फायरझोन फायरवॉल दस्तऐवजीकरणासह Hailbytes VPN

अनुक्रमणिका

प्रारंभ

फायरझोन GUI सह Hailbytes VPN तैनात करण्यासाठी चरण-दर-चरण सूचना येथे प्रदान केल्या आहेत. 

प्रशासक: सर्व्हर उदाहरण सेट करणे थेट या भागाशी संबंधित आहे.

वापरकर्ता मार्गदर्शक: उपयुक्त दस्तऐवज जे तुम्हाला फायरझोन कसे वापरायचे आणि विशिष्ट समस्यांचे निराकरण कसे करावे हे शिकवू शकतात. सर्व्हर यशस्वीरित्या तैनात केल्यानंतर, या विभागाचा संदर्भ घ्या.

सामान्य कॉन्फिगरेशनसाठी मार्गदर्शक

स्प्लिट टनेलिंग: केवळ विशिष्ट IP श्रेणींमध्ये रहदारी पाठवण्यासाठी VPN वापरा.

व्हाइटलिस्टिंग: व्हाइटलिस्टिंग वापरण्यासाठी VPN सर्व्हरचा स्थिर IP पत्ता सेट करा.

उलटे बोगदे: उलट बोगदे वापरून अनेक समवयस्कांमध्ये बोगदे तयार करा.

मदत घ्या

तुम्हाला Hailbytes VPN स्थापित करणे, सानुकूलित करणे किंवा वापरण्यात मदत हवी असल्यास आम्हाला तुमची मदत करण्यात आनंद होत आहे.

प्रमाणीकरण

वापरकर्ते डिव्‍हाइस कॉन्फिगरेशन फाइल तयार करण्‍या किंवा डाउनलोड करण्‍यापूर्वी, प्रमाणीकरणाची आवश्‍यकता असण्‍यासाठी फायरझोन कॉन्फिगर केले जाऊ शकते. वापरकर्त्यांना त्यांचे VPN कनेक्शन सक्रिय ठेवण्यासाठी वेळोवेळी पुन्हा-प्रमाणित करण्याची देखील आवश्यकता असू शकते.

फायरझोनची डीफॉल्ट लॉगिन पद्धत स्थानिक ईमेल आणि पासवर्ड असली तरी, ती कोणत्याही प्रमाणित OpenID Connect (OIDC) ओळख प्रदात्याशी समाकलित केली जाऊ शकते. वापरकर्ते आता त्यांचे Okta, Google, Azure AD किंवा खाजगी ओळख प्रदाता क्रेडेन्शियल्स वापरून फायरझोनमध्ये लॉग इन करण्यास सक्षम आहेत.

 

जेनेरिक OIDC प्रदाता समाकलित करा

OIDC प्रदाता वापरून SSO ला परवानगी देण्यासाठी फायरझोनला आवश्यक असलेले कॉन्फिगरेशन पॅरामीटर्स खालील उदाहरणात दाखवले आहेत. /etc/firezone/firezone.rb वर, तुम्हाला कॉन्फिगरेशन फाइल सापडेल. ॲप्लिकेशन अपडेट करण्यासाठी आणि बदल प्रभावी करण्यासाठी firezone-ctl reconfigure आणि firezone-ctl रीस्टार्ट चालवा.

 

# हे SSO ओळख प्रदाता म्हणून Google आणि Okta वापरण्याचे उदाहरण आहे.

# एकाच फायरझोन उदाहरणामध्ये एकाधिक OIDC कॉन्फिग्स जोडल्या जाऊ शकतात.

 

प्रयत्न करताना काही त्रुटी आढळल्यास फायरझोन वापरकर्त्याचे व्हीपीएन अक्षम करू शकते

# त्यांचे प्रवेश_टोकन रिफ्रेश करण्यासाठी. हे Google, Okta आणि साठी कार्य करण्यासाठी सत्यापित केले आहे

# Azure SSO आणि वापरकर्त्याचे VPN काढून टाकल्यास ते आपोआप डिस्कनेक्ट करण्यासाठी वापरले जाते

# OIDC प्रदात्याकडून. तुमचा OIDC प्रदाता असल्यास हे अक्षम ठेवा

# मध्ये अ‍ॅक्सेस टोकन रिफ्रेश करताना समस्या आहेत कारण ते अनपेक्षितपणे व्यत्यय आणू शकतात

# वापरकर्त्याचे VPN सत्र.

डीफॉल्ट['firezone']['authentication']['disable_vpn_on_oidc_error'] = असत्य

 

डीफॉल्ट['firezone']['authentication']['oidc'] = {

  गुगल: {

    discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,

    client_id: “ ",

    client_secret: “ ",

    redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,

    प्रतिसाद_प्रकार: "कोड",

    स्कोप: "ओपनिड ईमेल प्रोफाइल",

    लेबल: “Google”

  },

  okta: {

    discovery_document_uri: “https:// /.well-known/openid-configuration",

    client_id: “ ",

    client_secret: “ ",

    redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,

    प्रतिसाद_प्रकार: "कोड",

    स्कोप: "ओपनिड ईमेल प्रोफाइल ऑफलाइन_एक्सेस",

    लेबल: "ओक्ता"

  }

}



एकत्रीकरणासाठी खालील कॉन्फिगरेशन सेटिंग्ज आवश्यक आहेत:

  1. शोध_दस्तऐवज_उरी: द OpenID Connect प्रदाता कॉन्फिगरेशन URI जे या OIDC प्रदात्याला त्यानंतरच्या विनंत्या तयार करण्यासाठी वापरलेले JSON दस्तऐवज परत करते.
  2. client_id: अर्जाचा क्लायंट आयडी.
  3. client_secret: अर्जाचे क्लायंट रहस्य.
  4. redirect_uri: प्रमाणीकरणानंतर कुठे पुनर्निर्देशित करायचे ते OIDC प्रदात्याला निर्देश देते. हा तुमचा फायरझोन EXTERNAL_URL + /auth/oidc/ असावा /callback/ (उदा. https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
  5. प्रतिसाद_प्रकार: कोडवर सेट करा.
  6. व्याप्ती: OIDC स्कोप तुमच्या OIDC प्रदात्याकडून मिळवण्यासाठी. हे प्रदात्यावर अवलंबून openid ईमेल प्रोफाइल किंवा openid ईमेल प्रोफाइल offline_access वर सेट केले जावे.
  7. लेबल: बटण लेबल मजकूर जो तुमच्या फायरझोन लॉगिन स्क्रीनवर दिसतो.

सुंदर URL

प्रत्येक OIDC प्रदात्यासाठी कॉन्फिगर केलेल्या प्रदात्याच्या साइन-इन URL वर पुनर्निर्देशित करण्यासाठी संबंधित सुंदर URL तयार केली जाते. वरील OIDC कॉन्फिगरेशनच्या उदाहरणासाठी, URL आहेत:

  • https://instance-id.yourfirezone.com/auth/oidc/google
  • https://instance-id.yourfirezone.com/auth/oidc/okta

लोकप्रिय ओळख प्रदात्यांसह फायरझोन सेटअपसाठी सूचना

आमच्याकडे दस्तऐवजीकरण प्रदाते आहेत:

  • Google
  • ओक्टा
  • अॅझूर ऍक्टिव्ह डायरेक्टरी
  • वनलॉगिन
  • स्थानिक प्रमाणीकरण

 

तुमच्या ओळख प्रदात्याकडे जेनेरिक OIDC कनेक्टर असल्यास आणि वर सूचीबद्ध केलेले नसल्यास, कृपया आवश्यक कॉन्फिगरेशन सेटिंग्ज कशी मिळवायची याच्या माहितीसाठी त्यांच्या दस्तऐवजीकरणावर जा.

नियमित री-ऑथेंटिकेशन ठेवा

सेटिंग्ज/सुरक्षा अंतर्गत सेटिंग नियतकालिक पुन्हा-प्रमाणीकरण आवश्यक करण्यासाठी बदलली जाऊ शकते. वापरकर्त्यांनी त्यांचे VPN सत्र सुरू ठेवण्यासाठी नियमितपणे फायरझोनमध्ये प्रवेश करण्याची आवश्यकता लागू करण्यासाठी याचा वापर केला जाऊ शकतो.

सत्राची लांबी एक तास आणि नव्वद दिवसांच्या दरम्यान कॉन्फिगर केली जाऊ शकते. हे कधीही नाही वर सेट करून, तुम्ही कधीही VPN सत्रे सक्षम करू शकता. हे प्रमाण आहे.

पुन्हा प्रमाणीकरण

वापरकर्त्याने त्यांचे VPN सत्र संपुष्टात आणणे आवश्यक आहे आणि कालबाह्य झालेले VPN सत्र (उपयोजन दरम्यान निर्दिष्ट केलेली URL) पुन्हा प्रमाणित करण्यासाठी फायरझोन पोर्टलवर लॉग इन करणे आवश्यक आहे.

येथे आढळलेल्या अचूक क्लायंट सूचनांचे अनुसरण करून तुम्ही तुमचे सत्र पुन्हा-प्रमाणित करू शकता.

 

VPN कनेक्शनची स्थिती

वापरकर्ता पृष्ठाचा VPN कनेक्शन सारणी स्तंभ वापरकर्त्याची कनेक्शन स्थिती प्रदर्शित करतो. ही कनेक्शन स्थिती आहेत:

सक्षम - कनेक्शन सक्षम केले आहे.

अक्षम - प्रशासक किंवा OIDC रिफ्रेश अयशस्वी द्वारे कनेक्शन अक्षम केले आहे.

कालबाह्य - प्रमाणीकरण कालबाह्य झाल्यामुळे किंवा वापरकर्त्याने प्रथमच साइन इन न केल्यामुळे कनेक्शन अक्षम केले आहे.

Google

सामान्य OIDC कनेक्टरद्वारे, Firezone Google Workspace आणि Cloud Identity सह सिंगल साइन-ऑन (SSO) सक्षम करते. हे मार्गदर्शक खाली सूचीबद्ध केलेले कॉन्फिगरेशन पॅरामीटर्स कसे मिळवायचे ते दर्शवेल, जे एकत्रीकरणासाठी आवश्यक आहेत:

  1. शोध_दस्तऐवज_उरी: द OpenID Connect प्रदाता कॉन्फिगरेशन URI जे या OIDC प्रदात्याला त्यानंतरच्या विनंत्या तयार करण्यासाठी वापरलेले JSON दस्तऐवज परत करते.
  2. client_id: अर्जाचा क्लायंट आयडी.
  3. client_secret: अर्जाचे क्लायंट रहस्य.
  4. redirect_uri: प्रमाणीकरणानंतर कुठे पुनर्निर्देशित करायचे ते OIDC प्रदात्याला निर्देश देते. हा तुमचा फायरझोन EXTERNAL_URL + /auth/oidc/ असावा /callback/ (उदा. https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
  5. प्रतिसाद_प्रकार: कोडवर सेट करा.
  6. व्याप्ती: OIDC स्कोप तुमच्या OIDC प्रदात्याकडून मिळवण्यासाठी. परत केलेल्या दाव्यांमध्ये वापरकर्त्याच्या ईमेलसह फायरझोन प्रदान करण्यासाठी हे openid ईमेल प्रोफाइलवर सेट केले जावे.
  7. लेबल: बटण लेबल मजकूर जो तुमच्या फायरझोन लॉगिन स्क्रीनवर दिसतो.

कॉन्फिगरेशन सेटिंग्ज मिळवा

1. OAuth कॉन्फिग स्क्रीन

तुम्ही नवीन OAuth क्लायंट आयडी पहिल्यांदाच तयार करत असल्यास, तुम्हाला संमती स्क्रीन कॉन्फिगर करण्यास सांगितले जाईल.

*वापरकर्ता प्रकारासाठी अंतर्गत निवडा. हे सुनिश्चित करते की तुमच्या Google Workspace संस्थेमधील वापरकर्त्यांची फक्त खातीच डिव्हाइस कॉन्फिग तयार करू शकतात. जोपर्यंत तुम्ही वैध Google खाते असलेल्या कोणालाही डिव्हाइस कॉन्फिगरेशन तयार करण्यास सक्षम करू इच्छित नाही तोपर्यंत बाह्य निवडू नका.

 

अॅप माहिती स्क्रीनवर:

  1. अॅप नाव: फायरझोन
  2. अॅप लोगो: फायरझोन लोगो (लिंक म्हणून जतन करा).
  3. ऍप्लिकेशन होम पेज: तुमच्या फायरझोन उदाहरणाची URL.
  4. अधिकृत डोमेन: तुमच्या फायरझोन उदाहरणाचे उच्च स्तरीय डोमेन.

 

 

2. OAuth क्लायंट आयडी तयार करा

हा विभाग Google च्या स्वतःच्या कागदपत्रांवर आधारित आहे OAuth 2.0 सेट करत आहे.

Google Cloud Console ला भेट द्या क्रेडेन्शियल पृष्ठ पृष्ठ, + क्रेडेंशियल तयार करा क्लिक करा आणि OAuth क्लायंट आयडी निवडा.

OAuth क्लायंट आयडी निर्मिती स्क्रीनवर:

  1. अनुप्रयोग प्रकार वेब अनुप्रयोगावर सेट करा
  2. तुमचा Firezone EXTERNAL_URL + /auth/oidc/google/callback/ (उदा. https://instance-id.yourfirezone.com/auth/oidc/google/callback/) अधिकृत पुनर्निर्देशन URI मध्ये एंट्री म्हणून जोडा.

 

OAuth क्लायंट आयडी तयार केल्यानंतर, तुम्हाला क्लायंट आयडी आणि क्लायंट सीक्रेट दिले जाईल. हे पुढील चरणात पुनर्निर्देशित URI सह एकत्र वापरले जातील.

फायरझोन एकत्रीकरण

संपादित करा /etc/firezone/firezone.rb खालील पर्याय समाविष्ट करण्यासाठी:

 

# SSO ओळख प्रदाता म्हणून Google वापरणे

डीफॉल्ट['firezone']['authentication']['oidc'] = {

  गुगल: {

    discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,

    client_id: “ ",

    client_secret: “ ",

    redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,

    प्रतिसाद_प्रकार: "कोड",

    स्कोप: "ओपनिड ईमेल प्रोफाइल",

    लेबल: “Google”

  }

}

 

अनुप्रयोग अद्यतनित करण्यासाठी फायरझोन-सीटीएल रीकॉन्फिगर आणि फायरझोन-सीटीएल रीस्टार्ट चालवा. तुम्हाला आता रूट फायरझोन URL वर Google सह साइन इन बटण दिसेल.

ओक्टा

फायरझोन Okta सह सिंगल साइन-ऑन (SSO) सुलभ करण्यासाठी जेनेरिक OIDC कनेक्टर वापरते. हे ट्यूटोरियल तुम्हाला खाली सूचीबद्ध केलेले कॉन्फिगरेशन पॅरामीटर्स कसे मिळवायचे ते दर्शवेल, जे एकत्रीकरणासाठी आवश्यक आहेत:

  1. शोध_दस्तऐवज_उरी: द OpenID Connect प्रदाता कॉन्फिगरेशन URI जे या OIDC प्रदात्याला त्यानंतरच्या विनंत्या तयार करण्यासाठी वापरलेले JSON दस्तऐवज परत करते.
  2. client_id: अर्जाचा क्लायंट आयडी.
  3. client_secret: अर्जाचे क्लायंट रहस्य.
  4. redirect_uri: प्रमाणीकरणानंतर कुठे पुनर्निर्देशित करायचे ते OIDC प्रदात्याला निर्देश देते. हा तुमचा फायरझोन EXTERNAL_URL + /auth/oidc/ असावा /callback/ (उदा. https://instance-id.yourfirezone.com/auth/oidc/okta/callback/).
  5. प्रतिसाद_प्रकार: कोडवर सेट करा.
  6. व्याप्ती: OIDC स्कोप तुमच्या OIDC प्रदात्याकडून मिळवण्यासाठी. परत केलेल्या दाव्यांमध्ये वापरकर्त्याच्या ईमेलसह फायरझोन प्रदान करण्यासाठी हे openid ईमेल प्रोफाइल offline_access वर सेट केले जावे.
  7. लेबल: बटण लेबल मजकूर जो तुमच्या फायरझोन लॉगिन स्क्रीनवर दिसतो.

