NxFilter Tutorial
This tutorial has been translated by Giorgio Catena. Many thanks to you, Giorgio!

1. Come iniziare

3. Blacklist e categorizzazione domini

4. Autenticazione

5. Descrizione della GUI

12. FAQ
Requisiti di sistema
- Windows, Linux, FreeBSD or other OS con Java(JRE) 1.7 or superiore.
- 512 MB RAM.
- 4 GB di spazio disco.
- Porte utilizzate: UDP/53, TCP/80, TCP/443.

* NxFilter può lavorare anche su configurazioni hardware inferiori tuttavia consigliamo di avere più di 1 GB di RAM e 40 GB di disco in particolare se si superano i 1000 utenti.

* Come impostazione di default NxFilter usa 512MB di RAM. Questo quantitativo potrebbe non essere sufficiente per installazioni grandi. Per allocare un quantitativo superiore di memoria da dedicare a NxFilter fate riferimento alla sezione: Performance tuning guide di questo tutorial.

- Vai all'indice -
Quale versione installare
Esistono 4 varianti di NxFilter.

1. NxFilter v4
E' utilizzabile per qualsiasi uso incluso quello commerciale; è possibile utilizzarlo per sviluppare un proprio prodotto: le modifiche, il rebranding e la redistribuzione sono consentiti da questa licenza. La licenza di prova di Jahalist dura 30 giorni e non ha restrizioni sul numero di utenti, rimane poi attiva in forma gratuita per 20 utenti.

2. JahasFilter
E' una versione ridotta di NxFilter per uso personale e non commerciale; include un numero illmitato di licenze per Jahaslist.

3. NxCloud
Ulteriore variante di NxFilter per ambienti di cloud filtering multi-tenenacy.

4. NxFilter v3
Vecchia versione di NxFilter con supporto per Shallalist. Utilizzo esclusivamente personale non commerciale.

- Vai all'indice -
Installare NxFilter su Windows
Viene fornito un installer per Windows. Quando scarichi ed esegui l'installer 'nxfilter-x.x.x.exe' verrà visualizzato la seguente schermata.

Dopo aver seguito i diversi passi proposti dall'installer, il sistema proverà a creare il servizio Windows per NxFilter. Verrà visualizzato il seguente messaggio se l'installazione andrà a buon fine.

Per accedere all'interfaccia di amministrazione bisogna portarsi col browser sulla url: 'http://localhost/admin'. Se è stata creata una icona sul desktop durante l'installazione è sufficiente cliccare su di essa. Se viene visualizzata la schermata che segue allora NxFilter è stato installato correttamente, le credenziali di login iniziale sono 'admin' e 'admin'.

- Vai all'indice -
Installare NxFilter su Ubuntu Linux
E' disponibile un package 'deb' per installare NxFIlter su Ubuntu Linux. Per poterlo installare è necessario aver installato Java, scaricare il pacchetto via 'wget' e procedere ad installare il software via 'dpkg'. Per avviarlo utilizzare lo script Systemd fornito nel pacchetto.

sudo apt-get install openjdk-8-jre
wget http://www.nxfilter.org/download/nxfilter-4.0.2.deb
sudo dpkg -i nxfilter-4.0.2.deb
sudo systemctl enable nxfilter.service
sudo systemctl start nxfilter.service

Per accedere alla interfaccia di amministrazione, vviare il browser, se, ad esempio, il server ha ip '192.168.0.100' digitare: 'http://192.168.0.100/admin' nella barra indirizzi del browser. Le credenziali iniziali sono 'admin' e 'admin'.

Quando si aggiorna NxFilter usando i package 'deb' si può procedere come segue (esempio su versione 4.0.3):

sudo systemctl stop nxfilter.service
sudo dpkg -i nxfilter-4.0.3.deb
sudo systemctl start nxfilter.service

Su versioni più vecchie di Ubuntu potrebbe essere necessario usare Upstart in luogo di Systemd. Al momento dell'installazione viene fornito anche uno script per Upstart. E' necessario usare i seguenti comandi per avviare e stoppare il servizio NxFilter.

sudo start nxfilter
sudo stop nxfilter

- Vai all'indice -
Aggiornare NxFilter
Vengono forniti installer per Windows e packages per alcune distrubuzioni Linux utilizzabili per installare e aggiornare NxFilter. Anche se conveniente potrebbe, in alcuni casi, operare direttamente sul package 'zip'. Questo i passi da seguire se viene fatto l'aggiornamento di NxFilter col package 'zip':

1. Download 'nxfilter-x.x.x.zip' file.

2. Stoppare NxFilter.

3. Estrarre lo zip nella cartella dove è installato NxFilter.

4. portarsi nella sottocartella bin e dare il comando: chmod 755 *sh

5. Avviare NxFilter.

- Vai all'indice -
Avviare e arrestare NxFilter
Ci sono diversi script all'interno della cartella '/nxfilter/bin'.

- Per avviare NxFilter : startup.sh
- Per arrestare NxFilter : shutdown.sh
- Per vedere se NxFilter è in esecuzoine : ping.sh

Su Windows usare i file '.bat' in luogo dei file '.sh'

* Se NxFilter viene eseguito come servizio su Windows usare 'net start NxFilter' per avviare e 'net stop NxFilter' per arrestare.

