پروجيڪٽ
فائر زون GUI سان Hailbytes VPN کي ترتيب ڏيڻ لاءِ قدم قدم هدايتون مهيا ڪيون ويون آهن هتي.
منتظم: سرور جو مثال قائم ڪرڻ سڌو سنئون ھن حصي سان لاڳاپيل آھي.
استعمال ڪندڙ ھدايتون: مددگار دستاويز جيڪي توھان کي سيکاري سگھن ٿا ته فائر زون ڪيئن استعمال ڪجي ۽ عام مسئلا حل ڪجي. سرور جي ڪاميابيءَ سان ٺهڪندڙ ٿيڻ کان پوءِ، هن حصي ڏانهن رجوع ڪريو.
اسپلٽ سرنگنگ: استعمال ڪريو وي پي اين صرف ٽرئفڪ موڪلڻ لاءِ مخصوص IP رينجز ڏانهن.
وائيٽ لسٽنگ: وائيٽ لسٽنگ استعمال ڪرڻ لاءِ وي پي اين سرور جو جامد IP پتو سيٽ ڪريو.
ريورس سرنگون: ريورس سرنگون استعمال ڪندي ڪيترن ئي ساٿين جي وچ ۾ سرنگون ٺاھيو.
اسان توھان جي مدد ڪرڻ تي راضي آھيون جيڪڏھن توھان کي مدد جي ضرورت آھي Hailbytes VPN کي انسٽال ڪرڻ، ڪسٽمائيز ڪرڻ يا استعمال ڪرڻ ۾.
ان کان اڳ جو صارف ٺاهي سگھندا يا ڊائون لوڊ ڪري سگھن ڊيوائس ڪنفيگريشن فائلون، فائر زون کي ترتيب ڏئي سگھجي ٿو تصديق جي ضرورت لاءِ. صارفين کي شايد وقتي طور تي ٻيهر تصديق ڪرڻ جي ضرورت هجي ته جيئن انهن جي وي پي اين ڪنيڪشن کي فعال رکڻ لاء.
جيتوڻيڪ فائر زون جو ڊفالٽ لاگ ان طريقو مقامي اي ميل ۽ پاسورڊ آهي، ان کي ڪنهن به معياري OpenID ڪنيڪٽ (OIDC) سڃاڻپ فراهم ڪندڙ سان پڻ ضم ڪري سگهجي ٿو. صارفين هاڻي فائر زون ۾ لاگ ان ٿيڻ جي قابل آهن انهن جي Okta، گوگل، Azure AD، يا نجي سڃاڻپ فراهم ڪندڙ سندون استعمال ڪندي.
هڪ عام OIDC فراهم ڪندڙ کي ضم ڪريو
هڪ OIDC فراهم ڪندڙ استعمال ڪندي SSO کي اجازت ڏيڻ لاءِ فائر زون پاران گهربل ترتيبن جا پيراگراف هيٺ ڏنل مثال ۾ ڏيکاريا ويا آهن. تي /etc/firezone/firezone.rb، توھان ڳولي سگھوٿا ڪنفيگريشن فائل. ايپليڪيشن کي اپڊيٽ ڪرڻ ۽ تبديلين جو اثر وٺڻ لاءِ فائر زون-سي ٽي ايل ريڪنفيگر ۽ فائر زون- سي ٽي ايل ٻيهر شروع ڪريو.
# ھي ھڪڙو مثال آھي Google ۽ Okta کي SSO سڃاڻپ فراهم ڪندڙ طور استعمال ڪندي.
# گھڻن OIDC ترتيبون شامل ڪري سگھجن ٿيون ساڳئي فائر زون مثال ۾.
# فائر زون هڪ صارف جي وي پي اين کي غير فعال ڪري سگهي ٿو جيڪڏهن ڪوشش ڪرڻ ۾ ڪا غلطي ملي ٿي
# انهن جي رسائي_ٽوڪن کي تازو ڪرڻ لاءِ. Google، Okta، ۽ لاءِ ڪم ڪرڻ جي تصديق ڪئي وئي آھي
# Azure SSO ۽ استعمال ڪيو ويندو آهي خودڪار طريقي سان ختم ڪرڻ لاءِ صارف جي وي پي اين کي ختم ڪرڻ جي صورت ۾
# OIDC فراهم ڪندڙ کان. ھن کي ڇڏي ڏيو غير فعال جيڪڏھن توھان جو OIDC فراهم ڪندڙ
# کي رسائي ٽوڪن کي ريفريش ڪرڻ جو مسئلو آهي جيئن اهو غير متوقع طور تي رڪاوٽ ڪري سگهي ٿو a
# استعمال ڪندڙ جو وي پي اين سيشن.
ڊفالٽ['firezone']['Authentication']['disable_vpn_on_oidc_error'] = غلط
ڊفالٽ['firezone']['Authentication']['oidc'] = {
گوگل: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: " ”،
client_secret: " ”،
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
جواب_قسم: "ڪوڊ"،
دائرو: "اوپنيڊ اي ميل پروفائل"،
ليبل: "گوگل"
},
اوڪتا: {
Discovery_document_uri: "https:// /.well-known/openid-configuration",
client_id: " ”،
client_secret: " ”،
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
جواب_قسم: "ڪوڊ"،
دائرو: "اوپنيڊ اي ميل پروفائل آف لائن_ رسائي"،
ليبل: "اوڪٽا"
}
}
انضمام لاءِ ھيٺيون ٺاھ جوڙ جي ضرورت آھي:
هر OIDC فراهم ڪندڙ لاءِ ترتيب ڏنل مهيا ڪندڙ جي سائن ان URL ڏانهن موٽڻ لاءِ هڪ لاڳاپيل خوبصورت URL ٺاهيو ويو آهي. مثال طور، مٿي ڏنل OIDC ترتيب، URLs آهن:
مهيا ڪندڙ اسان وٽ دستاويز آهن:
جيڪڏهن توهان جي سڃاڻپ فراهم ڪندڙ وٽ هڪ عام OIDC ڪنيڪٽر آهي ۽ مٿي ڏنل نه آهي، مهرباني ڪري انهن جي دستاويزن ڏانهن وڃو معلومات لاءِ ته ڪيئن ضروري ترتيب واري سيٽنگ کي ٻيهر حاصل ڪجي.
سيٽنگون/سيڪيورٽي تحت سيٽنگ کي تبديل ڪري سگھجي ٿو وقتي ٻيهر تصديق جي ضرورت لاءِ. اهو استعمال ڪري سگهجي ٿو ضرورت لاڳو ڪرڻ لاءِ ته صارف باقاعدي طور تي فائر زون ۾ داخل ٿين انهن جي وي پي اين سيشن کي جاري رکڻ لاءِ.
سيشن جي ڊيگهه هڪ ڪلاڪ ۽ نون ڏينهن جي وچ ۾ ترتيب ڏئي سگهجي ٿي. هن کي سيٽ ڪرڻ سان ڪڏهن به نه، توهان ڪنهن به وقت VPN سيشن کي فعال ڪري سگهو ٿا. هي معيار آهي.
هڪ صارف کي پنهنجي VPN سيشن کي ختم ڪرڻ گهرجي ۽ هڪ ختم ٿيل VPN سيشن جي ٻيهر تصديق ڪرڻ لاءِ فائر زون پورٽل ۾ لاگ ان ٿيڻ گهرجي (تعيناتي دوران بيان ڪيل URL).
توھان پنھنجي سيشن جي ٻيهر تصديق ڪري سگھوٿا ھتي مليل ڪلائنٽ ھدايتن تي عمل ڪندي.
VPN ڪنيڪشن جي حالت
صارفين جي صفحي جي VPN ڪنيڪشن ٽيبل ڪالمن ۾ صارف جي ڪنيڪشن جي صورتحال ڏيکاري ٿي. اهي ڪنيڪشن جون حالتون آهن:
فعال - ڪنيڪشن فعال آهي.
غير فعال - ڪنيڪشن هڪ منتظم يا OIDC ريفريش ناڪامي طرفان بند ٿيل آهي.
EXPIRED - تصديق جي ختم ٿيڻ جي ڪري ڪنيڪشن غير فعال آهي يا هڪ صارف پهريون ڀيرو سائن ان نه ڪيو آهي.
عام OIDC ڪنيڪٽر ذريعي، Firezone اڪيلو سائن آن (SSO) کي فعال ڪري ٿو Google Workspace ۽ Cloud Identity سان. هي گائيڊ توهان کي ڏيکاريندو ته هيٺ ڏنل فهرستن جي ترتيبن جي پيراگرافن کي ڪيئن حاصل ڪجي، جيڪي انضمام لاء ضروري آهن:
1. OAuth ڪنفيگ اسڪرين
جيڪڏهن هي پهريون ڀيرو آهي ته توهان هڪ نئين OAuth ڪلائنٽ ID ٺاهي رهيا آهيو، توهان کي چيو ويندو رضامندي اسڪرين کي ترتيب ڏيڻ لاءِ.
* منتخب ڪريو اندروني استعمال ڪندڙ جي قسم لاءِ. اهو يقيني بڻائي ٿو ته توهان جي Google Workspace آرگنائيزيشن ۾ صرف استعمال ڪندڙن جا اڪائونٽ ئي ڊوائيس ترتيب ٺاهي سگهن ٿا. خارجي کي منتخب نه ڪريو جيستائين توھان چاھيو ٿا ڪنھن کي فعال ڪرڻ لاءِ صحيح گوگل کاتي سان ڊيوائس ترتيبون ٺاھيو.
ايپ جي معلومات اسڪرين تي:
2. OAuth ڪلائنٽ IDs ٺاهيو
هي سيڪشن گوگل جي پنهنجي دستاويزن تي ٻڌل آهي OAuth 2.0 ترتيب ڏيڻ.
گوگل ڪلائوڊ ڪنسول تي وڃو سندون صفحو صفحو، ڪلڪ ڪريو + ٺاھ ٺاھيو سندون ۽ چونڊيو OAuth ڪلائنٽ ID.
OAuth ڪلائنٽ ID ٺاهڻ اسڪرين تي:
OAuth ڪلائنٽ ID ٺاهڻ کان پوء، توهان کي هڪ ڪلائنٽ ID ۽ ڪلائنٽ راز ڏنو ويندو. اهي ايندڙ قدم ۾ ريڊريٽ URI سان گڏ استعمال ڪيا ويندا.
تبديلي آڻيو /etc/firezone/firezone.rb ھيٺ ڏنل اختيارن کي شامل ڪرڻ لاء:
# گوگل کي SSO سڃاڻپ فراهم ڪندڙ طور استعمال ڪندي
ڊفالٽ['firezone']['Authentication']['oidc'] = {
گوگل: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: " ”،
client_secret: " ”،
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
جواب_قسم: "ڪوڊ"،
دائرو: "اوپنيڊ اي ميل پروفائل"،
ليبل: "گوگل"
}
}
ايپليڪيشن کي اپڊيٽ ڪرڻ لاءِ فائر زون-سي ٽي ايل ٻيهر ترتيب ڏيو ۽ فائر زون-ڪٽ ايل ٻيهر شروع ڪريو. توھان کي ھاڻي ڏسڻ گھرجي سائن ان سان گوگل بٽڻ روٽ فائر زون URL تي.
فائر زون استعمال ڪري ٿو عام OIDC ڪنيڪٽر کي آسان ڪرڻ لاءِ سنگل سائن آن (SSO) کي Okta سان. هي سبق توهان کي ڏيکاريندو ته هيٺ ڏنل فهرستن جي ترتيبن جي پيراگرافن کي ڪيئن حاصل ڪجي، جيڪي انضمام لاء ضروري آهن:
ھدايت جي ھن حصي تي ٻڌل آھي Okta جي دستاويز.
ايڊمن ڪنسول ۾، وڃو ايپليڪيشنون> ايپليڪيشنون ۽ ڪلڪ ڪريو ايپ انٽيگريشن ٺاهيو. سيٽ ڪريو سائن ان جو طريقو OICD - OpenID Connect ۽ ايپليڪيشن جو قسم ويب ايپليڪيشن تي.
انهن سيٽنگن کي ترتيب ڏيو:
هڪ دفعو سيٽنگون محفوظ ڪيون وينديون، توهان کي هڪ ڪلائنٽ ID، ڪلائنٽ راز، ۽ اوڪتا ڊومين ڏنو ويندو. اهي 3 قدر استعمال ڪيا ويندا قدم 2 ۾ فائر زون کي ترتيب ڏيڻ لاءِ.
تبديلي آڻيو /etc/firezone/firezone.rb ھيٺ ڏنل اختيارن کي شامل ڪرڻ لاء. تنهنجو دريافت_دستاويز_url ٿيندو /.well-known/openid-configuration توهان جي آخر ۾ شامل ڪيو ويو آهي okta_domain.
# Okta کي SSO سڃاڻپ فراهم ڪندڙ طور استعمال ڪندي
ڊفالٽ['firezone']['Authentication']['oidc'] = {
اوڪتا: {
Discovery_document_uri: "https:// /.well-known/openid-configuration",
client_id: " ”،
client_secret: " ”،
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
جواب_قسم: "ڪوڊ"،
دائرو: "اوپنيڊ اي ميل پروفائل آف لائن_ رسائي"،
ليبل: "اوڪٽا"
}
}
ايپليڪيشن کي اپڊيٽ ڪرڻ لاءِ فائر زون-سي ٽي ايل ٻيهر ترتيب ڏيو ۽ فائر زون-ڪٽ ايل ٻيهر شروع ڪريو. توھان کي ھاڻي ڏسڻ گھرجي سائن ان سان اوڪٽا بٽڻ روٽ فائر زون URL تي.
اهي صارف جيڪي فائر زون ايپ تائين رسائي ڪري سگهن ٿا انهن کي Okta طرفان محدود ڪري سگهجي ٿو. هن کي مڪمل ڪرڻ لاءِ پنهنجي اوڪٽا ايڊمن ڪنسول جي فائر زون ايپ انٽيگريشن جي اسائنمنٽس واري صفحي تي وڃو.
عام OIDC ڪنيڪٽر ذريعي، فائر زون Azure Active Directory سان سنگل سائن آن (SSO) کي فعال ڪري ٿو. هي دستياب توهان کي ڏيکاريندو ته ڪيئن هيٺ ڏنل فهرستن جي ترتيبن جي ماپن کي حاصل ڪجي، جيڪي انضمام لاء ضروري آهن:
هي گائيڊ مان ٺهيل آهي Azure Active Directory Docs.
Azure portal جي Azure Active Directory صفحي ڏانھن وڃو. مينيج مينيو اختيار چونڊيو، نئون رجسٽريشن چونڊيو، پوءِ ھيٺ ڏنل معلومات مهيا ڪندي رجسٽر ٿيو.