 

ओक्टा अॅप समाकलित करा

मार्गदर्शकाचा हा विभाग यावर आधारित आहे ओक्ताचे दस्तऐवजीकरण.

Admin Console मध्ये, Applications > Applications वर जा आणि Create App Integration वर क्लिक करा. साइन-इन पद्धत OICD वर सेट करा – OpenID Connect आणि Application type to Web application.

या सेटिंग्ज कॉन्फिगर करा:

  1. अॅप नाव: फायरझोन
  2. अॅप लोगो: फायरझोन लोगो (लिंक म्हणून जतन करा).
  3. अनुदान प्रकार: रिफ्रेश टोकन बॉक्स तपासा. हे ओळख प्रदात्यासह फायरझोन समक्रमित करते आणि वापरकर्ता काढून टाकल्यानंतर VPN प्रवेश समाप्त केला जातो याची खात्री करते.
  4. साइन-इन रीडायरेक्ट URI: तुमचा Firezone EXTERNAL_URL + /auth/oidc/okta/callback/ (उदा. https://instance-id.yourfirezone.com/auth/oidc/okta/callback/) अधिकृत पुनर्निर्देशन URI मध्ये प्रवेश म्हणून जोडा .
  5. असाइनमेंट: तुम्ही तुमच्या फायरझोन उदाहरणामध्ये प्रवेश देऊ इच्छित असलेल्या गटांना मर्यादित करा.

सेटिंग्ज सेव्ह झाल्यावर, तुम्हाला क्लायंट आयडी, क्लायंट सीक्रेट आणि ओक्टा डोमेन दिले जातील. फायरझोन कॉन्फिगर करण्यासाठी ही 3 मूल्ये पायरी 2 मध्ये वापरली जातील.

फायरझोन समाकलित करा

संपादित करा /etc/firezone/firezone.rb खालील पर्याय समाविष्ट करण्यासाठी. आपले शोध_दस्तऐवज_url असेल /.well-known/openid-configuration तुमच्या शेवटी जोडले okta_domain.

 

# SSO ओळख प्रदाता म्हणून Okta वापरणे

डीफॉल्ट['firezone']['authentication']['oidc'] = {

  okta: {

    discovery_document_uri: “https:// /.well-known/openid-configuration",

    client_id: “ ",

    client_secret: “ ",

    redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,

    प्रतिसाद_प्रकार: "कोड",

    स्कोप: "ओपनिड ईमेल प्रोफाइल ऑफलाइन_एक्सेस",

    लेबल: "ओक्ता"

  }

}

 

अनुप्रयोग अद्यतनित करण्यासाठी फायरझोन-सीटीएल रीकॉन्फिगर आणि फायरझोन-सीटीएल रीस्टार्ट चालवा. तुम्हाला आता रूट फायरझोन URL वर Okta बटणासह साइन इन दिसेल.

 

विशिष्ट वापरकर्त्यांसाठी प्रवेश प्रतिबंधित करा

फायरझोन अॅप ऍक्सेस करू शकणारे वापरकर्ते ओक्टा द्वारे प्रतिबंधित केले जाऊ शकतात. हे पूर्ण करण्यासाठी तुमच्या Okta Admin Console च्या Firezone App Integration च्या Assignments पेजवर जा.

अॅझूर ऍक्टिव्ह डायरेक्टरी

जेनेरिक OIDC कनेक्टरद्वारे, Firezone Azure Active Directory सह सिंगल साइन-ऑन (SSO) सक्षम करते. हे मॅन्युअल तुम्हाला खाली सूचीबद्ध केलेले कॉन्फिगरेशन पॅरामीटर्स कसे मिळवायचे ते दर्शवेल, जे एकत्रीकरणासाठी आवश्यक आहेत:

  1. शोध_दस्तऐवज_उरी: द OpenID Connect प्रदाता कॉन्फिगरेशन URI जे या OIDC प्रदात्याला त्यानंतरच्या विनंत्या तयार करण्यासाठी वापरलेले JSON दस्तऐवज परत करते.
  2. client_id: अर्जाचा क्लायंट आयडी.
  3. client_secret: अर्जाचे क्लायंट रहस्य.
  4. redirect_uri: प्रमाणीकरणानंतर कुठे पुनर्निर्देशित करायचे ते OIDC प्रदात्याला निर्देश देते. हा तुमचा फायरझोन EXTERNAL_URL + /auth/oidc/ असावा /callback/ (उदा. https://instance-id.yourfirezone.com/auth/oidc/azure/callback/).
  5. प्रतिसाद_प्रकार: कोडवर सेट करा.
  6. व्याप्ती: OIDC स्कोप तुमच्या OIDC प्रदात्याकडून मिळवण्यासाठी. परत केलेल्या दाव्यांमध्ये वापरकर्त्याच्या ईमेलसह फायरझोन प्रदान करण्यासाठी हे openid ईमेल प्रोफाइल offline_access वर सेट केले जावे.
  7. लेबल: बटण लेबल मजकूर जो तुमच्या फायरझोन लॉगिन स्क्रीनवर दिसतो.

कॉन्फिगरेशन सेटिंग्ज मिळवा

हे मार्गदर्शक वरून काढले आहे Azure Active Directory Docs.

 

Azure पोर्टलच्या Azure Active Directory पेजवर जा. मॅनेज मेनू पर्याय निवडा, नवीन नोंदणी निवडा, त्यानंतर खालील माहिती देऊन नोंदणी करा:

  1. नाव: फायरझोन
  2. समर्थित खाते प्रकार: (केवळ डीफॉल्ट निर्देशिका – सिंगल भाडेकरू)
  3. पुनर्निर्देशित URI: हा तुमचा फायरझोन EXTERNAL_URL + /auth/oidc/azure/callback/ असावा (उदा. https://instance-id.yourfirezone.com/auth/oidc/azure/callback/). तुम्ही ट्रेलिंग स्लॅश समाविष्ट केल्याची खात्री करा. हे redirect_uri मूल्य असेल.

 

नोंदणी केल्यानंतर, अर्जाचे तपशील दृश्य उघडा आणि कॉपी करा अर्ज (क्लायंट) आयडी. हे client_id मूल्य असेल. पुढे, पुनर्प्राप्त करण्यासाठी एंडपॉइंट मेनू उघडा OpenID Connect मेटाडेटा दस्तऐवज. हे शोध_दस्तऐवज_उरी मूल्य असेल.

 

व्यवस्थापित करा मेनू अंतर्गत प्रमाणपत्रे आणि रहस्ये पर्यायावर क्लिक करून नवीन क्लायंट रहस्य तयार करा. क्लायंटचे रहस्य कॉपी करा; क्लायंट गुप्त मूल्य हे असेल.

 

शेवटी, व्यवस्थापित करा मेनू अंतर्गत API परवानगी लिंक निवडा, क्लिक करा एक परवानगी जोडाआणि निवडा मायक्रोसॉफ्ट ग्राफ, जोडा ई-मेल, ओपनिड, ऑफलाइन_प्रवेश आणि प्रोफाइल आवश्यक परवानग्यांसाठी.

फायरझोन एकत्रीकरण

संपादित करा /etc/firezone/firezone.rb खालील पर्याय समाविष्ट करण्यासाठी:

 

# SSO ओळख प्रदाता म्हणून Azure सक्रिय निर्देशिका वापरणे

डीफॉल्ट['firezone']['authentication']['oidc'] = {

  आकाशी: {

    discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",

    client_id: “ ",

    client_secret: “ ",

    redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,

    प्रतिसाद_प्रकार: "कोड",

    स्कोप: "ओपनिड ईमेल प्रोफाइल ऑफलाइन_एक्सेस",

    लेबल: "अझुर"

  }

}

 

अनुप्रयोग अद्यतनित करण्यासाठी फायरझोन-सीटीएल रीकॉन्फिगर आणि फायरझोन-सीटीएल रीस्टार्ट चालवा. तुम्हाला आता रूट फायरझोन URL वर Azure बटणासह साइन इन दिसेल.

कसे करावे: काही सदस्यांना प्रवेश प्रतिबंधित करा

Azure AD प्रशासकांना तुमच्या कंपनीमधील वापरकर्त्यांच्या विशिष्ट गटासाठी अॅप प्रवेश मर्यादित करण्यास सक्षम करते. हे कसे करावे याबद्दल अधिक माहिती मायक्रोसॉफ्टच्या दस्तऐवजीकरणामध्ये आढळू शकते.

प्रशासन करा

  • कॉन्फिगर करा
  • स्थापना व्यवस्थापित करा
  • सुधारणा
  • समस्यानिवारण
  • सुरक्षा विचार
  • SQL क्वेरी चालवत आहे

कॉन्फिगर करा

शेफ ओम्निबसचा वापर फायरझोनद्वारे प्रकाशन पॅकेजिंग, प्रक्रिया पर्यवेक्षण, लॉग व्यवस्थापन आणि बरेच काही यासह कार्ये व्यवस्थापित करण्यासाठी केला जातो.

रुबी कोड प्राथमिक कॉन्फिगरेशन फाइल बनवते, जी /etc/firezone/firezone.rb वर स्थित आहे. या फाइलमध्ये बदल केल्यानंतर sudo firezone-ctl रीकॉन्फिगर रीस्टार्ट केल्याने शेफला बदल ओळखता येतात आणि ते सध्याच्या ऑपरेटिंग सिस्टीमवर लागू होतात.

कॉन्फिगरेशन व्हेरिएबल्स आणि त्यांच्या वर्णनांच्या संपूर्ण सूचीसाठी कॉन्फिगरेशन फाइल संदर्भ पहा.

स्थापना व्यवस्थापित करा

तुमची फायरझोन घटना याद्वारे व्यवस्थापित केली जाऊ शकते firezone-ctl कमांड, खाली दर्शविल्याप्रमाणे. बर्‍याच सबकमांडना सह उपसर्ग आवश्यक असतो सुडो.

 

root@demo:~# firezone-ctl

omnibus-ctl: कमांड (सबकमांड)

सामान्य आज्ञा:

  स्वच्छ करा

    *सर्व* फायरझोन डेटा हटवा आणि सुरवातीपासून सुरुवात करा.

  प्रशासक तयार करा किंवा रीसेट करा

    डीफॉल्टद्वारे निर्दिष्ट केलेल्या ईमेलसह प्रशासकासाठी पासवर्ड रीसेट करते['firezone']['admin_email'] किंवा ते ईमेल अस्तित्वात नसल्यास नवीन प्रशासक तयार करते.

  मदत

    हा मदत संदेश प्रिंट करा.

  कॉन्फिगरेशन

    अनुप्रयोग पुन्हा कॉन्फिगर करा.

  रीसेट-नेटवर्क

    nftables, WireGuard इंटरफेस आणि राउटिंग टेबल परत फायरझोन डीफॉल्टवर रीसेट करते.

  शो-कॉन्फिगरेशन

    कॉन्फिगरेशन दर्शवा जे reconfigure द्वारे व्युत्पन्न केले जाईल.

  फाडणे-नेटवर्क

    वायरगार्ड इंटरफेस आणि फायरझोन एनएफटेबल्स टेबल काढून टाकते.

  सक्ती-प्रमाणपत्र-नूतनीकरण

    प्रमाणपत्राची मुदत संपली नसली तरीही आता सक्तीने नूतनीकरण करा.

  स्टॉप-प्रमाणपत्र-नूतनीकरण

    प्रमाणपत्रांचे नूतनीकरण करणारे क्रोनजॉब काढून टाकते.

  विस्थापित

    सर्व प्रक्रिया नष्ट करा आणि प्रक्रिया पर्यवेक्षक विस्थापित करा (डेटा संरक्षित केला जाईल).

  आवृत्ती

    फायरझोनची वर्तमान आवृत्ती प्रदर्शित करा

सेवा व्यवस्थापन आदेश:

  डौलदार-मारणे

    एक सुंदर थांबण्याचा प्रयत्न करा, नंतर संपूर्ण प्रक्रिया गटाला SIGKILL करा.

  हुप

    सेवांना HUP पाठवा.

  int

    सेवांना INT पाठवा.

  ठार

    सेवांना मारून पाठवा.

  एकदा

    सेवा बंद असल्यास सुरू करा. ते थांबल्यास ते पुन्हा सुरू करू नका.

  पुन्हा सुरू करा

    सेवा चालू असल्यास बंद करा, नंतर त्या पुन्हा सुरू करा.

  सेवा-सूची

    सर्व सेवांची यादी करा (सक्षम सेवा * सह दिसतात.)

  प्रारंभ

    सेवा बंद असल्यास सुरू करा आणि त्या बंद पडल्यास पुन्हा सुरू करा.

  स्थिती

    सर्व सेवांची स्थिती दर्शवा.

  थांबवू

    सेवा थांबवा आणि त्या रीस्टार्ट करू नका.

  शेपटी

    सर्व सक्षम सेवांचे सेवा लॉग पहा.

  टर्म

    सेवांना TERM पाठवा.

  usr1

    सेवा USR1 पाठवा.

  usr2

    सेवा USR2 पाठवा.

सुधारणा

फायरझोन श्रेणीसुधारित करण्यापूर्वी सर्व VPN सत्रे समाप्त करणे आवश्यक आहे, जे वेब UI बंद करण्याचे देखील आवाहन करते. अपग्रेड दरम्यान काहीतरी चूक झाल्यास, आम्ही देखरेखीसाठी एक तास बाजूला ठेवण्याचा सल्ला देतो.

 

फायरझोन वर्धित करण्यासाठी, खालील कृती करा:

  1. एक-कमांड इंस्टॉल वापरून फायरझोन पॅकेज अपग्रेड करा: sudo -E bash -c “$(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh)”
  2. नवीन बदल उचलण्यासाठी firezone-ctl reconfigure चालवा.
  3. सेवा रीस्टार्ट करण्यासाठी firezone-ctl रीस्टार्ट चालवा.

काही समस्या उद्भवल्यास, कृपया आम्हाला कळवा समर्थन तिकीट सबमिट करणे.

Upgrade From =0.5.0

0.5.0 मध्ये काही ब्रेकिंग बदल आणि कॉन्फिगरेशन बदल आहेत ज्यांना संबोधित करणे आवश्यक आहे. खाली अधिक शोधा.

एकत्रित Nginx non_ssl_port (HTTP) विनंत्या काढल्या

Nginx यापुढे आवृत्ती 0.5.0 नुसार फोर्स SSL आणि नॉन-SSL पोर्ट पॅरामीटर्सना समर्थन देत नाही. फायरझोनला कार्य करण्यासाठी SSL आवश्यक असल्यामुळे, आम्ही डीफॉल्ट सेट करून Nginx सेवा बंडल काढून टाकण्याचा सल्ला देतो['firezone']['nginx']['enabled'] = false आणि त्याऐवजी तुमच्या रिव्हर्स प्रॉक्सीला पोर्ट 13000 वरील Phoenix अॅपवर निर्देशित करा (डीफॉल्टनुसार ).

ACME प्रोटोकॉल सपोर्ट

0.5.0 बंडल केलेल्या Nginx सेवेसह SSL प्रमाणपत्रांचे स्वयंचलितपणे नूतनीकरण करण्यासाठी ACME प्रोटोकॉल समर्थन सादर करते. सक्षम करण्यासाठी,

  • डीफॉल्ट['firezone']['external_url'] मध्ये वैध FQDN आहे जो तुमच्या सर्व्हरच्या सार्वजनिक IP पत्त्यावर निराकरण करतो याची खात्री करा.
  • पोर्ट 80/tcp पोहोचण्यायोग्य असल्याची खात्री करा
  • डीफॉल्टसह ACME प्रोटोकॉल समर्थन सक्षम करा['firezone']['ssl']['acme']['enabled'] = तुमच्या कॉन्फिगरेशन फाइलमध्ये खरे आहे.

आच्छादित Egress नियम गंतव्ये

फायरझोन ०.५.० मध्ये डुप्लिकेट गंतव्यस्थानांसह नियम जोडण्याची शक्यता नाहीशी झाली आहे. आमची स्थलांतरण स्क्रिप्ट 0.5.0 वर अपग्रेड करताना या परिस्थितींना आपोआप ओळखेल आणि फक्त तेच नियम ठेवेल ज्यांच्या गंतव्यस्थानात इतर नियम समाविष्ट आहेत. हे ठीक असल्यास तुम्हाला काही करण्याची गरज नाही.

