फायरजोन GUI सँग Hailbytes VPN डिप्लोय गर्नका लागि चरण-दर-चरण निर्देशनहरू यहाँ प्रदान गरिएको छ।
प्रशासक: सर्भर उदाहरण सेटअप सीधा यो भाग सम्बन्धित छ।
प्रयोगकर्ता गाइडहरू: उपयोगी कागजातहरू जसले तपाईंलाई फायरजोन कसरी प्रयोग गर्ने र सामान्य समस्याहरू समाधान गर्ने भनेर सिकाउन सक्छ। सर्भर सफलतापूर्वक तैनात गरिसकेपछि, यो खण्डलाई सन्दर्भ गर्नुहोस्।
स्प्लिट टनेलिङ: विशिष्ट आईपी दायराहरूमा मात्र ट्राफिक पठाउन VPN प्रयोग गर्नुहोस्।
श्वेतसूची: श्वेतसूची प्रयोग गर्नको लागि VPN सर्भरको स्थिर IP ठेगाना सेट गर्नुहोस्।
रिभर्स टनेलहरू: रिभर्स टनेलहरू प्रयोग गरेर धेरै साथीहरू बीच सुरुङहरू सिर्जना गर्नुहोस्।
यदि तपाईंलाई Hailbytes VPN स्थापना, अनुकूलन, वा प्रयोग गर्न सहयोग चाहिन्छ भने हामी तपाईंलाई सहयोग गर्न पाउँदा खुसी छौं।
प्रयोगकर्ताहरूले उपकरण कन्फिगरेसन फाइलहरू उत्पादन वा डाउनलोड गर्न सक्नु अघि, फायरजोनलाई प्रमाणीकरण आवश्यक हुन कन्फिगर गर्न सकिन्छ। प्रयोगकर्ताहरूले आफ्नो VPN जडान सक्रिय राख्नको लागि आवधिक रूपमा पुन: प्रमाणीकरण गर्न आवश्यक पर्दछ।
यद्यपि फायरजोनको पूर्वनिर्धारित लगइन विधि स्थानीय इमेल र पासवर्ड हो, यसलाई कुनै पनि मानकीकृत OpenID जडान (OIDC) पहिचान प्रदायकसँग पनि एकीकृत गर्न सकिन्छ। प्रयोगकर्ताहरूले अब आफ्नो Okta, Google, Azure AD, वा निजी पहिचान प्रदायक प्रमाणहरू प्रयोग गरेर Firezone मा लग इन गर्न सक्षम छन्।
एक जेनेरिक OIDC प्रदायक एकीकृत गर्नुहोस्
OIDC प्रदायक प्रयोग गरेर SSO लाई अनुमति दिन फायरजोन द्वारा आवश्यक कन्फिगरेसन प्यारामिटरहरू तलको उदाहरणमा देखाइएको छ। /etc/firezone/firezone.rb मा, तपाइँ कन्फिगरेसन फाइल फेला पार्न सक्नुहुन्छ। फायरजोन-सीटीएल पुन: कन्फिगर र फायरजोन-सीटीएल पुन: सुरु गर्नुहोस् अनुप्रयोग अद्यावधिक गर्न र परिवर्तनहरूको प्रभाव लिन चलाउनुहोस्।
# यो SSO पहिचान प्रदायकको रूपमा Google र Okta प्रयोग गर्ने एउटा उदाहरण हो।
# धेरै OIDC कन्फिगहरू समान फायरजोन उदाहरणमा थप्न सकिन्छ।
# फायरजोनले प्रयोगकर्ताको VPN असक्षम गर्न सक्छ यदि प्रयास गर्दा कुनै त्रुटि पत्ता लाग्यो
# तिनीहरूको पहुँच_टोकन ताजा गर्न। यो Google, Okta, र का लागि काम गर्न प्रमाणित गरिएको छ
# Azure SSO र प्रयोगकर्ताको VPN हटाइएमा स्वचालित रूपमा विच्छेदन गर्न प्रयोग गरिन्छ
# OIDC प्रदायकबाट। यदि तपाईंको OIDC प्रदायकले यसलाई असक्षम पार्नुहोस्
# मा पहुँच टोकनहरू ताजा गर्ने समस्याहरू छन् किनकि यसले अप्रत्याशित रूपमा अवरोध गर्न सक्छ
# प्रयोगकर्ताको VPN सत्र।
पूर्वनिर्धारित['firezone']['authentication']['disable_vpn_on_oidc_error'] = false
पूर्वनिर्धारित['firezone']['authentication']['oidc'] = {
गूगल: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
प्रतिक्रिया_प्रकार: "कोड",
दायरा: "ओपनिड इमेल प्रोफाइल",
लेबल: "गुगल"
},
अक्ता: {
Discovery_document_uri: "https:// /.well-known/openid-configuration",
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
प्रतिक्रिया_प्रकार: "कोड",
स्कोप: "ओपनिड इमेल प्रोफाइल offline_access",
लेबल: "ओक्ता"
}
}
एकीकरणको लागि निम्न कन्फिगरेसन सेटिङहरू आवश्यक छन्:
प्रत्येक OIDC प्रदायकको लागि कन्फिगर गरिएको प्रदायकको साइन-इन URL मा रिडिरेक्ट गर्नको लागि सम्बन्धित सुन्दर URL सिर्जना गरिएको छ। माथिको OIDC कन्फिगरेसनको उदाहरणका लागि, URL हरू हुन्:
प्रदायकहरू हामीसँग कागजातहरू छन्:
यदि तपाईंको पहिचान प्रदायकसँग सामान्य OIDC कनेक्टर छ र माथि सूचीबद्ध छैन भने, आवश्यक कन्फिगरेसन सेटिङहरू कसरी पुन: प्राप्त गर्ने बारे जानकारीको लागि कृपया उनीहरूको कागजातमा जानुहोस्।
सेटिङ्हरू/सुरक्षा अन्तर्गतको सेटिङलाई आवधिक पुन: प्रमाणीकरण आवश्यक हुन परिवर्तन गर्न सकिन्छ। यो आवश्यकता लागू गर्न प्रयोग गर्न सकिन्छ कि प्रयोगकर्ताहरूले आफ्नो VPN सत्र जारी राख्नको लागि नियमित रूपमा फायरजोनमा प्रवेश गर्छन्।
सत्र लम्बाइ एक घण्टा र नब्बे दिन बीच हुन कन्फिगर गर्न सकिन्छ। यसलाई कहिल्यै होइन मा सेट गरेर, तपाइँ कुनै पनि समयमा VPN सत्रहरू सक्षम गर्न सक्नुहुन्छ। यो मापदण्ड हो।
प्रयोगकर्ताले आफ्नो VPN सत्र समाप्त गर्नुपर्छ र म्याद सकिएको VPN सत्र पुन: प्रमाणीकरण गर्नको लागि फायरजोन पोर्टलमा लग इन गर्नुपर्छ (तैयापनको समयमा निर्दिष्ट URL)।
यहाँ पाइने सटीक क्लाइन्ट निर्देशनहरू पालना गरेर तपाइँ तपाइँको सत्र पुन: प्रमाणीकरण गर्न सक्नुहुन्छ।
VPN जडानको स्थिति
प्रयोगकर्ता पृष्ठको VPN जडान तालिका स्तम्भले प्रयोगकर्ताको जडान स्थिति देखाउँछ। यी जडान स्थितिहरू छन्:
सक्षम - जडान सक्षम छ।
असक्षम - एक प्रशासक वा OIDC रिफ्रेस विफलता द्वारा जडान असक्षम गरिएको छ।
म्याद सकिएको - प्रमाणीकरणको म्याद सकिएको वा प्रयोगकर्ताले पहिलो पटक साइन इन नगरेको कारण जडान असक्षम गरिएको छ।
सामान्य OIDC कनेक्टर मार्फत, Firezone ले Google Workspace र Cloud Identity मार्फत एकल साइन-अन (SSO) सक्षम पार्छ। यो गाइडले तल सूचीबद्ध कन्फिगरेसन प्यारामिटरहरू कसरी प्राप्त गर्ने भनेर देखाउनेछ, जुन एकीकरणको लागि आवश्यक छ:
1. OAuth कन्फिग स्क्रिन
यदि तपाईंले नयाँ OAuth ग्राहक ID सिर्जना गरिरहनुभएको यो पहिलो पटक हो भने, तपाईंलाई सहमति स्क्रिन कन्फिगर गर्न सोधिनेछ।
* प्रयोगकर्ता प्रकारको लागि आन्तरिक चयन गर्नुहोस्। यसले तपाईंको Google Workspace सङ्गठनका प्रयोगकर्ताहरूसँग सम्बन्धित खाताहरूले मात्र यन्त्र कन्फिगहरू सिर्जना गर्न सक्ने कुरा सुनिश्चित गर्छ। बाह्य चयन नगर्नुहोस् जबसम्म तपाईं यन्त्र कन्फिगहरू सिर्जना गर्न वैध Google खाता भएका कसैलाई सक्षम गर्न चाहनुहुन्न।
एप जानकारी स्क्रिनमा:
2. OAuth ग्राहक आईडीहरू सिर्जना गर्नुहोस्
यो खण्ड Google को आफ्नै कागजातमा आधारित छ OAuth 2.0 सेट अप गर्दै.
गुगल क्लाउड कन्सोलमा जानुहोस् प्रमाणहरू पृष्ठ पृष्ठमा क्लिक गर्नुहोस् + प्रमाणपत्रहरू सिर्जना गर्नुहोस् र OAuth ग्राहक ID चयन गर्नुहोस्।
OAuth ग्राहक ID सिर्जना स्क्रिनमा:
OAuth ग्राहक ID सिर्जना गरेपछि, तपाईंलाई ग्राहक आईडी र ग्राहक गोप्य दिइनेछ। यी अर्को चरणमा पुननिर्देशित URI सँगसँगै प्रयोग गरिनेछ।
सम्पादन गर्नुहोस् /etc/firezone/firezone.rb तलका विकल्पहरू समावेश गर्न:
# Google लाई SSO पहिचान प्रदायकको रूपमा प्रयोग गर्दै
पूर्वनिर्धारित['firezone']['authentication']['oidc'] = {
गूगल: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
प्रतिक्रिया_प्रकार: "कोड",
दायरा: "ओपनिड इमेल प्रोफाइल",
लेबल: "गुगल"
}
}
फायरजोन-सीटीएल पुन: कन्फिगर र फायरजोन-सीटीएल पुन: सुरु गर्नुहोस् अनुप्रयोग अद्यावधिक गर्नुहोस्। तपाईंले अब रूट फायरजोन URL मा Google बटनसँग साइन इन गर्नु पर्छ।
Firezone ले Okta सँग एकल साइन-अन (SSO) लाई सुविधा दिन जेनेरिक OIDC कनेक्टर प्रयोग गर्दछ। यो ट्यूटोरियलले तपाइँलाई तल सूचीबद्ध कन्फिगरेसन प्यारामिटरहरू कसरी प्राप्त गर्ने भनेर देखाउनेछ, जुन एकीकरणको लागि आवश्यक छ:
गाइडको यो खण्डमा आधारित छ Okta को कागजात.
Admin Console मा, Applications > Applications मा जानुहोस् र Create App Integration मा क्लिक गर्नुहोस्। OICD मा साइन-इन विधि सेट गर्नुहोस् - ओपनआईडी जडान र वेब अनुप्रयोगमा अनुप्रयोग प्रकार।
यी सेटिङहरू कन्फिगर गर्नुहोस्:
सेटिङ्हरू सुरक्षित भएपछि, तपाईंलाई ग्राहक आईडी, ग्राहक गोप्य र ओक्टा डोमेन दिइनेछ। यी 3 मानहरू फायरजोन कन्फिगर गर्न चरण 2 मा प्रयोग गरिनेछ।
सम्पादन गर्नुहोस् /etc/firezone/firezone.rb तलका विकल्पहरू समावेश गर्न। तपाईको खोज_कागजात_url हुनेछ /.well-known/openid-configuration तपाईको अन्त्यमा जोडिएको छ okta_domain.
# SSO पहिचान प्रदायकको रूपमा Okta प्रयोग गर्दै
पूर्वनिर्धारित['firezone']['authentication']['oidc'] = {
अक्ता: {
Discovery_document_uri: "https:// /.well-known/openid-configuration",
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
प्रतिक्रिया_प्रकार: "कोड",
स्कोप: "ओपनिड इमेल प्रोफाइल offline_access",
लेबल: "ओक्ता"
}
}
फायरजोन-सीटीएल पुन: कन्फिगर र फायरजोन-सीटीएल पुन: सुरु गर्नुहोस् अनुप्रयोग अद्यावधिक गर्नुहोस्। तपाईंले अब रूट फायरजोन URL मा Okta बटनको साथ साइन इन गर्नु पर्छ।
फायरजोन एप पहुँच गर्न सक्ने प्रयोगकर्ताहरूलाई Okta द्वारा प्रतिबन्धित गर्न सकिन्छ। यो पूरा गर्न आफ्नो Okta Admin Console को Firezone एप एकीकरणको असाइनमेन्ट पृष्ठमा जानुहोस्।
जेनेरिक OIDC कनेक्टर मार्फत, Firezone ले Azure Active Directory मार्फत एकल साइन-अन (SSO) सक्षम पार्छ। यो म्यानुअलले तल सूचीबद्ध कन्फिगरेसन प्यारामिटरहरू कसरी प्राप्त गर्ने भनेर देखाउनेछ, जुन एकीकरणको लागि आवश्यक छ:
यो गाइड बाट लिइएको हो Azure सक्रिय निर्देशिका कागजात.