* Utilizzare 'net start JahasFilter' e 'net stop JahasFilter' per JahasFilter.

* Utilizzare 'net start NxCloud' e 'net stop NxCloud' per NxCloud.

- Vai all'indice -
Setup DNS dei client
Dopo aver installato NxFilter si può procedere a monitorare e filtrare l'attività internet sulla rete. Per far questo è necessario che NxFilter sia l'unico DNS visibile dai client nel network.

Il modo più semplice per impostare un server DNS per gli utenti è quello di modificare il setup network come illustrato sopra. La migliore solzione sarebbe quella di usare un DHCP server passando tramite questo il riferimento DNS che i client dovranno utilizzare.

Se si ha un firewall è possibile inibire l'accesso ad altri DNS bloccando le richieste su porta 53 per UDP/TCP. In questo modo NxFilter diventa l'unico DNS raggiungibile.

- Vai all'indice -
Che cosa è una blacklist?
Una blacklist è un database di domini categorizzati. E' una parte essenziale di un sistema di filtering DNS per bloccare siti tramite la categoria di appartenenza.NxFilter supporta le seguenti blacklists:

1. Jahaslist
Jahaslist è l'opzione di default per NxFilter. Supporto classificazione dinamica via NxClassifier. NxClassifier è il motore di auto classificazione integrato di NxFilter.

* Viene fornita una licenza di prova di 30 giorni a utenti illimitati e una licenza gratuita per 20 utenti di durata illimitata. Dopo che sono stati superati i 30 giorni di prova la licenza rimane permanente e gratuita per 20 utenti.

* JahasFilter include una licenza illimitata per Jahaslist. E' per uso personale non commerciale. Non supporto l'autoclassificazione via NxClassifier.

2. Shallalist
Gratuita per usi non commerciali. Mantenuta da www.shallalist.de.

- Vai all'indice -
Riclassificazione su blacklist
E' possibile aggiungere domini direttamente nelle categorie di sistema. Funziona esattamene come quando si aggiungono alle categorie custom. Anche se hai lo stesso dominio classificato differentemente nella blacklist in uso la riclassificazione custom effettuerà un override della classificazione. L'effetto è immediato non è necessario aspettare o compiere altre azioni.

Ci sono due modi per fare le riclassificazioni. Uno consiste nell'aggiungere i domini su 'Category > System' e l'altra usando il pop up di riclassificazione che compare premendo su un dominio bloccato nella pagina 'Logging > Request'.

- Vai all'indice -
Aggiornare Shallalist
* Shallalist è supportato solo nella versione 3 di NxFilter.

NxFilter fornisce uno script di auto-update per Shallalist. Per aggiornare Shallalist, stoppare NxFilter e eseguire '/nxfilter/bin/update-sh.sh'. L'upgrade è legato della velocità della tua connessione internet; l'intero processo può prendere diversi minuti per terminare.

Per procedere all'aggiornamento manuale scaricare il seguente file: http://www.shallalist.de/Downloads/shallalist.tar.gz, estraetelo su '/nxfilter/shallalist1/BL' ed eseguite il comando 'update-sh.sh /nxfilter/shallalist1/BL'.

cd /nxfilter/bin
./update-sh.sh /nxfilter/shallalist1/BL

- Vai all'indice -
NxFilter e autenticazione
NxFilter fornisce diversi metodi di autenticazione incluso single sign-on con integrazione Active Directory.

Perchè usare l'autenticazione

Al momento dell'installazione di NxFilter viene resa disponibile solo una policy che vale per tutto il network. Ma cosa succede se, ad esempio in una scuola, si vuole distunguere fra le regole di navigazione per gli studenti (più stringenti) e quelle per i professori (più rilassate)? Per arrivare a questo è necessario differenziare gli utenti, questo è fattibile abilitando l'autenticazione.

Quale autenticazione?

NNxFilter supporta diversi metodi di autenticazione. Potete sceglierne uno o un mix & match di diversi.

1. Autenticazione via IP
E' il metodo di autenticazione più semplice. Quando si usa un indirizzo IP statico per i client questa potrebbe essere la scelta più adatta. E' sufficiente associare semplicemente l'ip all'utente locale creato (agganciato ad una policy). E' anche possibile associare un range di ip all'utente.

* Molti provano ad usare l'autenticazione via IP senza abilitare l'autenticazione nel menu: 'Config > Setup', Tuttavia l'autenticazione via IP è un'autenticazione e come tale va abilitata.

2. Autenticazione via login/password.
Abilitando l'autenticazione NxFilter blocca ogni tentativo di accesso rimandando il browser alla pagina di autenticazione (a meno che non siano già autenticati o abbiano un ip associato all'utenza). Per autenticarsi l'utente deve inserire la propria utenza e password, la password è impostabile per ogni utente tramite l'interfaccia di amministrazione.

3. Autenticazione via LDAP
Se si integra NxFilter con OpenLDAP o Active Directory gli utenti potranno usare le proprie credenziali LDAP/AD per accedere alla pagina di login. Per usare questa funzionalità è necessario agganciare e importare le utenze prima di procedere.