अन्यथा, अपग्रेड करण्यापूर्वी, आम्ही या परिस्थितींपासून मुक्त होण्यासाठी तुमचे नियम बदलण्याचा सल्ला देतो.

Okta आणि Google SSO प्रीकॉन्फिगर करत आहे

Firezone 0.5.0 नवीन, अधिक लवचिक OIDC-आधारित कॉन्फिगरेशनच्या बाजूने जुन्या-शैलीतील Okta आणि Google SSO कॉन्फिगरेशनसाठी समर्थन काढून टाकते. 

तुमच्याकडे डीफॉल्ट['firezone']['authentication']['okta'] किंवा डीफॉल्ट['firezone']['authentication']['google'] की अंतर्गत कोणतेही कॉन्फिगरेशन असल्यास, तुम्हाला ते आमच्या OIDC वर स्थलांतरित करावे लागेल. -खालील मार्गदर्शक वापरून आधारित कॉन्फिगरेशन.

विद्यमान Google OAuth कॉन्फिगरेशन

/etc/firezone/firezone.rb येथे असलेल्या तुमच्या कॉन्फिगरेशन फाइलमधून जुन्या Google OAuth कॉन्फिगरेशन असलेल्या या ओळी काढून टाका

 

डीफॉल्ट['firezone']['authentication']['google']['enabled']

डीफॉल्ट['firezone']['authentication']['google']['client_id']

डीफॉल्ट['firezone']['authentication']['google']['client_secret']

डीफॉल्ट['firezone']['authentication']['google']['redirect_uri']

 

त्यानंतर, येथे प्रक्रियांचे अनुसरण करून Google ला OIDC प्रदाता म्हणून कॉन्फिगर करा.

(लिंक सूचना द्या)<<<<<<<<<<<<<<<<

 

विद्यमान Google OAuth कॉन्फिगर करा 

येथे असलेल्या तुमच्या कॉन्फिगरेशन फाइलमधून जुन्या Okta OAuth कॉन्फिगरेशन असलेल्या या ओळी काढून टाका /etc/firezone/firezone.rb

 

डीफॉल्ट['firezone']['authentication']['okta']['enabled']

डीफॉल्ट['firezone']['authentication']['okta']['client_id']

डीफॉल्ट['firezone']['authentication']['okta']['client_secret']

डीफॉल्ट['firezone']['authentication']['okta']['site']

 

त्यानंतर, येथे प्रक्रियांचे अनुसरण करून Okta ला OIDC प्रदाता म्हणून कॉन्फिगर करा.

0.3.x वरून >= 0.3.16 वर श्रेणीसुधारित करा

तुमच्या वर्तमान सेटअप आणि आवृत्तीवर अवलंबून, खालील दिशानिर्देशांचे पालन करा:

तुमच्याकडे आधीच OIDC एकत्रीकरण असल्यास:

काही OIDC प्रदात्यांसाठी, >= 0.3.16 वर श्रेणीसुधारित केल्याने ऑफलाइन प्रवेश व्याप्तीसाठी रीफ्रेश टोकन प्राप्त करणे आवश्यक आहे. असे केल्याने, ओळख प्रदात्यासह फायरझोन अपडेट होत असल्याची खात्री केली जाते आणि वापरकर्ता हटवल्यानंतर VPN कनेक्शन बंद केले जाते. फायरझोनच्या पूर्वीच्या पुनरावृत्तीमध्ये हे वैशिष्ट्य नव्हते. काही घटनांमध्ये, तुमच्या ओळख प्रदात्याकडून हटवलेले वापरकर्ते तरीही VPN शी कनेक्ट केलेले असू शकतात.

ऑफलाइन ऍक्सेस स्कोपला सपोर्ट करणाऱ्या OIDC प्रदात्यांसाठी तुमच्या OIDC कॉन्फिगरेशनच्या स्कोप पॅरामीटरमध्ये ऑफलाइन ऍक्सेस समाविष्ट करणे आवश्यक आहे. /etc/firezone/firezone.rb येथे असलेल्या फायरझोन कॉन्फिगरेशन फाइलमध्ये बदल लागू करण्यासाठी Firezone-ctl रीकॉन्फिगर कार्यान्वित करणे आवश्यक आहे.

तुमच्या OIDC प्रदात्याद्वारे प्रमाणीकृत केलेल्या वापरकर्त्यांसाठी, फायरझोन रीफ्रेश टोकन यशस्वीरित्या पुनर्प्राप्त करण्यात सक्षम असल्यास, तुम्हाला वेब UI च्या वापरकर्ता तपशील पृष्ठावर OIDC कनेक्शन हेडिंग दिसेल.

हे कार्य करत नसल्यास, तुम्हाला तुमचे विद्यमान OAuth अॅप हटवावे लागेल आणि OIDC सेटअप चरणांची पुनरावृत्ती करावी लागेल नवीन अॅप एकत्रीकरण तयार करा .

माझ्याकडे विद्यमान OAuth एकत्रीकरण आहे

0.3.11 पूर्वी, फायरझोनने पूर्व-कॉन्फिगर केलेले OAuth2 प्रदाते वापरले. 

सूचनांचे पालन करा येथे OIDC मध्ये स्थलांतरित करण्यासाठी.

मी ओळख प्रदाता एकत्रित केलेला नाही

कोणत्याही कृतीची आवश्यकता नाही. 

आपण सूचनांचे अनुसरण करू शकता येथे OIDC प्रदात्याद्वारे SSO सक्षम करण्यासाठी.

0.3.1 वरून >= 0.3.2 वर श्रेणीसुधारित करा

त्याच्या जागी, default['firezone']['external url'] ने कॉन्फिगरेशन पर्याय डीफॉल्ट ['firezone']['fqdn'] बदलला आहे. 

हे तुमच्या फायरझोन ऑनलाइन पोर्टलच्या URL वर सेट करा जे सामान्य लोकांसाठी प्रवेशयोग्य आहे. अपरिभाषित सोडल्यास ते https:// आणि तुमच्या सर्व्हरच्या FQDN वर डीफॉल्ट असेल.

कॉन्फिगरेशन फाइल /etc/firezone/firezone.rb येथे आहे. कॉन्फिगरेशन व्हेरिएबल्स आणि त्यांच्या वर्णनांच्या संपूर्ण सूचीसाठी कॉन्फिगरेशन फाइल संदर्भ पहा.

0.2.x वरून 0.3.x पर्यंत श्रेणीसुधारित करा

फायरझोन यापुढे आवृत्ती 0.3.0 नुसार फायरझोन सर्व्हरवर डिव्हाइस खाजगी की ठेवत नाही. 

फायरझोन वेब UI तुम्हाला ही कॉन्फिगरेशन्स पुन्हा-डाउनलोड करण्याची किंवा पाहण्याची परवानगी देणार नाही, परंतु कोणतीही विद्यमान उपकरणे जसेच्या तसे ऑपरेट करणे सुरू ठेवावे.

0.1.x वरून 0.2.x पर्यंत श्रेणीसुधारित करा

तुम्ही Firezone 0.1.x वरून अपग्रेड करत असल्यास, काही कॉन्फिगरेशन फाइल बदल आहेत ज्यांना व्यक्तिचलितपणे संबोधित करणे आवश्यक आहे. 

तुमच्या /etc/firezone/firezone.rb फाईलमध्ये आवश्यक बदल करण्यासाठी, रूट म्हणून खालील आदेश चालवा.

 

cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak

sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb

echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb

echo “डीफॉल्ट['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb

firezone-ctl पुन्हा कॉन्फिगर करा

firezone-ctl रीस्टार्ट

समस्यानिवारण

फायरझोन लॉग तपासणे ही समस्या उद्भवू शकणारी पहिली पायरी आहे.

फायरझोन लॉग पाहण्यासाठी sudo firezone-ctl टेल चालवा.

कनेक्टिव्हिटी समस्या डीबग करणे

फायरझोनसह बहुतेक कनेक्टिव्हिटी समस्या विसंगत iptables किंवा nftables नियमांद्वारे आणल्या जातात. तुम्‍हाला लागू असलेल्‍या कोणतेही नियम फायरझोन नियमांशी टक्कर देत नाहीत याची खात्री करणे आवश्‍यक आहे.

टनेल सक्रिय असताना इंटरनेट कनेक्टिव्हिटी कमी होते

तुम्ही प्रत्येक वेळी तुमचा वायरगार्ड बोगदा सक्रिय करता तेव्हा तुमची इंटरनेट कनेक्टिव्हिटी बिघडत असल्यास फॉरवर्ड चेन तुमच्या वायरगार्ड क्लायंटकडून तुम्हाला फायरझोनद्वारे देऊ इच्छित असलेल्या ठिकाणी पॅकेट्सची परवानगी देते याची खात्री करा.

 

डीफॉल्ट राउटिंग धोरण अनुमत असल्याची खात्री करून तुम्ही ufw वापरत असल्यास हे साध्य केले जाऊ शकते:

 

ubuntu@fz:~$ sudo ufw डीफॉल्ट अनुमती राउट

डीफॉल्ट रूट केलेले धोरण 'अनुमती द्या' मध्ये बदलले

(त्यानुसार तुमचे नियम अद्ययावत करण्याचे सुनिश्चित करा)

 

A यूएफडब्ल्यू ठराविक फायरझोन सर्व्हरची स्थिती यासारखी दिसू शकते:

 

ubuntu@fz:~$ sudo ufw स्टेटस वर्बोस

स्थिती: सक्रिय

लॉगिंग: चालू (कमी)

डीफॉल्ट: नकार (इनकमिंग), परवानगी (आउटगोइंग), अनुमती (राउटेड)

नवीन प्रोफाइल: वगळा

 

टू अॅक्शन फ्रॉम

————-

22/tcp कुठेही परवानगी द्या

80/tcp कुठेही परवानगी द्या

443/tcp कुठेही परवानगी द्या

51820/udp कुठेही परवानगी द्या

22/tcp (v6) कुठेही परवानगी द्या (v6)

80/tcp (v6) कुठेही परवानगी द्या (v6)

443/tcp (v6) कुठेही परवानगी द्या (v6)

51820/udp (v6) कुठेही परवानगी द्या (v6)

सुरक्षा विचार

आम्ही खाली स्पष्ट केल्याप्रमाणे अत्यंत संवेदनशील आणि मिशन-गंभीर उत्पादन उपयोजनांसाठी वेब इंटरफेसमध्ये प्रवेश मर्यादित करण्याचा सल्ला देतो.

सेवा आणि बंदरे

 

सेवा

डीफॉल्ट पोर्ट

ऐका पत्ता

वर्णन

Nginx

80, 443

सर्व

फायरझोन प्रशासित करण्यासाठी आणि प्रमाणीकरण सुलभ करण्यासाठी सार्वजनिक HTTP(S) पोर्ट.

वायरगार्ड

51820

सर्व

सार्वजनिक वायरगार्ड पोर्ट VPN सत्रांसाठी वापरले जाते. (UDP)

पोस्टग्रीस्क्ल

15432

127.0.0.1

बंडल केलेल्या Postgresql सर्व्हरसाठी फक्त-स्थानिक पोर्ट वापरले.

फिनिक्स

13000

127.0.0.1

अपस्ट्रीम एलिक्सिर अॅप सर्व्हरद्वारे वापरला जाणारा केवळ-स्थानिक पोर्ट.

उत्पादन उपयोजन

आम्ही तुम्हाला फायरझोनच्या सार्वजनिकरित्या उघड केलेल्या वेब UI (बाय डिफॉल्ट पोर्ट 443/tcp आणि 80/tcp) मध्ये प्रवेश प्रतिबंधित करण्याबद्दल विचार करण्याचा सल्ला देतो आणि त्याऐवजी उत्पादन आणि सार्वजनिक-फेसिंग डिप्लॉयमेंटसाठी फायरझोन व्यवस्थापित करण्यासाठी वायरगार्ड बोगदा वापरा जिथे एकच प्रशासक प्रभारी असेल. अंतिम वापरकर्त्यांसाठी डिव्हाइस कॉन्फिगरेशन तयार करणे आणि वितरित करणे.

 

उदाहरणार्थ, जर प्रशासकाने डिव्हाइस कॉन्फिगरेशन तयार केले आणि स्थानिक WireGuard पत्ता 10.3.2.2 सह एक बोगदा तयार केला, तर खालील ufw कॉन्फिगरेशन प्रशासकास डीफॉल्ट 10.3.2.1 वापरून सर्व्हरच्या wg-firezone इंटरफेसवर Firezone वेब UI मध्ये प्रवेश करण्यास सक्षम करेल. बोगद्याचा पत्ता:

 

रूट@डेमो:~# ufw स्टेटस वर्बोस

स्थिती: सक्रिय

लॉगिंग: चालू (कमी)

डीफॉल्ट: नकार (इनकमिंग), परवानगी (आउटगोइंग), अनुमती (राउटेड)

नवीन प्रोफाइल: वगळा

 

टू अॅक्शन फ्रॉम

————-

22/tcp कुठेही परवानगी द्या

51820/udp कुठेही परवानगी द्या

10.3.2.2 मध्ये कुठेही परवानगी द्या

22/tcp (v6) कुठेही परवानगी द्या (v6)

51820/udp (v6) कुठेही परवानगी द्या (v6)

हे फक्त सुटेल 22/tcp सर्व्हर व्यवस्थापित करण्यासाठी SSH प्रवेशासाठी उघड (पर्यायी), आणि 51820/udp वायरगार्ड बोगदे स्थापित करण्यासाठी उघड केले.

SQL क्वेरी चालवा

फायरझोन पोस्टग्रेस्क्यूएल सर्व्हर आणि जुळणी बंडल करतो psql उपयुक्तता जी स्थानिक शेलमधून याप्रमाणे वापरली जाऊ शकते:

 

/opt/firezone/embedded/bin/psql \

  -यू फायरझोन \

  -d फायरझोन \

  -h लोकलहोस्ट \

  -p 15432 \

  -c “SQL_STATEMENT”

 

हे डीबगिंग हेतूंसाठी उपयुक्त ठरू शकते.

 

सामान्य कार्ये:

 

  • सर्व वापरकर्त्यांची सूची
  • सर्व उपकरणांची सूची
  • वापरकर्त्याची भूमिका बदलणे
  • डेटाबेसचा बॅकअप घेत आहे



सर्व वापरकर्त्यांची यादी करणे:

 

/opt/firezone/embedded/bin/psql \

  -यू फायरझोन \

  -d फायरझोन \

  -h लोकलहोस्ट \

  -p 15432 \

  -c "वापरकर्त्यांकडून * निवडा;"



सर्व उपकरणांची यादी करणे:

 

/opt/firezone/embedded/bin/psql \

  -यू फायरझोन \

  -d फायरझोन \

  -h लोकलहोस्ट \

  -p 15432 \

  -c "डिव्हाइसेसमधून * निवडा;"



वापरकर्ता भूमिका बदला:

 

भूमिका 'प्रशासक' किंवा 'अनप्रिव्हिलेज्ड' वर सेट करा:

 

/opt/firezone/embedded/bin/psql \

  -यू फायरझोन \

  -d फायरझोन \

  -h लोकलहोस्ट \

  -p 15432 \

  -c “अद्ययावत वापरकर्ते SET भूमिका = 'प्रशासक' WHERE ईमेल = '[ईमेल संरक्षित]';”



डेटाबेसचा बॅकअप घेत आहे:

 

शिवाय, पीजी डंप प्रोग्राम समाविष्ट आहे, जो डेटाबेसचा नियमित बॅकअप घेण्यासाठी वापरला जाऊ शकतो. डेटाबेसची प्रत सामान्य SQL क्वेरी फॉरमॅटमध्ये डंप करण्यासाठी खालील कोड कार्यान्वित करा (/path/to/backup.sql ची जागा जिथे SQL फाइल तयार केली जावी)

 

/opt/firezone/embedded/bin/pg_dump \

  -यू फायरझोन \

  -d फायरझोन \

  -h लोकलहोस्ट \

  -p 15432 > /path/to/backup.sql

वापरकर्ता मार्गदर्शक

  • वापरकर्ते जोडा
  • डिव्हाइस जोडा
  • बाहेर पडण्याचे नियम
  • क्लायंट सूचना
  • स्प्लिट टनेल VPN
  • उलटा बोगदा 
  • NAT गेटवे

वापरकर्ते जोडा

फायरझोन यशस्वीरित्या तैनात केल्यानंतर, तुम्ही वापरकर्त्यांना तुमच्या नेटवर्कमध्ये प्रवेश देण्यासाठी त्यांना जोडणे आवश्यक आहे. हे करण्यासाठी वेब UI चा वापर केला जातो.

