Firezone GUIతో Hailbytes VPNని అమలు చేయడానికి దశల వారీ సూచనలు ఇక్కడ అందించబడ్డాయి.
నిర్వాహకుడు: సర్వర్ ఉదాహరణను సెటప్ చేయడం నేరుగా ఈ భాగానికి సంబంధించినది.
యూజర్ గైడ్లు: ఫైర్జోన్ని ఎలా ఉపయోగించాలో మరియు సాధారణ సమస్యలను ఎలా పరిష్కరించాలో నేర్పించే సహాయక పత్రాలు. సర్వర్ విజయవంతంగా అమలు చేయబడిన తర్వాత, ఈ విభాగాన్ని చూడండి.
స్ప్లిట్ టన్నెలింగ్: నిర్దిష్ట IP పరిధులకు మాత్రమే ట్రాఫిక్ను పంపడానికి VPNని ఉపయోగించండి.
వైట్లిస్టింగ్: వైట్లిస్టింగ్ని ఉపయోగించడానికి VPN సర్వర్ స్టాటిక్ IP చిరునామాను సెట్ చేయండి.
రివర్స్ టన్నెల్స్: రివర్స్ టన్నెల్లను ఉపయోగించి అనేక మంది సహచరుల మధ్య సొరంగాలను సృష్టించండి.
Hailbytes VPNని ఇన్స్టాల్ చేయడం, అనుకూలీకరించడం లేదా ఉపయోగించుకోవడంలో మీకు సహాయం కావాలంటే మీకు సహాయం చేయడానికి మేము సంతోషిస్తున్నాము.
వినియోగదారులు పరికర కాన్ఫిగరేషన్ ఫైల్లను ఉత్పత్తి చేయడానికి లేదా డౌన్లోడ్ చేయడానికి ముందు, ప్రమాణీకరణ అవసరమయ్యేలా Firezoneని కాన్ఫిగర్ చేయవచ్చు. వినియోగదారులు తమ VPN కనెక్షన్ని సక్రియంగా ఉంచడానికి కాలానుగుణంగా మళ్లీ ప్రామాణీకరించవలసి ఉంటుంది.
Firezone యొక్క డిఫాల్ట్ లాగిన్ పద్ధతి స్థానిక ఇమెయిల్ మరియు పాస్వర్డ్ అయినప్పటికీ, ఇది ఏదైనా ప్రామాణిక OpenID Connect (OIDC) గుర్తింపు ప్రదాతతో కూడా అనుసంధానించబడుతుంది. వినియోగదారులు ఇప్పుడు వారి Okta, Google, Azure AD లేదా ప్రైవేట్ గుర్తింపు ప్రదాత ఆధారాలను ఉపయోగించి Firezoneకి లాగిన్ చేయగలుగుతున్నారు.
సాధారణ OIDC ప్రొవైడర్ను ఏకీకృతం చేయండి
OIDC ప్రొవైడర్ని ఉపయోగించి SSOని అనుమతించడానికి Firezoneకి అవసరమైన కాన్ఫిగరేషన్ పారామితులు దిగువ ఉదాహరణలో చూపబడ్డాయి. /etc/firezone/firezone.rb వద్ద, మీరు కాన్ఫిగరేషన్ ఫైల్ను కనుగొనవచ్చు. అప్లికేషన్ను అప్డేట్ చేయడానికి మరియు మార్పులను ప్రభావితం చేయడానికి firezone-ctl రీకాన్ఫిగర్ని అమలు చేయండి మరియు firezone-ctl పునఃప్రారంభించండి.
# ఇది Google మరియు Oktaని SSO గుర్తింపు ప్రదాతగా ఉపయోగించడం ఒక ఉదాహరణ.
# ఒకే ఫైర్జోన్ ఉదాహరణకి బహుళ OIDC కాన్ఫిగర్లను జోడించవచ్చు.
# ప్రయత్నిస్తున్నప్పుడు ఏదైనా లోపం కనుగొనబడినట్లయితే, ఫైర్జోన్ వినియోగదారు యొక్క VPNని నిలిపివేయగలదు
# వారి యాక్సెస్_టోకెన్ని రిఫ్రెష్ చేయడానికి. ఇది Google, Okta మరియు కోసం పని చేయడానికి ధృవీకరించబడింది
# Azure SSO మరియు వినియోగదారుని VPN తీసివేసినట్లయితే స్వయంచాలకంగా డిస్కనెక్ట్ చేయడానికి ఉపయోగించబడుతుంది
# OIDC ప్రొవైడర్ నుండి. మీ OIDC ప్రొవైడర్ అయితే దీన్ని నిలిపివేయండి
# యాక్సెస్ టోకెన్లను రిఫ్రెష్ చేయడంలో సమస్యలు ఉన్నాయి, ఎందుకంటే ఇది ఊహించని విధంగా అంతరాయం కలిగించవచ్చు a
# వినియోగదారు యొక్క VPN సెషన్.
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['disable_vpn_on_oidc_error'] = తప్పు
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['oidc'] = {
గూగుల్: {
Discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: " ”,
క్లయింట్_రహస్యం: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
ప్రతిస్పందన_రకం: “కోడ్”,
పరిధి: “ఓపెనిడ్ ఇమెయిల్ ప్రొఫైల్”,
లేబుల్: "గూగుల్"
},
okta: {
Discovery_document_uri: “https:// /. well-known/openid-configuration”,
client_id: " ”,
క్లయింట్_రహస్యం: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
ప్రతిస్పందన_రకం: “కోడ్”,
పరిధి: “ఓపెనిడ్ ఇమెయిల్ ప్రొఫైల్ ఆఫ్లైన్_యాక్సెస్”,
లేబుల్: "ఆక్టా"
}
}
ఇంటిగ్రేషన్ కోసం క్రింది కాన్ఫిగర్ సెట్టింగ్లు అవసరం:
ప్రతి OIDC ప్రొవైడర్ కోసం కాన్ఫిగర్ చేయబడిన ప్రొవైడర్ యొక్క సైన్-ఇన్ URLకి దారి మళ్లించడం కోసం సంబంధిత అందమైన URL సృష్టించబడుతుంది. ఎగువ OIDC కాన్ఫిగర్ ఉదాహరణ కోసం, URLలు:
ప్రదాతలు దీని కోసం డాక్యుమెంటేషన్ కలిగి ఉన్నాము:
మీ గుర్తింపు ప్రదాత సాధారణ OIDC కనెక్టర్ను కలిగి ఉంటే మరియు పైన జాబితా చేయనట్లయితే, దయచేసి అవసరమైన కాన్ఫిగరేషన్ సెట్టింగ్లను ఎలా తిరిగి పొందాలనే దానిపై సమాచారం కోసం వారి డాక్యుమెంటేషన్కు వెళ్లండి.
సెట్టింగ్లు/భద్రత కింద సెట్టింగ్ని క్రమానుగతంగా పునఃప్రామాణీకరణ అవసరమయ్యేలా మార్చవచ్చు. వినియోగదారులు వారి VPN సెషన్ను కొనసాగించడానికి రోజూ ఫైర్జోన్లోకి ప్రవేశించాలనే ఆవశ్యకతను అమలు చేయడానికి ఇది ఉపయోగించబడుతుంది.
సెషన్ నిడివిని ఒక గంట మరియు తొంభై రోజుల మధ్య ఉండేలా కాన్ఫిగర్ చేయవచ్చు. దీన్ని నెవర్కి సెట్ చేయడం ద్వారా, మీరు ఎప్పుడైనా VPN సెషన్లను ప్రారంభించవచ్చు. ఇదే ప్రమాణం.
గడువు ముగిసిన VPN సెషన్ను తిరిగి ప్రామాణీకరించడానికి వినియోగదారు తప్పనిసరిగా వారి VPN సెషన్ను ముగించాలి మరియు ఫైర్జోన్ పోర్టల్కి లాగిన్ చేయాలి (డిప్లాయ్మెంట్ సమయంలో పేర్కొనబడిన URL).
ఇక్కడ కనిపించే ఖచ్చితమైన క్లయింట్ సూచనలను అనుసరించడం ద్వారా మీరు మీ సెషన్ను మళ్లీ ప్రామాణీకరించవచ్చు.
VPN కనెక్షన్ స్థితి
వినియోగదారుల పేజీ యొక్క VPN కనెక్షన్ పట్టిక కాలమ్ వినియోగదారు కనెక్షన్ స్థితిని ప్రదర్శిస్తుంది. ఇవి కనెక్షన్ స్థితిగతులు:
ప్రారంభించబడింది - కనెక్షన్ ప్రారంభించబడింది.
నిలిపివేయబడింది - నిర్వాహకుడు లేదా OIDC రిఫ్రెష్ వైఫల్యం ద్వారా కనెక్షన్ నిలిపివేయబడింది.
గడువు ముగిసింది – ప్రామాణీకరణ గడువు ముగిసినందున లేదా వినియోగదారు మొదటిసారి సైన్ ఇన్ చేయనందున కనెక్షన్ నిలిపివేయబడింది.
సాధారణ OIDC కనెక్టర్ ద్వారా, Firezone Google Workspace మరియు Cloud Identityతో సింగిల్ సైన్-ఆన్ (SSO)ని ప్రారంభిస్తుంది. దిగువ జాబితా చేయబడిన కాన్ఫిగరేషన్ పారామితులను ఎలా పొందాలో ఈ గైడ్ మీకు చూపుతుంది, అవి ఏకీకరణకు అవసరమైనవి:
1. OAuth కాన్ఫిగర్ స్క్రీన్
మీరు కొత్త OAuth క్లయింట్ IDని సృష్టించడం ఇదే మొదటిసారి అయితే, మీరు సమ్మతి స్క్రీన్ను కాన్ఫిగర్ చేయమని అడగబడతారు.
* వినియోగదారు రకం కోసం అంతర్గత ఎంచుకోండి. మీ Google Workspace సంస్థలోని వినియోగదారులకు చెందిన ఖాతాలు మాత్రమే పరికర కాన్ఫిగరేషన్లను సృష్టించగలవని ఇది నిర్ధారిస్తుంది. మీరు పరికర కాన్ఫిగరేషన్లను సృష్టించడానికి చెల్లుబాటు అయ్యే Google ఖాతాతో ఎవరినైనా ప్రారంభించాలనుకుంటే మినహా బాహ్యాన్ని ఎంచుకోవద్దు.
యాప్ సమాచార స్క్రీన్పై:
2. OAuth క్లయింట్ IDలను సృష్టించండి
ఈ విభాగం Google స్వంత డాక్యుమెంటేషన్ ఆధారంగా రూపొందించబడింది OAuth 2.0ని సెటప్ చేస్తోంది.
Google క్లౌడ్ కన్సోల్ని సందర్శించండి ఆధారాల పేజీ పేజీ, క్లిక్ చేయండి + ఆధారాలను సృష్టించండి మరియు OAuth క్లయింట్ IDని ఎంచుకోండి.
OAuth క్లయింట్ ID సృష్టి స్క్రీన్పై:
OAuth క్లయింట్ IDని సృష్టించిన తర్వాత, మీకు క్లయింట్ ID మరియు క్లయింట్ రహస్యం ఇవ్వబడుతుంది. ఇవి తదుపరి దశలో దారిమార్పు URIతో కలిసి ఉపయోగించబడతాయి.
మార్చు /etc/firezone/firezone.rb దిగువ ఎంపికలను చేర్చడానికి:
# Googleని SSO గుర్తింపు ప్రదాతగా ఉపయోగించడం
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['oidc'] = {
గూగుల్: {
Discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: " ”,
క్లయింట్_రహస్యం: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
ప్రతిస్పందన_రకం: “కోడ్”,
పరిధి: “ఓపెనిడ్ ఇమెయిల్ ప్రొఫైల్”,
లేబుల్: "గూగుల్"
}
}
అప్లికేషన్ను అప్డేట్ చేయడానికి firezone-ctl రీకాన్ఫిగర్ని అమలు చేయండి మరియు firezone-ctl పునఃప్రారంభించండి. మీరు ఇప్పుడు రూట్ ఫైర్జోన్ URL వద్ద Googleతో సైన్ ఇన్ బటన్ను చూడాలి.
ఆక్టాతో సింగిల్ సైన్-ఆన్ (SSO)ని సులభతరం చేయడానికి Firezone సాధారణ OIDC కనెక్టర్ని ఉపయోగిస్తుంది. దిగువ జాబితా చేయబడిన కాన్ఫిగరేషన్ పారామితులను ఎలా పొందాలో ఈ ట్యుటోరియల్ మీకు చూపుతుంది, అవి ఏకీకరణకు అవసరమైనవి:
గైడ్ యొక్క ఈ విభాగం ఆధారంగా ఉంది Okta యొక్క డాక్యుమెంటేషన్.
అడ్మిన్ కన్సోల్లో, అప్లికేషన్లు > అప్లికేషన్లకు వెళ్లి, క్రియేట్ యాప్ ఇంటిగ్రేషన్ క్లిక్ చేయండి. సైన్-ఇన్ పద్ధతిని OICD – OpenID కనెక్ట్ మరియు అప్లికేషన్ రకాన్ని వెబ్ అప్లికేషన్కి సెట్ చేయండి.
ఈ సెట్టింగ్లను కాన్ఫిగర్ చేయండి:
సెట్టింగ్లు సేవ్ చేయబడిన తర్వాత, మీకు క్లయింట్ ID, క్లయింట్ రహస్యం మరియు Okta డొమైన్ ఇవ్వబడతాయి. Firezoneని కాన్ఫిగర్ చేయడానికి ఈ 3 విలువలు దశ 2లో ఉపయోగించబడతాయి.
మార్చు /etc/firezone/firezone.rb దిగువ ఎంపికలను చేర్చడానికి. మీ Discovery_document_url ఉంటుంది /. well-known/openid-configuration మీ ముగింపుకు జోడించబడింది okta_డొమైన్.
# Oktaని SSO గుర్తింపు ప్రదాతగా ఉపయోగించడం
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['oidc'] = {
okta: {
Discovery_document_uri: “https:// /. well-known/openid-configuration”,
client_id: " ”,
క్లయింట్_రహస్యం: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
ప్రతిస్పందన_రకం: “కోడ్”,
పరిధి: “ఓపెనిడ్ ఇమెయిల్ ప్రొఫైల్ ఆఫ్లైన్_యాక్సెస్”,
లేబుల్: "ఆక్టా"
}
}
అప్లికేషన్ను అప్డేట్ చేయడానికి firezone-ctl రీకాన్ఫిగర్ని అమలు చేయండి మరియు firezone-ctl పునఃప్రారంభించండి. మీరు ఇప్పుడు రూట్ ఫైర్జోన్ URL వద్ద ఆక్టాతో సైన్ ఇన్ చేయడాన్ని చూస్తారు.
Firezone యాప్ని యాక్సెస్ చేయగల వినియోగదారులను Okta ద్వారా పరిమితం చేయవచ్చు. దీన్ని సాధించడానికి మీ Okta అడ్మిన్ కన్సోల్ ఫైర్జోన్ యాప్ ఇంటిగ్రేషన్ యొక్క అసైన్మెంట్స్ పేజీకి వెళ్లండి.
సాధారణ OIDC కనెక్టర్ ద్వారా, ఫైర్జోన్ అజూర్ యాక్టివ్ డైరెక్టరీతో సింగిల్ సైన్-ఆన్ (SSO)ని ప్రారంభిస్తుంది. దిగువ జాబితా చేయబడిన కాన్ఫిగరేషన్ పారామితులను ఎలా పొందాలో ఈ మాన్యువల్ మీకు చూపుతుంది, అవి ఏకీకరణకు అవసరమైనవి:
ఈ గైడ్ నుండి తీసుకోబడింది అజూర్ యాక్టివ్ డైరెక్టరీ డాక్స్.
