फायरझोन GUI सह Hailbytes VPN तैनात करण्यासाठी चरण-दर-चरण सूचना येथे प्रदान केल्या आहेत.
प्रशासक: सर्व्हर उदाहरण सेट करणे थेट या भागाशी संबंधित आहे.
वापरकर्ता मार्गदर्शक: उपयुक्त दस्तऐवज जे तुम्हाला फायरझोन कसे वापरायचे आणि विशिष्ट समस्यांचे निराकरण कसे करावे हे शिकवू शकतात. सर्व्हर यशस्वीरित्या तैनात केल्यानंतर, या विभागाचा संदर्भ घ्या.
स्प्लिट टनेलिंग: केवळ विशिष्ट IP श्रेणींमध्ये रहदारी पाठवण्यासाठी VPN वापरा.
व्हाइटलिस्टिंग: व्हाइटलिस्टिंग वापरण्यासाठी VPN सर्व्हरचा स्थिर IP पत्ता सेट करा.
उलटे बोगदे: उलट बोगदे वापरून अनेक समवयस्कांमध्ये बोगदे तयार करा.
तुम्हाला Hailbytes VPN स्थापित करणे, सानुकूलित करणे किंवा वापरण्यात मदत हवी असल्यास आम्हाला तुमची मदत करण्यात आनंद होत आहे.
वापरकर्ते डिव्हाइस कॉन्फिगरेशन फाइल तयार करण्या किंवा डाउनलोड करण्यापूर्वी, प्रमाणीकरणाची आवश्यकता असण्यासाठी फायरझोन कॉन्फिगर केले जाऊ शकते. वापरकर्त्यांना त्यांचे VPN कनेक्शन सक्रिय ठेवण्यासाठी वेळोवेळी पुन्हा-प्रमाणित करण्याची देखील आवश्यकता असू शकते.
फायरझोनची डीफॉल्ट लॉगिन पद्धत स्थानिक ईमेल आणि पासवर्ड असली तरी, ती कोणत्याही प्रमाणित OpenID Connect (OIDC) ओळख प्रदात्याशी समाकलित केली जाऊ शकते. वापरकर्ते आता त्यांचे Okta, Google, Azure AD किंवा खाजगी ओळख प्रदाता क्रेडेन्शियल्स वापरून फायरझोनमध्ये लॉग इन करण्यास सक्षम आहेत.
जेनेरिक OIDC प्रदाता समाकलित करा
OIDC प्रदाता वापरून SSO ला परवानगी देण्यासाठी फायरझोनला आवश्यक असलेले कॉन्फिगरेशन पॅरामीटर्स खालील उदाहरणात दाखवले आहेत. /etc/firezone/firezone.rb वर, तुम्हाला कॉन्फिगरेशन फाइल सापडेल. ॲप्लिकेशन अपडेट करण्यासाठी आणि बदल प्रभावी करण्यासाठी firezone-ctl reconfigure आणि firezone-ctl रीस्टार्ट चालवा.
# हे SSO ओळख प्रदाता म्हणून Google आणि Okta वापरण्याचे उदाहरण आहे.
# एकाच फायरझोन उदाहरणामध्ये एकाधिक OIDC कॉन्फिग्स जोडल्या जाऊ शकतात.
प्रयत्न करताना काही त्रुटी आढळल्यास फायरझोन वापरकर्त्याचे व्हीपीएन अक्षम करू शकते
# त्यांचे प्रवेश_टोकन रिफ्रेश करण्यासाठी. हे Google, Okta आणि साठी कार्य करण्यासाठी सत्यापित केले आहे
# Azure SSO आणि वापरकर्त्याचे VPN काढून टाकल्यास ते आपोआप डिस्कनेक्ट करण्यासाठी वापरले जाते
# OIDC प्रदात्याकडून. तुमचा OIDC प्रदाता असल्यास हे अक्षम ठेवा
# मध्ये अॅक्सेस टोकन रिफ्रेश करताना समस्या आहेत कारण ते अनपेक्षितपणे व्यत्यय आणू शकतात
# वापरकर्त्याचे VPN सत्र.
डीफॉल्ट['firezone']['authentication']['disable_vpn_on_oidc_error'] = असत्य
डीफॉल्ट['firezone']['authentication']['oidc'] = {
गुगल: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ ",
client_secret: “ ",
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
प्रतिसाद_प्रकार: "कोड",
स्कोप: "ओपनिड ईमेल प्रोफाइल",
लेबल: “Google”
},
okta: {
discovery_document_uri: “https:// /.well-known/openid-configuration",
client_id: “ ",
client_secret: “ ",
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
प्रतिसाद_प्रकार: "कोड",
स्कोप: "ओपनिड ईमेल प्रोफाइल ऑफलाइन_एक्सेस",
लेबल: "ओक्ता"
}
}
एकत्रीकरणासाठी खालील कॉन्फिगरेशन सेटिंग्ज आवश्यक आहेत:
प्रत्येक OIDC प्रदात्यासाठी कॉन्फिगर केलेल्या प्रदात्याच्या साइन-इन URL वर पुनर्निर्देशित करण्यासाठी संबंधित सुंदर URL तयार केली जाते. वरील OIDC कॉन्फिगरेशनच्या उदाहरणासाठी, URL आहेत:
आमच्याकडे दस्तऐवजीकरण प्रदाते आहेत:
तुमच्या ओळख प्रदात्याकडे जेनेरिक OIDC कनेक्टर असल्यास आणि वर सूचीबद्ध केलेले नसल्यास, कृपया आवश्यक कॉन्फिगरेशन सेटिंग्ज कशी मिळवायची याच्या माहितीसाठी त्यांच्या दस्तऐवजीकरणावर जा.
सेटिंग्ज/सुरक्षा अंतर्गत सेटिंग नियतकालिक पुन्हा-प्रमाणीकरण आवश्यक करण्यासाठी बदलली जाऊ शकते. वापरकर्त्यांनी त्यांचे VPN सत्र सुरू ठेवण्यासाठी नियमितपणे फायरझोनमध्ये प्रवेश करण्याची आवश्यकता लागू करण्यासाठी याचा वापर केला जाऊ शकतो.
सत्राची लांबी एक तास आणि नव्वद दिवसांच्या दरम्यान कॉन्फिगर केली जाऊ शकते. हे कधीही नाही वर सेट करून, तुम्ही कधीही VPN सत्रे सक्षम करू शकता. हे प्रमाण आहे.
वापरकर्त्याने त्यांचे VPN सत्र संपुष्टात आणणे आवश्यक आहे आणि कालबाह्य झालेले VPN सत्र (उपयोजन दरम्यान निर्दिष्ट केलेली URL) पुन्हा प्रमाणित करण्यासाठी फायरझोन पोर्टलवर लॉग इन करणे आवश्यक आहे.
येथे आढळलेल्या अचूक क्लायंट सूचनांचे अनुसरण करून तुम्ही तुमचे सत्र पुन्हा-प्रमाणित करू शकता.
VPN कनेक्शनची स्थिती
वापरकर्ता पृष्ठाचा VPN कनेक्शन सारणी स्तंभ वापरकर्त्याची कनेक्शन स्थिती प्रदर्शित करतो. ही कनेक्शन स्थिती आहेत:
सक्षम - कनेक्शन सक्षम केले आहे.
अक्षम - प्रशासक किंवा OIDC रिफ्रेश अयशस्वी द्वारे कनेक्शन अक्षम केले आहे.
कालबाह्य - प्रमाणीकरण कालबाह्य झाल्यामुळे किंवा वापरकर्त्याने प्रथमच साइन इन न केल्यामुळे कनेक्शन अक्षम केले आहे.
सामान्य OIDC कनेक्टरद्वारे, Firezone Google Workspace आणि Cloud Identity सह सिंगल साइन-ऑन (SSO) सक्षम करते. हे मार्गदर्शक खाली सूचीबद्ध केलेले कॉन्फिगरेशन पॅरामीटर्स कसे मिळवायचे ते दर्शवेल, जे एकत्रीकरणासाठी आवश्यक आहेत:
1. OAuth कॉन्फिग स्क्रीन
तुम्ही नवीन OAuth क्लायंट आयडी पहिल्यांदाच तयार करत असल्यास, तुम्हाला संमती स्क्रीन कॉन्फिगर करण्यास सांगितले जाईल.
*वापरकर्ता प्रकारासाठी अंतर्गत निवडा. हे सुनिश्चित करते की तुमच्या Google Workspace संस्थेमधील वापरकर्त्यांची फक्त खातीच डिव्हाइस कॉन्फिग तयार करू शकतात. जोपर्यंत तुम्ही वैध Google खाते असलेल्या कोणालाही डिव्हाइस कॉन्फिगरेशन तयार करण्यास सक्षम करू इच्छित नाही तोपर्यंत बाह्य निवडू नका.
अॅप माहिती स्क्रीनवर:
2. OAuth क्लायंट आयडी तयार करा
हा विभाग Google च्या स्वतःच्या कागदपत्रांवर आधारित आहे OAuth 2.0 सेट करत आहे.
Google Cloud Console ला भेट द्या क्रेडेन्शियल पृष्ठ पृष्ठ, + क्रेडेंशियल तयार करा क्लिक करा आणि OAuth क्लायंट आयडी निवडा.
OAuth क्लायंट आयडी निर्मिती स्क्रीनवर:
OAuth क्लायंट आयडी तयार केल्यानंतर, तुम्हाला क्लायंट आयडी आणि क्लायंट सीक्रेट दिले जाईल. हे पुढील चरणात पुनर्निर्देशित URI सह एकत्र वापरले जातील.
संपादित करा /etc/firezone/firezone.rb खालील पर्याय समाविष्ट करण्यासाठी:
# SSO ओळख प्रदाता म्हणून Google वापरणे
डीफॉल्ट['firezone']['authentication']['oidc'] = {
गुगल: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ ",
client_secret: “ ",
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
प्रतिसाद_प्रकार: "कोड",
स्कोप: "ओपनिड ईमेल प्रोफाइल",
लेबल: “Google”
}
}
अनुप्रयोग अद्यतनित करण्यासाठी फायरझोन-सीटीएल रीकॉन्फिगर आणि फायरझोन-सीटीएल रीस्टार्ट चालवा. तुम्हाला आता रूट फायरझोन URL वर Google सह साइन इन बटण दिसेल.
फायरझोन Okta सह सिंगल साइन-ऑन (SSO) सुलभ करण्यासाठी जेनेरिक OIDC कनेक्टर वापरते. हे ट्यूटोरियल तुम्हाला खाली सूचीबद्ध केलेले कॉन्फिगरेशन पॅरामीटर्स कसे मिळवायचे ते दर्शवेल, जे एकत्रीकरणासाठी आवश्यक आहेत:
मार्गदर्शकाचा हा विभाग यावर आधारित आहे ओक्ताचे दस्तऐवजीकरण.
Admin Console मध्ये, Applications > Applications वर जा आणि Create App Integration वर क्लिक करा. साइन-इन पद्धत OICD वर सेट करा – OpenID Connect आणि Application type to Web application.
या सेटिंग्ज कॉन्फिगर करा:
सेटिंग्ज सेव्ह झाल्यावर, तुम्हाला क्लायंट आयडी, क्लायंट सीक्रेट आणि ओक्टा डोमेन दिले जातील. फायरझोन कॉन्फिगर करण्यासाठी ही 3 मूल्ये पायरी 2 मध्ये वापरली जातील.
संपादित करा /etc/firezone/firezone.rb खालील पर्याय समाविष्ट करण्यासाठी. आपले शोध_दस्तऐवज_url असेल /.well-known/openid-configuration तुमच्या शेवटी जोडले okta_domain.
# SSO ओळख प्रदाता म्हणून Okta वापरणे
डीफॉल्ट['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri: “https:// /.well-known/openid-configuration",
client_id: “ ",
client_secret: “ ",
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
प्रतिसाद_प्रकार: "कोड",
स्कोप: "ओपनिड ईमेल प्रोफाइल ऑफलाइन_एक्सेस",
लेबल: "ओक्ता"
}
}
अनुप्रयोग अद्यतनित करण्यासाठी फायरझोन-सीटीएल रीकॉन्फिगर आणि फायरझोन-सीटीएल रीस्टार्ट चालवा. तुम्हाला आता रूट फायरझोन URL वर Okta बटणासह साइन इन दिसेल.
फायरझोन अॅप ऍक्सेस करू शकणारे वापरकर्ते ओक्टा द्वारे प्रतिबंधित केले जाऊ शकतात. हे पूर्ण करण्यासाठी तुमच्या Okta Admin Console च्या Firezone App Integration च्या Assignments पेजवर जा.
जेनेरिक OIDC कनेक्टरद्वारे, Firezone Azure Active Directory सह सिंगल साइन-ऑन (SSO) सक्षम करते. हे मॅन्युअल तुम्हाला खाली सूचीबद्ध केलेले कॉन्फिगरेशन पॅरामीटर्स कसे मिळवायचे ते दर्शवेल, जे एकत्रीकरणासाठी आवश्यक आहेत:
हे मार्गदर्शक वरून काढले आहे Azure Active Directory Docs.
Azure पोर्टलच्या Azure Active Directory पेजवर जा. मॅनेज मेनू पर्याय निवडा, नवीन नोंदणी निवडा, त्यानंतर खालील माहिती देऊन नोंदणी करा:
नोंदणी केल्यानंतर, अर्जाचे तपशील दृश्य उघडा आणि कॉपी करा अर्ज (क्लायंट) आयडी. हे client_id मूल्य असेल. पुढे, पुनर्प्राप्त करण्यासाठी एंडपॉइंट मेनू उघडा OpenID Connect मेटाडेटा दस्तऐवज. हे शोध_दस्तऐवज_उरी मूल्य असेल.