 

वेब UI


/users अंतर्गत "वापरकर्ता जोडा" बटण निवडून, तुम्ही वापरकर्ता जोडू शकता. तुम्हाला वापरकर्त्याला ईमेल अॅड्रेस आणि पासवर्ड देणे आवश्यक आहे. आपल्‍या संस्‍थेतील वापरकर्त्‍यांना आपोआप प्रवेश देण्‍यासाठी, फायरझोन ओळख प्रदात्याशी इंटरफेस आणि सिंक देखील करू शकते. मध्ये अधिक तपशील उपलब्ध आहेत प्रमाणित करा. < प्रमाणीकरणासाठी एक लिंक जोडा

डिव्हाइस जोडा

आम्ही वापरकर्त्यांनी त्यांची स्वतःची डिव्हाइस कॉन्फिगरेशन तयार करण्याची विनंती करण्याचा सल्ला देतो जेणेकरून खाजगी की फक्त त्यांनाच दृश्यमान असेल. वापरकर्ते वरील दिशानिर्देशांचे अनुसरण करून त्यांचे स्वतःचे डिव्हाइस कॉन्फिगरेशन तयार करू शकतात क्लायंट सूचना पृष्ठ

 

प्रशासक डिव्हाइस कॉन्फिगरेशन व्युत्पन्न करत आहे

सर्व वापरकर्ता डिव्हाइस कॉन्फिगरेशन फायरझोन प्रशासकांद्वारे तयार केले जाऊ शकतात. /users येथे असलेल्या वापरकर्ता प्रोफाइल पृष्ठावर, हे पूर्ण करण्यासाठी "डिव्हाइस जोडा" पर्याय निवडा.

 

[स्क्रीनशॉट घाला]

 

डिव्हाइस प्रोफाइल तयार केल्यानंतर तुम्ही वापरकर्त्याला वायरगार्ड कॉन्फिगरेशन फाइल ईमेल करू शकता.

 

वापरकर्ते आणि उपकरणे जोडलेली आहेत. वापरकर्ता कसा जोडायचा याबद्दल अधिक तपशीलांसाठी, पहा वापरकर्ते जोडा.

बाहेर पडण्याचे नियम

कर्नलच्या नेटफिल्टर प्रणालीच्या वापराद्वारे, फायरझोन DROP किंवा ACCEPT पॅकेट्स निर्दिष्ट करण्यासाठी एग्रेस फिल्टरिंग क्षमता सक्षम करते. सर्व रहदारीला साधारणपणे परवानगी आहे.

 

IPv4 आणि IPv6 CIDR आणि IP पत्ते अनुक्रमे अनुमोदित सूची आणि नकार यादीद्वारे समर्थित आहेत. तुम्ही वापरकर्त्याला नियम जोडताना त्याला स्कोप देणे निवडू शकता, जो त्या वापरकर्त्याच्या सर्व डिव्हाइसेसना नियम लागू करतो.

क्लायंट सूचना

स्थापित करा आणि कॉन्फिगर करा

नेटिव्ह वायरगार्ड क्लायंट वापरून व्हीपीएन कनेक्शन स्थापित करण्यासाठी, या मार्गदर्शकाचा संदर्भ घ्या.

 

1. मूळ वायरगार्ड क्लायंट स्थापित करा

 

येथे असलेले अधिकृत वायरगार्ड क्लायंट फायरझोन सुसंगत आहेत:

 

MacOS

 

विंडोज

 

iOS

 

Android

 

वर उल्लेख न केलेल्या OS सिस्टीमसाठी https://www.wireguard.com/install/ येथे अधिकृत WireGuard वेबसाइटला भेट द्या.

 

2. डिव्हाइस कॉन्फिगरेशन फाइल डाउनलोड करा

 

एकतर तुमचा फायरझोन प्रशासक किंवा स्वतः फायरझोन पोर्टल वापरून डिव्हाइस कॉन्फिगरेशन फाइल तयार करू शकतात.

 

तुमच्‍या फायरझोन अॅडमिनिस्ट्रेटरने डिव्‍हाइस कॉन्फिगरेशन फाइल स्‍वत: तयार करण्‍यासाठी दिलेल्‍या URL ला भेट द्या. यासाठी तुमच्या फर्मची एक अद्वितीय URL असेल; या प्रकरणात, ते https://instance-id.yourfirezone.com आहे.

 

फायरझोन ओक्टा SSO वर लॉग इन करा

 

[स्क्रीनशॉट घाला]

 

3. क्लायंटचे कॉन्फिगरेशन जोडा

 

Conf फाइल उघडून WireGuard क्लायंटमध्ये आयात करा. सक्रिय स्विच फ्लिप करून, तुम्ही VPN सत्र सुरू करू शकता.

 

[स्क्रीनशॉट घाला]

सत्र पुन्हा प्रमाणीकरण

तुमचे VPN कनेक्शन सक्रिय ठेवण्यासाठी तुमच्या नेटवर्क प्रशासकाने आवर्ती प्रमाणीकरण अनिवार्य केले असल्यास खालील सूचनांचे अनुसरण करा. 



तुला पाहिजे:

 

फायरझोन पोर्टलची URL: कनेक्शनसाठी तुमच्या नेटवर्क प्रशासकाला विचारा.

तुमचा नेटवर्क प्रशासक तुमचे लॉगिन आणि पासवर्ड ऑफर करण्यास सक्षम असावा. फायरझोन साइट तुम्हाला तुमचा नियोक्ता वापरत असलेली एकल साइन-ऑन सेवा वापरून लॉग इन करण्यास सूचित करेल (जसे की Google किंवा Okta).

 

1. VPN कनेक्शन बंद करा

 

[स्क्रीनशॉट घाला]

 

2. पुन्हा प्रमाणीकृत करा 

फायरझोन पोर्टलच्या URL वर जा आणि तुमच्या नेटवर्क प्रशासकाने प्रदान केलेली क्रेडेन्शियल्स वापरून लॉग इन करा. तुम्ही आधीच साइन इन केले असल्यास, पुन्हा साइन इन करण्यापूर्वी पुन्हा प्रमाणीकरण बटणावर क्लिक करा.

 

[स्क्रीनशॉट घाला]

 

पायरी 3: VPN सत्र लाँच करा

[स्क्रीनशॉट घाला]

Linux साठी नेटवर्क व्यवस्थापक

Linux उपकरणांवर नेटवर्क मॅनेजर CLI वापरून WireGuard कॉन्फिगरेशन प्रोफाइल आयात करण्यासाठी, या सूचनांचे अनुसरण करा (nmcli).

सुचना

प्रोफाइलमध्ये IPv6 समर्थन सक्षम असल्यास, नेटवर्क व्यवस्थापक GUI वापरून कॉन्फिगरेशन फाइल आयात करण्याचा प्रयत्न खालील त्रुटीसह अयशस्वी होऊ शकतो:

ipv6.method: WireGuard साठी पद्धत “ऑटो” समर्थित नाही

1. वायरगार्ड साधने स्थापित करा 

WireGuard यूजरस्पेस युटिलिटी स्थापित करणे आवश्यक आहे. हे लिनक्स वितरणासाठी वायरगार्ड किंवा वायरगार्ड-टूल्स नावाचे पॅकेज असेल.

उबंटू/डेबियन साठी:

sudo apt वायरगार्ड स्थापित करा

Fedora वापरण्यासाठी:

sudo dnf install wireguard-tools

आर्क लिनक्स:

sudo pacman -S वायरगार्ड-टूल्स

वर उल्लेख न केलेल्या वितरणांसाठी https://www.wireguard.com/install/ येथे अधिकृत WireGuard वेबसाइटला भेट द्या.

2. कॉन्फिगरेशन डाउनलोड करा 

एकतर तुमचा फायरझोन प्रशासक किंवा सेल्फ-जनरेशन फायरझोन पोर्टल वापरून डिव्हाइस कॉन्फिगरेशन फाइल व्युत्पन्न करू शकते.

तुमच्‍या फायरझोन अॅडमिनिस्ट्रेटरने डिव्‍हाइस कॉन्फिगरेशन फाइल स्‍वत: तयार करण्‍यासाठी दिलेल्‍या URL ला भेट द्या. यासाठी तुमच्या फर्मची एक अद्वितीय URL असेल; या प्रकरणात, ते https://instance-id.yourfirezone.com आहे.

[स्क्रीनशॉट घाला]

3. सेटिंग्ज आयात करा

nmcli वापरून पुरवलेली कॉन्फिगरेशन फाइल आयात करा:

sudo nmcli कनेक्शन आयात प्रकार वायरगार्ड फाइल /path/to/configuration.conf

सुचना

कॉन्फिगरेशन फाइलचे नाव वायरगार्ड कनेक्शन/इंटरफेसशी संबंधित असेल. आयात केल्यानंतर, आवश्यक असल्यास कनेक्शनचे नाव बदलले जाऊ शकते:

nmcli कनेक्शन सुधारित करा [जुने नाव] कनेक्शन.आयडी [नवीन नाव]

4. कनेक्ट करा किंवा डिस्कनेक्ट करा

कमांड लाइनद्वारे, खालीलप्रमाणे VPN शी कनेक्ट करा:

एनएमसीएलआय कनेक्शन अप [व्हीपीएन नाव]

डिस्कनेक्ट करण्यासाठी:

nmcli कनेक्शन डाउन [व्हीपीएन नाव]

GUI वापरत असल्यास लागू नेटवर्क मॅनेजर ऍपलेटचा वापर कनेक्शन व्यवस्थापित करण्यासाठी देखील केला जाऊ शकतो.

ऑटो कनेक्शन

ऑटोकनेक्ट पर्यायासाठी "होय" निवडून, VPN कनेक्शन स्वयंचलितपणे कनेक्ट करण्यासाठी कॉन्फिगर केले जाऊ शकते:

 

nmcli कनेक्शन सुधारित करा [vpn नाव] कनेक्शन. <<<<<<<<<<<<<<<<<<<<<

 

ऑटोकनेक्ट होय

 

स्वयंचलित कनेक्शन अक्षम करण्यासाठी ते परत नाही वर सेट करा:

 

nmcli कनेक्शन सुधारित करा [vpn नाव] कनेक्शन.

 

ऑटोकनेक्ट क्र

मल्टी-फॅक्टर ऑथेंटिकेशन उपलब्ध करा

MFA सक्रिय करण्यासाठी Firezone पोर्टलच्या /user account/register mfa पृष्ठावर जा. QR कोड व्युत्पन्न झाल्यानंतर स्कॅन करण्यासाठी तुमचे प्रमाणक अॅप वापरा, त्यानंतर सहा-अंकी कोड प्रविष्ट करा.

तुम्ही तुमच्या ऑथेंटिकेटर अॅपची जागा चुकीची ठेवल्यास तुमच्या खात्याची ऍक्सेस माहिती रीसेट करण्यासाठी तुमच्या प्रशासकाशी संपर्क साधा.

स्प्लिट टनेल VPN

हे ट्यूटोरियल तुम्हाला फायरझोनसह वायरगार्डचे स्प्लिट टनेलिंग वैशिष्ट्य सेट करण्याच्या प्रक्रियेतून मार्गदर्शन करेल जेणेकरुन केवळ विशिष्ट IP श्रेणींवरील रहदारी VPN सर्व्हरद्वारे अग्रेषित केली जाईल.

 

1. अनुमत IP कॉन्फिगर करा 

ज्या IP श्रेणींसाठी क्लायंट नेटवर्क ट्रॅफिक रूट करेल ते /settings/default पृष्ठावरील अनुमत IPs फील्डमध्ये सेट केले आहे. या फील्डमधील बदलांमुळे केवळ फायरझोनद्वारे निर्मित नवीन तयार केलेल्या वायरगार्ड टनेल कॉन्फिगरेशनवर परिणाम होईल.

 

[स्क्रीनशॉट घाला]



डीफॉल्ट मूल्य 0.0.0.0/0, ::/0 आहे, जे क्लायंटकडून VPN सर्व्हरवर सर्व नेटवर्क रहदारीला रूट करते.

 

या फील्डमधील मूल्यांच्या उदाहरणांमध्ये हे समाविष्ट आहे:

 

0.0.0.0/0, ::/0 - सर्व नेटवर्क रहदारी VPN सर्व्हरकडे राउट केली जाईल.

192.0.2.3/32 - फक्त एकाच IP पत्त्यावरील रहदारी VPN सर्व्हरकडे पाठविली जाईल.

3.5.140.0/22 ​​– केवळ 3.5.140.1 - 3.5.143.254 श्रेणीतील IP वरील रहदारी VPN सर्व्हरकडे राउट केली जाईल. या उदाहरणात, ap-ईशान्य-2 AWS प्रदेशासाठी CIDR श्रेणी वापरली गेली.



सुचना

फायरझोन पॅकेट कुठे रूट करायचे हे ठरवताना सर्वात अचूक मार्गाशी संबंधित एग्रेस इंटरफेस निवडतो.

 

2. वायरगार्ड कॉन्फिगरेशन पुन्हा निर्माण करा

नवीन स्प्लिट टनल कॉन्फिगरेशनसह विद्यमान वापरकर्ता डिव्हाइसेस अद्यतनित करण्यासाठी वापरकर्त्यांनी कॉन्फिगरेशन फाइल्स पुन्हा निर्माण केल्या पाहिजेत आणि त्या त्यांच्या मूळ वायरगार्ड क्लायंटमध्ये जोडल्या पाहिजेत.

 

सूचनांसाठी, पहा डिव्हाइस जोडा. <<<<<<<<<<<< लिंक जोडा

उलटा बोगदा

हे मॅन्युअल रिले म्हणून फायरझोन वापरून दोन उपकरणांना कसे लिंक करायचे ते दाखवेल. NAT किंवा फायरवॉलद्वारे संरक्षित सर्व्हर, कंटेनर किंवा मशीनमध्ये प्रवेश करण्यासाठी प्रशासकास सक्षम करणे हे एक सामान्य वापर प्रकरण आहे.

 

नोड ते नोड 

हे उदाहरण एक सरळ परिस्थिती दाखवते ज्यामध्ये उपकरणे A आणि B एक बोगदा बांधतात.

 

[फायरझोन आर्किटेक्चरल चित्र घाला]

 

/users/[user_id]/new_device वर नेव्हिगेट करून डिव्हाइस A आणि डिव्हाइस B तयार करून प्रारंभ करा. प्रत्येक डिव्‍हाइसच्‍या सेटिंग्‍जमध्‍ये, खालील पॅरामीटर्स खाली सूचीबद्ध केलेल्या मूल्यांवर सेट केल्‍याची खात्री करा. डिव्हाइस कॉन्फिगरेशन तयार करताना तुम्ही डिव्हाइस सेटिंग्ज सेट करू शकता (डिव्हाइस जोडा पहा). तुम्हाला विद्यमान डिव्‍हाइसवर सेटिंग्‍ज अपडेट करण्‍याची आवश्‍यकता असल्‍यास, तुम्ही नवीन डिव्‍हाइस कॉन्फिगरेशन जनरेट करून ते करू शकता.

 

लक्षात घ्या की सर्व डिव्हाइसेसना /settings/defaults पृष्ठ आहे जेथे PersistentKeepalive कॉन्फिगर केले जाऊ शकते.