అజూర్ పోర్టల్ యొక్క అజూర్ యాక్టివ్ డైరెక్టరీ పేజీకి వెళ్లండి. నిర్వహించు మెను ఎంపికను ఎంచుకుని, కొత్త నమోదును ఎంచుకుని, దిగువ సమాచారాన్ని అందించడం ద్వారా నమోదు చేసుకోండి:
నమోదు చేసుకున్న తర్వాత, అప్లికేషన్ యొక్క వివరాల వీక్షణను తెరిచి, కాపీ చేయండి అప్లికేషన్ (క్లయింట్) ID. ఇది క్లయింట్_ఐడి విలువ అవుతుంది. తర్వాత, ఎండ్పాయింట్ల మెనుని తిరిగి పొందడానికి తెరవండి OpenID కనెక్ట్ మెటాడేటా పత్రం. ఇది Discovery_document_uri విలువ అవుతుంది.
నిర్వహించు మెనులో ఉన్న సర్టిఫికెట్లు & రహస్యాలు ఎంపికను క్లిక్ చేయడం ద్వారా కొత్త క్లయింట్ రహస్యాన్ని సృష్టించండి. క్లయింట్ రహస్యాన్ని కాపీ చేయండి; క్లయింట్ రహస్య విలువ ఇలా ఉంటుంది.
చివరగా, నిర్వహించు మెను క్రింద API అనుమతుల లింక్ని ఎంచుకుని, క్లిక్ చేయండి అనుమతిని జోడించండి, మరియు ఎంచుకోండి మైక్రోసాఫ్ట్ గ్రాఫ్, చేర్చు ఇమెయిల్, ఓపెన్డ్, ఆఫ్లైన్_యాక్సెస్ మరియు ప్రొఫైల్ అవసరమైన అనుమతులకు.
మార్చు /etc/firezone/firezone.rb దిగువ ఎంపికలను చేర్చడానికి:
# అజూర్ యాక్టివ్ డైరెక్టరీని SSO గుర్తింపు ప్రదాతగా ఉపయోగించడం
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['oidc'] = {
నీలవర్ణం: {
Discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: " ”,
క్లయింట్_రహస్యం: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
ప్రతిస్పందన_రకం: “కోడ్”,
పరిధి: “ఓపెనిడ్ ఇమెయిల్ ప్రొఫైల్ ఆఫ్లైన్_యాక్సెస్”,
లేబుల్: "అజూర్"
}
}
అప్లికేషన్ను అప్డేట్ చేయడానికి firezone-ctl రీకాన్ఫిగర్ని అమలు చేయండి మరియు firezone-ctl పునఃప్రారంభించండి. మీరు ఇప్పుడు రూట్ ఫైర్జోన్ URL వద్ద అజూర్తో సైన్ ఇన్ చేయడాన్ని చూస్తారు.
Azure AD మీ కంపెనీలోని నిర్దిష్ట వినియోగదారుల సమూహానికి అనువర్తన ప్రాప్యతను పరిమితం చేయడానికి నిర్వాహకులను అనుమతిస్తుంది. దీన్ని ఎలా చేయాలో మరింత సమాచారం Microsoft యొక్క డాక్యుమెంటేషన్లో చూడవచ్చు.
విడుదల ప్యాకేజింగ్, ప్రాసెస్ పర్యవేక్షణ, లాగ్ మేనేజ్మెంట్ మరియు మరిన్నింటితో సహా పనులను నిర్వహించడానికి Firezoneచే Chef Omnibus ఉపయోగించబడుతుంది.
రూబీ కోడ్ ప్రాథమిక కాన్ఫిగరేషన్ ఫైల్ను తయారు చేస్తుంది, ఇది /etc/firezone/firezone.rb వద్ద ఉంది. ఈ ఫైల్కు సవరణలు చేసిన తర్వాత sudo firezone-ctl రీకాన్ఫిగర్ని పునఃప్రారంభించడం వలన చెఫ్ మార్పులను గుర్తించి, వాటిని ప్రస్తుత ఆపరేటింగ్ సిస్టమ్కు వర్తింపజేస్తుంది.
కాన్ఫిగరేషన్ వేరియబుల్స్ మరియు వాటి వివరణల పూర్తి జాబితా కోసం కాన్ఫిగరేషన్ ఫైల్ సూచనను చూడండి.
మీ Firezone ఉదాహరణ దీని ద్వారా నిర్వహించబడుతుంది ఫైర్జోన్-ctl కమాండ్, క్రింద చూపిన విధంగా. చాలా ఉపకమాండ్లకు ఉపసర్గ అవసరం సుడో.
root@demo:~# firezone-ctl
omnibus-ctl: కమాండ్ (సబ్కమాండ్)
సాధారణ ఆదేశాలు:
శుభ్రపరచడానికి
*అన్ని* ఫైర్జోన్ డేటాను తొలగించి, మొదటి నుండి ప్రారంభించండి.
సృష్టించు-లేదా-రీసెట్-అడ్మిన్
డిఫాల్ట్గా పేర్కొన్న ఇమెయిల్తో నిర్వాహకుని కోసం పాస్వర్డ్ను రీసెట్ చేస్తుంది['firezone']['admin_email'] లేదా ఆ ఇమెయిల్ ఉనికిలో లేకుంటే కొత్త నిర్వాహకుడిని సృష్టిస్తుంది.
సహాయం
ఈ సహాయ సందేశాన్ని ప్రింట్ చేయండి.
పునరాకృతి
అప్లికేషన్ను రీకాన్ఫిగర్ చేయండి.
రీసెట్-నెట్వర్క్
nftables, WireGuard ఇంటర్ఫేస్ మరియు రూటింగ్ టేబుల్ని తిరిగి Firezone డిఫాల్ట్లకు రీసెట్ చేస్తుంది.
షో-కాన్ఫిగరేషన్
రీకాన్ఫిగర్ చేయడం ద్వారా రూపొందించబడే కాన్ఫిగరేషన్ను చూపండి.
కన్నీటి-నెట్వర్క్
WireGuard ఇంటర్ఫేస్ మరియు ఫైర్జోన్ nftables పట్టికను తొలగిస్తుంది.
బలవంతం-సర్ట్-పునరుద్ధరణ
గడువు ముగియకపోయినా, ఇప్పుడు సర్టిఫికేట్ పునరుద్ధరణను నిర్బంధించండి.
స్టాప్-సర్ట్-పునరుద్ధరణ
సర్టిఫికేట్లను పునరుద్ధరించే క్రోన్జాబ్ని తొలగిస్తుంది.
అన్ఇన్స్టాల్
అన్ని ప్రక్రియలను చంపి, ప్రాసెస్ సూపర్వైజర్ను అన్ఇన్స్టాల్ చేయండి (డేటా భద్రపరచబడుతుంది).
వెర్షన్
Firezone యొక్క ప్రస్తుత సంస్కరణను ప్రదర్శించు
సేవా నిర్వహణ ఆదేశాలు:
మనోహరమైన-చంపడానికి
ఆకర్షణీయమైన స్టాప్ని ప్రయత్నించండి, ఆపై మొత్తం ప్రక్రియ సమూహాన్ని SIGKILL చేయండి.
హప్
సేవలను HUPకి పంపండి.
పూర్ణాంకానికి
సేవలను INT పంపండి.
చంపడానికి
సేవలను చంపడానికి పంపండి.
ఒకసారి
సేవలు నిలిచిపోతే వాటిని ప్రారంభించండి. అవి ఆగిపోతే వాటిని పునఃప్రారంభించవద్దు.
పునఃప్రారంభమైన
సేవలు నడుస్తున్నట్లయితే వాటిని ఆపివేసి, మళ్లీ ప్రారంభించండి.
సేవా-జాబితా
అన్ని సేవలను జాబితా చేయండి (ప్రారంభించబడిన సేవలు *తో కనిపిస్తాయి.)
ప్రారంభం
సేవలు డౌన్లో ఉంటే ప్రారంభించండి మరియు అవి ఆగిపోతే వాటిని పునఃప్రారంభించండి.
స్థితి
అన్ని సేవల స్థితిని చూపండి.
ఆపడానికి
సేవలను ఆపివేయండి మరియు వాటిని పునఃప్రారంభించవద్దు.
తోక
ప్రారంభించబడిన అన్ని సేవల సేవా లాగ్లను చూడండి.
పదం
సేవలను TERMకి పంపండి.
usr1
సేవలను USR1కి పంపండి.
usr2
సేవలను USR2కి పంపండి.
Firezoneని అప్గ్రేడ్ చేయడానికి ముందు అన్ని VPN సెషన్లు తప్పనిసరిగా నిలిపివేయబడాలి, ఇది వెబ్ UIని షట్ డౌన్ చేయమని కూడా పిలుస్తుంది. అప్గ్రేడ్ చేసేటప్పుడు ఏదైనా తప్పు జరిగితే, నిర్వహణ కోసం ఒక గంట కేటాయించాలని మేము సలహా ఇస్తున్నాము.
Firezoneని మెరుగుపరచడానికి, ఈ క్రింది చర్యలను తీసుకోండి:
ఏవైనా సమస్యలు తలెత్తితే, దయచేసి దీని ద్వారా మాకు తెలియజేయండి మద్దతు టిక్కెట్ను సమర్పించడం.
0.5.0లో కొన్ని బ్రేకింగ్ మార్పులు మరియు కాన్ఫిగరేషన్ సవరణలు ఉన్నాయి, వాటిని తప్పనిసరిగా పరిష్కరించాలి. దిగువన మరింత తెలుసుకోండి.
వెర్షన్ 0.5.0 ప్రకారం ఫోర్స్ SSL మరియు నాన్-SSL పోర్ట్ పారామితులకు Nginx మద్దతు ఇవ్వదు. Firezone పని చేయడానికి SSL అవసరం కాబట్టి, డిఫాల్ట్['firezone']['nginx']['enabled'] = తప్పుని సెట్ చేయడం ద్వారా బండిల్ Nginx సేవను తీసివేయమని మరియు బదులుగా పోర్ట్ 13000లోని Phoenix యాప్కి మీ రివర్స్ ప్రాక్సీని మళ్లించమని మేము సలహా ఇస్తున్నాము (డిఫాల్ట్గా )
0.5.0 బండిల్ చేయబడిన Nginx సేవతో SSL ప్రమాణపత్రాలను స్వయంచాలకంగా పునరుద్ధరించడానికి ACME ప్రోటోకాల్ మద్దతును పరిచయం చేస్తుంది. పనిచేయటానికి,
డూప్లికేట్ గమ్యస్థానాలతో నియమాలను జోడించే అవకాశం Firezone 0.5.0లో పోయింది. మా మైగ్రేషన్ స్క్రిప్ట్ 0.5.0కి అప్గ్రేడ్ చేస్తున్నప్పుడు ఈ పరిస్థితులను స్వయంచాలకంగా గుర్తిస్తుంది మరియు ఇతర నియమాన్ని కలిగి ఉన్న గమ్యస్థానానికి సంబంధించిన నియమాలను మాత్రమే ఉంచుతుంది. ఇది ఓకే అయితే మీరు చేయాల్సిన పని లేదు.
లేకపోతే, అప్గ్రేడ్ చేయడానికి ముందు, ఈ పరిస్థితుల నుండి బయటపడటానికి మీ నియమావళిని మార్చమని మేము సలహా ఇస్తున్నాము.
Firezone 0.5.0 కొత్త, మరింత సౌకర్యవంతమైన OIDC-ఆధారిత కాన్ఫిగరేషన్కు అనుకూలంగా పాత-శైలి Okta మరియు Google SSO కాన్ఫిగరేషన్కు మద్దతును తొలగిస్తుంది.
మీరు డిఫాల్ట్['firezone']['authentication']['okta'] లేదా డిఫాల్ట్['firezone']['authentication']['google'] కీల క్రింద ఏదైనా కాన్ఫిగరేషన్ కలిగి ఉంటే, మీరు వీటిని మా OIDCకి మైగ్రేట్ చేయాలి. దిగువ గైడ్ని ఉపయోగించి -ఆధారిత కాన్ఫిగరేషన్.
ఇప్పటికే ఉన్న Google OAuth కాన్ఫిగరేషన్
/etc/firezone/firezone.rb వద్ద ఉన్న మీ కాన్ఫిగరేషన్ ఫైల్ నుండి పాత Google OAuth కాన్ఫిగరేషన్లను కలిగి ఉన్న ఈ లైన్లను తీసివేయండి
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['గూగుల్']['ఎనేబుల్డ్']
డిఫాల్ట్['firezone']['authentication']['google']['client_id']
డిఫాల్ట్['firezone']['authentication']['google']['client_secret']
డిఫాల్ట్['firezone']['authentication']['google']['redirect_uri']
ఆపై, ఇక్కడ ఉన్న విధానాలను అనుసరించడం ద్వారా Googleని OIDC ప్రొవైడర్గా కాన్ఫిగర్ చేయండి.
(లింక్ సూచనలను అందించండి)<<<<<<<<<<<<<<<<<
ఇప్పటికే ఉన్న Google OAuthని కాన్ఫిగర్ చేయండి
వద్ద ఉన్న మీ కాన్ఫిగరేషన్ ఫైల్ నుండి పాత Okta OAuth కాన్ఫిగరేషన్లను కలిగి ఉన్న ఈ లైన్లను తీసివేయండి /etc/firezone/firezone.rb
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['okta']['ఎనేబుల్డ్']
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['okta']['client_id']
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['okta']['client_secret']
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['okta']['సైట్']
ఆపై, ఇక్కడ ఉన్న విధానాలను అనుసరించడం ద్వారా Oktaని OIDC ప్రొవైడర్గా కాన్ఫిగర్ చేయండి.
మీ ప్రస్తుత సెటప్ మరియు సంస్కరణపై ఆధారపడి, దిగువ సూచనలకు కట్టుబడి ఉండండి:
మీరు ఇప్పటికే OIDC ఏకీకరణను కలిగి ఉంటే:
కొంతమంది OIDC ప్రొవైడర్ల కోసం, >= 0.3.16కి అప్గ్రేడ్ చేయడానికి ఆఫ్లైన్ యాక్సెస్ స్కోప్ కోసం రిఫ్రెష్ టోకెన్ను పొందడం అవసరం. ఇలా చేయడం ద్వారా, ఫైర్జోన్ గుర్తింపు ప్రదాతతో అప్డేట్ చేయబడుతుందని మరియు వినియోగదారుని తొలగించిన తర్వాత VPN కనెక్షన్ ఆపివేయబడిందని నిర్ధారించబడుతుంది. ఫైర్జోన్ యొక్క మునుపటి పునరావృతాలలో ఈ ఫీచర్ లేదు. కొన్ని సందర్భాల్లో, మీ గుర్తింపు ప్రదాత నుండి తొలగించబడిన వినియోగదారులు ఇప్పటికీ VPNకి కనెక్ట్ చేయబడి ఉండవచ్చు.
ఆఫ్లైన్ యాక్సెస్ స్కోప్కు మద్దతిచ్చే OIDC ప్రొవైడర్ల కోసం మీ OIDC కాన్ఫిగరేషన్ యొక్క స్కోప్ పారామీటర్లో ఆఫ్లైన్ యాక్సెస్ని చేర్చడం అవసరం. /etc/firezone/firezone.rb వద్ద ఉన్న Firezone కాన్ఫిగరేషన్ ఫైల్కు మార్పులను వర్తింపజేయడానికి Firezone-ctl రీకాన్ఫిగర్ తప్పనిసరిగా అమలు చేయబడాలి.
మీ OIDC ప్రొవైడర్ ద్వారా ప్రామాణీకరించబడిన వినియోగదారుల కోసం, Firezone విజయవంతంగా రిఫ్రెష్ టోకెన్ను తిరిగి పొందగలిగితే, మీరు వెబ్ UI యొక్క వినియోగదారు వివరాల పేజీలో OIDC కనెక్షన్ల శీర్షికను చూస్తారు.
ఇది పని చేయకపోతే, మీరు ఇప్పటికే ఉన్న మీ OAuth యాప్ని తొలగించి, OIDC సెటప్ దశలను పునరావృతం చేయాలి కొత్త యాప్ ఇంటిగ్రేషన్ని సృష్టించండి .
నాకు ఇప్పటికే OAuth ఇంటిగ్రేషన్ ఉంది
0.3.11కి ముందు, Firezone ముందుగా కాన్ఫిగర్ చేయబడిన OAuth2 ప్రొవైడర్లను ఉపయోగించింది.
సూచనలను అనుసరించండి <span style="font-family: Mandali; ">ఇక్కడ క్లిక్ చేయండి OIDCకి మారడానికి.
