientes
NxSkinBR Documentation, Release 0.2
Voc pode ocultar a rea de configurao do NxBlock de seus usurios atravs de uma senha de autenticao.
Uma vez que tenha sido definida a senha e esta tenha sido ativada, os usurios sero impedidos de acessar a pgina de
configurao do NxBlock e chrome://extension.
Nota: Voc pode usar a senha de cliente do NxFilter para acessar a configurao do NxBlock uma vez que ele tenha
se conectado ao servidor.
Identificao do usurio
Para identificar os usurios so usados o token e a conta do Google. Suponhamos que tenha sido criado um usurio
com o nome estudante no NxFilter e foram configurados 10 NxBlock com o mesmo token desde usurio. Se nenhum
dos usurios se autenticarem no Chrome ( na autenticao do Google ) eles aparecero nos registros do NxFilter como
estudante porm se um deles se autenticar no Chrome usando zedosanzois@gmail.com - por exemplo - ento ele/ela
aparecer como estudante_zedosanzois no log do NxFilter.
Ao fazer uma instalao em massa do NxBlock o problema que voc no ter interesse em configurar os parmetros
necessrios um a um. Se voc usar somente o agente SSO em sua rede local poderia at ser bom sem os parmetros
de conexo, mas se voc deseja us-lo como filtro remote voc precisa definir esses parmetros.
Para resolver esse problema, ns temos uma alternativa, uma forma de configurar esses valores de modo centralizado.
Ns usamos uma pagina web e a funo de pgina de inicializao do Chrome para isto.
Falando de forma objetiva, voc ir criar uma pgina web contendo os valores de configurao e ento fazer com
que est pgina seja a pgina inicial do Chrome. Ento toda vez que seus usurios abrirem seus browsers eles sero
configurados com estes valores.
Ao criar a pgina web voc adicione a meta tag descrita a seguir
H 3 parmetros separados por vrgulas. O primeiro o IP do servidor NxFilter e o segundo o token de login e o
ltimo sobre bloquear ou no o acesso a pgina de configurao de extenso do Chrome.
No lado do Google Admin - para configurar a pgina inicial,
1. No dashboard, v em Gerenciamento de Dispositivo > Chrome > Configuraes do Usurio
2. Selecione a unidade organizacional onde sero aplicadas as configuraes.
3. Localize Pginas para carregar na inicializao.
4. Insira a URL para pgina web que contm a tag de configurao do NxBlock.
5. Clique em Salvar alteraes.
No filtro DNS, quando bloqueado um site HTTPS recebido um alerta de SSL no seguro.
um erro comum pois o browser tenta proteg-lo do que chamado de ataque Man in the Middle. De
qualquer forma ainda um processo irritante pois na verdade causado pela politica de filtragem. Muitas
pessoas j solicitaram que este alerta seja removido, a soluo para esse problema - atualmente - s
aplicvel no browser Google Chrome.
Ao instalar o NxForward - que uma extenso para o Google Chrome - as pginas HTTPS que forem
bloqueadas sero redirecionadas para uma pgina HTTP novamente, permitindo assim a visualizao da
pgina de bloqueio em HTTP.
O NxForward pode ser instalado a partir da Chrome Web Store. Baixe a partir do link.
Download NxForward na Chrome Web Store1
1 https://chrome.google.com/webstore/detail/nxforward/ohhmhnionmgplhblinhpijfbaelmaojd
54 Captulo 5. Agentes/Clientes
CAPTULO 6
NxCloud
O que NxCloud?
NxCloud um ambiente completo para mltiplas empresas baseado no filtro de DNS. Ele baseado no NxFilter e
herda as suas principais funcionalidades. Basicamente, voc pode criar sua prpria nuvem de servio de filtro DNS
como o OpenDNS.
A seguir algumas das funcionalidade disponveis apenas no NxCloud.
Se voc quiser criar seu prprio servio nas nuvens, um dos fatores principais seria ter a possibilidade de criar contas
para seus clientes e estes estarem aptos a configurar suas prprias polticas em uma GUI.
No NxCloud h 3 tipos de usurios.
Admin > Operator > User
Admin - o administrador da NxCloud. Ele tem praticamente a mesma GUI do NxFilter porm sendo adminis-
trador voc pode criar as contas de operadores.
Operator - So as contas dos clientes e algo como um sub-administrador na NxCloud. Podem criar e gerenciar
suas prprias polticas.
User - So criados pelos Operator, so os usurios do cliente.
Criando um operador
Para criar um operador voc precisar se autenticar na GUI do NxCloud com uma conta de administrador. Em Config
> Operator voc pode criar um operador. Quando voc criar um operador NxCloud cria um usurio padro e uma
poltica padro para este mesmo operador com o mesmo nome dele.
Voc pode definir o nmero de usurios e polticas que o operador pode criar. Isto significa que voc pode ter diversos
nveis em seus servio baseado nas permisses de um operador.
55
NxSkinBR Documentation, Release 0.2
GUI do Operador
No NxCloud cada operador tem sua prpria GUI. Se voc autenticar na GUI NxCloud com uma conta de operador
voc entrar em um GUI para Operador. Ele um pouco mais limitado/restritivo se comparado a interface GUI do
administrador e voc poder manipular somente os parmetros do operador.
Operador e usurio
Operadores podem criar seus prprios usurios e aplicar uma poltica diferente baseada na autenticao do usurio.
Usurios podem ser validados com base no endereo IP ou usando o NxClient.
Cada operador pode definir seus prprios Free-Time ( horrios livre ) e eles podem configurar uma poltica de horio
de trabalho e uma poltica de Free-Time para seus usurios.
Voc pode adicionar uma lista branca/negra especfica baseada em nome de domnio. Porm voc ainda ter uma lista
branca/negra global para o admin. Ento voc pode ter maior flexibilidade para trabalhar com essas listas como um
administrador.
NxCloud envia um email de alerta sobre registros de bloqueios para cada operador. Os operadores podem definir seus
endereos de email para receber esses alertas e definir os perodos em que os recebe em Config > Alert.
Nota: Voc precisa configurar antes um email que receber os alertas gerais para comunicar a um operador especfico.
Voc o define em Config > Alert.
Cada operador pode ter sua prpria pgina de bloqueio. Se no houver pginas de bloqueio definidas pelo operador o
NxCloud ir exibir a pgina padro configurada pelo Admin.
NxClient se conecta no NxCloud. O que significa que voc pode diferenciar os usurios em sua prpria rede e voc
pode aplicar uma poltica diferente por usurio.
56 Captulo 6. NxCloud
NxSkinBR Documentation, Release 0.2
Atualizador de IP Dinmico
Muitos de seus clientes usurio o servio de IP dinmico. Voc pode usar NxUpdate como um atualizador de IP
dinmico para seu servio.
Alguns dos seus usurios podem ter um domnio dinmico para a rede deles. Voc pode associar um domnio para um
usurio em NxCloud.
NxCloud suporta NxRelay que um servidor de DNS relay instalado por trs de um roteador e permite que voc
aplique diferentes polticas baseados em IP privado ou ranges de IP da rede do seu cliente.
Padronizao/Customizao da GUI
uma camda da GUI que feita para uma fcil customizao. A camada de visualizao ou seja da GUI separada
da parte principal do software.
Voc s precisar mudar as pginas JSP em /nxcloud/webapps. Esses arquivos/pginas JSP seguem um padro de nome
correspondente a sua funcionalidade/estrutura descrita no menu da GUI. Ento fcil de encontrar a funcionalidade
de cada arquivo que precisa ser modificado.
Ex.:
Arquivo operator,operator_edit.jsp
Para usar o NxCloud s se exige que a blacklist esteja licenciada, seja a Jahaslist ou Komodia. Porm essa licena tem
de ser para o mnimo de 500 usurios ao ano.
possvel se ter sua prpria GUI customizada. E pode tambm customizar os agentes do Nx.
Nota: Ao incrementar o nmero de licenas possvel adicion-los ao tempo restante do adquirido antes. Por
exemplo, se precisar adicionar mais 100 licenas de usurios 6 meses aps ter adquirido o primeiro pacote de licenas
ento o preo ser equivalente aos 6 meses restantes. Aps esse prazo a renovao ocorre normalmente, sendo um
pacote s para todo o montante.
Aviso: Se desejar usar outra lista negra que no seja a Jahaslist ou a Komodia haver um encargo de 2 dlares por
usurio ao ano. necessrio comprar uma licena de uso do provedor escolhido. No momento so suportadas as
listas: Zvelo, NetSweeper como opes para o NxCloud.