رجسٽريشن کان پوء، ايپليڪيشن جي تفصيلي ڏيک کي کوليو ۽ ڪاپي ڪريو درخواست (ڪلائنٽ) آءِ ڊي. هي هوندو client_id قدر. اڳيون، کوليو آخري پوائنٽ مينيو ٻيهر حاصل ڪرڻ لاء OpenID Connect ميٽا ڊيٽا دستاويز. ھي ھوندو دريافت_دستاويز_وري قدر.
مينيج مينيو جي هيٺان سرٽيفڪيٽ ۽ راز اختيار کي ڪلڪ ڪري نئون ڪلائنٽ راز ٺاهيو. ڪلائنٽ راز کي نقل ڪريو؛ ڪلائنٽ جي ڳجهي قيمت هي هوندي.
آخر ۾، مينيج مينيو جي تحت API اجازتون لنڪ چونڊيو، ڪلڪ ڪريو هڪ اجازت شامل ڪريو، ۽ چونڊيو Microsoft گرافڪس، شامل ڪريو اي ميل, OpenID, offline_access ۽ پروفائيل گهربل اجازتن تائين.
تبديلي آڻيو /etc/firezone/firezone.rb ھيٺ ڏنل اختيارن کي شامل ڪرڻ لاء:
# استعمال ڪندي Azure Active Directory SSO سڃاڻپ فراهم ڪندڙ جي طور تي
ڊفالٽ['firezone']['Authentication']['oidc'] = {
azure: {
Discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: " ”،
client_secret: " ”،
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
جواب_قسم: "ڪوڊ"،
دائرو: "اوپنيڊ اي ميل پروفائل آف لائن_ رسائي"،
ليبل: "Azure"
}
}
ايپليڪيشن کي اپڊيٽ ڪرڻ لاءِ فائر زون-سي ٽي ايل ٻيهر ترتيب ڏيو ۽ فائر زون-ڪٽ ايل ٻيهر شروع ڪريو. توھان کي ھاڻي ڏسڻ گھرجي ھڪڙو سائن ان سان Azure بٽڻ روٽ فائر زون URL تي.
Azure AD منتظمين کي توهان جي ڪمپني جي اندر استعمال ڪندڙن جي مخصوص گروپ تائين ايپ جي رسائي کي محدود ڪرڻ جي قابل بڻائي ٿو. اهو ڪيئن ڪجي وڌيڪ معلومات Microsoft جي دستاويزن ۾ ملي سگهي ٿي.
شيف Omnibus استعمال ڪيو ويندو آهي Firezone ڪمن کي منظم ڪرڻ لاءِ جنهن ۾ رليز پيڪنگنگ، عمل جي نگراني، لاگ مئنيجمينٽ، ۽ وڌيڪ.
روبي ڪوڊ بنيادي ترتيب واري فائل ٺاهي ٿو، جيڪو /etc/firezone/firezone.rb تي واقع آهي. ٻيهر شروع ڪرڻ sudo firezone-ctl reconfigure هن فائل ۾ تبديليون ڪرڻ کان پوءِ شيف کي تبديلين کي سڃاڻڻ ۽ انهن کي موجوده آپريٽنگ سسٽم تي لاڳو ڪرڻ جو سبب بڻائيندو.
configuration variables ۽ انھن جي وضاحتن جي مڪمل فهرست لاءِ ترتيب واري فائيل جو حوالو ڏسو.
توهان جي فائر زون مثال جي ذريعي منظم ڪري سگهجي ٿو firezone-ctl حڪم، جيئن هيٺ ڏيکاريل آهي. گهڻيون ذيلي ڪمانڊز سان گڏ اڳڀرائي جي ضرورت هوندي آهي sudo.
root@demo:~# firezone-ctl
omnibus-ctl: حڪم (ذيلي ڪمانڊ)
عام حڪم:
صاف ڪيو
* سڀ * فائر زون ڊيٽا کي ختم ڪريو، ۽ شروع کان شروع ڪريو.
ٺاھيو-يا-ري سيٽ-منتظم
ايڊمن لاءِ پاسورڊ ري سيٽ ڪري ٿو اي ميل سان مخصوص ڪيل ڊفالٽ سان['firezone']['admin_email'] يا هڪ نئون منتظم ٺاهي ٿو جيڪڏهن اها اي ميل موجود نه آهي.
مدد
هي مدد پيغام پرنٽ ڪريو.
ٻيهر ترتيب ڏيو
ايپليڪيشن کي ٻيهر ترتيب ڏيو.
reset-network
nftables، WireGuard انٽرفيس، ۽ روٽنگ ٽيبل کي واپس Firezone ڊفالٽ ڏانھن سيٽ ڪري ٿو.
ڏيکاريندڙ ترتيب
ڏيکاريو ٺاھ جوڙ جيڪو ٺاھيو ويندو reconfigure ذريعي.
ٽٽڻ- نيٽ ورڪ
WireGuard انٽرفيس ۽ فائر زون nftables ٽيبل کي هٽائي ٿو.
قوت-سرٽيفڪيشن- تجديد
سرٽيفڪيٽ جي تجديد تي زور ڏيو جيتوڻيڪ اهو ختم نه ٿيو آهي.
اسٽاپ-سرٽيفڪيشن- تجديد
cronjob کي هٽائي ٿو جيڪو سرٽيفڪيٽ جي تجديد ڪري ٿو.
ڪڍڻ
سڀني عملن کي ختم ڪريو ۽ پروسيس سپروائيزر کي انسٽال ڪريو (ڊيٽا محفوظ ڪئي ويندي).
نسخو
فائر زون جو موجوده نسخو ڏيکاريو
سروس مينيجمينٽ حڪم:
خوشامد- مارڻ
ڪوشش ڪريو هڪ شاندار اسٽاپ، پوء سڄي عمل گروپ کي SIGKILL.
هپ
HUP خدمتون موڪليو.
int
خدمتن کي هڪ INT موڪليو.
قتل
خدمتن کي هڪ قتل موڪليو.
هڪ دفعو
خدمتون شروع ڪريو جيڪڏھن اھي ھيٺ آھن. انهن کي ٻيهر شروع نه ڪريو جيڪڏهن اهي بند ٿي وڃن.
شروع ڪر
خدمتون بند ڪريو جيڪڏھن اھي ھلنديون آھن، پوء انھن کي ٻيهر شروع ڪريو.
خدمت جي فهرست
سڀني خدمتن کي لسٽ ڪريو (فعال خدمتون هڪ * سان ظاهر ٿيندا آهن.)
شروع
خدمتون شروع ڪريو جيڪڏھن اھي بند آھن، ۽ انھن کي وري شروع ڪريو جيڪڏھن اھي بند ٿي وڃن.
ڪيفيت
سڀني خدمتن جي حالت ڏيکاريو.
اسٽاپ
خدمتون بند ڪريو، ۽ انھن کي ٻيهر شروع نه ڪريو.
پڇ
سڀني فعال ڪيل خدمتن جي سروس لاگز کي ڏسو.
مدت
خدمتون موڪليو هڪ TERM.
usr1
خدمتون موڪليو USR1.
usr2
خدمتون موڪليو USR2.
فائر زون کي اپڊيٽ ڪرڻ کان پهريان سڀ وي پي اين سيشن کي ختم ڪيو وڃي، جيڪو پڻ ويب UI کي بند ڪرڻ لاءِ سڏي ٿو. ان صورت ۾ ته اپ گريڊ دوران ڪجهه غلط ٿي وڃي، اسان سار سنڀال لاءِ هڪ ڪلاڪ مقرر ڪرڻ جي صلاح ڏيون ٿا.
فائر زون کي وڌائڻ لاءِ، ھيٺيون عمل ڪريو:
جيڪڏهن ڪو مسئلو پيدا ٿئي، مهرباني ڪري اسان کي ٻڌايو هڪ سپورٽ ٽڪيٽ جمع ڪرائڻ.
0.5.0 ۾ ڪجھ ٽوڙڻ واريون تبديليون ۽ ترتيب واري تبديليون آھن جن کي خطاب ڪيو وڃي. هيٺ وڌيڪ ڳولهيو.
Nginx هاڻي 0.5.0 ورزن جي طور تي قوت SSL ۽ غير SSL پورٽ پيٽرولن کي سپورٽ نٿو ڪري. ڇاڪاڻ ته فائر زون کي ڪم ڪرڻ لاءِ SSL جي ضرورت آهي، اسان صلاح ڏيون ٿا بنڊل Nginx سروس کي ڊفالٽ سيٽنگ ڪندي هٽائي ['firezone']['nginx']['enabled'] = غلط ۽ توهان جي ريورس پراڪسي کي Phoenix ايپ ڏانهن سڌو ڪرڻ بدران 13000 پورٽ تي (ڊفالٽ طور ).
0.5.0 متعارف ڪرايو ACME پروٽوڪول سپورٽ پاڻمرادو تجديد SSL سرٽيفڪيٽن لاءِ بنڊل Nginx سروس سان. چالو ڪرڻ،
نقل ٿيل منزلن سان ضابطن کي شامل ڪرڻ جو امڪان فائر زون 0.5.0 ۾ ٿي ويو آهي. اسان جي لڏپلاڻ اسڪرپٽ پاڻمرادو انهن حالتن کي 0.5.0 ۾ اپڊيٽ ڪرڻ دوران سڃاڻي ويندي ۽ صرف انهن قاعدن کي برقرار رکندي جن جي منزل ۾ ٻيو قاعدو شامل آهي. ڪجھ به نه آھي توھان کي ڪرڻ جي ضرورت آھي جيڪڏھن اھو ٺيڪ آھي.
ٻي صورت ۾، اپڊيٽ ڪرڻ کان اڳ، اسان انهن حالتن مان نجات حاصل ڪرڻ لاء توهان جي ضابطن کي تبديل ڪرڻ جي صلاح ڏيو ٿا.
Firezone 0.5.0 نئين، وڌيڪ لچڪدار OIDC-بنياد ترتيب جي حق ۾ پراڻي طرز Okta ۽ Google SSO ترتيبن جي حمايت کي ختم ڪري ٿو.
جيڪڏهن توهان وٽ ڊفالٽ['firezone']['authentication']['okta'] يا ڊفالٽ['firezone']['authentication']['google'] ڪيجي تحت ڪا به ترتيب آهي، توهان کي انهن کي اسان جي OIDC ڏانهن منتقل ڪرڻ جي ضرورت آهي. -بنياد ترتيب ڏنل گائيڊ استعمال ڪندي.
موجوده Google OAuth ترتيب
انهن لائينن کي هٽايو جيڪي پراڻي Google OAuth ترتيبن تي مشتمل آهن توهان جي ترتيب واري فائل مان /etc/firezone/firezone.rb تي واقع آهي
ڊفالٽ['firezone']['Authentication']['google']['enabled']
ڊفالٽ['firezone']['Authentication']['google']['client_id']
ڊفالٽ['firezone']['Authentication']['google']['client_secret']
ڊفالٽ['firezone']['Authentication']['google']['redirect_uri']
پوءِ، گوگل کي ترتيب ڏيو OIDC فراهم ڪندڙ جي طور تي هتي جي طريقيڪار تي عمل ڪندي.
(لنڪ جون هدايتون مهيا ڪريو)<<<<<<<<<<<<<<
موجوده Google OAuth کي ترتيب ڏيو
انھن لائينن کي ھٽايو جن ۾ پراڻي Okta OAuth configs شامل آھن توھان جي ترتيب واري فائل مان /etc/firezone/firezone.rb
ڊفالٽ['firezone']['Authentication']['okta']['enabled']
ڊفالٽ['firezone']['Authentication']['okta']['client_id']
ڊفالٽ['firezone']['Authentication']['okta']['client_secret']
ڊفالٽ['firezone']['Authentication']['okta']['site']
ان کان پوء، هتي جي طريقيڪار تي عمل ڪندي Okta کي OIDC فراهم ڪندڙ طور ترتيب ڏيو.
توهان جي موجوده سيٽ اپ ۽ ورزن تي منحصر ڪري، هيٺ ڏنل هدايتن تي عمل ڪريو:
جيڪڏهن توهان وٽ اڳ ۾ ئي OIDC انضمام آهي:
ڪجھ OIDC فراهم ڪندڙن لاءِ، اپ گريڊ ڪرڻ >= 0.3.16 کي آف لائن رسائي جي دائري لاءِ ريفريش ٽوڪن حاصل ڪرڻ جي ضرورت آھي. ائين ڪرڻ سان، اهو پڪ ڪيو وڃي ٿو ته فائر زون کي سڃاڻپ فراهم ڪندڙ سان تازه ڪاري ڪري ٿو ۽ اهو VPN ڪنيڪشن بند ڪيو ويو آهي هڪ صارف کي ختم ٿيڻ کان پوء. فائر زون جي اڳوڻي ورهاڱي ۾ هن خاصيت جي کوٽ هئي. ڪجهه مثالن ۾، صارف جيڪي توهان جي سڃاڻپ فراهم ڪندڙ کان ڊهي ويا آهن اڃا تائين VPN سان ڳنڍيل هوندا.
اهو ضروري آهي ته آف لائن رسائي کي شامل ڪرڻ لاءِ توهان جي OIDC ترتيب جي دائري جي ماپ ۾ OIDC فراهم ڪندڙن لاءِ جيڪي آف لائن رسائي جي دائري کي سپورٽ ڪن. Firezone-ctl reconfigure کي لازمي طور تي عمل ڪيو وڃي ٿو تبديلين کي لاڳو ڪرڻ لاءِ Firezone ڪنفيگريشن فائل ۾، جيڪو /etc/firezone/firezone.rb تي واقع آهي.
انهن صارفن لاءِ جيڪي توهان جي OIDC فراهم ڪندڙ طرفان تصديق ٿيل آهن، توهان ڏسندا OIDC ڪنيڪشنز هيڊنگ ويب UI جي صارف جي تفصيل واري صفحي ۾ جيڪڏهن فائر زون ڪاميابيءَ سان ريفريش ٽوڪن کي ٻيهر حاصل ڪرڻ جي قابل آهي.
جيڪڏهن اهو ڪم نٿو ڪري، توهان کي پنهنجي موجوده OAuth ايپ کي حذف ڪرڻ جي ضرورت پوندي ۽ OIDC سيٽ اپ قدمن کي ورجائڻو پوندو هڪ نئون ايپ انضمام ٺاهيو .
مون وٽ هڪ موجوده OAuth انضمام آهي
0.3.11 کان اڳ، فائر زون اڳ ۾ ترتيب ڏنل OAuth2 مهيا ڪندڙ استعمال ڪيو.
ڏنل هدايتن تي عمل ڪريو هتي OIDC ڏانهن لڏپلاڻ ڪرڻ.