నేను గుర్తింపు ప్రదాతను ఇంటిగ్రేట్ చేయలేదు
చర్య అవసరం లేదు.
మీరు సూచనలను అనుసరించవచ్చు <span style="font-family: Mandali; ">ఇక్కడ క్లిక్ చేయండి OIDC ప్రొవైడర్ ద్వారా SSOని ప్రారంభించడానికి.
దాని స్థానంలో, డిఫాల్ట్['firezone']['external url'] కాన్ఫిగరేషన్ ఎంపిక డిఫాల్ట్['firezone']['fqdn']ని భర్తీ చేసింది.
దీన్ని మీ ఫైర్జోన్ ఆన్లైన్ పోర్టల్ యొక్క URLకి సెట్ చేయండి, అది సాధారణ ప్రజలకు అందుబాటులో ఉంటుంది. ఇది డిఫాల్ట్గా https://తో పాటు మీ సర్వర్ యొక్క FQDNని నిర్వచించకపోతే.
కాన్ఫిగరేషన్ ఫైల్ /etc/firezone/firezone.rb వద్ద ఉంది. కాన్ఫిగరేషన్ వేరియబుల్స్ మరియు వాటి వివరణల పూర్తి జాబితా కోసం కాన్ఫిగరేషన్ ఫైల్ సూచనను చూడండి.
Firezone ఇకపై వెర్షన్ 0.3.0 ప్రకారం Firezone సర్వర్లో పరికరం ప్రైవేట్ కీలను ఉంచదు.
ఫైర్జోన్ వెబ్ UI ఈ కాన్ఫిగరేషన్లను మళ్లీ డౌన్లోడ్ చేయడానికి లేదా చూడటానికి మిమ్మల్ని అనుమతించదు, అయితే ఇప్పటికే ఉన్న ఏవైనా పరికరాలు యథాతథంగా పనిచేయడం కొనసాగించాలి.
మీరు Firezone 0.1.x నుండి అప్గ్రేడ్ చేస్తుంటే, మాన్యువల్గా పరిష్కరించాల్సిన కొన్ని కాన్ఫిగరేషన్ ఫైల్ మార్పులు ఉన్నాయి.
మీ /etc/firezone/firezone.rb ఫైల్కు అవసరమైన మార్పులను చేయడానికి, దిగువ ఆదేశాలను రూట్గా అమలు చేయండి.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl రీకాన్ఫిగర్
firezone-ctl పునఃప్రారంభించండి
సంభవించే ఏవైనా సమస్యలకు ఫైర్జోన్ లాగ్లను తనిఖీ చేయడం తెలివైన మొదటి అడుగు.
Firezone లాగ్లను వీక్షించడానికి sudo firezone-ctl టెయిల్ని అమలు చేయండి.
ఫైర్జోన్తో చాలా వరకు కనెక్టివిటీ సమస్యలు అననుకూలమైన iptables లేదా nftables నియమాల ద్వారా ఏర్పడతాయి. మీరు అమలులో ఉన్న ఏవైనా నియమాలు ఫైర్జోన్ నియమాలకు విరుద్ధంగా లేవని మీరు నిర్ధారించుకోవాలి.
మీరు మీ WireGuard టన్నెల్ని సక్రియం చేసిన ప్రతిసారీ మీ ఇంటర్నెట్ కనెక్టివిటీ క్షీణిస్తే, మీరు Firezone ద్వారా అనుమతించాలనుకుంటున్న స్థానాలకు మీ WireGuard క్లయింట్ల నుండి ప్యాకెట్లను FORWARD చైన్ అనుమతిస్తుందని నిర్ధారించుకోండి.
డిఫాల్ట్ రూటింగ్ విధానం అనుమతించబడిందని నిర్ధారించుకోవడం ద్వారా మీరు ufwని ఉపయోగిస్తుంటే ఇది సాధించవచ్చు:
ubuntu@fz:~$ sudo ufw డిఫాల్ట్ రూట్ చేయడాన్ని అనుమతించండి
డిఫాల్ట్ రూట్ చేయబడిన విధానం 'అనుమతించు'కి మార్చబడింది
(తదనుగుణంగా మీ నియమాలను నవీకరించండి)
A ufw సాధారణ Firezone సర్వర్ స్థితి ఇలా ఉండవచ్చు:
ubuntu@fz:~$ sudo ufw స్థితి వెర్బోస్
స్థితి: చురుకుగా
లాగింగ్: ఆన్ (తక్కువ)
డిఫాల్ట్: తిరస్కరించు (ఇన్కమింగ్), అనుమతించు (అవుట్గోయింగ్), అనుమతించు (మార్గం)
కొత్త ప్రొఫైల్లు: దాటవేయి
నుండి చర్యకు
————-
22/tcp ఎక్కడైనా అనుమతించండి
80/tcp ఎక్కడైనా అనుమతించండి
443/tcp ఎక్కడైనా అనుమతించండి
51820/udp ఎక్కడైనా అనుమతించండి
22/tcp (v6) ఎక్కడైనా అనుమతించు (v6)
80/tcp (v6) ఎక్కడైనా అనుమతించు (v6)
443/tcp (v6) ఎక్కడైనా అనుమతించు (v6)
51820/udp (v6) ఎక్కడైనా అనుమతించు (v6)
దిగువ వివరించిన విధంగా అత్యంత సున్నితమైన మరియు మిషన్-క్లిష్టమైన ఉత్పత్తి విస్తరణల కోసం వెబ్ ఇంటర్ఫేస్కు ప్రాప్యతను పరిమితం చేయాలని మేము సలహా ఇస్తున్నాము.
సర్వీస్ | డిఫాల్ట్ పోర్ట్ | వినండి చిరునామా | <span style="font-family: Mandali; "> టెండర్ వివరణ</span> |
వికీపీడియా | 80, 443 | అన్ని | ఫైర్జోన్ని నిర్వహించడానికి మరియు ప్రామాణీకరణను సులభతరం చేయడానికి పబ్లిక్ HTTP(S) పోర్ట్. |
వైర్గార్డ్ | 51820 | అన్ని | VPN సెషన్ల కోసం పబ్లిక్ వైర్గార్డ్ పోర్ట్ ఉపయోగించబడుతుంది. (UDP) |
పోస్ట్గ్రెస్క్ల్ | 15432 | 127.0.0.1 | బండిల్ చేయబడిన Postgresql సర్వర్ కోసం స్థానికంగా మాత్రమే పోర్ట్ ఉపయోగించబడుతుంది. |
ఫీనిక్స్ | 13000 | 127.0.0.1 | అప్స్ట్రీమ్ ఎలిక్సర్ యాప్ సర్వర్ ద్వారా స్థానికంగా మాత్రమే పోర్ట్ ఉపయోగించబడింది. |
Firezone యొక్క పబ్లిక్గా బహిర్గతం చేయబడిన వెబ్ UI (డిఫాల్ట్ పోర్ట్లు 443/tcp మరియు 80/tcp ద్వారా) యాక్సెస్ను పరిమితం చేయడం గురించి ఆలోచించమని మేము మీకు సలహా ఇస్తున్నాము మరియు బదులుగా ఉత్పత్తి మరియు పబ్లిక్-ఫేసింగ్ విస్తరణల కోసం Firezoneని నిర్వహించడానికి WireGuard టన్నెల్ను ఉపయోగించండి, ఇక్కడ ఒకే నిర్వాహకుడు బాధ్యత వహిస్తారు. తుది వినియోగదారులకు పరికర కాన్ఫిగరేషన్లను సృష్టించడం మరియు పంపిణీ చేయడం.
ఉదాహరణకు, ఒక నిర్వాహకుడు పరికర కాన్ఫిగరేషన్ని సృష్టించి, స్థానిక WireGuard చిరునామా 10.3.2.2తో సొరంగం సృష్టించినట్లయితే, కింది ufw కాన్ఫిగరేషన్ డిఫాల్ట్ 10.3.2.1 XNUMX సొరంగం చిరునామా:
రూట్@డెమో:~# ufw స్థితి వెర్బోస్
స్థితి: చురుకుగా
లాగింగ్: ఆన్ (తక్కువ)
డిఫాల్ట్: తిరస్కరించు (ఇన్కమింగ్), అనుమతించు (అవుట్గోయింగ్), అనుమతించు (మార్గం)
కొత్త ప్రొఫైల్లు: దాటవేయి
నుండి చర్యకు
————-
22/tcp ఎక్కడైనా అనుమతించండి
51820/udp ఎక్కడైనా అనుమతించండి
10.3.2.2లో ఎక్కడైనా అనుమతించండి
22/tcp (v6) ఎక్కడైనా అనుమతించు (v6)
51820/udp (v6) ఎక్కడైనా అనుమతించు (v6)
ఇది మాత్రమే మిగిలి ఉంటుంది 22/tcp సర్వర్ను నిర్వహించడానికి SSH యాక్సెస్ కోసం బహిర్గతమైంది (ఐచ్ఛికం), మరియు 51820/udp వైర్గార్డ్ సొరంగాలను ఏర్పాటు చేయడానికి బహిర్గతం చేయబడింది.
ఫైర్జోన్ పోస్ట్గ్రెస్క్యూల్ సర్వర్ మరియు మ్యాచింగ్ను బండిల్ చేస్తుంది psql స్థానిక షెల్ నుండి ఉపయోగించగల ప్రయోజనం:
/opt/firezone/mbedded/bin/psql \
-U ఫైర్జోన్ \
-d ఫైర్జోన్ \
-h లోకల్ హోస్ట్ \
-p 15432 \
-c “SQL_STATEMENT”
డీబగ్గింగ్ ప్రయోజనాల కోసం ఇది సహాయపడుతుంది.
సాధారణ పనులు:
వినియోగదారులందరినీ జాబితా చేస్తోంది:
/opt/firezone/mbedded/bin/psql \
-U ఫైర్జోన్ \
-d ఫైర్జోన్ \
-h లోకల్ హోస్ట్ \
-p 15432 \
-c “వినియోగదారుల నుండి * ఎంచుకోండి;”
అన్ని పరికరాలను జాబితా చేయడం:
/opt/firezone/mbedded/bin/psql \
-U ఫైర్జోన్ \
-d ఫైర్జోన్ \
-h లోకల్ హోస్ట్ \
-p 15432 \
-c “పరికరాల నుండి * ఎంచుకోండి;”
వినియోగదారు పాత్రను మార్చండి:
పాత్రను 'అడ్మిన్' లేదా 'అన్ ప్రివిలేజ్డ్'కి సెట్ చేయండి:
/opt/firezone/mbedded/bin/psql \
-U ఫైర్జోన్ \
-d ఫైర్జోన్ \
-h లోకల్ హోస్ట్ \
-p 15432 \
-c “యూజర్లను అప్డేట్ చేయండి రోల్ = 'అడ్మిన్' ఎక్కడ ఇమెయిల్ = 'user@example.com';”
డేటాబేస్ బ్యాకప్ చేయడం:
ఇంకా, pg డంప్ ప్రోగ్రామ్ చేర్చబడింది, ఇది డేటాబేస్ యొక్క సాధారణ బ్యాకప్లను తీసుకోవడానికి ఉపయోగించబడుతుంది. సాధారణ SQL ప్రశ్న ఆకృతిలో డేటాబేస్ కాపీని డంప్ చేయడానికి క్రింది కోడ్ను అమలు చేయండి (SQL ఫైల్ని సృష్టించాల్సిన స్థానంతో /path/to/backup.sqlని భర్తీ చేయండి):
/opt/firezone/embedded/bin/pg_dump \
-U ఫైర్జోన్ \
-d ఫైర్జోన్ \
-h లోకల్ హోస్ట్ \
-p 15432 > /path/to/backup.sql
ఫైర్జోన్ విజయవంతంగా అమలు చేయబడిన తర్వాత, మీ నెట్వర్క్కు యాక్సెస్ను అందించడానికి మీరు తప్పనిసరిగా వినియోగదారులను జోడించాలి. దీన్ని చేయడానికి వెబ్ UI ఉపయోగించబడుతుంది.
/యూజర్ల క్రింద "వినియోగదారుని జోడించు" బటన్ను ఎంచుకోవడం ద్వారా, మీరు వినియోగదారుని జోడించవచ్చు. మీరు వినియోగదారుకు ఇమెయిల్ చిరునామా మరియు పాస్వర్డ్ను అందించాలి. మీ సంస్థలోని వినియోగదారులకు స్వయంచాలకంగా యాక్సెస్ని అనుమతించడానికి, Firezone గుర్తింపు ప్రదాతతో ఇంటర్ఫేస్ మరియు సమకాలీకరణ కూడా చేయగలదు. మరిన్ని వివరాలు లో అందుబాటులో ఉన్నాయి ప్రమాణీకరించడానికి. < ప్రామాణీకరించడానికి లింక్ను జోడించండి
ప్రైవేట్ కీ వారికి మాత్రమే కనిపించేలా వినియోగదారులు వారి స్వంత పరికర కాన్ఫిగరేషన్లను సృష్టించాలని అభ్యర్థించమని మేము సలహా ఇస్తున్నాము. వినియోగదారులు వారి స్వంత పరికర కాన్ఫిగరేషన్లను దీనిలోని సూచనలను అనుసరించడం ద్వారా రూపొందించవచ్చు క్లయింట్ సూచనలు పేజీ.
అన్ని వినియోగదారు పరికర కాన్ఫిగరేషన్లను Firezone నిర్వాహకులు సృష్టించవచ్చు. /యూజర్ల వద్ద ఉన్న వినియోగదారు ప్రొఫైల్ పేజీలో, దీన్ని సాధించడానికి “పరికరాన్ని జోడించు” ఎంపికను ఎంచుకోండి.
[స్క్రీన్షాట్ని చొప్పించండి]
పరికర ప్రొఫైల్ను సృష్టించిన తర్వాత మీరు వినియోగదారుకు WireGuard కాన్ఫిగరేషన్ ఫైల్ను ఇమెయిల్ చేయవచ్చు.
వినియోగదారులు మరియు పరికరాలు లింక్ చేయబడ్డాయి. వినియోగదారుని ఎలా జోడించాలో మరిన్ని వివరాల కోసం, చూడండి వినియోగదారులను జోడించండి.
కెర్నల్ నెట్ఫిల్టర్ సిస్టమ్ను ఉపయోగించడం ద్వారా, ఫైర్జోన్ డ్రాప్ లేదా యాక్సెప్ట్ ప్యాకెట్లను పేర్కొనడానికి ఎగ్రెస్ ఫిల్టరింగ్ సామర్థ్యాలను అనుమతిస్తుంది. అన్ని ట్రాఫిక్లు సాధారణంగా అనుమతించబడతాయి.
IPv4 మరియు IPv6 CIDRలు మరియు IP చిరునామాలు వరుసగా Allowlist మరియు Denylist ద్వారా మద్దతునిస్తాయి. మీరు దానిని జోడించేటప్పుడు వినియోగదారుకు ఒక నియమాన్ని స్కోప్ చేయడానికి ఎంచుకోవచ్చు, ఇది వినియోగదారు యొక్క అన్ని పరికరాలకు నియమాన్ని వర్తింపజేస్తుంది.
ఇన్స్టాల్ చేసి కాన్ఫిగర్ చేయండి
స్థానిక WireGuard క్లయింట్ని ఉపయోగించి VPN కనెక్షన్ని ఏర్పాటు చేయడానికి, ఈ గైడ్ని చూడండి.
ఇక్కడ ఉన్న అధికారిక WireGuard క్లయింట్లు Firezoneకు అనుకూలమైనవి:
పైన పేర్కొనబడని OS సిస్టమ్ల కోసం https://www.wireguard.com/install/ వద్ద అధికారిక WireGuard వెబ్సైట్ను సందర్శించండి.
మీ ఫైర్జోన్ అడ్మినిస్ట్రేటర్ లేదా మీరే ఫైర్జోన్ పోర్టల్ని ఉపయోగించి పరికర కాన్ఫిగరేషన్ ఫైల్ను రూపొందించవచ్చు.
పరికర కాన్ఫిగరేషన్ ఫైల్ను స్వీయ-ఉత్పత్తి చేయడానికి మీ Firezone నిర్వాహకులు అందించిన URLని సందర్శించండి. మీ సంస్థ దీని కోసం ప్రత్యేకమైన URLని కలిగి ఉంటుంది; ఈ సందర్భంలో, ఇది https://instance-id.yourfirezone.com.