व्यवस्थापित करा मेनू अंतर्गत प्रमाणपत्रे आणि रहस्ये पर्यायावर क्लिक करून नवीन क्लायंट रहस्य तयार करा. क्लायंटचे रहस्य कॉपी करा; क्लायंट गुप्त मूल्य हे असेल.
शेवटी, व्यवस्थापित करा मेनू अंतर्गत API परवानगी लिंक निवडा, क्लिक करा एक परवानगी जोडाआणि निवडा मायक्रोसॉफ्ट ग्राफ, जोडा ई-मेल, ओपनिड, ऑफलाइन_प्रवेश आणि प्रोफाइल आवश्यक परवानग्यांसाठी.
संपादित करा /etc/firezone/firezone.rb खालील पर्याय समाविष्ट करण्यासाठी:
# SSO ओळख प्रदाता म्हणून Azure सक्रिय निर्देशिका वापरणे
डीफॉल्ट['firezone']['authentication']['oidc'] = {
आकाशी: {
discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
client_id: “ ",
client_secret: “ ",
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
प्रतिसाद_प्रकार: "कोड",
स्कोप: "ओपनिड ईमेल प्रोफाइल ऑफलाइन_एक्सेस",
लेबल: "अझुर"
}
}
अनुप्रयोग अद्यतनित करण्यासाठी फायरझोन-सीटीएल रीकॉन्फिगर आणि फायरझोन-सीटीएल रीस्टार्ट चालवा. तुम्हाला आता रूट फायरझोन URL वर Azure बटणासह साइन इन दिसेल.
Azure AD प्रशासकांना तुमच्या कंपनीमधील वापरकर्त्यांच्या विशिष्ट गटासाठी अॅप प्रवेश मर्यादित करण्यास सक्षम करते. हे कसे करावे याबद्दल अधिक माहिती मायक्रोसॉफ्टच्या दस्तऐवजीकरणामध्ये आढळू शकते.
शेफ ओम्निबसचा वापर फायरझोनद्वारे प्रकाशन पॅकेजिंग, प्रक्रिया पर्यवेक्षण, लॉग व्यवस्थापन आणि बरेच काही यासह कार्ये व्यवस्थापित करण्यासाठी केला जातो.
रुबी कोड प्राथमिक कॉन्फिगरेशन फाइल बनवते, जी /etc/firezone/firezone.rb वर स्थित आहे. या फाइलमध्ये बदल केल्यानंतर sudo firezone-ctl रीकॉन्फिगर रीस्टार्ट केल्याने शेफला बदल ओळखता येतात आणि ते सध्याच्या ऑपरेटिंग सिस्टीमवर लागू होतात.
कॉन्फिगरेशन व्हेरिएबल्स आणि त्यांच्या वर्णनांच्या संपूर्ण सूचीसाठी कॉन्फिगरेशन फाइल संदर्भ पहा.
तुमची फायरझोन घटना याद्वारे व्यवस्थापित केली जाऊ शकते firezone-ctl कमांड, खाली दर्शविल्याप्रमाणे. बर्याच सबकमांडना सह उपसर्ग आवश्यक असतो सुडो.
root@demo:~# firezone-ctl
omnibus-ctl: कमांड (सबकमांड)
सामान्य आज्ञा:
स्वच्छ करा
*सर्व* फायरझोन डेटा हटवा आणि सुरवातीपासून सुरुवात करा.
प्रशासक तयार करा किंवा रीसेट करा
डीफॉल्टद्वारे निर्दिष्ट केलेल्या ईमेलसह प्रशासकासाठी पासवर्ड रीसेट करते['firezone']['admin_email'] किंवा ते ईमेल अस्तित्वात नसल्यास नवीन प्रशासक तयार करते.
मदत
हा मदत संदेश प्रिंट करा.
कॉन्फिगरेशन
अनुप्रयोग पुन्हा कॉन्फिगर करा.
रीसेट-नेटवर्क
nftables, WireGuard इंटरफेस आणि राउटिंग टेबल परत फायरझोन डीफॉल्टवर रीसेट करते.
शो-कॉन्फिगरेशन
कॉन्फिगरेशन दर्शवा जे reconfigure द्वारे व्युत्पन्न केले जाईल.
फाडणे-नेटवर्क
वायरगार्ड इंटरफेस आणि फायरझोन एनएफटेबल्स टेबल काढून टाकते.
सक्ती-प्रमाणपत्र-नूतनीकरण
प्रमाणपत्राची मुदत संपली नसली तरीही आता सक्तीने नूतनीकरण करा.
स्टॉप-प्रमाणपत्र-नूतनीकरण
प्रमाणपत्रांचे नूतनीकरण करणारे क्रोनजॉब काढून टाकते.
विस्थापित
सर्व प्रक्रिया नष्ट करा आणि प्रक्रिया पर्यवेक्षक विस्थापित करा (डेटा संरक्षित केला जाईल).
आवृत्ती
फायरझोनची वर्तमान आवृत्ती प्रदर्शित करा
सेवा व्यवस्थापन आदेश:
डौलदार-मारणे
एक सुंदर थांबण्याचा प्रयत्न करा, नंतर संपूर्ण प्रक्रिया गटाला SIGKILL करा.
हुप
सेवांना HUP पाठवा.
int
सेवांना INT पाठवा.
ठार
सेवांना मारून पाठवा.
एकदा
सेवा बंद असल्यास सुरू करा. ते थांबल्यास ते पुन्हा सुरू करू नका.
पुन्हा सुरू करा
सेवा चालू असल्यास बंद करा, नंतर त्या पुन्हा सुरू करा.
सेवा-सूची
सर्व सेवांची यादी करा (सक्षम सेवा * सह दिसतात.)
प्रारंभ
सेवा बंद असल्यास सुरू करा आणि त्या बंद पडल्यास पुन्हा सुरू करा.
स्थिती
सर्व सेवांची स्थिती दर्शवा.
थांबवू
सेवा थांबवा आणि त्या रीस्टार्ट करू नका.
शेपटी
सर्व सक्षम सेवांचे सेवा लॉग पहा.
टर्म
सेवांना TERM पाठवा.
usr1
सेवा USR1 पाठवा.
usr2
सेवा USR2 पाठवा.
फायरझोन श्रेणीसुधारित करण्यापूर्वी सर्व VPN सत्रे समाप्त करणे आवश्यक आहे, जे वेब UI बंद करण्याचे देखील आवाहन करते. अपग्रेड दरम्यान काहीतरी चूक झाल्यास, आम्ही देखरेखीसाठी एक तास बाजूला ठेवण्याचा सल्ला देतो.
फायरझोन वर्धित करण्यासाठी, खालील कृती करा:
काही समस्या उद्भवल्यास, कृपया आम्हाला कळवा समर्थन तिकीट सबमिट करणे.
0.5.0 मध्ये काही ब्रेकिंग बदल आणि कॉन्फिगरेशन बदल आहेत ज्यांना संबोधित करणे आवश्यक आहे. खाली अधिक शोधा.
Nginx यापुढे आवृत्ती 0.5.0 नुसार फोर्स SSL आणि नॉन-SSL पोर्ट पॅरामीटर्सना समर्थन देत नाही. फायरझोनला कार्य करण्यासाठी SSL आवश्यक असल्यामुळे, आम्ही डीफॉल्ट सेट करून Nginx सेवा बंडल काढून टाकण्याचा सल्ला देतो['firezone']['nginx']['enabled'] = false आणि त्याऐवजी तुमच्या रिव्हर्स प्रॉक्सीला पोर्ट 13000 वरील Phoenix अॅपवर निर्देशित करा (डीफॉल्टनुसार ).
0.5.0 बंडल केलेल्या Nginx सेवेसह SSL प्रमाणपत्रांचे स्वयंचलितपणे नूतनीकरण करण्यासाठी ACME प्रोटोकॉल समर्थन सादर करते. सक्षम करण्यासाठी,
फायरझोन ०.५.० मध्ये डुप्लिकेट गंतव्यस्थानांसह नियम जोडण्याची शक्यता नाहीशी झाली आहे. आमची स्थलांतरण स्क्रिप्ट 0.5.0 वर अपग्रेड करताना या परिस्थितींना आपोआप ओळखेल आणि फक्त तेच नियम ठेवेल ज्यांच्या गंतव्यस्थानात इतर नियम समाविष्ट आहेत. हे ठीक असल्यास तुम्हाला काही करण्याची गरज नाही.
अन्यथा, अपग्रेड करण्यापूर्वी, आम्ही या परिस्थितींपासून मुक्त होण्यासाठी तुमचे नियम बदलण्याचा सल्ला देतो.
Firezone 0.5.0 नवीन, अधिक लवचिक OIDC-आधारित कॉन्फिगरेशनच्या बाजूने जुन्या-शैलीतील Okta आणि Google SSO कॉन्फिगरेशनसाठी समर्थन काढून टाकते.
तुमच्याकडे डीफॉल्ट['firezone']['authentication']['okta'] किंवा डीफॉल्ट['firezone']['authentication']['google'] की अंतर्गत कोणतेही कॉन्फिगरेशन असल्यास, तुम्हाला ते आमच्या OIDC वर स्थलांतरित करावे लागेल. -खालील मार्गदर्शक वापरून आधारित कॉन्फिगरेशन.
विद्यमान Google OAuth कॉन्फिगरेशन
/etc/firezone/firezone.rb येथे असलेल्या तुमच्या कॉन्फिगरेशन फाइलमधून जुन्या Google OAuth कॉन्फिगरेशन असलेल्या या ओळी काढून टाका
डीफॉल्ट['firezone']['authentication']['google']['enabled']
डीफॉल्ट['firezone']['authentication']['google']['client_id']
डीफॉल्ट['firezone']['authentication']['google']['client_secret']
डीफॉल्ट['firezone']['authentication']['google']['redirect_uri']
त्यानंतर, येथे प्रक्रियांचे अनुसरण करून Google ला OIDC प्रदाता म्हणून कॉन्फिगर करा.
(लिंक सूचना द्या)<<<<<<<<<<<<<<<<
विद्यमान Google OAuth कॉन्फिगर करा
येथे असलेल्या तुमच्या कॉन्फिगरेशन फाइलमधून जुन्या Okta OAuth कॉन्फिगरेशन असलेल्या या ओळी काढून टाका /etc/firezone/firezone.rb
डीफॉल्ट['firezone']['authentication']['okta']['enabled']
डीफॉल्ट['firezone']['authentication']['okta']['client_id']
डीफॉल्ट['firezone']['authentication']['okta']['client_secret']
डीफॉल्ट['firezone']['authentication']['okta']['site']
त्यानंतर, येथे प्रक्रियांचे अनुसरण करून Okta ला OIDC प्रदाता म्हणून कॉन्फिगर करा.
तुमच्या वर्तमान सेटअप आणि आवृत्तीवर अवलंबून, खालील दिशानिर्देशांचे पालन करा:
तुमच्याकडे आधीच OIDC एकत्रीकरण असल्यास:
काही OIDC प्रदात्यांसाठी, >= 0.3.16 वर श्रेणीसुधारित केल्याने ऑफलाइन प्रवेश व्याप्तीसाठी रीफ्रेश टोकन प्राप्त करणे आवश्यक आहे. असे केल्याने, ओळख प्रदात्यासह फायरझोन अपडेट होत असल्याची खात्री केली जाते आणि वापरकर्ता हटवल्यानंतर VPN कनेक्शन बंद केले जाते. फायरझोनच्या पूर्वीच्या पुनरावृत्तीमध्ये हे वैशिष्ट्य नव्हते. काही घटनांमध्ये, तुमच्या ओळख प्रदात्याकडून हटवलेले वापरकर्ते तरीही VPN शी कनेक्ट केलेले असू शकतात.
ऑफलाइन ऍक्सेस स्कोपला सपोर्ट करणाऱ्या OIDC प्रदात्यांसाठी तुमच्या OIDC कॉन्फिगरेशनच्या स्कोप पॅरामीटरमध्ये ऑफलाइन ऍक्सेस समाविष्ट करणे आवश्यक आहे. /etc/firezone/firezone.rb येथे असलेल्या फायरझोन कॉन्फिगरेशन फाइलमध्ये बदल लागू करण्यासाठी Firezone-ctl रीकॉन्फिगर कार्यान्वित करणे आवश्यक आहे.
तुमच्या OIDC प्रदात्याद्वारे प्रमाणीकृत केलेल्या वापरकर्त्यांसाठी, फायरझोन रीफ्रेश टोकन यशस्वीरित्या पुनर्प्राप्त करण्यात सक्षम असल्यास, तुम्हाला वेब UI च्या वापरकर्ता तपशील पृष्ठावर OIDC कनेक्शन हेडिंग दिसेल.
हे कार्य करत नसल्यास, तुम्हाला तुमचे विद्यमान OAuth अॅप हटवावे लागेल आणि OIDC सेटअप चरणांची पुनरावृत्ती करावी लागेल नवीन अॅप एकत्रीकरण तयार करा .
माझ्याकडे विद्यमान OAuth एकत्रीकरण आहे
0.3.11 पूर्वी, फायरझोनने पूर्व-कॉन्फिगर केलेले OAuth2 प्रदाते वापरले.
सूचनांचे पालन करा येथे OIDC मध्ये स्थलांतरित करण्यासाठी.
मी ओळख प्रदाता एकत्रित केलेला नाही
कोणत्याही कृतीची आवश्यकता नाही.
आपण सूचनांचे अनुसरण करू शकता येथे OIDC प्रदात्याद्वारे SSO सक्षम करण्यासाठी.
त्याच्या जागी, default['firezone']['external url'] ने कॉन्फिगरेशन पर्याय डीफॉल्ट ['firezone']['fqdn'] बदलला आहे.