Instalao do NxCloud
NxCloud - basicamente - um NxFilter modificado. Voc pode instalar e rodar o NxCloud da mesma
forma que o NxFilter.
Porm, diferente do NxFilter, aps instal-lo voc ainda no pode us-lo diretamente como um servidor
DNS. Isto por que o foco de NxCloud para venda de servios comerciais. Voc - teoricamente - no o
usar na sua rede interna ( por conta de custos de licena e etc ). Seus clientes o utilizaro em suas redes.
Ento necessrio primeiro criar uma conta para seu cliente.
No NxCloud h 3 tipos de usurios: 1. Admin - que voc ou a empresa responsvel pela instalao do
NxCloud. 2. Operador - que seu cliente 3. Usurio - Que o usurio da rede do seu cliente.
O admin gerencia as contas dos operadores e um operador gerencia o usurio final.
Ento preciso que voc crie antes o operador. Para isso acesse a GUI do NxCloud ( como admin ) e
ento v ao menu Operator para criar o operador.
Ao criar um operador haver - por padro - um usurio e uma poltica para o operador com o mesmo nome
deste. E a senha padro para o operador o nome do mesmo. Uma vez criado um operador possvel que
este se autentique na GUI a fim de criar um usurio de teste.
Nota: Voc precisa associar seu endereo IP para que o operador inicial possa testar o o usurio padro.
Quando voc criar um servio de filtragem baseado nas nuvens um dos problemas que voc tem como definir o
nmero de usurios na rede interna. mais fcil quando voc tem um tipo de agente instalado e sendo executado
dentro dessa rede e NxCloud suporta diversos agentes para esse caso.
Em todo caso alguns de seus clientes no podem When you build a cloud based filtering service one of the problems
you have is to find out the exact number of users behind a router. It may be possible when there are some kind
58 Captulo 6. NxCloud
NxSkinBR Documentation, Release 0.2
of agent installed and running behind router and NxCloud supports several agents for that. However some of your
customers dont need to differentiate users and they just want to have one global policy for everybody. It means you
dont know how many users they have. To solve this problem, we limit the request count for a user. Currently one
user can make 3,000 requests a day. This is more than enough considering a user makes under 1,000 requests a day
according to our statistics so far. However we may have another issue from this request count limit approach. If
you have a customer using your service in their home they probably have several Internet accessing devices and have
several family members but not wanting to pay for multiple users. In that case this 3,000 daily request limit is too
small for them. To address this issue, we introduced the concept of operator type. There are 2 kinds of operator types
on NxCloud. One is Business and the other is Home. Business type operators are nothing special. You can create
as many users as you want for them and each of the users has 3,000 request limit. But if it is a home type operator its
first user has 12,000 extra request count and that makes 15,000 daily request count limit for the first user. If it has the
second user its request count limit becomes 18,000 and that would be more than enough for most home users.
possver ter no servio do NxCloud, falando comercialmente, um sistema de bilhetagem automtica. Tendo por base
que todas as pginas da GUI so disponibilizadas para alterao, no haver dificuldade para criar seus prprio sistema
de bilhetagem com o NxCloud.
Para implementar seu prprio sistema de bilhetagem pode - por exemplo - ser necessrio criar, editar um operador que
esteja vinculado a conta do seu cliente no seu servio de DNS. Voc dever estar apto a executar esse procedimento em
suas prprias pginas JSP.
Supondo que haja a necessidade de criar um operador com os atributos abaixo:
Name : triton
Password : triton1234
Email : tmail0487@yahoo.com
Max user : 3
Max user IP : 3
Max policy : 3
Max whitelist : 20
Max free-time : 10
A pgina JSP dever estar com os seguintes comandos:
<%
OperatorData data = new OperatorData();
data.name = triton;
data.passwd = triton1234;
data.email = tmail0487@yahoo.com;
data.max_user = 3;
data.max_user_ip = 3;
data.max_policy = 3;
data.max_whitelist = 20;
data.max_free_time = 10;
OperatorDao dao = new OperatorDao();
dao.insert(data);
%>
<%
OperatorDao dao = new OperatorDao();
OperatorData data = dao.select_one_by_name(triton);
data.max_user = 5;
data.max_user_ip = 5;
data.max_policy = 5;
dao.update(data);
%>
<%
OperatorDao dao = new OperatorDao();
OperatorData data = dao.select_one_by_name(triton);
data.stop_flag = true;
dao.update(data);
%>
Nota: H uma seo, nesta documentao, dedicada exclusivamente a customizao da GUI e tambm disponibili-
zado o Javadoc para facilitar a criao da suas prpria GUI.
NxRelay um servidor Relay de DNS para o NxCloud. Com NxRelay voc pode associar um IP Privado ou um Range
de IPs a um determinado usurio no NxCloud. O que significa que voc pode aplicar diferentes polticas de controle
baseados nos IPs privados dos seus clientes.
Como funciona?
O NxRelay por si s um servidor DNS Forward. Ele faz a filtragem consultando o NxCloud e trabalha como um
servidor DNS redirecionando as consulta DNS para seu servidor de DNS local. Para o NxRelay, o NxCloud no um
servidor DNS Upstream, pelo contrrio um servidor de polticas. O servidor upstream o seu servidor DNS local ou
o servidor MS do AD que responde as suas consultas DNS.
Isso significa que mesmo que voc percar a conexo com o NxCloud sua rede continuar a funcionar. E voc no ter
problemas com sua rede AD ou resoluo de nomes do domnio locai, j que suas consultas DNS continuaro sendo
resolvidas por seu servidor local.
Nota: Sendo ele um servidor DNS voc pode ter alta disponibilidade e load balance facilmente. Instale mltiplos
servidores NxRelay e configure suas estaes usando eles como servidores DNS Primrio e Secundrio.
60 Captulo 6. NxCloud
NxSkinBR Documentation, Release 0.2
Ele envia o sinal START e PING. Voc pode verificar se ele est funcionando em Logging > Signal na GUI do
NxCloud.
cd c:\nxrelay/bin
instsvc.bat
net start NxRelay
cd /opt/nxrelay
sudo chmod +x bin/*.sh
sudo cp script/nxrelay.service /lib/systemd/system/nxrelay.service
sudo systemctl enable nxrelay.service
sudo systemctl start nxrelay.service
Parametrizando
Antes de iniciar voc precisa ter o endereo IP do servidor NxCloud e um token de uma das contas de usurio. Os
parmetros ficam em /opt/nxrelay/conf/cfg.properties.
Por exemplo:
server = 192.168.0.100
token = BSYEB28O
local_dns = 8.8.8.8,8.8.4.4
local_domain =
Tendo esses parmetros no arquivo de configurao, considerando que o IP do servidor NxCloud 192.168.0.100 e
o token do usurio BSYEB280 e o servidor de DNS local ou o existente o 8.8.8.8 e 8.8.4.4. Se h domnios ou
endereos que deseja que no sejam filtrados voc pode adiciona-los em local_domain separando-os por virgula.
Depois de modificar o arquivo de configurao, sempre reinicie o NxRelay. E ento configure o mesmo para ser seu
nico servidor DNS na rede.
Nota:
possvel adicionar mltiplos servidores NxCloud, basta separar os IPs por vrgulas.
Pode ainda verificar se a configurao est correta e a conectividade com o servidor atravs do comando
/opt/nxrelay/bin/test.sh
Quando o NxRelay estiver funcionando em sua rede local como o servidor DNS ele inicia o filtro com a poltica
associada ao token registrado nele. Porm isso apenas um procedimento padro para o NxRelay. Voc pode aplicar
diferentes polticas baseadas nos endereos IP. Na GUI, do NxCloud, o operador cria um usurio e associa o mesmo a
um IP privado ou range de IPs em sua rede para aquele usurio. Agora os usurios associados aquele IP ou range de
endereos estar subordinado a poltica definida ao mesmo usurio criado na GUI do NxCloud.
Scripts inclusos
62 Captulo 6. NxCloud
CAPTULO 7
Aviso: Se h o desejo de fazer melhorias no NxFilter para sua ferramenta comercial, use NxOEM ou NxCloud.
Agora vamos falar sobre como personalizar NxOEM e seus aplicativos com sua prpria marca. Antes de qualquer
coisa, iremos demonstrar como padronizar a GUI. E depois falaremos sobre os outros componentes pois voc pode se
interessa.