4. Autenticazione via 'login token'
NxFilter ha una caratteristica particolare definita'Login Token'. Può essere usata per autenticazione remota degli utenti o per effettuare filtering; la login token è creata ad ogni creazione o importazione utente. La login token è usata per differenziare gli utenti remoti che accedono al sistema via NxClient/NxBlock o aggiornamento IP dinamico via NxUpdate.

5. Active Directory Single sign-on
Molti vogliono poter filtrare i propri utenti in maniera trasparente o, ancora, non vogliono mostrare alcuna finestra di login-blocco all'utente. NxFilter ha un'integrazione con Active Directory, una volta che viene correttamente implementata non c'è più alcuna necessità di passare attraverso la pagina di login. Gli utenti, preventivamente impostati, compariranno nella gestione di NxFilter con la propria utenza e gruppo di appartenenza.

- Vai all'indice -
Single sign-on con Active Directory utilizzando NxLogon
Se si usa Active Directory probailmente si vuole utilizzare un meccanismo di single sign-on per l'autenticazione senza che venga mostrato alcun prompt ulteriore agli utenti. Per questo motivo è stato predisposto un agente, NxLogon. Lanciando NxLogon sul PC di un utente questo crea e aggiorna delle sessioni di login per l'utente su NxFilter.

Per copiare il programma su i vari PC della rete è sufficiente creare uno script di logon via GPO (Group Policy Object). Questo script viene richiamato ogni volta che l'utente fa logon su Active Directory e lancia una copia di NxLogon su ogni PC utente.

* Se si vuole abilitare il single sign-on su utenti Active Directory è necessario innanzututto importare utenti e gruppi da Active Directory. Per importare gli utenti e i gruppi fare riferimento a:GUI - User & Group

* NxLogon usa la porta TCP/19002 per comunicare con NxFilter.

* Se pensi che l'uso delle GPO è di difficile utilizzo potete provare a usare NxMapper.

Seguire i seguenti passi per lanciare NxLogon via GPO.

1. Scaricare nxlogon-x.x.zip da www.nxfilter.org.

2. Modificare l'indirizzo IP presente in 'nxlogon.bat' per farlo puntare a NxFilter. Se si è in una configurazione cluster potete aggiungere pià server separati da spazi.

3. Aprire l'MMC 'Administrative Tools > Active Directory Users and Computers' sul domani controller.

4. Aprire 'Group Policy Manager' su 'Server Manager > Tools'.

    

5. Premere il bottone 'Edit' su 'Default Domain Policy', andare su 'User configuration > Policies > Windows Settings > Scripts (Logon/Logoff)'.

    

6. Premere 'Logon' e poi 'Add' clicckare sul bottone 'Browse'. Verrà mostrata la cartella 'Logon' per selezionare il file. Copiare al suo interno il file 'nxlogon.bat' e 'nxlogon.exe' dal package NxLogon dentro la cartella 'Logon'. Copiare questi file all'interno della cartella.

7. Selezionare il file 'nxlogon.bat' appena copiato nella cartella 'Logon' come script da aggiungere.

    

8. Ora ogni volta che un utente si collega al suo sistema lo script 'logon.bat' verrà lancaito richiamando 'nxlogon.exe' Potete verificare la presenza del processo nell'elenco dei processi tramite il task manager.

    

9. E' anche possibile verificare il risultato lato NxFilter. Il sistema crea delle sessioni di login dalle richieste dell'NxLogon.

    

* Se volete rimuovere le sessioni di login immediatamente dopo che l'utente ha effettuato il logoff dalla macchina potete usare lo script 'nxlogoff.bat' come logoff script nelle GPO.

- Vai all'indice -
Ordine di esecuzione dei metodi di autenticazione
NxFilter supporta molteplici metodi di autenticazione. Cosa succede se alla macchina di un utente ha associato un IP che ricade in un range che ha una sua policy? Oppure cosa succede se il login fatto da un utente ha una sua policy ma lo stesso è associato ad un ip che ha la policy di un altro utente? Per risolvere questi problemi si è deciso di effettuare un'analisi sequenziale dei metodi di autenticazione. NxFilter supports multiple authentication methods. But what if a user having an associated IP also falls into an IP range which is associated to a different user? Or what if a user passed NxFilter login-page is in an IP range which associated to another user? To address this issue, we have a sequential order for the authentication methods.

Questo è l'ordine di esecuzione dei metodi di autenticazione:

1. Associazioen su IP singolo
L'associazione su singolo IP è la prima ad essere elaborata così si può escludere alcuni sistemi o permettere ad altri di accedere senza fare login via agent o web page.

2. Sessione IP
La sessione IP è la login creata e mantenuta da NxFilter tramite agente o pagina di login, è il metodo che viene processato per secondo.

3. Associazione per Range IP
Se si ha bisogno di far accedere un certo numero di utenti ad internet senza alcun processo di login è possibile procedere ad associare un range IP del network ad un'utenza. Ovviamente è sempre possibile differenziare gli utenti per IP o via login, per questo motivo questa autenticazione è l'ultima processata.

E' presente una regola definibile come "il range pià ristretto vince" per ordinare gli utenti definiti su range di IP. Se ci sono situazioni di overlap su range IP, quello più piccolo verrà applicato prima degli altri.