Azure पोर्टलको Azure सक्रिय निर्देशिका पृष्ठमा जानुहोस्। व्यवस्थापन मेनु विकल्प छनोट गर्नुहोस्, नयाँ दर्ता चयन गर्नुहोस्, त्यसपछि तलको जानकारी प्रदान गरेर दर्ता गर्नुहोस्:
दर्ता गरेपछि, अनुप्रयोगको विवरण दृश्य खोल्नुहोस् र प्रतिलिपि गर्नुहोस् आवेदन (ग्राहक) आईडी। यो client_id मान हुनेछ। अर्को, पुन: प्राप्त गर्न अन्तिम बिन्दु मेनु खोल्नुहोस् OpenID जडान मेटाडेटा कागजात। यो डिस्कवरी_डकुमेन्ट_उरी मान हुनेछ।
व्यवस्थापन मेनु अन्तर्गत प्रमाणपत्र र रहस्य विकल्प क्लिक गरेर नयाँ ग्राहक गोप्य सिर्जना गर्नुहोस्। ग्राहक गोप्य प्रतिलिपि; ग्राहक गोप्य मूल्य यो हुनेछ।
अन्तमा, व्यवस्थापन मेनु अन्तर्गत API अनुमति लिङ्क चयन गर्नुहोस्, क्लिक गर्नुहोस् अनुमति थप्नुहोस्, र चयन गर्नुहोस् माइक्रोसफ्ट ग्राफ, थप ईमेल, ओपनिड, अफलाइन_पहुँच र प्रोफाइल आवश्यक अनुमतिहरूको लागि।
सम्पादन गर्नुहोस् /etc/firezone/firezone.rb तलका विकल्पहरू समावेश गर्न:
# SSO पहिचान प्रदायकको रूपमा Azure सक्रिय निर्देशिका प्रयोग गर्दै
पूर्वनिर्धारित['firezone']['authentication']['oidc'] = {
नीला: {
discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
प्रतिक्रिया_प्रकार: "कोड",
स्कोप: "ओपनिड इमेल प्रोफाइल offline_access",
लेबल: "Azure"
}
}
फायरजोन-सीटीएल पुन: कन्फिगर र फायरजोन-सीटीएल पुन: सुरु गर्नुहोस् अनुप्रयोग अद्यावधिक गर्नुहोस्। तपाईंले अब रूट फायरजोन URL मा Azure बटनसँग साइन इन गर्नु पर्छ।
Azure AD ले प्रशासकहरूलाई तपाइँको कम्पनी भित्र प्रयोगकर्ताहरूको विशिष्ट समूहमा एप पहुँच सीमित गर्न सक्षम बनाउँछ। यो कसरी गर्ने भन्ने बारे थप जानकारी Microsoft को कागजातमा फेला पार्न सकिन्छ।
शेफ ओम्निबस फायरजोनद्वारा रिलीज प्याकेजिङ, प्रक्रिया पर्यवेक्षण, लग व्यवस्थापन, र थप कार्यहरू व्यवस्थापन गर्न प्रयोग गरिन्छ।
रुबी कोडले प्राथमिक कन्फिगरेसन फाइल बनाउँछ, जुन /etc/firezone/firezone.rb मा अवस्थित छ। यस फाइलमा परिमार्जन गरेपछि sudo firezone-ctl पुन: कन्फिगर पुन: सुरु गर्नाले शेफले परिवर्तनहरू पहिचान गर्न र तिनीहरूलाई हालको अपरेटिङ सिस्टममा लागू गर्न दिन्छ।
कन्फिगरेसन चर र तिनीहरूको विवरणहरूको पूर्ण सूचीको लागि कन्फिगरेसन फाइल सन्दर्भ हेर्नुहोस्।
तपाईंको फायरजोन उदाहरण मार्फत व्यवस्थित गर्न सकिन्छ firezone-ctl आदेश, तल देखाइएको रूपमा। धेरैजसो उपकमाण्डहरूलाई उपसर्गको साथ चाहिन्छ sudo.
root@demo:~# firezone-ctl
omnibus-ctl: आदेश (उपकमाण्ड)
सामान्य आदेशहरू:
सफा गर्नुहोस्
*सबै* फायरजोन डाटा मेटाउनुहोस्, र स्क्र्याचबाट सुरु गर्नुहोस्।
सिर्जना-वा-रिसेट-व्यवस्थापक
पूर्वनिर्धारित ['firezone']['admin_email'] द्वारा निर्दिष्ट गरिएको इमेलको साथ प्रशासकको लागि पासवर्ड रिसेट गर्दछ वा यदि इमेल अवस्थित छैन भने नयाँ प्रशासक सिर्जना गर्दछ।
मदत
यो मद्दत सन्देश छाप्नुहोस्।
पुन: कन्फिगर गर्नुहोस्
अनुप्रयोग पुन: कन्फिगर गर्नुहोस्।
रिसेट-नेटवर्क
nftables, WireGuard इन्टरफेस, र राउटिङ तालिकालाई Firezone पूर्वनिर्धारितहरूमा रिसेट गर्दछ।
show-config
पुन: कन्फिगर द्वारा उत्पन्न हुने कन्फिगरेसन देखाउनुहोस्।
टुटे-डाउन नेटवर्क
WireGuard इन्टरफेस र firezone nftables तालिका हटाउँछ।
बल-प्रमाणपत्र-नविकरण
प्रमाणपत्रको म्याद सकिएको छैन भने पनि अब नविकरण गर्न बाध्य पार्नुहोस्।
रोक-प्रमाणपत्र-नविकरण
प्रमाणपत्र नवीकरण गर्ने cronjob हटाउँछ।
विस्थापित गर्न
सबै प्रक्रियाहरू मार्नुहोस् र प्रक्रिया पर्यवेक्षकको स्थापना रद्द गर्नुहोस् (डेटा सुरक्षित गरिनेछ)।
संस्करण
Firezone को हालको संस्करण प्रदर्शन गर्नुहोस्
सेवा व्यवस्थापन आदेशहरू:
graceful- मार्ने
एक आकर्षक स्टप प्रयास गर्नुहोस्, त्यसपछि सम्पूर्ण प्रक्रिया समूह SIGKILL।
hup
सेवाहरूलाई HUP पठाउनुहोस्।
int
सेवाहरूलाई INT पठाउनुहोस्।
मार्न
सेवाहरू एक हत्या पठाउनुहोस्।
एक पटक
यदि तिनीहरू तल छन् भने सेवाहरू सुरु गर्नुहोस्। यदि तिनीहरू रोकिएमा तिनीहरूलाई पुन: सुरु नगर्नुहोस्।
फेरि शुरु गर्नु
यदि तिनीहरू चलिरहेका छन् भने सेवाहरू बन्द गर्नुहोस्, त्यसपछि तिनीहरूलाई फेरि सुरु गर्नुहोस्।
सेवा सूची
सबै सेवाहरू सूचीबद्ध गर्नुहोस् (सक्षम सेवाहरू * सँग देखा पर्दछ।)
सुरु
यदि तिनीहरू बन्द छन् भने सेवाहरू सुरु गर्नुहोस्, र यदि तिनीहरू रोकिएमा तिनीहरूलाई पुन: सुरु गर्नुहोस्।
स्थिति
सबै सेवाहरूको स्थिति देखाउनुहोस्।
रोक
सेवाहरू रोक्नुहोस्, र तिनीहरूलाई पुन: सुरु नगर्नुहोस्।
tail
सबै सक्षम सेवाहरूको सेवा लगहरू हेर्नुहोस्।
अवधि
सेवाहरूलाई TERM पठाउनुहोस्।
usr1
सेवाहरू USR1 पठाउनुहोस्।
usr2
सेवाहरू USR2 पठाउनुहोस्।
Firezone अपग्रेड गर्नु अघि सबै VPN सत्रहरू समाप्त गरिनुपर्छ, जसले वेब UI बन्द गर्न पनि आह्वान गर्दछ। अपग्रेडको क्रममा केहि गडबड भएको घटनामा, हामी मर्मतका लागि एक घण्टा छुट्याउने सल्लाह दिन्छौं।
फायरजोन बृद्धि गर्न, निम्न कार्यहरू लिनुहोस्:
यदि कुनै समस्या उत्पन्न हुन्छ भने, कृपया हामीलाई थाहा दिनुहोस् समर्थन टिकट पेश गर्दै।
०.५.० मा केही ब्रेकिङ परिवर्तनहरू र कन्फिगरेसन परिमार्जनहरू छन् जसलाई सम्बोधन गर्नुपर्छ। तल थप पत्ता लगाउनुहोस्।
Nginx ले अब संस्करण 0.5.0 को रूपमा बल SSL र गैर-SSL पोर्ट प्यारामिटरहरूलाई समर्थन गर्दैन। फायरजोनलाई काम गर्नको लागि SSL चाहिने भएकोले, हामी पूर्वनिर्धारित['firezone']['nginx']['enabled'] = false सेट गरेर Nginx सेवा बन्डल हटाउन सल्लाह दिन्छौं र यसको सट्टा पोर्ट 13000 मा रहेको Phoenix एपमा तपाईंको रिभर्स प्रोक्सी निर्देशित गर्छौं (पूर्वनिर्धारित रूपमा। )।
0.5.0 ले बन्डल गरिएको Nginx सेवाको साथ स्वचालित रूपमा SSL प्रमाणपत्रहरू नवीकरण गर्न ACME प्रोटोकल समर्थन प्रस्तुत गर्दछ। सक्षम गर्न,
डुप्लिकेट गन्तव्यहरूसँग नियमहरू थप्ने सम्भावना फायरजोन 0.5.0 मा गएको छ। हाम्रो माइग्रेसन स्क्रिप्टले ०.५.० मा अपग्रेड गर्दा यी अवस्थाहरूलाई स्वचालित रूपमा पहिचान गर्नेछ र गन्तव्यमा अन्य नियमहरू समावेश भएका नियमहरू मात्र राख्नेछ। यदि यो ठीक छ भने तपाईले गर्न आवश्यक केहि छैन।
अन्यथा, अपग्रेड गर्नु अघि, हामी यी परिस्थितिहरूबाट छुटकारा पाउनको लागि तपाईंको नियमहरू परिवर्तन गर्न सल्लाह दिन्छौं।
Firezone 0.5.0 ले पुरानो शैलीको Okta र Google SSO कन्फिगरेसनलाई नयाँ, थप लचिलो OIDC-आधारित कन्फिगरेसनको पक्षमा समर्थन हटाउँछ।
यदि तपाईंसँग पूर्वनिर्धारित['firezone']['authentication']['okta'] वा पूर्वनिर्धारित['firezone']['authentication']['google'] कुञ्जीहरू अन्तर्गत कुनै कन्फिगरेसन छ भने, तपाईंले तिनीहरूलाई हाम्रो OIDC मा स्थानान्तरण गर्न आवश्यक छ। तलको गाइड प्रयोग गरेर आधारित कन्फिगरेसन।
अवस्थित Google OAuth कन्फिगरेसन
/etc/firezone/firezone.rb मा अवस्थित तपाईंको कन्फिगरेसन फाइलबाट पुरानो Google OAuth कन्फिगरेसनहरू समावेश गर्ने यी लाइनहरू हटाउनुहोस्।
पूर्वनिर्धारित['firezone']['authentication']['google']['enabled']
पूर्वनिर्धारित['firezone']['authentication']['google']['client_id']
पूर्वनिर्धारित['firezone']['authentication']['google']['client_secret']
पूर्वनिर्धारित['firezone']['authentication']['google']['redirect_uri']
त्यसपछि, यहाँ प्रक्रियाहरू पछ्याएर Google लाई OIDC प्रदायकको रूपमा कन्फिगर गर्नुहोस्।
(लिङ्क निर्देशनहरू प्रदान गर्नुहोस्)<<<<<<<<<<<<<<<<
अवस्थित Google OAuth कन्फिगर गर्नुहोस्
पुरानो Okta OAuth कन्फिगरेसनहरू समावेश भएका यी लाइनहरूलाई तपाईंको कन्फिगरेसन फाइलबाट हटाउनुहोस् /etc/firezone/firezone.rb
पूर्वनिर्धारित['firezone']['authentication']['okta']['enabled']
पूर्वनिर्धारित['firezone']['authentication']['okta']['client_id']
पूर्वनिर्धारित['firezone']['authentication']['okta']['client_secret']
पूर्वनिर्धारित['firezone']['authentication']['okta']['site']
त्यसपछि, यहाँ प्रक्रियाहरू पछ्याएर Okta लाई OIDC प्रदायकको रूपमा कन्फिगर गर्नुहोस्।
तपाईंको हालको सेटअप र संस्करणमा निर्भर गर्दै, तलका निर्देशनहरू पालना गर्नुहोस्:
यदि तपाइँसँग पहिले नै OIDC एकीकरण छ भने:
केही OIDC प्रदायकहरूका लागि, >= ०.३.१६ मा स्तरवृद्धि गर्दा अफलाइन पहुँच स्कोपको लागि रिफ्रेस टोकन प्राप्त गर्न आवश्यक हुन्छ। यसो गरेर, यो सुनिश्चित गरिन्छ कि फायरजोन पहिचान प्रदायकसँग अपडेट हुन्छ र प्रयोगकर्ता मेटिएपछि VPN जडान बन्द हुन्छ। फायरजोनको पहिलेको पुनरावृत्तिमा यो सुविधाको अभाव थियो। केही उदाहरणहरूमा, तपाईंको पहिचान प्रदायकबाट मेटाइएका प्रयोगकर्ताहरू अझै पनि VPN मा जडान हुन सक्छन्।
अफलाइन पहुँच स्कोप समर्थन गर्ने OIDC प्रदायकहरूको लागि तपाईंको OIDC कन्फिगरेसनको स्कोप प्यारामिटरमा अफलाइन पहुँच समावेश गर्न आवश्यक छ। /etc/firezone/firezone.rb मा अवस्थित फायरजोन कन्फिगरेसन फाइलमा परिवर्तनहरू लागू गर्न Firezone-ctl पुन: कन्फिगरेसन कार्यान्वयन हुनुपर्छ।
तपाईंको OIDC प्रदायकद्वारा प्रमाणीकरण गरिएका प्रयोगकर्ताहरूका लागि, तपाईंले वेब UI को प्रयोगकर्ता विवरण पृष्ठमा OIDC जडानहरू हेडिङ देख्नुहुनेछ यदि Firezone सफलतापूर्वक रिफ्रेस टोकन पुन: प्राप्त गर्न सक्षम छ।
यदि यसले काम गर्दैन भने, तपाईंले आफ्नो अवस्थित OAuth एप मेटाउन र OIDC सेटअप चरणहरू दोहोर्याउन आवश्यक छ। नयाँ एप एकीकरण सिर्जना गर्नुहोस् .