Por ltimo mostraremos como customizar os aplicativos do NxOEM.
A camada GUI do NxOEM foi desenhada de modo a facilitar sua personalizao. uma parte completamente separada
do Core principal. E segue uma padronizao, que a faz ser correspondente a estrutura de menus, facilitando localizar
os arquivos desejados.
Por exemplo: se voc quer modificar Policy & Rule > Free Time, no menu do NxOEM, o arquivo a ser modificado
ser /nxfilter/webapps/policy,free_time.jsp.
Nota:
No NxCloud h um menu especifico para o operador. Se haver um JSP especfico para o menu do operador ento ele deve ter o
ex) zop,policy,free_time.jsp
Todos os arquivos JSP ficam em /nxfilter/webapps e no usado nenhum sub-diretrio para armazenar pginas JSP,
isso para simplificar e facilitar o entendimento. Tudo que necessrio est no diretrio /nxfilter/webapps.
63
NxSkinBR Documentation, Release 0.2
Aviso:
Os erros HTTP 400 so usados para um propsito especial. Voc no pode definir nenhuma pgina para o
cdigo de erro HTTP 400.
O arquivo /include/lib.jsp uma biblioteca compartilhada por todos os arquivos JSP. Ele tem algumas
funes, iniciliza todo o cdigo e verifica a autenticao tambm.
No inclumos diretamente o arquivo /include/lib.jsp. Ele executado quando ns inclumos o arquivo
/include/top.jsp
Quando a GUI personalizada, no uma boa ideia modificar os arquivos originais. Voc pode mant-las para usar
como referncia e criar outro diretrio dentro do /nxfilter e copiar todos os arquivos que esto dentro de /nxfil-
ter/webapps para o novo diretrio e ento modificar esses arquivos que foram copiados. Para facilitar mais ainda,
NxOEM permite que se defina o parmetro www_dir em /nxfilter/conf/cfg.properties.
Se por exemplo voc armazenou sua GUI personalizada em /nxfilter/myweb e quer us-la como a raiz do servidor
web do NxOEM, voc ir adicionar a seguinte linha no arquivo cfg.properties.
www_dir = myweb
Por exemplo. em policy,policy.jsp so usadas as classes PolicyDao e PolicyData class para manipular as Polticas.
PolicyDao tem os seguinte mtodos:
Cada poltica tem seu prprio ID que um nmero e pode ser usado para encontrar e atualizar uma determinada
poltica.
<%
WhitelistDomainDao dao = new WhitelistDomainDao();
WhitelistData data = new WhitelistData();
data.domain = "*.nxfilter.org";
data.bypass_auth = true;
data.bypass_filter = true;
dao.insert(data);
%>
<%
WhitelistDomainDao dao = new WhitelistDomainDao();
dao.delete(12);
%>
<%
WhitelistDomainDao dao = new WhitelistDomainDao();
WhitelistData data = dao.select_one(12);
%>
<%
data.bypass_filter = false;
dao.update(data);
%>
E listar os registros.
<%
WhitelistDomainDao dao = new WhitelistDomainDao();
List data_list = dao.select_list();
for(WhitelistData data : data_list){
out.println(data.domain + "<br>");
}
%>
Muitos desenvolvedores Java esto usando accessors get e set visando encapsular e para fazer outros procedimentos
como validar os registros. Para para facilitar, na maioria do casos permitido o acesso direto ao campo.
Por exemplo, se criar uma instncia de UserData e ele tiver a propriedade name, dever ser feito como o exemplo:
Porm, existem muitas classes que tem os mtodos comeando por get_. Geralmente esses mtodos so vinculados a
formatao. H a propriedade ctime para RequestData que usado em Logging > Request. Se usar a chamada
direta, obter como retorno 201507081415, j se chamar o mtodo get_ctime() ser retornado 07/08 14:14.
Propriedades OEM
O arquivo oem.properties para armazenar parmetros especficos do NxOEM e NxCloud. Se existir o arquivo
oem.properties em /nxfilter/conf com o seguinte valor.
appname = MyFilter
Voc pode sobrepor ou remover o readme.txt e license.txt com seus prprios arquivos. Voc ainda pode manter o
arquivo original license.txt.
Ainda mantido o arquivo com as licenas de terceiros em third-party-license.txt e pode adicinar sua licena nesse
mesmo arquivo.
H links para nosso tutorial online em /nxfilter/tutorial.html e /nxfilter/bin/tutorial.bat, esses arquivos podem ser
removidos ou substituidos quando voc criar sua prpria distribuio do NxOEM.
Outro ponto que pode ser necessrio alterar so os arquivos de cones. Existem dois arquivos com cones. 1 para os
programas Windows e o outro para o favicon na pgina de administrao. Voc pode remover ou substituir com seus
prprios arquivos os cones em /nxfilter/nxd.ico e /nxfilter/webapps/favicon.ico.
Aviso: Voc no deve remover nosso arquivo de licenas ou qualquer licena de terceiros
Voc pode fazer seu prprio pacote dos agentes NxClient, NxUpdate, NxMapper, NxLogon, NxBlock, NxRelay.
J o NxLogon, que uma aplicao simples sem instalador voc s precisa substituir vrios arquivos do arquivo zip
original e fazer seu prprio arquivo zip. Voc pode alterar o nome dele tambm, mas quando fizer essa alterao
indicado mudar tambm o contedo dos arquivos batch mas isso ser visto a frente.
Contudo esse processo um pouco diferente para o NxClient, NxUpdate e NxMapper uma vez que estes requerem
que sejam feitos instaladores para Windows e Mac OS.
Para fazer os instaladores do Windows foi utilizado o Inno Setup1 . Quando NxClient, NxUpdate e NxMapper insta-
lando, eles criam seus prprios diretrios dentro de C:/Program Files (x86) e registrado como um servio Windows.
Por exemplo, quando executado o instalador NxClient todos os arquivos necessrios so copiados para C:/Program
Files (x86)/nxclient e ento executado bin/instsvc.bat para registr-lo como servio Windows e ento executado
o arquivo bin/setup.bat ao trmino do processo de instalao para rodar seu programa de configurao.
Nota:
Se voc se tornar nosso parceiro comercial podemos disponibilizar nosso script Inno Setup.
Os arquivos zip usados para criar nossos pacotes de instaladores esto em um pacote antigo na nossa pgina de
download.
Quanto o sistema removido, executado o batch bin/unstsvc.bat para remover o registro do servio do
Windows.
1 http://www.jrsoftware.org
usado o programa Packages2 para construir nosso instalador Mac OS. Quando o instalador executado ele criar
seus diretrios em /Library e o arquivo conf/plist.default copiado para dentro de /Library/LaunchDaemons
com um novo nome como org.nxfilter.nxclient.plist para ser executado como um daemon. E ento ele roda o script
setup-mac.sh localizado no diretrio de instalao para iniciar o programa de configuraoi.
Para remover o programa voc precisa rodar o script uninstall-mac.sh, que est dentro do diretrio de instalao.
Nota:
Podemos disponibilizar nosso script do Packages se for nosso parceiro comercial.
Os arquivos zip usados para criar nossos pacotes de instaladores esto em um pacote antigo na nossa pgina de
download.
Quando voc personalizar nossos agentes, uma das coisas que pode desejar mudar os nomes dos nossos agentes.
Altere o arquivo conf/appname, localizado no diretrio de instalao. Quando o nome alterado, ele aparecer no
programa de instalao dos nossos agentes.
Replacing icon file and default setup value Substituindo/Alterando cones
Para usar seu prprio cone, o arquivo nxd.ico localizado no diretrio de instalao e um arquivo que contm
cones com as dimenses 16x16, 32x32 e 48x48. No momento s usado para o Instalador Windows e programa de
configurao.
Nota: A verso do NxClient e NxUpdate baseado em Java precisa que seja adicionado mais um cone cujo nome
seria nxd16.png. um arquivo PNG de 16x16 para a GUI de configurao.
Tambm possvel mudar os valores padro na conexo com o servidor. Voc pode modificar os valores padro de
Server IP e Login Token do programa de configurao alterando o arquivo conf/cfg.default.
O arquivo conf/cfg.default ser copiado por cima do arquivo conf/cfg.properties quando voc executa
o programa de configurao pela primeira vez ou durante o processo de instalao.
possvel construir seu prprio pacote, para faz-lo e incluir seu programa de configurao. Em nossos pro-
gramas de configurao existem alguns controles e botes. Para controle, ns lemos os paramtros no arquivo
conf/cfg.properties.