- Vai all'indice -
GUI - Config
Questa scheda contiene parametri di configurazione del sistema.
Config > Setup > Block and Authentication

- Block Redirection IP
Questo è l'indirizzo IP del sistema NxFilter. Se c'è una richiesta DNS bloccata, il client verrà rediretto a questo IP. Normalmente viene popolato automaticamente durante il processo di installazione.

* Quando è abilitato il clustering è possibile aggiungere più IP di redirezione (searati da virgola) per ridondanza.

- External Redirection IP
Quando viene utilizzato un agente di filtraggio remoto potrebbe essere necessario utilizzare un differente indirizzo IP di redirezione per l'agent remoto quando questo si trova al di fuori della rete. Lasciando il campo vuoto verrà utilizzato l'indirizzo specificato nel campo 'Block Redirection IP'.

- IPv6 Redirection IP
Dalla versione 4.0.5, NxFilter utilizza IPv4 over IPv6 come indirizzo di redirezione IPv6 automaticamente. Per questo motivo non dovrebbe essere necessario effettuare alcuna configurazione, tuttavia può capitare di forzare le impostazioni manualmente.

- Enable Authentication
Dopo aver abilitato l'opzione di autenticazione, ogni utente che risulta non autenticato verrà rediretto alla pagina di login di NxFilter. In questo caso gli utenti saranno obbligati a effettuare login per utilizzare Internet.

- Login Domain
Si potrà accedere alla pagina di login di NxFilter utilizzando la url definita qui.

- Logout Domain
Si potrà effettuare il logoff dalla sessione utilizzando la url definita qui.

- Login Session TTL
NxFilter mantiene la sessione la sessione dopo il login ma questa può scadere. Questo è necessario, ad esempio, quando un client è condiviso fra pià utenti. Per questo se un utente non effettua richiesta DNS per un determinato intervallo di tempo qui definito la sua sessione scade e è richiesta una nuova autenticazione.

- Disable Login Redirection
Abilitando questa opzione, NxFilter non effettua la redirezione alla pagina di login. Tutti le richieste DNS provenienti da utenti non autorizzati verranno scartate. Questa opzione è particolarmente utile per proteggere il server da attacchi in caso di installazione con apertura su internet.

Config > Setup > Syslog

NxFilter supporta l'export dei log in verso server Syslog esterni. In questo modo è possibile creare un sistema di reporting personalizzato o monitorare tutto il logging in tempo reale.

- Syslog Host
L'indirizzo IP al quale inviare i dati Syslog.

- Syslog Port
Porta UDP dellhost di destinazione dell'export Syslog.

- Export Blocked Only
Con questa opzione NxFilter invierà al server Syslog solo i dati inerenti le richieste DNS bloccate.

- From Each Node
Come default, una configurazione NxFilter clusterizzata invia i dati Syslog solo attraverso il nodo master, abilitando questa opzione ogni nodo invia i propri dati.

- Enable Remote Logging
Abilita l'export Syslog.

Config > Setup > NetFlow

NxFilter supporta il controllo di banda. Questo è possibile tramite la ricezione dei dati NetFlow. Per maggiori dettagli leggere: Bandwidth control with NxFilter

- Router IP
L'indirizzo IP del sistema che invia i dati NetFlow a NxFilter.

- Listen Port
La porta UDP di ascolto del collettore NetFlow.

- Run Collector
Esegue il collettore NetFlow. Dopo aver cambiato questa opzione è necessario riavviare NxFilter.

Config > Setup > Misc

- Admin Domain
E' possibile accedere all'interfaccia di amministrazione utilizzando l'url impostata. Ad esempio, se viene utilizzata 'admin.nxfilter.org' come url è possibile accedere all'interfaccia di amministrazione digitando 'http://admin.nxfilter.org/admin' sulla barra indirizzi del browser.

* Questo setup è valido solo se viene usato NxFilter come DNS server del client che accede all'interfaccia. In caso contrario, sarà necessario registrare il nome relativo alla url di amministrazione sul DNS utilizzato.

- Bypass Microsoft Update
Abilitando questa opzione NxFilter non blocca gli update di Microsoft. Abilitando questa opzione vengono sostanzialmente bypassati i domini 'microsoft.com', 'windowsupdate.com' e i relativi sottodomini.

- Logging Retention Period
Mantenere i log di accesso può portare ad occupare molto disco, con questa impostazione è possibile impostare per quanto tempo NxFilter manterrà i dati prima della cancellazione.

- SSL Only to Admin GUI
Abilitando questa opzione verranno solo accettati accessi HTTPS all'interfaccia di amministrazione. Evetuali connessioni HTTP verranno redirette in HTTPS.

- Auto Backup
MxFilter esegue automaticamente (alle ore 1.00 AM di tutti i giorni) il backup della propria configurazione, i backup sono posizionati nella cartella '/nxfilter/backup'. Il nome dell'archivio di backup inizia con il prefisso 'auto-', ne vengono mantenute 30 copie.

- Agent Policy Update Period
NxFilter disponde di diversi agent per effettuare filtering e application control. Questi agenti eseguono periodicamente un refresh delle policies applicate, in questo campo è possibile impostare l'intervallo di aggiornamento.

Config > Admin

In questo campo è possibile cambiare il nome dell'amministratore e la sua password.

