பட்டி
Firezone GUI உடன் Hailbytes VPNஐப் பயன்படுத்துவதற்கான படிப்படியான வழிமுறைகள் இங்கே வழங்கப்பட்டுள்ளன.
நிர்வாகம்: சேவையக நிகழ்வை அமைப்பது இந்தப் பகுதியுடன் நேரடியாக தொடர்புடையது.
பயனர் வழிகாட்டிகள்: Firezone ஐ எவ்வாறு பயன்படுத்துவது மற்றும் பொதுவான சிக்கல்களைத் தீர்ப்பது எப்படி என்பதை உங்களுக்குக் கற்பிக்கும் பயனுள்ள ஆவணங்கள். சேவையகம் வெற்றிகரமாக பயன்படுத்தப்பட்ட பிறகு, இந்தப் பகுதியைப் பார்க்கவும்.
ஸ்பிலிட் டன்னலிங்: குறிப்பிட்ட ஐபி வரம்புகளுக்கு மட்டும் டிராஃபிக்கை அனுப்ப VPN ஐப் பயன்படுத்தவும்.
அனுமதிப்பட்டியல்: அனுமதிப்பட்டியலைப் பயன்படுத்த VPN சேவையகத்தின் நிலையான IP முகவரியை அமைக்கவும்.
தலைகீழ் சுரங்கங்கள்: தலைகீழ் சுரங்கங்களைப் பயன்படுத்தி பல சகாக்களுக்கு இடையில் சுரங்கங்களை உருவாக்கவும்.
Hailbytes VPN ஐ நிறுவுதல், தனிப்பயனாக்குதல் அல்லது பயன்படுத்துதல் போன்றவற்றில் உங்களுக்கு உதவி தேவைப்பட்டால் நாங்கள் உங்களுக்கு உதவ மகிழ்ச்சியடைகிறோம்.
பயனர்கள் சாதன உள்ளமைவு கோப்புகளை உருவாக்க அல்லது பதிவிறக்கும் முன், அங்கீகாரம் தேவைப்படும் வகையில் Firezone ஐ உள்ளமைக்க முடியும். பயனர்கள் தங்கள் VPN இணைப்பைச் செயலில் வைத்திருக்க, அவ்வப்போது மீண்டும் அங்கீகரிக்க வேண்டியிருக்கலாம்.
Firezone இன் இயல்புநிலை உள்நுழைவு முறை உள்ளூர் மின்னஞ்சல் மற்றும் கடவுச்சொல் என்றாலும், இது எந்த தரப்படுத்தப்பட்ட OpenID Connect (OIDC) அடையாள வழங்குநருடனும் ஒருங்கிணைக்கப்படலாம். பயனர்கள் இப்போது தங்கள் Okta, Google, Azure AD அல்லது தனிப்பட்ட அடையாள வழங்குநரின் நற்சான்றிதழ்களைப் பயன்படுத்தி Firezone இல் உள்நுழைய முடியும்.
ஒரு பொதுவான OIDC வழங்குநரை ஒருங்கிணைக்கவும்
OIDC வழங்குநரைப் பயன்படுத்தி SSO ஐ அனுமதிக்க Firezoneக்குத் தேவையான கட்டமைப்பு அளவுருக்கள் கீழே உள்ள எடுத்துக்காட்டில் காட்டப்பட்டுள்ளன. /etc/firezone/firezone.rb இல், நீங்கள் கட்டமைப்பு கோப்பைக் காணலாம். பயன்பாட்டைப் புதுப்பிக்க மற்றும் மாற்றங்களைச் செயல்படுத்த firezone-ctl reconfigure ஐ இயக்கவும் மற்றும் firezone-ctl மறுதொடக்கம் செய்யவும்.
# இது Google மற்றும் Okta ஐ SSO அடையாள வழங்குநராகப் பயன்படுத்துவதற்கான எடுத்துக்காட்டு.
# ஒரே Firezone நிகழ்வில் பல OIDC கட்டமைப்புகளைச் சேர்க்கலாம்.
# முயற்சியில் ஏதேனும் பிழை கண்டறியப்பட்டால், பயனரின் VPNயை Firezone முடக்கலாம்
# அவர்களின் அணுகல்_டோக்கனைப் புதுப்பிக்க. இது Google, Okta மற்றும் க்கு வேலை செய்ய சரிபார்க்கப்பட்டது
# Azure SSO மற்றும் பயனரின் VPN அகற்றப்பட்டால் தானாகவே துண்டிக்கப் பயன்படுகிறது
# OIDC வழங்குநரிடமிருந்து. உங்கள் OIDC வழங்குநராக இருந்தால், இதை முடக்கவும்
அணுகல் டோக்கன்களைப் புதுப்பிப்பதில் # சிக்கல்கள் உள்ளன, ஏனெனில் அது எதிர்பாராத விதமாக குறுக்கிடலாம் a
# பயனரின் VPN அமர்வு.
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = false
default['firezone']['authentication']['oidc'] = {
கூகிள்: {
Discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
வாடிக்கையாளர்_ஐடி: " ”,
வாடிக்கையாளர்_ரகசியம்: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
பதில்_வகை: “குறியீடு”,
நோக்கம்: "திறந்த மின்னஞ்சல் சுயவிவரம்",
லேபிள்: "Google"
},
okta: {
Discovery_document_uri: “https:// /.well-known/openid-configuration”,
வாடிக்கையாளர்_ஐடி: " ”,
வாடிக்கையாளர்_ரகசியம்: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
பதில்_வகை: “குறியீடு”,
நோக்கம்: “திறந்த மின்னஞ்சல் சுயவிவரம் offline_access”,
லேபிள்: "ஒக்டா"
}
}
ஒருங்கிணைப்புக்கு பின்வரும் கட்டமைப்பு அமைப்புகள் தேவை:
ஒவ்வொரு OIDC வழங்குநருக்கும், உள்ளமைக்கப்பட்ட வழங்குநரின் உள்நுழைவு URL க்கு திருப்பிவிட, தொடர்புடைய அழகான URL உருவாக்கப்படுகிறது. மேலே உள்ள OIDC கட்டமைப்புக்கு, URLகள்:
வழங்குநர்கள் எங்களிடம் ஆவணங்கள் உள்ளன:
உங்கள் அடையாள வழங்குநரிடம் பொதுவான OIDC இணைப்பான் இருந்தால் மற்றும் மேலே பட்டியலிடப்படவில்லை என்றால், தேவையான உள்ளமைவு அமைப்புகளை எவ்வாறு மீட்டெடுப்பது என்பது பற்றிய தகவலுக்கு, தயவுசெய்து அவர்களின் ஆவணங்களுக்குச் செல்லவும்.
அமைப்புகள்/பாதுகாப்பின் கீழ் உள்ள அமைப்பை அவ்வப்போது மறு அங்கீகாரம் தேவைப்படும் வகையில் மாற்றலாம். பயனர்கள் தங்கள் VPN அமர்வைத் தொடர, Firezoneக்குள் தொடர்ந்து நுழைய வேண்டிய தேவையைச் செயல்படுத்த இது பயன்படுத்தப்படலாம்.
அமர்வு நீளம் ஒரு மணிநேரம் மற்றும் தொண்ணூறு நாட்களுக்கு இடையில் உள்ளமைக்கப்படலாம். இதை Never என அமைப்பதன் மூலம் எந்த நேரத்திலும் VPN அமர்வுகளை இயக்கலாம். இதுதான் தரநிலை.
காலாவதியான VPN அமர்வை மீண்டும் அங்கீகரிப்பதற்காக ஒரு பயனர் தனது VPN அமர்வை முடித்துவிட்டு Firezone போர்ட்டலில் உள்நுழைய வேண்டும் (பயன்படுத்தும் போது குறிப்பிடப்பட்ட URL).
இங்கே காணப்படும் துல்லியமான கிளையன்ட் வழிமுறைகளைப் பின்பற்றுவதன் மூலம் உங்கள் அமர்வை மீண்டும் அங்கீகரிக்கலாம்.
VPN இணைப்பின் நிலை
பயனர்கள் பக்கத்தின் VPN இணைப்பு அட்டவணை நெடுவரிசை பயனரின் இணைப்பு நிலையைக் காட்டுகிறது. இவை இணைப்பு நிலைகள்:
இயக்கப்பட்டது - இணைப்பு இயக்கப்பட்டது.
முடக்கப்பட்டது - நிர்வாகி அல்லது OIDC புதுப்பித்தல் தோல்வியால் இணைப்பு முடக்கப்பட்டது.
காலாவதியானது - அங்கீகாரம் காலாவதியாகிவிட்டதால் இணைப்பு முடக்கப்பட்டது அல்லது பயனர் முதல் முறையாக உள்நுழையவில்லை.
பொதுவான OIDC இணைப்பான் மூலம், Firezone Google Workspace மற்றும் Cloud Identity மூலம் ஒற்றை உள்நுழைவை (SSO) செயல்படுத்துகிறது. ஒருங்கிணைப்புக்குத் தேவையான, கீழே பட்டியலிடப்பட்டுள்ள உள்ளமைவு அளவுருக்களை எவ்வாறு பெறுவது என்பதை இந்த வழிகாட்டி உங்களுக்குக் காண்பிக்கும்:
1. OAuth கட்டமைப்பு திரை
நீங்கள் புதிய OAuth கிளையன்ட் ஐடியை உருவாக்குவது இதுவே முதல் முறை என்றால், ஒப்புதல் திரையை உள்ளமைக்கும்படி கேட்கப்படுவீர்கள்.
*பயனர் வகைக்கான அகத்தைத் தேர்ந்தெடுக்கவும். உங்கள் Google Workspace நிறுவனத்தில் உள்ள பயனர்களின் கணக்குகள் மட்டுமே சாதன கட்டமைப்புகளை உருவாக்க முடியும் என்பதை இது உறுதி செய்கிறது. செல்லுபடியாகும் Google கணக்கைக் கொண்ட எவரையும் சாதன கட்டமைப்புகளை உருவாக்க நீங்கள் இயக்க விரும்பினால் தவிர, வெளிப்புறத்தைத் தேர்ந்தெடுக்க வேண்டாம்.
ஆப்ஸ் தகவல் திரையில்:
2. OAuth கிளையண்ட் ஐடிகளை உருவாக்கவும்
இந்தப் பிரிவு Google இன் சொந்த ஆவணங்களை அடிப்படையாகக் கொண்டது OAuth 2.0 ஐ அமைக்கிறது.
Google Cloud Consoleஐப் பார்வையிடவும் நற்சான்றிதழ்கள் பக்கம் பக்கம், + நற்சான்றிதழ்களை உருவாக்கு என்பதைக் கிளிக் செய்து OAuth கிளையன்ட் ஐடியைத் தேர்ந்தெடுக்கவும்.
OAuth கிளையன்ட் ஐடி உருவாக்கும் திரையில்:
OAuth கிளையன்ட் ஐடியை உருவாக்கிய பிறகு, உங்களுக்கு கிளையண்ட் ஐடி மற்றும் கிளையண்ட் ரகசியம் வழங்கப்படும். அடுத்த கட்டத்தில் திருப்பிவிடப்படும் URI உடன் இவை பயன்படுத்தப்படும்.
