Các câu hỏi thường gặp




CÁC CÂU HỎI THƯỜNG GẶP

– Bộ lọc NxFilter sẽ không hiệu quả nếu có thể truy nhập website qua địa chỉ IP?
– NxFilter dường như bị trễ khi thực hiển chặn/bỏ chặn.
– Làm thế nào để bắt buộc người dùng trong mạng phải sử dụng NxFilter?
– NxFilter quyết định chính sách cho người dùng thế nào?
– Làm thế nào để ngăn chặn facebook.com nhanh nhất?
– Tôi có thể chặn ‘facebook.com’ chỉ với các sinh viên?
– Tôi có thể thiết lập cho phép phòng bán hàng sử dụng Internet tự do trong thời gian ăn trưa?
– Làm thế nào để thay đổi cổng web của NxFilter?
– Tôi có thể lấy lại mật khẩu admin?
– Tôi có thể liên kết NxFilter với một địa chỉ IP riêng?
– Tôi có thể bỏ qua tên miền cục bộ?
– Tôi có thể sử dụng một từ khóa chính xác để tìm kiếm trên log?
– Vì sao tôi cần phải đăng nhập lại sau giờ nghỉ trưa?
– Tôi có thể sử dụng chứng thư số SSL riêng của mình?
– Làm thế nào để bật chế độ debug?
– Làm thế nào để ẩn cảnh báo SSL?
– Vì sao tôi không thấy bất kỳ tên người dùng nào trong ‘Logging > Request’?
– Làm thế nào để ta bỏ qua việc lưu log?
– Làm thế nào để thiết lập time zone?
– Vì sao trình duyệt của tôi bị khởi động lại sau khi NxClient khởi động?
– Làm thế nào để bắt buộc một người dùng đăng xuất?
– NxFilter stops working after ‘Queue full’ error.
– Tôi có thể ngăn chặn hiển thị kết quả khi thực hiển tìm kiếm các nội dung xấu trên Google, Youtube?
– Lỗi ‘Too many requests’ là gì?


FAQ

These are frequently asked questions about NxFilter.


Bộ lọc DNS sẽ không hiệu quả nếu có thể truy nhập website qua địa chỉ IP?

Có người hỏi rằng bộ lọc DNS sẽ dễ dàng bị vượt qua nếu người dùng sử dụng địa chỉ IP để truy cập trang web thay vì sử dụng tên miền. Điều này ngày nay không còn đúng nữa do đa phần các trang web ngày nay thường được đặt chung trên một máy chủ và chia sẻ cùng một địa chỉ IP và ta không thể truy cập trang web với địa chỉ IP được.

Chỉ có các trang/cổng thông tin điện tử lớn thường sẽ được sử dụng địa chỉ IP riêng, nhưng ngay cả với trường hợp này, trên trang/cổng thông tin điện tử đó cũng sẽ chứa rất nhiều URL mà cần phải phân giải, nếu sử dụng địa chỉ IP để truy nhập bạn cũng sẽ gặp các trang bị ngăn chặn.

* NxFilter có thể chặn các IP host trong các URL với các ứng dụng phần mềm proxy cục bộ của nó.

– Trở về –


NxFilter dường như bị trễ khi thực hiện chặn/bỏ chặn.

Điều này có nguyên nhân liên quan đến bộ đệm DNS trên hệ thống của bạn. Với hệ điều hành Windows sẽ có hai bộ đệm là bộ đệm DNS của trình duyệt hoặc bộ đệm DNS của hệ điều hành. Chính vì vậy các chính sách chặn lọc sẽ không được thực hiện cho đến khi các bộ nhớ đệm này được làm mới lại sau khi hết hạn. Nếu muốn các chính sách thay đổi được thực thi ngay thì ta phải tiến hành làm mới bộ đệm DNS, với trình duyệt thì ta tiến hành khởi động lại, với bộ nhớ đệm DNS của hệ điều hành thì ta sử dụng lệnh sau trong cửa sổ CMD (windows\system32\cmd.exe).

ipconfig /flushdns

Thông thường bộ nhớ đệm của trình duyệt sẽ được làm mới trong vài phút nhưng bộ nhớ của hệ điều hành thì thường kéo dài hơn (tối đa lên đến 1 ngày). Tuy vậy trong thực tế, ta không phải thực hiện chặn/bỏ chặn một tên miền nhiều lần một ngày vì vậy điều này không gây ra nhiều vấn đề.