हे तुमच्या फायरझोन ऑनलाइन पोर्टलच्या URL वर सेट करा जे सामान्य लोकांसाठी प्रवेशयोग्य आहे. अपरिभाषित सोडल्यास ते https:// आणि तुमच्या सर्व्हरच्या FQDN वर डीफॉल्ट असेल.
कॉन्फिगरेशन फाइल /etc/firezone/firezone.rb येथे आहे. कॉन्फिगरेशन व्हेरिएबल्स आणि त्यांच्या वर्णनांच्या संपूर्ण सूचीसाठी कॉन्फिगरेशन फाइल संदर्भ पहा.
फायरझोन यापुढे आवृत्ती 0.3.0 नुसार फायरझोन सर्व्हरवर डिव्हाइस खाजगी की ठेवत नाही.
फायरझोन वेब UI तुम्हाला ही कॉन्फिगरेशन्स पुन्हा-डाउनलोड करण्याची किंवा पाहण्याची परवानगी देणार नाही, परंतु कोणतीही विद्यमान उपकरणे जसेच्या तसे ऑपरेट करणे सुरू ठेवावे.
तुम्ही Firezone 0.1.x वरून अपग्रेड करत असल्यास, काही कॉन्फिगरेशन फाइल बदल आहेत ज्यांना व्यक्तिचलितपणे संबोधित करणे आवश्यक आहे.
तुमच्या /etc/firezone/firezone.rb फाईलमध्ये आवश्यक बदल करण्यासाठी, रूट म्हणून खालील आदेश चालवा.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “डीफॉल्ट['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl पुन्हा कॉन्फिगर करा
firezone-ctl रीस्टार्ट
फायरझोन लॉग तपासणे ही समस्या उद्भवू शकणारी पहिली पायरी आहे.
फायरझोन लॉग पाहण्यासाठी sudo firezone-ctl टेल चालवा.
फायरझोनसह बहुतेक कनेक्टिव्हिटी समस्या विसंगत iptables किंवा nftables नियमांद्वारे आणल्या जातात. तुम्हाला लागू असलेल्या कोणतेही नियम फायरझोन नियमांशी टक्कर देत नाहीत याची खात्री करणे आवश्यक आहे.
तुम्ही प्रत्येक वेळी तुमचा वायरगार्ड बोगदा सक्रिय करता तेव्हा तुमची इंटरनेट कनेक्टिव्हिटी बिघडत असल्यास फॉरवर्ड चेन तुमच्या वायरगार्ड क्लायंटकडून तुम्हाला फायरझोनद्वारे देऊ इच्छित असलेल्या ठिकाणी पॅकेट्सची परवानगी देते याची खात्री करा.
डीफॉल्ट राउटिंग धोरण अनुमत असल्याची खात्री करून तुम्ही ufw वापरत असल्यास हे साध्य केले जाऊ शकते:
ubuntu@fz:~$ sudo ufw डीफॉल्ट अनुमती राउट
डीफॉल्ट रूट केलेले धोरण 'अनुमती द्या' मध्ये बदलले
(त्यानुसार तुमचे नियम अद्ययावत करण्याचे सुनिश्चित करा)
A यूएफडब्ल्यू ठराविक फायरझोन सर्व्हरची स्थिती यासारखी दिसू शकते:
ubuntu@fz:~$ sudo ufw स्टेटस वर्बोस
स्थिती: सक्रिय
लॉगिंग: चालू (कमी)
डीफॉल्ट: नकार (इनकमिंग), परवानगी (आउटगोइंग), अनुमती (राउटेड)
नवीन प्रोफाइल: वगळा
टू अॅक्शन फ्रॉम
————-
22/tcp कुठेही परवानगी द्या
80/tcp कुठेही परवानगी द्या
443/tcp कुठेही परवानगी द्या
51820/udp कुठेही परवानगी द्या
22/tcp (v6) कुठेही परवानगी द्या (v6)
80/tcp (v6) कुठेही परवानगी द्या (v6)
443/tcp (v6) कुठेही परवानगी द्या (v6)
51820/udp (v6) कुठेही परवानगी द्या (v6)
आम्ही खाली स्पष्ट केल्याप्रमाणे अत्यंत संवेदनशील आणि मिशन-गंभीर उत्पादन उपयोजनांसाठी वेब इंटरफेसमध्ये प्रवेश मर्यादित करण्याचा सल्ला देतो.
सेवा | डीफॉल्ट पोर्ट | ऐका पत्ता | वर्णन |
Nginx | 80, 443 | सर्व | फायरझोन प्रशासित करण्यासाठी आणि प्रमाणीकरण सुलभ करण्यासाठी सार्वजनिक HTTP(S) पोर्ट. |
वायरगार्ड | 51820 | सर्व | सार्वजनिक वायरगार्ड पोर्ट VPN सत्रांसाठी वापरले जाते. (UDP) |
पोस्टग्रीस्क्ल | 15432 | 127.0.0.1 | बंडल केलेल्या Postgresql सर्व्हरसाठी फक्त-स्थानिक पोर्ट वापरले. |
फिनिक्स | 13000 | 127.0.0.1 | अपस्ट्रीम एलिक्सिर अॅप सर्व्हरद्वारे वापरला जाणारा केवळ-स्थानिक पोर्ट. |
आम्ही तुम्हाला फायरझोनच्या सार्वजनिकरित्या उघड केलेल्या वेब UI (बाय डिफॉल्ट पोर्ट 443/tcp आणि 80/tcp) मध्ये प्रवेश प्रतिबंधित करण्याबद्दल विचार करण्याचा सल्ला देतो आणि त्याऐवजी उत्पादन आणि सार्वजनिक-फेसिंग डिप्लॉयमेंटसाठी फायरझोन व्यवस्थापित करण्यासाठी वायरगार्ड बोगदा वापरा जिथे एकच प्रशासक प्रभारी असेल. अंतिम वापरकर्त्यांसाठी डिव्हाइस कॉन्फिगरेशन तयार करणे आणि वितरित करणे.
उदाहरणार्थ, जर प्रशासकाने डिव्हाइस कॉन्फिगरेशन तयार केले आणि स्थानिक WireGuard पत्ता 10.3.2.2 सह एक बोगदा तयार केला, तर खालील ufw कॉन्फिगरेशन प्रशासकास डीफॉल्ट 10.3.2.1 वापरून सर्व्हरच्या wg-firezone इंटरफेसवर Firezone वेब UI मध्ये प्रवेश करण्यास सक्षम करेल. बोगद्याचा पत्ता:
रूट@डेमो:~# ufw स्टेटस वर्बोस
स्थिती: सक्रिय
लॉगिंग: चालू (कमी)
डीफॉल्ट: नकार (इनकमिंग), परवानगी (आउटगोइंग), अनुमती (राउटेड)
नवीन प्रोफाइल: वगळा
टू अॅक्शन फ्रॉम
————-
22/tcp कुठेही परवानगी द्या
51820/udp कुठेही परवानगी द्या
10.3.2.2 मध्ये कुठेही परवानगी द्या
22/tcp (v6) कुठेही परवानगी द्या (v6)
51820/udp (v6) कुठेही परवानगी द्या (v6)
हे फक्त सुटेल 22/tcp सर्व्हर व्यवस्थापित करण्यासाठी SSH प्रवेशासाठी उघड (पर्यायी), आणि 51820/udp वायरगार्ड बोगदे स्थापित करण्यासाठी उघड केले.
फायरझोन पोस्टग्रेस्क्यूएल सर्व्हर आणि जुळणी बंडल करतो psql उपयुक्तता जी स्थानिक शेलमधून याप्रमाणे वापरली जाऊ शकते:
/opt/firezone/embedded/bin/psql \
-यू फायरझोन \
-d फायरझोन \
-h लोकलहोस्ट \
-p 15432 \
-c “SQL_STATEMENT”
हे डीबगिंग हेतूंसाठी उपयुक्त ठरू शकते.
सामान्य कार्ये:
सर्व वापरकर्त्यांची यादी करणे:
/opt/firezone/embedded/bin/psql \
-यू फायरझोन \
-d फायरझोन \
-h लोकलहोस्ट \
-p 15432 \
-c "वापरकर्त्यांकडून * निवडा;"
सर्व उपकरणांची यादी करणे:
/opt/firezone/embedded/bin/psql \
-यू फायरझोन \
-d फायरझोन \
-h लोकलहोस्ट \
-p 15432 \
-c "डिव्हाइसेसमधून * निवडा;"
वापरकर्ता भूमिका बदला:
भूमिका 'प्रशासक' किंवा 'अनप्रिव्हिलेज्ड' वर सेट करा:
/opt/firezone/embedded/bin/psql \
-यू फायरझोन \
-d फायरझोन \
-h लोकलहोस्ट \
-p 15432 \
-c “अद्ययावत वापरकर्ते SET भूमिका = 'प्रशासक' WHERE ईमेल = '[ईमेल संरक्षित]';”
डेटाबेसचा बॅकअप घेत आहे:
शिवाय, पीजी डंप प्रोग्राम समाविष्ट आहे, जो डेटाबेसचा नियमित बॅकअप घेण्यासाठी वापरला जाऊ शकतो. डेटाबेसची प्रत सामान्य SQL क्वेरी फॉरमॅटमध्ये डंप करण्यासाठी खालील कोड कार्यान्वित करा (/path/to/backup.sql ची जागा जिथे SQL फाइल तयार केली जावी)
/opt/firezone/embedded/bin/pg_dump \
-यू फायरझोन \
-d फायरझोन \
-h लोकलहोस्ट \
-p 15432 > /path/to/backup.sql
फायरझोन यशस्वीरित्या तैनात केल्यानंतर, तुम्ही वापरकर्त्यांना तुमच्या नेटवर्कमध्ये प्रवेश देण्यासाठी त्यांना जोडणे आवश्यक आहे. हे करण्यासाठी वेब UI चा वापर केला जातो.
/users अंतर्गत "वापरकर्ता जोडा" बटण निवडून, तुम्ही वापरकर्ता जोडू शकता. तुम्हाला वापरकर्त्याला ईमेल अॅड्रेस आणि पासवर्ड देणे आवश्यक आहे. आपल्या संस्थेतील वापरकर्त्यांना आपोआप प्रवेश देण्यासाठी, फायरझोन ओळख प्रदात्याशी इंटरफेस आणि सिंक देखील करू शकते. मध्ये अधिक तपशील उपलब्ध आहेत प्रमाणित करा. < प्रमाणीकरणासाठी एक लिंक जोडा
आम्ही वापरकर्त्यांनी त्यांची स्वतःची डिव्हाइस कॉन्फिगरेशन तयार करण्याची विनंती करण्याचा सल्ला देतो जेणेकरून खाजगी की फक्त त्यांनाच दृश्यमान असेल. वापरकर्ते वरील दिशानिर्देशांचे अनुसरण करून त्यांचे स्वतःचे डिव्हाइस कॉन्फिगरेशन तयार करू शकतात क्लायंट सूचना पृष्ठ
सर्व वापरकर्ता डिव्हाइस कॉन्फिगरेशन फायरझोन प्रशासकांद्वारे तयार केले जाऊ शकतात. /users येथे असलेल्या वापरकर्ता प्रोफाइल पृष्ठावर, हे पूर्ण करण्यासाठी "डिव्हाइस जोडा" पर्याय निवडा.
[स्क्रीनशॉट घाला]
डिव्हाइस प्रोफाइल तयार केल्यानंतर तुम्ही वापरकर्त्याला वायरगार्ड कॉन्फिगरेशन फाइल ईमेल करू शकता.
वापरकर्ते आणि उपकरणे जोडलेली आहेत. वापरकर्ता कसा जोडायचा याबद्दल अधिक तपशीलांसाठी, पहा वापरकर्ते जोडा.
कर्नलच्या नेटफिल्टर प्रणालीच्या वापराद्वारे, फायरझोन DROP किंवा ACCEPT पॅकेट्स निर्दिष्ट करण्यासाठी एग्रेस फिल्टरिंग क्षमता सक्षम करते. सर्व रहदारीला साधारणपणे परवानगी आहे.
IPv4 आणि IPv6 CIDR आणि IP पत्ते अनुक्रमे अनुमोदित सूची आणि नकार यादीद्वारे समर्थित आहेत. तुम्ही वापरकर्त्याला नियम जोडताना त्याला स्कोप देणे निवडू शकता, जो त्या वापरकर्त्याच्या सर्व डिव्हाइसेसना नियम लागू करतो.
स्थापित करा आणि कॉन्फिगर करा
नेटिव्ह वायरगार्ड क्लायंट वापरून व्हीपीएन कनेक्शन स्थापित करण्यासाठी, या मार्गदर्शकाचा संदर्भ घ्या.
येथे असलेले अधिकृत वायरगार्ड क्लायंट फायरझोन सुसंगत आहेत:
वर उल्लेख न केलेल्या OS सिस्टीमसाठी https://www.wireguard.com/install/ येथे अधिकृत WireGuard वेबसाइटला भेट द्या.
एकतर तुमचा फायरझोन प्रशासक किंवा स्वतः फायरझोन पोर्टल वापरून डिव्हाइस कॉन्फिगरेशन फाइल तयार करू शकतात.
तुमच्या फायरझोन अॅडमिनिस्ट्रेटरने डिव्हाइस कॉन्फिगरेशन फाइल स्वत: तयार करण्यासाठी दिलेल्या URL ला भेट द्या. यासाठी तुमच्या फर्मची एक अद्वितीय URL असेल; या प्रकरणात, ते https://instance-id.yourfirezone.com आहे.
फायरझोन ओक्टा SSO वर लॉग इन करा
[स्क्रीनशॉट घाला]
Conf फाइल उघडून WireGuard क्लायंटमध्ये आयात करा. सक्रिय स्विच फ्लिप करून, तुम्ही VPN सत्र सुरू करू शकता.