Firezone Okta SSOకి లాగిన్ చేయండి
[స్క్రీన్షాట్ని చొప్పించు]
WireGuard క్లయింట్ని తెరవడం ద్వారా.conf ఫైల్ని దిగుమతి చేయండి. యాక్టివేట్ స్విచ్ను తిప్పడం ద్వారా, మీరు VPN సెషన్ను ప్రారంభించవచ్చు.
[స్క్రీన్షాట్ని చొప్పించు]
మీ VPN కనెక్షన్ని సక్రియంగా ఉంచడానికి మీ నెట్వర్క్ అడ్మినిస్ట్రేటర్ పునరావృత ప్రామాణీకరణను తప్పనిసరి చేసినట్లయితే, దిగువ సూచనలను అనుసరించండి.
నీకు అవసరం:
ఫైర్జోన్ పోర్టల్ యొక్క URL: కనెక్షన్ కోసం మీ నెట్వర్క్ అడ్మినిస్ట్రేటర్ని అడగండి.
మీ నెట్వర్క్ అడ్మినిస్ట్రేటర్ మీ లాగిన్ మరియు పాస్వర్డ్ను అందించగలగాలి. Firezone సైట్ మీ యజమాని ఉపయోగించే ఒకే సైన్-ఆన్ సేవను (Google లేదా Okta వంటివి) ఉపయోగించి లాగిన్ చేయమని మిమ్మల్ని అడుగుతుంది.
[స్క్రీన్షాట్ని చొప్పించు]
ఫైర్జోన్ పోర్టల్ యొక్క URLకి వెళ్లి, మీ నెట్వర్క్ అడ్మినిస్ట్రేటర్ అందించిన ఆధారాలను ఉపయోగించి లాగిన్ అవ్వండి. మీరు ఇప్పటికే సైన్ ఇన్ చేసి ఉంటే, తిరిగి సైన్ ఇన్ చేయడానికి ముందు మళ్లీ ప్రమాణీకరించు బటన్ను క్లిక్ చేయండి.
[స్క్రీన్షాట్ని చొప్పించు]
[స్క్రీన్షాట్ని చొప్పించు]
Linux పరికరాలలో నెట్వర్క్ మేనేజర్ CLIని ఉపయోగించి WireGuard కాన్ఫిగరేషన్ ప్రొఫైల్ను దిగుమతి చేయడానికి, ఈ సూచనలను అనుసరించండి (nmcli).
ప్రొఫైల్లో IPv6 మద్దతు ప్రారంభించబడి ఉంటే, నెట్వర్క్ మేనేజర్ GUIని ఉపయోగించి కాన్ఫిగరేషన్ ఫైల్ను దిగుమతి చేయడానికి ప్రయత్నించడం క్రింది లోపంతో విఫలం కావచ్చు:
ipv6.method: WireGuard కోసం “ఆటో” పద్ధతికి మద్దతు లేదు
WireGuard యూజర్స్పేస్ యుటిలిటీలను ఇన్స్టాల్ చేయడం అవసరం. ఇది Linux పంపిణీల కోసం వైర్గార్డ్ లేదా వైర్గార్డ్-టూల్స్ అని పిలువబడే ప్యాకేజీ.
ఉబుంటు/డెబియన్ కోసం:
sudo apt వైర్గార్డ్ను ఇన్స్టాల్ చేయండి
ఫెడోరాను ఉపయోగించడానికి:
sudo dnf వైర్గార్డ్-టూల్స్ను ఇన్స్టాల్ చేస్తుంది
ఆర్చ్ లైనక్స్:
sudo ప్యాక్మ్యాన్ -S వైర్గార్డ్-టూల్స్
పైన పేర్కొనబడని పంపిణీల కోసం https://www.wireguard.com/install/ వద్ద అధికారిక WireGuard వెబ్సైట్ను సందర్శించండి.
మీ ఫైర్జోన్ అడ్మినిస్ట్రేటర్ లేదా సెల్ఫ్-జనరేషన్ ఫైర్జోన్ పోర్టల్ని ఉపయోగించి పరికర కాన్ఫిగరేషన్ ఫైల్ను రూపొందించవచ్చు.
పరికర కాన్ఫిగరేషన్ ఫైల్ను స్వీయ-ఉత్పత్తి చేయడానికి మీ Firezone నిర్వాహకులు అందించిన URLని సందర్శించండి. మీ సంస్థ దీని కోసం ప్రత్యేకమైన URLని కలిగి ఉంటుంది; ఈ సందర్భంలో, ఇది https://instance-id.yourfirezone.com.
[స్క్రీన్షాట్ని చొప్పించు]
nmcli ఉపయోగించి సరఫరా చేయబడిన కాన్ఫిగరేషన్ ఫైల్ను దిగుమతి చేయండి:
sudo nmcli కనెక్షన్ దిగుమతి రకం వైర్గార్డ్ ఫైల్ /path/to/configuration.conf
కాన్ఫిగరేషన్ ఫైల్ పేరు WireGuard కనెక్షన్/ఇంటర్ఫేస్కు అనుగుణంగా ఉంటుంది. దిగుమతి చేసిన తర్వాత, అవసరమైతే కనెక్షన్ పేరు మార్చవచ్చు:
nmcli కనెక్షన్ సవరించు [పాత పేరు] connection.id [కొత్త పేరు]
కమాండ్ లైన్ ద్వారా, ఈ క్రింది విధంగా VPN కి కనెక్ట్ చేయండి:
nmcli కనెక్షన్ అప్ [vpn పేరు]
డిస్కనెక్ట్ చేయడానికి:
nmcli కనెక్షన్ డౌన్ [vpn పేరు]
GUIని ఉపయోగిస్తుంటే కనెక్షన్ని నిర్వహించడానికి వర్తించే నెట్వర్క్ మేనేజర్ ఆప్లెట్ కూడా ఉపయోగించబడుతుంది.
ఆటోకనెక్ట్ ఎంపిక కోసం “అవును” ఎంచుకోవడం ద్వారా, VPN కనెక్షన్ స్వయంచాలకంగా కనెక్ట్ అయ్యేలా కాన్ఫిగర్ చేయబడుతుంది:
nmcli కనెక్షన్ [vpn పేరు] కనెక్షన్ని సవరించండి. <<<<<<<<<<<<<<<<<<<<<<
స్వీయ కనెక్ట్ అవును
ఆటోమేటిక్ కనెక్షన్ని డిసేబుల్ చెయ్యడానికి దాన్ని మళ్లీ సంఖ్యకు సెట్ చేయండి:
nmcli కనెక్షన్ [vpn పేరు] కనెక్షన్ని సవరించండి.
ఆటోకనెక్ట్ నం
MFAని సక్రియం చేయడానికి Firezone పోర్టల్ యొక్క /యూజర్ ఖాతా/రిజిస్టర్ mfa పేజీకి వెళ్లండి. QR కోడ్ని రూపొందించిన తర్వాత దాన్ని స్కాన్ చేయడానికి మీ ప్రామాణీకరణ యాప్ని ఉపయోగించండి, ఆపై ఆరు అంకెల కోడ్ను నమోదు చేయండి.
మీరు మీ ప్రామాణీకరణ యాప్ను తప్పుగా ఉంచినట్లయితే మీ ఖాతా యాక్సెస్ సమాచారాన్ని రీసెట్ చేయడానికి మీ నిర్వాహకులను సంప్రదించండి.
ఈ ట్యుటోరియల్ Firezoneతో WireGuard యొక్క స్ప్లిట్ టన్నెలింగ్ ఫీచర్ని సెటప్ చేసే ప్రక్రియ ద్వారా మిమ్మల్ని నడిపిస్తుంది, తద్వారా నిర్దిష్ట IP పరిధులకు మాత్రమే ట్రాఫిక్ VPN సర్వర్ ద్వారా ఫార్వార్డ్ చేయబడుతుంది.
క్లయింట్ నెట్వర్క్ ట్రాఫిక్ను రూట్ చేసే IP పరిధులు /settings/default పేజీలో ఉన్న అనుమతించబడిన IPల ఫీల్డ్లో సెట్ చేయబడ్డాయి. Firezone ద్వారా ఉత్పత్తి చేయబడిన కొత్తగా సృష్టించబడిన WireGuard టన్నెల్ కాన్ఫిగరేషన్లు మాత్రమే ఈ ఫీల్డ్లో మార్పుల ద్వారా ప్రభావితమవుతాయి.
[స్క్రీన్షాట్ని చొప్పించు]
డిఫాల్ట్ విలువ 0.0.0.0/0, ::/0, ఇది క్లయింట్ నుండి VPN సర్వర్కు మొత్తం నెట్వర్క్ ట్రాఫిక్ను రూట్ చేస్తుంది.
ఈ ఫీల్డ్లోని విలువల ఉదాహరణలు:
0.0.0.0/0, ::/0 – నెట్వర్క్ ట్రాఫిక్ అంతా VPN సర్వర్కు మళ్లించబడుతుంది.
192.0.2.3/32 – ఒకే IP చిరునామాకు మాత్రమే ట్రాఫిక్ VPN సర్వర్కు మళ్లించబడుతుంది.
3.5.140.0/22 – 3.5.140.1 – 3.5.143.254 పరిధిలోని IPలకు మాత్రమే ట్రాఫిక్ VPN సర్వర్కు మళ్లించబడుతుంది. ఈ ఉదాహరణలో, ap-ఈశాన్య-2 AWS ప్రాంతం కోసం CIDR పరిధి ఉపయోగించబడింది.
ఫైర్జోన్ ప్యాకెట్ను ఎక్కడ రూట్ చేయాలో నిర్ణయించేటప్పుడు ముందుగా అత్యంత ఖచ్చితమైన మార్గంతో అనుబంధించబడిన ఎగ్రెస్ ఇంటర్ఫేస్ను ఎంచుకుంటుంది.
కొత్త స్ప్లిట్ టన్నెల్ కాన్ఫిగరేషన్తో ఇప్పటికే ఉన్న వినియోగదారు పరికరాలను నవీకరించడానికి వినియోగదారులు తప్పనిసరిగా కాన్ఫిగరేషన్ ఫైల్లను పునరుత్పత్తి చేయాలి మరియు వాటిని వారి స్థానిక WireGuard క్లయింట్కి జోడించాలి.
సూచనల కోసం, చూడండి పరికరాన్ని జోడించండి. <<<<<<<<<<<< లింక్ జోడించండి
ఫైర్జోన్ను రిలేగా ఉపయోగించి రెండు పరికరాలను ఎలా లింక్ చేయాలో ఈ మాన్యువల్ ప్రదర్శిస్తుంది. NAT లేదా ఫైర్వాల్ ద్వారా రక్షించబడిన సర్వర్, కంటైనర్ లేదా మెషీన్ను యాక్సెస్ చేయడానికి నిర్వాహకుడిని ప్రారంభించడం ఒక సాధారణ ఉపయోగ సందర్భం.
ఈ దృష్టాంతంలో A మరియు B పరికరాలు సొరంగం నిర్మించే సరళమైన దృశ్యాన్ని చూపుతాయి.
[ఫైర్జోన్ నిర్మాణ చిత్రాన్ని చొప్పించండి]
/users/[user_id]/new_deviceకి నావిగేట్ చేయడం ద్వారా పరికరం A మరియు పరికరం Bని సృష్టించడం ద్వారా ప్రారంభించండి. ప్రతి పరికరం కోసం సెట్టింగ్లలో, కింది పారామీటర్లు దిగువ జాబితా చేయబడిన విలువలకు సెట్ చేయబడిందని నిర్ధారించుకోండి. పరికర కాన్ఫిగరేషన్ను సృష్టించేటప్పుడు మీరు పరికర సెట్టింగ్లను సెట్ చేయవచ్చు (పరికరాలను జోడించు చూడండి). మీరు ఇప్పటికే ఉన్న పరికరంలో సెట్టింగ్లను అప్డేట్ చేయాలనుకుంటే, మీరు కొత్త పరికర కాన్ఫిగరేషన్ను రూపొందించడం ద్వారా అలా చేయవచ్చు.
అన్ని పరికరాలు PersistentKeepalive కాన్ఫిగర్ చేయగల /సెట్టింగ్లు/డిఫాల్ట్ల పేజీని కలిగి ఉన్నాయని గమనించండి.
అనుమతించబడిన IPలు = 10.3.2.2/32
ఇది పరికరం B యొక్క IP లేదా IPల పరిధి
PersistentKeepalive = 25
పరికరం NAT వెనుక ఉన్నట్లయితే, పరికరం టన్నెల్ను సజీవంగా ఉంచగలదని మరియు WireGuard ఇంటర్ఫేస్ నుండి ప్యాకెట్లను స్వీకరించడాన్ని కొనసాగించగలదని ఇది నిర్ధారిస్తుంది. సాధారణంగా 25 విలువ సరిపోతుంది, కానీ మీరు మీ పర్యావరణాన్ని బట్టి ఈ విలువను తగ్గించాల్సి రావచ్చు.
అనుమతించబడిన IPలు = 10.3.2.3/32
ఇది పరికరం A యొక్క IP లేదా IPల పరిధి
PersistentKeepalive = 25
ఈ ఉదాహరణ పరికరం A రెండు దిశలలో D ద్వారా D పరికరాలతో సంభాషించగల పరిస్థితిని చూపుతుంది. ఈ సెటప్ వివిధ నెట్వర్క్లలో అనేక వనరులను (సర్వర్లు, కంటైనర్లు లేదా మెషీన్లు) యాక్సెస్ చేసే ఇంజనీర్ లేదా అడ్మినిస్ట్రేటర్ను సూచిస్తుంది.
[ఆర్కిటెక్చరల్ రేఖాచిత్రం]<<<<<<<<<<<<<<<<<<<<<<<
కింది సెట్టింగ్లు ప్రతి పరికరం యొక్క సెట్టింగ్లలో సంబంధిత విలువలకు అనుగుణంగా ఉన్నాయని నిర్ధారించుకోండి. పరికర కాన్ఫిగరేషన్ను సృష్టించేటప్పుడు, మీరు పరికర సెట్టింగ్లను పేర్కొనవచ్చు (పరికరాలను జోడించు చూడండి). ఇప్పటికే ఉన్న పరికరంలో సెట్టింగ్లు అప్డేట్ కావాలంటే కొత్త పరికర కాన్ఫిగరేషన్ సృష్టించబడుతుంది.
అనుమతించబడిన IPలు = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
ఇది పరికరాల B నుండి D నుండి D వరకు ఉన్న పరికరాల IP. మీరు సెట్ చేయడానికి ఎంచుకున్న ఏదైనా IP పరిధిలో తప్పనిసరిగా చేర్చబడాలి.
PersistentKeepalive = 25
పరికరం టన్నెల్ను నిర్వహించగలదని మరియు అది NAT ద్వారా రక్షించబడినప్పటికీ WireGuard ఇంటర్ఫేస్ నుండి ప్యాకెట్లను స్వీకరించడాన్ని కొనసాగించగలదని ఇది హామీ ఇస్తుంది. చాలా సందర్భాలలో, 25 విలువ సరిపోతుంది, అయితే మీ పరిసరాలను బట్టి, మీరు ఈ సంఖ్యను తగ్గించవలసి ఉంటుంది.
మీ బృందం యొక్క మొత్తం ట్రాఫిక్ బయటకు వెళ్లడానికి ఒకే, స్టాటిక్ ఎగ్రెస్ IPని అందించడానికి, Firezoneని NAT గేట్వేగా ఉపయోగించవచ్చు. ఈ పరిస్థితుల్లో దాని తరచుగా ఉపయోగం ఉంటుంది:
కన్సల్టింగ్ ఎంగేజ్మెంట్లు: మీ కస్టమర్ ప్రతి ఉద్యోగి యొక్క ప్రత్యేక పరికర IP కాకుండా ఒకే స్టాటిక్ IP చిరునామాను వైట్లిస్ట్ చేయాలని అభ్యర్థించండి.