– Trở về –


Làm thế nào để bắt buộc người dùng trong mạng phải sử dụng NxFilter?

Nếu bạn có sử dụng tường lửa, thì cách đơn giản nhất là thực hiện chặn toàn bộ gói tin UDP/53 và TCP/53 và chỉ chấp nhận cho các gói tin từ NxFilter ra Internet. Sau đó trong thiết lập DHCP, ta cấu hình NxFilter là máy chủ DNS cho toàn mạng nội bộ. Như vậy NxFilter trở thành DNS server duy nhất người dùng có thể sử dụng và việc trỏ đến NxFilter sẽ được thực hiện tự động.

– Trở về –


NxFilter quyết định chính sách cho người dùng thế nào?

Quản trị có thể thiết lập chính sách cho người dùng trực tiếp. Nếu người dùng nằm trong một nhóm thì sẽ tuân theo chính sách cho nhóm đó. Nhưng khi quản trị nhập các người dùng từ Active Directory thì khi đó nhiều người dùng có thể thuộc nhiều nhóm, do vậy không thể biết chính sách nào được áp dụng cho người dùng trong trường hợp này.

Để giải quyết vấn đề này, chúng tôi đưa vào một “Điểm ưu tiên thực hiện” trong một chính sách. Nếu có nhiều nhóm có các chính sách khác nhau thì chính sách nào có điểm ưu tiên cao hơn sẽ được áp dụng. Để xác định chính sách nào được áp dụng cho người dùng thì sử dụng nút “TEST” trong ‘User & Group > User’.

– Trở về –


Làm thế nào để ngăn chặn facebook.com nhanh nhất?

Thêm ‘*.facebook.com’ vào trong danh sách tại ‘Whitelist > Domain’ và chọn ‘Admin Block’.

– Trở về –


Tôi có thể chặn ‘facebook.com’ chỉ với các sinh viên?

Đầu tiên cần phải phân biệt được các sinh viên và xác thực các sinh viên này và cho vào nhóm Sinh viên. Tiếp theo thiết lập chính sách cho nhóm này với việc chặn theo nhóm “Social Networking” khi sử dụng Jahaslist. Khi đó các chinh sách sẽ được áp dụng cho người dùng hoặc nhóm người dùng là sinh viên.

– Trở về –


Tôi có thể thiết lập cho phép phòng bán hàng sử dụng Internet tự do trong thời gian ăn trưa?

Tạo một người dùng hoặc một nhóm người dùng cho phòng bán hàng và định nghĩa một free-time trong ‘Policy & Rule > Free Time’ và thiết lập chính sách cho người dùng hoặc nhóm người dùng theo nhóm này.

– Trở về –


Làm thế nào để thay đổi cổng web của NxFilter?

Bạn có thể thay đổi cổng HTTP/HTTPS trên NxFilter. Tuy nhiên khi thay đổi cổng HTTP thì bạn sẽ mất khả năng chuyển hướng trang bị chặn bởi vì khi NxFilter chuyển hướng người dùng trên HTTP thì sẽ cần thông tin lấy từ trình duyệt trên cổng TCP/80.

Để thay đổi cổng, bạn cần phải thay đổi hai tham số sau trên file ‘/nxfilter/conf/cfg.properties’.

http_port = 80
https_port = 443

Sau khi thay đổi cổng cần phải khởi động lại NxFilter.

– Trở về –


Tôi có thể lấy lại mật khẩu admin?