* 'Client Password' è dedicato al setup dell'agent di fitering remoto. E' utilizzato per accedere alla pagina di setup NxBlock.

* 'Report Password' è dedicato all'impostazione della password per l'accesso ai report e al logging (e relativi sottomenu).

Config > Alert

NxFilter è in grado di inviare email per blocchi o violazione di accesso. Se, ad esempio, si vuole inviare una eail di alert a 'admin@nxfilter.org' da 'alert200@gmail.com' ogni 15 minuti allora il setup sarà il seguente:

- Admin Email : admin @ nxfilter.org
- SMTP Host : smtp:gmail.com
- SMTP Host : 465
- SMTP SSL : on
- SMTP User : alert200
- SMTP Password : ********
- Alert Period : Every 15 minutes

* Abilitando questa opzione NxFilter invia anche email per altri incidenti. Gli indirizzi in 'CC' sono solo per il logging di blocchi recenti.

* E' possibile impostare le categorie per le quali essere avvisati in caso di blocco.

Config > Allowed IP

NxFilter ha restrizioni per l'accesso alle funzioni, all'interfaccia e alla schermata di login. Potrebbe essere necessario abilitare questa funzione quando NxFilter viene posizionato su un IP pubblico. In questa sezione si possono creare ACL con blacklist/whitelist.

Config > Backup

Con questa opzione è possibile creare e scaricare un file di backup della configurazione di NxFilter.

Config > Block Page

Questo è la sezione per impostare una pagina di blocco, di login o di accesso personalizzata. QUando si edita la pagina blocco è possibile usare le seguenti variabili, popolate automaticamente da NxFilter per avere maggiori dati.

- #{domain} : Dominio Bloccato
- #{reason} : Motivi del blocco
- #{user} : Username che ha effettuato login
- #{group} : Gruppo di appartenenza dell'utente loggato
- #{policy} : Policy applicata
- #{category} : Categoria di appartenenza del dominio bloccato

Config > Cluster

NxFilter prevede la funzione di clustering, è possibile promuovere NxFilter ad essere il nodo master o slave della configurazione. Dopo aver cambiato i valori relativi alle impostazioni cluster è necessario riavviare NxFilter affinchè vengano applicati.

- Vai all'indice -
GUI - DNS
NxFiler è fondamentalmente un DNS server con capacità di filtraggio, queste sono le impostazioni relative ai parametri di configurazione DNS.
DNS > Setup > DNS Setup

- Upstream DNS server
NxFilter funziona come un forwarding DNS. E' necessario pertanto avere almeno un DNS di upstream per NxFilter.

- Upstream DNS Query Timeout
Timeout delle query DNS verso il server DNS di upstream.

- Upstream DNS Load Balance
Opzione per bilanciamento di carico dei DNS di upstream.

- Response Cache Size
NxFilter ha una cache per i risultati delle query DNS. In generale più grande è la cache migliori saranno le performance. Di default la dimensione della cache è impostata a 200000 record, ed è più che sufficiente per la maggior parte dei casi.

- Use Persistent Cache
NxFilter può immagazzinare fino a 1 milione di risposte DNS sul proprio DB. Quando un numero di record ben dimensionato nella cache persistente la navigazione internet potrà continuare a funzionare anche in caso di un'outage a carico dei DNS esterni, gli utenti potranno utilizzare internet per molte risorse.

- Minimal Responses
E' possibile limitare l'invio dei soli record 'Answer' in una risposta alle query DNS e ignorare le sezioni 'Additional' e 'Authority' per ridurre i pacchetti DNS incrementando le performance del server.

DNS > Setup > Local DNS

- Local DNS Server
Se si ha un DNS locale per risolvere il dominio interno è possibile aggiungere in questo campo gli indirizzi IP dei server. E' possibile aggiungere pi indirizzi separati da una virgola.

- Local Domain
In questa sezione si possono inserire i domini (separati da una virgola) la cui risoluzione dei nomi è è effettuabile tramite i server sopra definiti.

* Non usare '*' o alcuna wildcard per i domini interni. La confifurazione include implicitamente i sottodomini.

- Local DNS Query Timeout
Timeout di una query DNS verso i DNS server locale.

- Local DNS Load Balance
Opzione per bilanciamento delle query DNS verso i DNS server locali.

- Use Local DNS
Abilita i DNS locali.

* Se si impostano dei DNS server locali per domini interni, tutte le query per i domini interni verranno bypassati per autenticaione, filtraggio e logs.

DNS > Setup > Misc

- Drop Hostname Without Domain
Quando viene usato NxFilter o NxCloud per l'utilizzo in configurazione clout non è necessario processare richieste contenenti nomi host senza domini.

- Drop PTR For Private IP
Scarta il reverse lookup DNS per indirizzi IP privati, questa opzione è necessaria quando si esegue NxFilter sul cloud.

DNS > Redirection

Redirizione da dominio a IP o da dominio a dominio è possibile con NxFilter, funziona come un record DNS custom.

DNS > Zone Transfer

In alcune situazioni è necessario importare una zona DNS da un altro server DNS. Una volta che è stata aggiunta l'opzione, NxFilter importa la zona DNS ogni minuto utilizzando IXFR protocol.