E quando voc clicar nos botes que so SAVE, TEST, START, STOP as aes so feitas relendo/alterando o
arquivo de configurao.
O boto SAVE grava os valores definidos na tela em conf/cfg.properties.
Os botes START e STOP, se forem usados no Windows chamam os comandos net start e net stop
considerando que o agente foi instalado como servio. J no Mac OS, executado o programa /bin/launchstl
com o arquivo Plist gravado no diretrio /Library/LaunchDaemons.
2 http://s.sudre.free.fr
Ento - reafirmando - ao fazer seu programa de configurao para o NxClient no Windows, quando for clicando em
START e STOP voc precisa executar os comandos,
O boto TEST executa o batch bin/test.bat ou o script bin/test.sh. Antes de executar seu prprio script de testes
voc precisa gravar primeiro os valores de configurao.
Aps voc executar o script de teste voc pode receber algumas mensagens com os seguintes cdigos de sada.
0 = Sucesso -1 = Valores incorretos na configurao -2 = Erro de conexo -3 = Erro de login
Personalizando o NxBlock
NxBlock um software Open Source. Voc pode fazer o download de seu cdigo fonte na rea de download de nossa
pgina.
Personalizando o NxRelay
No disponibilizado um instalador ou programa de configurao do NxRelay por no ser um sistema para um usurio
comum do Windows. Mas sua estrutura a mesma do NxFilter. Nos tpicos anteriores explicado como criar um
pacote de instalao, siga o mesmo procedimento.
Limitao
Preparando seu prprio instalador e modificando os nomes dos agentes geralmente atende a maioria das necessidades.
Mas h algo que no pode ser mudado. Internamente, no sistema, h uma codificao contendo a assinatura nxfilter.
importante mant-la para que tenhamos uma unica assinatura e possamos diferenciar os sinais recebidos dos agentes.
E tambm no permitido remove a licena ou qualquer das licenas de terceiro sob pena de caracterizar uma violao
na licena base. Voc pode ter seu prprio arquivo de licena mas a licena base precisa ser mantida. So permitidas
muitas caracterizaes e alteraes, ento inevitvel no ter alguma limitao.
NxClassifier
O que NxClassifier
NxClassifier o recurso de auto-classificao integrado ao NxFilter para uso com a Jahaslist. Ele faz uma classificao
dinmica em cima dos sites solicitados por seus usurios baseando em expresses regulares e sistema de pontuao.
Voc pode definir ou modificar as regras de classificao de acordo com sua linguagem.
H duas formas que podem ser usadas como mtodo de Classificao para montar uma lista.
1. Auto-Classificao
2. Classificao manual
A auto-classificao uma tarefa executada de forma extremamente rpida, porm no to assertiva quanto a clas-
sificao manual. E a classificao manual tem um custo elevado tanto em trabalho quanto financeiro pois precisa de
pessoas dedicadas a essa funcionalidade.
Ento a melhor forma combinar os dois mtodos ou diminuir o mximo a necessidade da avaliao humana se
baseando nos resultados da auto-classificao.
Diversas ferramentas de classificao automtica fazem essa funo baseadas em ocorrncias de palavras chave usando
dicionrios ou algum tipo de conjunto de regras. Ento precisamos fazer um dicionrio de palavras mais eficaz ou con-
junto de regras para uma auto-classificao com resultados satisfatrios. Porm possvel haver opinies diferentes
com relao a que categoria se aplica a uma determinada ocorrncia e o nvel de importncia dessa ocorrncia compa-
rada a outras.
71
NxSkinBR Documentation, Release 0.2
Por exemplo, www.stackoverflow.com classificado como uma Comunidade ou um Frum mas tambm pode
ser classificado como na categoria Computer/Technology j que o foco do site exatamente computador e tecnolo-
gias. E ainda pode estar na categoria Business/Service. Ns podemos classific-lo em multiplas categorias. Porm
no caso analisado podemos encontrar outro problema. E se quisermos bloquear Forum mas permitir o acesso Compu-
ter/Technology? Podemos acabar obtendo um resultado inesperado.
Outro ponto a se observar, a lista de classificao padro feita em Ingls mas essa no a nica linguagem no
mundo. Existem muitos sites em outras lnguas. Ento preciso ter dicionrios em outras lnguas tambm. Porm
como contruir todos esses dicionrios visando atender as outras lnguas? E se fizermos classificao manual ou a
verificao preciso atender pblicos que falam outras lngas. Ento as necessidades tomam uma dimenso maior e
ningum tem interesse de arcar com isso. Com isso passamos a ter falsos positivos e desse modo passa a ser impossvel
ter uma lista que atenda 100% dos casos.
bom observar que uma lista no pode atender a toda a internet. Mesmo que se tenha arquivos extensos que vizem
cobrir toda a Internet, quantos sites registrados nessa lista podem realmente ser teis para seu caso? A maioria dos
sites listados nunca seriam acessados por seus usurios.
Contudo com NxClassifier voc tem:
1. Voc cria suas prprias regras.
Significa que voc pode criar suas regras de classificao de acordo com sua necessidade. Nada melhor que
voc para classificar os sites em sua prpria lngua.
2. No so permitidas mltiplas categorias
Um site s pode ser classificado em uma nica categoria.
Nota: O motivo para que provedores de listas tenham categorias mltiplas para um nico site no apenas refletir a
ambiguidade existente no mundo real. Eles utilizam isso forma a fim de atender mercados/clientes diversos, por isso
precisam ter sites classificados em mltiplas categorias mas isso no atende a nossa necessidade em muitos casos.
Jahaslist o nome da lista que surgiu junto com o NxClassifier. Jahaslist ativada quando voc instala o NxFilter. O
diretrio /nxfilter/jahaslist armazena diversos arquivos nele.
categories.txt : As categorias do Jahaslist so definidas neste arquivo.
baselist.txt : As categorias do Jahaslist so armazenadas nele.
ruleset.txt : Aqui ficam armazenadas as regras padro para o NxFilter.
72 Captulo 8. NxClassifier
NxSkinBR Documentation, Release 0.2
Nota: baselist.txt e ruleset.txt sero importados para a base de dados do NxFilter quando voc inicializ-lo pela
primeira vez.
Tudo armazenado exceto as regras de classificao que ficam em um arquivo de banco separado. Esse arquivo o
/nxfilter/db/jahaslist.h3.db. Quando houver interesse em reiniciar a Jahaslist - por algum motivo que parea vivel -
voc pode apagar este arquivo e reiniciar o NxFilter.
preciso entender o fluxo de trabalho do NxClassifier antes voc pode criar uma regra de classificao eficaz para
voc.
NxClassifier por si s um programa multi-tarefa dentro do NxFilter. Quando o NxFilter recebe a requisio de um
domnio no requisitado, ele adiciona o domnio em uma fila de processos do NxClassifier. NxClassifier faz verifica
o DNS para ver se o domnio j est registrado e ento tenta acessar o site desse domnio. Se h um website o
NxClassifier baixa essa pgina e analisa o ttulo, descrio e o texto.
Uma vez que o NxClassifier obtm os detalhes de um website ento ele executa as regras de classificao com base
nos dados coletados. Enquanto est executando a verificao dos dados, se ele encontrar uma regra que se encaixe
com o dados, ele para e classifica o dominio de acordo a categoria definida na regra. Ainda soma a pontuao a outras
regras j identificadas e classifica do dominio em uma categoria cuja pontuao mxima seja atingida.
Entendendo como feita uma regra de classificao. Uma regra de classificao consiste nos seguinte fatores.
Keyword : Palavras chave. Na realidade uma expresso regular.
Target : Se a palavra chave ser utilizada na verificao do domain (dominio), title (ttulo do site), description
(descrio) e text ( texto ) do site.
Nota: Os dados como ttulo, descrio e texto de um site so obtidos atravs da pgina inicial do mesmo que
coletada pelo NxClassifier.
Points : Voc pode definir a pontuao para quando as informaes baterem de acordo com o nvel de impor-
tncia para a classificao do domnio. A pontuao mnima para ser classificado 100 e a mxima 1000.
Category : A qual categoria o domnio ser associado se as informaes baterem.
Nota: Se houver o interesse em criar uma regra de excluso ( liberar o domnio de uma classificao ) para uma
determinada categoria, defina com pontos negativos ( - ). Por exemplo, se voc associar a palavra chave filme a
categoria Entretenimento mas voc no quer classificar a pgina de download na mesma categoria, ento voc pode
associar a palavra download a Entretenimento com pontos negativos.