NxFilter có viết sẵn đoạn script để lấy lại mật khẩu admin tại file ‘/nxfilter/bin/reset-pw.sh’. Khi bạn chạy đoạn mã này, tên và mật khẩu mặc định sẽ được đặt lại là admin. Bạn cần phải chạy file này khi NxFilter đang làm việc.

* File ‘/nxfilter/bin/reset_acl.sh’ có chức năng thiết lập lại các hạn chế truy nhập giao diện đồ họa.

– Trở về –


Tôi có thể liên kết NxFilter với một địa chỉ IP riêng?

Bạn có thể liên kết NxFilter với một địa chỉ IP riêng để chăng chặn việc xung đột cổng. Bạn có thể liên kết NxFilter với một địa chỉ IP riêng sử dụng tham số ‘listen_ip’ trong file ‘/nxfilter/conf/cfg.properties’. Nếu bạn thiết lập địa chỉ IP là ‘0.0.0.0’ thì NxFilter sẽ nghe trên tất cả địa chỉ IP trên hệ thống của bạn, nhưng nếu bạn thiết lập đia chỉ IP riêng thì NxFilter sẽ chỉ nghe tại địa chỉ IP đó.

* Cần phải chú ý rằng, dù có liên kết NxFilter theo các địa chỉ riêng thì bạn cũng không thể chạy nhiều NxFilter trên cùng một máy bởi vì NxFilter cần phải liên kết đến một số cổng trên localhost cho các truyền thông nội bộ.

– Trở về –


Tôi có thể bỏ qua tên miền cục bộ?

Trong ‘DNS > Setup’, bạn có thể thiết lập máy chủ DNS và tên miền cục bộ. Với thiết lập này, nếu có các truy vấn DNS đến các tên miền cục bộ, NxFilter sẽ chuyển các truy vấn này đến các máy chủ DNS cục bộ và bỏ qua phần xác thực, lọc và lưu lại thông tin.

– Trở về –


Tôi có thể sử dụng một từ khóa chính xác để tìm kiếm trên log?

Tôi có thể sử dụng một từ khóa chính xác để tìm kiếm trên log?

Bạn có thể sử dụng ký tự ngoặc vuông để tìm kiếm trên log chính xác theo từ khóa.

ví dụ: [john], [192.168.0.1]

– Trở về –


Vì sao tôi cần phải đăng nhập lại sau giờ nghỉ trưa?

Phiên đăng nhập của bạn đã bị hết hạn nếu không có hoạt động truy vấn DNS nào từ máy tính cá nhân của bạn trong một khoảng thời gian nhất định. Bạn có thể tăng thời gian hết hạn này thông qua giá trị ‘Login Session TTL’ tại ‘Config > Setup’.

* Nếu bạn sử dụng đăng nhập một lần với Active Directory bạn có thể tránh được vấn đề này.

– Trở về –


Tôi có thể sử dụng chứng thư số SSL riêng của mình?

Chúng tôi sử dung Tomcat 7.x as để làm máy chủ web cho NxFilter. Nếu bạn muốn sử dụng chứng thư số SSL riêng sử dụng với Tomcat thì có hai thông số cần phải thiết lập tại file cấu hình của Tomcat. Một là ‘keystoreFile’ và một cái khác là ‘keystorePass’. Chúng tôi không có file cấu hình riêng cho Tomcat, file cấu hình được đặt tại’/nxfilter/conf/cfg.properties’.

keystore_file = conf/myown.keystore
keystore_pass = 123456

* Chi tiết về xây dựng file keystore, đọc tài liệu Tomcat.

– Trở về –


Làm thế nào để bật chế độ debug?

Khi có vấn đề bất thường xảy ra với NxFilter, khuyến nghị của chúng tôi là bạn tìm kiếm thông tin về sự số trong dữ liệu log. NxFilter lưu trữ các thông tin này trong thư mục ‘/nxfilter/log’. Nếu không có đủ thông tin thì bạn có thể bật chế độ debug trong file ‘/nxfilter/conf/log4j.properties’. Thay’INFO’ thành ‘DEBUG’ và khởi động lại NxFilter.