தொகு /etc/firezone/firezone.rb கீழே உள்ள விருப்பங்களைச் சேர்க்க:
# Google ஐ SSO அடையாள வழங்குநராகப் பயன்படுத்துதல்
default['firezone']['authentication']['oidc'] = {
கூகிள்: {
Discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
வாடிக்கையாளர்_ஐடி: " ”,
வாடிக்கையாளர்_ரகசியம்: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
பதில்_வகை: “குறியீடு”,
நோக்கம்: "திறந்த மின்னஞ்சல் சுயவிவரம்",
லேபிள்: "Google"
}
}
பயன்பாட்டைப் புதுப்பிக்க firezone-ctl மறுகட்டமைப்பை இயக்கவும் மற்றும் firezone-ctl மறுதொடக்கம் செய்யவும். நீங்கள் இப்போது ரூட் Firezone URL இல் Google உடன் உள்நுழைய பொத்தானைப் பார்க்க வேண்டும்.
Okta உடன் ஒற்றை உள்நுழைவை (SSO) எளிதாக்குவதற்கு Firezone பொதுவான OIDC இணைப்பியைப் பயன்படுத்துகிறது. ஒருங்கிணைப்புக்குத் தேவையான, கீழே பட்டியலிடப்பட்டுள்ள உள்ளமைவு அளவுருக்களை எவ்வாறு பெறுவது என்பதை இந்தப் பயிற்சி உங்களுக்குக் காண்பிக்கும்:
வழிகாட்டியின் இந்த பகுதி அடிப்படையாக கொண்டது ஒக்டாவின் ஆவணங்கள்.
நிர்வாகி கன்சோலில், பயன்பாடுகள் > பயன்பாடுகள் என்பதற்குச் சென்று, பயன்பாட்டு ஒருங்கிணைப்பை உருவாக்கு என்பதைக் கிளிக் செய்யவும். உள்நுழைவு முறையை OICD – OpenID இணைப்பு மற்றும் பயன்பாட்டு வகையை இணைய பயன்பாட்டிற்கு அமைக்கவும்.
இந்த அமைப்புகளை உள்ளமைக்கவும்:
அமைப்புகள் சேமிக்கப்பட்டதும், உங்களுக்கு கிளையண்ட் ஐடி, கிளையண்ட் ரகசியம் மற்றும் ஓக்டா டொமைன் வழங்கப்படும். இந்த 3 மதிப்புகள் Firezone ஐ உள்ளமைக்க படி 2 இல் பயன்படுத்தப்படும்.
தொகு /etc/firezone/firezone.rb கீழே உள்ள விருப்பங்களைச் சேர்க்க. உங்கள் கண்டுபிடிப்பு_ஆவண_url இருக்கும் /. well-known/openid-configuration உங்கள் முடிவில் இணைக்கப்பட்டது okta_domain.
# SSO அடையாள வழங்குநராக Okta ஐப் பயன்படுத்துதல்
default['firezone']['authentication']['oidc'] = {
okta: {
Discovery_document_uri: “https:// /.well-known/openid-configuration”,
வாடிக்கையாளர்_ஐடி: " ”,
வாடிக்கையாளர்_ரகசியம்: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
பதில்_வகை: “குறியீடு”,
நோக்கம்: “திறந்த மின்னஞ்சல் சுயவிவரம் offline_access”,
லேபிள்: "ஒக்டா"
}
}
பயன்பாட்டைப் புதுப்பிக்க firezone-ctl மறுகட்டமைப்பை இயக்கவும் மற்றும் firezone-ctl மறுதொடக்கம் செய்யவும். நீங்கள் இப்போது ரூட் ஃபயர்சோன் URL இல் Okta பொத்தானைக் கொண்டு உள்நுழைவதைப் பார்க்க வேண்டும்.
Firezone பயன்பாட்டை அணுகக்கூடிய பயனர்கள் Okta ஆல் கட்டுப்படுத்தப்படலாம். இதை நிறைவேற்ற உங்கள் Okta Admin Console இன் Firezone App Integration's Assignments பக்கத்திற்குச் செல்லவும்.
பொதுவான OIDC இணைப்பான் மூலம், ஃபயர்ஸோன் அஸூர் ஆக்டிவ் டைரக்டரியுடன் ஒற்றை உள்நுழைவை (SSO) செயல்படுத்துகிறது. ஒருங்கிணைப்புக்குத் தேவையான, கீழே பட்டியலிடப்பட்டுள்ள உள்ளமைவு அளவுருக்களை எவ்வாறு பெறுவது என்பதை இந்த கையேடு உங்களுக்குக் காண்பிக்கும்:
இந்த வழிகாட்டி இதிலிருந்து எடுக்கப்பட்டது அஸூர் ஆக்டிவ் டைரக்டரி டாக்ஸ்.
Azure போர்ட்டலின் Azure Active Directory பக்கத்திற்குச் செல்லவும். நிர்வகி மெனு விருப்பத்தைத் தேர்வுசெய்து, புதிய பதிவைத் தேர்ந்தெடுத்து, கீழே உள்ள தகவலை வழங்குவதன் மூலம் பதிவு செய்யவும்:
பதிவுசெய்த பிறகு, விண்ணப்பத்தின் விவரக் காட்சியைத் திறந்து அதை நகலெடுக்கவும் விண்ணப்பம் (வாடிக்கையாளர்) ஐடி. இது கிளையன்ட்_ஐடி மதிப்பாக இருக்கும். அடுத்து, அதை மீட்டெடுக்க இறுதிப்புள்ளிகள் மெனுவைத் திறக்கவும் OpenID இணைப்பு மெட்டாடேட்டா ஆவணம். இது Discovery_document_uri மதிப்பாக இருக்கும்.
நிர்வகி மெனுவின் கீழ் உள்ள சான்றிதழ்கள் & ரகசியங்கள் விருப்பத்தை கிளிக் செய்வதன் மூலம் புதிய கிளையன்ட் ரகசியத்தை உருவாக்கவும். வாடிக்கையாளர் ரகசியத்தை நகலெடுக்கவும்; வாடிக்கையாளர் ரகசிய மதிப்பு இதுவாக இருக்கும்.
கடைசியாக, நிர்வகி மெனுவின் கீழ் API அனுமதிகள் இணைப்பைத் தேர்ந்தெடுத்து, கிளிக் செய்யவும் அனுமதியைச் சேர்க்கவும், மற்றும் தேர்ந்தெடுக்கவும் மைக்ரோசாப்ட் வரைபடம், சேர் மின்னஞ்சல், திறந்த, ஆஃப்லைன்_அணுகல் மற்றும் சுயவிவர தேவையான அனுமதிகளுக்கு.
தொகு /etc/firezone/firezone.rb கீழே உள்ள விருப்பங்களைச் சேர்க்க:
# Azure Active Directory ஐ SSO அடையாள வழங்குநராகப் பயன்படுத்துதல்
default['firezone']['authentication']['oidc'] = {
நீலநிறம்: {
Discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
வாடிக்கையாளர்_ஐடி: " ”,
வாடிக்கையாளர்_ரகசியம்: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
பதில்_வகை: “குறியீடு”,
நோக்கம்: “திறந்த மின்னஞ்சல் சுயவிவரம் offline_access”,
லேபிள்: "அஸூர்"
}
}
பயன்பாட்டைப் புதுப்பிக்க firezone-ctl மறுகட்டமைப்பை இயக்கவும் மற்றும் firezone-ctl மறுதொடக்கம் செய்யவும். நீங்கள் இப்போது ரூட் ஃபயர்சோன் URL இல் Azure பொத்தானைக் கொண்டு உள்நுழைவதைப் பார்க்க வேண்டும்.
Azure AD ஆனது, உங்கள் நிறுவனத்தில் உள்ள பயனர்களின் குறிப்பிட்ட குழுவிற்கு ஆப்ஸ் அணுகலை கட்டுப்படுத்த நிர்வாகிகளுக்கு உதவுகிறது. இதை எப்படி செய்வது என்பது பற்றிய கூடுதல் தகவல்களை மைக்ரோசாஃப்ட் ஆவணத்தில் காணலாம்.
வெளியீட்டு பேக்கேஜிங், செயல்முறை மேற்பார்வை, பதிவு மேலாண்மை மற்றும் பல உள்ளிட்ட பணிகளை நிர்வகிக்க செஃப் ஆம்னிபஸ் Firezone ஆல் பயன்படுத்தப்படுகிறது.
ரூபி குறியீடு முதன்மை உள்ளமைவு கோப்பை உருவாக்குகிறது, இது /etc/firezone/firezone.rb இல் உள்ளது. இந்தக் கோப்பில் மாற்றங்களைச் செய்த பிறகு sudo firezone-ctl மறுகட்டமைப்பை மறுதொடக்கம் செய்வது, செஃப் மாற்றங்களை அடையாளம் கண்டு அவற்றை தற்போதைய இயக்க முறைமையில் பயன்படுத்துகிறது.
உள்ளமைவு மாறிகள் மற்றும் அவற்றின் விளக்கங்களின் முழுமையான பட்டியலுக்கு உள்ளமைவு கோப்பு குறிப்பைப் பார்க்கவும்.
உங்கள் Firezone நிகழ்வை இதன் மூலம் நிர்வகிக்கலாம் firezone-ctl கட்டளை, கீழே காட்டப்பட்டுள்ளது. பெரும்பாலான துணைக் கட்டளைகளுக்கு முன்னொட்டு தேவை சூடோ.
ரூட்@டெமோ:~# firezone-ctl
omnibus-ctl: கட்டளை (துணை கட்டளை)
பொது கட்டளைகள்:
சுத்தப்படுத்தும்
*அனைத்து* ஃபயர்ஸோன் தரவையும் நீக்கி, புதிதாக தொடங்கவும்.
உருவாக்கு-அல்லது-மீட்டமை-நிர்வாகம்
நிர்வாகிக்கான கடவுச்சொல்லை இயல்புநிலையாகக் குறிப்பிடப்பட்ட மின்னஞ்சலுடன் மீட்டமைக்கிறது['firezone']['admin_email'] அல்லது அந்த மின்னஞ்சல் இல்லாவிட்டால் புதிய நிர்வாகியை உருவாக்குகிறது.
உதவி
இந்த உதவி செய்தியை அச்சிடுங்கள்.
மறுகட்டமைப்பு
பயன்பாட்டை மறுகட்டமைக்கவும்.
மீட்டமை-நெட்வொர்க்
nftables, WireGuard இடைமுகம் மற்றும் ரூட்டிங் அட்டவணையை Firezone இயல்புநிலைகளுக்கு மீட்டமைக்கிறது.
நிகழ்ச்சி-கட்டமைப்பு
மறுகட்டமைப்பதன் மூலம் உருவாக்கப்படும் உள்ளமைவைக் காட்டு.
கண்ணீர்-நெட்வொர்க்
WireGuard இடைமுகம் மற்றும் firezone nftables அட்டவணையை நீக்குகிறது.
படை-சான்றிதழ்-புதுப்பித்தல்
காலாவதியாகாவிட்டாலும், இப்போது கட்டாயச் சான்றிதழைப் புதுப்பித்தல்.