Para ambientes grandes com muitos usurios pode ser que a velocidade de classificao do NxClassifier ( que feito
em sites ainda no qualificados ) esteja muito abaixo do esperado. Isso ocorre por que a configurao do NxFilter
priorisa filtrar sites e no qualific-los, at para evitar um consumo de recursos desnecessrio o nmero de agentes do
NxClassifier de apenas 2 agentes por padro.
Para aumentar o nmero de agentes, melhorando assim a resposta do NxClassifier, altera-se o parmetro classi-
fier_num em /nxfilter/conf/cfg.properties.
classifier_num = 8
E quando h um cluster NxFilter, o NxClassifier tambm fica em cluster. Com essa funcionalidade voc tambm pode
dedicar um n s para trabalhar com classficao. Rodando 16 agentes para a classficao em um n e nos demais
definindo o parmetro classifier_num para 0.
Outro ponto a ser observado que quanto maior a ruleset maior o consumo de CPU.
Repositrio
O NxFilter executa atualizaes da Jahaslist automaticamente. Ele faz o download dos arquivos a partir da Internet e
atualiza a Jahaslist.
Voc pode criar seu prprio repositrio para esta atualizao remota. Ele prtico para pessoas que desejam compar-
tilhar suas lista ou fazer negcio criando uma lista prpria.
1. O processo de atualizao.
Ao adicionar a URL indicando o arquivo de atualizao em NxClassifier > Setup > Jahaslist Repository,
o NxFilter far o download e buscar atualizaes para a Jahaslist. Esse processo ser executado em dois
momentos: ao reiniciar o NxFilter e uma vez a noite. O processo de atualizao roda em paralelo com o
NxFilter desde modo no haver prejuzo para sua funcionalidade padro ( os filtros de DNS ) enquanto
ele executa a atualizao.
2. O formato do arquivo.
De modo geral o que necessrio se ter o arquivo com a extenso .txt. Porm, se o arquivo for grande,
possvel usar arquivos compactados no formato tarball com a extenso .tgz ou .tar.gz, dentro desse
arquivo haver o arquivo texto.
Dentro desse arquivo havero registros com os domnios e suas categorias separados por virgulas, como a
seguir:
google.com,46
yahoo.com,46
nxfilter.org,9
Atualmente esse o formato usado para arquivos importados ou exportados da Jahaslist na GUI. Ento permitido
compartilhar esse arquivo exportado.
74 Captulo 8. NxClassifier
NxSkinBR Documentation, Release 0.2
Aviso:
Arquivos texto podem conter ae 100.000 domnios.
Ao criar um arquivo recatlist.tgz para armazenar recatlist.txt, faa do seguinte modo:
ex) tar cvzf recatlist.tgz recatlist.txt
8.7. Repositrio 75
NxSkinBR Documentation, Release 0.2
76 Captulo 8. NxClassifier
CAPTULO 9
Servidor DNS
NxFilter basicamento um servidor DNS com capacidade de fazer forward e/ou cache com a habilidade de filtrar as
consultas DNS. Pode tambm ser usado como um servidor DNS Autoritativo. E tambm tem suporte ao servio de
DNS Dinmico.
Forward
Quando o NxFilter instalado ele j vem com a opo de servidor DNS forward ativa. Ele usa os servidores do
Google DNS, por padro, como servidor DNS upstream. permitida a alterao para outro servidor uptream em
DNS > Setup.
Caching
NxFilter tem seu prprio cache de DNS originado do servidor upstream configurado. Significa que quando voc usa
um endereo pblico ou um servidor DNS na internet como um servidor DNS na sua configurao do NxFilter e usar
o NxFilter como servidor DNS da sua rede local voc poder aumentar a velocidade da sua rede, j que o trfego de
rede deixar de fazer acessos externos e s far consultas de DNS locaias.
Isto ocorre por que uma vez que a consulta seja feita ela armazenada no cache do NxFilter ento seus usurios
recebero a resposta do NxFilter e no mais de uma servidor da internet.
No ter tambm problemas de latncia entre sua rede local e o servidor DNS na internet.
DNS Autoritativo
NxFilter pode atuar como um servidor DNS Autoritativo. 1. Arquivo de Zone ( Zone File )
usado o mesmo padro nos arquivos de zona do BIND. O arquivo criado em DNS > Zone File. E
ento voc pode adicionar suas estaes ( host ) na zona DNS diretamente pela GUI.
77
NxSkinBR Documentation, Release 0.2
2. Para disponibilizar na internet. Sabendo que o NxFilter um filtro DNS com autenticao, quando voc o utilizar
como servidor DNS autoritativo necessrio tomar conhecimento dos seguintes pontos:
Autenticao Voc precisa habilitar a autenticao principalmente quando expe o NXFilter na In-
ternet com o objetivo de evitar ataques DDOS. Porm h o problema que se a autenticao for
ativada, usurios annimos sero redirecionados para a tela de login. Para permitir que usurios
annimos faam normalmente consulta DNS no seu domnio, voc precisar permitir o bypass da
autenticao para seu domnio.
Filtro NxFilter um filtro DNS, ento seu dominio pode ser bloqueado pelo NxFilter por algumas
razes. Para evitar problemas do tipo indicado fazer o bypass da filtragem do seu domnio.
Logs em excesso Voc pode acabar tendo muitos registros de log por conta de ataques DDOS em
seu domnio. No caso, pode ser melhor tambm ativar o bypass de logs no seu domnio.
Nota: Voc pode configurar uma whitelist para seu domnio ser liberado em alguns casos, mas tambm
possvel usar a opo de bypass de um arquivo de zona ( zone file ).
No NxCloud voc tem a opo Public Service ao invs da opo bypass. Na realidade essa opo
a combinao do ByPass Filtro e Bypass Logging no h opo Bypass Autenticao no NxCloud.
Voc precisa marcar essa opo para sua Zona DNS na internet quando usa o NxCloud.
DNS Dinmico
NxFilter tem suporte a DNS Dinmico. Voc pode construir um servio no estilo DynDNS com NxFilter se assim
desejar.
Para ativar esse servio voc precisa ter um domnio em DNS > Setup > Dynamic Domain e ento ativar o servio.
Se quiser que o servio seja pblico ou esteja disponvel na internet, voc tera de ativar uma Zone DNS Autoritativa
em DNS > Zone File para que seu Domnio Dinmico funcione.
Uma vez que esteja tudo configurado no lado do servidor, necessrio instalar o cliente de DNS Dinmico no sistema
do seu cliente. Para isso usamos o NxUpdate.
No NxUpdate voc precisa configurar o ip do Servidor, que no caso o IP do seu NxFilter e um token associado ao
nome do usurio da estao. No caso o nome do usurio ser o nome da mquina.
Por exemplo, se voc tem o domnio dinmico exemplo.com e instalar o NxUpdate na estao de trabalho com o
token do usurio minhamaquina, uma vez que o NxUpdate entre em ativa voc poder pingar o endereo minhama-
quina.example.com.
Nota: O servio de DNS Dinmico requer que a autenticao esteja ativada em Config > Setup.
Pode ser acessada a lista de domnios dinmicos que esto sendo resolvidos em DNS > Dynamic
Domain.
No servio NxCloud h em Logging > Dynamic DNS a possibilidade do administrador monitorar
as atividades relacionadas ao seu domnio dinmico.
Quando o NxFilter disponibilizado a Internet h a possibilidade de sofrer ataques DDOS. Uma vez estando sob
ataque ou outros tipos de ataque DNS ser visvel o trfego intenso no servidor. O NxFilter no conseguir tratar todo
o trfego e provavelmente ele aparentar estar parado, assim como receber erros no log informando Queue full.
Para evitar que isso ocorra a melhor coisa a se fazer no expor o servidor DNS ou no responder a essas solicitaes
com um endereo vlido. Para evitar que o NxFilter atue como servidor de DNS para esses tipos de ataque a primeira
opo ativar a autenticao. Como no sero usurios autenticados eles sero redirecionados para o IP do NxFilter
quando fizerem consultas DNS.
Ainda assim o servidor DNS ser identificado pois estar respondendo as consultas do mesmo jeito. Para mitigar
de vez esses ataques necessrio matar os pacotes vindos desses clientes anonimos de forma silenciosa. Para isso
possvel ativar a opes Allowed IP for Login Regirection em Config > Allowed IP e o NxFilter vai ignorar os
pacotes desses atacantes.