- Vai all'indice -
GUI - User & Group
In questa sezione è possibile creare o importare Utenti e Gruppi. NxFilter supporta l'import di utenti e gruppi da Active Directory, OpenLDAP e eDirectory.

Creare un utente

E' possibile creare un utente portandosi su 'User & Group > User'. NxFilter prevede 3 tipi di utenti:

1. IP user
Ha un IP associato o un range IP e l'autenticazione è fatta a livello di indirizzo IP.

2. Password user
Se viene impostata una password per un utente questo diventa un utente abilitato alla login. E' possibile usare login e password nella pagina di login di NxFilter.

3. LDAP user
Quando si importano gli utenti dai server LDAP o Active Directory questi diventano utenti LDAP. Questi possono usare le credenziali LDAP o Active Directory per accedere alla pagina di login di NxFilter.

Proprietà di un utente

- Password : La password per la login tramite pagina di login di NxFilter.
- Work-time Policy : Policy applicata in orari non specificati nella sezione free-time.
- Free-time Policy : Policy applicata durante il periodo free-time. E' possibile definire una policy free-time su 'Policy & Rule > Free Time'.
- Expiration Date : Data di scadenza per l'utenza.
- Login Token : Il tokenn usato per filtraggio remoto o autenticazione utente remoto. E' creato quando un utente viene creato o importato.

Testare un utente

Un utente importato da LDAP può avere diversi gruppi e policies applicate. Di conseguenza può essere difficile capire quale policy viene applicata. Per capire quale è la policy applicata all'utente è possiile usare il bottone 'TEST' nella lista utenti. La funzione effettua una verifica sull'utente in tempo reale.

* E' possibile usare questa funzionalità anche per vedere quanta quota residua ha l'utente o quanta banda è stata consumata o, ancora per resettare la quota e la banda per quell'utente.

Creare un gruppo

Dopo aver creato un gruppo su 'User & Group > Group' è possibile settare una policy ad esso dedicata editando le sue proprietà. E' anche possibile assegnare utenti a quel gruppo specifico.

Importare gli utenti da Active Directory, OpenLDAP e eDirectory

L'importazione da Active Directory è effettuata tramite la funzione presente su 'User & Group > Active Directory'. Ad esempio se hai un setup come il seguente:

- Domain controller : 192.168.0.100
- Domain : nxfilter.local
- Admin username : Administrator

Puoi creare un setup di importazione in base a un filtro di importazione come questo:

- Host : 192.168.0.100
- Admin : Administrator@nxfilter.local
- Password : your-password
- Base DN : cn=users,dc=nxfilter,dc=local
- Domain : nxfilter.local

Dopo aver definito il setup si può effettuare l'importazione premendo il bottone 'IMPORT'. E' possibile personalizzare una schedulazione per avere delle sincronizzazioni automatiche con Active Directory.

* E' possibile usare il bottone 'TEST' per verificare la corretta connessione fra NxFilter e il domain controller.

- Vai all'indice -
GUI - Policy & Rule
Con NxFilter è possibile avere policy di filtraggio multiple differenziate per utenti e gruppi.

Creare una policy

Quando NxFilter viene installato è presente una sola policy denominata 'Default'. Questa policy verrà applicata a tutti gli utenti fintanto che non viene effettuata una modifica al setup. Per applicare una differente policy a utenti o gruppi è necessario prima definirne una e abilitare l'autenticazione.

Modificare una policy

Dopo aver creato una policy è possibile modificare le sue proprietà.

- Punti di priorità (peso)
Se sono definite policies multiple per lo stesso utente quella col punteggio più alto sarà quella presa in considerazione e applicata.

- Abilitazione filtro
Disabilitando questa opzione verranno esclusi i filtri-blocchi della policy.

- Blocca tutto
Effettua un blocco completo della navigazione per questa policy.

- Blocca i domini Unclassified
Tutti i domini non riconosciuti (unclassified) vengono bloccati.

- Ad-remove
Blocca tutti i domini facenti parte della categoria 'Ads' sostituendoli con un blcoco bianco.

* E' una funzionalità molto utile per rimuovere le pubblicità e gli advert incapsulati senza mostrare la pagina di blocco di NxFilter.

- Max Domain Length
Ci sono malware che trasmettono messaggi all'interno della url. Solitamente url di questo tipo hanno lunghezze abnormi, la maggior parte dei domini hanno una url composta da un numero di caratteri inferiori a 30. E' possibile impostare n limite per la lunghezza della url da bloccare per questi casi. Per evitare di avere falsi positivi NxFilter non applica questa regola su 100000 domini appartenenti alla categoria dei domini riconosciuti e attendibili.

- Block Covert Channel
Alcuni malware o botnet usano il protocollo DNS per comunicare. Vengono usate query DNS e relative risposte per comunicare uno con l'altro. Abilitando questa opzione si effettua un filtro su queste chiamate.

- Block Mailer Worm
Normalmente le query MX non dovrebbero essere effettuate dai PC client. Abilitando questa opzione NxFilter analizza le richieste e se identifica delle query MX le blocca perchè probabilmente generate da un malware che tenta di inviare email.