मसँग अवस्थित OAuth एकीकरण छ
0.3.11 भन्दा पहिले, फायरजोनले पूर्व-कन्फिगर गरिएको OAuth2 प्रदायकहरू प्रयोग गर्यो।
निर्देशनहरू पालना गर्नुहोस् यहाँ OIDC मा माइग्रेट गर्न।
मैले पहिचान प्रदायकलाई एकीकृत गरेको छैन
कुनै कारबाही आवश्यक छैन।
तपाईं निर्देशनहरू पालना गर्न सक्नुहुन्छ यहाँ OIDC प्रदायक मार्फत SSO सक्षम गर्न।
यसको स्थानमा, पूर्वनिर्धारित['firezone']['external url'] ले कन्फिगरेसन विकल्प पूर्वनिर्धारित['firezone']['fqdn'] लाई प्रतिस्थापन गरेको छ।
यसलाई तपाइँको Firezone अनलाइन पोर्टलको URL मा सेट गर्नुहोस् जुन सामान्य जनताको लागि पहुँचयोग्य छ। यदि अपरिभाषित छोडियो भने यो पूर्वनिर्धारित रूपमा https:// र तपाईंको सर्भरको FQDN मा हुनेछ।
कन्फिगरेसन फाइल /etc/firezone/firezone.rb मा अवस्थित छ। कन्फिगरेसन चर र तिनीहरूको विवरणहरूको पूर्ण सूचीको लागि कन्फिगरेसन फाइल सन्दर्भ हेर्नुहोस्।
फायरजोनले संस्करण ०.३.० को रूपमा फायरजोन सर्भरमा उपकरण निजी कुञ्जीहरू राख्दैन।
फायरजोन वेब UI ले तपाईंलाई यी कन्फिगरेसनहरू पुन: डाउनलोड गर्न वा हेर्न अनुमति दिँदैन, तर कुनै पनि अवस्थित यन्त्रहरूले यसरी नै सञ्चालन गरिरहनुपर्छ।
यदि तपाइँ Firezone 0.1.x बाट अपग्रेड गर्दै हुनुहुन्छ भने, त्यहाँ केहि कन्फिगरेसन फाइल परिवर्तनहरू छन् जुन म्यानुअल रूपमा सम्बोधन गर्नुपर्दछ।
तपाईको /etc/firezone/firezone.rb फाइलमा आवश्यक परिमार्जन गर्नको लागि, रूटको रूपमा तलका आदेशहरू चलाउनुहोस्।
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
firezone-ctl पुन: कन्फिगर
firezone-ctl पुन: सुरु गर्नुहोस्
फायरजोन लगहरू जाँच गर्नु कुनै पनि समस्याहरूको लागि बुद्धिमानी पहिलो चरण हो जुन हुन सक्छ।
फायरजोन लगहरू हेर्न sudo firezone-ctl टेल चलाउनुहोस्।
Firezone सँग जडान समस्याहरूको बहुमत असंगत iptables वा nftables नियमहरू द्वारा ल्याइएको हो। तपाईंले प्रभावमा रहेका कुनै पनि नियमहरू फायरजोन नियमहरूसँग टकराव गर्दैनन् भनी सुनिश्चित गर्नुपर्छ।
यदि तपाइँ तपाइँको WireGuard सुरुङ सक्रिय गर्दा तपाइँको इन्टरनेट जडान बिग्रन्छ भने FORWARD चेनले तपाइँको WireGuard क्लाइन्टहरूबाट तपाइँ फायरजोन मार्फत दिन चाहने स्थानहरूमा प्याकेटहरू अनुमति दिन्छ भन्ने कुरा सुनिश्चित गर्नुहोस्।
यदि तपाइँ पूर्वनिर्धारित राउटिंग नीतिलाई अनुमति दिइएको छ भनी सुनिश्चित गरेर ufw प्रयोग गर्दै हुनुहुन्छ भने यो प्राप्त गर्न सकिन्छ:
ubuntu@fz:~$ sudo ufw पूर्वनिर्धारित अनुमति राउट
पूर्वनिर्धारित मार्ग नीति 'अनुमति' मा परिवर्तन
(तदनुसार आफ्नो नियम अद्यावधिक गर्न निश्चित हुनुहोस्)
A यूएफडब्ल्यू सामान्य फायरजोन सर्भरको स्थिति यस्तो देखिन सक्छ:
ubuntu@fz:~$ sudo ufw स्थिति वर्बोज
स्थिति: सक्रिय
लगिङ: अन (कम)
पूर्वनिर्धारित: अस्वीकार (आगमन), अनुमति (आउटगोइंग), अनुमति (राउटेड)
नयाँ प्रोफाइलहरू: छोड्नुहोस्
बाट कार्य गर्न
—————
22/tcp जहाँ पनि अनुमति दिनुहोस्
80/tcp जहाँ पनि अनुमति दिनुहोस्
443/tcp जहाँ पनि अनुमति दिनुहोस्
51820/udp जहाँ पनि अनुमति दिनुहोस्
22/tcp (v6) जहाँ पनि अनुमति दिनुहोस् (v6)
80/tcp (v6) जहाँ पनि अनुमति दिनुहोस् (v6)
443/tcp (v6) जहाँ पनि अनुमति दिनुहोस् (v6)
51820/udp (v6) Allow in anywhere (v6)
हामी अत्यन्तै संवेदनशील र मिशन-महत्वपूर्ण उत्पादन डिप्लोइमेन्टहरूको लागि वेब इन्टरफेसमा पहुँच सीमित गर्न सल्लाह दिन्छौं, जसरी तल व्याख्या गरिएको छ।
सेवा | पूर्वनिर्धारित पोर्ट | ठेगाना सुन्नुहोस् | विवरण |
निजिनक्स | 80, 443 | सबै | फायरजोन प्रशासित गर्न र प्रमाणीकरणको सुविधाका लागि सार्वजनिक HTTP(S) पोर्ट। |
ताररक्षक | 51820 | सबै | VPN सत्रहरूको लागि प्रयोग गरिएको सार्वजनिक WireGuard पोर्ट। (UDP) |
postgresql | 15432 | 127.0.0.1 | बन्डल गरिएको Postgresql सर्भरको लागि स्थानीय-मात्र पोर्ट प्रयोग गरियो। |
फिनिक्स | 13000 | 127.0.0.1 | अपस्ट्रिम इलिक्सिर एप सर्भर द्वारा प्रयोग गरिएको स्थानीय मात्र पोर्ट। |
हामी तपाईंलाई Firezone को सार्वजनिक रूपमा खुलासा वेब UI (पूर्वनिर्धारित पोर्टहरू 443/tcp र 80/tcp द्वारा) मा पहुँच प्रतिबन्ध गर्ने बारे सोच्न सल्लाह दिन्छौं र यसको सट्टा उत्पादन र सार्वजनिक-फेसिङ डिप्लोइमेन्टहरूको लागि फायरजोन प्रबन्ध गर्न WireGuard टनेल प्रयोग गर्नुहोस् जहाँ एकल प्रशासकको जिम्मेवारी हुनेछ। अन्त प्रयोगकर्ताहरूलाई उपकरण कन्फिगरेसनहरू सिर्जना र वितरण गर्ने।
उदाहरणका लागि, यदि प्रशासकले यन्त्र कन्फिगरेसन सिर्जना गर्यो र स्थानीय WireGuard ठेगाना 10.3.2.2 सँग सुरुङ सिर्जना गर्यो भने, निम्न ufw कन्फिगरेसनले प्रशासकलाई पूर्वनिर्धारित 10.3.2.1 प्रयोग गरी सर्भरको wg-firezone इन्टरफेसमा फायरजोन वेब UI पहुँच गर्न सक्षम पार्नेछ। सुरुङ ठेगाना:
root@demo: ~# ufw स्थिति वर्बोज
स्थिति: सक्रिय
लगिङ: अन (कम)
पूर्वनिर्धारित: अस्वीकार (आगमन), अनुमति (आउटगोइंग), अनुमति (राउटेड)
नयाँ प्रोफाइलहरू: छोड्नुहोस्
बाट कार्य गर्न
—————
22/tcp जहाँ पनि अनुमति दिनुहोस्
51820/udp जहाँ पनि अनुमति दिनुहोस्
10.3.2.2 मा जहाँ पनि अनुमति दिनुहोस्
22/tcp (v6) जहाँ पनि अनुमति दिनुहोस् (v6)
51820/udp (v6) Allow in anywhere (v6)
यो मात्र छोड्ने हो 22/tcp सर्भर व्यवस्थापन गर्न SSH पहुँचको लागि खुलासा (वैकल्पिक), र 51820/udp WireGuard सुरुङहरू स्थापना गर्न खुला।
फायरजोनले Postgresql सर्भर र मिल्दो बन्डल गर्दछ psql उपयोगिता जुन स्थानीय शेलबाट यसरी प्रयोग गर्न सकिन्छ:
/opt/firezone/embedded/bin/psql \
-यू फायरजोन \
-d फायरजोन \
-h लोकलहोस्ट \
-p 15432 \
-c "SQL_STATEMENT"
यो डिबगिंग उद्देश्यका लागि उपयोगी हुन सक्छ।
सामान्य कार्यहरू:
सबै प्रयोगकर्ताहरू सूचीबद्ध गर्दै:
/opt/firezone/embedded/bin/psql \
-यू फायरजोन \
-d फायरजोन \
-h लोकलहोस्ट \
-p 15432 \
-c "प्रयोगकर्ताहरूबाट चयन गर्नुहोस्;"
सबै उपकरणहरू सूचीबद्ध गर्दै:
/opt/firezone/embedded/bin/psql \
-यू फायरजोन \
-d फायरजोन \
-h लोकलहोस्ट \
-p 15432 \
-c "उपकरणहरूबाट चयन गर्नुहोस्;"
प्रयोगकर्ता भूमिका परिवर्तन गर्नुहोस्:
भूमिकालाई 'प्रशासक' वा 'अनप्रिभिलेज्ड' मा सेट गर्नुहोस्:
/opt/firezone/embedded/bin/psql \
-यू फायरजोन \
-d फायरजोन \
-h लोकलहोस्ट \
-p 15432 \
-c "प्रयोगकर्ताहरूलाई अपडेट गर्नुहोस् भूमिका सेट गर्नुहोस् = 'प्रशासक' जहाँ इमेल = 'user@example.com';"
डाटाबेस जगेडा गर्दै:
यसबाहेक, समावेश pg डम्प कार्यक्रम हो, जुन डाटाबेसको नियमित ब्याकअपहरू लिन प्रयोग गर्न सकिन्छ। सामान्य SQL क्वेरी ढाँचामा डाटाबेसको प्रतिलिपि डम्प गर्न निम्न कोड कार्यान्वयन गर्नुहोस् (/path/to/backup.sql लाई स्थानमा SQL फाइल सिर्जना गर्नुपर्छ)
/opt/firezone/embedded/bin/pg_dump \
-यू फायरजोन \
-d फायरजोन \
-h लोकलहोस्ट \
-p 15432 > /path/to/backup.sql
फायरजोन सफलतापूर्वक तैनात गरिसकेपछि, तपाइँले प्रयोगकर्ताहरूलाई तपाइँको नेटवर्कमा पहुँच प्रदान गर्न थप्नु पर्छ। वेब UI यो गर्न प्रयोग गरिन्छ।
/ प्रयोगकर्ताहरू अन्तर्गत "प्रयोगकर्ता थप्नुहोस्" बटन चयन गरेर, तपाइँ प्रयोगकर्ता थप्न सक्नुहुन्छ। तपाईले प्रयोगकर्तालाई इमेल ठेगाना र पासवर्ड प्रदान गर्न आवश्यक हुनेछ। तपाईँको संगठनमा प्रयोगकर्ताहरूलाई स्वचालित रूपमा पहुँच गर्न अनुमति दिनको लागि, Firezone ले एक पहिचान प्रदायकसँग इन्टरफेस र सिंक पनि गर्न सक्छ। थप विवरणहरू उपलब्ध छन् प्रमाणित गर्नुहोस्। < प्रमाणीकरणमा लिङ्क थप्नुहोस्
हामी प्रयोगकर्ताहरूलाई उनीहरूको आफ्नै यन्त्र कन्फिगरेसनहरू सिर्जना गर्न अनुरोध गर्न सल्लाह दिन्छौं ताकि निजी कुञ्जी उनीहरूलाई मात्र देख्न सकियोस्। प्रयोगकर्ताहरूले निर्देशनहरू पछ्याएर आफ्नै उपकरण कन्फिगरेसनहरू उत्पन्न गर्न सक्छन् ग्राहक निर्देशनहरू पृष्ठ।
सबै प्रयोगकर्ता उपकरण कन्फिगरेसनहरू फायरजोन प्रशासकहरूद्वारा सिर्जना गर्न सकिन्छ। /users मा अवस्थित प्रयोगकर्ता प्रोफाइल पृष्ठमा, यो पूरा गर्न "उपकरण थप्नुहोस्" विकल्प चयन गर्नुहोस्।
[स्क्रिनसट घुसाउनुहोस्]
तपाईंले यन्त्र प्रोफाइल सिर्जना गरेपछि प्रयोगकर्तालाई WireGuard कन्फिगरेसन फाइल इमेल गर्न सक्नुहुन्छ।
प्रयोगकर्ता र उपकरणहरू लिङ्क गरिएका छन्। कसरी प्रयोगकर्ता थप्ने बारे थप विवरणहरूको लागि, हेर्नुहोस् प्रयोगकर्ताहरू थप्नुहोस्।
कर्नेलको नेटफिल्टर प्रणालीको प्रयोगद्वारा, फायरजोनले DROP वा ACCEPT प्याकेटहरू निर्दिष्ट गर्न इग्रेस फिल्टरिङ क्षमताहरूलाई सक्षम बनाउँछ। सबै यातायात सामान्य रूपमा अनुमति छ।
IPv4 र IPv6 CIDR र IP ठेगानाहरू क्रमशः Allowlist र Denylist मार्फत समर्थित छन्। तपाईले प्रयोगकर्तालाई नियम थप्दा त्यसलाई स्कोप गर्न रोज्न सक्नुहुन्छ, जुन नियमलाई प्रयोगकर्ताका सबै यन्त्रहरूमा लागू हुन्छ।
स्थापना र कन्फिगर गर्नुहोस्
नेटिभ WireGuard क्लाइन्ट प्रयोग गरेर VPN जडान स्थापना गर्न, यो गाइडलाई सन्दर्भ गर्नुहोस्।
यहाँ अवस्थित आधिकारिक WireGuard ग्राहकहरू Firezone उपयुक्त छन्:
माथि उल्लेख नगरिएका OS प्रणालीहरूका लागि आधिकारिक WireGuard वेबसाइट https://www.wireguard.com/install/ मा जानुहोस्।
या त तपाईंको फायरजोन प्रशासक वा आफैले फायरजोन पोर्टल प्रयोग गरेर यन्त्र कन्फिगरेसन फाइल उत्पन्न गर्न सक्नुहुन्छ।
तपाईंको फायरजोन प्रशासकले यन्त्र कन्फिगरेसन फाइल स्व-उत्पन्न गर्न प्रदान गरेको URL मा जानुहोस्। तपाइँको फर्म को लागी एक अद्वितीय URL हुनेछ; यस अवस्थामा, यो https://instance-id.yourfirezone.com हो।
Firezone Okta SSO मा लग इन गर्नुहोस्
[स्क्रिनसट घुसाउनुहोस्]
Conf फाइल खोलेर WireGuard क्लाइन्टमा आयात गर्नुहोस्। सक्रिय स्विच फ्लिप गरेर, तपाइँ VPN सत्र सुरु गर्न सक्नुहुन्छ।
[स्क्रिनसट घुसाउनुहोस्]
यदि तपाइँको नेटवर्क प्रशासकले तपाइँको VPN जडान सक्रिय राख्न पुनरावर्ती प्रमाणीकरण अनिवार्य गरेको छ भने तलका निर्देशनहरू पालना गर्नुहोस्।
तपाईंलाई चाहिन्छ:
फायरजोन पोर्टलको URL: जडानको लागि आफ्नो नेटवर्क प्रशासकलाई सोध्नुहोस्।
तपाईंको नेटवर्क प्रशासकले तपाईंको लगइन र पासवर्ड प्रस्ताव गर्न सक्षम हुनुपर्छ। फायरजोन साइटले तपाइँलाई तपाइँको रोजगारदाताले प्रयोग गर्ने एकल साइन-अन सेवा (जस्तै गुगल वा ओक्टा) प्रयोग गरेर लग इन गर्न प्रोम्प्ट गर्नेछ।
[स्क्रिनसट घुसाउनुहोस्]