 

डिव्हाइस ए

 

अनुमत IP = 10.3.2.2/32

  हा आयपी किंवा डिव्‍हाइस बी च्‍या आयपीची श्रेणी आहे

PersistentKeepalive = 25

  डिव्हाइस NAT च्या मागे असल्यास, हे सुनिश्चित करते की डिव्हाइस बोगदा जिवंत ठेवण्यास सक्षम आहे आणि WireGuard इंटरफेसमधून पॅकेट प्राप्त करणे सुरू ठेवते. सामान्यतः 25 चे मूल्य पुरेसे असते, परंतु तुम्हाला तुमच्या वातावरणानुसार हे मूल्य कमी करावे लागेल.



बी उपकरण

 

अनुमत IP = 10.3.2.3/32

हा आयपी किंवा डिव्‍हाइस A च्या IP ची श्रेणी आहे

PersistentKeepalive = 25

अॅडमिन केस - एक ते अनेक नोड्स

हे उदाहरण अशी परिस्थिती दर्शविते ज्यामध्ये डिव्हाइस A दोन्ही दिशांमध्ये D द्वारे B डिव्हाइसेसशी संवाद साधू शकते. हे सेटअप अभियंता किंवा प्रशासकाचे प्रतिनिधित्व करू शकते जे विविध नेटवर्कवर असंख्य संसाधने (सर्व्हर, कंटेनर किंवा मशीन्स) मध्ये प्रवेश करू शकतात.

 

[आर्किटेक्चरल डायग्राम]<<<<<<<<<<<<<<<<<<<<<<

 

प्रत्येक डिव्‍हाइसच्‍या सेटिंग्‍जमध्‍ये खालील सेटिंग्‍ज संबंधित मूल्यांमध्‍ये केल्‍याची खात्री करा. डिव्हाइस कॉन्फिगरेशन तयार करताना, तुम्ही डिव्हाइस सेटिंग्ज निर्दिष्ट करू शकता (डिव्हाइस जोडा पहा). विद्यमान डिव्हाइसवरील सेटिंग्ज अद्यतनित करणे आवश्यक असल्यास नवीन डिव्हाइस कॉन्फिगरेशन तयार केले जाऊ शकते.

 

डिव्हाइस A (प्रशासक नोड)

 

अनुमत IP = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32 

    हा D पासून B पर्यंतच्या डिव्हाइसेसचा IP आहे. B ते D पर्यंत डिव्हाइसेसचे IP तुम्ही सेट करण्यासाठी निवडलेल्या कोणत्याही IP श्रेणीमध्ये समाविष्ट केले पाहिजेत.

PersistentKeepalive = 25 

    हे हमी देते की डिव्हाइस बोगदा राखू शकते आणि NAT द्वारे संरक्षित असले तरीही WireGuard इंटरफेसमधून पॅकेट प्राप्त करणे सुरू ठेवू शकते. बर्‍याच प्रकरणांमध्ये, 25 चे मूल्य पुरेसे आहे, तथापि, तुमच्या सभोवतालच्या परिस्थितीनुसार, तुम्हाला हा आकडा कमी करावा लागेल.

 

डिव्हाइस बी

 

  • AllowedIPs = 10.3.2.2/32: हा IP किंवा डिव्हाइस A च्या IP ची श्रेणी आहे
  • PersistentKeepalive = 25

डिव्हाइस C

 

  • AllowedIPs = 10.3.2.2/32: हा IP किंवा डिव्हाइस A च्या IP ची श्रेणी आहे
  • PersistentKeepalive = 25

डिव्हाइस डी

 

  • AllowedIPs = 10.3.2.2/32: हा IP किंवा डिव्हाइस A च्या IP ची श्रेणी आहे
  • PersistentKeepalive = 25

NAT गेटवे

तुमच्या टीमच्या सर्व ट्रॅफिकमधून बाहेर पडण्यासाठी सिंगल, स्टॅटिक एग्रेस आयपी ऑफर करण्यासाठी, फायरझोनचा वापर NAT गेटवे म्हणून केला जाऊ शकतो. या परिस्थितींमध्ये त्याचा वारंवार वापर होतो:

 

सल्लामसलत प्रतिबद्धता: तुमच्या ग्राहकाने प्रत्येक कर्मचार्‍याच्या अद्वितीय डिव्हाइस IP ऐवजी एकच स्थिर IP पत्ता व्हाइटलिस्ट करावा अशी विनंती.

सुरक्षितता किंवा गोपनीयतेच्या उद्देशाने प्रॉक्सी वापरणे किंवा तुमचा स्रोत आयपी मास्क करणे.

 

फायरझोनवर चालणाऱ्या एका स्व-होस्ट केलेल्या वेब ऍप्लिकेशनमध्ये प्रवेश मर्यादित करण्याचे एक साधे उदाहरण या पोस्टमध्ये दाखवले जाईल. या चित्रात, फायरझोन आणि संरक्षित संसाधन वेगवेगळ्या VPC भागात आहेत.

 

असंख्य अंतिम वापरकर्त्यांसाठी आयपी श्वेतसूची व्यवस्थापित करण्याच्या जागी हे समाधान वारंवार वापरले जाते, जे प्रवेश सूची विस्तृत होताना वेळ घेणारे असू शकते.

AWS उदाहरण

VPN रहदारी प्रतिबंधित स्त्रोताकडे पुनर्निर्देशित करण्यासाठी EC2 उदाहरणावर फायरझोन सर्व्हर सेट करणे हे आमचे उद्दिष्ट आहे. या उदाहरणात, प्रत्येक कनेक्ट केलेल्या उपकरणाला एक अनन्य सार्वजनिक निर्गमन IP देण्यासाठी फायरझोन नेटवर्क प्रॉक्सी किंवा NAT गेटवे म्हणून काम करत आहे.

 

1. फायरझोन सर्व्हर स्थापित करा

या प्रकरणात, tc2.micro नावाच्या EC2 उदाहरणावर फायरझोन इंस्टन्स स्थापित केला आहे. फायरझोन तैनात करण्याबद्दल माहितीसाठी, उपयोजन मार्गदर्शकाकडे जा. AWS च्या संबंधात, खात्री करा:

 

फायरझोन EC2 उदाहरणाचा सुरक्षा गट संरक्षित स्त्रोताच्या IP पत्त्यावर आउटबाउंड रहदारीला परवानगी देतो.

फायरझोन उदाहरण लवचिक आयपीसह येते. फायरझोन उदाहरणाद्वारे बाहेरील गंतव्यस्थानांकडे पाठवलेल्या रहदारीचा हा त्याचा स्त्रोत IP पत्ता असेल. प्रश्नातील IP पत्ता 52.202.88.54 आहे.

 

[स्क्रीनशॉट घाला]<<<<<<<<<<<<<<<<<<<<<<<

 

2. संरक्षित केल्या जात असलेल्या संसाधनावर प्रवेश प्रतिबंधित करा

सेल्फ-होस्टेड वेब ऍप्लिकेशन या प्रकरणात संरक्षित संसाधन म्हणून काम करते. 52.202.88.54 IP पत्त्यावरून आलेल्या विनंत्यांद्वारेच वेब अॅपवर प्रवेश केला जाऊ शकतो. संसाधनाच्या आधारावर, विविध बंदरांवर आणि रहदारीच्या प्रकारांवर इनबाउंड रहदारीला परवानगी देणे आवश्यक असू शकते. हे या मॅन्युअलमध्ये समाविष्ट केलेले नाही.

 

[स्क्रीनशॉट घाला]<<<<<<<<<<<<<<<<<<<<<<<

 

कृपया संरक्षित संसाधनाच्या प्रभारी तृतीय पक्षाला सांगा की चरण 1 मध्ये परिभाषित केलेल्या स्थिर IP वरून रहदारीला परवानगी असणे आवश्यक आहे (या प्रकरणात 52.202.88.54).

 

3. संरक्षित संसाधनाकडे रहदारी निर्देशित करण्यासाठी VPN सर्व्हर वापरा

 

डीफॉल्टनुसार, सर्व वापरकर्ता रहदारी VPN सर्व्हरमधून जाईल आणि चरण 1 मध्ये कॉन्फिगर केलेल्या स्थिर IP वरून येईल (या प्रकरणात 52.202.88.54). तथापि, स्प्लिट टनेलिंग सक्षम केले असल्यास, संरक्षित स्त्रोताचा गंतव्य IP अनुमत IP मध्ये सूचीबद्ध आहे याची खात्री करण्यासाठी सेटिंग्ज आवश्यक असू शकतात.

तुमचा मथळा मजकूर येथे जोडा

मध्ये उपलब्ध असलेल्या कॉन्फिगरेशन पर्यायांची संपूर्ण सूची खाली दर्शविली आहे /etc/firezone/firezone.rb.



पर्याय

वर्णन

डीफॉल्ट मूल्य

डीफॉल्ट['firezone']['external_url']

या फायरझोन उदाहरणाच्या वेब पोर्टलवर प्रवेश करण्यासाठी वापरलेली URL.

“https://#{node['fqdn'] || नोड['होस्टनाव']}”

डीफॉल्ट['firezone']['config_directory']

फायरझोन कॉन्फिगरेशनसाठी शीर्ष-स्तरीय निर्देशिका.

/etc/firezone'

डीफॉल्ट['firezone']['install_directory']

वर फायरझोन स्थापित करण्यासाठी शीर्ष-स्तरीय निर्देशिका.

/opt/firezone'

डीफॉल्ट['firezone']['app_directory']

फायरझोन वेब अनुप्रयोग स्थापित करण्यासाठी शीर्ष-स्तरीय निर्देशिका.

“#{node['firezone']['install_directory']}/embedded/service/firezone”

डीफॉल्ट['firezone']['log_directory']

फायरझोन लॉगसाठी शीर्ष-स्तरीय निर्देशिका.

/var/log/firezone'

डीफॉल्ट['फायरझोन']['var_directory']

फायरझोन रनटाइम फाइल्ससाठी उच्च-स्तरीय निर्देशिका.

/var/opt/firezone'

डीफॉल्ट['फायरझोन']['वापरकर्ता']

विशेषाधिकार नसलेल्या लिनक्स वापरकर्त्याचे नाव बहुतेक सेवा आणि फायली त्यांच्या मालकीच्या असतील.

फायरझोन'

डीफॉल्ट['फायरझोन']['ग्रुप']

Linux गटाचे नाव बहुतेक सेवा आणि फाइल्सच्या असतील.

फायरझोन'

डीफॉल्ट['firezone']['admin_email']

प्रारंभिक फायरझोन वापरकर्त्यासाठी ईमेल पत्ता.

“firezone@localhost”

डीफॉल्ट['फायरझोन']['max_devices_per_user']

वापरकर्त्याकडे जास्तीत जास्त डिव्हाइस असू शकतात.

10

डीफॉल्ट['firezone']['allow_unprivileged_device_management']

गैर-प्रशासक वापरकर्त्यांना डिव्हाइस तयार करण्यास आणि हटविण्याची अनुमती देते.

खरे

डीफॉल्ट['firezone']['allow_unprivileged_device_configuration']

प्रशासक नसलेल्या वापरकर्त्यांना डिव्हाइस कॉन्फिगरेशन सुधारण्याची अनुमती देते. अक्षम केल्यावर, नाव आणि वर्णन वगळता सर्व डिव्हाइस फील्ड बदलण्यापासून विशेषाधिकार नसलेल्या वापरकर्त्यांना प्रतिबंधित करते.

खरे

डीफॉल्ट['firezone']['egress_interface']

इंटरफेसचे नाव जिथून बोगदा रहदारी बाहेर पडेल. शून्य असल्यास, डीफॉल्ट मार्ग इंटरफेस वापरला जाईल.

शून्य

डीफॉल्ट['फायरझोन']['fips_enabled']

OpenSSL FIPs मोड सक्षम किंवा अक्षम करा.

शून्य

डीफॉल्ट['फायरझोन']['लॉगिंग']['सक्षम']

फायरझोनवर लॉगिंग सक्षम किंवा अक्षम करा. लॉगिंग पूर्णपणे अक्षम करण्यासाठी असत्य वर सेट करा.

खरे

डीफॉल्ट['एंटरप्राइज']['नाव']

शेफ 'एंटरप्राइज' कुकबुकद्वारे वापरलेले नाव.

फायरझोन'

डीफॉल्ट['firezone']['install_path']

शेफ 'एंटरप्राइज' कुकबुकद्वारे वापरलेला मार्ग स्थापित करा. वरील install_directory प्रमाणेच सेट केले पाहिजे.

नोड['firezone']['install_directory']

डीफॉल्ट['firezone']['sysvinit_id']

/etc/inittab मध्ये वापरलेला अभिज्ञापक. 1-4 वर्णांचा एक अद्वितीय क्रम असणे आवश्यक आहे.

SUP'

डीफॉल्ट['firezone']['authentication']['local']['enabled']

स्थानिक ईमेल/पासवर्ड प्रमाणीकरण सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['authentication']['auto_create_oidc_users']

OIDC मधून प्रथमच साइन इन करणारे वापरकर्ते स्वयंचलितपणे तयार करा. फक्त विद्यमान वापरकर्त्यांना OIDC द्वारे साइन इन करण्याची परवानगी देण्यासाठी अक्षम करा.

खरे

डीफॉल्ट['firezone']['authentication']['disable_vpn_on_oidc_error']

वापरकर्त्याचे OIDC टोकन रिफ्रेश करण्याचा प्रयत्न करताना त्रुटी आढळल्यास त्याचा VPN अक्षम करा.

असत्य

डीफॉल्ट['firezone']['authentication']['oidc']

OpenID Connect कॉन्फिगरेशन, {“provider” => [config…]} च्या फॉरमॅटमध्ये – पहा OpenIDConnect दस्तऐवजीकरण कॉन्फिगरेशन उदाहरणांसाठी.

{}

डीफॉल्ट['फायरझोन']['nginx']['सक्षम']

बंडल केलेला nginx सर्व्हर सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['nginx']['ssl_port']

HTTPS ऐकण्याचे पोर्ट.

443

डीफॉल्ट['firezone']['nginx']['directory']

फायरझोन-संबंधित nginx आभासी होस्ट कॉन्फिगरेशन संचयित करण्यासाठी निर्देशिका.

“#{node['firezone']['var_directory']}/nginx/etc”

डीफॉल्ट['firezone']['nginx']['log_directory']

फायरझोन-संबंधित nginx लॉग फाइल्स संचयित करण्यासाठी निर्देशिका.

“#{node['firezone']['log_directory']}/nginx”

डीफॉल्ट['firezone']['nginx']['log_rotation']['file_maxbytes']

Nginx लॉग फाइल्स फिरवायचा फाइल आकार.

104857600

डीफॉल्ट['firezone']['nginx']['log_rotation']['num_to_keep']

टाकून देण्‍यापूर्वी ठेवण्‍याच्‍या फायरझोन nginx लॉग फायलींची संख्‍या.

10

डीफॉल्ट['firezone']['nginx']['log_x_forwarded_for']

हेडरसाठी फायरझोन nginx x-फॉरवर्डेड लॉग करायचे की नाही.

खरे

डीफॉल्ट['firezone']['nginx']['hsts_header']['enabled']

सक्षम किंवा अक्षम करा एचएसटीएस.

खरे

डीफॉल्ट['firezone']['nginx']['hsts_header']['include_subdomains']

HSTS शीर्षलेखासाठी समाविष्ट SubDomains सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['nginx']['hsts_header']['max_age']

HSTS शीर्षलेखासाठी कमाल वय.

31536000

डीफॉल्ट['firezone']['nginx']['redirect_to_canonical']

वर नमूद केलेल्या कॅनॉनिकल FQDN वर URL पुनर्निर्देशित करायचे की नाही

असत्य

डीफॉल्ट['firezone']['nginx']['cache']['enabled']

Firezone nginx कॅशे सक्षम किंवा अक्षम करा.

असत्य

डीफॉल्ट['firezone']['nginx']['cache']['directory']

फायरझोन nginx कॅशेसाठी निर्देशिका.

“#{node['firezone']['var_directory']}/nginx/cache”

डीफॉल्ट['firezone']['nginx']['user']

फायरझोन nginx वापरकर्ता.

नोड['फायरझोन']['वापरकर्ता']

डीफॉल्ट['firezone']['nginx']['group']

फायरझोन एनजीएनएक्स ग्रुप.

नोड['फायरझोन']['ग्रुप']

डीफॉल्ट['firezone']['nginx']['dir']

शीर्ष-स्तरीय nginx कॉन्फिगरेशन निर्देशिका.