- Allow 'A' Record Only
Questo è il modo più stringente per filtrare malware e botnets che sfruttano il DNS come protocollo di comnunicazione. Normalmente un utente comune non ha necessità di usare alcun record DNS particolare. Abilitando questa opzione NxFilter consente esclusivamente l'esecuzione di richieste per record di tipo A, AAAA, PTR, CNAME, tutti gli altri tipi di record verranno bloccati.

- Quota
NxFilter prevede la funzionalità di quota-time. E' possibile consentire la navigazione di certi siti solo per una determinata quantità di tempo, è possibile definire i minuti giornalieri assegnati in questo campo.

- Quota All
Applica la quota a tutti i domini inclusi quelli non classificati.

- Bandwidth Limit
E' possibile impostare un limite massimo di banda utilizzabile per utente (quota giornaliera).

Questa funzione richiede l'import di dati NetFlow dal router o dal firewall. E' possibile avere maggiori dettagli consultando questa sezione: Bandwidth control with NxFilter.

- Safe-search
Viene forzata l'abilitazione della ricerca sicura su Google, Bing, Yahoo and Youtube.

* L'ernforce di ricerca sicura su Yahoo richiede l'abilitazione del proxy locale sull'agent del client.

* Al momento cambiare l'opzione da 'Moderate' a 'Strict' apporta differenze evidenti solo su YouTube.

- Block-time
E' possibile settare un intervallo specifico di blocco della navigazione.

- Disable Application Control
Viene disabilitato l'application control dell'agent a livello di policy.

- Disable Proxy Filtering
Viene disabilitata la funzione di porxy dell'agent a livello di policy.

- Logging Only
Abilitando questa opzione viene effettuato il solo monitoraggio della navigazione senza abilitare blocchi.

- Blocked Categories
E' possibile bloccare specifiche categorie bloccando la navigazione verso le relative url contenute.

- Quotaed Categories
Abilitando alcune categorie come 'Quotaed' il sistema consentirà di accedere alle url in esse contenute per uno specifico ammontare di tempo (definito sopra). Una volta che la quota si è esaurita le successive richieste DNS dell'utente verranno bloccate.

Define a free-time

E' possibile definire una global free time su 'Policy & Rule > Free Time'. E' poi possibile scegliere la policy da assegnare durante gli intervalli orari sopra definiti.

* Se l'ora di inizio è maggiore di quella di fine il sistema di comporterà impostando l'ora di fine alle '24:00' e quella di inizio alle '00:00' dello stesso giorno.

* E' possibile creare specifiche policy di navigazione libera e di blocco assegnabili in maniera dedicata ai vari gruppi di navigazione.

- Vai all'indice -
GUI - Category
Su NxFilter sono presenti categorie di "sistema" e categorie "custom". Le categorie di sistema sono già definite dal DB di blacklist scelto. E' comunque possibile creare categorie personalizzate ("custom") e aggiungere domini in queste categorie in maniera da differenziare la navigazione secondo le proprie esigenze.

Attualmente NxFilter supporta diversi tipi di blacklist. Per avere maggiori dettagli fate riferimento questa sezione: Currently NxFilter supports several blacklist options. If you want to find out more, read Blacklist and domain categorization.

* Per includere sottodomini usare un asterisco.

    ex) *.nxfilter.org

* Per avere evidenza della categoria di assegnazione di un dominio utilizzare: 'Category > Domain Test'.

- Vai all'indice -
GUI - Whitelist
Questa funzionalità è di particolare interesse per fare whitelisting o blacklisting su dominio o parola chiave.

- Bypass Authentication : Utile se si vuole abilitare gli utenti ad accedere a determinate risorse senza autenticazione.

- Bypass Filtering : Utile per escludere i domini in elenco dalle funzionalità di filtering.

- Bypass Logging : E' utile per andare a escludere il logging su domini non di interesse (ad esempio alcuni domini interni).

- Admin Block : Blocca alcuni domini senza avere bisogno di definire una policy, questa policy va in overrude sull'opzione di bypass specificata sopra.

- Drop Packet : Le richieste fatte verso le risorse così categorizzate non vengono bloccate ne considerate ma semplicemente ignorate.

* E' possibile usare l'asterisco per includere i sottodomini.

    ex) *.nxfilter.org

- Vai all'indice -
FAQ
Queste sono le FAQ per NxFilter.

Posso bypassare NxFilter accedendo ai siti tramite il loro IP.

Molte persone pensano che il filtering via DNS sia inutile visto che sarebbe possibile accedere ai siti tramite il loro IP pubblico. In realtà è un'idea un pò troppo semplicistica e non vera, per come sono configurati molti siti funzionano tramite virtual host ovvero, dato lo stesso IP pubblico vengono pubblicati diversi siti. Per questo non è possibile accedere semplicemente usando l'IP.

Altra cosa da considerare è che la composizione delle pagine è fatta usando molteplici url nestate. Questo è vero in particolar modo per i grandi portali o siti di notizie, tutte le url contenute sono altri DNS da risolvere e la loro non corretta risoluzione porterebbe ad un caricamento non corretto della pagina nel migliore dei casi.

* Tramite la funzionalità di local proxy dell'agent NxFilter può bloccare richieste di url composte dal solo IP.