– Trở về –


Làm thế nào để ẩn cảnh báo SSL?

Khi một trình duyệt đang chuyển hướng HTTPS, thông điệp SSL sẽ hiện lên để cảnh báo người dùng nhằm ngăn chặn tấn công ‘Man in the Middle’, tuy vậy nhiều người muốn ẩn đi vì một số lý do riêng. Dù không thể hiển thị block-page trên https nhưng bạn có thể ẩn nó đi bằng việc thay đổi cổng của HTTPS của NxFilter. Nếu không sử dụng cổng HTTPS tiêu chuẩn, thì người dùng sẽ chỉ nhìn thấy thông điệp “Connection Error”

Để thay đổi cổng HTTPS, bạn cần phải thay đổi dòng lệnh https_port = 443 bằng cổng mới trong file ‘/nxfilter/conf/cfg.properties’.

Hiện tại, chúng tôi có thể ẩn thông điệp SSL đi, nhưng nhiều người dùng có báo cáo về việc trình duyệt trở nên chậm hơn và vì trình duyệt khi đó sẽ phải đợi timeout với một vài website được nhúng vào. Để thực hiện ẩn thông điệp SSL ta làm như sau: mở file cấu hình của NxFilter và thiết lập:

hide_ssl_warning = 1

Khi bạn thiết lập chức năng này trong file cấu hình, timeout sẽ được thực hiện ngay lập tức.

* Nếu bạn muốn truy nhập giao diện quản trị đồ họa và trang đăng nhập sử dụng giao thức https thì chức năng hide_ssl_warning cần phải bật và bạn cần phải đổi giá trị cổng ‘https_port’ thành một cổng không tiêu chuẩn. Ngoài ra, HTTPS request sẽ bị quá hạn ngay lập tức.
* Với trình duyệt Chrome, chúng ta có thể hiển thị block-page trên giao thức HTTPS với NxForward.

– Trở về –


Vì sao tôi không thấy bất kỳ tên người dùng nào trong ‘Logging > Request’?

Vì sao tôi không thấy bất kỳ tên người dùng nào trong ‘Logging > Request’?

Điều đầu tiên bạn cần kiểm tra là chức năng ‘Enable Authentication’ trong ‘Config > Setup’. Chúng ta cần phải bật chức năng xác thực trước khi thực hiện bất kỳ phương pháp xác thực nào.

– Trở về –


Làm thế nào để ta bỏ qua việc lưu log?

Cho các mục đích nội bộ, thời gian lưu tối thiểu của log là 3 ngày. Tuy vậy ta vẫn có thể bỏ qua việc lưu log thông qua thiết lập chức năng ‘syslog_only’ trong file ‘/nxfilter/conf/cfg.properties’. Nếu bạn thiết lập chức năng này mà không có nơi xuất Syslog thì NxFilter sẽ bỏ qua việc ghi log vì nó không biết gửi log đi đâu.

Để bật chức năng ‘syslog_only’, ta thêm dòng lệnh

syslog_only = 1

trong file ‘/nxfilter/conf/cfg.properties’.

* Ta vấn có thể thu thập dữ liệu tính toán nhưng các dữ liệu được lưu trữ sẽ không được lưu trữ trong cơ sở dữ liệu Lưu lượng của bạn.

– Trở về –


Làm thế nào để thiết lập time zone?

Một vài người dùng báo cáo rằng họ có các timezone khác nhau trong NxFilter từ hệ thống. Điều này xảy ra với hầu hết hệ điều hành CentOS. Khi bạn thiết lập time zone cho NxFilter một cách thủ công, Bạn có thể thực hiện điều này tại mức JVM. Trong file ‘/nxfilter/bin/startup.sh’ thiết lập tham số sau

-Duser.timezone=’timezone của bạn” ví dụ Europe/Rome.