[स्क्रीनशॉट घाला]
तुमचे VPN कनेक्शन सक्रिय ठेवण्यासाठी तुमच्या नेटवर्क प्रशासकाने आवर्ती प्रमाणीकरण अनिवार्य केले असल्यास खालील सूचनांचे अनुसरण करा.
तुला पाहिजे:
फायरझोन पोर्टलची URL: कनेक्शनसाठी तुमच्या नेटवर्क प्रशासकाला विचारा.
तुमचा नेटवर्क प्रशासक तुमचे लॉगिन आणि पासवर्ड ऑफर करण्यास सक्षम असावा. फायरझोन साइट तुम्हाला तुमचा नियोक्ता वापरत असलेली एकल साइन-ऑन सेवा वापरून लॉग इन करण्यास सूचित करेल (जसे की Google किंवा Okta).
[स्क्रीनशॉट घाला]
फायरझोन पोर्टलच्या URL वर जा आणि तुमच्या नेटवर्क प्रशासकाने प्रदान केलेली क्रेडेन्शियल्स वापरून लॉग इन करा. तुम्ही आधीच साइन इन केले असल्यास, पुन्हा साइन इन करण्यापूर्वी पुन्हा प्रमाणीकरण बटणावर क्लिक करा.
[स्क्रीनशॉट घाला]
[स्क्रीनशॉट घाला]
Linux उपकरणांवर नेटवर्क मॅनेजर CLI वापरून WireGuard कॉन्फिगरेशन प्रोफाइल आयात करण्यासाठी, या सूचनांचे अनुसरण करा (nmcli).
प्रोफाइलमध्ये IPv6 समर्थन सक्षम असल्यास, नेटवर्क व्यवस्थापक GUI वापरून कॉन्फिगरेशन फाइल आयात करण्याचा प्रयत्न खालील त्रुटीसह अयशस्वी होऊ शकतो:
ipv6.method: WireGuard साठी पद्धत “ऑटो” समर्थित नाही
WireGuard यूजरस्पेस युटिलिटी स्थापित करणे आवश्यक आहे. हे लिनक्स वितरणासाठी वायरगार्ड किंवा वायरगार्ड-टूल्स नावाचे पॅकेज असेल.
उबंटू/डेबियन साठी:
sudo apt वायरगार्ड स्थापित करा
Fedora वापरण्यासाठी:
sudo dnf install wireguard-tools
आर्क लिनक्स:
sudo pacman -S वायरगार्ड-टूल्स
वर उल्लेख न केलेल्या वितरणांसाठी https://www.wireguard.com/install/ येथे अधिकृत WireGuard वेबसाइटला भेट द्या.
एकतर तुमचा फायरझोन प्रशासक किंवा सेल्फ-जनरेशन फायरझोन पोर्टल वापरून डिव्हाइस कॉन्फिगरेशन फाइल व्युत्पन्न करू शकते.
तुमच्या फायरझोन अॅडमिनिस्ट्रेटरने डिव्हाइस कॉन्फिगरेशन फाइल स्वत: तयार करण्यासाठी दिलेल्या URL ला भेट द्या. यासाठी तुमच्या फर्मची एक अद्वितीय URL असेल; या प्रकरणात, ते https://instance-id.yourfirezone.com आहे.
[स्क्रीनशॉट घाला]
nmcli वापरून पुरवलेली कॉन्फिगरेशन फाइल आयात करा:
sudo nmcli कनेक्शन आयात प्रकार वायरगार्ड फाइल /path/to/configuration.conf
कॉन्फिगरेशन फाइलचे नाव वायरगार्ड कनेक्शन/इंटरफेसशी संबंधित असेल. आयात केल्यानंतर, आवश्यक असल्यास कनेक्शनचे नाव बदलले जाऊ शकते:
nmcli कनेक्शन सुधारित करा [जुने नाव] कनेक्शन.आयडी [नवीन नाव]
कमांड लाइनद्वारे, खालीलप्रमाणे VPN शी कनेक्ट करा:
एनएमसीएलआय कनेक्शन अप [व्हीपीएन नाव]
डिस्कनेक्ट करण्यासाठी:
nmcli कनेक्शन डाउन [व्हीपीएन नाव]
GUI वापरत असल्यास लागू नेटवर्क मॅनेजर ऍपलेटचा वापर कनेक्शन व्यवस्थापित करण्यासाठी देखील केला जाऊ शकतो.
ऑटोकनेक्ट पर्यायासाठी "होय" निवडून, VPN कनेक्शन स्वयंचलितपणे कनेक्ट करण्यासाठी कॉन्फिगर केले जाऊ शकते:
nmcli कनेक्शन सुधारित करा [vpn नाव] कनेक्शन. <<<<<<<<<<<<<<<<<<<<<
ऑटोकनेक्ट होय
स्वयंचलित कनेक्शन अक्षम करण्यासाठी ते परत नाही वर सेट करा:
nmcli कनेक्शन सुधारित करा [vpn नाव] कनेक्शन.
ऑटोकनेक्ट क्र
MFA सक्रिय करण्यासाठी Firezone पोर्टलच्या /user account/register mfa पृष्ठावर जा. QR कोड व्युत्पन्न झाल्यानंतर स्कॅन करण्यासाठी तुमचे प्रमाणक अॅप वापरा, त्यानंतर सहा-अंकी कोड प्रविष्ट करा.
तुम्ही तुमच्या ऑथेंटिकेटर अॅपची जागा चुकीची ठेवल्यास तुमच्या खात्याची ऍक्सेस माहिती रीसेट करण्यासाठी तुमच्या प्रशासकाशी संपर्क साधा.
हे ट्यूटोरियल तुम्हाला फायरझोनसह वायरगार्डचे स्प्लिट टनेलिंग वैशिष्ट्य सेट करण्याच्या प्रक्रियेतून मार्गदर्शन करेल जेणेकरुन केवळ विशिष्ट IP श्रेणींवरील रहदारी VPN सर्व्हरद्वारे अग्रेषित केली जाईल.
ज्या IP श्रेणींसाठी क्लायंट नेटवर्क ट्रॅफिक रूट करेल ते /settings/default पृष्ठावरील अनुमत IPs फील्डमध्ये सेट केले आहे. या फील्डमधील बदलांमुळे केवळ फायरझोनद्वारे निर्मित नवीन तयार केलेल्या वायरगार्ड टनेल कॉन्फिगरेशनवर परिणाम होईल.
[स्क्रीनशॉट घाला]
डीफॉल्ट मूल्य 0.0.0.0/0, ::/0 आहे, जे क्लायंटकडून VPN सर्व्हरवर सर्व नेटवर्क रहदारीला रूट करते.
या फील्डमधील मूल्यांच्या उदाहरणांमध्ये हे समाविष्ट आहे:
0.0.0.0/0, ::/0 - सर्व नेटवर्क रहदारी VPN सर्व्हरकडे राउट केली जाईल.
192.0.2.3/32 - फक्त एकाच IP पत्त्यावरील रहदारी VPN सर्व्हरकडे पाठविली जाईल.
3.5.140.0/22 – केवळ 3.5.140.1 - 3.5.143.254 श्रेणीतील IP वरील रहदारी VPN सर्व्हरकडे राउट केली जाईल. या उदाहरणात, ap-ईशान्य-2 AWS प्रदेशासाठी CIDR श्रेणी वापरली गेली.
फायरझोन पॅकेट कुठे रूट करायचे हे ठरवताना सर्वात अचूक मार्गाशी संबंधित एग्रेस इंटरफेस निवडतो.
नवीन स्प्लिट टनल कॉन्फिगरेशनसह विद्यमान वापरकर्ता डिव्हाइसेस अद्यतनित करण्यासाठी वापरकर्त्यांनी कॉन्फिगरेशन फाइल्स पुन्हा निर्माण केल्या पाहिजेत आणि त्या त्यांच्या मूळ वायरगार्ड क्लायंटमध्ये जोडल्या पाहिजेत.
सूचनांसाठी, पहा डिव्हाइस जोडा. <<<<<<<<<<<< लिंक जोडा
हे मॅन्युअल रिले म्हणून फायरझोन वापरून दोन उपकरणांना कसे लिंक करायचे ते दाखवेल. NAT किंवा फायरवॉलद्वारे संरक्षित सर्व्हर, कंटेनर किंवा मशीनमध्ये प्रवेश करण्यासाठी प्रशासकास सक्षम करणे हे एक सामान्य वापर प्रकरण आहे.
हे उदाहरण एक सरळ परिस्थिती दाखवते ज्यामध्ये उपकरणे A आणि B एक बोगदा बांधतात.
[फायरझोन आर्किटेक्चरल चित्र घाला]
/users/[user_id]/new_device वर नेव्हिगेट करून डिव्हाइस A आणि डिव्हाइस B तयार करून प्रारंभ करा. प्रत्येक डिव्हाइसच्या सेटिंग्जमध्ये, खालील पॅरामीटर्स खाली सूचीबद्ध केलेल्या मूल्यांवर सेट केल्याची खात्री करा. डिव्हाइस कॉन्फिगरेशन तयार करताना तुम्ही डिव्हाइस सेटिंग्ज सेट करू शकता (डिव्हाइस जोडा पहा). तुम्हाला विद्यमान डिव्हाइसवर सेटिंग्ज अपडेट करण्याची आवश्यकता असल्यास, तुम्ही नवीन डिव्हाइस कॉन्फिगरेशन जनरेट करून ते करू शकता.
लक्षात घ्या की सर्व डिव्हाइसेसना /settings/defaults पृष्ठ आहे जेथे PersistentKeepalive कॉन्फिगर केले जाऊ शकते.
अनुमत IP = 10.3.2.2/32
हा आयपी किंवा डिव्हाइस बी च्या आयपीची श्रेणी आहे
PersistentKeepalive = 25
डिव्हाइस NAT च्या मागे असल्यास, हे सुनिश्चित करते की डिव्हाइस बोगदा जिवंत ठेवण्यास सक्षम आहे आणि WireGuard इंटरफेसमधून पॅकेट प्राप्त करणे सुरू ठेवते. सामान्यतः 25 चे मूल्य पुरेसे असते, परंतु तुम्हाला तुमच्या वातावरणानुसार हे मूल्य कमी करावे लागेल.
अनुमत IP = 10.3.2.3/32
हा आयपी किंवा डिव्हाइस A च्या IP ची श्रेणी आहे
PersistentKeepalive = 25
हे उदाहरण अशी परिस्थिती दर्शविते ज्यामध्ये डिव्हाइस A दोन्ही दिशांमध्ये D द्वारे B डिव्हाइसेसशी संवाद साधू शकते. हे सेटअप अभियंता किंवा प्रशासकाचे प्रतिनिधित्व करू शकते जे विविध नेटवर्कवर असंख्य संसाधने (सर्व्हर, कंटेनर किंवा मशीन्स) मध्ये प्रवेश करू शकतात.
[आर्किटेक्चरल डायग्राम]<<<<<<<<<<<<<<<<<<<<<<
प्रत्येक डिव्हाइसच्या सेटिंग्जमध्ये खालील सेटिंग्ज संबंधित मूल्यांमध्ये केल्याची खात्री करा. डिव्हाइस कॉन्फिगरेशन तयार करताना, तुम्ही डिव्हाइस सेटिंग्ज निर्दिष्ट करू शकता (डिव्हाइस जोडा पहा). विद्यमान डिव्हाइसवरील सेटिंग्ज अद्यतनित करणे आवश्यक असल्यास नवीन डिव्हाइस कॉन्फिगरेशन तयार केले जाऊ शकते.
अनुमत IP = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
हा D पासून B पर्यंतच्या डिव्हाइसेसचा IP आहे. B ते D पर्यंत डिव्हाइसेसचे IP तुम्ही सेट करण्यासाठी निवडलेल्या कोणत्याही IP श्रेणीमध्ये समाविष्ट केले पाहिजेत.
PersistentKeepalive = 25
हे हमी देते की डिव्हाइस बोगदा राखू शकते आणि NAT द्वारे संरक्षित असले तरीही WireGuard इंटरफेसमधून पॅकेट प्राप्त करणे सुरू ठेवू शकते. बर्याच प्रकरणांमध्ये, 25 चे मूल्य पुरेसे आहे, तथापि, तुमच्या सभोवतालच्या परिस्थितीनुसार, तुम्हाला हा आकडा कमी करावा लागेल.
तुमच्या टीमच्या सर्व ट्रॅफिकमधून बाहेर पडण्यासाठी सिंगल, स्टॅटिक एग्रेस आयपी ऑफर करण्यासाठी, फायरझोनचा वापर NAT गेटवे म्हणून केला जाऊ शकतो. या परिस्थितींमध्ये त्याचा वारंवार वापर होतो:
सल्लामसलत प्रतिबद्धता: तुमच्या ग्राहकाने प्रत्येक कर्मचार्याच्या अद्वितीय डिव्हाइस IP ऐवजी एकच स्थिर IP पत्ता व्हाइटलिस्ट करावा अशी विनंती.
सुरक्षितता किंवा गोपनीयतेच्या उद्देशाने प्रॉक्सी वापरणे किंवा तुमचा स्रोत आयपी मास्क करणे.
फायरझोनवर चालणाऱ्या एका स्व-होस्ट केलेल्या वेब ऍप्लिकेशनमध्ये प्रवेश मर्यादित करण्याचे एक साधे उदाहरण या पोस्टमध्ये दाखवले जाईल. या चित्रात, फायरझोन आणि संरक्षित संसाधन वेगवेगळ्या VPC भागात आहेत.
असंख्य अंतिम वापरकर्त्यांसाठी आयपी श्वेतसूची व्यवस्थापित करण्याच्या जागी हे समाधान वारंवार वापरले जाते, जे प्रवेश सूची विस्तृत होताना वेळ घेणारे असू शकते.