फायरजोन पोर्टलको URL मा जानुहोस् र तपाईंको नेटवर्क प्रशासकले प्रदान गरेको प्रमाणहरू प्रयोग गरेर लग इन गर्नुहोस्। यदि तपाइँ पहिले नै साइन इन हुनुहुन्छ भने, फेरि साइन इन गर्नु अघि पुन: प्रमाणीकरण बटन क्लिक गर्नुहोस्।
[स्क्रिनसट घुसाउनुहोस्]
[स्क्रिनसट घुसाउनुहोस्]
लिनक्स उपकरणहरूमा नेटवर्क प्रबन्धक CLI प्रयोग गरेर WireGuard कन्फिगरेसन प्रोफाइल आयात गर्न, यी निर्देशनहरू पालना गर्नुहोस् (nmcli)।
यदि प्रोफाइलमा IPv6 समर्थन सक्षम छ भने, नेटवर्क प्रबन्धक GUI प्रयोग गरेर कन्फिगरेसन फाइल आयात गर्ने प्रयास गर्दा निम्न त्रुटिसँग असफल हुन सक्छ:
ipv6.method: विधि "स्वतः" WireGuard को लागि समर्थित छैन
WireGuard प्रयोगकर्तास्पेस उपयोगिताहरू स्थापना गर्न आवश्यक छ। यो लिनक्स वितरणका लागि वायरगार्ड वा वायरगार्ड-उपकरण भनिने प्याकेज हुनेछ।
Ubuntu/Debian को लागि:
sudo apt wireguard स्थापना गर्नुहोस्
फेडोरा प्रयोग गर्न:
sudo dnf wireguard-उपकरणहरू स्थापना गर्नुहोस्
आर्क लिनक्स:
sudo pacman -S वायरगार्ड-उपकरणहरू
माथि उल्लेख नगरिएका वितरणहरूको लागि आधिकारिक WireGuard वेबसाइट https://www.wireguard.com/install/ मा जानुहोस्।
या त तपाईंको फायरजोन प्रशासक वा स्व-पुस्ताले फायरजोन पोर्टल प्रयोग गरेर यन्त्र कन्फिगरेसन फाइल उत्पन्न गर्न सक्छ।
तपाईंको फायरजोन प्रशासकले यन्त्र कन्फिगरेसन फाइल स्व-उत्पन्न गर्न प्रदान गरेको URL मा जानुहोस्। तपाइँको फर्म को लागी एक अद्वितीय URL हुनेछ; यस अवस्थामा, यो https://instance-id.yourfirezone.com हो।
[स्क्रिनसट घुसाउनुहोस्]
nmcli प्रयोग गरेर आपूर्ति कन्फिगरेसन फाइल आयात गर्नुहोस्:
sudo nmcli जडान आयात प्रकार wireguard फाइल /path/to/configuration.conf
कन्फिगरेसन फाइलको नाम WireGuard जडान/इन्टरफेससँग मेल खान्छ। आयात पछि, जडान आवश्यक भएमा पुन: नामाकरण गर्न सकिन्छ:
nmcli जडान परिमार्जन [पुरानो नाम] connection.id [नयाँ नाम]
आदेश रेखा मार्फत, निम्न रूपमा VPN जडान गर्नुहोस्:
nmcli जडान अप [vpn नाम]
विच्छेदन गर्न:
nmcli जडान तल [vpn नाम]
लागू नेटवर्क प्रबन्धक एप्लेट GUI प्रयोग गर्दा जडान व्यवस्थापन गर्न पनि प्रयोग गर्न सकिन्छ।
स्वत: जडान विकल्पको लागि "हो" चयन गरेर, VPN जडान स्वचालित रूपमा जडान गर्न कन्फिगर गर्न सकिन्छ:
nmcli जडान परिमार्जन [vpn नाम] जडान। <<<<<<<<<<<<<<<<<<<
स्वतः जडान हो
स्वचालित जडान असक्षम गर्न यसलाई फिर्ता no मा सेट गर्नुहोस्:
nmcli जडान परिमार्जन [vpn नाम] जडान।
स्वत: जडान नम्बर
MFA सक्रिय गर्न फायरजोन पोर्टलको /प्रयोगकर्ता खाता/रेजिस्टर mfa पृष्ठमा जानुहोस्। QR कोड सिर्जना गरिसकेपछि स्क्यान गर्न आफ्नो प्रमाणक एप प्रयोग गर्नुहोस्, त्यसपछि छ-अङ्कको कोड प्रविष्ट गर्नुहोस्।
यदि तपाईंले आफ्नो प्रमाणक एप गलत ठाउँमा राख्नुभयो भने आफ्नो खाताको पहुँच जानकारी रिसेट गर्न आफ्नो प्रशासकलाई सम्पर्क गर्नुहोस्।
यो ट्यूटोरियलले तपाईंलाई फायरजोनसँग WireGuard को स्प्लिट टनेलिङ सुविधा सेटअप गर्ने प्रक्रियामा लैजान्छ ताकि VPN सर्भर मार्फत विशिष्ट IP दायराहरूमा मात्र ट्राफिक पठाइन्छ।
आईपी दायराहरू जसको लागि क्लाइन्टले नेटवर्क ट्राफिकलाई रूट गर्नेछ / सेटिङ्स/डिफल्ट पृष्ठमा अवस्थित अनुमति दिइएको आईपी फिल्डमा सेट गरिएको छ। Firezone द्वारा उत्पादित नयाँ सिर्जना गरिएको WireGuard टनेल कन्फिगरेसनहरू मात्र यस क्षेत्रमा परिवर्तनहरूद्वारा प्रभावित हुनेछन्।
[स्क्रिनसट घुसाउनुहोस्]
पूर्वनिर्धारित मान 0.0.0.0/0, ::/0 हो, जसले ग्राहकबाट VPN सर्भरमा सबै नेटवर्क ट्राफिकहरू रुट गर्छ।
यस क्षेत्रमा मानहरूको उदाहरणहरू समावेश छन्:
0.0.0.0/0, ::/0 - सबै नेटवर्क ट्राफिक VPN सर्भरमा रूट गरिनेछ।
192.0.2.3/32 - एकल IP ठेगानामा मात्र ट्राफिक VPN सर्भरमा रुट गरिनेछ।
3.5.140.0/22 - 3.5.140.1 - 3.5.143.254 दायरामा आईपीहरूमा मात्र ट्राफिक VPN सर्भरमा रुट गरिनेछ। यस उदाहरणमा, ap-northeast-2 AWS क्षेत्रको लागि CIDR दायरा प्रयोग गरिएको थियो।
फायरजोनले प्याकेट कहाँ रुट गर्ने भनेर निर्धारण गर्दा सबैभन्दा सटीक मार्गसँग सम्बन्धित इग्रेस इन्टरफेस चयन गर्दछ।
प्रयोगकर्ताहरूले कन्फिगरेसन फाइलहरू पुन: उत्पन्न गर्नुपर्छ र तिनीहरूलाई नयाँ स्प्लिट टनेल कन्फिगरेसनसँग अवस्थित प्रयोगकर्ता उपकरणहरू अद्यावधिक गर्नको लागि तिनीहरूको नेटिभ WireGuard क्लाइन्टमा थप्नुपर्छ।
निर्देशनहरूको लागि, हेर्नुहोस् उपकरण थप्नुहोस्. <<<<<<<<<<< लिङ्क थप्नुहोस्
यो म्यानुअलले रिलेको रूपमा फायरजोन प्रयोग गरेर दुई यन्त्रहरूलाई कसरी लिङ्क गर्ने भनेर प्रदर्शन गर्नेछ। एक सामान्य प्रयोग केस NAT वा फायरवाल द्वारा सुरक्षित गरिएको सर्भर, कन्टेनर, वा मेसिन पहुँच गर्न प्रशासकलाई सक्षम पार्नु हो।
यो दृष्टान्तले एक सीधा परिदृश्य देखाउँछ जसमा उपकरण A र B ले सुरुङ निर्माण गर्दछ।
[फायरजोन आर्किटेक्चरल चित्र घुसाउनुहोस्]
/users/[user_id]/new_device मा नेभिगेट गरेर यन्त्र A र यन्त्र B सिर्जना गरेर सुरु गर्नुहोस्। प्रत्येक यन्त्रको सेटिङहरूमा, निम्न प्यारामिटरहरू तल सूचीबद्ध मानहरूमा सेट गरिएको छ भनी सुनिश्चित गर्नुहोस्। यन्त्र कन्फिगरेसन सिर्जना गर्दा तपाइँ उपकरण सेटिङहरू सेट गर्न सक्नुहुन्छ (उपकरणहरू थप्नुहोस् हेर्नुहोस्)। यदि तपाइँ अवस्थित उपकरणमा सेटिङहरू अद्यावधिक गर्न आवश्यक छ भने, तपाइँ नयाँ उपकरण कन्फिगरेसन उत्पन्न गरेर त्यसो गर्न सक्नुहुन्छ।
ध्यान दिनुहोस् कि सबै यन्त्रहरूमा /सेटिङ्/डिफल्ट पृष्ठ हुन्छ जहाँ PersistentKeepalive कन्फिगर गर्न सकिन्छ।
अनुमति प्राप्त आईपीहरू = १०.३.२.२/३२
यो यन्त्र B को IP को IP वा दायरा हो
PersistentKeepalive = 25
यदि यन्त्र NAT पछाडि छ भने, यसले उपकरणले सुरुङलाई जीवित राख्न र WireGuard इन्टरफेसबाट प्याकेटहरू प्राप्त गर्न जारी राख्न सक्षम छ भनी सुनिश्चित गर्दछ। सामान्यतया 25 को मान पर्याप्त हुन्छ, तर तपाईंले आफ्नो वातावरणको आधारमा यो मान घटाउनु पर्ने हुन सक्छ।
अनुमति प्राप्त आईपीहरू = १०.३.२.२/३२
यो यन्त्र A को IP को IP वा दायरा हो
PersistentKeepalive = 25
यो उदाहरणले एउटा अवस्था देखाउँछ जसमा यन्त्र A ले D मार्फत यन्त्र B सँग दुवै दिशामा सञ्चार गर्न सक्छ। यो सेटअपले विभिन्न नेटवर्कहरूमा असंख्य स्रोतहरू (सर्भरहरू, कन्टेनरहरू, वा मेसिनहरू) पहुँच गर्ने इन्जिनियर वा प्रशासकलाई प्रतिनिधित्व गर्न सक्छ।
[वास्तुकला रेखाचित्र]<<<<<<<<<<<<<<<<<<<<
निश्चित गर्नुहोस् कि निम्न सेटिङहरू प्रत्येक उपकरणको सेटिङहरूमा सम्बन्धित मानहरूमा बनाइएका छन्। यन्त्र कन्फिगरेसन सिर्जना गर्दा, तपाइँ यन्त्र सेटिङहरू निर्दिष्ट गर्न सक्नुहुन्छ (उपकरणहरू थप्नुहोस् हेर्नुहोस्)। यदि अवस्थित यन्त्रमा सेटिङहरू अद्यावधिक गर्न आवश्यक छ भने नयाँ उपकरण कन्फिगरेसन सिर्जना गर्न सकिन्छ।
अनुमति दिइएको आईपीहरू = १०.३.२.३/३२, १०.३.२.४/३२, १०.३.२.५/३२
यो D मार्फत B यन्त्रहरूको IP हो। D बाट D यन्त्रहरू B को IP हरू तपाईंले सेट गर्न छनौट गर्नुभएको कुनै पनि IP दायरामा समावेश हुनुपर्छ।
PersistentKeepalive = 25
यसले यन्त्रले सुरुङलाई कायम राख्न सक्छ र NAT द्वारा सुरक्षित गरेको भए पनि WireGuard इन्टरफेसबाट प्याकेटहरू प्राप्त गर्न जारी राख्न सक्छ भन्ने ग्यारेन्टी दिन्छ। धेरै जसो अवस्थामा, 25 को एक मान पर्याप्त छ, यद्यपि तपाईंको वरपरको आधारमा, तपाईंले यो आंकडा कम गर्न आवश्यक हुन सक्छ।
तपाईंको टोलीको सबै ट्राफिक बाहिर प्रवाह गर्नको लागि एकल, स्थिर निकास आईपी प्रस्ताव गर्न, फायरजोनलाई NAT गेटवेको रूपमा प्रयोग गर्न सकिन्छ। यी अवस्थाहरूमा यसको बारम्बार प्रयोग समावेश छ:
परामर्श संलग्नताहरू: अनुरोध गर्नुहोस् कि तपाइँको ग्राहकले प्रत्येक कर्मचारीको अद्वितीय यन्त्र IP को सट्टा एकल स्थिर आईपी ठेगानालाई ह्वाइटलिस्ट गर्नुहोस्।
प्रोक्सी प्रयोग गरेर वा सुरक्षा वा गोपनीयता उद्देश्यका लागि आफ्नो स्रोत आईपी मास्किङ।
फायरजोन चलिरहेको एकल सेल्फ-होस्ट गरिएको वेब अनुप्रयोगमा पहुँच सीमित गर्ने एउटा साधारण उदाहरण यस पोष्टमा प्रदर्शन गरिनेछ। यस दृष्टान्तमा, फायरजोन र सुरक्षित स्रोतहरू विभिन्न VPC क्षेत्रमा छन्।
यो समाधान प्रायः धेरै अन्त प्रयोगकर्ताहरूको लागि IP श्वेतसूची प्रबन्ध गर्ने ठाउँमा प्रयोग गरिन्छ, जुन पहुँच सूची विस्तारको रूपमा समय-उपभोग हुन सक्छ।
हाम्रो उद्देश्य प्रतिबन्धित स्रोतमा VPN ट्राफिक रिडिरेक्ट गर्न EC2 उदाहरणमा फायरजोन सर्भर सेटअप गर्नु हो। यस उदाहरणमा, फायरजोनले नेटवर्क प्रोक्सी वा NAT गेटवेको रूपमा प्रत्येक जडान गरिएको उपकरणलाई एक अद्वितीय सार्वजनिक निकास IP दिनको लागि सेवा गरिरहेको छ।
यस अवस्थामा, tc2.micro नामक EC2 उदाहरणमा फायरजोन इन्स्ट्यान्स स्थापना गरिएको छ। फायरजोन तैनाथ गर्ने बारे जानकारीको लागि, डिप्लोयमेन्ट गाइडमा जानुहोस्। AWS को सम्बन्धमा, निश्चित हुनुहोस्:
Firezone EC2 उदाहरणको सुरक्षा समूहले सुरक्षित स्रोतको IP ठेगानामा आउटबाउन्ड ट्राफिकलाई अनुमति दिन्छ।
फायरजोन उदाहरण एक लोचदार आईपी संग आउँछ। बाहिरी गन्तव्यहरूमा फायरजोन उदाहरण मार्फत फर्वार्ड गरिएको ट्राफिकमा यसको स्रोत IP ठेगाना हुनेछ। प्रश्नमा रहेको IP ठेगाना 52.202.88.54 हो।
[स्क्रिनसट घुसाउनुहोस्]<<<<<<<<<<<<<<<<<<<<<
एक स्व-होस्ट गरिएको वेब अनुप्रयोगले यस अवस्थामा सुरक्षित स्रोतको रूपमा कार्य गर्दछ। वेब एप आईपी ठेगाना 52.202.88.54 बाट आएका अनुरोधहरू द्वारा मात्र पहुँच गर्न सकिन्छ। स्रोतको आधारमा, विभिन्न पोर्टहरू र ट्राफिक प्रकारहरूमा इनबाउन्ड ट्राफिकलाई अनुमति दिन आवश्यक हुन सक्छ। यो यस पुस्तिकामा समावेश गरिएको छैन।
[स्क्रिनसट घुसाउनुहोस्]<<<<<<<<<<<<<<<<<<<<<
कृपया सुरक्षित स्रोतको प्रभारी तेस्रो पक्षलाई चरण 1 मा परिभाषित स्थिर IP बाट ट्राफिकलाई अनुमति दिनुपर्छ भनेर बताउनुहोस् (यस अवस्थामा 52.202.88.54)।
पूर्वनिर्धारित रूपमा, सबै प्रयोगकर्ता ट्राफिक VPN सर्भर मार्फत जान्छ र चरण 1 मा कन्फिगर गरिएको स्थिर IP बाट आउँछ (यस अवस्थामा 52.202.88.54)। यद्यपि, यदि स्प्लिट टनेलिङ सक्षम गरिएको छ भने, सुरक्षित स्रोतको गन्तव्य IP लाई अनुमति दिइएका IP हरू मध्ये सूचीबद्ध गरिएको छ भनी सुनिश्चित गर्न सेटिङहरू आवश्यक हुन सक्छ।
मा उपलब्ध कन्फिगरेसन विकल्पहरूको पूर्ण सूची तल देखाइएको छ /etc/firezone/firezone.rb.