– Trở về –


Vì sao trình duyệt của tôi bị khởi động lại sau khi NxClient khởi động?

NxClient là một proxy cục bộ vì thế nó cần phải cập nhật thiết lập của proxy hệ thống để chuyển hướng lưu lượng HTTP/HTTPS từ trình duyệt của bạn đến chính nó, vì thế sau khi cập nhật thiết lập proxy, trình duyệt cần phải khởi động lại để sử dụng các thay đổi.

– Trở về –

Làm thế nào để bắt buộc một người dùng đăng xuất?

Chúng tôi không cung cấp giao diện đồ họa để phục vụ điều này. Trong hầu hết các trường hợp, quản trị muốn một người dùng đăng xuất khi họ không sử dụng máy tính của mình và bắt buộc người dùng đăng nhập đăng nhập khi sử dụng. Để làm điều này, bạn có thể đăng xuất tên miền có thể cấu hình tại ‘Config > Setup’. Ngoài ra quản trị cũng có thể viết một đoạn lệnh cho IE để vào tên miền này và kích hoạt nó khi người dùng đăng xuất từ hệ thống của họ.

@echo off
start http://logout.example.com

Dòng lệnh sử dụng nslookup đến tên miền logout.signal.nxfilter.org có thể xóa thông tin liên quan giữa địa chỉ IP và phiên đăng nhập.

@echo off
nslookup logout.signal.nxfilter.org.

– Trở về –


NxFilter dừng làm việc sau lỗi ‘Queue full’.

Bạn sẽ nhận được lỗi ‘Queue full’ khi bạn mất kết nối Internet hoặc kết nối với máy chủ upstream của bạn. Nó xảy ra khi NxFilter không thể xử lý các yêu cầu DNS trong hàng đợi của nó. Mặc dù NxFilter sẽ tiếp tục công việc của mình sau khi kết nối được khôi phục, nhưng trên một số hệ thống nó không tiếp tục công việc sau khi kết nối khôi phục.

Giải pháp cho vấn đề này là khởi động lại NxFilter, bạn cũng có thể thiết lập chức năng khởi động lại NxFilter khi xảy ra lỗi ‘Queue full’. Với tùy chọn ‘queue_full_exit =1’ trong file ‘/nxfilter/conf/cfg.properties’, chức năng này sẽ được bật lên.

queue_full_exit = 1

Trong trường hợp ứng dụng NxFilter bị thoát ra khi xảy ra lỗi ‘Queue full’ thì bạn có thể khởi động lại nó. Ví dụ, nếu bạn đang sử dụng hệ thống Linux, bạn có thể sử dụng tùy chọn respawn của Upstart hoặc Systemd để khởi động lại NxFilter.

* Với phiên bản từ 3.4.6, bạn có thể thiết lập để nhận email cảnh báo khi xảy ra lỗi ‘Queue full’.

– Trở về –


Tôi có thể ngăn chặn hiển thị kết quả khi thực hiện tìm kiếm các nội dung xấu trên Google, Youtube?

Bạn có thể bắt buộc thực thi tìm kiếm an toàn từ NxFilter, Bạn có thể thiết lập chức năng này trong chính sách của NxFilter.

* Thực thi tìm kiếm an toàn với yahoo sẽ đòi hỏi một tác nhân cục bộ chạy trong hệ thống của người dùng.

* Chuyển lựa chọn giữa ‘Moderate’ và ‘Strict’ sẽ chỉ có tác động với Youtube.

– Trở về –


Lỗi ‘Too many requests’ là gì?

Chúng tôi sử dụng số lần phân giải tên miền trên mỗi người dùng để tính toán về bản quyền, hiện tại bản quyền 3000 truy vấn/ngày là phù hợp với đa phần người dùng. Tuy vậy trước khi mua bản quyền, chúng tôi khuyến nghị bạn nên kiểm tra số lượng truy vấn trong ‘Report > Usage’ với thời gian 30 ngày trước đó.

– Trở về –