مون هڪ سڃاڻپ فراهم ڪندڙ کي ضم نه ڪيو آهي
ڪابه عمل جي ضرورت ناهي.
توھان ھدايتن تي عمل ڪري سگھو ٿا هتي OIDC فراهم ڪندڙ جي ذريعي SSO کي فعال ڪرڻ لاء.
ان جي جاءِ تي، default['firezone']['external url'] مٽائي ڇڏيو آهي ترتيب واري آپشن کي ڊفالٽ['firezone']['fqdn'].
ھن کي پنھنجي فائر زون آن لائن پورٽل جي URL تي سيٽ ڪريو جيڪو عام ماڻھن تائين پھچائي سگھي ٿو. اهو ڊفالٽ ٿي ويندو https:// پلس توهان جي سرور جو FQDN جيڪڏهن اڻ بيان ڪيل ڇڏيو وڃي.
ٺاھ جوڙ فائل تي واقع آهي /etc/firezone/firezone.rb. configuration variables ۽ انھن جي وضاحتن جي مڪمل فهرست لاءِ ترتيب واري فائيل جو حوالو ڏسو.
فائر زون هاڻي 0.3.0 ورزن جي طور تي فائر زون سرور تي ڊوائيس نجي ڪنجيون نٿو رکي.
فائر زون ويب UI توهان کي انهن ترتيبن کي ٻيهر ڊائون لوڊ ڪرڻ يا ڏسڻ جي اجازت نه ڏيندو، پر ڪنهن به موجوده ڊوائيس کي هلائڻ جاري رکڻ گهرجي جيئن آهي.
جيڪڏهن توهان فائر زون 0.1.x کان اپ گريڊ ڪري رهيا آهيو، اتي ڪجھ ڪنفيگريشن فائل تبديليون آهن جن کي دستي طور تي خطاب ڪيو وڃي.
پنھنجي /etc/firezone/firezone.rb فائل ۾ ضروري تبديليون ڪرڻ لاءِ ھيٺ ڏنل حڪمن کي روٽ طور ھلايو.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
گونج “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
گونج “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl reconfigure
firezone-ctl ٻيهر شروع
فائر زون لاگز کي چيڪ ڪرڻ هڪ وار پهريون قدم آهي ڪنهن به مسئلن لاءِ جيڪو ٿي سگهي ٿو.
فائر زون لاگز کي ڏسڻ لاءِ sudo firezone-ctl tail هلايو.
Firezone سان رابطي جي مسئلن جي اڪثريت نامناسب iptables يا nftables ضابطن جي ذريعي آندو ويو آهي. توهان کي پڪ ڪرڻ گهرجي ته جيڪي به قاعدا جيڪي توهان تي اثرانداز آهن اهي فائر زون جي ضابطن سان ٽڪراءُ نٿا ڪن.
پڪ ڪريو ته FORWARD زنجير توهان جي WireGuard ڪلائنٽ کان انهن هنڌن تي پيڪٽس جي اجازت ڏئي ٿي جتي توهان فائر زون ذريعي وڃڻ چاهيو ٿا جيڪڏهن توهان جي انٽرنيٽ ڪنيڪشن خراب ٿئي ٿي جڏهن توهان پنهنجي WireGuard سرنگ کي چالو ڪندا آهيو.
اهو حاصل ٿي سگهي ٿو جيڪڏهن توهان ufw استعمال ڪري رهيا آهيو انهي کي يقيني بڻائي ته ڊفالٽ روٽنگ پاليسي جي اجازت آهي:
ubuntu@fz:~$ sudo ufw ڊفالٽ اجازت ڏني وئي روٽ
ڊفالٽ رستي واري پاليسي کي 'اجازت' ۾ تبديل ڪيو ويو
(پنهنجي قاعدن مطابق اپڊيٽ ڪرڻ جي پڪ ڪريو)
A ufw هڪ عام فائر زون سرور جي حالت هن طرح نظر اچي سگهي ٿي:
ubuntu@fz:~$ sudo ufw status verbose
حالت: فعال
لاگنگ: آن (گهٽ)
ڊفالٽ: انڪار ڪريو (آڻڻ)، اجازت ڏيو (ٻاھر وڃڻ)، اجازت ڏيو (رستي)
نئون پروفائل: ڇڏي ڏيو
کان ايڪشن تائين
—————
22/tcp ڪٿي به اجازت ڏيو
80/tcp ڪٿي به اجازت ڏيو
443/tcp ڪٿي به اجازت ڏيو
51820/udp ڪٿي به اجازت ڏيو
22/tcp (v6) ڪٿي به اجازت ڏيو (v6)
80/tcp (v6) ڪٿي به اجازت ڏيو (v6)
443/tcp (v6) ڪٿي به اجازت ڏيو (v6)
51820/udp (v6) ڪٿي به اجازت ڏيو (v6)
اسان صلاح ڏيون ٿا ته ويب انٽرفيس تائين رسائي کي محدود ڪرڻ جي لاءِ انتهائي حساس ۽ مشن لاءِ نازڪ پيداوار جي جوڙجڪ، جيئن هيٺ بيان ڪيو ويو آهي.
خدمت | ڊفالٽ پورٽ | ايڊريس ٻڌو | وضاحت |
نينڪس | 80، 443 | سڀ | عوامي HTTP(S) بندرگاهه فائر زون جي انتظام ۽ تصديق جي سهولت لاءِ. |
تار وارو | 51820 | سڀ | پبلڪ وائر گارڊ پورٽ وي پي اين سيشن لاءِ استعمال ڪيو ويو. (UDP) |
پوسٽگراسل | 15432 | 127.0.0.1 | مقامي-صرف بندرگاهه بنڊل پوسٽ گريسڪ ايل سرور لاءِ استعمال ڪيو ويو. |
عنقا | 13000 | 127.0.0.1 | مقامي-صرف پورٽ اپ اسٽريم ايلڪسير ايپ سرور پاران استعمال ٿيل. |
اسان توهان کي صلاح ڏيون ٿا ته فائر زون جي عوامي طور تي ظاهر ڪيل ويب UI تائين رسائي کي محدود ڪرڻ بابت سوچيو (بطور ڊفالٽ بندرگاهن 443/tcp ۽ 80/tcp) ۽ ان جي بدران وائر گارڊ سرنگ کي استعمال ڪريو فائر زون کي منظم ڪرڻ لاءِ پيداوار ۽ عوام کي منهن ڏيڻ لاءِ جتي هڪ واحد منتظم انچارج هوندو. آخر صارفين لاءِ ڊيوائس ترتيبن کي ٺاهڻ ۽ ورهائڻ جو.
مثال طور، جيڪڏهن منتظم هڪ ڊيوائس ڪنفيگريشن ٺاهي ۽ مقامي WireGuard ايڊريس 10.3.2.2 سان هڪ سرنگ ٺاهي، هيٺ ڏنل ufw ڪنفيگريشن منتظم کي فعال ڪندي ته فائر زون ويب UI تائين رسائي ڪري سرور جي wg-firezone انٽرفيس تي ڊفالٽ 10.3.2.1. سرنگ جو پتو:
root@demo:~# ufw status verbose
حالت: فعال
لاگنگ: آن (گهٽ)
ڊفالٽ: انڪار ڪريو (آڻڻ)، اجازت ڏيو (ٻاھر وڃڻ)، اجازت ڏيو (رستي)
نئون پروفائل: ڇڏي ڏيو
کان ايڪشن تائين
—————
22/tcp ڪٿي به اجازت ڏيو
51820/udp ڪٿي به اجازت ڏيو
10.3.2.2 ۾ ڪٿي به اجازت ڏيو
22/tcp (v6) ڪٿي به اجازت ڏيو (v6)
51820/udp (v6) ڪٿي به اجازت ڏيو (v6)
اهو ئي ڇڏي ويندو 22/ٽي سي پي سرور کي منظم ڪرڻ لاءِ SSH رسائي لاءِ بي نقاب (اختياري)، ۽ 51820/يو ڊي پي وائر گارڊ سرنگون قائم ڪرڻ لاءِ بي نقاب ڪيو ويو.
فائر زون هڪ Postgresql سرور ۽ ميلاپ کي بنڊ ڪري ٿو psql افاديت جيڪا مقامي شيل مان استعمال ڪري سگهجي ٿي جهڙوڪ:
/opt/firezone/embedded/bin/psql \
- يو فائر زون \
-d فائر زون \
-h localhost \
-ص 15432
-c "SQL_STATEMENT"
اهو ڊيبگنگ جي مقصدن لاء مددگار ثابت ٿي سگهي ٿو.
عام ڪم:
سڀني استعمال ڪندڙن جي فهرست:
/opt/firezone/embedded/bin/psql \
- يو فائر زون \
-d فائر زون \
-h localhost \
-ص 15432
-c "چونڊ * استعمال ڪندڙن مان؛"
سڀني ڊوائيسز جي فهرست:
/opt/firezone/embedded/bin/psql \
- يو فائر زون \
-d فائر زون \
-h localhost \
-ص 15432
-c "چونڊ * ڊوائيسز مان؛"
صارف جو ڪردار تبديل ڪريو:
ڪردار مقرر ڪريو 'منتظم' يا 'غير مراعات يافته':
/opt/firezone/embedded/bin/psql \
- يو فائر زون \
-d فائر زون \
-h localhost \
-ص 15432
-c "UPDATE Users SET role = 'admin' WHERE email = 'user@example.com'؛"
ڊيٽابيس کي بيڪ اپ ڪرڻ:
ان کان علاوه، شامل آھي پي جي ڊمپ پروگرام، جيڪو ڊيٽابيس جي باقاعده بيڪ اپ وٺڻ لاء استعمال ٿي سگھي ٿو. ڊيٽابيس جي ڪاپي کي عام SQL سوالن جي فارميٽ ۾ ڊمپ ڪرڻ لاءِ ھيٺ ڏنل ڪوڊ تي عمل ڪريو (/path/to/backup.sql کي ان جڳھ سان تبديل ڪريو جتي SQL فائل ٺاھيو وڃي):
/opt/firezone/embedded/bin/pg_dump \
- يو فائر زون \
-d فائر زون \
-h localhost \
-p 15432 > /path/to/backup.sql
فائر زون کي ڪاميابيءَ سان لڳائڻ کان پوءِ، توھان کي لازمي طور شامل ڪرڻ گھرجي صارفين کي انھن کي پنھنجي نيٽ ورڪ تائين پھچائڻ لاءِ. هن کي ڪرڻ لاءِ ويب UI استعمال ڪيو ويندو آهي.
منتخب ڪندي "استعمال ڪندڙ شامل ڪريو" بٽڻ تحت /users، توھان ھڪڙو صارف شامل ڪري سگھو ٿا. توهان کي صارف کي هڪ اي ميل پتو ۽ پاسورڊ مهيا ڪرڻ جي ضرورت پوندي. توهان جي تنظيم ۾ صارفين کي خودڪار طريقي سان رسائي جي اجازت ڏيڻ لاء، فائر زون پڻ هڪ سڃاڻپ فراهم ڪندڙ سان انٽرفيس ۽ هم وقت سازي ڪري سگهي ٿو. وڌيڪ تفصيل ۾ موجود آهن تصديق ڪريو. < تصديق ڪرڻ لاءِ لنڪ شامل ڪريو
اسان گذارش ڪريون ٿا ته صارفين پنهنجون ڊيوائس ترتيبون ٺاهي ته جيئن پرائيويٽ چيڪ صرف انهن کي نظر اچي. صارفين تي هدايتن تي عمل ڪندي پنهنجون پنهنجون ڊوائيس ترتيبون ٺاهي سگهن ٿا ڪلائنٽ هدايتون صفحو.
سڀئي صارف ڊوائيس ترتيبون ٺاهي سگھجن ٿيون Firezone منتظمين طرفان. صارف پروفائل صفحي تي /users تي واقع، چونڊيو "ڊيوائس شامل ڪريو" اختيار ھن کي پورو ڪرڻ لاء.
[اسڪرين شاٽ داخل ڪريو]
توھان صارف کي اي ميل ڪري سگھو ٿا WireGuard ترتيب واري فائل ڊيوائس پروفائل ٺاھڻ کان پوءِ.
صارفين ۽ ڊوائيسز ڳنڍيل آهن. وڌيڪ تفصيل لاءِ استعمال ڪندڙ کي ڪيئن شامل ڪجي، ڏسو استعمال ڪندڙن کي شامل ڪريو.
ڪرنل جي نيٽ فلٽر سسٽم جي استعمال ذريعي، فائر زون DROP يا ACCEPT پيڪٽس جي وضاحت ڪرڻ لاءِ ايگريس فلٽرنگ جي صلاحيتن کي قابل بڻائي ٿو. سڀ ٽرئفڪ عام طور تي اجازت ڏني وئي آهي.
IPv4 ۽ IPv6 CIDRs ۽ IP پتي جي مدد ڪئي وئي آهي Allowlist ۽ Denylist، ترتيب سان. توھان منتخب ڪري سگھوٿا ھڪڙي قاعدي کي استعمال ڪندڙ کي شامل ڪرڻ وقت، جيڪو ضابطو لاڳو ٿئي ٿو ان صارف جي سڀني ڊوائيسز تي.
انسٽال ڪريو ۽ ٺاھڻ
مقامي WireGuard ڪلائنٽ استعمال ڪندي وي پي اين ڪنيڪشن قائم ڪرڻ لاءِ، هن گائيڊ ڏانهن رجوع ڪريو.
هتي واقع سرڪاري وائر گارڊ ڪلائنٽ فائر زون سان مطابقت رکن ٿا:
سرڪاري WireGuard ويب سائيٽ تي وڃو https://www.wireguard.com/install/ او ايس سسٽم لاءِ مٿي ذڪر نه ڪيو ويو آهي.
يا ته توهان جو فائر زون ايڊمنسٽريٽر يا توهان پاڻ فائر زون پورٽل استعمال ڪندي ڊيوائس ڪنفيگريشن فائل ٺاهي سگهو ٿا.
URL جو دورو ڪريو توھان جي فائر زون منتظم خود ٺاھيو آھي ھڪڙي ڊيوائس ڪنفيگريشن فائل. توهان جي فرم کي هن لاء هڪ منفرد URL هوندو؛ انهي صورت ۾، اهو آهي https://instance-id.yourfirezone.com.
Firezone Okta SSO ۾ لاگ ان ڪريو
[اسڪرين شاٽ داخل ڪريو]
ان کي کولڻ سان WireGuard ڪلائنٽ ۾.conf فائل درآمد ڪريو. چالو ڪرڻ واري سوئچ کي فلپ ڪندي، توھان شروع ڪري سگھو ٿا وي پي اين سيشن.