Nota: Com o NxCloud voc pode ativar/desativar o redirecionamento de login em Config > Setup.
Diversos
O NxFilter tem um sistema embutido para criar clusters com load balance e alta disponibilidade. Uma vez que voc
tenha um n master voc pode adicionar at 4 ns Slave no cluster.
Todos os ns slave em seu cluster recebem as configuraes do n master. Ento voc pode controlar tudo a partir do
n master.
Criando um cluster
Para criar um cluster, a primeira coisa a se fazer configurar o n master. Em Config > Cluster voc
definir que uma de suas instalaes do NxFilter seja o n Master. E ento voc pode adicionar os outros
NxFilter como ns Slave, vinculando-os ao n Master.
Aps definir o NxFilter como master, ou sempre que for feita qualquer alterao na parte de configurao
do cluster, voc precisa reiniciar os NxFilter.
Nota: O servio de cluster requer que as portas 19002,19003 e 19004 - que usam protocolo TCP - sejam liberadas (
todas no n master e demais )
Ao configurar o servio de cluster no NxFilter, voc precisa iniciar antes o n principal Master e s em seguida os
ns Slave. Isso necessrio pois os ns Slave tentaro baixar as configuraes iniciais a partir do n Master
assim que estes forem inicializados.
81
NxSkinBR Documentation, Release 0.2
Uma coisa boa sobre o filtro DNS que o load balance (lb) e ia alta disponibilidade (ha) so funcionalidades nativas
do sistema. Configure seu n Master como o DNS Primrio e seu Slave como DNS Secundrio na sua rede.
Ento voc j tem tanto o load balance quanto a alta disponibilidade.
Nota: Se voc deseja ter LB e HA nas pginas de bloqueio e login ou atualizaes de politicas para os agentes do
NxFilter voc precisa definir diversos blocos de redirecionamento separados por vrgulas em Config > Setup.
Quando um ds ns cair
Nota: Se voc configurar o alerta de email, em Config > Alert, voc receber o aviso de que o n caiu.
Nota: Para o NxCloud um pouco diferente. Ele cancela as requisies de usurios no autenticados, afinal para
o NxCloud a pgina de login no um opo padro e os usurios do NxCloud geralmente usam outros mtodos de
autenticao.
S permitido se conectar ao servidor Master os ns Slave listados em Config > Cluster, o que no estiverem
nessa lista sero bloqueados.
Monitorando os ns slave
Voc pode visualizar o status da conexo dos ns slave, acesse Config > Cluster. Uma vez que que o cluster for
levantado todos os ns slave aparecero informando o registro da ltima sincronia. Ele tambm informa as quantidades
Nota: A desvantagem dessa soluo que pode haver queda no tempo de resposta dos servios para os casos em que
os servidores ficarem lentos e tambm gerar uma carga maior de trfego entre os ns.
Se voc no deseja que essas informaes sejam compartilhadas, possvel desativar todo o compartilhamento de
informaes entre os ns.
Porm, ainda sim pode ser interessante no ter de se autenticar a cada troca de servidor DNS. E na verdade, a sesso
compartilhada somente para evitar o redirecionamento pgina de login. Se voc no usa autenticao - com base
em senhas - voc no ter problemas.
Os agente NxLogon, NxMapper e NxClient podem se comunicar com os ns do NxFilter, evitando a necessidade de
autenticao a cada acesso a um servidor diferente.
E a autenticao baseada em IP funciona tranquilamente sem compartilhar a sesso.
Para desativar o compartilhamento de sesses enquanto a autenticao estiver ativa, insira o seguinte parmetro em
/nxfilter/conf/cfg.properties.
no_share_session = 1
NxFilter d suporte a controle de uso de banda por usurio usando os dados do NetFlow. A ideia simples.
NxFilter vincula os dados do NetFlow vindos de um roteador a sesso do usurio baseado no endereo IP
e se h um usurio consumindo o limite de uso especificado, NxFilter bloqueia todas as requisies feitas
pelo usurio.
A vantagem que isso no aplicado apenas no trfego HTTP. Desde que NxFilter esteja usando os dados
do NetFlow voc pode monitorar e bloquear outros protocolos incluindo HTTP, FTP, IM, Skype, Torrent
e qualquer outro protocolo usando TCP/UDP.
Para ativar o controle do uso de banda voc precisa de um roteador ou firewall com suporte a NetFlow
verso 5 em sua rede e voc precisa fazer com que este envie os dados de NetFlow para o NxFilter. E
ento ative o coletor de NetFlow no NxFilter em Config > Setup > NetFlow. Ento configure um limite
de banda em uma poltica.
Os pr-requisitos para que o NxFilter importe os dados do NetFlow:
Uma das funcionalidades do NxFilter permitir a detecto e bloquear atividades de malware/botnets analisando os
pacotes DNS. Na realidade malware e botnets so outro tipo de cliente de rede ou programas. Isso significa que eles
tambm dependem consideravelmente do protocolo DNS para se comunicar com seus controladores ou vtimas.
Por exemplo, se voc tem um rob spammer na sua rede ele far diversas consultas DNS sobre registros MX buscando
seus alvos para enviar emails. Porm, normalmente seu PC no precisa fazer consultas sobre quem so os servidores
MX a menos que voc tenha um servidor de email rodando nessa mquina.
Outro exemplo poderia ser botnets usando os registros TXT ou outros registros DNS como ferramentas de comuni-
cao.
Esses so exemplos que ocorrem rotineiramente.
ex1) Trojan.Spachanel usava registros SPF.
ex2) W32.Morto usava registros TXT.
Outra mtodo seria detectar tamanhos anormais de domnios. Quando testamos os 100.000 domnios mais acessados
( segundo a Alexa ) todos os domnios - exceto por 142 deles - tinham menos de 30 caracteres. Mas existem domnios
anmalos tentando acessar algumas URLs de um site qualquer. Um exemplo disso seria o www.phishtank.com que
tenta acessar pginas do www.ebay.co.uk mas atualmente ele um domnio phishing.
ex1) cgi.ebay.co.uk-item-css.ebay-motors.session.id-sj3mzbasf3k12z581668115.login-
wpadmin-sw.buyitnow.sign-in.secure-process657943sddh53zix34235hj65rj.xml.config-
page.overview.buyer-protection-jsp.wpcs.spiridus-magic.org
Ento a deteco de botnet/malware analisando os pacotes DNS vem a ser uma tcnica bem eficaz. Nx-
Filter prov a possibilidade de ativar esses bloqueios atravs da configurao de suas polticas.
Max Domain Length
Block Covert Channel
Block Mailer Worm
Block DNS Rebinding
Allow A Record Only
Mas voc pode dizer que a forma mais eficaz de se prevenir contra malware/botnets na sua rede seria permitir apenas
consultas a registros A. Em muitos casos seus terminal no precisa consultar o DNS por outros tipos de registros que
no sejam o A, AAAA, PTR ou CNAME.
H diversas pginas com anncios embutidos vindos de outros domnios. Um dos problemas de bloquear esses ann-
cios com o NxFilter que a pgina pode ficar completamente descaracterizada. Afinal sua pgina de bloqueio ficar
embutida no lugar dos anncios.
Para evitar esse tipo de problema, existem duas formas de remover anncios com o NxFilter.
1. Usando uma categoria especial em Category > Custom chamado ad-remove. Se voc adicionar um domnio
nesta categoria e bloquear essa categoria em qualquer lugar, o NxFilter bloqueia o domnio com uma pgina em
branco.
2. O outro mtodo fazer o bloqueio usando a opo Ad-Remove em uma poltica. Com esta opo o NxFilter
bloqueia a categoria Ads a partir da Jahaslist.
Nota: Aps adicionar um domnio na categoria ad-remove voc precisa bloquear o domnio em uma lista ou outra
poltica caso contrrio ele no ser bloqueado.
Exportar Syslog
NxFilter permite exportar o Syslog. Os dados exportados tem seus campos separados por |.
Por exemplo a seguinte linha de Syslog do NxFilter:
NXFILTER|2017-03-13 10:53:23|Y|www.bbc.co.uk|pwuser|192.168.0.101|admin|news|Blocked
by admin|33|grupoA
Ajustes de performance
Apesar do Servio do NxFilter ser concebido para atender milhares de usurios facilmente, existem vrios fatores que
podem ser ajustados para atingir melhor performance do NxFilter caso seja necessrio.