नोड['firezone']['nginx']['directory']

डीफॉल्ट['firezone']['nginx']['log_dir']

शीर्ष-स्तरीय nginx लॉग निर्देशिका.

नोड['firezone']['nginx']['log_directory']

डीफॉल्ट['firezone']['nginx']['pid']

nginx pid फाइलसाठी स्थान.

“#{node['firezone']['nginx']['directory']}/nginx.pid”

डीफॉल्ट['firezone']['nginx']['daemon_disable']

nginx डिमन मोड अक्षम करा जेणेकरून आम्ही त्याऐवजी त्याचे निरीक्षण करू शकू.

खरे

डीफॉल्ट['firezone']['nginx']['gzip']

nginx gzip कॉम्प्रेशन चालू किंवा बंद करा.

वर '

डीफॉल्ट['firezone']['nginx']['gzip_static']

स्थिर फाइल्ससाठी nginx gzip कॉम्प्रेशन चालू किंवा बंद करा.

बंद'

डीफॉल्ट['firezone']['nginx']['gzip_http_version']

स्टॅटिक फाइल्स सर्व्ह करण्यासाठी वापरण्यासाठी HTTP आवृत्ती.

1.0 '

डीफॉल्ट['firezone']['nginx']['gzip_comp_level']

nginx gzip कॉम्प्रेशन पातळी.

2 '

डीफॉल्ट['firezone']['nginx']['gzip_proxied']

विनंती आणि प्रतिसादावर अवलंबून प्रॉक्सी विनंत्यांसाठी प्रतिसादांचे gzipping सक्षम किंवा अक्षम करते.

कोणतेही'

डीफॉल्ट['firezone']['nginx']['gzip_vary']

“Vary: Accept-Encoding” प्रतिसाद शीर्षलेख टाकणे सक्षम किंवा अक्षम करते.

बंद'

डीफॉल्ट['firezone']['nginx']['gzip_buffers']

प्रतिसाद संकुचित करण्यासाठी वापरलेल्या बफरची संख्या आणि आकार सेट करते. शून्य असल्यास, nginx डीफॉल्ट वापरले जाते.

शून्य

डीफॉल्ट['firezone']['nginx']['gzip_types']

साठी gzip कॉम्प्रेशन सक्षम करण्यासाठी MIME प्रकार.

['text/plain', 'text/css', 'application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' मजकूर/javascript', 'application/javascript', 'application/json']

डीफॉल्ट['firezone']['nginx']['gzip_min_length']

फाइल gzip कॉम्प्रेशन सक्षम करण्यासाठी किमान फाइल लांबी.

1000

डीफॉल्ट['firezone']['nginx']['gzip_disable']

साठी gzip कॉम्प्रेशन अक्षम करण्यासाठी वापरकर्ता-एजंट जुळणारा.

MSIE [१-६]\.'

डीफॉल्ट['firezone']['nginx']['keepalive']

अपस्ट्रीम सर्व्हरशी कनेक्शनसाठी कॅशे सक्रिय करते.

वर '

डीफॉल्ट['firezone']['nginx']['keepalive_timeout']

अपस्ट्रीम सर्व्हरशी सक्रिय कनेक्शन ठेवण्यासाठी सेकंदांमध्ये कालबाह्य.

65

डीफॉल्ट['firezone']['nginx']['worker_processes']

nginx कामगार प्रक्रियांची संख्या.

नोड['cpu'] && node['cpu']['total']? नोड['cpu']['total'] : 1

डीफॉल्ट['फायरझोन']['nginx']['worker_connections']

एकाचवेळी कनेक्शनची कमाल संख्या जी कामगार प्रक्रियेद्वारे उघडली जाऊ शकते.

1024

डीफॉल्ट['firezone']['nginx']['worker_rlimit_nofile']

कामगार प्रक्रियेसाठी उघडलेल्या फायलींच्या कमाल संख्येवरील मर्यादा बदलते. शून्य असल्यास nginx डीफॉल्ट वापरते.

शून्य

डीफॉल्ट['firezone']['nginx']['multi_accept']

कामगारांनी एका वेळी एक कनेक्शन स्वीकारावे की अनेक.

खरे

डीफॉल्ट['firezone']['nginx']['event']

nginx इव्हेंट संदर्भामध्ये वापरण्यासाठी कनेक्शन प्रक्रिया पद्धत निर्दिष्ट करते.

इपोल'

डीफॉल्ट['firezone']['nginx']['server_tokens']

त्रुटी पृष्ठांवर आणि “सर्व्हर” प्रतिसाद शीर्षलेख फील्डमध्ये उत्सर्जित nginx आवृत्ती सक्षम किंवा अक्षम करते.

शून्य

डीफॉल्ट['firezone']['nginx']['server_names_hash_bucket_size']

सर्व्हरच्या नावांच्या हॅश टेबलसाठी बकेटचा आकार सेट करते.

64

डीफॉल्ट['firezone']['nginx']['sendfile']

nginx च्या sendfile() चा वापर सक्षम किंवा अक्षम करते.

वर '

डीफॉल्ट['firezone']['nginx']['access_log_options']

nginx प्रवेश लॉग पर्याय सेट करते.

शून्य

डीफॉल्ट['firezone']['nginx']['error_log_options']

nginx त्रुटी लॉग पर्याय सेट करते.

शून्य

डीफॉल्ट['firezone']['nginx']['disable_access_log']

nginx प्रवेश लॉग अक्षम करते.

असत्य

डीफॉल्ट['firezone']['nginx']['types_hash_max_size']

nginx प्रकार हॅश कमाल आकार.

2048

डीफॉल्ट['firezone']['nginx']['types_hash_bucket_size']

nginx प्रकार हॅश बकेट आकार.

64

डीफॉल्ट['firezone']['nginx']['proxy_read_timeout']

nginx प्रॉक्सी रीड टाइमआउट. nginx डीफॉल्ट वापरण्यासाठी शून्य वर सेट करा.

शून्य

डीफॉल्ट['firezone']['nginx']['client_body_buffer_size']

nginx क्लायंट बॉडी बफर आकार. nginx डीफॉल्ट वापरण्यासाठी शून्य वर सेट करा.

शून्य

डीफॉल्ट['firezone']['nginx']['client_max_body_size']

nginx क्लायंट कमाल शरीर आकार.

५ मी'

डीफॉल्ट['firezone']['nginx']['default']['modules']

अतिरिक्त nginx मॉड्यूल निर्दिष्ट करा.

[]

डीफॉल्ट['firezone']['nginx']['enable_rate_limiting']

nginx दर मर्यादा सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['nginx']['rate_limiting_zone_name']

Nginx दर मर्यादित झोन नाव.

फायरझोन'

डीफॉल्ट['firezone']['nginx']['rate_limiting_backoff']

Nginx दर मर्यादित बॅकऑफ.

५ मी'

डीफॉल्ट['firezone']['nginx']['rate_limit']

Nginx दर मर्यादा.

10r/s'

डीफॉल्ट['firezone']['nginx']['ipv6']

nginx ला IPv6 व्यतिरिक्त IPv4 साठी HTTP विनंत्या ऐकण्याची परवानगी द्या.

खरे

डीफॉल्ट['firezone']['postgresql']['सक्षम']

बंडल केलेले Postgresql सक्षम किंवा अक्षम करा. असत्य वर सेट करा आणि तुमचा स्वतःचा Postgresql उदाहरण वापरण्यासाठी खालील डेटाबेस पर्याय भरा.

खरे

डीफॉल्ट['firezone']['postgresql']['username']

Postgresql साठी वापरकर्तानाव.

नोड['फायरझोन']['वापरकर्ता']

डीफॉल्ट['firezone']['postgresql']['data_directory']

Postgresql डेटा निर्देशिका.

“#{node['firezone']['var_directory']}/postgresql/13.3/data”

डीफॉल्ट['firezone']['postgresql']['log_directory']

Postgresql लॉग निर्देशिका.

“#{node['firezone']['log_directory']}/postgresql”

डीफॉल्ट['firezone']['postgresql']['log_rotation']['file_maxbytes']

Postgresql लॉग फाइल फिरवण्यापूर्वी कमाल आकार.

104857600

डीफॉल्ट['firezone']['postgresql']['log_rotation']['num_to_keep']

ठेवण्यासाठी Postgresql लॉग फाइल्सची संख्या.

10

डीफॉल्ट['firezone']['postgresql']['checkpoint_completion_target']

Postgresql चेकपॉईंट पूर्ण करण्याचे लक्ष्य.

0.5

डीफॉल्ट['firezone']['postgresql']['checkpoint_segments']

Postgresql चेकपॉईंट विभागांची संख्या.

3

डीफॉल्ट['firezone']['postgresql']['checkpoint_timeout']

Postgresql चेकपॉईंट कालबाह्य.

५ मिनिटे

डीफॉल्ट['firezone']['postgresql']['checkpoint_warning']

Postgresql चेकपॉईंट चेतावणी वेळ सेकंदात.

३० चे दशक

डीफॉल्ट['firezone']['postgresql']['effective_cache_size']

Postgresql प्रभावी कॅशे आकार.

128MB'

डीफॉल्ट['firezone']['postgresql']['listen_address']

Postgresql ऐका पत्ता.

127.0.0.1 '

डीफॉल्ट['firezone']['postgresql']['max_connections']

Postgresql कमाल कनेक्शन.

350

डीफॉल्ट['firezone']['postgresql']['md5_auth_cidr_addresses']

md5 auth साठी अनुमती देण्यासाठी Postgresql CIDRs.

['127.0.0.1/32', '::1/128']

डीफॉल्ट['firezone']['postgresql']['port']

Postgresql ऐका पोर्ट.

15432

डीफॉल्ट['firezone']['postgresql']['shared_buffers']

Postgresql सामायिक बफर आकार.

“#{(नोड['मेमरी']['एकूण'].to_i / 4) / 1024}MB”

डीफॉल्ट['firezone']['postgresql']['shmmax']

Postgresql shmmax बाइट्समध्ये.

17179869184

डीफॉल्ट['firezone']['postgresql']['shmall']

Postgresql shmall बाइट्समध्ये.

4194304

डीफॉल्ट['firezone']['postgresql']['work_mem']

Postgresql कार्यरत मेमरी आकार.

8MB'

डीफॉल्ट['firezone']['database']['user']

DB शी कनेक्ट करण्यासाठी फायरझोन वापरकर्तानाव निर्दिष्ट करते.

नोड['firezone']['postgresql']['username']

डीफॉल्ट['firezone']['database']['password']

बाह्य DB वापरत असल्यास, DB शी कनेक्ट करण्यासाठी फायरझोन वापरेल पासवर्ड निर्दिष्ट करा.

मला_बदला'

डीफॉल्ट['firezone']['database']['name']

फायरझोन वापरेल असा डेटाबेस. ते अस्तित्वात नसल्यास तयार केले जाईल.

फायरझोन'

डीफॉल्ट['firezone']['database']['host']

डेटाबेस होस्ट ज्याला फायरझोन कनेक्ट करेल.

नोड['firezone']['postgresql']['listen_address']

डीफॉल्ट['firezone']['database']['port']

डेटाबेस पोर्ट ज्याला फायरझोन कनेक्ट करेल.

नोड['firezone']['postgresql']['port']

डीफॉल्ट['फायरझोन']['डेटाबेस']['पूल']

डेटाबेस पूल आकार फायरझोन वापरेल.

[१०, Etc.nprocessors].max

डीफॉल्ट['firezone']['database']['ssl']

SSL वर डेटाबेसशी जोडणी करायची की नाही.

असत्य

डीफॉल्ट['firezone']['database']['ssl_opts']

SSL वर कनेक्ट करताना :ssl_opts पर्यायावर पाठवायचे पर्याय हॅश. पहा Ecto.Adapters.Postgres दस्तऐवजीकरण.

{}

डीफॉल्ट['firezone']['database']['parameters']

डेटाबेसशी कनेक्ट करताना :पॅरामीटर्स पर्यायावर पाठवण्यासाठी पॅरामीटर्सचा हॅश. पहा Ecto.Adapters.Postgres दस्तऐवजीकरण.

{}

डीफॉल्ट['firezone']['database']['extensions']

सक्षम करण्यासाठी डेटाबेस विस्तार.

{ 'plpgsql' => खरे, 'pg_trgm' => खरे }

डीफॉल्ट['फायरझोन']['फिनिक्स']['सक्षम']

फायरझोन वेब अनुप्रयोग सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['phoenix']['listen_address']

फायरझोन वेब ऍप्लिकेशन ऐकण्याचा पत्ता. हा अपस्ट्रीम ऐकण्याचा पत्ता असेल जो nginx प्रॉक्सी करतो.

127.0.0.1 '

डीफॉल्ट['firezone']['phoenix']['port']

फायरझोन वेब ऍप्लिकेशन लिसन पोर्ट. हे अपस्ट्रीम पोर्ट असेल जे nginx प्रॉक्सी करते.

13000

डीफॉल्ट['firezone']['phoenix']['log_directory']

फायरझोन वेब ऍप्लिकेशन लॉग निर्देशिका.

“#{node['firezone']['log_directory']}/phoenix”

डीफॉल्ट['firezone']['phoenix']['log_rotation']['file_maxbytes']

फायरझोन वेब अनुप्रयोग लॉग फाइल आकार.

104857600

डीफॉल्ट['firezone']['phoenix']['log_rotation']['num_to_keep']

फायरझोन वेब ऍप्लिकेशन लॉग फाइल्सची संख्या ठेवा.

10

डीफॉल्ट['firezone']['phoenix']['crash_detection']['enabled']

जेव्हा क्रॅश आढळला तेव्हा फायरझोन वेब अनुप्रयोग खाली आणणे सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['phoenix']['external_trusted_proxies']

IPs आणि/किंवा CIDRs च्या अॅरे म्हणून फॉरमॅट केलेल्या विश्वसनीय रिव्हर्स प्रॉक्सींची सूची.

[]

डीफॉल्ट['firezone']['phoenix']['private_clients']

खाजगी नेटवर्क HTTP क्लायंटची सूची, IPs आणि/किंवा CIDRs च्या अॅरेचे स्वरूपित.

[]

डीफॉल्ट['फायरझोन']['वायरगार्ड']['सक्षम']

बंडल केलेले वायरगार्ड व्यवस्थापन सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['wireguard']['log_directory']

बंडल केलेल्या वायरगार्ड व्यवस्थापनासाठी लॉग निर्देशिका.

“#{node['firezone']['log_directory']}/wireguard”

डीफॉल्ट['firezone']['wireguard']['log_rotation']['file_maxbytes']

वायरगार्ड लॉग फाइल कमाल आकार.

104857600

डीफॉल्ट['firezone']['wireguard']['log_rotation']['num_to_keep']

ठेवण्यासाठी वायरगार्ड लॉग फाइल्सची संख्या.

10

डीफॉल्ट['firezone']['wireguard']['interface_name']

वायरगार्ड इंटरफेस नाव. हे पॅरामीटर बदलल्याने VPN कनेक्टिव्हिटीमध्ये तात्पुरते नुकसान होऊ शकते.

wg-फायरझोन'

डीफॉल्ट['firezone']['wireguard']['port']

वायरगार्ड ऐकण्याचे पोर्ट.

51820

डीफॉल्ट['firezone']['wireguard']['mtu']

या सर्व्हरसाठी आणि डिव्हाइस कॉन्फिगरेशनसाठी वायरगार्ड इंटरफेस MTU.

1280

डीफॉल्ट['firezone']['wireguard']['endpoint']

डिव्हाइस कॉन्फिगरेशन जनरेट करण्यासाठी वापरण्यासाठी वायरगार्ड एंडपॉइंट. शून्य असल्यास, सर्व्हरच्या सार्वजनिक IP पत्त्यावर डीफॉल्ट.

शून्य

डीफॉल्ट['firezone']['wireguard']['dns']

व्युत्पन्न केलेल्या डिव्हाइस कॉन्फिगरेशनसाठी वापरण्यासाठी WireGuard DNS.

१.१.१.१, १.०.०.१′

डीफॉल्ट['firezone']['wireguard']['allowed_ips']

व्युत्पन्न केलेल्या डिव्हाइस कॉन्फिगरेशनसाठी वापरण्यासाठी WireGuard AllowedIPs.