विकल्प | विवरण | पूर्वनिर्धारित मान |
पूर्वनिर्धारित['firezone']['external_url'] | यस Firezone उदाहरणको वेब पोर्टल पहुँच गर्न प्रयोग गरिएको URL। | "https://#{node['fqdn'] || नोड['होस्टनाम']}” |
पूर्वनिर्धारित['firezone']['config_directory'] | Firezone कन्फिगरेसनको लागि शीर्ष-स्तर निर्देशिका। | /etc/firezone' |
पूर्वनिर्धारित['firezone']['install_directory'] | फायरजोन स्थापना गर्न शीर्ष-स्तर डाइरेक्टरी। | /opt/firezone' |
पूर्वनिर्धारित['firezone']['app_directory'] | Firezone वेब अनुप्रयोग स्थापना गर्न शीर्ष-स्तर डाइरेक्टरी। | "#{node['firezone']['install_directory']}/embedded/service/firezone" |
पूर्वनिर्धारित['firezone']['log_directory'] | Firezone लगहरूको लागि शीर्ष-स्तर डाइरेक्टरी। | /var/log/firezone' |
पूर्वनिर्धारित['firezone']['var_directory'] | Firezone रनटाइम फाइलहरूको लागि शीर्ष-स्तर डाइरेक्टरी। | /var/opt/firezone' |
पूर्वनिर्धारित['firezone']['user'] | धेरै जसो सेवाहरू र फाइलहरू अनप्रिभलेज्ड लिनक्स प्रयोगकर्ताको नाम हो। | फायरजोन' |
पूर्वनिर्धारित['firezone']['group'] | लिनक्स समूहको नाम अधिकांश सेवाहरू र फाइलहरू सम्बन्धित हुनेछन्। | फायरजोन' |
पूर्वनिर्धारित['firezone']['admin_email'] | प्रारम्भिक फायरजोन प्रयोगकर्ताको लागि इमेल ठेगाना। | "firezone@localhost" |
पूर्वनिर्धारित['firezone']['max_devices_per_user'] | प्रयोगकर्तासँग हुन सक्ने यन्त्रहरूको अधिकतम संख्या। | 10 |
पूर्वनिर्धारित['firezone']['allow_unprivileged_device_management'] | गैर-व्यवस्थापक प्रयोगकर्ताहरूलाई यन्त्रहरू सिर्जना गर्न र मेटाउन अनुमति दिन्छ। | साँचो |
पूर्वनिर्धारित['firezone']['allow_unprivileged_device_configuration'] | गैर-व्यवस्थापक प्रयोगकर्ताहरूलाई उपकरण कन्फिगरेसनहरू परिमार्जन गर्न अनुमति दिन्छ। असक्षम हुँदा, नाम र विवरण बाहेक सबै उपकरण क्षेत्रहरू परिवर्तन गर्नबाट विशेषाधिकार प्राप्त प्रयोगकर्ताहरूलाई रोक्छ। | साँचो |
पूर्वनिर्धारित['firezone']['egress_interface'] | इन्टरफेस नाम जहाँ टनेल ट्राफिक बाहिर निस्कन्छ। यदि शून्य छ भने, पूर्वनिर्धारित मार्ग इन्टरफेस प्रयोग गरिनेछ। | nil |
पूर्वनिर्धारित['firezone']['fips_enabled'] | OpenSSL FIPs मोड सक्षम वा असक्षम गर्नुहोस्। | nil |
पूर्वनिर्धारित['firezone']['logging']['enabled'] | फायरजोन भर लगिङ सक्षम वा असक्षम गर्नुहोस्। लगिङ पूर्ण रूपमा असक्षम गर्न गलत मा सेट गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['interprise']['name'] | शेफ 'इन्टरप्राइज' कुकबुक द्वारा प्रयोग गरिएको नाम। | फायरजोन' |
पूर्वनिर्धारित['firezone']['install_path'] | शेफ 'इन्टरप्राइज' कुकबुक द्वारा प्रयोग गरिएको मार्ग स्थापना गर्नुहोस्। माथिको install_directory जस्तै सेट गरिनु पर्छ। | नोड['firezone']['install_directory'] |
पूर्वनिर्धारित['firezone']['sysvinit_id'] | /etc/inittab मा प्रयोग गरिएको पहिचानकर्ता। 1-4 वर्णहरूको अद्वितीय अनुक्रम हुनुपर्छ। | SUP' |
पूर्वनिर्धारित['firezone']['authentication']['local']['enabled'] | स्थानीय इमेल/पासवर्ड प्रमाणीकरण सक्षम वा असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['authentication']['auto_create_oidc_users'] | OIDC बाट पहिलो पटक साइन इन गर्ने प्रयोगकर्ताहरूलाई स्वचालित रूपमा सिर्जना गर्नुहोस्। OIDC मार्फत अवस्थित प्रयोगकर्ताहरूलाई मात्र साइन इन गर्न अनुमति दिन असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['authentication']['disable_vpn_on_oidc_error'] | प्रयोगकर्ताको VPN असक्षम गर्नुहोस् यदि तिनीहरूको OIDC टोकन रिफ्रेस गर्ने प्रयास गर्दा त्रुटि पत्ता लाग्यो। | गलत |
पूर्वनिर्धारित['firezone']['प्रमाणीकरण']['oidc'] | OpenID Connect कन्फिगरेसन, {“provider” => [config…]} को ढाँचामा - हेर्नुहोस् OpenIDConnect कागजात कन्फिगरेसन उदाहरणहरूको लागि। | {} |
पूर्वनिर्धारित['firezone']['nginx']['सक्षम'] | बन्डल गरिएको nginx सर्भर सक्षम वा असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['nginx']['ssl_port'] | HTTPS सुन्ने पोर्ट। | 443 |
पूर्वनिर्धारित['firezone']['nginx']['directory'] | Firezone-सम्बन्धित nginx भर्चुअल होस्ट कन्फिगरेसन भण्डारण गर्न निर्देशिका। | "#{node['firezone']['var_directory']}/nginx/etc" |
पूर्वनिर्धारित['firezone']['nginx']['log_directory'] | Firezone-सम्बन्धित nginx लग फाइलहरू भण्डारण गर्न निर्देशिका। | "#{node['firezone']['log_directory']}/nginx" |
पूर्वनिर्धारित['firezone']['nginx']['log_rotation']['file_maxbytes'] | Nginx लग फाइलहरू घुमाउने फाइल साइज। | 104857600 |
पूर्वनिर्धारित['firezone']['nginx']['log_rotation']['num_to_keep'] | खारेज गर्नु अघि राख्नु पर्ने Firezone nginx लग फाइलहरूको संख्या। | 10 |
पूर्वनिर्धारित['firezone']['nginx']['log_x_forwarded_for'] | Firezone nginx x-फर्वार्ड गरिएको-हेडरको लागि लग गर्ने कि नगर्ने। | साँचो |
पूर्वनिर्धारित['firezone']['nginx']['hsts_header']['enabled'] | साँचो | |
पूर्वनिर्धारित['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS हेडरको लागि SubDomains समावेश गर्नुहोस् सक्षम वा असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['nginx']['hsts_header']['max_age'] | HSTS हेडरको लागि अधिकतम उमेर। | 31536000 |
पूर्वनिर्धारित['firezone']['nginx']['redirect_to_canonical'] | माथि निर्दिष्ट गरिएको क्यानोनिकल FQDN मा URL हरू रिडिरेक्ट गर्ने कि नगर्ने | गलत |
पूर्वनिर्धारित['firezone']['nginx']['cache']['enabled'] | Firezone nginx क्यास सक्षम वा असक्षम गर्नुहोस्। | गलत |
पूर्वनिर्धारित['firezone']['nginx']['cache']['directory'] | Firezone nginx क्यासको लागि निर्देशिका। | "#{node['firezone']['var_directory']}/nginx/cache" |
पूर्वनिर्धारित['firezone']['nginx']['user'] | Firezone nginx प्रयोगकर्ता। | नोड['firezone']['user'] |
पूर्वनिर्धारित['firezone']['nginx']['group'] | फायरजोन nginx समूह। | नोड['फायरजोन']['समूह'] |
पूर्वनिर्धारित['firezone']['nginx']['dir'] | शीर्ष-स्तर nginx कन्फिगरेसन निर्देशिका। | नोड['firezone']['nginx']['directory'] |
पूर्वनिर्धारित['firezone']['nginx']['log_dir'] | शीर्ष-स्तर nginx लग निर्देशिका। | नोड['firezone']['nginx']['log_directory'] |
पूर्वनिर्धारित['firezone']['nginx']['pid'] | nginx pid फाइलको लागि स्थान। | "#{node['firezone']['nginx']['directory']}/nginx.pid" |
पूर्वनिर्धारित['firezone']['nginx']['daemon_disable'] | nginx डेमन मोड असक्षम गर्नुहोस् ताकि हामी यसको सट्टामा निगरानी गर्न सक्छौं। | साँचो |
पूर्वनिर्धारित['firezone']['nginx']['gzip'] | nginx gzip कम्प्रेसन खोल्नुहोस् वा बन्द गर्नुहोस्। | मा |
पूर्वनिर्धारित['firezone']['nginx']['gzip_static'] | स्थिर फाइलहरूको लागि nginx gzip कम्प्रेसन खोल्नुहोस् वा बन्द गर्नुहोस्। | बन्द' |
पूर्वनिर्धारित['firezone']['nginx']['gzip_http_version'] | स्थिर फाइलहरू सेवा गर्न प्रयोग गर्न HTTP संस्करण। | 1.0 ' |
पूर्वनिर्धारित['firezone']['nginx']['gzip_comp_level'] | nginx gzip कम्प्रेसन स्तर। | 2 ' |
पूर्वनिर्धारित['firezone']['nginx']['gzip_proxied'] | अनुरोध र प्रतिक्रियाको आधारमा प्रोक्सी अनुरोधहरूको लागि प्रतिक्रियाहरूको gzipping सक्षम वा अक्षम गर्दछ। | कुनै पनि' |
पूर्वनिर्धारित['firezone']['nginx']['gzip_vary'] | "Vary: Accept-Encoding" प्रतिक्रिया हेडर सम्मिलित गर्न सक्षम वा असक्षम पार्छ। | बन्द' |
पूर्वनिर्धारित['firezone']['nginx']['gzip_buffers'] | प्रतिक्रिया कम्प्रेस गर्न प्रयोग हुने बफरहरूको संख्या र आकार सेट गर्दछ। यदि शून्य छ भने, nginx पूर्वनिर्धारित प्रयोग गरिन्छ। | nil |
पूर्वनिर्धारित['firezone']['nginx']['gzip_types'] | Gzip कम्प्रेसन सक्षम गर्न MIME प्रकारहरू। | ['text/plain', 'text/css', 'application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
पूर्वनिर्धारित['firezone']['nginx']['gzip_min_length'] | फाइल gzip कम्प्रेसन सक्षम गर्नको लागि न्यूनतम फाइल लम्बाइ। | 1000 |
पूर्वनिर्धारित['firezone']['nginx']['gzip_disable'] | Gzip कम्प्रेसन असक्षम गर्न प्रयोगकर्ता-एजेन्ट मिलानकर्ता। | MSIE [१-६]\।' |
पूर्वनिर्धारित['firezone']['nginx']['keepalive'] | अपस्ट्रीम सर्भरहरूमा जडानको लागि क्यास सक्रिय गर्दछ। | मा |
पूर्वनिर्धारित['firezone']['nginx']['keepalive_timeout'] | अपस्ट्रिम सर्भरहरूमा सक्रिय जडान राख्नको लागि सेकेन्डमा टाइमआउट। | 65 |
पूर्वनिर्धारित['firezone']['nginx']['worker_processes'] | nginx कार्यकर्ता प्रक्रियाहरूको संख्या। | नोड['cpu'] && node['cpu']['total']? नोड['cpu']['total'] : १ |
पूर्वनिर्धारित['firezone']['nginx']['worker_connections'] | कार्यकर्ता प्रक्रियाद्वारा खोल्न सकिने एकसाथ जडानहरूको अधिकतम संख्या। | 1024 |
पूर्वनिर्धारित['firezone']['nginx']['worker_rlimit_nofile'] | कार्यकर्ता प्रक्रियाहरूको लागि खुला फाइलहरूको अधिकतम संख्यामा सीमा परिवर्तन गर्दछ। शून्य भएमा nginx पूर्वनिर्धारित प्रयोग गर्दछ। | nil |
पूर्वनिर्धारित['firezone']['nginx']['multi_accept'] | कामदारहरूले एक पटकमा एक जडान स्वीकार गर्नुपर्छ वा धेरै। | साँचो |
पूर्वनिर्धारित['firezone']['nginx']['event'] | nginx घटना सन्दर्भ भित्र प्रयोग गर्न जडान प्रशोधन विधि निर्दिष्ट गर्दछ। | epoll' |
पूर्वनिर्धारित['firezone']['nginx']['server_tokens'] | त्रुटि पृष्ठहरूमा र "सर्भर" प्रतिक्रिया हेडर फिल्डमा उत्सर्जन गर्ने nginx संस्करण सक्षम वा असक्षम पार्छ। | nil |