நிறுத்த-சான்றிதழ்-புதுப்பித்தல்
சான்றிதழ்களைப் புதுப்பிக்கும் கிரான்ஜோப்பை நீக்குகிறது.
நிறுவல் நீக்கம்
அனைத்து செயல்முறைகளையும் அழித்து, செயல்முறை மேற்பார்வையாளரை நிறுவல் நீக்கவும் (தரவு பாதுகாக்கப்படும்).
பதிப்பு
Firezone இன் தற்போதைய பதிப்பைக் காண்பி
சேவை மேலாண்மை கட்டளைகள்:
அருள்-கொல்
ஒரு அழகான நிறுத்த முயற்சி, பின்னர் முழு செயல்முறை குழு SIGKILL.
hup
சேவைகளை ஒரு HUP அனுப்பவும்.
எண்ணாக
சேவைகளை ஒரு INT அனுப்பவும்.
கொல்ல
சேவைகளை ஒரு கொலையை அனுப்பவும்.
ஒருமுறை
சேவைகள் செயலிழந்தால் தொடங்கவும். அவை நிறுத்தப்பட்டால் அவற்றை மறுதொடக்கம் செய்ய வேண்டாம்.
மறுதொடக்கம்
சேவைகள் இயங்கினால் அவற்றை நிறுத்தி, மீண்டும் தொடங்கவும்.
சேவை பட்டியல்
அனைத்து சேவைகளையும் பட்டியலிடுங்கள் (இயக்கப்பட்ட சேவைகள் * உடன் தோன்றும்.)
தொடக்கத்தில்
சேவைகள் செயலிழந்தால் தொடங்கவும், அவை நிறுத்தப்பட்டால் மீண்டும் தொடங்கவும்.
நிலை
அனைத்து சேவைகளின் நிலையைக் காட்டு.
நிறுத்த
சேவைகளை நிறுத்துங்கள், மீண்டும் தொடங்க வேண்டாம்.
வால்
செயல்படுத்தப்பட்ட அனைத்து சேவைகளின் சேவை பதிவுகளையும் பார்க்கவும்.
கால
சேவைகளை ஒரு TERMக்கு அனுப்பவும்.
usr1
சேவைகளை USR1க்கு அனுப்பவும்.
usr2
சேவைகளை USR2க்கு அனுப்பவும்.
Firezone ஐ மேம்படுத்தும் முன் அனைத்து VPN அமர்வுகளும் நிறுத்தப்பட வேண்டும், இது Web UI ஐ மூடுவதற்கும் அழைப்பு விடுக்கிறது. மேம்படுத்தலின் போது ஏதேனும் தவறு ஏற்பட்டால், பராமரிப்புக்காக ஒரு மணிநேரம் ஒதுக்குமாறு அறிவுறுத்துகிறோம்.
Firezone ஐ மேம்படுத்த, பின்வரும் செயல்களைச் செய்யவும்:
ஏதேனும் சிக்கல்கள் இருந்தால், தயவுசெய்து எங்களுக்குத் தெரியப்படுத்தவும் ஆதரவு டிக்கெட்டை சமர்ப்பிக்கிறது.
0.5.0 இல் சில உடைப்பு மாற்றங்கள் மற்றும் உள்ளமைவு மாற்றங்கள் உள்ளன, அவை கவனிக்கப்பட வேண்டும். கீழே மேலும் அறியவும்.
பதிப்பு 0.5.0 இன் படி SSL மற்றும் SSL அல்லாத போர்ட் அளவுருக்களை Nginx இனி ஆதரிக்காது. Firezone வேலை செய்ய SSL தேவைப்படுவதால், இயல்புநிலை['firezone']['nginx']['enabled'] = false என அமைப்பதன் மூலம் Nginx சேவையை அகற்றி, அதற்கு பதிலாக போர்ட் 13000 இல் உள்ள Phoenix பயன்பாட்டிற்கு உங்கள் ரிவர்ஸ் ப்ராக்ஸியை இயக்குமாறு அறிவுறுத்துகிறோம் (இயல்புநிலையாக )
தொகுக்கப்பட்ட Nginx சேவையுடன் SSL சான்றிதழ்களை தானாக புதுப்பிப்பதற்கான ACME நெறிமுறை ஆதரவை 0.5.0 அறிமுகப்படுத்துகிறது. செயல்படுத்த,
நகல் இலக்குகளுடன் விதிகளைச் சேர்க்கும் சாத்தியம் Firezone 0.5.0 இல் இல்லை. 0.5.0 க்கு மேம்படுத்தும் போது எங்கள் இடம்பெயர்வு ஸ்கிரிப்ட் தானாகவே இந்த சூழ்நிலைகளை அங்கீகரிக்கும் மற்றும் பிற விதியை உள்ளடக்கிய இலக்குகளை மட்டுமே வைத்திருக்கும். இது சரி என்றால் நீங்கள் எதுவும் செய்ய வேண்டியதில்லை.
இல்லையெனில், மேம்படுத்தும் முன், இந்த சூழ்நிலைகளில் இருந்து விடுபட, உங்கள் விதிகளை மாற்றுமாறு அறிவுறுத்துகிறோம்.
Firezone 0.5.0 ஆனது புதிய, மிகவும் நெகிழ்வான OIDC-அடிப்படையிலான உள்ளமைவுக்கு ஆதரவாக பழைய பாணி Okta மற்றும் Google SSO உள்ளமைவுக்கான ஆதரவை நீக்குகிறது.
உங்களிடம் இயல்புநிலை['firezone']['authentication']['okta'] அல்லது இயல்புநிலை['firezone']['authentication']['google'] விசைகளின் கீழ் ஏதேனும் உள்ளமைவு இருந்தால், இவற்றை எங்கள் OIDCக்கு மாற்ற வேண்டும் கீழே உள்ள வழிகாட்டியைப் பயன்படுத்தி - அடிப்படையிலான கட்டமைப்பு.
தற்போதுள்ள Google OAuth உள்ளமைவு
/etc/firezone/firezone.rb இல் உள்ள உங்கள் உள்ளமைவு கோப்பிலிருந்து பழைய Google OAuth கட்டமைப்புகளைக் கொண்ட இந்த வரிகளை அகற்றவும்
இயல்புநிலை['firezone']['authentication']['google']['enabled']
இயல்புநிலை['firezone']['authentication']['google']['client_id']
இயல்புநிலை['firezone']['authentication']['google']['client_secret']
இயல்புநிலை['firezone']['authentication']['google']['redirect_uri']
பின்னர், இங்குள்ள நடைமுறைகளைப் பின்பற்றி Google ஐ OIDC வழங்குநராக உள்ளமைக்கவும்.
(இணைப்பு வழிமுறைகளை வழங்கவும்)<<<<<<<<<<<<<<<<<<
ஏற்கனவே உள்ள Google OAuthஐ உள்ளமைக்கவும்
இல் உள்ள உங்கள் உள்ளமைவு கோப்பிலிருந்து பழைய Okta OAuth கட்டமைப்புகளைக் கொண்ட இந்த வரிகளை அகற்றவும் /etc/firezone/firezone.rb
இயல்புநிலை['firezone']['அங்கீகாரம்']['okta']['Enabled']
இயல்புநிலை['firezone']['authentication']['okta']['client_id']
இயல்புநிலை['firezone']['authentication']['okta']['client_secret']
இயல்புநிலை['firezone']['அங்கீகாரம்']['okta']['site']
பின்னர், இங்குள்ள நடைமுறைகளைப் பின்பற்றுவதன் மூலம் Okta ஐ OIDC வழங்குநராக உள்ளமைக்கவும்.
உங்கள் தற்போதைய அமைப்பு மற்றும் பதிப்பைப் பொறுத்து, கீழே உள்ள வழிமுறைகளைப் பின்பற்றவும்:
உங்களிடம் ஏற்கனவே OIDC ஒருங்கிணைப்பு இருந்தால்:
சில OIDC வழங்குநர்களுக்கு, >= 0.3.16 க்கு மேம்படுத்துவது ஆஃப்லைன் அணுகல் நோக்கத்திற்கான புதுப்பிப்பு டோக்கனைப் பெறுவது அவசியம். இதைச் செய்வதன் மூலம், அடையாள வழங்குனருடன் Firezone புதுப்பிக்கப்படுவதையும், ஒரு பயனர் நீக்கப்பட்ட பிறகு VPN இணைப்பு நிறுத்தப்படுவதையும் உறுதி செய்யப்படுகிறது. Firezone இன் முந்தைய மறு செய்கைகளில் இந்த அம்சம் இல்லை. சில சந்தர்ப்பங்களில், உங்கள் அடையாள வழங்குநரிடமிருந்து நீக்கப்பட்ட பயனர்கள் VPN உடன் இணைக்கப்பட்டிருக்கலாம்.
ஆஃப்லைன் அணுகல் நோக்கத்தை ஆதரிக்கும் OIDC வழங்குநர்களுக்கான உங்கள் OIDC உள்ளமைவின் ஸ்கோப் அளவுருவில் ஆஃப்லைன் அணுகலைச் சேர்க்க வேண்டியது அவசியம். /etc/firezone/firezone.rb இல் உள்ள Firezone உள்ளமைவு கோப்பில் மாற்றங்களைப் பயன்படுத்த Firezone-ctl மறுகட்டமைப்பைச் செயல்படுத்த வேண்டும்.
உங்கள் OIDC வழங்குநரால் அங்கீகரிக்கப்பட்ட பயனர்களுக்கு, Firezone புதுப்பிப்பு டோக்கனை வெற்றிகரமாக மீட்டெடுக்க முடிந்தால், இணைய UI இன் பயனர் விவரங்கள் பக்கத்தில் OIDC இணைப்புகள் தலைப்பைக் காண்பீர்கள்.
இது வேலை செய்யவில்லை என்றால், நீங்கள் ஏற்கனவே உள்ள OAuth பயன்பாட்டை நீக்க வேண்டும் மற்றும் OIDC அமைவு படிகளை மீண்டும் செய்ய வேண்டும் புதிய பயன்பாட்டு ஒருங்கிணைப்பை உருவாக்கவும் .
என்னிடம் ஏற்கனவே OAuth ஒருங்கிணைப்பு உள்ளது
0.3.11க்கு முன், Firezone முன்பே கட்டமைக்கப்பட்ட OAuth2 வழங்குநர்களைப் பயன்படுத்தியது.
வழிமுறைகளைப் பின்பற்றவும் இங்கே OIDC க்கு இடம்பெயர வேண்டும்.
நான் அடையாள வழங்குநரை ஒருங்கிணைக்கவில்லை
நடவடிக்கை தேவையில்லை.
நீங்கள் வழிமுறைகளைப் பின்பற்றலாம் இங்கே OIDC வழங்குநர் மூலம் SSO ஐ செயல்படுத்த.
அதன் இடத்தில், default['firezone']['external url'] ஆனது default['firezone']['fqdn'] உள்ளமைவு விருப்பத்தை மாற்றியுள்ளது.
பொது மக்களுக்கு அணுகக்கூடிய உங்கள் Firezone ஆன்லைன் போர்ட்டலின் URL க்கு இதை அமைக்கவும். இது இயல்புநிலையாக https:// மற்றும் உங்கள் சர்வரின் FQDN என வரையறுக்கப்படாமல் விட்டால்.