VPN रहदारी प्रतिबंधित स्त्रोताकडे पुनर्निर्देशित करण्यासाठी EC2 उदाहरणावर फायरझोन सर्व्हर सेट करणे हे आमचे उद्दिष्ट आहे. या उदाहरणात, प्रत्येक कनेक्ट केलेल्या उपकरणाला एक अनन्य सार्वजनिक निर्गमन IP देण्यासाठी फायरझोन नेटवर्क प्रॉक्सी किंवा NAT गेटवे म्हणून काम करत आहे.
या प्रकरणात, tc2.micro नावाच्या EC2 उदाहरणावर फायरझोन इंस्टन्स स्थापित केला आहे. फायरझोन तैनात करण्याबद्दल माहितीसाठी, उपयोजन मार्गदर्शकाकडे जा. AWS च्या संबंधात, खात्री करा:
फायरझोन EC2 उदाहरणाचा सुरक्षा गट संरक्षित स्त्रोताच्या IP पत्त्यावर आउटबाउंड रहदारीला परवानगी देतो.
फायरझोन उदाहरण लवचिक आयपीसह येते. फायरझोन उदाहरणाद्वारे बाहेरील गंतव्यस्थानांकडे पाठवलेल्या रहदारीचा हा त्याचा स्त्रोत IP पत्ता असेल. प्रश्नातील IP पत्ता 52.202.88.54 आहे.
[स्क्रीनशॉट घाला]<<<<<<<<<<<<<<<<<<<<<<<
सेल्फ-होस्टेड वेब ऍप्लिकेशन या प्रकरणात संरक्षित संसाधन म्हणून काम करते. 52.202.88.54 IP पत्त्यावरून आलेल्या विनंत्यांद्वारेच वेब अॅपवर प्रवेश केला जाऊ शकतो. संसाधनाच्या आधारावर, विविध बंदरांवर आणि रहदारीच्या प्रकारांवर इनबाउंड रहदारीला परवानगी देणे आवश्यक असू शकते. हे या मॅन्युअलमध्ये समाविष्ट केलेले नाही.
[स्क्रीनशॉट घाला]<<<<<<<<<<<<<<<<<<<<<<<
कृपया संरक्षित संसाधनाच्या प्रभारी तृतीय पक्षाला सांगा की चरण 1 मध्ये परिभाषित केलेल्या स्थिर IP वरून रहदारीला परवानगी असणे आवश्यक आहे (या प्रकरणात 52.202.88.54).
डीफॉल्टनुसार, सर्व वापरकर्ता रहदारी VPN सर्व्हरमधून जाईल आणि चरण 1 मध्ये कॉन्फिगर केलेल्या स्थिर IP वरून येईल (या प्रकरणात 52.202.88.54). तथापि, स्प्लिट टनेलिंग सक्षम केले असल्यास, संरक्षित स्त्रोताचा गंतव्य IP अनुमत IP मध्ये सूचीबद्ध आहे याची खात्री करण्यासाठी सेटिंग्ज आवश्यक असू शकतात.
मध्ये उपलब्ध असलेल्या कॉन्फिगरेशन पर्यायांची संपूर्ण सूची खाली दर्शविली आहे /etc/firezone/firezone.rb.
पर्याय | वर्णन | डीफॉल्ट मूल्य |
डीफॉल्ट['firezone']['external_url'] | या फायरझोन उदाहरणाच्या वेब पोर्टलवर प्रवेश करण्यासाठी वापरलेली URL. | “https://#{node['fqdn'] || नोड['होस्टनाव']}” |
डीफॉल्ट['firezone']['config_directory'] | फायरझोन कॉन्फिगरेशनसाठी शीर्ष-स्तरीय निर्देशिका. | /etc/firezone' |
डीफॉल्ट['firezone']['install_directory'] | वर फायरझोन स्थापित करण्यासाठी शीर्ष-स्तरीय निर्देशिका. | /opt/firezone' |
डीफॉल्ट['firezone']['app_directory'] | फायरझोन वेब अनुप्रयोग स्थापित करण्यासाठी शीर्ष-स्तरीय निर्देशिका. | “#{node['firezone']['install_directory']}/embedded/service/firezone” |
डीफॉल्ट['firezone']['log_directory'] | फायरझोन लॉगसाठी शीर्ष-स्तरीय निर्देशिका. | /var/log/firezone' |
डीफॉल्ट['फायरझोन']['var_directory'] | फायरझोन रनटाइम फाइल्ससाठी उच्च-स्तरीय निर्देशिका. | /var/opt/firezone' |
डीफॉल्ट['फायरझोन']['वापरकर्ता'] | विशेषाधिकार नसलेल्या लिनक्स वापरकर्त्याचे नाव बहुतेक सेवा आणि फायली त्यांच्या मालकीच्या असतील. | फायरझोन' |
डीफॉल्ट['फायरझोन']['ग्रुप'] | Linux गटाचे नाव बहुतेक सेवा आणि फाइल्सच्या असतील. | फायरझोन' |
डीफॉल्ट['firezone']['admin_email'] | प्रारंभिक फायरझोन वापरकर्त्यासाठी ईमेल पत्ता. | “firezone@localhost” |
डीफॉल्ट['फायरझोन']['max_devices_per_user'] | वापरकर्त्याकडे जास्तीत जास्त डिव्हाइस असू शकतात. | 10 |
डीफॉल्ट['firezone']['allow_unprivileged_device_management'] | गैर-प्रशासक वापरकर्त्यांना डिव्हाइस तयार करण्यास आणि हटविण्याची अनुमती देते. | खरे |
डीफॉल्ट['firezone']['allow_unprivileged_device_configuration'] | प्रशासक नसलेल्या वापरकर्त्यांना डिव्हाइस कॉन्फिगरेशन सुधारण्याची अनुमती देते. अक्षम केल्यावर, नाव आणि वर्णन वगळता सर्व डिव्हाइस फील्ड बदलण्यापासून विशेषाधिकार नसलेल्या वापरकर्त्यांना प्रतिबंधित करते. | खरे |
डीफॉल्ट['firezone']['egress_interface'] | इंटरफेसचे नाव जिथून बोगदा रहदारी बाहेर पडेल. शून्य असल्यास, डीफॉल्ट मार्ग इंटरफेस वापरला जाईल. | शून्य |
डीफॉल्ट['फायरझोन']['fips_enabled'] | OpenSSL FIPs मोड सक्षम किंवा अक्षम करा. | शून्य |
डीफॉल्ट['फायरझोन']['लॉगिंग']['सक्षम'] | फायरझोनवर लॉगिंग सक्षम किंवा अक्षम करा. लॉगिंग पूर्णपणे अक्षम करण्यासाठी असत्य वर सेट करा. | खरे |
डीफॉल्ट['एंटरप्राइज']['नाव'] | शेफ 'एंटरप्राइज' कुकबुकद्वारे वापरलेले नाव. | फायरझोन' |
डीफॉल्ट['firezone']['install_path'] | शेफ 'एंटरप्राइज' कुकबुकद्वारे वापरलेला मार्ग स्थापित करा. वरील install_directory प्रमाणेच सेट केले पाहिजे. | नोड['firezone']['install_directory'] |
डीफॉल्ट['firezone']['sysvinit_id'] | /etc/inittab मध्ये वापरलेला अभिज्ञापक. 1-4 वर्णांचा एक अद्वितीय क्रम असणे आवश्यक आहे. | SUP' |
डीफॉल्ट['firezone']['authentication']['local']['enabled'] | स्थानिक ईमेल/पासवर्ड प्रमाणीकरण सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['authentication']['auto_create_oidc_users'] | OIDC मधून प्रथमच साइन इन करणारे वापरकर्ते स्वयंचलितपणे तयार करा. फक्त विद्यमान वापरकर्त्यांना OIDC द्वारे साइन इन करण्याची परवानगी देण्यासाठी अक्षम करा. | खरे |
डीफॉल्ट['firezone']['authentication']['disable_vpn_on_oidc_error'] | वापरकर्त्याचे OIDC टोकन रिफ्रेश करण्याचा प्रयत्न करताना त्रुटी आढळल्यास त्याचा VPN अक्षम करा. | असत्य |
डीफॉल्ट['firezone']['authentication']['oidc'] | OpenID Connect कॉन्फिगरेशन, {“provider” => [config…]} च्या फॉरमॅटमध्ये – पहा OpenIDConnect दस्तऐवजीकरण कॉन्फिगरेशन उदाहरणांसाठी. | {} |
डीफॉल्ट['फायरझोन']['nginx']['सक्षम'] | बंडल केलेला nginx सर्व्हर सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['nginx']['ssl_port'] | HTTPS ऐकण्याचे पोर्ट. | 443 |
डीफॉल्ट['firezone']['nginx']['directory'] | फायरझोन-संबंधित nginx आभासी होस्ट कॉन्फिगरेशन संचयित करण्यासाठी निर्देशिका. | “#{node['firezone']['var_directory']}/nginx/etc” |
डीफॉल्ट['firezone']['nginx']['log_directory'] | फायरझोन-संबंधित nginx लॉग फाइल्स संचयित करण्यासाठी निर्देशिका. | “#{node['firezone']['log_directory']}/nginx” |
डीफॉल्ट['firezone']['nginx']['log_rotation']['file_maxbytes'] | Nginx लॉग फाइल्स फिरवायचा फाइल आकार. | 104857600 |
डीफॉल्ट['firezone']['nginx']['log_rotation']['num_to_keep'] | टाकून देण्यापूर्वी ठेवण्याच्या फायरझोन nginx लॉग फायलींची संख्या. | 10 |
डीफॉल्ट['firezone']['nginx']['log_x_forwarded_for'] | हेडरसाठी फायरझोन nginx x-फॉरवर्डेड लॉग करायचे की नाही. | खरे |
डीफॉल्ट['firezone']['nginx']['hsts_header']['enabled'] | खरे | |
डीफॉल्ट['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS शीर्षलेखासाठी समाविष्ट SubDomains सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['nginx']['hsts_header']['max_age'] | HSTS शीर्षलेखासाठी कमाल वय. | 31536000 |
डीफॉल्ट['firezone']['nginx']['redirect_to_canonical'] | वर नमूद केलेल्या कॅनॉनिकल FQDN वर URL पुनर्निर्देशित करायचे की नाही | असत्य |
डीफॉल्ट['firezone']['nginx']['cache']['enabled'] | Firezone nginx कॅशे सक्षम किंवा अक्षम करा. | असत्य |
डीफॉल्ट['firezone']['nginx']['cache']['directory'] | फायरझोन nginx कॅशेसाठी निर्देशिका. | “#{node['firezone']['var_directory']}/nginx/cache” |
डीफॉल्ट['firezone']['nginx']['user'] | फायरझोन nginx वापरकर्ता. | नोड['फायरझोन']['वापरकर्ता'] |
डीफॉल्ट['firezone']['nginx']['group'] | फायरझोन एनजीएनएक्स ग्रुप. | नोड['फायरझोन']['ग्रुप'] |
डीफॉल्ट['firezone']['nginx']['dir'] | शीर्ष-स्तरीय nginx कॉन्फिगरेशन निर्देशिका. | नोड['firezone']['nginx']['directory'] |
डीफॉल्ट['firezone']['nginx']['log_dir'] | शीर्ष-स्तरीय nginx लॉग निर्देशिका. | नोड['firezone']['nginx']['log_directory'] |
डीफॉल्ट['firezone']['nginx']['pid'] | nginx pid फाइलसाठी स्थान. | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
डीफॉल्ट['firezone']['nginx']['daemon_disable'] | nginx डिमन मोड अक्षम करा जेणेकरून आम्ही त्याऐवजी त्याचे निरीक्षण करू शकू. | खरे |
डीफॉल्ट['firezone']['nginx']['gzip'] | nginx gzip कॉम्प्रेशन चालू किंवा बंद करा. | वर ' |
डीफॉल्ट['firezone']['nginx']['gzip_static'] | स्थिर फाइल्ससाठी nginx gzip कॉम्प्रेशन चालू किंवा बंद करा. | बंद' |
डीफॉल्ट['firezone']['nginx']['gzip_http_version'] | स्टॅटिक फाइल्स सर्व्ह करण्यासाठी वापरण्यासाठी HTTP आवृत्ती. | 1.0 ' |
डीफॉल्ट['firezone']['nginx']['gzip_comp_level'] | nginx gzip कॉम्प्रेशन पातळी. | 2 ' |
डीफॉल्ट['firezone']['nginx']['gzip_proxied'] | विनंती आणि प्रतिसादावर अवलंबून प्रॉक्सी विनंत्यांसाठी प्रतिसादांचे gzipping सक्षम किंवा अक्षम करते. | कोणतेही' |
डीफॉल्ट['firezone']['nginx']['gzip_vary'] | “Vary: Accept-Encoding” प्रतिसाद शीर्षलेख टाकणे सक्षम किंवा अक्षम करते. | बंद' |
डीफॉल्ट['firezone']['nginx']['gzip_buffers'] | प्रतिसाद संकुचित करण्यासाठी वापरलेल्या बफरची संख्या आणि आकार सेट करते. शून्य असल्यास, nginx डीफॉल्ट वापरले जाते. | शून्य |
डीफॉल्ट['firezone']['nginx']['gzip_types'] | साठी gzip कॉम्प्रेशन सक्षम करण्यासाठी MIME प्रकार. | ['text/plain', 'text/css', 'application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' मजकूर/javascript', 'application/javascript', 'application/json'] |
डीफॉल्ट['firezone']['nginx']['gzip_min_length'] | फाइल gzip कॉम्प्रेशन सक्षम करण्यासाठी किमान फाइल लांबी. | 1000 |