0.0.0.0/0, ::/0′

डीफॉल्ट['firezone']['wireguard']['persistent_keepalive']

व्युत्पन्न केलेल्या डिव्हाइस कॉन्फिगरेशनसाठी डीफॉल्ट PersistentKeepalive सेटिंग. 0 चे मूल्य अक्षम करते.

0

डीफॉल्ट['firezone']['wireguard']['ipv4']['enabled']

WireGuard नेटवर्कसाठी IPv4 सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['wireguard']['ipv4']['masquerade']

IPv4 बोगदा सोडून पॅकेटसाठी मास्करेड सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['wireguard']['ipv4']['network']

WireGuard नेटवर्क IPv4 पत्ता पूल.

10.3.2.0/24 ′

डीफॉल्ट['firezone']['wireguard']['ipv4']['address']

वायरगार्ड इंटरफेस IPv4 पत्ता. वायरगार्ड अॅड्रेस पूलमध्ये असणे आवश्यक आहे.

10.3.2.1 '

डीफॉल्ट['firezone']['wireguard']['ipv6']['enabled']

WireGuard नेटवर्कसाठी IPv6 सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['wireguard']['ipv6']['masquerade']

IPv6 बोगदा सोडून पॅकेटसाठी मास्करेड सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['wireguard']['ipv6']['network']

WireGuard नेटवर्क IPv6 पत्ता पूल.

fd00::3:2:0/120′

डीफॉल्ट['firezone']['wireguard']['ipv6']['address']

वायरगार्ड इंटरफेस IPv6 पत्ता. IPv6 अॅड्रेस पूलमध्ये असणे आवश्यक आहे.

fd00::3:2:1′

डीफॉल्ट['firezone']['runit']['svlogd_bin']

रनिट svlogd बिन स्थान.

“#{node['firezone']['install_directory']}/embedded/bin/svlogd”

डीफॉल्ट['firezone']['ssl']['directory']

व्युत्पन्न प्रमाणपत्रे संचयित करण्यासाठी SSL निर्देशिका.

/var/opt/firezone/ssl'

डीफॉल्ट['firezone']['ssl']['email_address']

स्वयं-स्वाक्षरी केलेले प्रमाणपत्र आणि ACME प्रोटोकॉल नूतनीकरण सूचनांसाठी वापरण्यासाठी ईमेल पत्ता.

[ईमेल संरक्षित]'

डीफॉल्ट['firezone']['ssl']['acme']['सक्षम']

स्वयंचलित SSL प्रमाणपत्र तरतूदीसाठी ACME सक्षम करा. Nginx पोर्ट 80 वर ऐकण्यापासून रोखण्यासाठी हे अक्षम करा. पहा येथे अधिक सूचनांसाठी.

असत्य

डीफॉल्ट['firezone']['ssl']['acme']['server']

प्रमाणपत्र जारी/नूतनीकरणासाठी वापरण्यासाठी ACME सर्व्हर. कोणतीही असू शकते वैध acme.sh सर्व्हर

letsencrypt

डीफॉल्ट['firezone']['ssl']['acme']['keylength']

SSL प्रमाणपत्रांसाठी की प्रकार आणि लांबी निर्दिष्ट करा. पहा येथे

ईसी -256

डीफॉल्ट['फायरझोन']['ssl']['प्रमाणपत्र']

तुमच्या FQDN साठी प्रमाणपत्र फाइलचा मार्ग. निर्दिष्ट केल्यास वर ACME सेटिंग ओव्हरराइड करते. ACME आणि हे दोन्ही शून्य असल्यास स्व-स्वाक्षरी केलेले प्रमाणपत्र तयार केले जाईल.

शून्य

डीफॉल्ट['firezone']['ssl']['certificate_key']

प्रमाणपत्र फाइलचा मार्ग.

शून्य

डीफॉल्ट['firezone']['ssl']['ssl_dhparam']

nginx ssl dh_param.

शून्य

डीफॉल्ट['firezone']['ssl']['country_name']

स्व-स्वाक्षरी केलेल्या प्रमाणपत्रासाठी देशाचे नाव.

यूएस'

डीफॉल्ट['firezone']['ssl']['state_name']

स्व-स्वाक्षरी केलेल्या प्रमाणपत्रासाठी राज्याचे नाव.

सीए '

डीफॉल्ट['firezone']['ssl']['locality_name']

स्वयं-स्वाक्षरी केलेल्या प्रमाणपत्रासाठी परिसराचे नाव.

सॅन फ्रान्सिस्को'

डीफॉल्ट['firezone']['ssl']['company_name']

कंपनीचे नाव स्व-स्वाक्षरी केलेले प्रमाणपत्र.

माझी सोबत'

डीफॉल्ट['firezone']['ssl']['organizational_unit_name']

स्वयं-स्वाक्षरी केलेल्या प्रमाणपत्रासाठी संस्थात्मक युनिटचे नाव.

ऑपरेशन्स

डीफॉल्ट['फायरझोन']['ssl']['सिफर']

Nginx वापरण्यासाठी SSL सायफर.

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’

डीफॉल्ट['फायरझोन']['ssl']['fips_ciphers']

FIPs मोडसाठी SSL सिफर.

FIPS@STRENGTH:!aNULL:!eNULL'

डीफॉल्ट['फायरझोन']['ssl']['प्रोटोकॉल']

वापरण्यासाठी TLS प्रोटोकॉल.

TLSv1 TLSv1.1 TLSv1.2′

डीफॉल्ट['firezone']['ssl']['session_cache']

SSL सत्र कॅशे.

सामायिक:SSL:4m'

डीफॉल्ट['firezone']['ssl']['session_timeout']

SSL सत्र कालबाह्य.

५ मी'

डीफॉल्ट['फायरझोन']['robots_allow']

nginx रोबोट परवानगी देतात.

/'

डीफॉल्ट['फायरझोन']['robots_disallow']

nginx रोबोट्स नाकारतात.

शून्य

डीफॉल्ट['firezone']['outbound_email']['from']

पत्त्यावरून आउटबाउंड ईमेल.

शून्य

डीफॉल्ट['firezone']['outbound_email']['provider']

आउटबाउंड ईमेल सेवा प्रदाता.

शून्य

डीफॉल्ट['firezone']['outbound_email']['configs']

आउटबाउंड ईमेल प्रदाता कॉन्फिग.

omnibus/cookbooks/firezone/attributes/default.rb पहा

डीफॉल्ट['फायरझोन']['टेलिमेट्री']['सक्षम']

अनामित उत्पादन टेलीमेट्री सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['connectivity_checks']['enabled']

फायरझोन कनेक्टिव्हिटी तपासणी सेवा सक्षम किंवा अक्षम करा.

खरे

डीफॉल्ट['firezone']['connectivity_checks']['interval']

कनेक्टिव्हिटी तपासण्यांमधील अंतर सेकंदात.

3_600



________________________________________________________________

 

फाइल आणि निर्देशिका स्थाने

 

येथे तुम्हाला विशिष्ट फायरझोन स्थापनेशी संबंधित फाइल्स आणि निर्देशिकांची सूची मिळेल. तुमच्या कॉन्फिगरेशन फाइलमधील बदलांवर अवलंबून हे बदलू शकतात.



मार्ग

वर्णन

/var/opt/firezone

फायरझोन बंडल केलेल्या सेवांसाठी डेटा आणि व्युत्पन्न कॉन्फिगरेशन असलेली शीर्ष-स्तरीय निर्देशिका.

/opt/firezone

फायरझोनला आवश्यक बिल्ट लायब्ररी, बायनरी आणि रनटाइम फाइल्स असलेली टॉप-लेव्हल डिरेक्टरी.

/usr/bin/firezone-ctl

तुमची फायरझोन स्थापना व्यवस्थापित करण्यासाठी firezone-ctl उपयुक्तता.

/etc/systemd/system/firezone-runsvdir-start.service

Firezone runvdir सुपरवायझर प्रक्रिया सुरू करण्यासाठी systemd युनिट फाइल.

/etc/firezone

फायरझोन कॉन्फिगरेशन फाइल्स.



__________________________________________________________

 

फायरवॉल टेम्पलेट्स

 

हे पृष्ठ डॉक्समध्ये रिक्त होते

 

_____________________________________________________________

 

Nftables फायरवॉल टेम्पलेट

 

खालील nftables फायरवॉल टेम्प्लेटचा वापर फायरझोनवर चालणारा सर्व्हर सुरक्षित करण्यासाठी केला जाऊ शकतो. टेम्पलेट काही गृहितक करते; तुमच्या वापराच्या बाबतीत तुम्हाला नियम समायोजित करावे लागतील:

  • वायरगार्ड इंटरफेसचे नाव wg-firezone आहे. हे बरोबर नसल्यास, डीफॉल्ट['firezone']['wireguard']['interface_name'] कॉन्फिगरेशन पर्यायाशी जुळण्यासाठी DEV_WIREGUARD व्हेरिएबल बदला.
  • WireGuard पोर्ट 51820 वर ऐकत आहे. तुम्ही डीफॉल्ट पोर्ट वापरत नसल्यास WIREGUARD_PORT व्हेरिएबल बदला.
  • सर्व्हरवर फक्त खालील इनबाउंड रहदारीला परवानगी दिली जाईल:
    • SSH (TCP पोर्ट 22)
    • HTTP (TCP पोर्ट 80)
    • HTTPS (TCP पोर्ट 443)
    • वायरगार्ड (UDP पोर्ट WIREGUARD_PORT)
    • UDP ट्रेसराउट (UDP पोर्ट 33434-33524, दर 500/सेकंद पर्यंत मर्यादित)
    • ICMP आणि ICMPv6 (पिंग/पिंग प्रतिसाद दर 2000/सेकंद पर्यंत मर्यादित)
  • सर्व्हरवरून फक्त खालील आउटबाउंड रहदारीला परवानगी दिली जाईल:
    • DNS (UDP आणि TCP पोर्ट 53)
    • HTTP (TCP पोर्ट 80)
    • NTP (UDP पोर्ट 123)
    • HTTPS (TCP पोर्ट 443)
    • SMTP सबमिशन (TCP पोर्ट 587)
    • UDP ट्रेसराउट (UDP पोर्ट 33434-33524, दर 500/सेकंद पर्यंत मर्यादित)
  • न जुळणारी रहदारी लॉग केली जाईल. लॉगिंगसाठी वापरलेले नियम रहदारी कमी करण्यासाठी नियमांपासून वेगळे केले जातात आणि दर मर्यादित आहेत. संबंधित लॉगिंग नियम काढून टाकल्याने वाहतुकीवर परिणाम होणार नाही.

फायरझोन व्यवस्थापित नियम

फायरझोन वेब इंटरफेसमध्ये कॉन्फिगर केलेल्या गंतव्यस्थानांवरील रहदारीला परवानगी देण्यासाठी/नाकारण्यासाठी आणि क्लायंट रहदारीसाठी आउटबाउंड NAT हाताळण्यासाठी स्वतःचे nftables नियम कॉन्फिगर करते.

आधीपासून चालू असलेल्या सर्व्हरवर (बूटच्या वेळी नाही) खालील फायरवॉल टेम्पलेट लागू केल्याने फायरझोन नियम साफ केले जातील. याचा सुरक्षिततेवर परिणाम होऊ शकतो.

यावर काम करण्यासाठी फिनिक्स सेवा रीस्टार्ट करा:

firezone-ctl फिनिक्स रीस्टार्ट करा

बेस फायरवॉल टेम्पलेट

#!/usr/sbin/nft -f

 

## सर्व विद्यमान नियम साफ/फ्लश करा

फ्लश नियम

 

################################ व्हेरिएबल्स ########## ###############

## इंटरनेट/WAN इंटरफेस नाव

DEV_WAN = eth0 परिभाषित करा

 

## वायरगार्ड इंटरफेस नाव

DEV_WIREGUARD = wg-फायरझोन परिभाषित करा

 

## वायरगार्ड ऐकण्याचे पोर्ट

WIREGUARD_PORT = परिभाषित करा 51820

############################# व्हेरिएबल्स एंड ############### ############

 

# मुख्य इनेट फॅमिली फिल्टरिंग टेबल

टेबल inet फिल्टर {

 

 # अग्रेषित रहदारीसाठी नियम

 # ही साखळी फायरझोन फॉरवर्ड चेनच्या आधी प्रक्रिया केली जाते

 साखळी पुढे {

   फिल्टर हुक फॉरवर्ड प्रायॉरिटी फिल्टर टाइप करा - 5; धोरण स्वीकारा

 }

 

 # इनपुट रहदारीचे नियम

 साखळी इनपुट {

   फिल्टर हुक इनपुट प्राधान्य फिल्टर टाइप करा; पॉलिसी ड्रॉप

 

   ## लूपबॅक इंटरफेसवर इनबाउंड रहदारीला परवानगी द्या

   iif lo \

     स्वीकारा \

     टिप्पणी "लूपबॅक इंटरफेसमधून सर्व रहदारीला परवानगी द्या"

 

   ## स्थापित आणि संबंधित कनेक्शनची परवानगी

   ct राज्य स्थापन, संबंधित \

     स्वीकारा \

     टिप्पणी "स्थापित/संबंधित कनेक्शनला परवानगी द्या"

 

   ## इनबाउंड वायरगार्ड रहदारीला परवानगी द्या

   iif $DEV_WAN udp dport $WIREGUARD_PORT \

     काउंटर \

     स्वीकारा \

     टिप्पणी "इनबाउंड वायरगार्ड रहदारीला परवानगी द्या"

 

   ## नवीन TCP नॉन-SYN पॅकेट लॉग आणि ड्रॉप करा

   tcp ध्वज != syn ct राज्य नवीन \

     मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \

     लॉग उपसर्ग "इन - नवीन !SYN: " \

     टिप्पणी "SYN TCP ध्वज सेट नसलेल्या नवीन कनेक्शनसाठी रेट मर्यादा लॉगिंग"

   tcp ध्वज != syn ct राज्य नवीन \

     काउंटर \

     थेंब \

     टिप्पणी "SYN TCP ध्वज संच नसलेली नवीन कनेक्शन ड्रॉप करा"

 

   ## अवैध फिन/सिन फ्लॅग सेटसह TCP पॅकेट लॉग आणि ड्रॉप करा

   tcp ध्वज आणि (fin|syn) == (fin|syn) \

     मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \

     लॉग उपसर्ग "IN - TCP FIN|SIN: " \

     टिप्पणी "अवैध फिन/सिन फ्लॅग सेटसह TCP पॅकेटसाठी रेट मर्यादा लॉगिंग"

   tcp ध्वज आणि (fin|syn) == (fin|syn) \

     काउंटर \

     थेंब \

     टिप्पणी "अवैध फिन/सिन फ्लॅग सेटसह टीसीपी पॅकेट्स टाका"

 

   ## अवैध सिंक/पहिला ध्वज संच असलेले TCP पॅकेट लॉग आणि ड्रॉप करा

   tcp ध्वज आणि (syn|rst) == (syn|rst) \

     मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \

     लॉग उपसर्ग "इन - TCP SYN|RST: " \

     टिप्पणी "अवैध syn/पहिला ध्वज संच असलेल्या TCP पॅकेटसाठी रेट मर्यादा लॉगिंग"

   tcp ध्वज आणि (syn|rst) == (syn|rst) \

     काउंटर \

     थेंब \

     टिप्पणी "अवैध सिंक/पहिला ध्वज संच असलेली TCP पॅकेट्स ड्रॉप करा"

 

   ## अवैध TCP ध्वज लॉग आणि ड्रॉप करा

   tcp ध्वज आणि (fin|syn|rst|psh|ack|urg) < (fin) \

     मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \

     लॉग उपसर्ग "इन - फिन:" \

     टिप्पणी "अवैध TCP ध्वजांसाठी रेट लिमिट लॉगिंग (fin|syn|rst|psh|ack|urg) < (fin)"

   tcp ध्वज आणि (fin|syn|rst|psh|ack|urg) < (fin) \

     काउंटर \

     थेंब \

     टिप्पणी “ध्वजांसह टीसीपी पॅकेट्स ड्रॉप करा (फिन|syn|rst|psh|ack|urg) < (फिन)”