கட்டமைப்பு கோப்பு /etc/firezone/firezone.rb இல் உள்ளது. உள்ளமைவு மாறிகள் மற்றும் அவற்றின் விளக்கங்களின் முழுமையான பட்டியலுக்கு உள்ளமைவு கோப்பு குறிப்பைப் பார்க்கவும்.
0.3.0 பதிப்பின் படி Firezone இனி சாதனத்தின் தனிப்பட்ட விசைகளை Firezone சேவையகத்தில் வைத்திருக்காது.
இந்த உள்ளமைவுகளை மீண்டும் பதிவிறக்கவோ அல்லது பார்க்கவோ Firezone Web UI உங்களை அனுமதிக்காது, ஆனால் ஏற்கனவே உள்ள எந்த சாதனங்களும் அப்படியே செயல்பட வேண்டும்.
நீங்கள் Firezone 0.1.x இலிருந்து மேம்படுத்தினால், சில உள்ளமைவு கோப்பு மாற்றங்கள் கைமுறையாக கவனிக்கப்பட வேண்டும்.
உங்கள் /etc/firezone/firezone.rb கோப்பில் தேவையான மாற்றங்களைச் செய்ய, கீழே உள்ள கட்டளைகளை ரூட்டாக இயக்கவும்.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
எதிரொலி "இயல்பு['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb
எதிரொலி "இயல்பு['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
firezone-ctl மறுகட்டமைப்பு
firezone-ctl மறுதொடக்கம்
Firezone பதிவுகளைச் சரிபார்ப்பது, ஏற்படக்கூடிய ஏதேனும் சிக்கல்களுக்கான முதல் படியாகும்.
Firezone பதிவுகளைப் பார்க்க sudo firezone-ctl tail ஐ இயக்கவும்.
Firezone உடனான பெரும்பாலான இணைப்புச் சிக்கல்கள் பொருந்தாத iptables அல்லது nftables விதிகளால் கொண்டு வரப்படுகின்றன. நீங்கள் நடைமுறையில் உள்ள எந்த விதிகளும் Firezone விதிகளுடன் முரண்படவில்லை என்பதை உறுதிசெய்ய வேண்டும்.
உங்கள் WireGuard சுரங்கப்பாதையை நீங்கள் செயல்படுத்தும் ஒவ்வொரு முறையும் உங்கள் இணைய இணைப்பு மோசமடைந்தால், ஃபயர்சோன் மூலம் நீங்கள் அனுமதிக்க விரும்பும் இடங்களுக்கு உங்கள் WireGuard கிளையண்டிலிருந்து பாக்கெட்டுகளை FORWARD சங்கிலி அனுமதிப்பதை உறுதிசெய்யவும்.
நீங்கள் ufw ஐப் பயன்படுத்தினால், இயல்புநிலை ரூட்டிங் கொள்கை அனுமதிக்கப்படுவதை உறுதிசெய்து இதை அடையலாம்:
ubuntu@fz:~$ sudo ufw இயல்புநிலை அனுமதி
இயல்புநிலை ரூட் கொள்கை 'அனுமதி' என மாற்றப்பட்டது
(உங்கள் விதிகளை அதற்கேற்ப புதுப்பிக்க மறக்காதீர்கள்)
A ufw ஒரு பொதுவான Firezone சேவையகத்தின் நிலை இப்படி இருக்கலாம்:
ubuntu@fz:~$ sudo ufw நிலை verbose
நிலை: செயலில்
உள்நுழைவு: ஆன் (குறைந்தது)
இயல்புநிலை: மறுப்பு (உள்வரும்), அனுமதி (வெளிச்செல்லும்), அனுமதி (வழியனுப்பு)
புதிய சுயவிவரங்கள்: தவிர்க்கவும்
இருந்து நடவடிக்கை
————-
22/டிசிபி எங்கும் அனுமதி
80/டிசிபி எங்கும் அனுமதி
443/tcp எங்கும் அனுமதி
51820/udp எங்கும் அனுமதி
22/tcp (v6) எங்கும் அனுமதி (v6)
80/tcp (v6) எங்கும் அனுமதி (v6)
443/tcp (v6) எங்கும் அனுமதி (v6)
51820/udp (v6) எங்கும் அனுமதி (v6)
கீழே விவரிக்கப்பட்டுள்ளபடி, மிகவும் உணர்திறன் மற்றும் பணி-முக்கியமான உற்பத்தி வரிசைப்படுத்தல்களுக்கு இணைய இடைமுகத்திற்கான அணுகலைக் கட்டுப்படுத்துமாறு நாங்கள் அறிவுறுத்துகிறோம்.
சேவை | இயல்புநிலை போர்ட் | முகவரியைக் கேளுங்கள் | விளக்கம் |
nginx | 80, 443 | அனைத்து | Firezone ஐ நிர்வகிப்பதற்கும் அங்கீகாரத்தை எளிதாக்குவதற்கும் பொது HTTP(S) போர்ட். |
வயர்கார்ட் | 51820 | அனைத்து | VPN அமர்வுகளுக்குப் பயன்படுத்தப்படும் பொது WireGuard போர்ட். (யுடிபி) |
postgresql | 15432 | 127.0.0.1 | தொகுக்கப்பட்ட Postgresql சேவையகத்திற்கு உள்ளூர்-மட்டும் போர்ட் பயன்படுத்தப்படுகிறது. |
பீனிக்ஸ் | 13000 | 127.0.0.1 | அப்ஸ்ட்ரீம் எலிக்சிர் ஆப் சர்வரால் பயன்படுத்தப்படும் உள்ளூர்-மட்டும் போர்ட். |
Firezone இன் பொது வெளிப்படும் இணைய UI (இயல்புநிலை போர்ட்கள் 443/tcp மற்றும் 80/tcp)க்கான அணுகலைக் கட்டுப்படுத்துவது பற்றி சிந்திக்குமாறு நாங்கள் உங்களுக்கு அறிவுறுத்துகிறோம், அதற்குப் பதிலாக WireGuard சுரங்கப்பாதையைப் பயன்படுத்தி Firezone ஐ உற்பத்தி மற்றும் பொது மக்கள் எதிர்கொள்ளும் வரிசைப்படுத்தல்களுக்குப் பயன்படுத்தவும். இறுதி பயனர்களுக்கு சாதன உள்ளமைவுகளை உருவாக்குதல் மற்றும் விநியோகித்தல்.
எடுத்துக்காட்டாக, ஒரு நிர்வாகி சாதன உள்ளமைவை உருவாக்கி, உள்ளூர் WireGuard முகவரி 10.3.2.2 உடன் ஒரு சுரங்கப்பாதையை உருவாக்கினால், பின்வரும் ufw உள்ளமைவு, இயல்புநிலை 10.3.2.1 சுரங்கப்பாதை முகவரி:
ரூட்@டெமோ:~# ufw நிலை வாய்மொழி
நிலை: செயலில்
உள்நுழைவு: ஆன் (குறைந்தது)
இயல்புநிலை: மறுப்பு (உள்வரும்), அனுமதி (வெளிச்செல்லும்), அனுமதி (வழியனுப்பு)
புதிய சுயவிவரங்கள்: தவிர்க்கவும்
இருந்து நடவடிக்கை
————-
22/டிசிபி எங்கும் அனுமதி
51820/udp எங்கும் அனுமதி
எங்கும் அனுமதி 10.3.2.2
22/tcp (v6) எங்கும் அனுமதி (v6)
51820/udp (v6) எங்கும் அனுமதி (v6)
இது மட்டும் விட்டுவிடும் 22/டிசிபி சேவையகத்தை நிர்வகிப்பதற்கான SSH அணுகலுக்கு வெளிப்பட்டது (விரும்பினால்), மற்றும் 51820/udp வயர்கார்ட் சுரங்கங்களை நிறுவுவதற்காக வெளிப்பட்டது.
Firezone ஒரு Postgresql சேவையகத்தையும் பொருத்தத்தையும் தொகுக்கிறது psql உள்ளூர் ஷெல்லில் இருந்து பயன்படுத்தக்கூடிய பயன்பாடு:
/opt/firezone/embedded/bin/psql \
-யு ஃபயர்ஸோன் \
-d நெருப்பு மண்டலம் \
-h லோக்கல் ஹோஸ்ட் \
-ப 15432 \
-c “SQL_STATEMENT”
பிழைத்திருத்த நோக்கங்களுக்காக இது உதவியாக இருக்கும்.
பொதுவான பணிகள்:
அனைத்து பயனர்களையும் பட்டியலிடுகிறது:
/opt/firezone/embedded/bin/psql \
-யு ஃபயர்ஸோன் \
-d நெருப்பு மண்டலம் \
-h லோக்கல் ஹோஸ்ட் \
-ப 15432 \
-c “பயனர்களிடமிருந்து * தேர்ந்தெடு;”
அனைத்து சாதனங்களையும் பட்டியலிடுகிறது:
/opt/firezone/embedded/bin/psql \
-யு ஃபயர்ஸோன் \
-d நெருப்பு மண்டலம் \
-h லோக்கல் ஹோஸ்ட் \
-ப 15432 \
-c “சாதனங்களிலிருந்து * தேர்ந்தெடு;”
ஒரு பயனர் பாத்திரத்தை மாற்றவும்:
பங்கை 'நிர்வாகம்' அல்லது 'அன்பற்றது' என அமைக்கவும்:
/opt/firezone/embedded/bin/psql \
-யு ஃபயர்ஸோன் \
-d நெருப்பு மண்டலம் \
-h லோக்கல் ஹோஸ்ட் \
-ப 15432 \
-c “பயனர்களை புதுப்பிக்கவும் பங்கு = 'நிர்வாகம்' எங்கே மின்னஞ்சல் = 'user@example.com';”
தரவுத்தளத்தை காப்புப் பிரதி எடுக்கிறது:
மேலும், தரவுத்தளத்தின் வழக்கமான காப்புப்பிரதிகளை எடுக்கப் பயன்படும் pg டம்ப் நிரல் சேர்க்கப்பட்டுள்ளது. பொதுவான SQL வினவல் வடிவத்தில் தரவுத்தளத்தின் நகலை டம்ப் செய்ய பின்வரும் குறியீட்டை இயக்கவும் (SQL கோப்பு உருவாக்கப்பட வேண்டிய இடத்துடன் /path/to/backup.sql ஐ மாற்றவும்):
/opt/firezone/embedded/bin/pg_dump \
-யு ஃபயர்ஸோன் \
-d நெருப்பு மண்டலம் \
-h லோக்கல் ஹோஸ்ட் \
-p 15432 > /path/to/backup.sql
Firezone வெற்றிகரமாக பயன்படுத்தப்பட்ட பிறகு, உங்கள் நெட்வொர்க்கிற்கான அணுகலை வழங்க பயனர்களைச் சேர்க்க வேண்டும். இதைச் செய்ய இணைய UI பயன்படுத்தப்படுகிறது.