[اسڪرين شاٽ داخل ڪريو]
هيٺ ڏنل هدايتن تي عمل ڪريو جيڪڏهن توهان جي نيٽ ورڪ ايڊمنسٽريٽر توهان جي وي پي اين ڪنيڪشن کي فعال رکڻ لاءِ بار بار تصديق ڪرڻ جو پابند ڪيو آهي.
توهان کي ضرورت آهي:
فائر زون پورٽل جو URL: پڇو پنھنجي نيٽ ورڪ ايڊمنسٽريٽر کان ڪنيڪشن لاءِ.
توهان جو نيٽ ورڪ منتظم توهان جي لاگ ان ۽ پاسورڊ پيش ڪرڻ جي قابل هوندو. فائر زون سائيٽ توهان کي اڪيلو سائن آن سروس استعمال ڪندي لاگ ان ٿيڻ لاءِ اشارو ڪندي جيڪا توهان جو آجر استعمال ڪري ٿي (جهڙوڪ گوگل يا اوڪٽا).
[اسڪرين شاٽ داخل ڪريو]
وڃو فائر زون پورٽل جي URL ۽ لاگ ان ڪريو استعمال ڪندي سندون جيڪي توھان جي نيٽ ورڪ ايڊمنسٽريٽر مهيا ڪيون آھن. جيڪڏهن توهان پهريان ئي سائن ان ٿيل آهيو، ٻيهر سائن ان ٿيڻ کان پهريان ٻيهر تصديق واري بٽڻ تي ڪلڪ ڪريو.
[اسڪرين شاٽ داخل ڪريو]
[اسڪرين شاٽ داخل ڪريو]
لينڪس ڊوائيسز تي نيٽ ورڪ مئنيجر CLI استعمال ڪندي WireGuard ترتيب واري پروفائل کي درآمد ڪرڻ لاء، انهن هدايتن تي عمل ڪريو (nmcli).
جيڪڏهن پروفائل ۾ IPv6 سپورٽ فعال آهي، نيٽ ورڪ مئنيجر GUI استعمال ڪندي ترتيب واري فائل کي درآمد ڪرڻ جي ڪوشش هيٺ ڏنل غلطي سان ناڪام ٿي سگھي ٿي:
ipv6.method: طريقو "خودڪار" وائر گارڊ لاءِ سپورٽ ناهي
اهو WireGuard يوزر اسپيس يوٽيلٽيز کي انسٽال ڪرڻ ضروري آهي. اهو هڪ پيڪيج هوندو جنهن کي لينڪس ڊسٽريبيوشنز لاءِ وائر گارڊ يا وائر گارڊ-ٽولز سڏيو ويندو آهي.
Ubuntu/Debian لاءِ:
sudo apt install wireguard
Fedora استعمال ڪرڻ لاء:
sudo dnf install wireguard-tools
آرڪڪس لينڪس
sudo pacman -S wireguard-tools
سرڪاري WireGuard ويب سائيٽ تي وڃو https://www.wireguard.com/install/ تقسيم لاءِ جن جو مٿي ذڪر نه ڪيو ويو آهي.
يا ته توهان جو فائر زون ايڊمنسٽريٽر يا خود نسل فائر زون پورٽل استعمال ڪندي ڊيوائس ڪنفيگريشن فائل ٺاهي سگھي ٿو.
URL جو دورو ڪريو توھان جي فائر زون منتظم خود ٺاھيو آھي ھڪڙي ڊيوائس ڪنفيگريشن فائل. توهان جي فرم کي هن لاء هڪ منفرد URL هوندو؛ انهي صورت ۾، اهو آهي https://instance-id.yourfirezone.com.
[اسڪرين شاٽ داخل ڪريو]
nmcli استعمال ڪندي فراهم ڪيل ترتيب واري فائل کي درآمد ڪريو:
sudo nmcli ڪنيڪشن درآمد جو قسم وائر گارڊ فائل /path/to/configuration.conf
ٺاھ جوڙ واري فائل جو نالو WireGuard ڪنيڪشن/انٽرفيس سان ملندو. درآمد ڪرڻ کان پوء، ڪنيڪشن جو نالو تبديل ڪري سگھجي ٿو جيڪڏھن ضروري ھجي:
nmcli ڪنيڪشن تبديل ڪريو [پراڻو نالو] connection.id [نئون نالو]
ڪمانڊ لائن ذريعي، ھيٺ ڏنل وي پي اين سان ڳنڍيو:
nmcli ڪنيڪشن اپ [vpn نالو]
ڪٽي ڪرڻ:
nmcli ڪنيڪشن هيٺ [vpn نالو]
قابل اطلاق نيٽورڪ مئنيجر ايپلٽ پڻ استعمال ڪري سگھجي ٿو ڪنيڪشن کي منظم ڪرڻ لاءِ جيڪڏهن GUI استعمال ڪيو وڃي.
پاڻمرادو ڪنيڪشن آپشن لاءِ ”ها“ کي چونڊڻ سان، وي پي اين ڪنيڪشن کي ترتيب ڏئي سگهجي ٿو پاڻمرادو ڳنڍڻ لاءِ:
nmcli ڪنيڪشن تبديل ڪريو [vpn نالو] ڪنيڪشن. <<<<<<<<<<<<<<<<<<
خودڪار ڳنڍيو ها
خودڪار ڪنيڪشن کي غير فعال ڪرڻ لاء ان کي واپس نه تي سيٽ ڪريو:
nmcli ڪنيڪشن تبديل ڪريو [vpn نالو] ڪنيڪشن.
خودڪار ڪنيڪشن نمبر
MFA کي چالو ڪرڻ لاءِ وڃو Firezone پورٽل جي /user account/register mfa صفحي. QR ڪوڊ ٺاھڻ کان پوءِ ان کي اسڪين ڪرڻ لاءِ پنھنجي تصديق ڪندڙ ايپ استعمال ڪريو، پوءِ ڇھ عددي ڪوڊ داخل ڪريو.
پنھنجي کاتي جي رسائي جي معلومات کي ري سيٽ ڪرڻ لاءِ پنھنجي منتظم سان رابطو ڪريو جيڪڏھن توھان پنھنجي تصديق ڪندڙ ايپ کي غلط جاءِ ڏيو.
هي سبق توهان کي فائر زون سان وائر گارڊ جي اسپلٽ سرنگنگ فيچر کي ترتيب ڏيڻ جي عمل جي ذريعي هلائيندو ته جيئن صرف مخصوص IP رينجز ڏانهن ٽرئفڪ کي VPN سرور ذريعي اڳتي وڌايو وڃي.
IP جون حدون جن لاءِ ڪلائنٽ نيٽ ورڪ ٽريفڪ کي روٽ ڪندو /settings/default صفحي تي موجود اجازت ڏنل IPs فيلڊ ۾ بيان ڪيو ويو آهي. فائر زون پاران تيار ڪيل صرف نئين ٺاهيل وائر گارڊ سرنگ ترتيبون هن فيلڊ ۾ تبديلين کان متاثر ٿينديون.
[اسڪرين شاٽ داخل ڪريو]
ڊفالٽ ويليو 0.0.0.0/0، ::/0 آهي، جيڪو ڪلائنٽ کان وي پي اين سرور تائين سڀني نيٽ ورڪ ٽرئفڪ کي روٽ ڪري ٿو.
ھن فيلڊ ۾ قدرن جا مثال شامل آھن:
0.0.0.0/0، ::/0 - سڀني نيٽ ورڪ ٽرئفڪ کي وي پي اين سرور ڏانهن روانو ڪيو ويندو.
192.0.2.3/32 - صرف هڪ IP پتي تي ٽرئفڪ وي پي اين سرور ڏانهن روانو ڪيو ويندو.
3.5.140.0/22 - صرف IPs ڏانهن ٽريفڪ 3.5.140.1 - 3.5.143.254 رينج ۾ وي پي اين سرور ڏانهن روانو ڪيو ويندو. هن مثال ۾، AP-اتر اوڀر-2 AWS علائقي لاء CIDR رينج استعمال ڪيو ويو.
فائر زون چونڊيندو آهي ايگريس انٽرفيس سان جڙيل سڀ کان وڌيڪ صحيح رستي سان پهرين جڏهن اهو طئي ڪيو وڃي ته پيڪٽ ڪٿي روٽ ڪجي.
صارفين کي لازمي طور تي ترتيب واري فائلن کي ٻيهر پيدا ڪرڻ گهرجي ۽ انهن کي پنهنجي اصلي وائر گارڊ ڪلائنٽ ۾ شامل ڪرڻ لاء موجوده صارف ڊوائيسز کي نئين تقسيم سرنگ جي ترتيب سان تازه ڪاري ڪرڻ لاء.
هدايتن لاءِ ، ڏسو ڊوائيس شامل ڪريو. <<<<<<<<<< لنڪ شامل ڪريو
هي دستور ڏيکاريندو ته فائر زون کي ريل جي طور تي استعمال ڪندي ٻن ڊوائيسز کي ڪيئن ڳنڍجي. ھڪڙو عام استعمال ڪيس ھڪڙو منتظم کي چالو ڪرڻ آھي سرور، ڪنٽينر، يا مشين تائين رسائي ڪرڻ لاء جيڪو NAT يا فائر وال طرفان محفوظ آھي.
هي مثال هڪ سڌي منظر ڏيکاري ٿو جنهن ۾ ڊوائيسز A ۽ B هڪ سرنگ ٺاهي رهيا آهن.
[فائر زون آرڪيٽيڪچرل تصوير داخل ڪريو]
/users/[user_id]/new_device ڏانهن نيويگيٽ ڪندي ڊيوائس A ۽ Device B ٺاهي شروع ڪريو. هر ڊوائيس جي سيٽنگن ۾، پڪ ڪريو ته هيٺ ڏنل پيٽرولر هيٺ ڏنل فهرستن تي مقرر ڪيا ويا آهن. توهان ڊوائيس سيٽنگون سيٽ ڪري سگهو ٿا جڏهن ڊوائيس ترتيب ٺاهيندي (ڏسو ڊيوائس شامل ڪريو). جيڪڏهن توهان کي موجوده ڊوائيس تي سيٽنگون تازه ڪاري ڪرڻ جي ضرورت آهي، توهان ائين ڪري سگهو ٿا هڪ نئين ڊوائيس ترتيب ٺاهي.
نوٽ ڪريو ته سڀني ڊوائيسن وٽ ھڪڙو /settings/defaults صفحو آھي جتي PersistentKeepalive ترتيب ڏئي سگھجي ٿو.
اجازت ڏنل IPs = 10.3.2.2/32
ھي آھي IP يا ڊيوائس B جي IPs جي حد
مسلسل سنڀاليندڙ = 25
جيڪڏهن ڊوائيس هڪ NAT جي پويان آهي، اهو يقيني بڻائي ٿو ته ڊوائيس سرنگ کي زنده رکڻ جي قابل آهي ۽ WireGuard انٽرفيس مان پيڪيٽس وصول ڪرڻ جاري رکي. عام طور تي 25 جي قيمت ڪافي آهي، پر توهان کي پنهنجي ماحول جي لحاظ سان هن قيمت کي گهٽائڻ جي ضرورت پوندي.
اجازت ڏنل IPs = 10.3.2.3/32
ھي آھي IP يا ڊيوائس A جي IPs جي حد
مسلسل سنڀاليندڙ = 25
هي مثال هڪ اهڙي صورتحال ڏيکاري ٿو جنهن ۾ ڊيوائس A ٻنهي طرفن ۾ ڊي ذريعي ڊي ڊوائيسز سان رابطو ڪري سگهي ٿي. هي سيٽ اپ هڪ انجنيئر يا ايڊمنسٽريٽر جي نمائندگي ڪري سگهي ٿو جيڪو ڪيترن ئي وسيلن (سرور، ڪنٽينرز، يا مشينن) تائين رسائي ڪري ٿو مختلف نيٽ ورڪن تي.
[آرڪيٽيڪچرل ڊاگرام]<<<<<<<<<<<<<<<<
پڪ ڪريو ته هيٺ ڏنل سيٽنگون هر ڊوائيس جي سيٽنگن ۾ لاڳاپيل قدرن سان ٺهيل آهن. جڏهن ڊوائيس جي ٺاھ جوڙ ٺاهيندي، توهان ڊوائيس سيٽنگون بيان ڪري سگھو ٿا (ڏسو ڊيوائس شامل ڪريو). ھڪڙو نئون ڊيوائس ترتيب ٺاھي سگھي ٿو جيڪڏھن ھڪڙي موجوده ڊوائيس تي سيٽنگون اپڊيٽ ڪرڻ جي ضرورت آھي.
اجازت ڏنل IPs = 10.3.2.3/32، 10.3.2.4/32، 10.3.2.5/32
ھيءَ ڊيوائسز B جو IP آھي D جي ذريعي. ڊوائيسز جي IPs جو B کان D تائين ڪنھن به IP رينج ۾ شامل ٿيڻ گھرجي جنھن کي توھان سيٽ ڪرڻ لاءِ چونڊيو آھي.
مسلسل سنڀاليندڙ = 25
اها ضمانت ڏئي ٿي ته ڊوائيس سرنگ کي برقرار رکي سگهي ٿو ۽ WireGuard انٽرفيس مان پيڪيٽ وصول ڪرڻ جاري رکي ٿو جيتوڻيڪ اهو NAT طرفان محفوظ آهي. اڪثر ڪيسن ۾، 25 جو قدر ڪافي آهي، جڏهن ته توهان جي آس پاس جي لحاظ کان، توهان کي شايد هن انگ کي گهٽائڻ جي ضرورت پوندي.
هڪ واحد، جامد ايگريس IP پيش ڪرڻ لاءِ توهان جي ٽيم جي سڀني ٽرئفڪ مان نڪرڻ لاءِ، فائر زون کي استعمال ڪري سگهجي ٿو NAT گيٽ وي طور. انهن حالتن ۾ ان جي بار بار استعمال شامل آهن:
مشاورتي مصروفيتون: گذارش آهي ته توهان جو گراهڪ هر ملازم جي منفرد ڊوائيس IP جي بجاءِ هڪ واحد جامد IP پتي کي وائيٽ لسٽ ڪري.
حفاظتي يا رازداري جي مقصدن لاءِ پراکسي استعمال ڪرڻ يا توهان جي ماخذ IP کي ماسڪ ڪرڻ.
هڪ خود ميزباني ڪيل ويب ايپليڪيشن تائين رسائي کي محدود ڪرڻ جو هڪ سادي مثال هڪ واحد وائيٽلسٽ ٿيل جامد IP هلائيندڙ فائر زون تائين هن پوسٽ ۾ ڏيکاريو ويندو. هن مثال ۾، فائر زون ۽ محفوظ وسيلا مختلف VPC علائقن ۾ آهن.