భద్రత లేదా గోప్యతా ప్రయోజనాల కోసం ప్రాక్సీని ఉపయోగించడం లేదా మీ సోర్స్ IPని మాస్క్ చేయడం.
స్వీయ-హోస్ట్ చేసిన వెబ్ అప్లికేషన్కి యాక్సెస్ను ఒకే వైట్లిస్ట్ చేసిన స్టాటిక్ IP రన్నింగ్ ఫైర్జోన్కి పరిమితం చేయడానికి ఒక సాధారణ ఉదాహరణ ఈ పోస్ట్లో ప్రదర్శించబడుతుంది. ఈ ఉదాహరణలో, ఫైర్జోన్ మరియు రక్షిత వనరులు వేర్వేరు VPC ప్రాంతాలలో ఉన్నాయి.
అనేక మంది తుది వినియోగదారుల కోసం IP వైట్లిస్ట్ నిర్వహణ స్థానంలో ఈ పరిష్కారం తరచుగా ఉపయోగించబడుతుంది, యాక్సెస్ జాబితా విస్తరిస్తున్నప్పుడు ఇది చాలా సమయం తీసుకుంటుంది.
VPN ట్రాఫిక్ను నిరోధిత వనరుకి మళ్లించడానికి EC2 ఉదాహరణలో ఫైర్జోన్ సర్వర్ను సెటప్ చేయడం మా లక్ష్యం. ఈ సందర్భంలో, కనెక్ట్ చేయబడిన ప్రతి పరికరానికి ప్రత్యేకమైన పబ్లిక్ ఎగ్రెస్ IPని అందించడానికి Firezone నెట్వర్క్ ప్రాక్సీ లేదా NAT గేట్వేగా పని చేస్తోంది.
ఈ సందర్భంలో, tc2.micro అనే EC2 ఇన్స్టెన్స్లో ఫైర్జోన్ ఇన్స్టాన్స్ ఇన్స్టాల్ చేయబడింది. ఫైర్జోన్ని అమలు చేయడం గురించి సమాచారం కోసం, డిప్లాయ్మెంట్ గైడ్కి వెళ్లండి. AWSకి సంబంధించి, తప్పకుండా:
ఫైర్జోన్ EC2 ఉదాహరణ యొక్క భద్రతా సమూహం రక్షిత వనరు యొక్క IP చిరునామాకు అవుట్బౌండ్ ట్రాఫిక్ను అనుమతిస్తుంది.
ఫైర్జోన్ ఉదాహరణ సాగే IPతో వస్తుంది. ఫైర్జోన్ ఉదాహరణ ద్వారా బయటి గమ్యస్థానాలకు ఫార్వార్డ్ చేయబడిన ట్రాఫిక్ దాని మూల IP చిరునామాగా ఉంటుంది. ప్రశ్నలోని IP చిరునామా 52.202.88.54.
[స్క్రీన్షాట్ని చొప్పించు]<<<<<<<<<<<<<<<<<<<<<<<<
స్వీయ-హోస్ట్ చేసిన వెబ్ అప్లికేషన్ ఈ సందర్భంలో రక్షిత వనరుగా పనిచేస్తుంది. IP చిరునామా 52.202.88.54 నుండి వచ్చే అభ్యర్థనల ద్వారా మాత్రమే వెబ్ యాప్ని యాక్సెస్ చేయవచ్చు. వనరుపై ఆధారపడి, వివిధ పోర్ట్లు మరియు ట్రాఫిక్ రకాల్లో ఇన్బౌండ్ ట్రాఫిక్ను అనుమతించడం అవసరం. ఇది ఈ మాన్యువల్లో కవర్ చేయబడలేదు.
[స్క్రీన్షాట్ని చొప్పించండి]<<<<<<<<<<<<<<<<<<<<<<<<
దశ 1లో నిర్వచించబడిన స్టాటిక్ IP నుండి ట్రాఫిక్ తప్పనిసరిగా అనుమతించబడాలని దయచేసి రక్షిత వనరుకి బాధ్యత వహించే మూడవ పక్షానికి చెప్పండి (ఈ సందర్భంలో 52.202.88.54).
డిఫాల్ట్గా, అన్ని యూజర్ ట్రాఫిక్ VPN సర్వర్ గుండా వెళుతుంది మరియు దశ 1లో కాన్ఫిగర్ చేయబడిన స్టాటిక్ IP నుండి వస్తుంది (ఈ సందర్భంలో 52.202.88.54). అయినప్పటికీ, స్ప్లిట్ టన్నెలింగ్ ప్రారంభించబడి ఉంటే, రక్షిత వనరు యొక్క గమ్యస్థాన IP అనుమతించబడిన IPలలో జాబితా చేయబడిందని నిర్ధారించుకోవడానికి సెట్టింగ్లు అవసరం కావచ్చు.
అందుబాటులో ఉన్న కాన్ఫిగరేషన్ ఎంపికల పూర్తి జాబితా క్రింద చూపబడింది /etc/firezone/firezone.rb.
ఎంపిక | వివరణ | డిఫాల్ట్ విలువ |
డిఫాల్ట్['ఫైర్జోన్']['external_url'] | ఈ Firezone ఉదాహరణ యొక్క వెబ్ పోర్టల్ని యాక్సెస్ చేయడానికి URL ఉపయోగించబడింది. | “https://#{node['fqdn'] || నోడ్['హోస్ట్ పేరు']}” |
డిఫాల్ట్['firezone']['config_directory'] | ఫైర్జోన్ కాన్ఫిగరేషన్ కోసం అగ్ర-స్థాయి డైరెక్టరీ. | /etc/firezone' |
డిఫాల్ట్['firezone']['install_directory'] | ఫైర్జోన్ని ఇన్స్టాల్ చేయడానికి అగ్ర-స్థాయి డైరెక్టరీ. | /opt/firezone' |
డిఫాల్ట్['firezone']['app_directory'] | ఫైర్జోన్ వెబ్ అప్లికేషన్ను ఇన్స్టాల్ చేయడానికి అగ్ర-స్థాయి డైరెక్టరీ. | “#{నోడ్['ఫైర్జోన్']['ఇన్స్టాల్_డైరెక్టరీ']}/ఎంబెడెడ్/సర్వీస్/ఫైర్జోన్" |
డిఫాల్ట్['firezone']['log_directory'] | ఫైర్జోన్ లాగ్ల కోసం అగ్ర-స్థాయి డైరెక్టరీ. | /var/log/firezone' |
డిఫాల్ట్['firezone']['var_directory'] | ఫైర్జోన్ రన్టైమ్ ఫైల్ల కోసం అగ్ర-స్థాయి డైరెక్టరీ. | /var/opt/firezone' |
డిఫాల్ట్['ఫైర్జోన్']['యూజర్'] | ప్రత్యేకించబడని Linux వినియోగదారు పేరు చాలా సేవలు మరియు ఫైల్లు చెందినవి. | ఫైర్జోన్' |
డిఫాల్ట్['ఫైర్జోన్']['గ్రూప్'] | Linux సమూహం పేరు చాలా సేవలు మరియు ఫైల్లు చెందినవి. | ఫైర్జోన్' |
డిఫాల్ట్['firezone']['admin_email'] | ప్రారంభ Firezone వినియోగదారు కోసం ఇమెయిల్ చిరునామా. | “firezone@localhost” |
డిఫాల్ట్['firezone']['max_devices_per_user'] | వినియోగదారు కలిగి ఉండగల గరిష్ట సంఖ్యలో పరికరాలు. | 10 |
డిఫాల్ట్['firezone']['allow_unprivileged_device_management'] | పరికరాలను సృష్టించడానికి మరియు తొలగించడానికి నిర్వాహకులు కాని వినియోగదారులను అనుమతిస్తుంది. | TRUE |
డిఫాల్ట్['firezone']['allow_unprivileged_device_configuration'] | పరికర కాన్ఫిగరేషన్లను సవరించడానికి నిర్వాహకులు కాని వినియోగదారులను అనుమతిస్తుంది. నిలిపివేసినప్పుడు, పేరు మరియు వివరణ మినహా అన్ని పరికర ఫీల్డ్లను మార్చకుండా ప్రత్యేక హక్కు లేని వినియోగదారులను నిరోధిస్తుంది. | TRUE |
డిఫాల్ట్['ఫైర్జోన్']['egress_interface'] | టన్నెల్డ్ ట్రాఫిక్ నిష్క్రమించే ఇంటర్ఫేస్ పేరు. నిల్ అయితే, డిఫాల్ట్ రూట్ ఇంటర్ఫేస్ ఉపయోగించబడుతుంది. | nil |
డిఫాల్ట్['ఫైర్జోన్']['fips_enabled'] | OpenSSL FIPల మోడ్ను ప్రారంభించండి లేదా నిలిపివేయండి. | nil |
డిఫాల్ట్['ఫైర్జోన్']['లాగింగ్']['ఎనేబుల్డ్'] | ఫైర్జోన్ అంతటా లాగింగ్ను ప్రారంభించండి లేదా నిలిపివేయండి. లాగింగ్ను పూర్తిగా నిలిపివేయడానికి తప్పుకు సెట్ చేయండి. | TRUE |
డిఫాల్ట్['ఎంటర్ప్రైజ్']['పేరు'] | చెఫ్ 'ఎంటర్ప్రైజ్' కుక్బుక్ ఉపయోగించే పేరు. | ఫైర్జోన్' |
డిఫాల్ట్['firezone']['install_path'] | చెఫ్ 'ఎంటర్ప్రైజ్' కుక్బుక్ ఉపయోగించే పాత్ను ఇన్స్టాల్ చేయండి. పైన ఇన్స్టాల్_డైరెక్టరీ మాదిరిగానే సెట్ చేయాలి. | నోడ్['ఫైర్జోన్']['install_directory'] |
డిఫాల్ట్['ఫైర్జోన్']['sysvinit_id'] | /etc/inittabలో ఐడెంటిఫైయర్ ఉపయోగించబడింది. తప్పనిసరిగా 1-4 అక్షరాల ప్రత్యేక క్రమం ఉండాలి. | SUP' |
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['స్థానికం']['ఎనేబుల్డ్'] | స్థానిక ఇమెయిల్/పాస్వర్డ్ ప్రమాణీకరణను ప్రారంభించండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['firezone']['authentication']['auto_create_oidc_users'] | మొదటిసారి OIDC నుండి సైన్ ఇన్ చేస్తున్న వినియోగదారులను స్వయంచాలకంగా సృష్టించండి. OIDC ద్వారా సైన్ ఇన్ చేయడానికి ఇప్పటికే ఉన్న వినియోగదారులను మాత్రమే అనుమతించడాన్ని నిలిపివేయండి. | TRUE |
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['disable_vpn_on_oidc_error'] | వారి OIDC టోకెన్ను రిఫ్రెష్ చేయడానికి ప్రయత్నిస్తున్నప్పుడు లోపం గుర్తించబడితే వినియోగదారు VPNని నిలిపివేయండి. | FALSE |
డిఫాల్ట్['ఫైర్జోన్']['ప్రామాణీకరణ']['oidc'] | OpenID Connect config, {“provider” => [config…]} ఆకృతిలో – చూడండి OpenIDConnect డాక్యుమెంటేషన్ కాన్ఫిగరేషన్ ఉదాహరణల కోసం. | {} |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['enabled'] | బండిల్ చేయబడిన nginx సర్వర్ని ప్రారంభించండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['ssl_port'] | HTTPS వినే పోర్ట్. | 443 |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['డైరెక్టరీ'] | ఫైర్జోన్-సంబంధిత nginx వర్చువల్ హోస్ట్ కాన్ఫిగరేషన్ని నిల్వ చేయడానికి డైరెక్టరీ. | “#{node['firezone']['var_directory']}/nginx/etc” |
డిఫాల్ట్['firezone']['nginx']['log_directory'] | ఫైర్జోన్-సంబంధిత nginx లాగ్ ఫైల్లను నిల్వ చేయడానికి డైరెక్టరీ. | “#{node['firezone']['log_directory']}/nginx” |
డిఫాల్ట్['firezone']['nginx']['log_rotation']['file_maxbytes'] | Nginx లాగ్ ఫైల్లను తిప్పడానికి ఫైల్ పరిమాణం. | 104857600 |
డిఫాల్ట్['firezone']['nginx']['log_rotation']['num_to_keep'] | విస్మరించడానికి ముందు ఉంచడానికి Firezone nginx లాగ్ ఫైల్ల సంఖ్య. | 10 |
డిఫాల్ట్['firezone']['nginx']['log_x_forwarded_for'] | ఫైర్జోన్ nginx x-ఫార్వార్డెడ్-ఫర్ హెడర్ని లాగిన్ చేయాలా. | TRUE |
డిఫాల్ట్['firezone']['nginx']['hsts_header']['enabled'] | TRUE | |
డిఫాల్ట్['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS హెడర్ కోసం సబ్డొమైన్లను చేర్చండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['firezone']['nginx']['hsts_header']['max_age'] | HSTS హెడర్ కోసం గరిష్ట వయస్సు. | 31536000 |
డిఫాల్ట్['firezone']['nginx']['redirect_to_canonical'] | పైన పేర్కొన్న కానానికల్ FQDNకి URLలను దారి మళ్లించాలా వద్దా | FALSE |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['cache']['enabled'] | Firezone nginx కాష్ని ప్రారంభించండి లేదా నిలిపివేయండి. | FALSE |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['cache']['directory'] | Firezone nginx కాష్ కోసం డైరెక్టరీ. | “#{node['firezone']['var_directory']}/nginx/cache” |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['user'] | ఫైర్జోన్ nginx వినియోగదారు. | నోడ్['ఫైర్జోన్']['యూజర్'] |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['group'] | ఫైర్జోన్ nginx సమూహం. | నోడ్['ఫైర్జోన్']['గ్రూప్'] |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['dir'] | అగ్ర-స్థాయి nginx కాన్ఫిగరేషన్ డైరెక్టరీ. | నోడ్['ఫైర్జోన్']['nginx']['డైరెక్టరీ'] |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['log_dir'] | అగ్ర-స్థాయి nginx లాగ్ డైరెక్టరీ. | నోడ్['ఫైర్జోన్']['nginx']['log_directory'] |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['pid'] | nginx pid ఫైల్ కోసం స్థానం. | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['demon_disable'] | nginx డెమోన్ మోడ్ని ఆపివేయండి, తద్వారా మేము దానిని పర్యవేక్షించగలము. | TRUE |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['gzip'] | nginx gzip కంప్రెషన్ను ఆన్ లేదా ఆఫ్ చేయండి. | పై' |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['gzip_static'] | స్టాటిక్ ఫైల్ల కోసం nginx gzip కంప్రెషన్ను ఆన్ లేదా ఆఫ్ చేయండి. | ఆఫ్' |
డిఫాల్ట్['firezone']['nginx']['gzip_http_version'] | స్టాటిక్ ఫైల్లను సర్వ్ చేయడానికి HTTP వెర్షన్. | 1.0 ' |
డిఫాల్ట్['firezone']['nginx']['gzip_comp_level'] | nginx gzip కుదింపు స్థాయి. | 2 ' |
డిఫాల్ట్['firezone']['nginx']['gzip_proxied'] | అభ్యర్థన మరియు ప్రతిస్పందన ఆధారంగా ప్రాక్సీడ్ అభ్యర్థనల కోసం ప్రతిస్పందనల జిజిపింగ్ని ప్రారంభిస్తుంది లేదా నిలిపివేస్తుంది. | ఏదైనా' |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['gzip_vary'] | “మారి: అంగీకరించు-ఎన్కోడింగ్” ప్రతిస్పందన హెడర్ను చొప్పించడాన్ని ప్రారంభిస్తుంది లేదా నిలిపివేస్తుంది. | ఆఫ్' |
డిఫాల్ట్['firezone']['nginx']['gzip_buffers'] | ప్రతిస్పందనను కుదించడానికి ఉపయోగించే బఫర్ల సంఖ్య మరియు పరిమాణాన్ని సెట్ చేస్తుంది. nil అయితే, nginx డిఫాల్ట్ ఉపయోగించబడుతుంది. | nil |
డిఫాల్ట్['firezone']['nginx']['gzip_types'] | కోసం gzip కంప్రెషన్ని ప్రారంభించడానికి MIME రకాలు. | ['టెక్స్ట్/ప్లెయిన్', 'టెక్స్ట్/సీఎస్ఎస్','అప్లికేషన్/x-జావాస్క్రిప్ట్', 'టెక్స్ట్/xml', 'అప్లికేషన్/xml', 'అప్లికేషన్/rss+xml', 'అప్లికేషన్/atom+xml', ' టెక్స్ట్/జావాస్క్రిప్ట్', 'అప్లికేషన్/జావాస్క్రిప్ట్', 'అప్లికేషన్/json'] |