पूर्वनिर्धारित['firezone']['nginx']['server_names_hash_bucket_size'] | सर्भर नाम ह्यास तालिकाहरूको लागि बाल्टी आकार सेट गर्दछ। | 64 |
पूर्वनिर्धारित['firezone']['nginx']['sendfile'] | nginx को sendfile() को प्रयोग सक्षम वा असक्षम पार्छ। | मा |
पूर्वनिर्धारित['firezone']['nginx']['access_log_options'] | nginx पहुँच लग विकल्पहरू सेट गर्दछ। | nil |
पूर्वनिर्धारित['firezone']['nginx']['error_log_options'] | nginx त्रुटि लग विकल्पहरू सेट गर्दछ। | nil |
पूर्वनिर्धारित['firezone']['nginx']['disable_access_log'] | nginx पहुँच लग असक्षम पार्छ। | गलत |
पूर्वनिर्धारित['firezone']['nginx']['types_hash_max_size'] | nginx प्रकारहरू ह्यास अधिकतम आकार। | 2048 |
पूर्वनिर्धारित['firezone']['nginx']['types_hash_bucket_size'] | nginx प्रकार ह्यास बाल्टी आकार। | 64 |
पूर्वनिर्धारित['firezone']['nginx']['proxy_read_timeout'] | nginx प्रोक्सी पढ्ने टाइमआउट। nginx पूर्वनिर्धारित प्रयोग गर्न शून्यमा सेट गर्नुहोस्। | nil |
पूर्वनिर्धारित['firezone']['nginx']['client_body_buffer_size'] | nginx ग्राहक शरीर बफर आकार। nginx पूर्वनिर्धारित प्रयोग गर्न शून्यमा सेट गर्नुहोस्। | nil |
पूर्वनिर्धारित['firezone']['nginx']['client_max_body_size'] | nginx ग्राहक अधिकतम शरीर आकार। | ०.७ मिटर |
पूर्वनिर्धारित['firezone']['nginx']['default']['modules'] | थप nginx मोड्युलहरू निर्दिष्ट गर्नुहोस्। | [] |
पूर्वनिर्धारित['firezone']['nginx']['enable_rate_limiting'] | nginx दर सीमित सक्षम वा असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['nginx']['rate_limiting_zone_name'] | Nginx दर सीमित क्षेत्र नाम। | फायरजोन' |
पूर्वनिर्धारित['firezone']['nginx']['rate_limiting_backoff'] | Nginx दर सीमित ब्याकअफ। | ०.७ मिटर |
पूर्वनिर्धारित['firezone']['nginx']['rate_limit'] | Nginx दर सीमा। | 10r/s' |
पूर्वनिर्धारित['firezone']['nginx']['ipv6'] | nginx लाई IPv6 को अतिरिक्त IPv4 को लागि HTTP अनुरोधहरू सुन्न अनुमति दिनुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['postgresql']['सक्षम'] | बन्डल गरिएको Postgresql सक्षम वा असक्षम गर्नुहोस्। गलत मा सेट गर्नुहोस् र तपाईंको आफ्नै Postgresql उदाहरण प्रयोग गर्न तलको डाटाबेस विकल्पहरू भर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['postgresql']['username'] | Postgresql को लागी प्रयोगकर्ता नाम। | नोड['firezone']['user'] |
पूर्वनिर्धारित['firezone']['postgresql']['data_directory'] | Postgresql डाटा डाइरेक्टरी। | "#{node['firezone']['var_directory']}/postgresql/13.3/data" |
पूर्वनिर्धारित['firezone']['postgresql']['log_directory'] | Postgresql लग डाइरेक्टरी। | "#{node['firezone']['log_directory']}/postgresql" |
पूर्वनिर्धारित['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql लग फाइल घुमाउनु अघि अधिकतम आकार। | 104857600 |
पूर्वनिर्धारित['firezone']['postgresql']['log_rotation']['num_to_keep'] | राख्नका लागि Postgresql लग फाइलहरूको संख्या। | 10 |
पूर्वनिर्धारित['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql चेकपोइन्ट पूरा लक्ष्य। | 0.5 |
पूर्वनिर्धारित['firezone']['postgresql']['checkpoint_segments'] | Postgresql चेकपोइन्ट खण्डहरूको संख्या। | 3 |
पूर्वनिर्धारित['firezone']['postgresql']['checkpoint_timeout'] | Postgresql चेकपोइन्ट टाइमआउट। | ५ मिनेट |
पूर्वनिर्धारित['firezone']['postgresql']['checkpoint_warning'] | Postgresql चेकपोइन्ट चेतावनी समय सेकेन्डमा। | 30s' |
पूर्वनिर्धारित['firezone']['postgresql']['effective_cache_size'] | Postgresql प्रभावकारी क्यास आकार। | 128MB' |
पूर्वनिर्धारित['firezone']['postgresql']['listen_address'] | Postgresql सुन्न ठेगाना। | 127.0.0.1 ' |
पूर्वनिर्धारित['firezone']['postgresql']['max_connections'] | Postgresql अधिकतम जडानहरू। | 350 |
पूर्वनिर्धारित['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs md5 auth लाई अनुमति दिन। | ['127.0.0.1/32', '::1/128'] |
पूर्वनिर्धारित['firezone']['postgresql']['port'] | Postgresql सुन्ने पोर्ट। | 15432 |
पूर्वनिर्धारित['firezone']['postgresql']['shared_buffers'] | Postgresql साझा बफर आकार। | "#{(node['memory']['total'].to_i / 4) / 1024}MB" |
पूर्वनिर्धारित['firezone']['postgresql']['shmmax'] | Postgresql shmmax बाइटहरूमा। | 17179869184 |
पूर्वनिर्धारित['firezone']['postgresql']['shmall'] | Postgresql shmall बाइटहरूमा। | 4194304 |
पूर्वनिर्धारित['firezone']['postgresql']['work_mem'] | Postgresql काम गर्ने मेमोरी साइज। | 8MB' |
पूर्वनिर्धारित['firezone']['database']['user'] | प्रयोगकर्ता नाम फायरजोनले DB मा जडान गर्न प्रयोग गर्ने निर्दिष्ट गर्दछ। | नोड['firezone']['postgresql']['username'] |
पूर्वनिर्धारित['firezone']['database']['password'] | यदि बाह्य DB प्रयोग गर्दै हुनुहुन्छ भने, पासवर्ड निर्दिष्ट गर्नुहोस् फायरजोनले DB मा जडान गर्न प्रयोग गर्नेछ। | मलाई परिवर्तन गर' |
पूर्वनिर्धारित['firezone']['database']['name'] | फायरजोनले प्रयोग गर्ने डाटाबेस। यदि यो अवस्थित छैन भने सिर्जना गरिनेछ। | फायरजोन' |
पूर्वनिर्धारित['firezone']['database']['host'] | फायरजोन जडान हुने डाटाबेस होस्ट। | नोड['firezone']['postgresql']['listen_address'] |
पूर्वनिर्धारित['firezone']['database']['port'] | डाटाबेस पोर्ट जुन फायरजोन जडान हुनेछ। | नोड['firezone']['postgresql']['port'] |
पूर्वनिर्धारित['firezone']['database']['pool'] | डाटाबेस पूल साइज फायरजोन प्रयोग गर्नेछ। | [१०, Etc.nprocessors]।अधिकतम |
पूर्वनिर्धारित['firezone']['database']['ssl'] | SSL मा डाटाबेसमा जडान गर्ने कि नगर्ने। | गलत |
पूर्वनिर्धारित['firezone']['database']['ssl_opts'] | {} | |
पूर्वनिर्धारित['firezone']['database']['parameters'] | {} | |
पूर्वनिर्धारित['firezone']['database']['extensions'] | डाटाबेस विस्तार सक्षम गर्न। | {'plpgsql' => सत्य, 'pg_trgm' => सत्य } |
पूर्वनिर्धारित['firezone']['phoenix']['enabled'] | फायरजोन वेब अनुप्रयोग सक्षम वा असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['phoenix']['listen_address'] | फायरजोन वेब अनुप्रयोग सुन्न ठेगाना। यो अपस्ट्रीम सुन्न ठेगाना हुनेछ जुन nginx प्रोक्सीहरू। | 127.0.0.1 ' |
पूर्वनिर्धारित['firezone']['phoenix']['port'] | फायरजोन वेब अनुप्रयोग सुन्न पोर्ट। यो अपस्ट्रीम पोर्ट हुनेछ जुन nginx प्रोक्सीहरू। | 13000 |
पूर्वनिर्धारित['firezone']['phoenix']['log_directory'] | Firezone वेब अनुप्रयोग लग निर्देशिका। | "#{node['firezone']['log_directory']}/phoenix" |
पूर्वनिर्धारित['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone वेब अनुप्रयोग लग फाइल आकार। | 104857600 |
पूर्वनिर्धारित['firezone']['phoenix']['log_rotation']['num_to_keep'] | राख्नका लागि Firezone वेब अनुप्रयोग लग फाइलहरूको संख्या। | 10 |
पूर्वनिर्धारित['firezone']['phoenix']['crash_detection']['enabled'] | क्र्यास पत्ता लाग्दा फायरजोन वेब एपलाई तल ल्याउन सक्षम वा असक्षम पार्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['phoenix']['external_trusted_proxies'] | IPs र/वा CIDRs को एरेको रूपमा ढाँचामा भरपर्दो रिभर्स प्रोक्सीहरूको सूची। | [] |
पूर्वनिर्धारित['firezone']['phoenix']['private_clients'] | निजी नेटवर्क HTTP क्लाइन्टहरूको सूची, IPs र/वा CIDRs को एरे ढाँचा। | [] |
पूर्वनिर्धारित['firezone']['wireguard']['enabled'] | बन्डल गरिएको WireGuard व्यवस्थापन सक्षम वा असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['wireguard']['log_directory'] | बन्डल गरिएको WireGuard व्यवस्थापनको लागि लग डाइरेक्टरी। | "#{node['firezone']['log_directory']}/wireguard" |
पूर्वनिर्धारित['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard लग फाइल अधिकतम आकार। | 104857600 |
पूर्वनिर्धारित['firezone']['wireguard']['log_rotation']['num_to_keep'] | राख्नका लागि WireGuard लग फाइलहरूको संख्या। | 10 |
पूर्वनिर्धारित['firezone']['wireguard']['interface_name'] | WireGuard इन्टरफेस नाम। यो प्यारामिटर परिवर्तन गर्दा VPN जडानमा अस्थायी क्षति हुन सक्छ। | wg-firezone' |
पूर्वनिर्धारित['firezone']['wireguard']['port'] | WireGuard सुन्ने पोर्ट। | 51820 |
पूर्वनिर्धारित['firezone']['wireguard']['mtu'] | WireGuard इन्टरफेस MTU यो सर्भर र उपकरण कन्फिगरेसनका लागि। | 1280 |
पूर्वनिर्धारित['firezone']['wireguard']['endpoint'] | WireGuard Endpoint यन्त्र कन्फिगरेसनहरू उत्पन्न गर्न प्रयोग गर्न। यदि शून्य, सर्भरको सार्वजनिक IP ठेगानामा पूर्वनिर्धारित। | nil |
पूर्वनिर्धारित['firezone']['wireguard']['dns'] | उत्पन्न उपकरण कन्फिगरेसनहरूको लागि प्रयोग गर्न WireGuard DNS। | १.१.१.१, १.०.०.१′ |
पूर्वनिर्धारित['firezone']['wireguard']['allowed_ips'] | उत्पन्न उपकरण कन्फिगरेसनहरूको लागि प्रयोग गर्न WireGuard AllowedIPs। | ०.०.०.०/०, ::/०′ |
पूर्वनिर्धारित['firezone']['wireguard']['persistent_keepalive'] | उत्पन्न उपकरण कन्फिगरेसनहरूको लागि पूर्वनिर्धारित PersistentKeepalive सेटिङ। ० को मान असक्षम हुन्छ। | 0 |
पूर्वनिर्धारित['firezone']['wireguard']['ipv4']['enabled'] | WireGuard नेटवर्कको लागि IPv4 सक्षम वा असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['wireguard']['ipv4']['masquerade'] | IPv4 सुरुङ छोडेर प्याकेटहरूको लागि मास्करेड सक्षम वा असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['wireguard']['ipv4']['network'] | WireGuard नेटवर्क IPv4 ठेगाना पूल। | 10.3.2.0/24 ′ |