 

   ## अवैध TCP ध्वज लॉग आणि ड्रॉप करा

   tcp ध्वज आणि (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \

     मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \

     लॉग उपसर्ग "इन - फिन|पीएसएच|यूआरजी:" \

     टिप्पणी "अवैध TCP ध्वजांसाठी रेट लिमिट लॉगिंग (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"

   tcp ध्वज आणि (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \

     काउंटर \

     थेंब \

     टिप्पणी “ध्वजांसह टीसीपी पॅकेट टाका (फिन|syn|rst|psh|ack|urg) == (fin|psh|urg)”

 

   ## अवैध कनेक्शन स्थितीसह रहदारी कमी करा

   ct स्थिती अवैध \

     मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \

     लॉग फ्लॅग सर्व उपसर्ग "IN - अवैध: " \

     टिप्पणी "अवैध कनेक्शन स्थितीसह रहदारीसाठी रेट मर्यादा लॉगिंग"

   ct स्थिती अवैध \

     काउंटर \

     थेंब \

     टिप्पणी "अवैध कनेक्शन स्थितीसह रहदारी कमी करा"

 

   ## IPv4 पिंग/पिंग प्रतिसादांना परवानगी द्या परंतु दर मर्यादा 2000 PPS पर्यंत

   ip प्रोटोकॉल icmp icmp प्रकार { echo-reply, echo-request } \

     मर्यादा दर 2000/सेकंद \

     काउंटर \

     स्वीकारा \

     टिप्पणी "परमिट इनबाउंड IPv4 इको (पिंग) 2000 PPS पर्यंत मर्यादित"

 

   ## इतर सर्व इनबाउंड IPv4 ICMP ला परवानगी द्या

   ip प्रोटोकॉल icmp \

     काउंटर \

     स्वीकारा \

     टिप्पणी “इतर सर्व IPv4 ICMP ला परवानगी द्या”

 

   ## IPv6 पिंग/पिंग प्रतिसादांना परवानगी द्या परंतु दर मर्यादा 2000 PPS पर्यंत

   icmpv6 प्रकार { echo-reply, echo-request } \

     मर्यादा दर 2000/सेकंद \

     काउंटर \

     स्वीकारा \

     टिप्पणी "परमिट इनबाउंड IPv6 इको (पिंग) 2000 PPS पर्यंत मर्यादित"

 

   ## इतर सर्व इनबाउंड IPv6 ICMP ला परवानगी द्या

   मेटा l4proto { icmpv6 } \

     काउंटर \

     स्वीकारा \

     टिप्पणी “इतर सर्व IPv6 ICMP ला परवानगी द्या”

 

   ## इनबाउंड ट्रेसराउट UDP पोर्टला परवानगी द्या परंतु 500 PPS पर्यंत मर्यादित करा

   udp dport 33434-33524\

     मर्यादा दर 500/सेकंद \

     काउंटर \

     स्वीकारा \

     टिप्पणी "परमिट इनबाउंड UDP ट्रेसराउट 500 PPS पर्यंत मर्यादित"

 

   ## इनबाउंड SSH ला परवानगी द्या

   tcp dport एसएसएच ct राज्य नवीन \

     काउंटर \

     स्वीकारा \

     टिप्पणी "इनबाउंड SSH कनेक्शनला परवानगी द्या"

 

   ## इनबाउंड HTTP आणि HTTPS ला परवानगी द्या

   tcp dport { http, https } ct नवीन स्थिती \

     काउंटर \

     स्वीकारा \

     टिप्पणी "इनबाउंड HTTP आणि HTTPS कनेक्शनला परवानगी द्या"

 

   ## कोणतीही न जुळणारी रहदारी लॉग करा परंतु कमाल 60 मेसेज/मिनिट लॉगिंगची मर्यादा

   ## डीफॉल्ट धोरण न जुळणार्‍या रहदारीवर लागू केले जाईल

   मर्यादा दर 60/मिनिट फुटणे 100 पॅकेट्स \

     लॉग उपसर्ग "इन - ड्रॉप: " \

     टिप्पणी “कोणतीही न जुळणारी रहदारी लॉग करा”

 

   ## न जुळणारी रहदारी मोजा

   काउंटर \

     टिप्पणी "कोणत्याही न जुळणार्‍या रहदारीची गणना करा"

 }

 

 # आउटपुट रहदारीसाठी नियम

 साखळी आउटपुट {

   फिल्टर हुक आउटपुट प्राधान्य फिल्टर टाइप करा; पॉलिसी ड्रॉप

 

   ## लूपबॅक इंटरफेसवर आउटबाउंड रहदारीला परवानगी द्या

   oif lo \

     स्वीकारा \

     टिप्पणी "सर्व रहदारीला लूपबॅक इंटरफेसवर परवानगी द्या"

 

   ## स्थापित आणि संबंधित कनेक्शनची परवानगी

   ct राज्य स्थापन, संबंधित \

     काउंटर \

     स्वीकारा \

     टिप्पणी "स्थापित/संबंधित कनेक्शनला परवानगी द्या"

 

   ## खराब स्थितीसह कनेक्शन सोडण्यापूर्वी आउटबाउंड वायरगार्ड रहदारीला परवानगी द्या

   oif $DEV_WAN udp स्पोर्ट $WIREGUARD_PORT \

     काउंटर \

     स्वीकारा \

     टिप्पणी “वायरगार्ड आउटबाउंड रहदारीला परवानगी द्या”

 

   ## अवैध कनेक्शन स्थितीसह रहदारी कमी करा

   ct स्थिती अवैध \

     मर्यादा दर 100/मिनिट फुटणे 150 पॅकेट्स \

     लॉग फ्लॅग सर्व उपसर्ग "बाहेर - अवैध: " \

     टिप्पणी "अवैध कनेक्शन स्थितीसह रहदारीसाठी रेट मर्यादा लॉगिंग"

   ct स्थिती अवैध \

     काउंटर \

     थेंब \

     टिप्पणी "अवैध कनेक्शन स्थितीसह रहदारी कमी करा"

 

   ## इतर सर्व आउटबाउंड IPv4 ICMP ला परवानगी द्या

   ip प्रोटोकॉल icmp \

     काउंटर \

     स्वीकारा \

     टिप्पणी “सर्व IPv4 ICMP प्रकारांना परवानगी द्या”

 

   ## इतर सर्व आउटबाउंड IPv6 ICMP ला परवानगी द्या

   मेटा l4proto { icmpv6 } \

     काउंटर \

     स्वीकारा \

     टिप्पणी “सर्व IPv6 ICMP प्रकारांना परवानगी द्या”

 

   ## आउटबाउंड ट्रेसराउट UDP पोर्टला परवानगी द्या परंतु 500 PPS पर्यंत मर्यादित करा

   udp dport 33434-33524\

     मर्यादा दर 500/सेकंद \

     काउंटर \

     स्वीकारा \

     टिप्पणी "परमिट आउटबाउंड UDP ट्रेसराउट 500 PPS पर्यंत मर्यादित"

 

   ## आउटबाउंड HTTP आणि HTTPS कनेक्शनला परवानगी द्या

   tcp dport { http, https } ct नवीन स्थिती \

     काउंटर \

     स्वीकारा \

     टिप्पणी "आउटबाउंड HTTP आणि HTTPS कनेक्शनला परवानगी द्या"

 

   ## आउटबाउंड SMTP सबमिशनला परवानगी द्या

   tcp dport सबमिशन सीटी राज्य नवीन \

     काउंटर \

     स्वीकारा \

     टिप्पणी “आउटबाउंड SMTP सबमिशनला परवानगी द्या”

 

   ## आउटबाउंड DNS विनंत्यांना परवानगी द्या

   udp dport 53 \

     काउंटर \

     स्वीकारा \

     टिप्पणी "आउटबाउंड UDP DNS विनंत्यांना परवानगी द्या"

   tcp dport 53 \

     काउंटर \

     स्वीकारा \

     टिप्पणी "आउटबाउंड TCP DNS विनंत्यांना परवानगी द्या"

 

   ## आउटबाउंड NTP विनंत्यांना परवानगी द्या

   udp dport 123 \

     काउंटर \

     स्वीकारा \

     टिप्पणी "बाहेर जाणाऱ्या NTP विनंतींना परवानगी द्या"

 

   ## कोणतीही न जुळणारी रहदारी लॉग करा परंतु कमाल 60 मेसेज/मिनिट लॉगिंगची मर्यादा

   ## डीफॉल्ट धोरण न जुळणार्‍या रहदारीवर लागू केले जाईल

   मर्यादा दर 60/मिनिट फुटणे 100 पॅकेट्स \

     लॉग उपसर्ग "बाहेर - ड्रॉप: " \

     टिप्पणी “कोणतीही न जुळणारी रहदारी लॉग करा”

 

   ## न जुळणारी रहदारी मोजा

   काउंटर \

     टिप्पणी "कोणत्याही न जुळणार्‍या रहदारीची गणना करा"

 }

 

}

 

# मुख्य NAT फिल्टरिंग टेबल

टेबल inet nat {

 

 # NAT ट्रॅफिक प्री-राउटिंगसाठी नियम

 चेन प्रीरूटिंग {

   nat हुक prerouting priority dstnat टाइप करा; धोरण स्वीकारा

 }

 

 # NAT ट्रॅफिक पोस्ट-राउटिंगसाठी नियम

 # या सारणीवर फायरझोन पोस्ट-राउटिंग साखळीच्या आधी प्रक्रिया केली जाते

 चेन पोस्टरूटिंग {

   नेट हुक पोस्टरूटिंग प्राधान्य srcnat टाइप करा - 5; धोरण स्वीकारा

 }

 

}

वापर

फायरवॉल चालू असलेल्या लिनक्स वितरणासाठी संबंधित ठिकाणी संग्रहित केले पाहिजे. डेबियन/उबंटूसाठी हे /etc/nftables.conf आहे आणि RHEL साठी हे /etc/sysconfig/nftables.conf आहे.

nftables.service ला बूट सुरू करण्यासाठी कॉन्फिगर करणे आवश्यक आहे (आधीच नसल्यास) सेट:

systemctl nftables.service सक्षम करा

फायरवॉल टेम्प्लेटमध्ये कोणतेही बदल करत असल्यास, चेक कमांड चालवून वाक्यरचना प्रमाणित केली जाऊ शकते:

nft -f /path/to/nftables.conf -c

फायरवॉलची कार्ये अपेक्षेप्रमाणे प्रमाणित करण्याचे सुनिश्चित करा कारण सर्व्हरवर चालणाऱ्या रिलीझवर अवलंबून काही nftables वैशिष्ट्ये उपलब्ध नसतील.



_______________________________________________________________



टेलीमेट्री

 

हा दस्तऐवज तुमच्या सेल्फ-होस्ट केलेल्या उदाहरणावरून गोळा केलेल्या टेलीमेट्री फायरझोनचे विहंगावलोकन सादर करतो आणि ते कसे अक्षम करावे.

फायरझोन टेलीमेट्री का गोळा करते

फायरझोन अवलंबून टेलीमेट्रीवर आमच्या रोडमॅपला प्राधान्य देण्यासाठी आणि फायरझोन प्रत्येकासाठी अधिक चांगले बनवण्यासाठी आमच्याकडे असलेल्या अभियांत्रिकी संसाधनांना ऑप्टिमाइझ करण्यासाठी.

आम्ही संकलित करत असलेल्या टेलीमेट्रीचा उद्देश खालील प्रश्नांची उत्तरे देणे आहे:

  • किती लोक फायरझोन स्थापित करतात, वापरतात आणि वापरणे थांबवतात?
  • कोणती वैशिष्‍ट्ये सर्वात मौल्यवान आहेत आणि कोणत्‍याचा उपयोग दिसत नाही?
  • कोणत्या कार्यक्षमतेमध्ये सर्वात जास्त सुधारणा आवश्यक आहे?
  • जेव्हा एखादी गोष्ट तुटते तेव्हा ती का तुटली आणि भविष्यात ती घडण्यापासून आपण कसे रोखू शकतो?

आम्ही टेलीमेट्री कशी गोळा करतो

फायरझोनमध्ये तीन मुख्य ठिकाणे आहेत जिथे टेलीमेट्री गोळा केली जाते:

  1. पॅकेज टेलीमेट्री. इंस्टॉल, अनइंस्टॉल आणि अपग्रेड यासारख्या इव्हेंटचा समावेश आहे.
  2. फायरझोन-सीटीएल कमांडमधून सीएलआय टेलीमेट्री.
  3. वेब पोर्टलशी संबंधित उत्पादन टेलीमेट्री.

या तीन संदर्भांपैकी प्रत्येकामध्ये, आम्ही वरील विभागातील प्रश्नांची उत्तरे देण्यासाठी आवश्यक असलेला किमान डेटा कॅप्चर करतो.

तुम्ही उत्पादन अद्यतनांसाठी स्पष्टपणे निवड केली तरच प्रशासन ईमेल संकलित केले जातात. अन्यथा, वैयक्तिकरित्या ओळखण्यायोग्य माहिती आहे नाही गोळा

फायरझोन खाजगी कुबर्नेट्स क्लस्टरमध्ये चालणाऱ्या पोस्टहॉगच्या स्वयं-होस्ट केलेल्या उदाहरणामध्ये टेलीमेट्री संचयित करते, केवळ फायरझोन टीमद्वारे प्रवेशयोग्य. येथे टेलीमेट्री इव्हेंटचे उदाहरण आहे जे तुमच्या फायरझोनच्या उदाहरणावरून आमच्या टेलीमेट्री सर्व्हरवर पाठवले जाते:

{

   "आयडी": “0182272d-0b88-0000-d419-7b9a413713f1”,

   "टाइमस्टॅम्प": “2022-07-22T18:30:39.748000+00:00”,

   "घटना": "fz_http_started",

   "स्पष्ट_आयडी": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,

   "गुणधर्म":

       "$geoip_city_name": "अॅशबर्न",

       "$geoip_continent_code": "NA",

       "$geoip_continent_name": "उत्तर अमेरीका",

       "$geoip_country_code": "यूएस",

       "$geoip_country_name": "संयुक्त राष्ट्र",

       "$geoip_latitude": 39.0469,

       "$geoip_longitude": -77.4903,

       "$geoip_postal_code": "20149",

       "$geoip_subdivision_1_code": "VA",

       "$geoip_subdivision_1_name": "व्हर्जिनिया",

       "$geoip_time_zone": "अमेरिका/न्यूयॉर्क",

       "$ip": "52.200.241.107",

       "$plugins_deferred": [],

       "$plugins_failed": [],

       "$plugins_succeeded": [

           "GeoIP (3)"

       ],

       "स्पष्ट_आयडी": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,

       "fqdn": "awsdemo.firezone.dev",

       "kernel_version": लिनक्स ५.१३.०,

       "आवृत्ती": "0.4.6"

   },

   "तत्वांची_साखळी": ""

}

टेलीमेट्री कशी अक्षम करावी

सुचना

फायरझोन डेव्हलपमेंट टीम अवलंबून प्रत्येकासाठी फायरझोन अधिक चांगले बनवण्यासाठी उत्पादन विश्लेषणावर. टेलीमेट्री सक्षम करणे हे फायरझोनच्या विकासासाठी तुम्ही करू शकणारे सर्वात मौल्यवान योगदान आहे. ते म्हणाले, आम्ही समजतो की काही वापरकर्त्यांना उच्च गोपनीयता किंवा सुरक्षितता आवश्यकता आहे आणि ते टेलिमेट्री पूर्णपणे अक्षम करण्यास प्राधान्य देतात. ते तुम्ही असल्यास, वाचत रहा.

टेलिमेट्री बाय डीफॉल्ट सक्षम आहे. उत्पादन टेलीमेट्री पूर्णपणे अक्षम करण्यासाठी, खालील कॉन्फिगरेशन पर्याय /etc/firezone/firezone.rb मध्ये असत्य वर सेट करा आणि बदल उचलण्यासाठी sudo firezone-ctl reconfigure चालवा.

डिफॉल्ट['फायरझोन']['टेलिमेट्री']['सक्षम'] = खोटे

ते सर्व उत्पादन टेलिमेट्री पूर्णपणे अक्षम करेल.