डीफॉल्ट['firezone']['nginx']['gzip_disable'] | साठी gzip कॉम्प्रेशन अक्षम करण्यासाठी वापरकर्ता-एजंट जुळणारा. | MSIE [१-६]\.' |
डीफॉल्ट['firezone']['nginx']['keepalive'] | अपस्ट्रीम सर्व्हरशी कनेक्शनसाठी कॅशे सक्रिय करते. | वर ' |
डीफॉल्ट['firezone']['nginx']['keepalive_timeout'] | अपस्ट्रीम सर्व्हरशी सक्रिय कनेक्शन ठेवण्यासाठी सेकंदांमध्ये कालबाह्य. | 65 |
डीफॉल्ट['firezone']['nginx']['worker_processes'] | nginx कामगार प्रक्रियांची संख्या. | नोड['cpu'] && node['cpu']['total']? नोड['cpu']['total'] : 1 |
डीफॉल्ट['फायरझोन']['nginx']['worker_connections'] | एकाचवेळी कनेक्शनची कमाल संख्या जी कामगार प्रक्रियेद्वारे उघडली जाऊ शकते. | 1024 |
डीफॉल्ट['firezone']['nginx']['worker_rlimit_nofile'] | कामगार प्रक्रियेसाठी उघडलेल्या फायलींच्या कमाल संख्येवरील मर्यादा बदलते. शून्य असल्यास nginx डीफॉल्ट वापरते. | शून्य |
डीफॉल्ट['firezone']['nginx']['multi_accept'] | कामगारांनी एका वेळी एक कनेक्शन स्वीकारावे की अनेक. | खरे |
डीफॉल्ट['firezone']['nginx']['event'] | nginx इव्हेंट संदर्भामध्ये वापरण्यासाठी कनेक्शन प्रक्रिया पद्धत निर्दिष्ट करते. | इपोल' |
डीफॉल्ट['firezone']['nginx']['server_tokens'] | त्रुटी पृष्ठांवर आणि “सर्व्हर” प्रतिसाद शीर्षलेख फील्डमध्ये उत्सर्जित nginx आवृत्ती सक्षम किंवा अक्षम करते. | शून्य |
डीफॉल्ट['firezone']['nginx']['server_names_hash_bucket_size'] | सर्व्हरच्या नावांच्या हॅश टेबलसाठी बकेटचा आकार सेट करते. | 64 |
डीफॉल्ट['firezone']['nginx']['sendfile'] | nginx च्या sendfile() चा वापर सक्षम किंवा अक्षम करते. | वर ' |
डीफॉल्ट['firezone']['nginx']['access_log_options'] | nginx प्रवेश लॉग पर्याय सेट करते. | शून्य |
डीफॉल्ट['firezone']['nginx']['error_log_options'] | nginx त्रुटी लॉग पर्याय सेट करते. | शून्य |
डीफॉल्ट['firezone']['nginx']['disable_access_log'] | nginx प्रवेश लॉग अक्षम करते. | असत्य |
डीफॉल्ट['firezone']['nginx']['types_hash_max_size'] | nginx प्रकार हॅश कमाल आकार. | 2048 |
डीफॉल्ट['firezone']['nginx']['types_hash_bucket_size'] | nginx प्रकार हॅश बकेट आकार. | 64 |
डीफॉल्ट['firezone']['nginx']['proxy_read_timeout'] | nginx प्रॉक्सी रीड टाइमआउट. nginx डीफॉल्ट वापरण्यासाठी शून्य वर सेट करा. | शून्य |
डीफॉल्ट['firezone']['nginx']['client_body_buffer_size'] | nginx क्लायंट बॉडी बफर आकार. nginx डीफॉल्ट वापरण्यासाठी शून्य वर सेट करा. | शून्य |
डीफॉल्ट['firezone']['nginx']['client_max_body_size'] | nginx क्लायंट कमाल शरीर आकार. | ५ मी' |
डीफॉल्ट['firezone']['nginx']['default']['modules'] | अतिरिक्त nginx मॉड्यूल निर्दिष्ट करा. | [] |
डीफॉल्ट['firezone']['nginx']['enable_rate_limiting'] | nginx दर मर्यादा सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['nginx']['rate_limiting_zone_name'] | Nginx दर मर्यादित झोन नाव. | फायरझोन' |
डीफॉल्ट['firezone']['nginx']['rate_limiting_backoff'] | Nginx दर मर्यादित बॅकऑफ. | ५ मी' |
डीफॉल्ट['firezone']['nginx']['rate_limit'] | Nginx दर मर्यादा. | 10r/s' |
डीफॉल्ट['firezone']['nginx']['ipv6'] | nginx ला IPv6 व्यतिरिक्त IPv4 साठी HTTP विनंत्या ऐकण्याची परवानगी द्या. | खरे |
डीफॉल्ट['firezone']['postgresql']['सक्षम'] | बंडल केलेले Postgresql सक्षम किंवा अक्षम करा. असत्य वर सेट करा आणि तुमचा स्वतःचा Postgresql उदाहरण वापरण्यासाठी खालील डेटाबेस पर्याय भरा. | खरे |
डीफॉल्ट['firezone']['postgresql']['username'] | Postgresql साठी वापरकर्तानाव. | नोड['फायरझोन']['वापरकर्ता'] |
डीफॉल्ट['firezone']['postgresql']['data_directory'] | Postgresql डेटा निर्देशिका. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
डीफॉल्ट['firezone']['postgresql']['log_directory'] | Postgresql लॉग निर्देशिका. | “#{node['firezone']['log_directory']}/postgresql” |
डीफॉल्ट['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql लॉग फाइल फिरवण्यापूर्वी कमाल आकार. | 104857600 |
डीफॉल्ट['firezone']['postgresql']['log_rotation']['num_to_keep'] | ठेवण्यासाठी Postgresql लॉग फाइल्सची संख्या. | 10 |
डीफॉल्ट['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql चेकपॉईंट पूर्ण करण्याचे लक्ष्य. | 0.5 |
डीफॉल्ट['firezone']['postgresql']['checkpoint_segments'] | Postgresql चेकपॉईंट विभागांची संख्या. | 3 |
डीफॉल्ट['firezone']['postgresql']['checkpoint_timeout'] | Postgresql चेकपॉईंट कालबाह्य. | ५ मिनिटे |
डीफॉल्ट['firezone']['postgresql']['checkpoint_warning'] | Postgresql चेकपॉईंट चेतावणी वेळ सेकंदात. | ३० चे दशक |
डीफॉल्ट['firezone']['postgresql']['effective_cache_size'] | Postgresql प्रभावी कॅशे आकार. | 128MB' |
डीफॉल्ट['firezone']['postgresql']['listen_address'] | Postgresql ऐका पत्ता. | 127.0.0.1 ' |
डीफॉल्ट['firezone']['postgresql']['max_connections'] | Postgresql कमाल कनेक्शन. | 350 |
डीफॉल्ट['firezone']['postgresql']['md5_auth_cidr_addresses'] | md5 auth साठी अनुमती देण्यासाठी Postgresql CIDRs. | ['127.0.0.1/32', '::1/128'] |
डीफॉल्ट['firezone']['postgresql']['port'] | Postgresql ऐका पोर्ट. | 15432 |
डीफॉल्ट['firezone']['postgresql']['shared_buffers'] | Postgresql सामायिक बफर आकार. | “#{(नोड['मेमरी']['एकूण'].to_i / 4) / 1024}MB” |
डीफॉल्ट['firezone']['postgresql']['shmmax'] | Postgresql shmmax बाइट्समध्ये. | 17179869184 |
डीफॉल्ट['firezone']['postgresql']['shmall'] | Postgresql shmall बाइट्समध्ये. | 4194304 |
डीफॉल्ट['firezone']['postgresql']['work_mem'] | Postgresql कार्यरत मेमरी आकार. | 8MB' |
डीफॉल्ट['firezone']['database']['user'] | DB शी कनेक्ट करण्यासाठी फायरझोन वापरकर्तानाव निर्दिष्ट करते. | नोड['firezone']['postgresql']['username'] |
डीफॉल्ट['firezone']['database']['password'] | बाह्य DB वापरत असल्यास, DB शी कनेक्ट करण्यासाठी फायरझोन वापरेल पासवर्ड निर्दिष्ट करा. | मला_बदला' |
डीफॉल्ट['firezone']['database']['name'] | फायरझोन वापरेल असा डेटाबेस. ते अस्तित्वात नसल्यास तयार केले जाईल. | फायरझोन' |
डीफॉल्ट['firezone']['database']['host'] | डेटाबेस होस्ट ज्याला फायरझोन कनेक्ट करेल. | नोड['firezone']['postgresql']['listen_address'] |
डीफॉल्ट['firezone']['database']['port'] | डेटाबेस पोर्ट ज्याला फायरझोन कनेक्ट करेल. | नोड['firezone']['postgresql']['port'] |
डीफॉल्ट['फायरझोन']['डेटाबेस']['पूल'] | डेटाबेस पूल आकार फायरझोन वापरेल. | [१०, Etc.nprocessors].max |
डीफॉल्ट['firezone']['database']['ssl'] | SSL वर डेटाबेसशी जोडणी करायची की नाही. | असत्य |
डीफॉल्ट['firezone']['database']['ssl_opts'] | SSL वर कनेक्ट करताना :ssl_opts पर्यायावर पाठवायचे पर्याय हॅश. पहा Ecto.Adapters.Postgres दस्तऐवजीकरण. | {} |
डीफॉल्ट['firezone']['database']['parameters'] | {} | |
डीफॉल्ट['firezone']['database']['extensions'] | सक्षम करण्यासाठी डेटाबेस विस्तार. | { 'plpgsql' => खरे, 'pg_trgm' => खरे } |
डीफॉल्ट['फायरझोन']['फिनिक्स']['सक्षम'] | फायरझोन वेब अनुप्रयोग सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['phoenix']['listen_address'] | फायरझोन वेब ऍप्लिकेशन ऐकण्याचा पत्ता. हा अपस्ट्रीम ऐकण्याचा पत्ता असेल जो nginx प्रॉक्सी करतो. | 127.0.0.1 ' |
डीफॉल्ट['firezone']['phoenix']['port'] | फायरझोन वेब ऍप्लिकेशन लिसन पोर्ट. हे अपस्ट्रीम पोर्ट असेल जे nginx प्रॉक्सी करते. | 13000 |
डीफॉल्ट['firezone']['phoenix']['log_directory'] | फायरझोन वेब ऍप्लिकेशन लॉग निर्देशिका. | “#{node['firezone']['log_directory']}/phoenix” |
डीफॉल्ट['firezone']['phoenix']['log_rotation']['file_maxbytes'] | फायरझोन वेब अनुप्रयोग लॉग फाइल आकार. | 104857600 |
डीफॉल्ट['firezone']['phoenix']['log_rotation']['num_to_keep'] | फायरझोन वेब ऍप्लिकेशन लॉग फाइल्सची संख्या ठेवा. | 10 |
डीफॉल्ट['firezone']['phoenix']['crash_detection']['enabled'] | जेव्हा क्रॅश आढळला तेव्हा फायरझोन वेब अनुप्रयोग खाली आणणे सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['phoenix']['external_trusted_proxies'] | IPs आणि/किंवा CIDRs च्या अॅरे म्हणून फॉरमॅट केलेल्या विश्वसनीय रिव्हर्स प्रॉक्सींची सूची. | [] |
डीफॉल्ट['firezone']['phoenix']['private_clients'] | खाजगी नेटवर्क HTTP क्लायंटची सूची, IPs आणि/किंवा CIDRs च्या अॅरेचे स्वरूपित. | [] |
डीफॉल्ट['फायरझोन']['वायरगार्ड']['सक्षम'] | बंडल केलेले वायरगार्ड व्यवस्थापन सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['wireguard']['log_directory'] | बंडल केलेल्या वायरगार्ड व्यवस्थापनासाठी लॉग निर्देशिका. | “#{node['firezone']['log_directory']}/wireguard” |
डीफॉल्ट['firezone']['wireguard']['log_rotation']['file_maxbytes'] | वायरगार्ड लॉग फाइल कमाल आकार. | 104857600 |
डीफॉल्ट['firezone']['wireguard']['log_rotation']['num_to_keep'] | ठेवण्यासाठी वायरगार्ड लॉग फाइल्सची संख्या. | 10 |
डीफॉल्ट['firezone']['wireguard']['interface_name'] | वायरगार्ड इंटरफेस नाव. हे पॅरामीटर बदलल्याने VPN कनेक्टिव्हिटीमध्ये तात्पुरते नुकसान होऊ शकते. | wg-फायरझोन' |
डीफॉल्ट['firezone']['wireguard']['port'] | वायरगार्ड ऐकण्याचे पोर्ट. | 51820 |
डीफॉल्ट['firezone']['wireguard']['mtu'] | या सर्व्हरसाठी आणि डिव्हाइस कॉन्फिगरेशनसाठी वायरगार्ड इंटरफेस MTU. | 1280 |
डीफॉल्ट['firezone']['wireguard']['endpoint'] | डिव्हाइस कॉन्फिगरेशन जनरेट करण्यासाठी वापरण्यासाठी वायरगार्ड एंडपॉइंट. शून्य असल्यास, सर्व्हरच्या सार्वजनिक IP पत्त्यावर डीफॉल्ट. | शून्य |