पूर्वनिर्धारित['firezone']['wireguard']['ipv4']['address'] | WireGuard इन्टरफेस IPv4 ठेगाना। WireGuard ठेगाना पूल भित्र हुनुपर्छ। | 10.3.2.1 ' |
पूर्वनिर्धारित['firezone']['wireguard']['ipv6']['enabled'] | WireGuard नेटवर्कको लागि IPv6 सक्षम वा असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['wireguard']['ipv6']['masquerade'] | IPv6 सुरुङ छोडेर प्याकेटहरूको लागि मास्करेड सक्षम वा असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['wireguard']['ipv6']['network'] | WireGuard नेटवर्क IPv6 ठेगाना पूल। | fd00::3:2:0/120′ |
पूर्वनिर्धारित['firezone']['wireguard']['ipv6']['address'] | WireGuard इन्टरफेस IPv6 ठेगाना। IPv6 ठेगाना पूल भित्र हुनुपर्छ। | fd00::3:2:1' |
पूर्वनिर्धारित['firezone']['runit']['svlogd_bin'] | रनिट svlogd बिन स्थान। | "#{node['firezone']['install_directory']}/embedded/bin/svlogd" |
पूर्वनिर्धारित['firezone']['ssl']['directory'] | उत्पन्न प्रमाणपत्रहरू भण्डारण गर्नको लागि SSL निर्देशिका। | /var/opt/firezone/ssl' |
पूर्वनिर्धारित['firezone']['ssl']['email_address'] | स्व-हस्ताक्षरित प्रमाणपत्रहरू र ACME प्रोटोकल नवीकरण सूचनाहरूको लागि प्रयोग गर्न इमेल ठेगाना। | you@example.com' |
पूर्वनिर्धारित['firezone']['ssl']['acme']['enabled'] | स्वचालित SSL प्रमाणपत्र प्रावधानको लागि ACME सक्षम गर्नुहोस्। Nginx लाई पोर्ट 80 मा सुन्नबाट रोक्न यसलाई असक्षम पार्नुहोस्। हेर्नुहोस् यहाँ थप निर्देशन को लागी। | गलत |
पूर्वनिर्धारित['firezone']['ssl']['acme']['server'] | प्रमाणपत्र जारी/नविकरणको लागि ACME सर्भर प्रयोग गर्न। कुनै पनि हुन सक्छ मान्य acme.sh सर्भर | letsencrypt |
पूर्वनिर्धारित['firezone']['ssl']['acme']['keylength'] | SSL प्रमाणपत्रहरूको लागि कुञ्जी प्रकार र लम्बाइ निर्दिष्ट गर्नुहोस्। हेर्नुहोस् यहाँ | ec-256 |
पूर्वनिर्धारित['firezone']['ssl']['प्रमाणपत्र'] | तपाईंको FQDN को लागि प्रमाणपत्र फाइलमा मार्ग। यदि निर्दिष्ट गरिएको छ भने माथि ACME सेटिङ ओभरराइड गर्दछ। ACME र यो दुवै शून्य भएमा स्व-हस्ताक्षर गरिएको प्रमाणपत्र उत्पन्न हुनेछ। | nil |
पूर्वनिर्धारित['firezone']['ssl']['certificate_key'] | प्रमाणपत्र फाइलको लागि मार्ग। | nil |
पूर्वनिर्धारित['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param। | nil |
पूर्वनिर्धारित['firezone']['ssl']['country_name'] | स्व-हस्ताक्षरित प्रमाणपत्रको लागि देशको नाम। | अमेरिका' |
पूर्वनिर्धारित['firezone']['ssl']['state_name'] | स्व-हस्ताक्षरित प्रमाणपत्रको लागि राज्य नाम। | CA ' |
पूर्वनिर्धारित['firezone']['ssl']['locality_name'] | स्व-हस्ताक्षर गरिएको प्रमाणपत्रको लागि इलाकाको नाम। | सान फ्रान्सिस्को' |
पूर्वनिर्धारित['firezone']['ssl']['company_name'] | कम्पनीको नाम स्व-हस्ताक्षरित प्रमाणपत्र। | मेरो कम्पनी' |
पूर्वनिर्धारित['firezone']['ssl']['organizational_unit_name'] | स्व-हस्ताक्षरित प्रमाणपत्रको लागि संगठनात्मक एकाइको नाम। | सञ्चालन' |
पूर्वनिर्धारित['firezone']['ssl']['ciphers'] | Nginx को लागि SSL सिफरहरू प्रयोग गर्न। | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
पूर्वनिर्धारित['firezone']['ssl']['fips_ciphers'] | FIPs मोडका लागि SSL साइफरहरू। | FIPS@STRENGTH:!aNULL:!eNULL' |
पूर्वनिर्धारित['firezone']['ssl']['protocols'] | TLS प्रोटोकलहरू प्रयोग गर्न। | TLSv1 TLSv1.1 TLSv1.2′ |
पूर्वनिर्धारित['firezone']['ssl']['session_cache'] | SSL सत्र क्यास। | साझा:SSL:4m' |
पूर्वनिर्धारित['firezone']['ssl']['session_timeout'] | SSL सत्र टाइमआउट। | ०.७ मिटर |
पूर्वनिर्धारित['firezone']['robots_allow'] | nginx रोबोट अनुमति दिन्छ। | / ' |
पूर्वनिर्धारित['firezone']['robots_disallow'] | nginx रोबोटहरू अस्वीकार गर्दछ। | nil |
पूर्वनिर्धारित['firezone']['outbound_email']['from'] | ठेगानाबाट आउटबाउन्ड इमेल। | nil |
पूर्वनिर्धारित['firezone']['outbound_email']['provider'] | आउटबाउन्ड इमेल सेवा प्रदायक। | nil |
पूर्वनिर्धारित['firezone']['outbound_email']['configs'] | आउटबाउन्ड इमेल प्रदायक कन्फिगहरू। | omnibus/cookbooks/firezone/attributes/default.rb हेर्नुहोस् |
पूर्वनिर्धारित['firezone']['telemetry']['enabled'] | अज्ञात उत्पादन टेलिमेट्री सक्षम वा असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['connectivity_checks']['enabled'] | फायरजोन जडान जाँच सेवा सक्षम वा असक्षम गर्नुहोस्। | साँचो |
पूर्वनिर्धारित['firezone']['connectivity_checks']['interval'] | सेकेन्डमा जडान जाँचहरू बीचको अन्तराल। | 3_600 |
________________________________________________________________
यहाँ तपाईंले सामान्य फायरजोन स्थापनासँग सम्बन्धित फाइलहरू र निर्देशिकाहरूको सूची फेला पार्नुहुनेछ। तपाईंको कन्फिगरेसन फाइलमा परिवर्तनहरूको आधारमा यी परिवर्तन हुन सक्छ।
बाटो | विवरण |
/var/opt/firezone | फायरजोन बन्डल गरिएका सेवाहरूको लागि डाटा र उत्पन्न कन्फिगरेसन समावेश शीर्ष-स्तर डाइरेक्टरी। |
/opt/firezone | Firezone द्वारा आवश्यक निर्मित पुस्तकालयहरू, बाइनरीहरू र रनटाइम फाइलहरू समावेश गर्ने शीर्ष-स्तर डाइरेक्टरी। |
/usr/bin/firezone-ctl | तपाईंको फायरजोन स्थापना प्रबन्ध गर्नका लागि firezone-ctl उपयोगिता। |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runvdir सुपरवाइजर प्रक्रिया सुरु गर्नको लागि systemd एकाइ फाइल। |
/etc/firezone | फायरजोन कन्फिगरेसन फाइलहरू। |
__________________________________________________________
कागजातहरूमा यो पृष्ठ खाली थियो
_____________________________________________________________
निम्न nftables फायरवाल टेम्प्लेट फायरजोन चलिरहेको सर्भर सुरक्षित गर्न प्रयोग गर्न सकिन्छ। टेम्प्लेटले केही अनुमानहरू बनाउँछ; तपाईंले आफ्नो प्रयोग केस अनुरूप नियमहरू समायोजन गर्न आवश्यक हुन सक्छ:
फायरजोनले वेब इन्टरफेसमा कन्फिगर गरिएका गन्तव्यहरूमा ट्राफिक अनुमति/अस्वीकार गर्न र ग्राहक ट्राफिकको लागि आउटबाउन्ड NAT ह्यान्डल गर्न आफ्नै nftables नियमहरू कन्फिगर गर्दछ।
तलको फायरवाल टेम्प्लेट पहिले नै चलिरहेको सर्भरमा (बुट समयमा होइन) लागू गर्दा फायरजोन नियमहरू खाली हुनेछन्। यो सुरक्षा प्रभाव हुन सक्छ।
यसको वरिपरि काम गर्न फिनिक्स सेवा पुन: सुरु गर्नुहोस्:
firezone-ctl फिनिक्स पुन: सुरु गर्नुहोस्
#!/usr/sbin/nft -f
## सबै अवस्थित नियमहरू खाली / फ्लश गर्नुहोस्
फ्लश नियमहरू
############################################# ###############
## इन्टरनेट/WAN इन्टरफेस नाम
DEV_WAN = eth0 परिभाषित गर्नुहोस्
## WireGuard इन्टरफेस नाम
DEV_WIREGUARD = wg-फायरजोन परिभाषित गर्नुहोस्
## WireGuard सुन्ने पोर्ट
WIREGUARD_PORT = परिभाषित गर्नुहोस् 51820
############################# चर अन्त्य ######### ############
# मुख्य inet परिवार फिल्टरिङ तालिका
तालिका inet फिल्टर {
# फर्वार्ड गरिएको ट्राफिकको लागि नियमहरू
# यो चेन फायरजोन फर्वार्ड चेन अघि प्रशोधन गरिएको छ
चेन अगाडि {
टाइप फिल्टर हुक अगाडि प्राथमिकता फिल्टर - 5; नीति स्वीकार
}
# इनपुट ट्राफिकका लागि नियमहरू
चेन इनपुट {
टाइप फिल्टर हुक इनपुट प्राथमिकता फिल्टर; नीति गिरावट
## इनबाउन्ड ट्राफिकलाई लुपब्याक इन्टरफेसमा अनुमति दिनुहोस्
यदि लो \
स्वीकार \
टिप्पणी "लूपब्याक इन्टरफेसबाट सबै ट्राफिकहरूलाई अनुमति दिनुहोस्"
## अनुमति स्थापित र सम्बन्धित जडानहरू
ct राज्य स्थापित, सम्बन्धित \
स्वीकार \
टिप्पणी "स्थापित/सम्बन्धित जडानहरू अनुमति दिनुहोस्"
## इनबाउन्ड वायरगार्ड ट्राफिकलाई अनुमति दिनुहोस्
यदि $DEV_WAN udp dport $WIREGUARD_PORT \
काउन्टर \
स्वीकार \
टिप्पणी "इनबाउन्ड वायरगार्ड ट्राफिकलाई अनुमति दिनुहोस्"
## नयाँ TCP गैर-SYN प्याकेटहरू लग गर्नुहोस् र छोड्नुहोस्
tcp झण्डा ! = syn ct राज्य नयाँ \
सीमा दर 100/ मिनेट फट 150 प्याकेटहरू \
लग उपसर्ग "भित्र - नयाँ ! SYN: " \
टिप्पणी "SYN TCP फ्ल्याग सेट नभएको नयाँ जडानहरूको लागि लगिङ दर सीमा"
tcp झण्डा ! = syn ct राज्य नयाँ \
काउन्टर \
ड्रप \
टिप्पणी "SYN TCP फ्ल्याग सेट नभएको नयाँ जडानहरू छोड्नुहोस्"
## अमान्य फिन/सिन फ्ल्याग सेटको साथ TCP प्याकेटहरू लग गर्नुहोस् र छोड्नुहोस्
tcp झण्डा र (fin|syn) == (fin|syn) \
सीमा दर 100/ मिनेट फट 150 प्याकेटहरू \
लग उपसर्ग "IN - TCP FIN|SIN:" \
टिप्पणी "अमान्य फिन/सिन फ्ल्याग सेटको साथ TCP प्याकेटहरूको लागि दर सीमा लगिङ"
tcp झण्डा र (fin|syn) == (fin|syn) \
काउन्टर \
ड्रप \
टिप्पणी "अमान्य फिन/सिन फ्ल्याग सेटको साथ TCP प्याकेटहरू छोड्नुहोस्"
## अवैध syn/rst फ्ल्याग सेटको साथ TCP प्याकेटहरू लग र ड्रप गर्नुहोस्
tcp झण्डा र (syn|rst) == (syn|rst) \
सीमा दर 100/ मिनेट फट 150 प्याकेटहरू \
लग उपसर्ग "IN - TCP SYN | RST: " \
टिप्पणी "अमान्य सिन्/पहिलो झण्डा सेटको साथ TCP प्याकेटहरूको लागि लगिङ दर सीमा"
tcp झण्डा र (syn|rst) == (syn|rst) \
काउन्टर \
ड्रप \
टिप्पणी "अमान्य syn/पहिलो झण्डा सेटको साथ TCP प्याकेटहरू छोड्नुहोस्"
## अमान्य TCP झण्डा लगाउनुहोस् र छोड्नुहोस्
tcp झण्डा र (fin|syn|rst|psh|ack|urg) < (fin) \
सीमा दर 100/ मिनेट फट 150 प्याकेटहरू \
लग उपसर्ग "IN - FIN:" \
टिप्पणी "अमान्य TCP झण्डाहरूको लागि दर सीमा लगिङ (fin|syn|rst|psh|ack|urg) < (fin)"
tcp झण्डा र (fin|syn|rst|psh|ack|urg) < (fin) \
काउन्टर \
ड्रप \
टिप्पणी "झण्डाहरू सहित TCP प्याकेटहरू छोड्नुहोस् (fin|syn|rst|psh|ack|urg) < (fin)"