/பயனர்களின் கீழ் "பயனரைச் சேர்" பொத்தானைத் தேர்ந்தெடுப்பதன் மூலம், நீங்கள் ஒரு பயனரைச் சேர்க்கலாம். நீங்கள் பயனருக்கு மின்னஞ்சல் முகவரி மற்றும் கடவுச்சொல்லை வழங்க வேண்டும். உங்கள் நிறுவனத்தில் உள்ள பயனர்களுக்கு தானாகவே அணுகலை அனுமதிக்கும் வகையில், Firezone ஆனது அடையாள வழங்குநருடன் இடைமுகம் செய்து ஒத்திசைக்க முடியும். மேலும் விவரங்கள் கிடைக்கின்றன அங்கீகரி. < அங்கீகரிப்பதற்கான இணைப்பைச் சேர்க்கவும்
தனிப்பட்ட விசை அவர்களுக்கு மட்டுமே தெரியும் வகையில் பயனர்கள் தங்கள் சொந்த சாதன உள்ளமைவுகளை உருவாக்குமாறு கோருமாறு நாங்கள் அறிவுறுத்துகிறோம். இல் உள்ள வழிமுறைகளைப் பின்பற்றுவதன் மூலம் பயனர்கள் தங்கள் சொந்த சாதன உள்ளமைவுகளை உருவாக்கலாம் வாடிக்கையாளர் வழிமுறைகள் பக்கம்.
அனைத்து பயனர் சாதன உள்ளமைவுகளையும் Firezone நிர்வாகிகளால் உருவாக்க முடியும். /பயனர்கள் இல் அமைந்துள்ள பயனர் சுயவிவரப் பக்கத்தில், இதைச் செய்ய, "சாதனத்தைச் சேர்" விருப்பத்தைத் தேர்ந்தெடுக்கவும்.
[ஸ்கிரீன்ஷாட்டைச் செருகவும்]
சாதன சுயவிவரத்தை உருவாக்கிய பிறகு பயனருக்கு WireGuard உள்ளமைவு கோப்பை மின்னஞ்சல் செய்யலாம்.
பயனர்களும் சாதனங்களும் இணைக்கப்பட்டுள்ளன. பயனரை எவ்வாறு சேர்ப்பது என்பது பற்றிய கூடுதல் விவரங்களுக்கு, பார்க்கவும் பயனர்களைச் சேர்க்கவும்.
கர்னலின் நெட்ஃபில்டர் அமைப்பைப் பயன்படுத்துவதன் மூலம், டிராப் அல்லது அக்செப்ட் பாக்கெட்டுகளைக் குறிப்பிட ஃபயர்ஸோன் வெளியேற்ற வடிகட்டுதல் திறன்களை செயல்படுத்துகிறது. அனைத்து போக்குவரத்தும் பொதுவாக அனுமதிக்கப்படுகிறது.
IPv4 மற்றும் IPv6 CIDRகள் மற்றும் IP முகவரிகள் முறையே Allowlist மற்றும் Denylist மூலம் ஆதரிக்கப்படுகின்றன. ஒரு பயனரைச் சேர்க்கும் போது ஒரு விதியைச் சேர்க்க நீங்கள் தேர்வு செய்யலாம், இது அந்த பயனரின் எல்லா சாதனங்களுக்கும் பொருந்தும்.
நிறுவ மற்றும் கட்டமைக்க
சொந்த WireGuard கிளையண்டைப் பயன்படுத்தி VPN இணைப்பை நிறுவ, இந்த வழிகாட்டியைப் பார்க்கவும்.
இங்கே அமைந்துள்ள அதிகாரப்பூர்வ WireGuard கிளையண்டுகள் Firezone இணக்கமானவை:
மேலே குறிப்பிடப்படாத OS அமைப்புகளுக்கு அதிகாரப்பூர்வ WireGuard இணையதளத்தை https://www.wireguard.com/install/ இல் பார்வையிடவும்.
உங்கள் Firezone நிர்வாகி அல்லது நீங்களே Firezone போர்ட்டலைப் பயன்படுத்தி சாதன உள்ளமைவுக் கோப்பை உருவாக்கலாம்.
சாதன உள்ளமைவு கோப்பை சுயமாக உருவாக்க உங்கள் Firezone நிர்வாகி வழங்கிய URL ஐப் பார்வையிடவும். உங்கள் நிறுவனம் இதற்காக ஒரு தனிப்பட்ட URL வைத்திருக்கும்; இந்த வழக்கில், இது https://instance-id.yourfirezone.com ஆகும்.
Firezone Okta SSO இல் உள்நுழைக
[ஸ்கிரீன்ஷாட்டைச் செருகவும்]
அதை திறப்பதன் மூலம் WireGuard கிளையண்டில்.conf கோப்பை இறக்குமதி செய்யவும். செயல்படுத்து சுவிட்சைப் புரட்டுவதன் மூலம், நீங்கள் VPN அமர்வைத் தொடங்கலாம்.
[ஸ்கிரீன்ஷாட்டைச் செருகவும்]
உங்கள் VPN இணைப்பைச் செயலில் வைத்திருக்க, உங்கள் நெட்வொர்க் நிர்வாகி தொடர்ச்சியான அங்கீகாரத்தைக் கட்டாயப்படுத்தியிருந்தால், கீழே உள்ள வழிமுறைகளைப் பின்பற்றவும்.
உனக்கு தேவை:
Firezone போர்ட்டலின் URL: இணைப்புக்காக உங்கள் பிணைய நிர்வாகியிடம் கேளுங்கள்.
உங்கள் நெட்வொர்க் நிர்வாகி உங்கள் உள்நுழைவு மற்றும் கடவுச்சொல்லை வழங்க முடியும். Firezone தளமானது, உங்கள் முதலாளி பயன்படுத்தும் (Google அல்லது Okta போன்றவை) ஒற்றை உள்நுழைவு சேவையைப் பயன்படுத்தி உள்நுழையுமாறு உங்களைத் தூண்டும்.
[ஸ்கிரீன்ஷாட்டைச் செருகவும்]
Firezone போர்ட்டலின் URLக்குச் சென்று, உங்கள் பிணைய நிர்வாகி வழங்கிய நற்சான்றிதழ்களைப் பயன்படுத்தி உள்நுழையவும். நீங்கள் ஏற்கனவே உள்நுழைந்திருந்தால், மீண்டும் உள்நுழைவதற்கு முன், மறுஅங்கீகரிப்பு பொத்தானைக் கிளிக் செய்யவும்.
[ஸ்கிரீன்ஷாட்டைச் செருகவும்]
[ஸ்கிரீன்ஷாட்டைச் செருகவும்]
Linux சாதனங்களில் Network Manager CLI ஐப் பயன்படுத்தி WireGuard உள்ளமைவு சுயவிவரத்தை இறக்குமதி செய்ய, இந்த வழிமுறைகளைப் பின்பற்றவும் (nmcli).
சுயவிவரத்தில் IPv6 ஆதரவு இயக்கப்பட்டிருந்தால், பிணைய மேலாளர் GUI ஐப் பயன்படுத்தி உள்ளமைவு கோப்பை இறக்குமதி செய்ய முயற்சிப்பது பின்வரும் பிழையால் தோல்வியடையும்:
ipv6.method: “auto” முறை WireGuard க்கு ஆதரிக்கப்படவில்லை
WireGuard பயனர்வெளி பயன்பாடுகளை நிறுவ வேண்டியது அவசியம். இது Linux விநியோகங்களுக்கான wireguard அல்லது wireguard-tools எனப்படும் தொகுப்பாக இருக்கும்.
உபுண்டு/டெபியனுக்கு:
sudo apt வயர்கார்டை நிறுவவும்
ஃபெடோராவைப் பயன்படுத்த:
sudo dnf வயர்கார்ட் கருவிகளை நிறுவுகிறது
ஆர்க் லினக்ஸ்:
சுடோ பேக்மேன் -எஸ் வயர்கார்ட்-கருவிகள்
மேலே குறிப்பிடப்படாத விநியோகங்களுக்கு https://www.wireguard.com/install/ இல் அதிகாரப்பூர்வ WireGuard இணையதளத்தைப் பார்வையிடவும்.
உங்கள் Firezone நிர்வாகி அல்லது சுய-தலைமுறையானது Firezone போர்ட்டலைப் பயன்படுத்தி சாதன உள்ளமைவு கோப்பை உருவாக்க முடியும்.
சாதன உள்ளமைவு கோப்பை சுயமாக உருவாக்க உங்கள் Firezone நிர்வாகி வழங்கிய URL ஐப் பார்வையிடவும். உங்கள் நிறுவனம் இதற்காக ஒரு தனிப்பட்ட URL வைத்திருக்கும்; இந்த வழக்கில், இது https://instance-id.yourfirezone.com ஆகும்.
[ஸ்கிரீன்ஷாட்டைச் செருகவும்]
nmcli ஐப் பயன்படுத்தி வழங்கப்பட்ட உள்ளமைவு கோப்பை இறக்குமதி செய்யவும்:
sudo nmcli இணைப்பு இறக்குமதி வகை வயர்கார்டு கோப்பு /path/to/configuration.conf
உள்ளமைவு கோப்பின் பெயர் WireGuard இணைப்பு/இடைமுகத்துடன் ஒத்திருக்கும். இறக்குமதிக்குப் பிறகு, தேவைப்பட்டால் இணைப்பை மறுபெயரிடலாம்:
nmcli இணைப்பு மாற்றம் [பழைய பெயர்] connection.id [புதிய பெயர்]
கட்டளை வரி வழியாக, VPN உடன் பின்வருமாறு இணைக்கவும்:
nmcli இணைப்பு வரை [vpn பெயர்]
துண்டிக்க:
nmcli இணைப்பு குறைகிறது [vpn பெயர்]
GUI ஐப் பயன்படுத்தினால், பொருந்தக்கூடிய பிணைய மேலாளர் ஆப்லெட்டையும் இணைப்பை நிர்வகிக்கப் பயன்படுத்தலாம்.
தானியங்கு இணைப்பு விருப்பத்திற்கு "ஆம்" என்பதைத் தேர்ந்தெடுப்பதன் மூலம், VPN இணைப்பை தானாக இணைக்க உள்ளமைக்க முடியும்:
nmcli இணைப்பு [vpn பெயர்] இணைப்பை மாற்றவும். <<<<<<<<<<<<<<<<<<<<<<
தானாக இணைக்கவும் ஆம்
தானியங்கி இணைப்பை முடக்க, அதை இல்லை என அமைக்கவும்:
nmcli இணைப்பு [vpn பெயர்] இணைப்பை மாற்றவும்.
தானியங்கு இணைப்பு எண்
MFA ஐச் செயல்படுத்த Firezone போர்ட்டலின் /பயனர் கணக்கு/பதிவு mfa பக்கத்திற்குச் செல்லவும். QR குறியீட்டை உருவாக்கிய பிறகு ஸ்கேன் செய்ய உங்கள் அங்கீகரிப்பு பயன்பாட்டைப் பயன்படுத்தவும், பின்னர் ஆறு இலக்கக் குறியீட்டை உள்ளிடவும்.
உங்கள் அங்கீகரிப்பு செயலியை நீங்கள் தவறாக வைத்திருந்தால், உங்கள் கணக்கின் அணுகல் தகவலை மீட்டமைக்க உங்கள் நிர்வாகியைத் தொடர்புகொள்ளவும்.