اهو حل اڪثر ڪري استعمال ڪيو ويندو آهي IP وائيٽ لسٽ کي منظم ڪرڻ جي جاءِ تي ڪيترن ئي آخري استعمال ڪندڙن لاءِ، جيڪو وقت ضايع ٿي سگهي ٿو جيئن رسائي جي فهرست کي وڌايو وڃي.
اسان جو مقصد هڪ EC2 مثال تي فائر زون سرور قائم ڪرڻ آهي VPN ٽرئفڪ کي محدود وسيلن ڏانهن منتقل ڪرڻ لاءِ. هن مثال ۾، فائر زون هڪ نيٽ ورڪ پراکسي يا NAT گيٽ وي جي طور تي ڪم ڪري رهيو آهي هر ڳنڍيل ڊوائيس کي هڪ منفرد پبلڪ ايگريس IP ڏيڻ لاء.
انهي صورت ۾، هڪ EC2 مثال آهي tc2.micro نالي هڪ فائر زون مثال ان تي نصب ڪيو ويو آهي. فائر زون کي ترتيب ڏيڻ بابت معلومات لاءِ، وڃو ڊيپلائيمينٽ گائيڊ. AWS جي سلسلي ۾، پڪ ڪريو:
فائر زون EC2 مثال جو سيڪيورٽي گروپ محفوظ وسيلن جي IP پتي تي ٻاهرئين ٽرئفڪ جي اجازت ڏئي ٿو.
فائر زون مثال هڪ لچڪدار IP سان گڏ اچي ٿو. ٽريفڪ جيڪا فائر زون جي مثال ذريعي ٻاهرئين منزلن ڏانهن موڪلي ويندي آهي ان جو ذريعو IP پتو هوندو. سوال ۾ IP پتو آهي 52.202.88.54.
[اسڪرين شاٽ داخل ڪريو]<<<<<<<<<<<<<<<<<<<<<
هڪ خود ميزباني ڪيل ويب ايپليڪيشن هن صورت ۾ محفوظ وسيلن جي طور تي ڪم ڪري ٿي. ويب ايپ تائين رسائي ٿي سگهي ٿي صرف درخواستن جي IP پتي 52.202.88.54 کان اچڻ سان. وسيلن تي مدار رکندي، مختلف بندرگاهن ۽ ٽرئفڪ جي قسمن تي اندروني ٽرئفڪ جي اجازت ڏيڻ ضروري ٿي سگھي ٿو. اهو هن دستور ۾ شامل نه آهي.
[اسڪرين شاٽ داخل ڪريو]<<<<<<<<<<<<<<<<<<<<<
مھرباني ڪري محفوظ ڪيل وسيلن جي انچارج ٽئين پارٽي کي ٻڌايو ته اسٽيپ 1 ۾ بيان ڪيل جامد IP مان ٽرئفڪ جي اجازت ھجڻ گھرجي (ھن صورت ۾ 52.202.88.54).
ڊفالٽ طور، سڀ يوزر ٽريفڪ VPN سرور ذريعي ويندي ۽ جامد IP مان ايندي جيڪا اسٽيپ 1 ۾ ترتيب ڏني وئي هئي (هن صورت ۾ 52.202.88.54). بهرحال، جيڪڏهن ورهائڻ واري سرنگ کي فعال ڪيو ويو آهي، سيٽنگون ضروري ٿي سگهن ٿيون انهي کي يقيني بڻائڻ لاءِ ته محفوظ وسيلن جي منزل IP کي اجازت ڏنل IPs ۾ درج ڪيو ويو آهي.
ھيٺ ڏنل ڏيکاريل آھي ھڪڙي مڪمل لسٽنگ جي ترتيب جي اختيارن جي دستياب ۾ /etc/firezone/firezone.rb.
اختيار | بيان | ڊفالٽ ويليو |
ڊفالٽ['firezone']['external_url'] | URL هن فائر زون مثال جي ويب پورٽل تائين رسائي لاءِ استعمال ڪيو ويو. | https://#{node['fqdn'] || نوڊ['ميزبان جو نالو']}” |
ڊفالٽ['firezone']['config_directory'] | فائر زون جي ٺاھ جوڙ لاءِ اعليٰ سطحي ڊاريڪٽري. | /etc/firezone' |
ڊفالٽ['firezone']['install_directory'] | فائر زون کي انسٽال ڪرڻ لاءِ اعليٰ سطحي ڊاريڪٽري. | /opt/firezone' |
ڊفالٽ['firezone']['app_directory'] | فائر زون ويب ايپليڪيشن کي انسٽال ڪرڻ لاءِ اعليٰ سطحي ڊاريڪٽري. | "#{node['firezone']['install_directory']}/embedded/service/firezone" |
ڊفالٽ['firezone']['log_directory'] | فائر زون لاگز لاءِ اعليٰ سطحي ڊاريڪٽري. | /var/log/firezone' |
ڊفالٽ['firezone']['var_directory'] | فائر زون رن ٽائم فائلن لاءِ اعليٰ سطحي ڊاريڪٽري. | /var/opt/firezone' |
ڊفالٽ['firezone']['user'] | نامناسب لينڪس صارف جو نالو اڪثر خدمتن ۽ فائلن سان تعلق رکندا. | فائر زون |
ڊفالٽ['firezone']['group'] | لينڪس گروپ جو نالو اڪثر خدمتن ۽ فائلن سان تعلق رکندا. | فائر زون |
ڊفالٽ['firezone']['admin_email'] | شروعاتي فائر زون استعمال ڪندڙ لاءِ اي ميل پتو. | "firezone@localhost" |
ڊفالٽ['firezone']['max_devices_per_user'] | وڌ ۾ وڌ تعداد ڊوائيسز جو هڪ صارف ڪري سگھي ٿو. | 10 |
ڊفالٽ['firezone']['allow_unprivileged_device_management'] | غير منتظم صارفين کي ڊوائيسز ٺاهڻ ۽ حذف ڪرڻ جي اجازت ڏئي ٿي. | سچ |
ڊفالٽ['firezone']['allow_unprivileged_device_configuration'] | غير منتظم استعمال ڪندڙن کي اجازت ڏئي ٿو ته ڊيوائس جي ٺاھ جوڙ کي تبديل ڪري. جڏهن غير فعال، غير امتيازي استعمال ڪندڙن کي سڀني ڊوائيس فيلڊ کي تبديل ڪرڻ کان روڪي ٿو سواء نالو ۽ وضاحت جي. | سچ |
ڊفالٽ['firezone']['egress_interface'] | انٽرفيس جو نالو جتي سرنگ ٿيل ٽرئفڪ نڪرندي. جيڪڏهن nil، ڊفالٽ روٽ انٽرفيس استعمال ڪيو ويندو. | نيل |
ڊفالٽ['فائر زون']['fips_enabled'] | OpenSSL FIPs موڊ کي فعال يا غير فعال ڪريو. | نيل |
ڊفالٽ['فائر زون']['لاگنگ']['فعال ٿيل'] | فائر زون ۾ لاگنگ کي فعال يا غير فعال ڪريو. لاگنگ کي مڪمل طور تي بند ڪرڻ لاءِ غلط تي سيٽ ڪريو. | سچ |
ڊفالٽ['انٽرپرائز']['نالو'] | نالو استعمال ڪيو شيف 'انٽرپرائز' ڪڪ بڪ طرفان. | فائر زون |
ڊفالٽ['firezone']['install_path'] | شيف 'انٽرپرائز' ڪڪ بڪ پاران استعمال ڪيل رستو انسٽال ڪريو. مٿي ڏنل install_directory وانگر سيٽ ڪيو وڃي. | نوڊ['firezone']['install_directory'] |
ڊفالٽ['firezone']['sysvinit_id'] | /etc/inittab ۾ استعمال ٿيل هڪ سڃاڻپ ڪندڙ. 1-4 اکرن جو هڪ منفرد تسلسل هجڻ گهرجي. | SUP' |
ڊفالٽ['firezone']['Authentication']['local']['enabled'] | مقامي اي ميل/پاسورڊ جي تصديق کي فعال يا غير فعال ڪريو. | سچ |
ڊفالٽ['firezone']['Authentication']['auto_create_oidc_users'] | خودڪار طور تي پهريون ڀيرو OIDC مان سائن ان ٿيندڙ صارفين کي ٺاهيو. صرف موجوده صارفين کي OIDC ذريعي سائن ان ڪرڻ جي اجازت ڏيڻ کي بند ڪريو. | سچ |
ڊفالٽ['firezone']['Authentication']['disable_vpn_on_oidc_error'] | هڪ صارف جي VPN کي بند ڪريو جيڪڏهن هڪ غلطي معلوم ٿئي ٿي ته انهن جي OIDC ٽوڪن کي ريفريش ڪرڻ جي ڪوشش ڪندي. | فالس |
ڊفالٽ['firezone']['Authentication']['oidc'] | OpenID Connect config، جي شڪل ۾ {“provider” => [config…]} - ڏسو OpenIDConnect دستاويز config مثالن لاء. | {} |
ڊفالٽ['firezone']['nginx']['enabled'] | بنڊل nginx سرور کي فعال يا غير فعال ڪريو. | سچ |
ڊفالٽ['firezone']['nginx']['ssl_port'] | HTTPS ٻڌڻ وارو پورٽ. | 443 |
ڊفالٽ['firezone']['nginx']['directory'] | Firezone سان لاڳاپيل nginx ورچوئل ميزبان جي ترتيب کي ذخيرو ڪرڻ لاءِ ڊاريڪٽري. | "#{node['firezone']['var_directory']}/nginx/etc" |
ڊفالٽ['firezone']['nginx']['log_directory'] | Firezone سان لاڳاپيل nginx لاگ فائلن کي ذخيرو ڪرڻ لاء ڊائريڪٽري. | "#{node['firezone']['log_directory']}/nginx" |
ڊفالٽ['firezone']['nginx']['log_rotation']['file_maxbytes'] | فائل سائيز جنهن تي Nginx لاگ فائلن کي گھمڻ لاء. | 104857600 |
ڊفالٽ['firezone']['nginx']['log_rotation']['num_to_keep'] | فائر زون nginx لاگ فائلن جو تعداد رد ڪرڻ کان اڳ رکڻ لاءِ. | 10 |
ڊفالٽ['firezone']['nginx']['log_x_forwarded_for'] | ڇا فائر زون nginx x-forwarded-for header کي لاگ ڪرڻ گھرجي. | سچ |
ڊفالٽ['firezone']['nginx']['hsts_header']['enabled'] | سچ | |
ڊفالٽ['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS هيڊر لاءِ SubDomains کي فعال يا غير فعال ڪريو. | سچ |
ڊفالٽ['firezone']['nginx']['hsts_header']['max_age'] | HSTS هيڊر لاءِ وڌ ۾ وڌ عمر. | 31536000 |
ڊفالٽ['firezone']['nginx']['redirect_to_canonical'] | ڇا URLs کي مٿي بيان ڪيل Canonical FQDN ڏانھن ريڊائريڪٽ ڪرڻ گھرجي | فالس |
ڊفالٽ['firezone']['nginx']['cache']['enabled'] | فائر زون نينڪس ڪيش کي فعال يا غير فعال ڪريو. | فالس |
ڊفالٽ['firezone']['nginx']['cache']['directory'] | فائر زون nginx ڪيش لاءِ ڊاريڪٽري. | "#{node['firezone']['var_directory']}/nginx/cache" |
ڊفالٽ['firezone']['nginx']['user'] | فائر زون nginx استعمال ڪندڙ. | نوڊ['firezone']['user'] |
ڊفالٽ['firezone']['nginx']['group'] | فائر زون نينڪس گروپ. | نوڊ['فائر زون']['گروپ'] |
ڊفالٽ['firezone']['nginx']['dir'] | اعلي سطحي nginx ترتيب واري ڊاريڪٽري. | node['firezone']['nginx']['directory'] |
ڊفالٽ['firezone']['nginx']['log_dir'] | اعلي سطحي nginx لاگ ڊاريڪٽري. | نوڊ['firezone']['nginx']['log_directory'] |
ڊفالٽ['firezone']['nginx']['pid'] | nginx pid فائل لاءِ جڳھ. | "#{node['firezone']['nginx']['directory']}/nginx.pid" |
ڊفالٽ['firezone']['nginx']['daemon_disable'] | nginx ڊيمون موڊ کي غير فعال ڪريو تنهنڪري اسان ان جي بدران مانيٽر ڪري سگهون ٿا. | سچ |
ڊفالٽ['firezone']['nginx']['gzip'] | nginx gzip ڪمپريشن کي بند ڪريو يا بند ڪريو. | تي |
ڊفالٽ['firezone']['nginx']['gzip_static'] | جامد فائلن لاءِ nginx gzip ڪمپريشن کي آن يا بند ڪريو. | بند |
ڊفالٽ['firezone']['nginx']['gzip_http_version'] | جامد فائلن جي خدمت لاءِ استعمال ڪرڻ لاءِ HTTP ورزن. | 1.0 ' |
ڊفالٽ['firezone']['nginx']['gzip_comp_level'] | nginx gzip ڪمپريشن سطح. | 2 ' |
ڊفالٽ['firezone']['nginx']['gzip_proxied'] | درخواست ۽ جواب جي بنياد تي پراڪس ٿيل درخواستن لاءِ جوابن جي gzipping کي فعال يا غير فعال ڪري ٿو. | ڪو به' |
ڊفالٽ['firezone']['nginx']['gzip_vary'] | "Vary: Accept-Encoding" جوابي هيڊر داخل ڪرڻ کي فعال يا غير فعال ڪري ٿو. | بند |
ڊفالٽ['firezone']['nginx']['gzip_buffers'] | جواب کي دٻائڻ لاءِ استعمال ٿيل بفرن جو تعداد ۽ سائيز مقرر ڪري ٿو. جيڪڏهن nil، nginx ڊفالٽ استعمال ڪيو ويندو آهي. | نيل |
ڊفالٽ['firezone']['nginx']['gzip_types'] | Gzip ڪمپريشن کي فعال ڪرڻ لاء MIME قسم. | ['text/plain', 'text/css', 'application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
ڊفالٽ['firezone']['nginx']['gzip_min_length'] | فائل جي Gzip ڪمپريشن کي فعال ڪرڻ لاء گھٽ ۾ گھٽ فائل جي ڊيگهه. | 1000 |
ڊفالٽ['firezone']['nginx']['gzip_disable'] | Gzip ڪمپريشن کي غير فعال ڪرڻ لاء استعمال ڪندڙ-ايجنٽ ميچر. | MSIE [1-6]\.' |