Memria alocada
Por padro NxFilter usa cerca de 512 MB RAM. o suficiente para a maioria dos casos. Mas se voc alocar mais
memria para o NxFilter voc ter uma performance maior ainda.
No script de inicializao do servio do NxFilter /nxfilter/bin/startup.bat voc tem a linha.
Nota: Caso estejas usando o NxFilter como um servio no Windows, necessrio reinstalar o servio com esse
ajuste de memria. Quando for reinstal-lo, desinstale usando unstsvc.bat altere o arquivo instsvc.bat com o ajuste de
memria desejado e a sim reinstale executando instsvc.bat.
NxFilter tem vrias modalidades de relatrios. Voc pode ver todos os registros de acesso dirios, semanais e por
usurio. Em todo caso este tipo de relatrio consome muito espao em dico. possvel que note uma degradao na
performance quando atingir um volume muito grande de registros nos relatrios.
Se na sua rede tem centenas de usurios interessante ter no mnimo 10GB reservados s para os registros de trfego.
Ou para economizar espao em disco possvel reduzir a quantidade de dados. Para reduzir possvel ajustar o valor
em Log Retention Days em Config > Setup.
A outra forma de reduzir o volume de dados de trfego fazer uma lista branca/whitelist com a opes Bypass
Logging para os domnios que no tem interesse em registrar.
NxFilter manipula o TTL do DNS cache para que o cliente DNS limpe os registros o mais rpido possvel, de modo
que as atualizaes/ajustes nas polticas sejam aplicadas mais rapidamente. Porm essa no uma funcionalidade to
crtica e ela aumenta o nmero de consultas vindas dos clientes.
Para melhorar a performance voc pode achar interessante que o NxFilter no altere o TTL dos registros no DNS
Cache.
Pode alterar o parmetro Max Client Cache TTL em Config > Setup para 0, desligando assim a funcionalidade.
Quando isso desligado o sistema cliente no no far consultas DNS enquanto o registro estiver no cache e assim
reduzir a carga para o NxFilter drsticamente. Quando h mais de 1.000 usurios recomendado desligar esta
funcionalidade.
NxFilter um sistema multi-thread. Ele tem threads que atendem as requisies DNS dos clientes. A quantidade de
threads padro 8 e suficiente em muitos casos. Mas se acha que o NxFilter est demorando a responder voc pode
aumentar essa quantidade.
Para aumentar para 16 threads insira a seguinte linha em /nxfilter/conf/cfg.properties e reinicie o NxFilter.
rh_num = 16
Um dos motivos que podem causar degradao na performance do NxFilter a latncia do servidor upstream ( servidor
DNS que o NxFilter consulta ). No um caso para quando h centenas de usrios j que o NxFilter tem seu prprio
cache. Porm se sua rede tem milhares de usurios, isso pode ser um problema. Por isso foi criado o parmetro Local
DNS Server.
Em todo caso isso no quer dizer que o NxFilter faa consulta recursiva por si s. possivel instalar um servidor
DNS recursivo no mesmo servidor que j tem o NxFilter instalado e assim fazer com que o NxFilter o utilize como
um servidor DNS upstream.
Caso tenha instalado algo como o servidor de DNS recursivo MaraDNSs Deadwood e configurado-o para usar a porta
10053 e o ip for 127.0.0.1 preciso adicionar a seguinte linha em /nxfilter/conf/cfg.properties.
local_resolver_port = 10053
E reiniciar o NxFilter.
Quando h um cluster NxFilter, existe uma troca constante de dados entre eles visando o compartilhamento de dados.
No caso do servidor ter um processamento alto isso pode ser um fator de degradao da performance.
Para diminuir o volume de troca de dados leia a seo Criando um Cluster NxFilter nessa mesma documentao.
possvel definir senha de acesso aos menus Logging e Report. Essa senha definida em Config > Admin >
Report Password. E permitida a criao de link nos seguintes moldes,
http://192.168.0.100/admin?report_pw=pass1234
Ao clicar no link, o usurio receber permisso de visualizao de tudo abaixo de Logging e Report e ser
redirecionado para Report > Daily
FAQ
Existem casos de pessoas dizendo que filtros DNS no so prticos por poder se acessar um website usando seu
endereo IP. Esta uma afirmao nem sempre correta. Atualmente muitos servidores de sites esto rodando com
Virtual Host, deste modo diversos sites respondem no mesmo endereo IP. Por isso nem sempre possvel acessar
sites diretamente sem usar o respectivo domnio.
Outra coisa para se ter em mente que existem muitas URLs em uma pgina s ( endereo de css, endereo de imagem,
etc... ). Isso se aplica mais ainda se estivermos falando de algum portal. E essas URLS so baseadas em endereo
DNS. como se voc pudesse tentar acessar um site bloqueado usando IP porm o que voc obtem uma pgina com
erros.
provvel que seja o cache DNS do seu sistema interferindo. Se voc est usando o Windows saiba que nele existem
dois tipos de cache DNS:
1. O do Browser
2. O do prprio Windows
Digamos que antes do cache expirar foi alterada a poltica no NxFilter bloqueando/permitindo o acesso ao site. O
cache s vai expirar em um determinado momento, porm possivel forar a limpeza do cache imediatamente.
89
NxSkinBR Documentation, Release 0.2
Para limpar o cache do Browser feche o mesmo completamente, todas as janelas e depois reabra o sistema.
Para limpar o cache DNS do Windows, execute o seguinte comando no prompt, vulgo CMD ipconfig /flushdns.
Geralmente o cache DNS do Windows expirar no mximo em 1 dia. claro que isso tambm depende do TTL do
registro definido pelo DNS, mas ainda no tivemos registros de TTLs superiores a 1 dia - ou 86400 segundos.
Quanto ao cache DNS no Browser o registro DNS pode levar vrios minutos para expirar. Porm ele ir expirar e
receber a nova poltica definida no NxFilter.
Nota: Na prtica isso no ser um problema, j que no comum executar esse procedimento de
bloqueio/desbloqueio vrias vezes ao dia.
Havendo um firewall em sua rede esse um procedimento simples. S preciso bloquear a sada UDP/53 e TCP/53
de outros que no sejam o NxFilter. E ento voc pode usar o DHCP para registrar no cliente o NxFilter como servidor
DNS na sua rede. Desse modo o NxFilter se tornar seu nico servidor DNS que seus usurios podero utilizar e a
parte DHCP deixar isso configurado de modo automtico.
Voc pode atribuir uma poltica diretamente a um usurio. Se o usurio pertence a um grupo, ento a poltica do
grupo sobrepe a poltica do usurio. Porm quando voc importa usurios do Active Directory eles podem pertencer
a diversos grupos. Nesse caso voc no saberia que poltica seria aplicada a determinado usurio. Para resolver esses
problema use a feature Priority Points. Se h mais de um grupo e se eles tem polticas diferentes, a poltica que tiver
a maior pontuao em prioridade ser aplicada. Voc pode definir essa pontuao em um poltica.
Nota: Para saber que poltica est sendo aplicada a um determinado usurio, utilize o boto TEST em
User & Group > User.
Antes necessrio separar de algum modo seu grupo de outros usurios usando a parte de autenticao do NxFilter.
Da bloquear a categoria de Social Networking em uma poltica quando estiver usando a Jahaslist. O ltimo passo
seria atribuir essa poltica ao grupo desejado.
Se houver o interesse em permitir, por exemplo, que o grupo de Vendas possa usar a internet sem bloqueios no
horrio de almoo.
Crie um usurio ou um grupo e defina o horrio livre em Polticas e Regras > Horrio Livre ento atribua a poltica
de horrio que mais convier para esse grupo.
Voc pode mudar as portas HTTP/HTTPS do NxFilter. Porm ao mudar a porta HTTP voc perder a pgina de blo-
queio para o caso de redirecionamento. Isso ocorrer por conta do NxFilter redirecionar o usurio - quando necessrio
- para algo no browser do usurio na porta TCP/80.
Para fazer a alterao das portas voc precisa mudar os seguintes parmetros em /nxfilter/conf/cfg.
properties.
http_port = 80
https_port = 443
Existe o script /nxfilter/bin/reset_pw.sh para resetar a senha de administrador. Uma vez executado o script, o nome e a
senha do administrador ser resetada para o padro de instalao. Esse script deve ser executado enquando o NxFilter
est em execuo.