డిఫాల్ట్['firezone']['nginx']['gzip_min_length'] | ఫైల్ gzip కుదింపును ప్రారంభించడానికి కనిష్ట ఫైల్ పొడవు. | 1000 |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['gzip_disable'] | కోసం gzip కుదింపును నిలిపివేయడానికి వినియోగదారు-ఏజెంట్ సరిపోలిక. | MSIE [1-6]\.' |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['keepalive'] | అప్స్ట్రీమ్ సర్వర్లకు కనెక్షన్ కోసం కాష్ని సక్రియం చేస్తుంది. | పై' |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['keepalive_timeout'] | అప్స్ట్రీమ్ సర్వర్లకు కీపలైవ్ కనెక్షన్ కోసం సెకన్లలో గడువు ముగిసింది. | 65 |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['worker_processes'] | nginx వర్కర్ ప్రక్రియల సంఖ్య. | node['cpu'] && node['cpu']['total'] ? నోడ్['cpu']['మొత్తం'] : 1 |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['worker_connections'] | వర్కర్ ప్రక్రియ ద్వారా తెరవగల ఏకకాల కనెక్షన్ల గరిష్ట సంఖ్య. | 1024 |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['worker_rlimit_nofile'] | వర్కర్ ప్రాసెస్ల కోసం ఓపెన్ ఫైల్ల గరిష్ట సంఖ్యలో పరిమితిని మారుస్తుంది. నిల్ అయితే nginx డిఫాల్ట్ని ఉపయోగిస్తుంది. | nil |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['multi_accept'] | కార్మికులు ఒకేసారి ఒక కనెక్షన్ని అంగీకరించాలా లేదా బహుళంగా అంగీకరించాలా. | TRUE |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['ఈవెంట్'] | nginx ఈవెంట్ల సందర్భంలో ఉపయోగించడానికి కనెక్షన్ ప్రాసెసింగ్ పద్ధతిని పేర్కొంటుంది. | ఈపోల్' |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['server_tokens'] | ఎర్రర్ పేజీలలో మరియు “సర్వర్” ప్రతిస్పందన హెడర్ ఫీల్డ్లో nginx సంస్కరణను విడుదల చేయడాన్ని ప్రారంభిస్తుంది లేదా నిలిపివేస్తుంది. | nil |
డిఫాల్ట్['firezone']['nginx']['server_names_hash_bucket_size'] | సర్వర్ పేర్ల హాష్ పట్టికల కోసం బకెట్ పరిమాణాన్ని సెట్ చేస్తుంది. | 64 |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['sendfile'] | nginx యొక్క sendfile() వినియోగాన్ని ప్రారంభిస్తుంది లేదా నిలిపివేస్తుంది. | పై' |
డిఫాల్ట్['firezone']['nginx']['access_log_options'] | nginx యాక్సెస్ లాగ్ ఎంపికలను సెట్ చేస్తుంది. | nil |
డిఫాల్ట్['firezone']['nginx']['error_log_options'] | nginx ఎర్రర్ లాగ్ ఎంపికలను సెట్ చేస్తుంది. | nil |
డిఫాల్ట్['firezone']['nginx']['disable_access_log'] | nginx యాక్సెస్ లాగ్ను నిలిపివేస్తుంది. | FALSE |
డిఫాల్ట్['firezone']['nginx']['types_hash_max_size'] | nginx రకాలు హాష్ గరిష్ట పరిమాణం. | 2048 |
డిఫాల్ట్['firezone']['nginx']['types_hash_bucket_size'] | nginx రకాలు హాష్ బకెట్ పరిమాణం. | 64 |
డిఫాల్ట్['firezone']['nginx']['proxy_read_timeout'] | nginx ప్రాక్సీ రీడ్ సమయం ముగిసింది. nginx డిఫాల్ట్ని ఉపయోగించడానికి నిల్కి సెట్ చేయండి. | nil |
డిఫాల్ట్['firezone']['nginx']['client_body_buffer_size'] | nginx క్లయింట్ బాడీ బఫర్ పరిమాణం. nginx డిఫాల్ట్ని ఉపయోగించడానికి నిల్కి సెట్ చేయండి. | nil |
డిఫాల్ట్['firezone']['nginx']['client_max_body_size'] | nginx క్లయింట్ గరిష్ట శరీర పరిమాణం. | 250మీ' |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['డిఫాల్ట్']['మాడ్యూల్స్'] | అదనపు nginx మాడ్యూల్లను పేర్కొనండి. | [] |
డిఫాల్ట్['firezone']['nginx']['enable_rate_limiting'] | nginx రేటు పరిమితిని ప్రారంభించండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['firezone']['nginx']['rate_limiting_zone_name'] | Nginx రేటు పరిమితం చేసే జోన్ పేరు. | ఫైర్జోన్' |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['rate_limiting_backoff'] | Nginx రేటు బ్యాక్ఆఫ్ను పరిమితం చేస్తుంది. | 10మీ' |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['rate_limit'] | Nginx రేటు పరిమితి. | 10r/s' |
డిఫాల్ట్['ఫైర్జోన్']['nginx']['ipv6'] | IPv6కి అదనంగా IPv4 కోసం HTTP అభ్యర్థనలను వినడానికి nginxని అనుమతించండి. | TRUE |
డిఫాల్ట్['firezone']['postgresql']['enabled'] | బండిల్ చేయబడిన Postgresqlని ప్రారంభించండి లేదా నిలిపివేయండి. తప్పుకు సెట్ చేయండి మరియు మీ స్వంత Postgresql ఉదాహరణను ఉపయోగించడానికి దిగువ డేటాబేస్ ఎంపికలను పూరించండి. | TRUE |
డిఫాల్ట్['firezone']['postgresql']['username'] | Postgresql కోసం వినియోగదారు పేరు. | నోడ్['ఫైర్జోన్']['యూజర్'] |
డిఫాల్ట్['firezone']['postgresql']['data_directory'] | Postgresql డేటా డైరెక్టరీ. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
డిఫాల్ట్['firezone']['postgresql']['log_directory'] | Postgresql లాగ్ డైరెక్టరీ. | “#{node['firezone']['log_directory']}/postgresql” |
డిఫాల్ట్['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql లాగ్ ఫైల్ గరిష్ట పరిమాణాన్ని తిప్పడానికి ముందు. | 104857600 |
డిఫాల్ట్['firezone']['postgresql']['log_rotation']['num_to_keep'] | ఉంచాల్సిన Postgresql లాగ్ ఫైల్ల సంఖ్య. | 10 |
డిఫాల్ట్['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql చెక్పాయింట్ పూర్తి లక్ష్యం. | 0.5 |
డిఫాల్ట్['firezone']['postgresql']['checkpoint_segments'] | Postgresql చెక్పాయింట్ విభాగాల సంఖ్య. | 3 |
డిఫాల్ట్['firezone']['postgresql']['checkpoint_timeout'] | Postgresql చెక్పాయింట్ గడువు ముగిసింది. | 5నిమి' |
డిఫాల్ట్['ఫైర్జోన్']['postgresql']['checkpoint_warning'] | Postgresql చెక్పాయింట్ హెచ్చరిక సమయం సెకన్లలో. | 30లు' |
డిఫాల్ట్['firezone']['postgresql']['effective_cache_size'] | Postgresql ప్రభావవంతమైన కాష్ పరిమాణం. | 128MB' |
డిఫాల్ట్['firezone']['postgresql']['listen_address'] | Postgresql వినండి చిరునామా. | 127.0.0.1 ' |
డిఫాల్ట్['firezone']['postgresql']['max_connections'] | Postgresql గరిష్ట కనెక్షన్లు. | 350 |
డిఫాల్ట్['firezone']['postgresql']['md5_auth_cidr_addresses'] | md5 auth కోసం అనుమతించడానికి Postgresql CIDRలు. | ['127.0.0.1/32', '::1/128'] |
డిఫాల్ట్['ఫైర్జోన్']['postgresql']['port'] | Postgresql వినే పోర్ట్. | 15432 |
డిఫాల్ట్['firezone']['postgresql']['shared_buffers'] | Postgresql భాగస్వామ్య బఫర్ల పరిమాణం. | “#{(నోడ్['మెమొరీ']['మొత్తం'].to_i / 4) / 1024}MB" |
డిఫాల్ట్['ఫైర్జోన్']['postgresql']['shmmax'] | బైట్లలో Postgresql shmmax. | 17179869184 |
డిఫాల్ట్['ఫైర్జోన్']['postgresql']['shmall'] | బైట్లలో Postgresql shmall. | 4194304 |
డిఫాల్ట్['firezone']['postgresql']['work_mem'] | Postgresql వర్కింగ్ మెమరీ పరిమాణం. | 8MB' |
డిఫాల్ట్['ఫైర్జోన్']['డేటాబేస్']['యూజర్'] | DBకి కనెక్ట్ చేయడానికి Firezone ఉపయోగించే వినియోగదారు పేరును నిర్దేశిస్తుంది. | నోడ్['ఫైర్జోన్']['postgresql']['username'] |
డిఫాల్ట్['ఫైర్జోన్']['డేటాబేస్']['పాస్వర్డ్'] | బాహ్య DBని ఉపయోగిస్తుంటే, DBకి కనెక్ట్ చేయడానికి Firezone ఉపయోగించే పాస్వర్డ్ను పేర్కొంటుంది. | నన్ను మార్చు' |
డిఫాల్ట్['ఫైర్జోన్']['డేటాబేస్']['పేరు'] | ఫైర్జోన్ ఉపయోగించే డేటాబేస్. అది లేనట్లయితే సృష్టించబడుతుంది. | ఫైర్జోన్' |
డిఫాల్ట్['ఫైర్జోన్']['డేటాబేస్']['హోస్ట్'] | ఫైర్జోన్ కనెక్ట్ చేసే డేటాబేస్ హోస్ట్. | నోడ్['ఫైర్జోన్']['postgresql']['listen_address'] |
డిఫాల్ట్['ఫైర్జోన్']['డేటాబేస్']['పోర్ట్'] | ఫైర్జోన్ కనెక్ట్ చేసే డేటాబేస్ పోర్ట్. | నోడ్['ఫైర్జోన్']['postgresql']['port'] |
డిఫాల్ట్['ఫైర్జోన్']['డేటాబేస్']['పూల్'] | డేటాబేస్ పూల్ పరిమాణం Firezone ఉపయోగిస్తుంది. | [10, Etc.nprocessors].max |
డిఫాల్ట్['ఫైర్జోన్']['డేటాబేస్']['ssl'] | SSL ద్వారా డేటాబేస్కి కనెక్ట్ చేయాలా. | FALSE |
డిఫాల్ట్['ఫైర్జోన్']['డేటాబేస్']['ssl_opts'] | {} | |
డిఫాల్ట్['ఫైర్జోన్']['డేటాబేస్']['పారామీటర్లు'] | {} | |
డిఫాల్ట్['ఫైర్జోన్']['డేటాబేస్']['పొడిగింపులు'] | ప్రారంభించడానికి డేటాబేస్ పొడిగింపులు. | { 'plpgsql' => నిజం, 'pg_trgm' => నిజం } |
డిఫాల్ట్['ఫైర్జోన్']['ఫీనిక్స్']['ఎనేబుల్డ్'] | Firezone వెబ్ అప్లికేషన్ను ప్రారంభించండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['ఫైర్జోన్']['ఫీనిక్స్']['listen_address'] | ఫైర్జోన్ వెబ్ అప్లికేషన్ వినే చిరునామా. ఇది nginx ప్రాక్సీల అప్స్ట్రీమ్ వినడానికి చిరునామా అవుతుంది. | 127.0.0.1 ' |
డిఫాల్ట్['ఫైర్జోన్']['ఫీనిక్స్']['పోర్ట్'] | ఫైర్జోన్ వెబ్ అప్లికేషన్ లిజనింగ్ పోర్ట్. ఇది nginx ప్రాక్సీల అప్స్ట్రీమ్ పోర్ట్ అవుతుంది. | 13000 |
డిఫాల్ట్['ఫైర్జోన్']['ఫీనిక్స్']['లాగ్_డైరెక్టరీ'] | Firezone వెబ్ అప్లికేషన్ లాగ్ డైరెక్టరీ. | “#{నోడ్['ఫైర్జోన్']['లాగ్_డైరెక్టరీ']}/ఫీనిక్స్" |
డిఫాల్ట్['ఫైర్జోన్']['ఫీనిక్స్']['లాగ్_రొటేషన్']['file_maxbytes'] | Firezone వెబ్ అప్లికేషన్ లాగ్ ఫైల్ పరిమాణం. | 104857600 |
డిఫాల్ట్['firezone']['phenix']['log_rotation']['num_to_keep'] | ఉంచడానికి Firezone వెబ్ అప్లికేషన్ లాగ్ ఫైల్ల సంఖ్య. | 10 |
డిఫాల్ట్['ఫైర్జోన్']['ఫీనిక్స్']['క్రాష్_డిటెక్షన్']['ఎనేబుల్డ్'] | క్రాష్ కనుగొనబడినప్పుడు ఫైర్జోన్ వెబ్ అప్లికేషన్ను తగ్గించడాన్ని ప్రారంభించండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['ఫైర్జోన్']['ఫీనిక్స్']['external_trusted_proxies'] | IPలు మరియు/లేదా CIDRల శ్రేణిగా ఫార్మాట్ చేయబడిన విశ్వసనీయ రివర్స్ ప్రాక్సీల జాబితా. | [] |
డిఫాల్ట్['ఫైర్జోన్']['ఫీనిక్స్']['private_clients'] | ప్రైవేట్ నెట్వర్క్ HTTP క్లయింట్ల జాబితా, IPలు మరియు/లేదా CIDRల శ్రేణిని ఫార్మాట్ చేసింది. | [] |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['ఎనేబుల్డ్'] | బండిల్ చేయబడిన WireGuard నిర్వహణను ప్రారంభించండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['లాగ్_డైరెక్టరీ'] | బండిల్ చేయబడిన WireGuard నిర్వహణ కోసం లాగ్ డైరెక్టరీ. | “#{node['firezone']['log_directory']}/wireguard" |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['లాగ్_రొటేషన్']['ఫైల్_మాక్స్బైట్స్'] | WireGuard లాగ్ ఫైల్ గరిష్ట పరిమాణం. | 104857600 |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['లాగ్_రొటేషన్']['ఉంచుకోవాల్సిన_సంఖ్య'] | ఉంచడానికి WireGuard లాగ్ ఫైల్ల సంఖ్య. | 10 |