ڊفالٽ['firezone']['nginx']['keepalive'] | اپ اسٽريم سرورز سان ڪنيڪشن لاءِ ڪيش کي چالو ڪري ٿو. | تي |
ڊفالٽ['firezone']['nginx']['keepalive_timeout'] | اپ اسٽريم سرورز سان لاڳيتو ڪنيڪشن رکڻ لاءِ سيڪنڊن ۾ ٽائيم ختم. | 65 |
ڊفالٽ['firezone']['nginx']['worker_processes'] | nginx ڪم ڪندڙ عملن جو تعداد. | node['cpu'] && node['cpu']['total']؟ node['cpu']['total'] : 1 |
ڊفالٽ['firezone']['nginx']['worker_connections'] | گڏوگڏ ڪنيڪشن جو وڌ ۾ وڌ تعداد جيڪو ڪم ڪندڙ عمل ذريعي کوليو وڃي ٿو. | 1024 |
ڊفالٽ['firezone']['nginx']['worker_rlimit_nofile'] | ڪم ڪندڙ عملن لاءِ کليل فائلن جي وڌ ۾ وڌ تعداد تي حد تبديل ڪري ٿي. استعمال ڪري ٿو nginx ڊفالٽ جيڪڏھن nil. | نيل |
ڊفالٽ['firezone']['nginx']['multi_accept'] | ڇا ڪارڪنن کي هڪ وقت ۾ هڪ ڪنيڪشن قبول ڪرڻ گهرجي يا گهڻن. | سچ |
ڊفالٽ['firezone']['nginx']['event'] | nginx واقعن جي اندر استعمال ڪرڻ لاء ڪنيڪشن پروسيسنگ جو طريقو بيان ڪري ٿو. | ايپول |
ڊفالٽ['firezone']['nginx']['server_tokens'] | nginx ورزن کي خارج ڪرڻ کي فعال يا غير فعال ڪري ٿو غلطي صفحن تي ۽ "سرور" جوابي هيڊر فيلڊ ۾. | نيل |
ڊفالٽ['firezone']['nginx']['server_names_hash_bucket_size'] | سرور جي نالن جي هيش ٽيبل لاءِ بالٽ جي سائيز سيٽ ڪري ٿي. | 64 |
ڊفالٽ['firezone']['nginx']['sendfile'] | nginx جي موڪليل فائل () جي استعمال کي فعال يا غير فعال ڪري ٿو. | تي |
ڊفالٽ['firezone']['nginx']['access_log_options'] | nginx رسائي لاگ جا اختيار سيٽ ڪريو. | نيل |
ڊفالٽ['firezone']['nginx']['error_log_options'] | nginx غلطي لاگ اختيارن کي سيٽ ڪري ٿو. | نيل |
ڊفالٽ['firezone']['nginx']['disable_access_log'] | nginx رسائي لاگ کي بند ڪري ٿو. | فالس |
ڊفالٽ['firezone']['nginx']['types_hash_max_size'] | nginx قسمن hash max size. | 2048 |
ڊفالٽ['firezone']['nginx']['types_hash_bucket_size'] | nginx قسم هيش بالٽ سائيز. | 64 |
ڊفالٽ['firezone']['nginx']['proxy_read_timeout'] | nginx proxy پڙهڻ جو وقت ختم. nginx ڊفالٽ استعمال ڪرڻ لاءِ nil تي سيٽ ڪريو. | نيل |
ڊفالٽ['firezone']['nginx']['client_body_buffer_size'] | nginx ڪلائنٽ باڊي بفر سائيز. nginx ڊفالٽ استعمال ڪرڻ لاءِ nil تي سيٽ ڪريو. | نيل |
ڊفالٽ['firezone']['nginx']['client_max_body_size'] | nginx ڪلائنٽ وڌ ۾ وڌ جسماني سائيز. | 250m' |
ڊفالٽ['firezone']['nginx']['default']['modules'] | وضاحت ڪريو اضافي nginx ماڊلز. | [] |
ڊفالٽ['firezone']['nginx']['enable_rate_limiting'] | nginx جي شرح کي محدود ڪرڻ کي فعال يا غير فعال ڪريو. | سچ |
ڊفالٽ['firezone']['nginx']['rate_limiting_zone_name'] | Nginx شرح محدود زون جو نالو. | فائر زون |
ڊفالٽ['firezone']['nginx']['rate_limiting_backoff'] | نينڪس جي شرح کي محدود ڪرڻ واري واپسي. | 10m' |
ڊفالٽ['firezone']['nginx']['rate_limit'] | نينڪس جي شرح جي حد. | 10r/s' |
ڊفالٽ['firezone']['nginx']['ipv6'] | nginx کي اجازت ڏيو ته ٻڌڻ لاءِ HTTP درخواستون IPv6 لاءِ IPv4 کان علاوه. | سچ |
ڊفالٽ['firezone']['postgresql']['فعال ٿيل'] | بنڊل Postgresql کي فعال يا غير فعال ڪريو. غلط تي سيٽ ڪريو ۽ ھيٺ ڏنل ڊيٽابيس جي اختيارن ۾ ڀريو توھان جو پنھنجو پوسٽ گريسڪ ايل مثال استعمال ڪرڻ لاءِ. | سچ |
ڊفالٽ['firezone']['postgresql']['username'] | يوزر نالو Postgresql لاءِ. | نوڊ['firezone']['user'] |
ڊفالٽ['firezone']['postgresql']['data_directory'] | Postgresql ڊيٽا ڊاريڪٽري. | "#{node['firezone']['var_directory']}/postgresql/13.3/data" |
ڊفالٽ['firezone']['postgresql']['log_directory'] | Postgresql لاگ ڊاريڪٽري. | "#{node['firezone']['log_directory']}/postgresql" |
ڊفالٽ['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql لاگ فائل گھمڻ کان اڳ وڌ ۾ وڌ سائيز. | 104857600 |
ڊفالٽ['firezone']['postgresql']['log_rotation']['num_to_keep'] | رکڻ لاءِ Postgresql لاگ فائلن جو تعداد. | 10 |
ڊفالٽ['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql چيڪ پوائنٽ مڪمل ڪرڻ جو هدف. | 0.5 |
ڊفالٽ['firezone']['postgresql']['checkpoint_segments'] | Postgresql چيڪ پوائنٽ حصن جو تعداد. | 3 |
ڊفالٽ['firezone']['postgresql']['checkpoint_timeout'] | Postgresql چيڪ پوائنٽ جو وقت ختم. | 5 منٽ |
ڊفالٽ['firezone']['postgresql']['checkpoint_warning'] | Postgresql چيڪ پوائنٽ وارننگ ٽائيم سيڪنڊن ۾. | 30s' |
ڊفالٽ['firezone']['postgresql']['effective_cache_size'] | Postgresql موثر ڪيش سائيز. | 128 ايم بي |
ڊفالٽ['firezone']['postgresql']['listen_address'] | Postgresql ٻڌي ايڊريس. | 127.0.0.1 ' |
ڊفالٽ['firezone']['postgresql']['max_connections'] | Postgresql وڌ کان وڌ ڪنيڪشن. | 350 |
ڊفالٽ['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs md5 auth جي اجازت ڏيڻ لاءِ. | ['127.0.0.1/32'، '::1/128'] |
ڊفالٽ['firezone']['postgresql']['port'] | Postgresql ٻڌڻ پورٽ. | 15432 |
ڊفالٽ['firezone']['postgresql']['shared_buffers'] | Postgresql گڏيل بفر سائز. | "#{(node['memory']['total'].to_i / 4) / 1024}MB" |
ڊفالٽ['firezone']['postgresql']['shmmax'] | Postgresql shmmax بائيٽ ۾. | 17179869184 |
ڊفالٽ['firezone']['postgresql']['shmall'] | Bytes ۾ Postgresql shmall. | 4194304 |
ڊفالٽ['firezone']['postgresql']['work_mem'] | Postgresql ڪم ڪندڙ ميموري سائيز. | 8 ايم بي |
ڊفالٽ['firezone']['database']['user'] | استعمال ڪندڙ جو نالو بيان ڪري ٿو فائر زون ڊي بي سان ڳنڍڻ لاءِ استعمال ڪندو. | نوڊ['firezone']['postgresql']['username'] |
ڊفالٽ['firezone']['database']['password'] | جيڪڏهن ٻاهرين DB استعمال ڪري رهيا آهيو، وضاحت ڪريو پاسورڊ فائر زون ڊي بي سان ڳنڍڻ لاءِ استعمال ڪندو. | مون کي تبديل ڪريو |
ڊفالٽ['firezone']['database']['name'] | ڊيٽابيس جيڪو فائر زون استعمال ڪندو. ٺاھيو ويندو جيڪڏھن اھو موجود نه آھي. | فائر زون |
ڊفالٽ['firezone']['database']['host'] | ڊيٽابيس جو ميزبان جيڪو فائر زون سان ڳنڍيندو. | نوڊ['firezone']['postgresql']['listen_address'] |
ڊفالٽ['firezone']['database']['port'] | ڊيٽابيس پورٽ جيڪو فائر زون سان ڳنڍيندو. | نوڊ['firezone']['postgresql']['port'] |
ڊفالٽ['firezone']['database']['pol'] | ڊيٽابيس پول سائيز فائر زون استعمال ڪندو. | [10, Etc.nprocessors].max |
ڊفالٽ['firezone']['database']['ssl'] | ڇا SSL تي ڊيٽابيس سان ڳنڍڻو آهي. | فالس |
ڊفالٽ['firezone']['database']['ssl_opts'] | SSL تي ڳنڍڻ دوران :ssl_opts آپشن ڏانهن موڪلڻ لاءِ اختيارن جو هاش. ڏسو Ecto.Adapters.Postgres دستاويز. | {} |
ڊفالٽ['firezone']['database']['parameters'] | {} | |
ڊفالٽ['firezone']['database']['extensions'] | ڊيٽابيس جي واڌارن کي فعال ڪرڻ لاءِ. | {'plpgsql' => سچ، 'pg_trgm' => سچو } |
ڊفالٽ['firezone']['phoenix']['enabled'] | فائر زون ويب ايپليڪيشن کي فعال يا غير فعال ڪريو. | سچ |
ڊفالٽ['firezone']['phoenix']['listen_address'] | فائر زون ويب ايپليڪيشن ٻڌڻ جو پتو. هي هوندو اپ اسٽريم ٻڌڻ جو پتو جيڪو nginx proxies. | 127.0.0.1 ' |
ڊفالٽ['firezone']['phoenix']['port'] | فائر زون ويب ايپليڪيشن ٻڌڻ وارو پورٽ. هي هوندو اپ اسٽريم پورٽ جيڪو nginx proxies. | 13000 |
ڊفالٽ['firezone']['phoenix']['log_directory'] | فائر زون ويب ايپليڪيشن لاگ ڊاريڪٽري. | "#{node['firezone']['log_directory']}/phoenix" |
ڊفالٽ['firezone']['phoenix']['log_rotation']['file_maxbytes'] | فائر زون ويب ايپليڪيشن لاگ فائل سائيز. | 104857600 |
ڊفالٽ['firezone']['phoenix']['log_rotation']['num_to_keep'] | رکڻ لاءِ فائر زون ويب ايپليڪيشن لاگ فائلن جو تعداد. | 10 |
ڊفالٽ['firezone']['phoenix']['crash_detection']['enabled'] | فائر زون ويب ايپليڪيشن کي ھيٺ آڻڻ کي فعال يا غير فعال ڪريو جڏھن حادثي جو پتو لڳايو وڃي. | سچ |
ڊفالٽ['firezone']['phoenix']['external_trusted_proxies'] | IPs ۽/يا CIDRs جي صف جي طور تي فارميٽ ٿيل قابل اعتماد ريورس پراڪسز جي فهرست. | [] |
ڊفالٽ['firezone']['phoenix']['private_clients'] | نجي نيٽ ورڪ HTTP ڪلائنٽ جي فهرست، IPs ۽/يا CIDRs جي هڪ صف کي فارميٽ ڪيو. | [] |
ڊفالٽ['firezone']['wireguard']['enabled'] | بنڊل وائر گارڊ مينيجمينٽ کي فعال يا غير فعال ڪريو. | سچ |
ڊفالٽ['firezone']['wireguard']['log_directory'] | بنڊل وائر گارڊ انتظام لاءِ لاگ ڊاريڪٽري. | "#{node['firezone']['log_directory']}/wireguard" |
ڊفالٽ['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard لاگ فائل وڌ ۾ وڌ سائيز. | 104857600 |
ڊفالٽ['firezone']['wireguard']['log_rotation']['num_to_keep'] | رکڻ لاءِ WireGuard لاگ فائلن جو تعداد. | 10 |
ڊفالٽ['firezone']['wireguard']['interface_name'] | WireGuard انٽرفيس جو نالو. ھن پيٽرولر کي تبديل ڪرڻ سان وي پي اين ڪنيڪشن ۾ عارضي نقصان ٿي سگھي ٿو. | wg-firezone' |
ڊفالٽ['firezone']['wireguard']['port'] | وائر گارڊ ٻڌڻ وارو پورٽ. | 51820 |
ڊفالٽ['firezone']['wireguard']['mtu'] | WireGuard انٽرفيس MTU هن سرور لاءِ ۽ ڊوائيس جي ترتيبن لاءِ. | 1280 |
ڊفالٽ['firezone']['wireguard']['endpoint'] | WireGuard Endpoint استعمال ڪرڻ لاءِ استعمال ڪرڻ لاءِ ڊيوائس جي ٺاھ جوڙ پيدا ڪرڻ. جيڪڏهن nil، سرور جي عوامي IP پتي تي ڊفالٽ. | نيل |