இந்த பயிற்சியானது, Firezone உடன் WireGuard இன் ஸ்பிலிட் டன்னலிங் அம்சத்தை அமைக்கும் செயல்முறையின் மூலம் உங்களை அழைத்துச் செல்லும், இதனால் குறிப்பிட்ட IP வரம்புகளுக்கான போக்குவரத்து மட்டுமே VPN சேவையகம் மூலம் அனுப்பப்படும்.
கிளையன்ட் நெட்வொர்க் போக்குவரத்தை வழிநடத்தும் IP வரம்புகள் /settings/default பக்கத்தில் அமைந்துள்ள அனுமதிக்கப்பட்ட IPகள் புலத்தில் அமைக்கப்பட்டுள்ளன. Firezone ஆல் தயாரிக்கப்பட்ட புதிதாக உருவாக்கப்பட்ட WireGuard சுரங்கப்பாதை உள்ளமைவுகள் மட்டுமே இந்தத் துறையில் ஏற்படும் மாற்றங்களால் பாதிக்கப்படும்.
[ஸ்கிரீன்ஷாட்டைச் செருகவும்]
இயல்புநிலை மதிப்பு 0.0.0.0/0, ::/0 ஆகும், இது கிளையண்டிலிருந்து VPN சேவையகத்திற்கு அனைத்து பிணைய போக்குவரத்தையும் வழிநடத்துகிறது.
இந்த துறையில் உள்ள மதிப்புகளின் எடுத்துக்காட்டுகள்:
0.0.0.0/0, ::/0 – அனைத்து நெட்வொர்க் போக்குவரத்தும் VPN சேவையகத்திற்கு அனுப்பப்படும்.
192.0.2.3/32 - ஒரு ஐபி முகவரிக்கான போக்குவரத்து மட்டுமே VPN சேவையகத்திற்கு அனுப்பப்படும்.
3.5.140.0/22 – 3.5.140.1 – 3.5.143.254 வரம்பில் உள்ள IPகளுக்கு மட்டுமே ட்ராஃபிக் VPN சேவையகத்திற்கு அனுப்பப்படும். இந்த எடுத்துக்காட்டில், ap-Northeast-2 AWS பகுதிக்கான CIDR வரம்பு பயன்படுத்தப்பட்டது.
ஒரு பாக்கெட்டை எங்கு வழியமைப்பது என்பதை முதலில் தீர்மானிக்கும் போது Firezone மிகத் துல்லியமான பாதையுடன் தொடர்புடைய எக்ரஸ் இடைமுகத்தைத் தேர்ந்தெடுக்கிறது.
புதிய ஸ்பிலிட் டன்னல் உள்ளமைவுடன் இருக்கும் பயனர் சாதனங்களைப் புதுப்பிக்க, பயனர்கள் உள்ளமைவு கோப்புகளை மீண்டும் உருவாக்கி, அவற்றைத் தங்கள் சொந்த WireGuard கிளையண்டில் சேர்க்க வேண்டும்.
வழிமுறைகளுக்கு, பார்க்கவும் சாதனத்தைச் சேர்க்கவும். <<<<<<<<<<<< இணைப்பைச் சேர்க்கவும்
இந்த கையேடு Firezone ஐ ரிலேவாகப் பயன்படுத்தி இரண்டு சாதனங்களை எவ்வாறு இணைப்பது என்பதை விளக்குகிறது. NAT அல்லது ஃபயர்வால் மூலம் பாதுகாக்கப்பட்ட சர்வர், கொள்கலன் அல்லது இயந்திரத்தை அணுகுவதற்கு நிர்வாகியை இயக்குவது ஒரு பொதுவான பயன்பாட்டு வழக்கு.
A மற்றும் B சாதனங்கள் ஒரு சுரங்கப்பாதையை உருவாக்கும் நேரடியான காட்சியை இந்த விளக்கப்படம் காட்டுகிறது.
[ஃபையர்ஸோன் கட்டிடக்கலை படத்தைச் செருகவும்]
/users/[user_id]/new_device என்பதற்குச் செல்வதன் மூலம் சாதனம் A மற்றும் சாதனம் B ஐ உருவாக்குவதன் மூலம் தொடங்கவும். ஒவ்வொரு சாதனத்திற்கான அமைப்புகளிலும், பின்வரும் அளவுருக்கள் கீழே பட்டியலிடப்பட்டுள்ள மதிப்புகளுக்கு அமைக்கப்பட்டுள்ளதா என்பதை உறுதிப்படுத்தவும். சாதன கட்டமைப்பை உருவாக்கும் போது நீங்கள் சாதன அமைப்புகளை அமைக்கலாம் (சாதனங்களைச் சேர் என்பதைப் பார்க்கவும்). ஏற்கனவே உள்ள சாதனத்தில் அமைப்புகளைப் புதுப்பிக்க வேண்டும் என்றால், புதிய சாதன கட்டமைப்பை உருவாக்குவதன் மூலம் அதைச் செய்யலாம்.
PersistentKeepalive உள்ளமைக்கக்கூடிய /அமைப்புகள்/இயல்புநிலைகள் பக்கம் எல்லா சாதனங்களிலும் உள்ளது என்பதை நினைவில் கொள்ளவும்.
அனுமதிக்கப்பட்ட ஐபிகள் = 10.3.2.2/32
இது சாதனம் B இன் IP அல்லது IPகளின் வரம்பாகும்
PersistentKeepalive = 25
சாதனம் ஒரு NATக்கு பின்னால் இருந்தால், சாதனம் சுரங்கப்பாதையை உயிருடன் வைத்திருப்பதையும், WireGuard இடைமுகத்திலிருந்து பாக்கெட்டுகளைத் தொடர்ந்து பெறுவதையும் இது உறுதி செய்கிறது. வழக்கமாக 25 இன் மதிப்பு போதுமானது, ஆனால் உங்கள் சூழலைப் பொறுத்து இந்த மதிப்பைக் குறைக்க வேண்டியிருக்கும்.
அனுமதிக்கப்பட்ட ஐபிகள் = 10.3.2.3/32
இது சாதனம் A இன் IP அல்லது IPகளின் வரம்பாகும்
PersistentKeepalive = 25
சாதனம் A ஆனது சாதனங்கள் B உடன் D மூலம் D இரு திசைகளிலும் தொடர்பு கொள்ளக்கூடிய சூழ்நிலையை இந்த எடுத்துக்காட்டு காட்டுகிறது. இந்த அமைப்பு பல்வேறு நெட்வொர்க்குகள் முழுவதும் ஏராளமான ஆதாரங்களை (சேவையகங்கள், கொள்கலன்கள் அல்லது இயந்திரங்கள்) அணுகும் ஒரு பொறியாளர் அல்லது நிர்வாகியைக் குறிக்கும்.
[கட்டடக்கலை வரைபடம்]<<<<<<<<<<<<<<<<<<<<<<<
பின்வரும் அமைப்புகள் ஒவ்வொரு சாதனத்தின் அமைப்புகளிலும் தொடர்புடைய மதிப்புகளுக்குச் செய்யப்பட்டுள்ளன என்பதை உறுதிப்படுத்தவும். சாதன உள்ளமைவை உருவாக்கும் போது, நீங்கள் சாதன அமைப்புகளைக் குறிப்பிடலாம் (சாதனங்களைச் சேர் என்பதைப் பார்க்கவும்). ஏற்கனவே உள்ள சாதனத்தில் அமைப்புகளை புதுப்பிக்க வேண்டும் என்றால், ஒரு புதிய சாதன கட்டமைப்பு உருவாக்கப்படும்.
அனுமதிக்கப்பட்ட ஐபிகள் = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
இது B முதல் D வரையிலான சாதனங்களின் IP ஆகும். B முதல் D வரையிலான சாதனங்களின் IPகள் நீங்கள் அமைக்கத் தேர்ந்தெடுக்கும் எந்த IP வரம்பிலும் சேர்க்கப்பட வேண்டும்.
PersistentKeepalive = 25
சாதனம் சுரங்கப்பாதையை பராமரிக்க முடியும் மற்றும் வயர்கார்ட் இடைமுகத்திலிருந்து பாக்கெட்டுகளை NAT ஆல் பாதுகாக்கப்பட்டாலும் தொடர்ந்து பெற முடியும் என்பதற்கு இது உத்தரவாதம் அளிக்கிறது. பெரும்பாலான சந்தர்ப்பங்களில், 25 இன் மதிப்பு போதுமானது, இருப்பினும் உங்கள் சுற்றுப்புறத்தைப் பொறுத்து, இந்த எண்ணிக்கையை நீங்கள் குறைக்க வேண்டியிருக்கும்.
உங்கள் குழுவின் அனைத்துப் போக்குவரத்திற்கும் ஒற்றை, நிலையான எக்ரஸ் ஐபியை வழங்க, Firezone ஐ NAT நுழைவாயிலாகப் பயன்படுத்தலாம். இந்த சூழ்நிலைகள் அதன் அடிக்கடி பயன்படுத்துவதை உள்ளடக்கியது:
ஆலோசனை ஈடுபாடுகள்: உங்கள் வாடிக்கையாளர் ஒவ்வொரு பணியாளரின் தனிப்பட்ட சாதன IP ஐ விட ஒற்றை நிலையான IP முகவரியை ஏற்புப்பட்டியலில் சேர்க்குமாறு கோரவும்.
பாதுகாப்பு அல்லது தனியுரிமை நோக்கங்களுக்காக ப்ராக்ஸியைப் பயன்படுத்துதல் அல்லது உங்கள் மூல ஐபியை மறைத்தல்.
சுய-ஹோஸ்ட் செய்யப்பட்ட இணையப் பயன்பாட்டிற்கான அணுகலை ஒரு ஒற்றை அனுமதிப்பட்டியலில் நிலையான IP இயங்கும் Firezoneக்கு வரம்பிடுவதற்கான எளிய உதாரணம் இந்த இடுகையில் காண்பிக்கப்படும். இந்த விளக்கத்தில், Firezone மற்றும் பாதுகாக்கப்பட்ட வளம் வெவ்வேறு VPC பகுதிகளில் உள்ளன.
பல இறுதிப் பயனர்களுக்கு IP அனுமதிப் பட்டியலை நிர்வகிப்பதற்குப் பதிலாக இந்தத் தீர்வு அடிக்கடி பயன்படுத்தப்படுகிறது, அணுகல் பட்டியல் விரிவடையும் போது இது நேரத்தை எடுத்துக்கொள்ளும்.
தடைசெய்யப்பட்ட ஆதாரத்திற்கு VPN டிராஃபிக்கை திருப்பிவிட EC2 நிகழ்வில் Firezone சேவையகத்தை அமைப்பதே எங்கள் நோக்கம். இந்த நிகழ்வில், இணைக்கப்பட்ட ஒவ்வொரு சாதனத்திற்கும் ஒரு தனிப்பட்ட பொது வெளியேற்ற ஐபியை வழங்க ஃபயர்ஸோன் நெட்வொர்க் ப்ராக்ஸி அல்லது NAT நுழைவாயிலாக செயல்படுகிறது.