డిఫాల్ట్['firezone']['wireguard']['interface_name'] | WireGuard ఇంటర్ఫేస్ పేరు. ఈ పరామితిని మార్చడం వలన VPN కనెక్టివిటీలో తాత్కాలిక నష్టం జరగవచ్చు. | wg-firezone' |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['పోర్ట్'] | వైర్గార్డ్ వినే పోర్ట్. | 51820 |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['mtu'] | ఈ సర్వర్ మరియు పరికర కాన్ఫిగరేషన్ల కోసం WireGuard ఇంటర్ఫేస్ MTU. | 1280 |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['ఎండ్ పాయింట్'] | పరికర కాన్ఫిగరేషన్లను రూపొందించడానికి WireGuard ఎండ్పాయింట్ ఉపయోగించాలి. nil అయితే, సర్వర్ యొక్క పబ్లిక్ IP చిరునామాకు డిఫాల్ట్ అవుతుంది. | nil |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['dns'] | ఉత్పత్తి చేయబడిన పరికర కాన్ఫిగరేషన్ల కోసం ఉపయోగించడానికి WireGuard DNS. | 1.1.1.1, 1.0.0.1′ |
డిఫాల్ట్['firezone']['wireguard']['allowed_ips'] | రూపొందించబడిన పరికర కాన్ఫిగరేషన్ల కోసం WireGuard అనుమతించబడిన IPలు. | 0.0.0.0/0, ::/0′ |
డిఫాల్ట్['firezone']['wireguard']['persistent_keepalive'] | ఉత్పత్తి చేయబడిన పరికర కాన్ఫిగరేషన్ల కోసం డిఫాల్ట్ PersistentKeepalive సెట్టింగ్. 0 విలువను నిలిపివేస్తుంది. | 0 |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['ipv4']['ఎనేబుల్డ్'] | WireGuard నెట్వర్క్ కోసం IPv4ని ప్రారంభించండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['ipv4']['మాస్క్వెరేడ్'] | IPv4 సొరంగం నుండి నిష్క్రమించే ప్యాకెట్ల కోసం మాస్క్వెరేడ్ని ప్రారంభించండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['ipv4']['నెట్వర్క్'] | WireGuard నెట్వర్క్ IPv4 అడ్రస్ పూల్. | 10.3.2.0/24 |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['ipv4']['చిరునామా'] | WireGuard ఇంటర్ఫేస్ IPv4 చిరునామా. వైర్గార్డ్ అడ్రస్ పూల్లో ఉండాలి. | 10.3.2.1 ' |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['ipv6']['ఎనేబుల్డ్'] | WireGuard నెట్వర్క్ కోసం IPv6ని ప్రారంభించండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['ipv6']['మాస్క్వెరేడ్'] | IPv6 సొరంగం నుండి నిష్క్రమించే ప్యాకెట్ల కోసం మాస్క్వెరేడ్ని ప్రారంభించండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['ipv6']['నెట్వర్క్'] | WireGuard నెట్వర్క్ IPv6 అడ్రస్ పూల్. | fd00::3:2:0/120′ |
డిఫాల్ట్['ఫైర్జోన్']['వైర్గార్డ్']['ipv6']['చిరునామా'] | WireGuard ఇంటర్ఫేస్ IPv6 చిరునామా. తప్పనిసరిగా IPv6 చిరునామా పూల్లో ఉండాలి. | fd00::3:2:1′ |
డిఫాల్ట్['firezone']['runit']['svlogd_bin'] | svlogd బిన్ స్థానాన్ని అమలు చేయండి. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['డైరెక్టరీ'] | ఉత్పత్తి చేయబడిన ధృవపత్రాలను నిల్వ చేయడానికి SSL డైరెక్టరీ. | /var/opt/firezone/ssl' |
డిఫాల్ట్['firezone']['ssl']['email_address'] | స్వీయ సంతకం చేసిన ధృవపత్రాలు మరియు ACME ప్రోటోకాల్ పునరుద్ధరణ నోటీసుల కోసం ఉపయోగించడానికి ఇమెయిల్ చిరునామా. | you@example.com' |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['acme']['enabled'] | FALSE | |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['acme']['server'] | letsencrypt | |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['acme']['keylength'] | ec-256 | |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['సర్టిఫికేట్'] | మీ FQDN కోసం సర్టిఫికేట్ ఫైల్కి మార్గం. పేర్కొన్నట్లయితే ఎగువ ACME సెట్టింగ్ని భర్తీ చేస్తుంది. ACME మరియు ఇది రెండూ శూన్యమైతే స్వీయ-సంతకం చేసిన ధృవీకరణ పత్రం రూపొందించబడుతుంది. | nil |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['certificate_key'] | సర్టిఫికేట్ ఫైల్కి మార్గం. | nil |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nil |
డిఫాల్ట్['firezone']['ssl']['country_name'] | స్వీయ సంతకం సర్టిఫికేట్ కోసం దేశం పేరు. | US' |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['state_name'] | స్వీయ సంతకం సర్టిఫికేట్ కోసం రాష్ట్ర పేరు. | సిఎ ' |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['locality_name'] | స్వీయ సంతకం చేసిన ధృవీకరణ పత్రం కోసం స్థానికత పేరు. | శాన్ ఫ్రాన్సిస్కొ' |
డిఫాల్ట్['firezone']['ssl']['company_name'] | కంపెనీ పేరు స్వీయ సంతకం ధృవీకరణ పత్రం. | నా కంపెనీ' |
డిఫాల్ట్['firezone']['ssl']['organisational_unit_name'] | స్వీయ సంతకం చేసిన ధృవీకరణ పత్రం కోసం సంస్థాగత యూనిట్ పేరు. | కార్యకలాపాలు' |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['cifers'] | nginx ఉపయోగించడానికి SSL సాంకేతికలిపిలు. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['fips_ciphers'] | FIPల మోడ్ కోసం SSL సాంకేతికలిపులు. | FIPS@STRENGTH:!aNULL:!eNULL' |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['ప్రోటోకాల్స్'] | ఉపయోగించడానికి TLS ప్రోటోకాల్లు. | TLSv1 TLSv1.1 TLSv1.2′ |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['session_cache'] | SSL సెషన్ కాష్. | భాగస్వామ్యం:SSL:4m' |
డిఫాల్ట్['ఫైర్జోన్']['ssl']['session_timeout'] | SSL సెషన్ గడువు ముగిసింది. | 5మీ' |
డిఫాల్ట్['firezone']['robots_allow'] | nginx రోబోట్లు అనుమతిస్తాయి. | /' |
డిఫాల్ట్['firezone']['robots_disallow'] | nginx రోబోట్లు అనుమతించవు. | nil |
డిఫాల్ట్['ఫైర్జోన్']['outbound_email']['from'] | చిరునామా నుండి అవుట్బౌండ్ ఇమెయిల్. | nil |
డిఫాల్ట్['firezone']['outbound_email']['provider'] | అవుట్బౌండ్ ఇమెయిల్ సర్వీస్ ప్రొవైడర్. | nil |
డిఫాల్ట్['firezone']['outbound_email']['configs'] | అవుట్బౌండ్ ఇమెయిల్ ప్రొవైడర్ కాన్ఫిగరేషన్లు. | omnibus/cookbooks/firezone/attributes/default.rb చూడండి |
డిఫాల్ట్['ఫైర్జోన్']['టెలిమెట్రీ']['ఎనేబుల్డ్'] | అనామక ఉత్పత్తి టెలిమెట్రీని ప్రారంభించండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['firezone']['connectivity_checks']['enabled'] | ఫైర్జోన్ కనెక్టివిటీ తనిఖీల సేవను ప్రారంభించండి లేదా నిలిపివేయండి. | TRUE |
డిఫాల్ట్['firezone']['connectivity_checks']['interval'] | సెకన్లలో కనెక్టివిటీ తనిఖీల మధ్య విరామం. | 3_600 |
________________________________________________________________
ఇక్కడ మీరు సాధారణ ఫైర్జోన్ ఇన్స్టాలేషన్కు సంబంధించిన ఫైల్లు మరియు డైరెక్టరీల జాబితాను కనుగొంటారు. మీ కాన్ఫిగరేషన్ ఫైల్లో మార్పులను బట్టి ఇవి మారవచ్చు.
మార్గం | వివరణ |
/var/opt/firezone | ఫైర్జోన్ బండిల్ సర్వీస్ల కోసం డేటా మరియు జెనరేట్ చేయబడిన కాన్ఫిగరేషన్ని కలిగి ఉన్న టాప్-లెవల్ డైరెక్టరీ. |
/opt/firezone | ఫైర్జోన్కి అవసరమైన బిల్ట్ లైబ్రరీలు, బైనరీలు మరియు రన్టైమ్ ఫైల్లను కలిగి ఉన్న అగ్ర-స్థాయి డైరెక్టరీ. |
/usr/bin/firezone-ctl | మీ ఫైర్జోన్ ఇన్స్టాలేషన్ను నిర్వహించడానికి firezone-ctl యుటిలిటీ. |
/etc/systemd/system/firezone-runsvdir-start.service | ఫైర్జోన్ రన్విడిర్ సూపర్వైజర్ ప్రక్రియను ప్రారంభించడానికి systemd యూనిట్ ఫైల్. |
/etc/firezone | ఫైర్జోన్ కాన్ఫిగరేషన్ ఫైల్లు. |
__________________________________________________________
ఈ పేజీ డాక్స్లో ఖాళీగా ఉంది
_____________________________________________________________
Firezone నడుస్తున్న సర్వర్ను సురక్షితంగా ఉంచడానికి క్రింది nftables ఫైర్వాల్ టెంప్లేట్ని ఉపయోగించవచ్చు. టెంప్లేట్ కొన్ని అంచనాలను చేస్తుంది; మీరు మీ వినియోగ సందర్భానికి అనుగుణంగా నియమాలను సర్దుబాటు చేయాల్సి రావచ్చు:
వెబ్ ఇంటర్ఫేస్లో కాన్ఫిగర్ చేయబడిన గమ్యస్థానాలకు ట్రాఫిక్ను అనుమతించడానికి/తిరస్కరించడానికి మరియు క్లయింట్ ట్రాఫిక్ కోసం అవుట్బౌండ్ NATని నిర్వహించడానికి Firezone దాని స్వంత nftables నియమాలను కాన్ఫిగర్ చేస్తుంది.
కింది ఫైర్వాల్ టెంప్లేట్ను ఇప్పటికే నడుస్తున్న సర్వర్లో (బూట్ సమయంలో కాదు) వర్తింపజేయడం వలన ఫైర్జోన్ నియమాలు క్లియర్ చేయబడతాయి. ఇది భద్రతాపరమైన చిక్కులను కలిగి ఉండవచ్చు.
దీని కోసం పని చేయడానికి ఫీనిక్స్ సేవను పునఃప్రారంభించండి:
firezone-ctl ఫీనిక్స్ పునఃప్రారంభించండి
#!/usr/sbin/nft -f
## ఇప్పటికే ఉన్న అన్ని నియమాలను క్లియర్ చేయండి/ఫ్లష్ చేయండి
ఫ్లష్ నియమాలు
################################ వేరియబుల్స్ ################# ################
## ఇంటర్నెట్/WAN ఇంటర్ఫేస్ పేరు
DEV_WAN = eth0ని నిర్వచించండి
## WireGuard ఇంటర్ఫేస్ పేరు
DEV_WIREGUARD = wg-firezone నిర్వచించండి
## వైర్గార్డ్ వినే పోర్ట్
WIREGUARD_PORT = నిర్వచించండి 51820
############################## వేరియబుల్స్ ముగింపు ################## #############
# మెయిన్ ఇనెట్ ఫ్యామిలీ ఫిల్టరింగ్ టేబుల్
టేబుల్ inet ఫిల్టర్ {
# ఫార్వార్డ్ ట్రాఫిక్ కోసం నియమాలు
# ఈ గొలుసు ఫైర్జోన్ ఫార్వర్డ్ చైన్ కంటే ముందు ప్రాసెస్ చేయబడుతుంది
గొలుసు ముందుకు {
టైప్ ఫిల్టర్ హుక్ ఫార్వర్డ్ ప్రాధాన్యత ఫిల్టర్ – 5; విధానం అంగీకరించాలి
}
# ఇన్పుట్ ట్రాఫిక్ కోసం నియమాలు
చైన్ ఇన్పుట్ {
టైప్ ఫిల్టర్ హుక్ ఇన్పుట్ ప్రాధాన్యత ఫిల్టర్; విధానం డ్రాప్
## లూప్బ్యాక్ ఇంటర్ఫేస్కు ఇన్బౌండ్ ట్రాఫిక్ను అనుమతించండి
నేను ఉంటే \
అంగీకరించు \
వ్యాఖ్య "లూప్బ్యాక్ ఇంటర్ఫేస్ నుండి మొత్తం ట్రాఫిక్ను అనుమతించండి"
## స్థాపించబడిన మరియు సంబంధిత కనెక్షన్లకు అనుమతి
ct రాష్ట్ర ఏర్పాటు, సంబంధిత \
అంగీకరించు \
వ్యాఖ్య “స్థాపిత/సంబంధిత కనెక్షన్లను అనుమతించండి”
## ఇన్బౌండ్ వైర్గార్డ్ ట్రాఫిక్ను అనుమతించండి
iif $DEV_WAN udp dport $WIREGUARD_PORT \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య “ఇన్బౌండ్ వైర్గార్డ్ ట్రాఫిక్ను అనుమతించండి”
## కొత్త TCP నాన్-SYN ప్యాకెట్లను లాగ్ చేసి డ్రాప్ చేయండి
tcp ఫ్లాగ్లు != synct రాష్ట్రం కొత్తది \
పరిమితి రేటు 100/నిమిషం పేలింది 150 ప్యాకెట్లు \
లాగ్ ఉపసర్గ "IN - కొత్తది !SYN: " \
వ్యాఖ్య “SYN TCP ఫ్లాగ్ సెట్ లేని కొత్త కనెక్షన్ల కోసం రేట్ లిమిట్ లాగింగ్”
tcp ఫ్లాగ్లు != synct రాష్ట్రం కొత్తది \
కౌంటర్ \
డ్రాప్ \
వ్యాఖ్య "SYN TCP ఫ్లాగ్ సెట్ లేని కొత్త కనెక్షన్లను వదలండి"
## చెల్లని ఫిన్/సిన్ ఫ్లాగ్ సెట్తో TCP ప్యాకెట్లను లాగ్ చేసి డ్రాప్ చేయండి
tcp ఫ్లాగ్లు & (ఫిన్|సిన్) == (ఫిన్|సిన్) \
పరిమితి రేటు 100/నిమిషం పేలింది 150 ప్యాకెట్లు \
లాగ్ ఉపసర్గ “IN – TCP FIN|SIN: “ \
వ్యాఖ్య “చెల్లని ఫిన్/సిన్ ఫ్లాగ్ సెట్తో TCP ప్యాకెట్ల కోసం రేట్ లిమిట్ లాగింగ్”
tcp ఫ్లాగ్లు & (ఫిన్|సిన్) == (ఫిన్|సిన్) \
కౌంటర్ \
డ్రాప్ \
వ్యాఖ్య “చెల్లని ఫిన్/సిన్ ఫ్లాగ్ సెట్తో TCP ప్యాకెట్లను వదలండి”
## చెల్లని syn/rst ఫ్లాగ్ సెట్తో TCP ప్యాకెట్లను లాగ్ చేసి డ్రాప్ చేయండి
tcp ఫ్లాగ్లు & (syn|rst) == (syn|rst) \
పరిమితి రేటు 100/నిమిషం పేలింది 150 ప్యాకెట్లు \
లాగ్ ఉపసర్గ “IN – TCP SYN|RST: “ \
వ్యాఖ్య “చెల్లని syn/rst ఫ్లాగ్ సెట్తో TCP ప్యాకెట్ల కోసం రేట్ పరిమితి లాగింగ్”
tcp ఫ్లాగ్లు & (syn|rst) == (syn|rst) \
కౌంటర్ \
డ్రాప్ \
వ్యాఖ్య “చెల్లని syn/rst ఫ్లాగ్ సెట్తో TCP ప్యాకెట్లను వదలండి”
## చెల్లని TCP ఫ్లాగ్లను లాగ్ చేసి వదలండి
tcp ఫ్లాగ్లు & (fin|syn|rst|psh|ack|urg) < (fin) \
పరిమితి రేటు 100/నిమిషం పేలింది 150 ప్యాకెట్లు \
లాగ్ ఉపసర్గ "IN - FIN:" \