ڊفالٽ['firezone']['wireguard']['dns'] | WireGuard DNS ٺاهيل ڊوائيس ترتيبن لاءِ استعمال ڪرڻ لاءِ. | 1.1.1.1، 1.0.0.1′ |
ڊفالٽ['firezone']['wireguard']['allowed_ips'] | WireGuard اجازت ڏني آئي پيز ٺاهيل ڊوائيس ترتيبن لاءِ استعمال ڪرڻ لاءِ. | 0.0.0.0/0، ::/0′ |
ڊفالٽ['firezone']['wireguard']['persistent_keepalive'] | ٺاهيل ڊوائيس ترتيبن لاءِ ڊفالٽ PersistentKeepalive سيٽنگ. 0 جو قدر غير فعال. | 0 |
ڊفالٽ['firezone']['wireguard']['ipv4']['enabled'] | WireGuard نيٽ ورڪ لاءِ IPv4 کي فعال يا غير فعال ڪريو. | سچ |
ڊفالٽ['firezone']['wireguard']['ipv4']['masquerade'] | IPv4 سرنگ کي ڇڏڻ واري پيڪٽس لاءِ ماسڪريڊ کي فعال يا غير فعال ڪريو. | سچ |
ڊفالٽ['firezone']['wireguard']['ipv4']['network'] | WireGuard نيٽ ورڪ IPv4 ايڊريس پول. | 10.3.2.0/24 ′ |
ڊفالٽ['firezone']['wireguard']['ipv4']['address'] | WireGuard انٽرفيس IPv4 پتو. WireGuard ايڊريس پول جي اندر هجڻ گهرجي. | 10.3.2.1 ' |
ڊفالٽ['firezone']['wireguard']['ipv6']['enabled'] | WireGuard نيٽ ورڪ لاءِ IPv6 کي فعال يا غير فعال ڪريو. | سچ |
ڊفالٽ['firezone']['wireguard']['ipv6']['masquerade'] | IPv6 سرنگ کي ڇڏڻ واري پيڪٽس لاءِ ماسڪريڊ کي فعال يا غير فعال ڪريو. | سچ |
ڊفالٽ['firezone']['wireguard']['ipv6']['network'] | WireGuard نيٽ ورڪ IPv6 ايڊريس پول. | fd00::3:2:0/120′ |
ڊفالٽ['firezone']['wireguard']['ipv6']['address'] | WireGuard انٽرفيس IPv6 پتو. IPv6 ايڊريس پول جي اندر هجڻ گهرجي. | fd00::3:2:1' |
ڊفالٽ['firezone']['runit']['svlogd_bin'] | رنيٽ svlogd bin جڳھ. | "#{node['firezone']['install_directory']}/embedded/bin/svlogd" |
ڊفالٽ['firezone']['ssl']['directory'] | ٺاهيل سرٽيفڪيٽن کي محفوظ ڪرڻ لاءِ SSL ڊاريڪٽري. | /var/opt/firezone/ssl' |
ڊفالٽ['firezone']['ssl']['email_address'] | خود دستخط ٿيل سرٽيفڪيٽ ۽ ACME پروٽوڪول تجديد نوٽس لاءِ استعمال ڪرڻ لاءِ اي ميل پتو. | you@example.com' |
ڊفالٽ['firezone']['ssl']['acme']['enabled'] | خودڪار SSL سرٽيفڪيٽ جي فراهمي لاءِ ACME کي فعال ڪريو. Nginx کي بندرگاهن 80 تي ٻڌڻ کان روڪڻ لاءِ هن کي بند ڪريو. ڏسو هتي و moreيڪ هدايتن لاءِ. | فالس |
ڊفالٽ['firezone']['ssl']['acme']['server'] | سرٽيفڪيٽ جاري ڪرڻ / تجديد لاءِ استعمال ڪرڻ لاءِ ACME سرور. ڪو به ٿي سگهي ٿو صحيح acme.sh سرور | ڪائونسلريٽ ڪيو |
ڊفالٽ['firezone']['ssl']['acme']['keylength'] | ec-256 | |
ڊفالٽ['firezone']['ssl']['certificate'] | توھان جي FQDN لاءِ سرٽيفڪيٽ فائل ڏانھن رستو. مٿي ڏنل ACME سيٽنگ کي ختم ڪري ٿو جيڪڏهن بيان ڪيو ويو آهي. جيڪڏھن ٻئي ACME ۽ ھي نھ آھن ھڪڙو خود دستخط ٿيل سرٽيفڪيٽ ٺاھيو ويندو. | نيل |
ڊفالٽ['firezone']['ssl']['certificate_key'] | سرٽيفڪيٽ فائل ڏانهن رستو. | نيل |
ڊفالٽ['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | نيل |
ڊفالٽ['firezone']['ssl']['country_name'] | خود دستخط ٿيل سرٽيفڪيٽ لاءِ ملڪ جو نالو. | يو ايس |
ڊفالٽ['firezone']['ssl']['state_name'] | رياست جو نالو خود دستخط ٿيل سرٽيفڪيٽ لاءِ. | سي. |
ڊفالٽ['firezone']['ssl']['locality_name'] | خود دستخط ٿيل سرٽيفڪيٽ لاءِ علائقي جو نالو. | سان فرانسزڪو' |
ڊفالٽ['firezone']['ssl']['company_name'] | ڪمپني جو نالو خود دستخط ٿيل سرٽيفڪيٽ. | منهنجي ڪمپني |
ڊفالٽ['firezone']['ssl']['organizational_unit_name'] | خود دستخط ٿيل سرٽيفڪيٽ لاءِ تنظيمي يونٽ جو نالو. | آپريشنز |
ڊفالٽ['firezone']['ssl']['ciphers'] | استعمال ڪرڻ لاءِ nginx لاءِ SSL ciphers. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
ڊفالٽ['فائر زون']['ssl']['fips_ciphers'] | FIPs موڊ لاءِ SSL ciphers. | FIPS@ طاقت:!aNULL:!eNULL' |
ڊفالٽ['firezone']['ssl']['protocols'] | TLS پروٽوڪول استعمال ڪرڻ لاء. | TLSv1 TLSv1.1 TLSv1.2′ |
ڊفالٽ['firezone']['ssl']['session_cache'] | SSL سيشن ڪيش. | شيئر ٿيل:SSL:4m' |
ڊفالٽ['firezone']['ssl']['session_timeout'] | SSL سيشن جو وقت ختم. | 5m' |
ڊفالٽ['firezone']['robots_allow'] | nginx روبوٽس جي اجازت ڏئي ٿي. | /' |
ڊفالٽ['firezone']['robots_disallow'] | nginx روبوٽس جي اجازت نه آهي. | نيل |
ڊفالٽ['firezone']['outbound_email']['from'] | ائڊريس مان آئوٽ بائونڊ اي ميل. | نيل |
ڊفالٽ['firezone']['outbound_email']['provider'] | آئوٽ بائونڊ اي ميل سروس فراهم ڪندڙ. | نيل |
ڊفالٽ['firezone']['outbound_email']['configs'] | آئوٽ بائونڊ اي ميل فراهم ڪندڙ ترتيبون. | ڏسو omnibus/cookbooks/firezone/attributes/default.rb |
ڊفالٽ['firezone']['telemetry']['enabled'] | گمنام پراڊڪٽ ٽيليميٽري کي فعال يا غير فعال ڪريو. | سچ |
ڊفالٽ['firezone']['connectivity_checks']['enabled'] | فائر زون ڪنيڪشن چيڪ سروس کي فعال يا غير فعال ڪريو. | سچ |
ڊفالٽ['firezone']['connectivity_checks']['interval'] | سيڪنڊن ۾ رابطي جي چڪاس جي وچ ۾ وقفو. | 3_600 |
________________________________________________________________
هتي توهان هڪ عام فائر زون تنصيب سان لاڳاپيل فائلن ۽ ڊائريڪٽرن جي لسٽ ڳوليندا. اهي تبديليون توهان جي ترتيب واري فائل ۾ تبديلين جي لحاظ سان تبديل ٿي سگهن ٿيون.
رستو | بيان |
/var/opt/firezone | مٿين سطح جي ڊاريڪٽري جنهن ۾ ڊيٽا شامل آهي ۽ فائر زون بنڊل سروسز لاءِ ٺاهيل ترتيب. |
/opt/firezone | اعلي سطحي ڊاريڪٽري جنهن ۾ تعمير ٿيل لائبريريون، بائنري ۽ رن ٽائم فائلون فائر زون طرفان گهربل آهن. |
/usr/bin/firezone-ctl | توهان جي فائر زون تنصيب کي منظم ڪرڻ لاءِ firezone-ctl افاديت. |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runvdir سپروائيزر عمل شروع ڪرڻ لاء systemd يونٽ فائل. |
/etc/firezone | فائر زون جي ٺاھ جوڙ فائلون. |
__________________________________________________________
ھي صفحو دستاويزن ۾ خالي ھو
_____________________________________________________________
هيٺ ڏنل nftables فائر وال ٽيمپليٽ استعمال ڪري سگھجي ٿو سرور کي محفوظ ڪرڻ لاءِ فائر زون هلائيندڙ. ٽيمپليٽ ڪجهه مفروضا ٺاهي ٿو؛ توھان کي توھان جي استعمال جي صورت ۾ قاعدن کي ترتيب ڏيڻ جي ضرورت پوندي:
فائر زون ويب انٽرفيس ۾ ترتيب ڏنل منزلن ڏانهن ٽريفڪ کي اجازت/رد ڪرڻ ۽ ڪلائنٽ ٽرئفڪ لاءِ ٻاهرين NAT کي سنڀالڻ لاءِ پنهنجا nftables ضابطا ترتيب ڏئي ٿو.
هيٺ ڏنل فائر وال ٽيمپليٽ کي اڳ ۾ ئي هلندڙ سرور تي لاڳو ڪرڻ (بوٽ وقت تي نه) نتيجي ۾ فائر زون جي ضابطن کي صاف ڪيو ويندو. اهو ٿي سگهي ٿو سيڪيورٽي اثر.
هن جي چوڌاري ڪم ڪرڻ لاء فينڪس سروس کي ٻيهر شروع ڪريو:
firezone-ctl ٻيهر شروع ڪريو فينڪس
#!/usr/sbin/nft -f
## سڀ موجود ضابطن کي صاف / فلش ڪريو
فلش ضابطو
################################################# #############
## انٽرنيٽ/وان انٽرفيس جو نالو
وضاحت ڪريو DEV_WAN = eth0
## وائر گارڊ انٽرفيس جو نالو
وضاحت ڪريو DEV_WIREGUARD = wg-فائر زون
## وائر گارڊ ٻڌڻ وارو پورٽ
وضاحت ڪريو WIREGUARD_PORT = 51820
############################################################################ ##########
# مين انٽ خانداني فلٽرنگ ٽيبل
ٽيبل انٽ فلٽر {
# اڳتي وڌڻ واري ٽرئفڪ لاءِ ضابطا
# هي زنجير فائر زون فارورڊ زنجير کان اڳ پروسيس ڪيو ويندو آهي
زنجير اڳتي {
ٽائپ ڪريو فلٽر ٿلهو فارورڊ ترجيحي فلٽر - 5؛ پاليسي قبول ڪرڻ
}
# ان پٽ ٽرئفڪ لاءِ ضابطا
زنجير داخل {
قسم فلٽر ٿلهو ان پٽ ترجيحي فلٽر؛ پاليسي جي کوٽ
## انبائونڊ ٽرئفڪ کي لوپ بڪ انٽرفيس جي اجازت ڏيو
iif lo \
قبول ڪريو \
جو رايو آهي "لوپ بڪ انٽرفيس مان سڀ ٽرئفڪ کي اجازت ڏيو"
## پرمٽ قائم ۽ لاڳاپيل ڪنيڪشن
ct رياست قائم، لاڳاپيل \
قبول ڪريو \
جو رايو آهي "پرمٽ قائم / لاڳاپيل ڪنيڪشن"
## انبائونڊ وائر گارڊ ٽرئفڪ جي اجازت ڏيو
جي $DEV_WAN udp dport $WIREGUARD_PORT \
انسداد \
قبول ڪريو \
جو رايو آهي ”ان بائونڊ وائر گارڊ ٽرئفڪ جي اجازت ڏيو“
## لاگ ان ڪريو ۽ ڇڏي ڏيو نوان TCP غير SYN پيڪٽس
tcp پرچم! = syn ct اسٽيٽ نئون \
حد جي شرح 100/ منٽ ڦوٽو 150 پيڪٽس \
log prefix "ان - نئون! SYN: " \
جو رايو آهي "نئين ڪنيڪشن لاءِ لاگنگ جي حد جي حد جيڪي SYN TCP پرچم سيٽ نه آهن"
tcp پرچم! = syn ct اسٽيٽ نئون \
انسداد \
ڦوٽو \
جو رايو آهي "نئون ڪنيڪشن ڇڏي ڏيو جن ۾ SYN TCP پرچم سيٽ نه آهي"
## TCP پيڪٽس لاگ ان ڪريو ۽ ڊراپ ڪريو غلط fin/syn پرچم سيٽ سان
tcp پرچم ۽ (fin|syn) == (fin|syn) \
حد جي شرح 100/ منٽ ڦوٽو 150 پيڪٽس \
log prefix "ان - TCP FIN|SIN:" \
جو رايو آهي "TCP پيڪٽس لاءِ ريٽ جي حد لاگنگ غلط fin/syn پرچم سيٽ سان"
tcp پرچم ۽ (fin|syn) == (fin|syn) \
انسداد \
ڦوٽو \
جو رايو آهي "غلط fin/syn پرچم سيٽ سان ٽي سي پي پيڪيٽ کي ڇڏي ڏيو"
## TCP پيڪٽس لاگ ان ڪريو ۽ ڇڏي ڏيو غلط syn/rst پرچم سيٽ سان
tcp پرچم ۽ (syn|rst) == (syn|rst) \
حد جي شرح 100/ منٽ ڦوٽو 150 پيڪٽس \
log prefix "ان - TCP SYN|RST:" \
جو رايو آهي "غلط syn/rst پرچم سيٽ سان TCP پيڪٽس لاءِ شرح جي حد لاگنگ"
tcp پرچم ۽ (syn|rst) == (syn|rst) \
انسداد \
ڦوٽو \
جو رايو آهي "غلط syn/rst پرچم سيٽ سان TCP پيڪيٽ کي ڇڏي ڏيو"
## غلط TCP جھنڊو لاگ ان ڪريو ۽ ڇڏي ڏيو
tcp پرچم ۽ (fin|syn|rst|psh|ack|urg) < (fin) \
حد جي شرح 100/ منٽ ڦوٽو 150 پيڪٽس \
log prefix "ان - فائن:" \