இந்த வழக்கில், tc2.micro என பெயரிடப்பட்ட ஒரு EC2 நிகழ்வில் ஒரு Firezone நிகழ்வு நிறுவப்பட்டுள்ளது. Firezone ஐப் பயன்படுத்துதல் பற்றிய தகவலுக்கு, வரிசைப்படுத்தல் வழிகாட்டிக்குச் செல்லவும். AWS தொடர்பாக, உறுதியாக இருங்கள்:
Firezone EC2 நிகழ்வின் பாதுகாப்புக் குழு, பாதுகாக்கப்பட்ட ஆதாரத்தின் IP முகவரிக்கு வெளிச்செல்லும் போக்குவரத்தை அனுமதிக்கிறது.
Firezone நிகழ்வு ஒரு மீள் IP உடன் வருகிறது. Firezone நிகழ்வின் மூலம் வெளியில் உள்ள இடங்களுக்கு அனுப்பப்படும் ட்ராஃபிக் அதன் ஆதார IP முகவரியாக இருக்கும். கேள்விக்குரிய ஐபி முகவரி 52.202.88.54.
[ஸ்கிரீன்ஷாட்டைச் செருகவும்]<<<<<<<<<<<<<<<<<<<<<<<<
இந்த வழக்கில் ஒரு சுய-ஹோஸ்ட் செய்யப்பட்ட வலை பயன்பாடு பாதுகாக்கப்பட்ட ஆதாரமாக செயல்படுகிறது. IP முகவரி 52.202.88.54 இலிருந்து வரும் கோரிக்கைகள் மூலம் மட்டுமே இணைய பயன்பாட்டை அணுக முடியும். வளத்தைப் பொறுத்து, பல்வேறு துறைமுகங்கள் மற்றும் போக்குவரத்து வகைகளில் உள்வரும் போக்குவரத்தை அனுமதிப்பது அவசியம். இது இந்த கையேட்டில் குறிப்பிடப்படவில்லை.
[ஸ்கிரீன்ஷாட்டைச் செருகவும்]<<<<<<<<<<<<<<<<<<<<<<<<
படி 1 இல் வரையறுக்கப்பட்ட நிலையான IP இலிருந்து ட்ராஃபிக் அனுமதிக்கப்பட வேண்டும் என்று பாதுகாக்கப்பட்ட ஆதாரத்தின் பொறுப்பில் உள்ள மூன்றாம் தரப்பினரிடம் தெரிவிக்கவும் (இந்த வழக்கில் 52.202.88.54).
இயல்பாக, அனைத்து பயனர் போக்குவரமும் VPN சேவையகத்தின் வழியாகச் செல்லும் மற்றும் படி 1 இல் உள்ளமைக்கப்பட்ட நிலையான IP இலிருந்து வரும் (இந்த வழக்கில் 52.202.88.54). இருப்பினும், ஸ்பிலிட் டன்னலிங் இயக்கப்பட்டிருந்தால், பாதுகாக்கப்பட்ட ஆதாரத்தின் இலக்கு ஐபி அனுமதிக்கப்பட்ட ஐபிகளில் பட்டியலிடப்பட்டுள்ளதா என்பதை உறுதிப்படுத்த அமைப்புகள் அவசியமாக இருக்கும்.
உள்ளமைவு விருப்பங்களின் முழுமையான பட்டியல் கீழே காட்டப்பட்டுள்ளது /etc/firezone/firezone.rb.
விருப்பத்தை | விளக்கம் | இயல்புநிலை மதிப்பு |
இயல்புநிலை['firezone']['external_url'] | இந்த Firezone நிகழ்வின் இணைய போர்ட்டலை அணுக URL பயன்படுத்தப்படுகிறது. | “https://#{node['fqdn'] || முனை['புரவலன் பெயர்']}” |
இயல்புநிலை['firezone']['config_directory'] | Firezone உள்ளமைவுக்கான உயர்நிலை அடைவு. | /etc/firezone' |
இயல்புநிலை['firezone']['install_directory'] | Firezone ஐ நிறுவுவதற்கான உயர்மட்ட கோப்பகம். | /opt/firezone' |
இயல்புநிலை['firezone']['app_directory'] | Firezone இணைய பயன்பாட்டை நிறுவுவதற்கான உயர்மட்ட கோப்பகம். | “#{node['firezone']['install_directory']}/embedded/service/firezone" |
இயல்புநிலை['firezone']['log_directory'] | Firezone பதிவுகளுக்கான உயர்மட்ட கோப்பகம். | /var/log/firezone' |
இயல்புநிலை['firezone']['var_directory'] | Firezone இயக்க நேர கோப்புகளுக்கான உயர்மட்ட கோப்பகம். | /var/opt/firezone' |
இயல்புநிலை['firezone']['user'] | சலுகை இல்லாத லினக்ஸ் பயனரின் பெயர் பெரும்பாலான சேவைகள் மற்றும் கோப்புகள் சேர்ந்ததாக இருக்கும். | நெருப்பு மண்டலம்' |
இயல்புநிலை['firezone']['group'] | பெரும்பாலான சேவைகள் மற்றும் கோப்புகள் Linux குழுவின் பெயர். | நெருப்பு மண்டலம்' |
இயல்புநிலை['firezone']['admin_email'] | ஆரம்ப Firezone பயனருக்கான மின்னஞ்சல் முகவரி. | "firezone@localhost" |
இயல்புநிலை['firezone']['max_devices_per_user'] | ஒரு பயனர் வைத்திருக்கக்கூடிய அதிகபட்ச சாதனங்களின் எண்ணிக்கை. | 10 |
இயல்புநிலை['firezone']['allow_unprivileged_device_management'] | சாதனங்களை உருவாக்க மற்றும் நீக்க நிர்வாகி அல்லாத பயனர்களை அனுமதிக்கிறது. | உண்மை |
இயல்புநிலை['firezone']['allow_unprivileged_device_configuration'] | சாதன உள்ளமைவுகளை மாற்ற நிர்வாகி அல்லாத பயனர்களை அனுமதிக்கிறது. முடக்கப்பட்டால், பெயர் மற்றும் விளக்கத்தைத் தவிர அனைத்து சாதனப் புலங்களையும் மாற்றுவதில் இருந்து சலுகையற்ற பயனர்களைத் தடுக்கிறது. | உண்மை |
இயல்புநிலை['firezone']['egress_interface'] | சுரங்கப்பாதை போக்குவரத்து வெளியேறும் இடைமுகப் பெயர். இல்லை என்றால், இயல்புநிலை வழி இடைமுகம் பயன்படுத்தப்படும். | ஒன்றுமே |
இயல்புநிலை['firezone']['fips_enabled'] | OpenSSL FIPs பயன்முறையை இயக்கவும் அல்லது முடக்கவும். | ஒன்றுமே |
இயல்புநிலை['firezone']['logging']['enabled'] | Firezone முழுவதும் உள்நுழைவதை இயக்கவும் அல்லது முடக்கவும். பதிவு செய்வதை முழுவதுமாக முடக்குவதற்கு தவறு என அமைக்கவும். | உண்மை |
இயல்புநிலை['எண்டர்பிரைஸ்']['பெயர்'] | செஃப் 'எண்டர்பிரைஸ்' சமையல் புத்தகத்தால் பயன்படுத்தப்படும் பெயர். | நெருப்பு மண்டலம்' |
இயல்புநிலை['firezone']['install_path'] | செஃப் 'எண்டர்பிரைஸ்' சமையல் புத்தகம் பயன்படுத்தும் பாதையை நிறுவவும். மேலே உள்ள install_directory போலவே அமைக்கப்பட வேண்டும். | முனை['firezone']['install_directory'] |
இயல்புநிலை['firezone']['sysvinit_id'] | /etc/inittab இல் பயன்படுத்தப்படும் அடையாளங்காட்டி. 1-4 எழுத்துகள் கொண்ட தனித்துவ வரிசையாக இருக்க வேண்டும். | SUP' |
இயல்புநிலை['firezone']['அங்கீகாரம்']['உள்ளூர்']['இயக்கப்பட்டது'] | உள்ளூர் மின்னஞ்சல்/கடவுச்சொல் அங்கீகாரத்தை இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['authentication']['auto_create_oidc_users'] | முதல் முறையாக OIDC இலிருந்து உள்நுழையும் பயனர்களை தானாக உருவாக்கவும். ஏற்கனவே உள்ள பயனர்களை மட்டும் OIDC வழியாக உள்நுழைய அனுமதிப்பதை முடக்கு. | உண்மை |
இயல்புநிலை['firezone']['authentication']['disable_vpn_on_oidc_error'] | பயனரின் OIDC டோக்கனைப் புதுப்பிக்கும் முயற்சியில் பிழை கண்டறியப்பட்டால் அவரது VPNஐ முடக்கவும். | பொய்யா |
இயல்புநிலை['firezone']['authentication']['oidc'] | OpenID Connect config, {“provider” => [config…]} வடிவத்தில் – பார்க்கவும் OpenIDConnect ஆவணங்கள் கட்டமைப்பு எடுத்துக்காட்டுகளுக்கு. | {} |
இயல்புநிலை['firezone']['nginx']['enabled'] | தொகுக்கப்பட்ட nginx சேவையகத்தை இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['nginx']['ssl_port'] | HTTPS கேட்கும் போர்ட். | 443 |
இயல்புநிலை['firezone']['nginx']['directory'] | Firezone தொடர்பான nginx மெய்நிகர் ஹோஸ்ட் உள்ளமைவைச் சேமிப்பதற்கான அடைவு. | “#{node['firezone']['var_directory']}/nginx/etc” |
இயல்புநிலை['firezone']['nginx']['log_directory'] | Firezone தொடர்பான nginx பதிவு கோப்புகளை சேமிப்பதற்கான அடைவு. | “#{node['firezone']['log_directory']}/nginx" |
இயல்புநிலை['firezone']['nginx']['log_rotation']['file_maxbytes'] | Nginx பதிவு கோப்புகளை சுழற்றுவதற்கான கோப்பு அளவு. | 104857600 |
இயல்புநிலை['firezone']['nginx']['log_rotation']['num_to_keep'] | நிராகரிப்பதற்கு முன் வைத்திருக்க வேண்டிய Firezone nginx பதிவு கோப்புகளின் எண்ணிக்கை. | 10 |
இயல்புநிலை['firezone']['nginx']['log_x_forwarded_for'] | Firezone nginx x-forwarded-for headerஐப் பதிவு செய்ய வேண்டுமா. | உண்மை |
இயல்புநிலை['firezone']['nginx']['hsts_header']['enabled'] | உண்மை | |
இயல்புநிலை['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS தலைப்புக்கான துணை டொமைன்களை இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['nginx']['hsts_header']['max_age'] | HSTS தலைப்புக்கான அதிகபட்ச வயது. | 31536000 |
இயல்புநிலை['firezone']['nginx']['redirect_to_canonical'] | மேலே குறிப்பிட்டுள்ள FQDNக்கு URLகளை திருப்பிவிட வேண்டுமா | பொய்யா |
இயல்புநிலை['firezone']['nginx']['cache']['enabled'] | Firezone nginx தற்காலிக சேமிப்பை இயக்கவும் அல்லது முடக்கவும். | பொய்யா |
இயல்புநிலை['firezone']['nginx']['cache']['directory'] | Firezone nginx தற்காலிக சேமிப்பிற்கான அடைவு. | “#{node['firezone']['var_directory']}/nginx/cache" |
இயல்புநிலை['firezone']['nginx']['user'] | Firezone nginx பயனர். | முனை['firezone']['user'] |