- Vai all'indice -

Il client non viene bloccato/sbloccato correttamente

Questo il più delle volte è dovuto alla cache DNS del sistema. Se si è su un sistema Windows è importante ricordare che sono presenti due tipi di cache DNS: una è quella del browser, l'altra quella del sistema operativo. Fintanto che queste non scadono eventuali cambi di policy potrebbero non funzionare. Entrambe le cache scadono automaticamente per forzarle si può operare come segue. Per il browser è sufficiente un riavvio.

Per effettuare la pulizia della cache DNS di Windows, si può dare il seguente comando una volta aperto un prompt comandi:

ipconfig /flushdns

Normalmente la cache DNS di Windows scade nell'arco di una giornata al massimo. Ovviamente questo dipende dal TTL che è impostato sul record DNS ma nella maggior parte dei casi il TTL è impostato a 86400 secondi (1 giorno). La cache dei browser normalmente prende pochi minuti per essere azzerata. In pratica considerando eventuali attività di blocco/sblocco non frequenti questa problematica non costituisce una casistica molto frequente.

- Vai all'indice -

Come posso forzare un utente ad essere filtrato da NxFilter?

Se hai un firewall sul network bloccare la risoluzione sulla upd/53 e tcp/53 consentendone il traffico solo verso NxFilter dovrebbe essere relativamente semplice. Se si usa poi un sistema in DHCP è abbastanza semplice rilasciare gli ip di NxFilter come DNS server. In questo modo NxFilter diventa il solo server DNS che gli utenti possono usare per poter navigare.

- Vai all'indice -

Come fa NxFilter a determinare quale policy adottare per l'utente?

E' possibile assegnare una policy direttamente all'utente. Se un utente appartiene ad un gruppo allora quest'ultima va in override su quella utente. Importando gli utenti da Active Directory però possono esserci casi di utenti che appartengono a gruppi multipli. In questo modo non è chiaro quale policy viene applicata all'utente.

Per risolvere questo problema, abbiamo introdotto il concetto di priorità (peso) sulle policies. Se ci sono gruppo molteplici e questi hanno differenti policies applicate, quella che ha la priorità più alta (peso maggiore) è quella che verrà applicata. Per capire quale è la policy applicata ad un utente utilizzare il bottone'TEST' su 'User & Group > User'.

- Vai all'indice -

Qual'è la maniera più veloce per bloccare 'facebook.com'?

Aggiungere '*.facebook.com' nella sezione 'Whitelist > Domain' e abilitare l'opzione 'Admin Block'.

- Vai all'indice -

Voglio bloccare 'facebook.com' solo per gli studenti.

E' necessario distinguere gli studenti su NxFilter abilitando innanzitutto l'autenticazione. A seguire abilitare il blocco sulla categoria 'Social Networking' nella policy quando si usa Jahaslist. A seguire assegnare la policy all'utente o al gruppo associato agli studenti.

- Vai all'indice -

Voglio permettere al reparto vendite di poter accedere a internet liberamente in pausa pranzo.

Create una utenza o un gruppo riservato al reparto vendite e definite una policy free-time nella sezione 'Policy & Rule > Free Time', a seguire assegnate la free time polcy più permissiva all'utente o al gruppo.

- Vai all'indice -

Come resetto la password di admin?

E' presente lo script '/nxfilter/bin/reset-pw.sh' che permette di resettare password la password di admin. Una volta eseguito lo script le login e password di admin saranno resettate al default: 'admin' e 'admin'. E' necessario che NxFilter sia in esecuzione affinchè lo script funzioni.

* E' presente anche uno script per resettare le ACL di restrizione all'interfaccia di amministrazione: '/nxfilter/bin/reset_acl.sh'.

- Vai all'indice -

Come posso bypassare il mio dominio locale?

Sulla sezione 'DNS > Setup' è possibile settare un DNS server locale e specificare un elenco di domini locali. Con questa configurazione qualsiasi query relativa a domini definiti come locali verrà inoltrata ai DNS locali bypassando autenticazione, filtraggio e logging.

- Vai all'indice -

Come posso abilitare il debug?

Se c'è qulche problema con NxFilter potrebbe essere utile riuscire ad analizzare in dettaglio i log. I log di sistema sono posizionati qui:'/nxfilter/log' directory, se tuttavia è necessario avere maggiori dettagli è possibile editare il file '/nxfilter/conf/log4j.properties' cambiando il livello di log da'INFO' a 'DEBUG', a seguire è necessario riavviare NxFilter.

- Vai all'indice -

Non visualizzo alcun nome utente sulla sezione 'Logging > Request'.

La prima cosa da verificare è quella di aver abilitato l'autentizaione nella sezione 'Config > Setup'. Per molti non è chiaro che è necessario abilitare questa opzione prima di implementare qualsiasi metodo di autenticazione.

- Vai all'indice -

Come posso limitare il porno nei ritorni delle ricerche su Google, Youtube ?

E' possibile forzare l'opzione safe-search su NxFilter, è presente come opzione nelle policies.

* L'enforce della safe-search su Yahoo richiede l'abilitazione del local proxy sull'agent che viene eseguito sul pc client.

* Cambiare la modalità da 'Moderate' a 'Strict' apporta differenze percepibili soo su Youtube.

- Vai all'indice -