جو رايو آهي "غلط TCP جھنڊن لاءِ شرح جي حد لاگنگ (fin|syn|rst|psh|ack|urg) < (fin)"
tcp پرچم ۽ (fin|syn|rst|psh|ack|urg) < (fin) \
انسداد \
ڦوٽو \
جو رايو آهي "ٽي سي پي پيڪٽس کي جھنڊن سان گڏ ڪريو (fin|syn|rst|psh|ack|urg) < (fin)"
## غلط TCP جھنڊو لاگ ان ڪريو ۽ ڇڏي ڏيو
tcp پرچم ۽ (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
حد جي شرح 100/ منٽ ڦوٽو 150 پيڪٽس \
log prefix "IN - FIN|PSH|URG:" \
جو رايو آهي "غلط TCP جھنڊن لاءِ شرح جي حد لاگنگ (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp پرچم ۽ (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
انسداد \
ڦوٽو \
جو رايو آهي "ٽي سي پي پيڪٽس کي جھنڊن سان گڏ ڪريو (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## ٽريفڪ کي غلط ڪنيڪشن جي حالت سان گڏ ڪريو
ct اسٽيٽ غلط \
حد جي شرح 100/ منٽ ڦوٽو 150 پيڪٽس \
log flags all prefix "۾ - غلط:" \
جو رايو آهي "غلط ڪنيڪشن واري حالت سان ٽرئفڪ لاءِ لاگنگ جي حد جي شرح"
ct اسٽيٽ غلط \
انسداد \
ڦوٽو \
جو رايو آهي "غلط ڪنيڪشن جي حالت سان ٽرئفڪ کي ڇڏي ڏيو"
## اجازت ڏيو IPv4 پنگ / پنگ جوابن جي شرح 2000 پي پي ايس تائين
ip پروٽوڪول icmp icmp قسم { گونج-جواب، گونج-درخواست } \
حد جي شرح 2000/ٻيون \
انسداد \
قبول ڪريو \
جو رايو آهي "پرمٽ انبائونڊ IPv4 گونج (پنگ) 2000 پي پي ايس تائين محدود"
## اجازت ڏيو ٻين سڀني انبائونڊ IPv4 ICMP
ip پروٽوڪول icmp \
انسداد \
قبول ڪريو \
جو رايو آهي "ٻين سڀني IPv4 ICMP جي اجازت ڏيو"
## اجازت ڏيو IPv6 پنگ / پنگ جوابن جي شرح 2000 پي پي ايس تائين
icmpv6 قسم { گونج-جواب، گونج-درخواست } \
حد جي شرح 2000/ٻيون \
انسداد \
قبول ڪريو \
جو رايو آهي "پرمٽ انبائونڊ IPv6 گونج (پنگ) 2000 پي پي ايس تائين محدود"
## اجازت ڏيو ٻين سڀني انبائونڊ IPv6 ICMP
meta l4proto { icmpv6 } \
انسداد \
قبول ڪريو \
جو رايو آهي "ٻين سڀني IPv6 ICMP جي اجازت ڏيو"
## اجازت ڏيو انبائونڊ ٽريڪروٽ UDP بندرگاهن پر 500 PPS تائين محدود
udp dport 33434-33524\
حد جي شرح 500/ٻيون \
انسداد \
قبول ڪريو \
جو رايو آهي ”پرمٽ انبائونڊ UDP ٽريسروٽ 500 پي پي ايس تائين محدود آهي“
## اجازت انبائونڊ SSH
tcp dport ssh سي ٽي اسٽيٽ نئون \
انسداد \
قبول ڪريو \
جو رايو آهي "انبائونڊ SSH ڪنيڪشن جي اجازت ڏيو"
## اجازت ڏيو انبائونڊ HTTP ۽ HTTPS
tcp dport { http, https } ct رياست نئون \
انسداد \
قبول ڪريو \
جو رايو آهي "انبائونڊ HTTP ۽ HTTPS ڪنيڪشن جي اجازت ڏيو"
## ڪنهن به بي مثال ٽريفڪ کي لاگ ان ڪريو پر وڌ ۾ وڌ 60 پيغامن/منٽ تائين لاگ ان جي شرح کي محدود ڪريو
## ڊفالٽ پاليسي بي مثال ٽرئفڪ تي لاڳو ٿيندي
حد جي شرح 60/ منٽ ڦوٽو 100 پيڪٽس \
log prefix "ان - ڦوٽو:" \
جو رايو آهي "ڪنهن به بي مثال ٽرئفڪ کي لاگ ان ڪريو"
## بي مثال ٽرئفڪ کي ڳڻيو
انسداد \
جو رايو آهي "ڪنهن به بي مثال ٽرئفڪ کي ڳڻيو"
}
# آئوٽ ٽريفڪ لاءِ ضابطا
زنجير جي پيداوار {
ٽائيپ فلٽر ٿلهو ٻاھرين ترجيحي فلٽر؛ پاليسي جي کوٽ
## اجازت ڏيو ٻاھرين ٽرئفڪ کي لوپ بڪ انٽرفيس ڏانھن
oif lo \
قبول ڪريو \
جو رايو آهي "سڀني ٽرئفڪ کي لوپ بڪ انٽرفيس جي اجازت ڏيو"
## پرمٽ قائم ۽ لاڳاپيل ڪنيڪشن
ct رياست قائم، لاڳاپيل \
انسداد \
قبول ڪريو \
جو رايو آهي "پرمٽ قائم / لاڳاپيل ڪنيڪشن"
## اجازت ڏيو آئوٽ بائونڊ وائر گارڊ ٽرئفڪ کان اڳ خراب حالت سان ڪنيڪشن ڇڏڻ
oif $DEV_WAN udp راندين $WIREGUARD_PORT \
انسداد \
قبول ڪريو \
جو رايو آهي ”پرمٽ وائر گارڊ آئوٽ بائونڊ ٽريفڪ“
## ٽريفڪ کي غلط ڪنيڪشن جي حالت سان گڏ ڪريو
ct اسٽيٽ غلط \
حد جي شرح 100/ منٽ ڦوٽو 150 پيڪٽس \
log flags all prefix "ٻاهر - غلط:" \
جو رايو آهي "غلط ڪنيڪشن واري حالت سان ٽرئفڪ لاءِ لاگنگ جي حد جي شرح"
ct اسٽيٽ غلط \
انسداد \
ڦوٽو \
جو رايو آهي "غلط ڪنيڪشن جي حالت سان ٽرئفڪ کي ڇڏي ڏيو"
## اجازت ڏيو ٻين سڀني آئوٽ بائونڊ IPv4 ICMP
ip پروٽوڪول icmp \
انسداد \
قبول ڪريو \
جو رايو آهي "سڀني IPv4 ICMP قسمن جي اجازت ڏيو"
## اجازت ڏيو ٻين سڀني آئوٽ بائونڊ IPv6 ICMP
meta l4proto { icmpv6 } \
انسداد \
قبول ڪريو \
جو رايو آهي "سڀني IPv6 ICMP قسمن جي اجازت ڏيو"
## اجازت ڏيو ٻاهر نڪرڻ واري ٽريڪروٽ UDP بندرگاهن کي 500 PPS تائين محدود ڪريو
udp dport 33434-33524\
حد جي شرح 500/ٻيون \
انسداد \
قبول ڪريو \
جو رايو آهي "پرمٽ آئوٽ بائونڊ يو ڊي پي ٽريڪروٽ 500 پي پي ايس تائين محدود"
## اجازت ڏيو ٻاهر بائونڊ HTTP ۽ HTTPS ڪنيڪشن
tcp dport { http, https } ct رياست نئون \
انسداد \
قبول ڪريو \
جو رايو آهي "پرمٽ آئوٽ بائونڊ HTTP ۽ HTTPS ڪنيڪشن"
## پرمٽ آئوٽ بائونڊ SMTP جمع ڪرائڻ
tcp dport جمع ڪرائڻ ct اسٽيٽ نئون \
انسداد \
قبول ڪريو \
جو رايو آهي "پرمٽ آئوٽ بائونڊ SMTP جمع ڪرائڻ"
## اجازت ڏيو ٻاهرين DNS درخواستون
udp dport 53 \
انسداد \
قبول ڪريو \
جو رايو آهي "پرمٽ آئوٽ بائونڊ UDP DNS درخواستون"
tcp dport 53 \
انسداد \
قبول ڪريو \
جو رايو آهي "پرمٽ آئوٽ بائونڊ TCP DNS درخواستون"
## پرمٽ آئوٽ بائونڊ NTP درخواستون
udp dport 123 \
انسداد \
قبول ڪريو \
جو رايو آهي "پرمٽ آئوٽ بائونڊ NTP درخواستون"
## ڪنهن به بي مثال ٽريفڪ کي لاگ ان ڪريو پر وڌ ۾ وڌ 60 پيغامن/منٽ تائين لاگ ان جي شرح کي محدود ڪريو
## ڊفالٽ پاليسي بي مثال ٽرئفڪ تي لاڳو ٿيندي
حد جي شرح 60/ منٽ ڦوٽو 100 پيڪٽس \
log prefix "ٻاهر - ڦٽو:" \
جو رايو آهي "ڪنهن به بي مثال ٽرئفڪ کي لاگ ان ڪريو"
## بي مثال ٽرئفڪ کي ڳڻيو
انسداد \
جو رايو آهي "ڪنهن به بي مثال ٽرئفڪ کي ڳڻيو"
}
}
# مين NAT فلٽرنگ ٽيبل
ٽيبل انٽ نيٽ {
# NAT ٽريفڪ پري روٽنگ لاءِ ضابطا
زنجير اڳڀرائي {
قسم nat hook prerouting priority dstnat; پاليسي قبول ڪرڻ
}
# NAT ٽرئفڪ پوسٽ روٽنگ لاءِ ضابطا
# هي ٽيبل فائر زون پوسٽ روٽنگ زنجير کان اڳ پروسيس ڪيو ويو آهي
زنجير پوسٽ روٽنگ {
ٽائپ ڪريو nat hook postrouting priority srcnat - 5؛ پاليسي قبول ڪرڻ
}
}
فائر وال کي لينڪس ڊسٽريبيوشن لاءِ لاڳاپيل جڳه تي محفوظ ڪيو وڃي جيڪو هلندڙ آهي. Debian/Ubuntu لاءِ هي آهي /etc/nftables.conf ۽ RHEL لاءِ هي آهي /etc/sysconfig/nftables.conf.
nftables.service کي بوٽ تي شروع ڪرڻ لاءِ ترتيب ڏيڻ جي ضرورت پوندي (جيڪڏهن اڳ ۾ ئي نه هجي) سيٽ:
systemctl nftables.service کي فعال ڪريو
جيڪڏهن فائر وال ٽيمپليٽ ۾ ڪا به تبديلي آڻيندي نحو کي چيڪ ڪمانڊ هلائڻ سان تصديق ڪري سگهجي ٿو:
nft -f /path/to/nftables.conf -c
پڪ ڪريو ته فائر وال جي ڪم جي تصديق ڪريو جيئن توقع ڪئي وئي ته ڪجهه اين ايف ٽيبل خاصيتون دستياب نه هجن سرور تي هلندڙ رليز جي لحاظ سان.
_______________________________________________________________
هي دستاويز پيش ڪري ٿو ٽيليميٽري فائر زون جو هڪ جائزو توهان جي خود ميزباني ڪيل مثال مان گڏ ڪري ٿو ۽ ان کي ڪيئن غير فعال ڪجي.
فائر زون منحصر آهي ٽيلي ميٽري تي اسان جي روڊ ميپ کي ترجيح ڏيڻ ۽ انجنيئرنگ وسيلن کي بهتر ڪرڻ لاءِ اسان کي فائر زون کي هر ڪنهن لاءِ بهتر بڻائڻو آهي.
ٽيلي ميٽري جيڪا اسان گڏ ڪريون ٿا ان جو مقصد هيٺين سوالن جا جواب ڏيڻ آهي:
ٽي مکيه جڳھون آھن جتي ٽيليميٽري گڏ ڪئي وئي آھي فائر زون ۾:
انهن ٽنهي حوالن مان هر هڪ ۾، اسان مٿي ڏنل سيڪشن ۾ سوالن جا جواب ڏيڻ لاءِ ضروري ڊيٽا جي گھٽ ۾ گھٽ مقدار کي پڪڙيون ٿا.
منتظم اي ميلون صرف گڏ ڪيون وينديون آهن جيڪڏهن توهان واضح طور تي پراڊڪٽ اپڊيٽ ۾ آپٽ-ان ڪيو. ٻي صورت ۾، ذاتي طور تي سڃاڻپ ڪندڙ معلومات آهي ڪڏهن به گڏ ڪيو ويو.
فائر زون ٽيليميٽري کي اسٽور ڪري ٿو هڪ ذاتي ميزباني واري مثال ۾ پوسٽ هوگ هلندڙ هڪ خانگي ڪبرنيٽس ڪلستر ۾، صرف فائر زون ٽيم طرفان رسائي آهي. هتي هڪ ٽيليميٽري واقعي جو هڪ مثال آهي جيڪو توهان جي فائر زون جي مثال مان اسان جي ٽيليميٽري سرور ڏانهن موڪليو ويو آهي:
{
”آئي ڊي“: “0182272d-0b88-0000-d419-7b9a413713f1”,
"ٽائم اسٽيمپ": “2022-07-22T18:30:39.748000+00:00”,
"واقعو": "fz_http_started",
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"ملڪيت":{
"$geoip_city_name": ”آشبرن“,
"$geoip_continent_code": "NA",
"$geoip_continent_name": "اتر آمريڪا",
"$geoip_country_code": "آمريڪا",
"$geoip_country_name": "گڏيل رياستون",
"$geoip_latitude": 39.0469,
"$geoip_longitude": -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "ورجينيا",
"$geoip_time_zone": "آمريڪا/نيو يارڪ",
"$ip": "52.200.241.107",
"$plugins_deferred": []،
"$plugins_failed": []،
"$plugins_succeeded": [
GeoIP (3)
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "لينڪس 5.13.0",
"نسخ": "0.4.6"
},
" عناصر_ زنجير": "
}
نوٽ
فائر زون ڊولپمينٽ ٽيم منحصر آهي هر ڪنهن لاءِ فائر زون کي بهتر بڻائڻ لاءِ پراڊڪٽ اينالائيٽڪس تي. ٽيليميٽري کي فعال ڪرڻ اڪيلو سڀ کان قيمتي حصو آهي جيڪو توهان فائر زون جي ترقي ۾ ڪري سگهو ٿا. اهو چيو ته، اسان سمجهون ٿا ته ڪجهه استعمال ڪندڙن وٽ اعليٰ رازداري يا حفاظتي گهرجون آهن ۽ اهي ٽيليميٽري کي مڪمل طور تي بند ڪرڻ کي ترجيح ڏين ٿا. جيڪڏھن اھو توھان آھيو، پڙھندا رهو.
ٽيليميٽري ڊفالٽ طور فعال آهي. پراڊڪٽ ٽيليميٽري کي مڪمل طور تي غير فعال ڪرڻ لاءِ، ھيٺ ڏنل ٺاھ جوڙ جي اختيار کي سيٽ ڪريو غلط ۾ /etc/firezone/firezone.rb ۽ هلائڻ sudo firezone-ctl reconfigure تبديلين کي کڻڻ لاءِ.
ڊفالٽ['فائر زون']['ٽيليميٽري']['فعال'] = ڪوڙي
اهو مڪمل طور تي سڀني پراڊڪٽ ٽيليميٽري کي غير فعال ڪندو.
هيل بائيٽس
9511 ڪوئنز گارڊ سي ٽي.
لورل، ايم ڊي 20723
فون: (732) 771-9995
اي ميل: info@hailbytes.com