डीफॉल्ट['firezone']['wireguard']['dns'] | व्युत्पन्न केलेल्या डिव्हाइस कॉन्फिगरेशनसाठी वापरण्यासाठी WireGuard DNS. | १.१.१.१, १.०.०.१′ |
डीफॉल्ट['firezone']['wireguard']['allowed_ips'] | व्युत्पन्न केलेल्या डिव्हाइस कॉन्फिगरेशनसाठी वापरण्यासाठी WireGuard AllowedIPs. | 0.0.0.0/0, ::/0′ |
डीफॉल्ट['firezone']['wireguard']['persistent_keepalive'] | व्युत्पन्न केलेल्या डिव्हाइस कॉन्फिगरेशनसाठी डीफॉल्ट PersistentKeepalive सेटिंग. 0 चे मूल्य अक्षम करते. | 0 |
डीफॉल्ट['firezone']['wireguard']['ipv4']['enabled'] | WireGuard नेटवर्कसाठी IPv4 सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['wireguard']['ipv4']['masquerade'] | IPv4 बोगदा सोडून पॅकेटसाठी मास्करेड सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['wireguard']['ipv4']['network'] | WireGuard नेटवर्क IPv4 पत्ता पूल. | 10.3.2.0/24 ′ |
डीफॉल्ट['firezone']['wireguard']['ipv4']['address'] | वायरगार्ड इंटरफेस IPv4 पत्ता. वायरगार्ड अॅड्रेस पूलमध्ये असणे आवश्यक आहे. | 10.3.2.1 ' |
डीफॉल्ट['firezone']['wireguard']['ipv6']['enabled'] | WireGuard नेटवर्कसाठी IPv6 सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['wireguard']['ipv6']['masquerade'] | IPv6 बोगदा सोडून पॅकेटसाठी मास्करेड सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['wireguard']['ipv6']['network'] | WireGuard नेटवर्क IPv6 पत्ता पूल. | fd00::3:2:0/120′ |
डीफॉल्ट['firezone']['wireguard']['ipv6']['address'] | वायरगार्ड इंटरफेस IPv6 पत्ता. IPv6 अॅड्रेस पूलमध्ये असणे आवश्यक आहे. | fd00::3:2:1′ |
डीफॉल्ट['firezone']['runit']['svlogd_bin'] | रनिट svlogd बिन स्थान. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
डीफॉल्ट['firezone']['ssl']['directory'] | व्युत्पन्न प्रमाणपत्रे संचयित करण्यासाठी SSL निर्देशिका. | /var/opt/firezone/ssl' |
डीफॉल्ट['firezone']['ssl']['email_address'] | स्वयं-स्वाक्षरी केलेले प्रमाणपत्र आणि ACME प्रोटोकॉल नूतनीकरण सूचनांसाठी वापरण्यासाठी ईमेल पत्ता. | |
डीफॉल्ट['firezone']['ssl']['acme']['सक्षम'] | स्वयंचलित SSL प्रमाणपत्र तरतूदीसाठी ACME सक्षम करा. Nginx पोर्ट 80 वर ऐकण्यापासून रोखण्यासाठी हे अक्षम करा. पहा येथे अधिक सूचनांसाठी. | असत्य |
डीफॉल्ट['firezone']['ssl']['acme']['server'] | प्रमाणपत्र जारी/नूतनीकरणासाठी वापरण्यासाठी ACME सर्व्हर. कोणतीही असू शकते वैध acme.sh सर्व्हर | letsencrypt |
डीफॉल्ट['firezone']['ssl']['acme']['keylength'] | SSL प्रमाणपत्रांसाठी की प्रकार आणि लांबी निर्दिष्ट करा. पहा येथे | ईसी -256 |
डीफॉल्ट['फायरझोन']['ssl']['प्रमाणपत्र'] | तुमच्या FQDN साठी प्रमाणपत्र फाइलचा मार्ग. निर्दिष्ट केल्यास वर ACME सेटिंग ओव्हरराइड करते. ACME आणि हे दोन्ही शून्य असल्यास स्व-स्वाक्षरी केलेले प्रमाणपत्र तयार केले जाईल. | शून्य |
डीफॉल्ट['firezone']['ssl']['certificate_key'] | प्रमाणपत्र फाइलचा मार्ग. | शून्य |
डीफॉल्ट['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | शून्य |
डीफॉल्ट['firezone']['ssl']['country_name'] | स्व-स्वाक्षरी केलेल्या प्रमाणपत्रासाठी देशाचे नाव. | यूएस' |
डीफॉल्ट['firezone']['ssl']['state_name'] | स्व-स्वाक्षरी केलेल्या प्रमाणपत्रासाठी राज्याचे नाव. | सीए ' |
डीफॉल्ट['firezone']['ssl']['locality_name'] | स्वयं-स्वाक्षरी केलेल्या प्रमाणपत्रासाठी परिसराचे नाव. | सॅन फ्रान्सिस्को' |
डीफॉल्ट['firezone']['ssl']['company_name'] | कंपनीचे नाव स्व-स्वाक्षरी केलेले प्रमाणपत्र. | माझी सोबत' |
डीफॉल्ट['firezone']['ssl']['organizational_unit_name'] | स्वयं-स्वाक्षरी केलेल्या प्रमाणपत्रासाठी संस्थात्मक युनिटचे नाव. | ऑपरेशन्स |
डीफॉल्ट['फायरझोन']['ssl']['सिफर'] | Nginx वापरण्यासाठी SSL सायफर. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
डीफॉल्ट['फायरझोन']['ssl']['fips_ciphers'] | FIPs मोडसाठी SSL सिफर. | FIPS@STRENGTH:!aNULL:!eNULL' |
डीफॉल्ट['फायरझोन']['ssl']['प्रोटोकॉल'] | वापरण्यासाठी TLS प्रोटोकॉल. | TLSv1 TLSv1.1 TLSv1.2′ |
डीफॉल्ट['firezone']['ssl']['session_cache'] | SSL सत्र कॅशे. | सामायिक:SSL:4m' |
डीफॉल्ट['firezone']['ssl']['session_timeout'] | SSL सत्र कालबाह्य. | ५ मी' |
डीफॉल्ट['फायरझोन']['robots_allow'] | nginx रोबोट परवानगी देतात. | /' |
डीफॉल्ट['फायरझोन']['robots_disallow'] | nginx रोबोट्स नाकारतात. | शून्य |
डीफॉल्ट['firezone']['outbound_email']['from'] | पत्त्यावरून आउटबाउंड ईमेल. | शून्य |
डीफॉल्ट['firezone']['outbound_email']['provider'] | आउटबाउंड ईमेल सेवा प्रदाता. | शून्य |
डीफॉल्ट['firezone']['outbound_email']['configs'] | आउटबाउंड ईमेल प्रदाता कॉन्फिग. | omnibus/cookbooks/firezone/attributes/default.rb पहा |
डीफॉल्ट['फायरझोन']['टेलिमेट्री']['सक्षम'] | अनामित उत्पादन टेलीमेट्री सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['connectivity_checks']['enabled'] | फायरझोन कनेक्टिव्हिटी तपासणी सेवा सक्षम किंवा अक्षम करा. | खरे |
डीफॉल्ट['firezone']['connectivity_checks']['interval'] | कनेक्टिव्हिटी तपासण्यांमधील अंतर सेकंदात. | 3_600 |
________________________________________________________________
येथे तुम्हाला विशिष्ट फायरझोन स्थापनेशी संबंधित फाइल्स आणि निर्देशिकांची सूची मिळेल. तुमच्या कॉन्फिगरेशन फाइलमधील बदलांवर अवलंबून हे बदलू शकतात.
मार्ग | वर्णन |
/var/opt/firezone | फायरझोन बंडल केलेल्या सेवांसाठी डेटा आणि व्युत्पन्न कॉन्फिगरेशन असलेली शीर्ष-स्तरीय निर्देशिका. |
/opt/firezone | फायरझोनला आवश्यक बिल्ट लायब्ररी, बायनरी आणि रनटाइम फाइल्स असलेली टॉप-लेव्हल डिरेक्टरी. |
/usr/bin/firezone-ctl | तुमची फायरझोन स्थापना व्यवस्थापित करण्यासाठी firezone-ctl उपयुक्तता. |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runvdir सुपरवायझर प्रक्रिया सुरू करण्यासाठी systemd युनिट फाइल. |
/etc/firezone | फायरझोन कॉन्फिगरेशन फाइल्स. |
__________________________________________________________
हे पृष्ठ डॉक्समध्ये रिक्त होते
_____________________________________________________________
खालील nftables फायरवॉल टेम्प्लेटचा वापर फायरझोनवर चालणारा सर्व्हर सुरक्षित करण्यासाठी केला जाऊ शकतो. टेम्पलेट काही गृहितक करते; तुमच्या वापराच्या बाबतीत तुम्हाला नियम समायोजित करावे लागतील:
फायरझोन वेब इंटरफेसमध्ये कॉन्फिगर केलेल्या गंतव्यस्थानांवरील रहदारीला परवानगी देण्यासाठी/नाकारण्यासाठी आणि क्लायंट रहदारीसाठी आउटबाउंड NAT हाताळण्यासाठी स्वतःचे nftables नियम कॉन्फिगर करते.
आधीपासून चालू असलेल्या सर्व्हरवर (बूटच्या वेळी नाही) खालील फायरवॉल टेम्पलेट लागू केल्याने फायरझोन नियम साफ केले जातील. याचा सुरक्षिततेवर परिणाम होऊ शकतो.
यावर काम करण्यासाठी फिनिक्स सेवा रीस्टार्ट करा:
firezone-ctl फिनिक्स रीस्टार्ट करा
#!/usr/sbin/nft -f
## सर्व विद्यमान नियम साफ/फ्लश करा
फ्लश नियम
################################ व्हेरिएबल्स ########## ###############
## इंटरनेट/WAN इंटरफेस नाव
DEV_WAN = eth0 परिभाषित करा
## वायरगार्ड इंटरफेस नाव
DEV_WIREGUARD = wg-फायरझोन परिभाषित करा
## वायरगार्ड ऐकण्याचे पोर्ट
WIREGUARD_PORT = परिभाषित करा 51820
############################# व्हेरिएबल्स एंड ############### ############
# मुख्य इनेट फॅमिली फिल्टरिंग टेबल
टेबल inet फिल्टर {
# अग्रेषित रहदारीसाठी नियम
# ही साखळी फायरझोन फॉरवर्ड चेनच्या आधी प्रक्रिया केली जाते
साखळी पुढे {
फिल्टर हुक फॉरवर्ड प्रायॉरिटी फिल्टर टाइप करा - 5; धोरण स्वीकारा
}
# इनपुट रहदारीचे नियम
साखळी इनपुट {
फिल्टर हुक इनपुट प्राधान्य फिल्टर टाइप करा; पॉलिसी ड्रॉप
## लूपबॅक इंटरफेसवर इनबाउंड रहदारीला परवानगी द्या
iif lo \
स्वीकारा \
टिप्पणी "लूपबॅक इंटरफेसमधून सर्व रहदारीला परवानगी द्या"
## स्थापित आणि संबंधित कनेक्शनची परवानगी
ct राज्य स्थापन, संबंधित \
स्वीकारा \
टिप्पणी "स्थापित/संबंधित कनेक्शनला परवानगी द्या"
## इनबाउंड वायरगार्ड रहदारीला परवानगी द्या
iif $DEV_WAN udp dport $WIREGUARD_PORT \
काउंटर \
स्वीकारा \
टिप्पणी "इनबाउंड वायरगार्ड रहदारीला परवानगी द्या"
## नवीन TCP नॉन-SYN पॅकेट लॉग आणि ड्रॉप करा
tcp ध्वज != syn ct राज्य नवीन \
मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \
लॉग उपसर्ग "इन - नवीन !SYN: " \
टिप्पणी "SYN TCP ध्वज सेट नसलेल्या नवीन कनेक्शनसाठी रेट मर्यादा लॉगिंग"
tcp ध्वज != syn ct राज्य नवीन \
काउंटर \
थेंब \
टिप्पणी "SYN TCP ध्वज संच नसलेली नवीन कनेक्शन ड्रॉप करा"
## अवैध फिन/सिन फ्लॅग सेटसह TCP पॅकेट लॉग आणि ड्रॉप करा
tcp ध्वज आणि (fin|syn) == (fin|syn) \
मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \
लॉग उपसर्ग "IN - TCP FIN|SIN: " \
टिप्पणी "अवैध फिन/सिन फ्लॅग सेटसह TCP पॅकेटसाठी रेट मर्यादा लॉगिंग"
tcp ध्वज आणि (fin|syn) == (fin|syn) \
काउंटर \
थेंब \
टिप्पणी "अवैध फिन/सिन फ्लॅग सेटसह टीसीपी पॅकेट्स टाका"
## अवैध सिंक/पहिला ध्वज संच असलेले TCP पॅकेट लॉग आणि ड्रॉप करा
tcp ध्वज आणि (syn|rst) == (syn|rst) \
मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \
लॉग उपसर्ग "इन - TCP SYN|RST: " \
टिप्पणी "अवैध syn/पहिला ध्वज संच असलेल्या TCP पॅकेटसाठी रेट मर्यादा लॉगिंग"
tcp ध्वज आणि (syn|rst) == (syn|rst) \
काउंटर \
थेंब \
टिप्पणी "अवैध सिंक/पहिला ध्वज संच असलेली TCP पॅकेट्स ड्रॉप करा"
## अवैध TCP ध्वज लॉग आणि ड्रॉप करा
tcp ध्वज आणि (fin|syn|rst|psh|ack|urg) < (fin) \
मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \
लॉग उपसर्ग "इन - फिन:" \
टिप्पणी "अवैध TCP ध्वजांसाठी रेट लिमिट लॉगिंग (fin|syn|rst|psh|ack|urg) < (fin)"
tcp ध्वज आणि (fin|syn|rst|psh|ack|urg) < (fin) \
काउंटर \
थेंब \
टिप्पणी “ध्वजांसह टीसीपी पॅकेट्स ड्रॉप करा (फिन|syn|rst|psh|ack|urg) < (फिन)”
## अवैध TCP ध्वज लॉग आणि ड्रॉप करा
tcp ध्वज आणि (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \
लॉग उपसर्ग "इन - फिन|पीएसएच|यूआरजी:" \
टिप्पणी "अवैध TCP ध्वजांसाठी रेट लिमिट लॉगिंग (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp ध्वज आणि (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
काउंटर \
थेंब \
टिप्पणी “ध्वजांसह टीसीपी पॅकेट टाका (फिन|syn|rst|psh|ack|urg) == (fin|psh|urg)”
## अवैध कनेक्शन स्थितीसह रहदारी कमी करा
ct स्थिती अवैध \
मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \
लॉग फ्लॅग सर्व उपसर्ग "IN - अवैध: " \
टिप्पणी "अवैध कनेक्शन स्थितीसह रहदारीसाठी रेट मर्यादा लॉगिंग"
ct स्थिती अवैध \
काउंटर \
थेंब \
टिप्पणी "अवैध कनेक्शन स्थितीसह रहदारी कमी करा"
## IPv4 पिंग/पिंग प्रतिसादांना परवानगी द्या परंतु दर मर्यादा 2000 PPS पर्यंत
ip प्रोटोकॉल icmp icmp प्रकार { echo-reply, echo-request } \
मर्यादा दर 2000/सेकंद \
काउंटर \
स्वीकारा \
टिप्पणी "परमिट इनबाउंड IPv4 इको (पिंग) 2000 PPS पर्यंत मर्यादित"
## इतर सर्व इनबाउंड IPv4 ICMP ला परवानगी द्या
ip प्रोटोकॉल icmp \
काउंटर \
स्वीकारा \
टिप्पणी “इतर सर्व IPv4 ICMP ला परवानगी द्या”
## IPv6 पिंग/पिंग प्रतिसादांना परवानगी द्या परंतु दर मर्यादा 2000 PPS पर्यंत
icmpv6 प्रकार { echo-reply, echo-request } \
मर्यादा दर 2000/सेकंद \
काउंटर \
स्वीकारा \
टिप्पणी "परमिट इनबाउंड IPv6 इको (पिंग) 2000 PPS पर्यंत मर्यादित"
## इतर सर्व इनबाउंड IPv6 ICMP ला परवानगी द्या
मेटा l4proto { icmpv6 } \
काउंटर \
स्वीकारा \
टिप्पणी “इतर सर्व IPv6 ICMP ला परवानगी द्या”
## इनबाउंड ट्रेसराउट UDP पोर्टला परवानगी द्या परंतु 500 PPS पर्यंत मर्यादित करा
udp dport 33434-33524\
मर्यादा दर 500/सेकंद \
काउंटर \
स्वीकारा \
टिप्पणी "परमिट इनबाउंड UDP ट्रेसराउट 500 PPS पर्यंत मर्यादित"
## इनबाउंड SSH ला परवानगी द्या
tcp dport एसएसएच ct राज्य नवीन \
काउंटर \
स्वीकारा \
टिप्पणी "इनबाउंड SSH कनेक्शनला परवानगी द्या"
## इनबाउंड HTTP आणि HTTPS ला परवानगी द्या
tcp dport { http, https } ct नवीन स्थिती \
काउंटर \
स्वीकारा \
टिप्पणी "इनबाउंड HTTP आणि HTTPS कनेक्शनला परवानगी द्या"
## कोणतीही न जुळणारी रहदारी लॉग करा परंतु कमाल 60 मेसेज/मिनिट लॉगिंगची मर्यादा
## डीफॉल्ट धोरण न जुळणार्या रहदारीवर लागू केले जाईल
मर्यादा दर 60/मिनिट फुटणे 100 पॅकेट्स \
लॉग उपसर्ग "इन - ड्रॉप: " \
टिप्पणी “कोणतीही न जुळणारी रहदारी लॉग करा”
## न जुळणारी रहदारी मोजा
काउंटर \
टिप्पणी "कोणत्याही न जुळणार्या रहदारीची गणना करा"
}
# आउटपुट रहदारीसाठी नियम
साखळी आउटपुट {
फिल्टर हुक आउटपुट प्राधान्य फिल्टर टाइप करा; पॉलिसी ड्रॉप
## लूपबॅक इंटरफेसवर आउटबाउंड रहदारीला परवानगी द्या
oif lo \
स्वीकारा \
टिप्पणी "सर्व रहदारीला लूपबॅक इंटरफेसवर परवानगी द्या"
## स्थापित आणि संबंधित कनेक्शनची परवानगी
ct राज्य स्थापन, संबंधित \
काउंटर \
स्वीकारा \
टिप्पणी "स्थापित/संबंधित कनेक्शनला परवानगी द्या"
## खराब स्थितीसह कनेक्शन सोडण्यापूर्वी आउटबाउंड वायरगार्ड रहदारीला परवानगी द्या
oif $DEV_WAN udp स्पोर्ट $WIREGUARD_PORT \
काउंटर \
स्वीकारा \
टिप्पणी “वायरगार्ड आउटबाउंड रहदारीला परवानगी द्या”
## अवैध कनेक्शन स्थितीसह रहदारी कमी करा
ct स्थिती अवैध \
मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \
लॉग फ्लॅग सर्व उपसर्ग "बाहेर - अवैध: " \
टिप्पणी "अवैध कनेक्शन स्थितीसह रहदारीसाठी रेट मर्यादा लॉगिंग"
ct स्थिती अवैध \
काउंटर \
थेंब \
टिप्पणी "अवैध कनेक्शन स्थितीसह रहदारी कमी करा"
## इतर सर्व आउटबाउंड IPv4 ICMP ला परवानगी द्या
ip प्रोटोकॉल icmp \
काउंटर \
स्वीकारा \
टिप्पणी “सर्व IPv4 ICMP प्रकारांना परवानगी द्या”
## इतर सर्व आउटबाउंड IPv6 ICMP ला परवानगी द्या
मेटा l4proto { icmpv6 } \
काउंटर \
स्वीकारा \
टिप्पणी “सर्व IPv6 ICMP प्रकारांना परवानगी द्या”
## आउटबाउंड ट्रेसराउट UDP पोर्टला परवानगी द्या परंतु 500 PPS पर्यंत मर्यादित करा
udp dport 33434-33524\
मर्यादा दर 500/सेकंद \
काउंटर \
स्वीकारा \
टिप्पणी "परमिट आउटबाउंड UDP ट्रेसराउट 500 PPS पर्यंत मर्यादित"
## आउटबाउंड HTTP आणि HTTPS कनेक्शनला परवानगी द्या
tcp dport { http, https } ct नवीन स्थिती \
काउंटर \
स्वीकारा \
टिप्पणी "आउटबाउंड HTTP आणि HTTPS कनेक्शनला परवानगी द्या"
## आउटबाउंड SMTP सबमिशनला परवानगी द्या
tcp dport सबमिशन सीटी राज्य नवीन \
काउंटर \
स्वीकारा \
टिप्पणी “आउटबाउंड SMTP सबमिशनला परवानगी द्या”
## आउटबाउंड DNS विनंत्यांना परवानगी द्या
udp dport 53 \
काउंटर \
स्वीकारा \
टिप्पणी "आउटबाउंड UDP DNS विनंत्यांना परवानगी द्या"
tcp dport 53 \
काउंटर \
स्वीकारा \
टिप्पणी "आउटबाउंड TCP DNS विनंत्यांना परवानगी द्या"
## आउटबाउंड NTP विनंत्यांना परवानगी द्या
udp dport 123 \
काउंटर \
स्वीकारा \
टिप्पणी "बाहेर जाणाऱ्या NTP विनंतींना परवानगी द्या"
## कोणतीही न जुळणारी रहदारी लॉग करा परंतु कमाल 60 मेसेज/मिनिट लॉगिंगची मर्यादा
## डीफॉल्ट धोरण न जुळणार्या रहदारीवर लागू केले जाईल
मर्यादा दर 60/मिनिट फुटणे 100 पॅकेट्स \
लॉग उपसर्ग "बाहेर - ड्रॉप: " \
टिप्पणी “कोणतीही न जुळणारी रहदारी लॉग करा”
## न जुळणारी रहदारी मोजा
काउंटर \
टिप्पणी "कोणत्याही न जुळणार्या रहदारीची गणना करा"
}
}
# मुख्य NAT फिल्टरिंग टेबल
टेबल inet nat {
# NAT ट्रॅफिक प्री-राउटिंगसाठी नियम
चेन प्रीरूटिंग {
nat हुक prerouting priority dstnat टाइप करा; धोरण स्वीकारा
}
# NAT ट्रॅफिक पोस्ट-राउटिंगसाठी नियम
# या सारणीवर फायरझोन पोस्ट-राउटिंग साखळीच्या आधी प्रक्रिया केली जाते
चेन पोस्टरूटिंग {
नेट हुक पोस्टरूटिंग प्राधान्य srcnat टाइप करा - 5; धोरण स्वीकारा
}
}
फायरवॉल चालू असलेल्या लिनक्स वितरणासाठी संबंधित ठिकाणी संग्रहित केले पाहिजे. डेबियन/उबंटूसाठी हे /etc/nftables.conf आहे आणि RHEL साठी हे /etc/sysconfig/nftables.conf आहे.
nftables.service ला बूट सुरू करण्यासाठी कॉन्फिगर करणे आवश्यक आहे (आधीच नसल्यास) सेट:
systemctl nftables.service सक्षम करा
फायरवॉल टेम्प्लेटमध्ये कोणतेही बदल करत असल्यास, चेक कमांड चालवून वाक्यरचना प्रमाणित केली जाऊ शकते:
nft -f /path/to/nftables.conf -c
फायरवॉलची कार्ये अपेक्षेप्रमाणे प्रमाणित करण्याचे सुनिश्चित करा कारण सर्व्हरवर चालणाऱ्या रिलीझवर अवलंबून काही nftables वैशिष्ट्ये उपलब्ध नसतील.
_______________________________________________________________
हा दस्तऐवज तुमच्या सेल्फ-होस्ट केलेल्या उदाहरणावरून गोळा केलेल्या टेलीमेट्री फायरझोनचे विहंगावलोकन सादर करतो आणि ते कसे अक्षम करावे.
फायरझोन अवलंबून टेलीमेट्रीवर आमच्या रोडमॅपला प्राधान्य देण्यासाठी आणि फायरझोन प्रत्येकासाठी अधिक चांगले बनवण्यासाठी आमच्याकडे असलेल्या अभियांत्रिकी संसाधनांना ऑप्टिमाइझ करण्यासाठी.
आम्ही संकलित करत असलेल्या टेलीमेट्रीचा उद्देश खालील प्रश्नांची उत्तरे देणे आहे:
फायरझोनमध्ये तीन मुख्य ठिकाणे आहेत जिथे टेलीमेट्री गोळा केली जाते:
या तीन संदर्भांपैकी प्रत्येकामध्ये, आम्ही वरील विभागातील प्रश्नांची उत्तरे देण्यासाठी आवश्यक असलेला किमान डेटा कॅप्चर करतो.
तुम्ही उत्पादन अद्यतनांसाठी स्पष्टपणे निवड केली तरच प्रशासन ईमेल संकलित केले जातात. अन्यथा, वैयक्तिकरित्या ओळखण्यायोग्य माहिती आहे नाही गोळा
फायरझोन खाजगी कुबर्नेट्स क्लस्टरमध्ये चालणाऱ्या पोस्टहॉगच्या स्वयं-होस्ट केलेल्या उदाहरणामध्ये टेलीमेट्री संचयित करते, केवळ फायरझोन टीमद्वारे प्रवेशयोग्य. येथे टेलीमेट्री इव्हेंटचे उदाहरण आहे जे तुमच्या फायरझोनच्या उदाहरणावरून आमच्या टेलीमेट्री सर्व्हरवर पाठवले जाते:
{
"आयडी": “0182272d-0b88-0000-d419-7b9a413713f1”,
"टाइमस्टॅम्प": “2022-07-22T18:30:39.748000+00:00”,
"घटना": "fz_http_started",
"स्पष्ट_आयडी": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"गुणधर्म":
"$geoip_city_name": "अॅशबर्न",
"$geoip_continent_code": "NA",
"$geoip_continent_name": "उत्तर अमेरीका",
"$geoip_country_code": "यूएस",
"$geoip_country_name": "संयुक्त राष्ट्र",
"$geoip_latitude": 39.0469,
"$geoip_longitude": -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "व्हर्जिनिया",
"$geoip_time_zone": "अमेरिका/न्यूयॉर्क",
"$ip": "52.200.241.107",
"$plugins_deferred": [],
"$plugins_failed": [],
"$plugins_succeeded": [
"GeoIP (3)"
],
"स्पष्ट_आयडी": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": लिनक्स ५.१३.०,
"आवृत्ती": "0.4.6"
},
"तत्वांची_साखळी": ""
}
सुचना
फायरझोन डेव्हलपमेंट टीम अवलंबून प्रत्येकासाठी फायरझोन अधिक चांगले बनवण्यासाठी उत्पादन विश्लेषणावर. टेलीमेट्री सक्षम करणे हे फायरझोनच्या विकासासाठी तुम्ही करू शकणारे सर्वात मौल्यवान योगदान आहे. ते म्हणाले, आम्ही समजतो की काही वापरकर्त्यांना उच्च गोपनीयता किंवा सुरक्षितता आवश्यकता आहे आणि ते टेलिमेट्री पूर्णपणे अक्षम करण्यास प्राधान्य देतात. ते तुम्ही असल्यास, वाचत रहा.
टेलिमेट्री बाय डीफॉल्ट सक्षम आहे. उत्पादन टेलीमेट्री पूर्णपणे अक्षम करण्यासाठी, खालील कॉन्फिगरेशन पर्याय /etc/firezone/firezone.rb मध्ये असत्य वर सेट करा आणि बदल उचलण्यासाठी sudo firezone-ctl reconfigure चालवा.
डिफॉल्ट['फायरझोन']['टेलिमेट्री']['सक्षम'] = खोटे
ते सर्व उत्पादन टेलिमेट्री पूर्णपणे अक्षम करेल.