## अमान्य TCP झण्डा लगाउनुहोस् र छोड्नुहोस्
tcp झण्डा र (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
सीमा दर 100/ मिनेट फट 150 प्याकेटहरू \
लग उपसर्ग "IN - FIN | PSH | URG:" \
टिप्पणी "अमान्य TCP झण्डाहरूको लागि दर सीमा लगिङ (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp झण्डा र (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
काउन्टर \
ड्रप \
टिप्पणी "झण्डाहरू सहित TCP प्याकेटहरू छोड्नुहोस् (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## अवैध जडान स्थितिको साथ ट्राफिक छोड्नुहोस्
ct राज्य अवैध \
सीमा दर 100/ मिनेट फट 150 प्याकेटहरू \
लग झण्डा सबै उपसर्ग "IN - अवैध: " \
टिप्पणी "अमान्य जडान अवस्थाको साथ ट्राफिकको लागि लगिङ दर सीमा"
ct राज्य अवैध \
काउन्टर \
ड्रप \
टिप्पणी "अमान्य जडान स्थितिको साथ ट्राफिक छोड्नुहोस्"
## IPv4 ping/ping प्रतिक्रियाहरूलाई अनुमति दिनुहोस् तर 2000 PPS मा दर सीमा
ip प्रोटोकल icmp icmp प्रकार { प्रतिध्वनि-उत्तर, प्रतिध्वनि-अनुरोध } \
सीमा दर 2000/सेकेन्ड \
काउन्टर \
स्वीकार \
टिप्पणी "परमिट इनबाउन्ड IPv4 इको (पिंग) 2000 PPS मा सीमित"
## अन्य सबै इनबाउन्ड IPv4 ICMP लाई अनुमति दिनुहोस्
ip प्रोटोकल icmp \
काउन्टर \
स्वीकार \
टिप्पणी "अन्य सबै IPv4 ICMP लाई अनुमति दिनुहोस्"
## IPv6 ping/ping प्रतिक्रियाहरूलाई अनुमति दिनुहोस् तर 2000 PPS मा दर सीमा
icmpv6 प्रकार { echo-reply, echo-request } \
सीमा दर 2000/सेकेन्ड \
काउन्टर \
स्वीकार \
टिप्पणी "परमिट इनबाउन्ड IPv6 इको (पिंग) 2000 PPS मा सीमित"
## अन्य सबै इनबाउन्ड IPv6 ICMP लाई अनुमति दिनुहोस्
मेटा l4proto { icmpv6 } \
काउन्टर \
स्वीकार \
टिप्पणी "अन्य सबै IPv6 ICMP लाई अनुमति दिनुहोस्"
## इनबाउन्ड ट्रेसराउट UDP पोर्टहरूलाई अनुमति दिनुहोस् तर 500 PPS मा सीमित गर्नुहोस्
udp dport 33434-३३५२४\
सीमा दर 500/सेकेन्ड \
काउन्टर \
स्वीकार \
टिप्पणी "परमिट इनबाउन्ड UDP ट्रेसराउट 500 PPS मा सीमित"
## इनबाउन्ड SSH लाई अनुमति दिनुहोस्
tcp dport SSH ct राज्य नयाँ \
काउन्टर \
स्वीकार \
टिप्पणी "इनबाउन्ड SSH जडानहरूलाई अनुमति दिनुहोस्"
## इनबाउन्ड HTTP र HTTPS लाई अनुमति दिनुहोस्
tcp dport { http, https } ct राज्य नयाँ \
काउन्टर \
स्वीकार \
टिप्पणी "इनबाउन्ड HTTP र HTTPS जडानहरूलाई अनुमति दिनुहोस्"
## कुनै पनि बेजोड ट्राफिक लग गर्नुहोस् तर अधिकतम 60 सन्देश / मिनेटमा लगिङको दर सीमा
## पूर्वनिर्धारित नीति बेमेल ट्राफिकमा लागू हुनेछ
सीमा दर 60/ मिनेट फट 100 प्याकेटहरू \
लग उपसर्ग "इन - ड्रप:" \
टिप्पणी "कुनै पनि बेमेल ट्राफिक लग गर्नुहोस्"
## बेजोड ट्राफिक गणना गर्नुहोस्
काउन्टर \
टिप्पणी "कुनै पनि बेजोड ट्राफिक गणना गर्नुहोस्"
}
# आउटपुट ट्राफिकका लागि नियमहरू
चेन आउटपुट {
प्रकार फिल्टर हुक आउटपुट प्राथमिकता फिल्टर; नीति गिरावट
## लूपब्याक इन्टरफेसमा आउटबाउन्ड ट्राफिकलाई अनुमति दिनुहोस्
oif lo \
स्वीकार \
टिप्पणी "लूपब्याक इन्टरफेसमा सबै ट्राफिकलाई अनुमति दिनुहोस्"
## अनुमति स्थापित र सम्बन्धित जडानहरू
ct राज्य स्थापित, सम्बन्धित \
काउन्टर \
स्वीकार \
टिप्पणी "स्थापित/सम्बन्धित जडानहरू अनुमति दिनुहोस्"
## खराब स्थितिको साथ जडानहरू छोड्नु अघि आउटबाउन्ड वायरगार्ड ट्राफिकलाई अनुमति दिनुहोस्
oif $DEV_WAN udp खेल $WIREGUARD_PORT \
काउन्टर \
स्वीकार \
टिप्पणी "WireGuard आउटबाउन्ड ट्राफिकलाई अनुमति दिनुहोस्"
## अवैध जडान स्थितिको साथ ट्राफिक छोड्नुहोस्
ct राज्य अवैध \
सीमा दर 100/ मिनेट फट 150 प्याकेटहरू \
लग झण्डा सबै उपसर्ग "आउट - अवैध: " \
टिप्पणी "अमान्य जडान अवस्थाको साथ ट्राफिकको लागि लगिङ दर सीमा"
ct राज्य अवैध \
काउन्टर \
ड्रप \
टिप्पणी "अमान्य जडान स्थितिको साथ ट्राफिक छोड्नुहोस्"
## अन्य सबै आउटबाउन्ड IPv4 ICMP लाई अनुमति दिनुहोस्
ip प्रोटोकल icmp \
काउन्टर \
स्वीकार \
टिप्पणी "सबै IPv4 ICMP प्रकारहरूलाई अनुमति दिनुहोस्"
## अन्य सबै आउटबाउन्ड IPv6 ICMP लाई अनुमति दिनुहोस्
मेटा l4proto { icmpv6 } \
काउन्टर \
स्वीकार \
टिप्पणी "सबै IPv6 ICMP प्रकारहरूलाई अनुमति दिनुहोस्"
## आउटबाउन्ड ट्रेसराउट UDP पोर्टहरूलाई अनुमति दिनुहोस् तर 500 PPS मा सीमित गर्नुहोस्
udp dport 33434-३३५२४\
सीमा दर 500/सेकेन्ड \
काउन्टर \
स्वीकार \
टिप्पणी "परमिट आउटबाउन्ड UDP ट्रेसराउट 500 PPS मा सीमित"
## आउटबाउन्ड HTTP र HTTPS जडानहरूलाई अनुमति दिनुहोस्
tcp dport { http, https } ct राज्य नयाँ \
काउन्टर \
स्वीकार \
टिप्पणी "आउटबाउन्ड HTTP र HTTPS जडानहरूलाई अनुमति दिनुहोस्"
## आउटबाउन्ड SMTP पेश गर्न अनुमति दिनुहोस्
tcp dport सबमिशन ct राज्य नयाँ \
काउन्टर \
स्वीकार \
टिप्पणी "आउटबाउन्ड SMTP पेश गर्न अनुमति दिनुहोस्"
## आउटबाउन्ड DNS अनुरोधहरूलाई अनुमति दिनुहोस्
udp dport 53 \
काउन्टर \
स्वीकार \
टिप्पणी "आउटबाउन्ड UDP DNS अनुरोधहरूलाई अनुमति दिनुहोस्"
tcp dport 53 \
काउन्टर \
स्वीकार \
टिप्पणी "आउटबाउन्ड TCP DNS अनुरोधहरूलाई अनुमति दिनुहोस्"
## आउटबाउन्ड NTP अनुरोधहरूलाई अनुमति दिनुहोस्
udp dport 123 \
काउन्टर \
स्वीकार \
टिप्पणी "आउटबाउन्ड NTP अनुरोधहरूलाई अनुमति दिनुहोस्"
## कुनै पनि बेजोड ट्राफिक लग गर्नुहोस् तर अधिकतम 60 सन्देश / मिनेटमा लगिङको दर सीमा
## पूर्वनिर्धारित नीति बेमेल ट्राफिकमा लागू हुनेछ
सीमा दर 60/ मिनेट फट 100 प्याकेटहरू \
लग उपसर्ग "आउट - ड्रप:" \
टिप्पणी "कुनै पनि बेमेल ट्राफिक लग गर्नुहोस्"
## बेजोड ट्राफिक गणना गर्नुहोस्
काउन्टर \
टिप्पणी "कुनै पनि बेजोड ट्राफिक गणना गर्नुहोस्"
}
}
# मुख्य NAT फिल्टरिङ तालिका
तालिका inet nat {
# NAT ट्राफिक प्रि-राउटिङका लागि नियमहरू
चेन प्रराउटिंग {
टाइप nat हुक prerouting प्राथमिकता dstnat; नीति स्वीकार
}
# NAT ट्राफिक पोस्ट-रूटिङका लागि नियमहरू
# यो तालिका फायरजोन पोस्ट-राउटिंग चेन अघि प्रशोधन गरिएको छ
चेन पोस्टराउटिंग {
नेट हुक पोस्टराउटिंग प्राथमिकता srcnat टाइप गर्नुहोस् - 5; नीति स्वीकार
}
}
फायरवाल चलिरहेको लिनक्स वितरणको लागि सान्दर्भिक स्थानमा भण्डारण गर्नुपर्छ। Debian/Ubuntu को लागि यो हो /etc/nftables.conf र RHEL को लागि यो हो /etc/sysconfig/nftables.conf।
nftables.service लाई बूटमा सुरु गर्न कन्फिगर गर्न आवश्यक छ (यदि पहिले नै छैन) सेट गर्नुहोस्:
systemctl सक्षम nftables.service
यदि फायरवाल टेम्प्लेटमा कुनै पनि परिवर्तनहरू गर्दा सिन्ट्याक्स जाँच आदेश चलाएर प्रमाणित गर्न सकिन्छ:
nft -f /path/to/nftables.conf -c
सर्भरमा चलिरहेको रिलीजको आधारमा निश्चित nftables सुविधाहरू उपलब्ध नहुन सक्ने हुनाले अपेक्षित रूपमा फायरवाल कार्यहरू प्रमाणित गर्न निश्चित हुनुहोस्।
_______________________________________________________________
यो कागजातले तपाइँको सेल्फ-होस्ट गरिएको उदाहरणबाट सङ्कलन गरेको टेलीमेट्री फायरजोन र यसलाई कसरी असक्षम गर्ने भनेर एक सिंहावलोकन प्रस्तुत गर्दछ।
फायरजोन निर्भर गर्दछ टेलिमेट्रीमा हाम्रो रोडम्यापलाई प्राथमिकता दिन र ईन्जिनियरिङ् स्रोतहरूलाई अप्टिमाइज गर्न हामीले फायरजोनलाई सबैका लागि राम्रो बनाउनु पर्छ।
हामीले सङ्कलन गरेको टेलीमेट्रीले निम्न प्रश्नहरूको जवाफ दिने उद्देश्य राख्छ:
त्यहाँ तीन मुख्य स्थानहरू छन् जहाँ टेलीमेट्री फायरजोनमा सङ्कलन गरिन्छ:
यी तीन सन्दर्भहरू मध्ये प्रत्येकमा, हामीले माथिको खण्डमा प्रश्नहरूको जवाफ दिन आवश्यक पर्ने न्यूनतम मात्रामा डेटा खिच्दछौं।
यदि तपाईंले उत्पादन अपडेटहरूमा स्पष्ट रूपमा अप्ट-इन गर्नुभयो भने मात्र प्रशासक इमेलहरू सङ्कलन गरिन्छ। अन्यथा, व्यक्तिगत रूपमा पहिचान योग्य जानकारी हो कहिल्यै संकलित।
फायरजोनले निजी कुबर्नेट्स क्लस्टरमा चलिरहेको पोस्टहगको स्व-होस्ट गरिएको उदाहरणमा टेलिमेट्री भण्डार गर्दछ, फायरजोन टोलीद्वारा मात्र पहुँचयोग्य। यहाँ एउटा टेलीमेट्री घटनाको उदाहरण छ जुन तपाईंको फायरजोनको उदाहरणबाट हाम्रो टेलिमेट्री सर्भरमा पठाइएको छ:
{
"आईडी": “0182272d-0b88-0000-d419-7b9a413713f1”,
"टाइमस्ट्याम्प": “2022-07-22T18:30:39.748000+00:00”,
"घटना": "fz_http_started",
"अलग_आईडी": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"गुण":
"$geoip_city_name": "एशबर्न",
"$geoip_continent_code": "NA",
"$geoip_continent_name": "उत्तर अमेरिका",
"$geoip_country_code": "संयुक्त राज्य अमेरिका",
"$geoip_country_name": "संयुक्त राज्य अमेरिका",
"$geoip_latitude": 39.0469,
"$geoip_longitude": -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "भर्जिनिया",
"$geoip_time_zone": "अमेरिका/न्यूयोर्क",
"$ip": "52.200.241.107",
"$plugins_deferred": [],
"$plugins_failed": [],
"$plugins_succeeded": [
"GeoIP (3)"
],
"अलग_आईडी": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "लिनक्स ५.१३.०",
"संस्करण": "0.4.6"
},
"तत्व_श्रृंखला": ""
}
नोट
फायरजोन विकास टोली निर्भर गर्दछ सबैका लागि फायरजोन अझ राम्रो बनाउन उत्पादन विश्लेषणमा। टेलीमेट्री सक्षम छाड्नु भनेको तपाईंले फायरजोनको विकासमा गर्न सक्ने सबैभन्दा बहुमूल्य योगदान हो। त्यसले भन्यो, हामी बुझ्छौं कि केही प्रयोगकर्ताहरूसँग उच्च गोपनीयता वा सुरक्षा आवश्यकताहरू छन् र टेलिमेट्रीलाई पूर्ण रूपमा असक्षम गर्न रुचाउँछन्। यदि त्यो तपाईं हो भने, पढ्न जारी राख्नुहोस्।
टेलिमेट्री पूर्वनिर्धारित रूपमा सक्षम छ। उत्पादन टेलीमेट्री पूर्ण रूपमा असक्षम गर्न, निम्न कन्फिगरेसन विकल्पलाई /etc/firezone/firezone.rb मा false मा सेट गर्नुहोस् र परिवर्तनहरू उठाउन sudo firezone-ctl पुन: कन्फिगर चलाउनुहोस्।
पूर्वनिर्धारित['आगो क्षेत्र']['टेलीमेट्री']['सक्षम'] = झूटा
यसले सबै उत्पादन टेलिमेट्रीलाई पूर्ण रूपमा असक्षम पार्नेछ।
हेलबाइट्स
9511 क्वीन्स गार्ड Ct.
Laurel, MD 20723
फोन: (732) 771-9995
इमेल: info@hailbytes.com