Em casos como conflitos de portas possvel vincular o NxFilter a um IP especfico. Isso pode ser feito usando o
parmetro listen_ip em /nxfilter/conf/cfg.properties. Se estiver setado 0.0.0.0 o NxFilter ir responder em
todos os endereos IPs do sistema mas se for especificado o IP o NxFilter s responder nesse.
Nota: Mesmo que se vincule o NxFilter a um determinado endereo IP voc no poder ter multiplas instncias do
NxFilter na mesma mquina. Isso ocorre por que ele precisa se vincular a diversas portas no servidor para comunicao
interna.
Em DNS > Setup voc pode registrar seu servidor DNS interno e domnio local. Nessa configurao se houverem
consultas DNS ao domnio local o NxFilter direciona as consultas para o servidor DNS local e no exige autenticao,
filtro e/ou registro.
Voc pode separar por colchetes para fazer um filtro mais preciso na pesquisa do log.
Nota: Se voc usar o modo SSO com o AD voc pode evitar esse tipo de problema.
O NxFilter usa o Tomcat 7.x de modo embarcado para ser o servidor de pginas. Se voc deseja aplicar seu prprio
certificado SSL no Tomcat h dois parmetros que voc precisa definir no arquivo de configurao dele.
Os dois parmetros so keystorefile e keystorePass. Em todo caso no h um arquivo separado s para configurar o
Tomcat. Ser utilizado o /nxfilter/conf/cfg.properties para definir esses parmetros.
keystore_file = conf/minha.keystore
keystore_pass = 123456
Nota: Para saber como gerar o arquivo keystore leia o manual do Tomcat 7.x
Quando h algo de errado com o NxFilter a primeira coisa recomendade verificar os logs. NxFilter mantm registros
de log dentro da pasta /nxfilter/log.
Caso precise de informaes mais detalhadas sobre o erro, habilite o modo de debug em /nxfilter/conf/log4j.properties,
alterando o trecho INFO para DEBUG dentro do arquivo e reinicie o NxFilter
Aviso: Aps identificar o erro ou terminar de analisar os logs no esquea de alterar isso novamente para o padro
INFO pois pode acabar gerando muito log e encher sua unidade de disco de modo acelerado.
Quando um browser est sendo redirecionado para HTTPS ele alerta o usurio que isso est ocorrendo, pois tem o
objetivo de prevenir o ataque Man in the middle. Por esse motivo que recebida a mensagem de alerta ao invs da
tradicional pgina de bloqueio do NxFilter. Seu browser est apenas fazendo o que deve ser feito e no o objetivo do
NxFilter interferir nisso.
Em todo caso h situaes em que se deseja ocultar essa pgina de alerta. Para que isso ocorra pode se mudar a porta
HTTPS do NxFilter, desse modo os usurios recebero a mensagem de Erro de Conexo.
Nota: Para mudar a porta HTTPS modifique a linha https_port = 443 em /nxfilter/conf/cfg.properties, alte-
rando 443 para outra porta que no a padro.
Aviso: O Agente NxForward passou a funcionar a partir da verso 3.4.5 do NxFilter. O NxForward uma extenso
para o Google Chrome e se um site - em HTTPS - bloqueado, ele redireciona as requisies para uma pgina
HTTP de modo a permitir que seja exibida a pgina de bloqueio sem que haja o alerta da pgina SSL. Para mais
informaes acesse a sesso Agentes/Clientes > NxForward para ocultar falhas no SSL neste mesmo tutorial.
A primeira coisa que voc precisa ativar Habilitar autenticao em Config > Setup.
As vezes passa despercebido que necessrio ativar a autenticao antes de fazer uso de qualquer coisa que dependa
do mtodo de autenticao.
syslog_only = 1
Nota: Voc continuar tendo as contagens mas o registro dos dados no sero armazenados em sua tabela de trfego.
Em /nxfilter/bin/startup.sh na chamada do java, onde tem os parmtros da JVM, insira o seguinte parmetro
-Duser.timezone=America/Fortaleza.
Nota: America/Fortaleza foi um exemplo, voc pode ver a que se aplica melhor a sua regio em
http://www.ibm.com/support/knowledgecenter/ssw_i5_54/rzamy/reftzval.htm_ .
O Agente NxClient atua como um proxy local, ento ele precisa atualizar as configuraes de proxy de modo a
redirecionar o trfego HTTP/HTTPS dos browsers de suas mquina para ele mesmo. E aps essas configuraes de
proxy serem aplicadas necessrio reiniciar os browsers de modo a aplicar essas alteraes.
Mas voc pode ter outro programa no seu Windows bloqueando tais configuraes/atualizaes ou fazendo as modifi-
caes ele mesmo.
Voc ter um conflito nesse ponto. Para corrigir isso voc precisa deixar habilitado apenas um dos programas.
No existe essa funo na GUI. Porm, em muitos casos, as pessoas desejam forar esse trmino de sesso quando os
usurios deixam de usar seus terminais e desejam forar que o prximo usurio se autentique. Para isso voc pode usar
a opo de logout do domnio em Config > Setup. Voc escrever um script batch para o browser acessar o endereo
assim que o usurio fizer o logoff.
Ou voc pode usar o sinal de logout do endereo que logout.signal.nxfilter.org. Verifique esse endereo usando o
aplicativo nslookup e a sesso de login associada ao IP dessa estao ser excludo.
@echo off
nslookup logout.signal.nxfilter.org.
Ao receber a mensagem de erro Queue full voc perde a conexo com a internet ou com o servidor DNS Upstream.
Isso ocorre por que o NxFilter no consegue processar as requisies DNS em sua fila.
Entende-se que o NxFilter deveria retormar as funcionalidade quando sua conexo restaurada. Em todo caso em
alguns sistemas o processamento nao volta a ocorrer aps o retorno da conexo. E o problema que apesar do sistema
informar que est conectado no isso que esteja ocorrendo e como a conexo UDP no tem como confirmar. Esse
problema no ocorre em todas as instalaes do NxFilter e apesar de nossas tentativas, ainda no conseguimos repetir
o problema em nossos laboratrios, dificultando assim a identificao da causa.
A soluo para isso, temporariamente, reiniciar o NxFilter. E seria muito interessante se fosse possvel reiniciar
o NxFilter assim que receber a devida mensagem de erro Queue full. Na verso 3.4.4 foi introduzido o parmetro
queue_full_exit em /nxfilter/conf/cfg.properties.
No arquivo haver a seguinte linha:
queue_full_exit = 1
Assim o NxFilter fechar automaticamente ao receber a mensagem de erro Queue full e voc poder reinicia-lo. Por
exemplo, se estiver em um sistema Linux voc pode usar a opo respawn no Upstart ou no Systemd para reiniciar
o NxFilter.
V LogoutDomain, 32
vriavel de ambiente MaxClientCacheTTL, 34
Ad-remove, 38 MaxDomainLength, 38
AdminDomain, 33 PriorityPoints, 38
AgentPolicyUpdatePeriod, 33 Quota, 38
AllowARecordOnly, 38 QuotaAll, 39
AutoBackup, 33 QuotaedCategories, 39
Block-time, 39 ResponseCacheSize, 35
BlockAll, 38 RouterIP, 32
BlockCovertChannel, 38 RunCollector, 32
BlockDNSRebinding, 38 Safe-search, 39
BlockedCategories, 39 SSLOnlytoAdminGUI, 33
BlockMailerWorm, 38 SyslogHost, 32
BlockRedirectionIP, 31 SyslogPort, 32
BlockUnclassified, 38 UpstreamDNSLoadBalance, 34, 35
BypassMicrosoftUpdate, 33 UpstreamDNSQueryTimeout, 34
ClassifiedDataRetentionDays, 40 UpstreamDNSserver, 34
DisableApplicationControl, 39 UseLocalDNS, 35
DisableClassification, 40
DisableDomainPatternDic, 40
DisableProxyFiltering, 39
DNSTestTimeout, 40
EnableAuthentication, 31
EnableFilter, 38
EnableRemoteLogging, 32
ExportBlockedOnly, 32
ExternalRedirectionIP, 31
FromEachNode, 32
HTTPConnectionTimeout, 40
HTTPReadTimeout, 40
IPv6RedirectionIP, 31
ListenPort, 32
LocalDNSQueryTimeout, 35
LocalDNSServer, 35
LocalDomain, 35
LoggingOnly, 39
LoggingRetentionPeriod, 33
LoginDomain, 31
LoginSessionTTL, 32
97