వ్యాఖ్య “చెల్లని TCP ఫ్లాగ్ల కోసం రేట్ పరిమితి లాగింగ్ (fin|syn|rst|psh|ack|urg) < (fin)”
tcp ఫ్లాగ్లు & (fin|syn|rst|psh|ack|urg) < (fin) \
కౌంటర్ \
డ్రాప్ \
వ్యాఖ్య “ఫ్లాగ్లతో TCP ప్యాకెట్లను వదలండి (fin|syn|rst|psh|ack|urg) < (fin)”
## చెల్లని TCP ఫ్లాగ్లను లాగ్ చేసి వదలండి
tcp ఫ్లాగ్లు & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
పరిమితి రేటు 100/నిమిషం పేలింది 150 ప్యాకెట్లు \
లాగ్ ఉపసర్గ “IN – FIN|PSH|URG:” \
వ్యాఖ్య “చెల్లని TCP ఫ్లాగ్ల కోసం రేట్ పరిమితి లాగింగ్ (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
tcp ఫ్లాగ్లు & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
కౌంటర్ \
డ్రాప్ \
వ్యాఖ్య “ఫ్లాగ్లతో TCP ప్యాకెట్లను వదలండి (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
## చెల్లని కనెక్షన్ స్థితితో ట్రాఫిక్ను వదలండి
ct స్థితి చెల్లదు \
పరిమితి రేటు 100/నిమిషం పేలింది 150 ప్యాకెట్లు \
లాగ్ ఫ్లాగ్లు అన్ని ఉపసర్గలు "IN - చెల్లదు:" \
వ్యాఖ్య "చెల్లని కనెక్షన్ స్థితితో ట్రాఫిక్ కోసం రేట్ పరిమితి లాగింగ్"
ct స్థితి చెల్లదు \
కౌంటర్ \
డ్రాప్ \
వ్యాఖ్య "చెల్లని కనెక్షన్ స్థితితో ట్రాఫిక్ను వదలండి"
## IPv4 పింగ్/పింగ్ ప్రతిస్పందనలను అనుమతించండి కానీ రేట్ పరిమితి 2000 PPS
ip ప్రోటోకాల్ icmp icmp రకం { echo-reply, echo-request } \
పరిమితి రేటు 2000/రెండవ \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య "పర్మిట్ ఇన్బౌండ్ IPv4 ఎకో (పింగ్) 2000 PPSకి పరిమితం చేయబడింది"
## అన్ని ఇతర ఇన్బౌండ్ IPv4 ICMPని అనుమతించండి
ip ప్రోటోకాల్ icmp \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య "అన్ని ఇతర IPv4 ICMPని అనుమతించండి"
## IPv6 పింగ్/పింగ్ ప్రతిస్పందనలను అనుమతించండి కానీ రేట్ పరిమితి 2000 PPS
icmpv6 రకం { ఎకో-రిప్లై, ఎకో-అభ్యర్థన } \
పరిమితి రేటు 2000/రెండవ \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య "పర్మిట్ ఇన్బౌండ్ IPv6 ఎకో (పింగ్) 2000 PPSకి పరిమితం చేయబడింది"
## అన్ని ఇతర ఇన్బౌండ్ IPv6 ICMPని అనుమతించండి
meta l4proto {icmpv6 } \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య "అన్ని ఇతర IPv6 ICMPని అనుమతించండి"
## ఇన్బౌండ్ ట్రేసర్రూట్ UDP పోర్ట్లను అనుమతించండి కానీ 500 PPSకి పరిమితం చేయండి
udp dport 33434-33524 \
పరిమితి రేటు 500/రెండవ \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య "పర్మిట్ ఇన్బౌండ్ UDP ట్రేసరూట్ 500 PPSకి పరిమితం చేయబడింది"
## ఇన్బౌండ్ SSHని అనుమతించండి
tcp dport ssh ct రాష్ట్రం కొత్త \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య “ఇన్బౌండ్ SSH కనెక్షన్లను అనుమతించండి”
## పర్మిట్ ఇన్బౌండ్ HTTP మరియు HTTPS
tcp dport { http, https } ct కొత్త స్థితి \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య "ఇన్బౌండ్ HTTP మరియు HTTPS కనెక్షన్లను అనుమతించండి"
## ఏదైనా సరిపోలని ట్రాఫిక్ని లాగ్ చేయండి కానీ రేట్ పరిమితి గరిష్టంగా 60 సందేశాలు/నిమిషానికి లాగింగ్ చేయండి
## డిఫాల్ట్ విధానం సరిపోలని ట్రాఫిక్కు వర్తించబడుతుంది
పరిమితి రేటు 60/నిమిషం పేలింది 100 ప్యాకెట్లు \
లాగ్ ఉపసర్గ "IN - డ్రాప్:" \
వ్యాఖ్య "ఏదైనా సరిపోలని ట్రాఫిక్ను లాగ్ చేయండి"
## సరిపోలని ట్రాఫిక్ను లెక్కించండి
కౌంటర్ \
వ్యాఖ్య "ఏదైనా సరిపోలని ట్రాఫిక్ను లెక్కించండి"
}
# అవుట్పుట్ ట్రాఫిక్ కోసం నియమాలు
చైన్ అవుట్పుట్ {
టైప్ ఫిల్టర్ హుక్ అవుట్పుట్ ప్రాధాన్యత ఫిల్టర్; విధానం డ్రాప్
## లూప్బ్యాక్ ఇంటర్ఫేస్కు అవుట్బౌండ్ ట్రాఫిక్ను అనుమతించండి
oif lo \
అంగీకరించు \
వ్యాఖ్య "అన్ని ట్రాఫిక్ను లూప్బ్యాక్ ఇంటర్ఫేస్కు అనుమతించండి"
## స్థాపించబడిన మరియు సంబంధిత కనెక్షన్లకు అనుమతి
ct రాష్ట్ర ఏర్పాటు, సంబంధిత \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య “స్థాపిత/సంబంధిత కనెక్షన్లను అనుమతించండి”
## బ్యాడ్ స్టేట్తో కనెక్షన్లను వదలడానికి ముందు అవుట్బౌండ్ వైర్గార్డ్ ట్రాఫిక్ను అనుమతించండి
oif $DEV_WAN udp క్రీడ $WIREGUARD_PORT \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య “వైర్గార్డ్ అవుట్బౌండ్ ట్రాఫిక్ను అనుమతించండి”
## చెల్లని కనెక్షన్ స్థితితో ట్రాఫిక్ను వదలండి
ct స్థితి చెల్లదు \
పరిమితి రేటు 100/నిమిషం పేలింది 150 ప్యాకెట్లు \
లాగ్ ఫ్లాగ్లు అన్ని ఉపసర్గలు "OUT - చెల్లదు:" \
వ్యాఖ్య "చెల్లని కనెక్షన్ స్థితితో ట్రాఫిక్ కోసం రేట్ పరిమితి లాగింగ్"
ct స్థితి చెల్లదు \
కౌంటర్ \
డ్రాప్ \
వ్యాఖ్య "చెల్లని కనెక్షన్ స్థితితో ట్రాఫిక్ను వదలండి"
## అన్ని ఇతర అవుట్బౌండ్ IPv4 ICMPని అనుమతించండి
ip ప్రోటోకాల్ icmp \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య "అన్ని IPv4 ICMP రకాలను అనుమతించండి"
## అన్ని ఇతర అవుట్బౌండ్ IPv6 ICMPని అనుమతించండి
meta l4proto {icmpv6 } \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య "అన్ని IPv6 ICMP రకాలను అనుమతించండి"
## అవుట్బౌండ్ ట్రేసర్రూట్ UDP పోర్ట్లను అనుమతించండి కానీ 500 PPSకి పరిమితం చేయండి
udp dport 33434-33524 \
పరిమితి రేటు 500/రెండవ \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య "పర్మిట్ అవుట్బౌండ్ UDP ట్రేసరూట్ 500 PPSకి పరిమితం చేయబడింది"
## అవుట్బౌండ్ HTTP మరియు HTTPS కనెక్షన్లను అనుమతించండి
tcp dport { http, https } ct కొత్త స్థితి \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య "అవుట్బౌండ్ HTTP మరియు HTTPS కనెక్షన్లను అనుమతించండి"
## అవుట్బౌండ్ SMTP సమర్పణను అనుమతించండి
tcp dport సమర్పణ ct రాష్ట్రం కొత్త \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య “అవుట్బౌండ్ SMTP సమర్పణను అనుమతించండి”
## అవుట్బౌండ్ DNS అభ్యర్థనలను అనుమతించండి
udp dport 53 \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య “అవుట్బౌండ్ UDP DNS అభ్యర్థనలను అనుమతించండి”
tcp dport 53 \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య “అవుట్బౌండ్ TCP DNS అభ్యర్థనలను అనుమతించండి”
## అవుట్బౌండ్ NTP అభ్యర్థనలను అనుమతించండి
udp dport 123 \
కౌంటర్ \
అంగీకరించు \
వ్యాఖ్య “అవుట్బౌండ్ NTP అభ్యర్థనలను అనుమతించండి”
## ఏదైనా సరిపోలని ట్రాఫిక్ని లాగ్ చేయండి కానీ రేట్ పరిమితి గరిష్టంగా 60 సందేశాలు/నిమిషానికి లాగింగ్ చేయండి
## డిఫాల్ట్ విధానం సరిపోలని ట్రాఫిక్కు వర్తించబడుతుంది
పరిమితి రేటు 60/నిమిషం పేలింది 100 ప్యాకెట్లు \
లాగ్ ఉపసర్గ "అవుట్ - డ్రాప్:" \
వ్యాఖ్య "ఏదైనా సరిపోలని ట్రాఫిక్ను లాగ్ చేయండి"
## సరిపోలని ట్రాఫిక్ను లెక్కించండి
కౌంటర్ \
వ్యాఖ్య "ఏదైనా సరిపోలని ట్రాఫిక్ను లెక్కించండి"
}
}
# ప్రధాన NAT వడపోత పట్టిక
టేబుల్ ఇనెట్ నాట్ {
# NAT ట్రాఫిక్ ప్రీ-రూటింగ్ కోసం నియమాలు
చైన్ ప్రీరౌటింగ్ {
నాట్ హుక్ ప్రిరౌటింగ్ ప్రాధాన్యత dstnat టైప్ చేయండి; విధానం అంగీకరించాలి
}
# NAT ట్రాఫిక్ పోస్ట్-రౌటింగ్ కోసం నియమాలు
# ఈ పట్టిక Firezone పోస్ట్-రౌటింగ్ గొలుసు ముందు ప్రాసెస్ చేయబడుతుంది
చైన్ పోస్ట్రౌటింగ్ {
నాట్ హుక్ పోస్ట్రౌటింగ్ ప్రాధాన్యత srcnat టైప్ చేయండి – 5; విధానం అంగీకరించాలి
}
}
రన్ అవుతున్న Linux పంపిణీ కోసం ఫైర్వాల్ సంబంధిత ప్రదేశంలో నిల్వ చేయబడాలి. Debian/Ubuntu కోసం ఇది /etc/nftables.conf మరియు RHEL కోసం ఇది /etc/sysconfig/nftables.conf.
nftables.service బూట్లో ప్రారంభించడానికి కాన్ఫిగర్ చేయబడాలి (ఇప్పటికే కాకపోతే) సెట్ చేయబడింది:
systemctl nftables.serviceని ఎనేబుల్ చేస్తుంది
ఫైర్వాల్ టెంప్లేట్కు ఏవైనా మార్పులు చేస్తే, చెక్ కమాండ్ని అమలు చేయడం ద్వారా సింటాక్స్ ధృవీకరించబడుతుంది:
nft -f /path/to/nftables.conf -c
సర్వర్లో రన్ అవుతున్న విడుదలపై ఆధారపడి నిర్దిష్ట nftables ఫీచర్లు అందుబాటులో ఉండకపోవచ్చు కాబట్టి ఆశించిన విధంగా ఫైర్వాల్ వర్క్లను ధృవీకరించాలని నిర్ధారించుకోండి.
_______________________________________________________________
ఈ పత్రం మీ స్వీయ-హోస్ట్ చేసిన ఉదాహరణ నుండి ఫైర్జోన్ సేకరించే టెలిమెట్రీ యొక్క అవలోకనాన్ని మరియు దానిని ఎలా డిసేబుల్ చేయాలి.
ఫైర్జోన్ ఆధారపడుతుంది టెలిమెట్రీలో మా రోడ్మ్యాప్కు ప్రాధాన్యత ఇవ్వడానికి మరియు ఇంజినీరింగ్ వనరులను ఆప్టిమైజ్ చేయడానికి మేము ఫైర్జోన్ను ప్రతి ఒక్కరికీ మెరుగ్గా చేయడానికి.
మేము సేకరించే టెలిమెట్రీ క్రింది ప్రశ్నలకు సమాధానమివ్వడం లక్ష్యంగా పెట్టుకుంది:
ఫైర్జోన్లో టెలిమెట్రీని సేకరించే మూడు ప్రధాన ప్రదేశాలు ఉన్నాయి:
ఈ మూడు సందర్భాలలో, ఎగువ విభాగంలోని ప్రశ్నలకు సమాధానమివ్వడానికి అవసరమైన కనీస డేటాను మేము క్యాప్చర్ చేస్తాము.
మీరు ఉత్పత్తి అప్డేట్లను స్పష్టంగా ఎంచుకున్నట్లయితే మాత్రమే అడ్మిన్ ఇమెయిల్లు సేకరించబడతాయి. లేకపోతే, వ్యక్తిగతంగా గుర్తించదగిన సమాచారం ఎప్పుడూ సేకరించారు.
ఫైర్జోన్ ప్రైవేట్ కుబెర్నెట్స్ క్లస్టర్లో పోస్ట్హాగ్ నడుస్తున్న స్వీయ-హోస్ట్ ఉదాహరణలో టెలిమెట్రీని నిల్వ చేస్తుంది, ఫైర్జోన్ బృందం మాత్రమే యాక్సెస్ చేయగలదు. మీ ఫైర్జోన్ ఉదాహరణ నుండి మా టెలిమెట్రీ సర్వర్కి పంపబడిన టెలిమెట్రీ ఈవెంట్కి ఉదాహరణ ఇక్కడ ఉంది:
{
"ఐడి": “0182272d-0b88-0000-d419-7b9a413713f1”,
"సమయ ముద్ర": “2022-07-22T18:30:39.748000+00:00”,
"సంఘటన": “fz_http_started”,
“డిస్టింక్ట్_ఐడి”: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"గుణాలు":{
“$geoip_city_name”: "యాష్బర్న్",
“$geoip_continent_code”: "NA",
“$geoip_continent_name”: "ఉత్తర అమెరికా",
“$geoip_country_code”: "US",
“$geoip_country_name”: "సంయుక్త రాష్ట్రాలు",
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
“$geoip_subdivision_1_code”: "VA",
“$geoip_subdivision_1_name”: "వర్జీనియా",
“$geoip_time_zone”: “అమెరికా/న్యూయార్క్”,
"$ip": "52.200.241.107",
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”: [
"జియోఐపి (3)"
],
“డిస్టింక్ట్_ఐడి”: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": “awsdemo.firezone.dev”,
“kernel_version”: "linux 5.13.0",
"సంస్కరణ: Telugu": "0.4.6"
},
“మూలకాలు_గొలుసు”: ""
}
గమనిక
ఫైర్జోన్ అభివృద్ధి బృందం ఆధారపడుతుంది ఫైర్జోన్ను ప్రతి ఒక్కరికీ మెరుగ్గా చేయడానికి ఉత్పత్తి విశ్లేషణలపై. టెలిమెట్రీని ప్రారంభించడం అనేది ఫైర్జోన్ అభివృద్ధికి మీరు చేయగల ఏకైక అత్యంత విలువైన సహకారం. కొంతమంది వినియోగదారులకు అధిక గోప్యత లేదా భద్రతా అవసరాలు ఉన్నాయని మరియు టెలిమెట్రీని పూర్తిగా నిలిపివేయాలని మేము ఇష్టపడతామని మేము అర్థం చేసుకున్నాము. అది మీరే అయితే, చదువుతూ ఉండండి.
టెలిమెట్రీ డిఫాల్ట్గా ప్రారంభించబడింది. ఉత్పత్తి టెలిమెట్రీని పూర్తిగా నిలిపివేయడానికి, కింది కాన్ఫిగరేషన్ ఎంపికను /etc/firezone/firezone.rbలో తప్పుగా సెట్ చేయండి మరియు మార్పులను తీయడానికి sudo firezone-ctl reconfigureని అమలు చేయండి.
డిఫాల్ట్'ఫైర్జోన్']['టెలిమెట్రీ']['ప్రారంభించబడింది'] = తప్పుడు
ఇది అన్ని ఉత్పత్తి టెలిమెట్రీని పూర్తిగా నిలిపివేస్తుంది.
వడగళ్ళు
9511 క్వీన్స్ గార్డ్ Ct.
లారెల్, MD 20723
ఫోన్: (732) 771-9995
ఇమెయిల్: info@hailbytes.com