இயல்புநிலை['firezone']['nginx']['group'] | Firezone nginx குழு. | முனை['firezone']['group'] |
இயல்புநிலை['firezone']['nginx']['dir'] | மேல்-நிலை nginx உள்ளமைவு அடைவு. | முனை['firezone']['nginx']['directory'] |
இயல்புநிலை['firezone']['nginx']['log_dir'] | மேல்-நிலை nginx பதிவு அடைவு. | முனை['firezone']['nginx']['log_directory'] |
இயல்புநிலை['firezone']['nginx']['pid'] | nginx pid கோப்பிற்கான இடம். | “#{node['firezone']['nginx']['directory']}/nginx.pid" |
இயல்புநிலை['firezone']['nginx']['daemon_disable'] | nginx டீமான் பயன்முறையை முடக்கவும், அதற்குப் பதிலாக நாம் அதைக் கண்காணிக்க முடியும். | உண்மை |
இயல்புநிலை['firezone']['nginx']['gzip'] | nginx gzip சுருக்கத்தை ஆன் அல்லது ஆஃப் செய்யவும். | on ' |
இயல்புநிலை['firezone']['nginx']['gzip_static'] | நிலையான கோப்புகளுக்கு nginx gzip சுருக்கத்தை இயக்கவும் அல்லது முடக்கவும். | ஆஃப்' |
இயல்புநிலை['firezone']['nginx']['gzip_http_version'] | நிலையான கோப்புகளை வழங்குவதற்கு HTTP பதிப்பு பயன்படுத்த வேண்டும். | 1.0 ' |
இயல்புநிலை['firezone']['nginx']['gzip_comp_level'] | nginx gzip சுருக்க நிலை. | 2 ' |
இயல்புநிலை['firezone']['nginx']['gzip_proxied'] | கோரிக்கை மற்றும் பதிலைப் பொறுத்து ப்ராக்ஸி கோரிக்கைகளுக்கான பதில்களை ஜிஜிப்பிங்கை இயக்குகிறது அல்லது முடக்குகிறது. | ஏதாவது |
இயல்புநிலை['firezone']['nginx']['gzip_vary'] | "மாறு: ஏற்கவும்-குறியீடு" மறுமொழித் தலைப்பைச் செருகுவதை இயக்குகிறது அல்லது முடக்குகிறது. | ஆஃப்' |
இயல்புநிலை['firezone']['nginx']['gzip_buffers'] | பதிலைச் சுருக்கப் பயன்படுத்தப்படும் இடையகங்களின் எண்ணிக்கை மற்றும் அளவை அமைக்கிறது. nil எனில், nginx default பயன்படுத்தப்படும். | ஒன்றுமே |
இயல்புநிலை['firezone']['nginx']['gzip_types'] | ஜிஜிப் சுருக்கத்தை இயக்க MIME வகைகள். | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
இயல்புநிலை['firezone']['nginx']['gzip_min_length'] | கோப்பு gzip சுருக்கத்தை இயக்க குறைந்தபட்ச கோப்பு நீளம். | 1000 |
இயல்புநிலை['firezone']['nginx']['gzip_disable'] | ஜிஜிப் சுருக்கத்தை முடக்க பயனர்-ஏஜெண்ட் மேட்சர். | MSIE [1-6]\.' |
இயல்புநிலை['firezone']['nginx']['keepalive'] | அப்ஸ்ட்ரீம் சர்வர்களுக்கான இணைப்புக்கான தற்காலிக சேமிப்பை செயல்படுத்துகிறது. | on ' |
இயல்புநிலை['firezone']['nginx']['keepalive_timeout'] | அப்ஸ்ட்ரீம் சர்வர்களுக்கான கீப்பலைவ் இணைப்புக்கான சில நொடிகளில் நேரம் முடிந்தது. | 65 |
இயல்புநிலை['firezone']['nginx']['worker_processes'] | nginx தொழிலாளர் செயல்முறைகளின் எண்ணிக்கை. | node['cpu'] && node['cpu']['total'] ? முனை['cpu']['total'] : 1 |
இயல்புநிலை['firezone']['nginx']['worker_connections'] | ஒரு தொழிலாளி செயல்முறை மூலம் திறக்கக்கூடிய ஒரே நேரத்தில் இணைப்புகளின் அதிகபட்ச எண்ணிக்கை. | 1024 |
இயல்புநிலை['firezone']['nginx']['worker_rlimit_nofile'] | பணியாளர் செயல்முறைகளுக்கான அதிகபட்ச திறந்த கோப்புகளின் வரம்பை மாற்றுகிறது. பூஜ்யமாக இருந்தால் nginx இயல்புநிலையைப் பயன்படுத்துகிறது. | ஒன்றுமே |
இயல்புநிலை['firezone']['nginx']['multi_accept'] | தொழிலாளர்கள் ஒரு நேரத்தில் ஒரு இணைப்பை ஏற்றுக் கொள்ள வேண்டுமா அல்லது பலவற்றை ஏற்க வேண்டுமா. | உண்மை |
இயல்புநிலை['firezone']['nginx']['event'] | nginx நிகழ்வுகளின் சூழலில் பயன்படுத்துவதற்கான இணைப்பு செயலாக்க முறையைக் குறிப்பிடுகிறது. | தேர்தல்' |
இயல்புநிலை['firezone']['nginx']['server_tokens'] | பிழைப் பக்கங்களிலும் “சர்வர்” மறுமொழி தலைப்புப் புலத்திலும் nginx பதிப்பை வெளியிடுவதை இயக்குகிறது அல்லது முடக்குகிறது. | ஒன்றுமே |
இயல்புநிலை['firezone']['nginx']['server_names_hash_bucket_size'] | சேவையக பெயர்கள் ஹாஷ் அட்டவணைகளுக்கு பக்கெட் அளவை அமைக்கிறது. | 64 |
இயல்புநிலை['firezone']['nginx']['sendfile'] | nginx இன் sendfile() பயன்பாட்டை இயக்குகிறது அல்லது முடக்குகிறது. | on ' |
இயல்புநிலை['firezone']['nginx']['access_log_options'] | nginx அணுகல் பதிவு விருப்பங்களை அமைக்கிறது. | ஒன்றுமே |
இயல்புநிலை['firezone']['nginx']['error_log_options'] | nginx பிழை பதிவு விருப்பங்களை அமைக்கிறது. | ஒன்றுமே |
இயல்புநிலை['firezone']['nginx']['disable_access_log'] | nginx அணுகல் பதிவை முடக்குகிறது. | பொய்யா |
இயல்புநிலை['firezone']['nginx']['types_hash_max_size'] | nginx வகைகள் ஹாஷ் அதிகபட்ச அளவு. | 2048 |
இயல்புநிலை['firezone']['nginx']['types_hash_bucket_size'] | nginx வகைகள் ஹாஷ் பக்கெட் அளவு. | 64 |
இயல்புநிலை['firezone']['nginx']['proxy_read_timeout'] | nginx ப்ராக்ஸி வாசிப்பு நேரம் முடிந்தது. nginx இயல்புநிலையைப் பயன்படுத்த பூஜ்யத்திற்கு அமைக்கவும். | ஒன்றுமே |
இயல்புநிலை['firezone']['nginx']['client_body_buffer_size'] | nginx கிளையண்ட் பாடி பஃபர் அளவு. nginx இயல்புநிலையைப் பயன்படுத்த பூஜ்யத்திற்கு அமைக்கவும். | ஒன்றுமே |
இயல்புநிலை['firezone']['nginx']['client_max_body_size'] | nginx கிளையண்ட் அதிகபட்ச உடல் அளவு. | 250 மீ' |
இயல்புநிலை['firezone']['nginx']['default']['modules'] | கூடுதல் nginx தொகுதிக்கூறுகளைக் குறிப்பிடவும். | [] |
இயல்புநிலை['firezone']['nginx']['enable_rate_limiting'] | nginx வீத வரம்பை இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['nginx']['rate_limiting_zone_name'] | Nginx விகிதம் கட்டுப்படுத்தும் மண்டலப் பெயர். | நெருப்பு மண்டலம்' |
இயல்புநிலை['firezone']['nginx']['rate_limiting_backoff'] | Nginx விகிதம் பின்னடைவைக் கட்டுப்படுத்துகிறது. | 10 மீ' |
இயல்புநிலை['firezone']['nginx']['rate_limit'] | Nginx வீத வரம்பு. | 10ஆர்/வி' |
இயல்புநிலை['firezone']['nginx']['ipv6'] | IPv6 க்கு கூடுதலாக IPv4 க்கான HTTP கோரிக்கைகளை கேட்க nginx ஐ அனுமதிக்கவும். | உண்மை |
இயல்புநிலை['firezone']['postgresql']['enabled'] | தொகுக்கப்பட்ட Postgresql ஐ இயக்கவும் அல்லது முடக்கவும். உங்கள் சொந்த Postgresql நிகழ்வைப் பயன்படுத்துவதற்கு தவறு என அமைத்து, கீழே உள்ள தரவுத்தள விருப்பங்களை நிரப்பவும். | உண்மை |
இயல்புநிலை['firezone']['postgresql']['username'] | Postgresql க்கான பயனர்பெயர். | முனை['firezone']['user'] |
இயல்புநிலை['firezone']['postgresql']['data_directory'] | Postgresql தரவு அடைவு. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
இயல்புநிலை['firezone']['postgresql']['log_directory'] | Postgresql பதிவு அடைவு. | “#{node['firezone']['log_directory']}/postgresql" |
இயல்புநிலை['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql பதிவு கோப்பு சுழற்றப்படுவதற்கு முன் அதிகபட்ச அளவு. | 104857600 |
இயல்புநிலை['firezone']['postgresql']['log_rotation']['num_to_keep'] | வைத்திருக்க வேண்டிய Postgresql பதிவு கோப்புகளின் எண்ணிக்கை. | 10 |
இயல்புநிலை['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql சோதனைச் சாவடி நிறைவு இலக்கு. | 0.5 |
இயல்புநிலை['firezone']['postgresql']['checkpoint_segments'] | Postgresql சோதனைச் சாவடி பிரிவுகளின் எண்ணிக்கை. | 3 |
இயல்புநிலை['firezone']['postgresql']['checkpoint_timeout'] | Postgresql சோதனைச் சாவடி நேரம் முடிந்தது. | 5 நிமிடம்' |
இயல்புநிலை['firezone']['postgresql']['checkpoint_warning'] | Postgresql சோதனைச் சாவடி எச்சரிக்கை நேரம் நொடிகளில். | 30கள்' |
இயல்புநிலை['firezone']['postgresql']['effective_cache_size'] | Postgresql பயனுள்ள கேச் அளவு. | 128MB' |
இயல்புநிலை['firezone']['postgresql']['listen_address'] | Postgresql கேட்கும் முகவரி. | 127.0.0.1 ' |
இயல்புநிலை['firezone']['postgresql']['max_connections'] | Postgresql அதிகபட்ச இணைப்புகள். | 350 |
இயல்புநிலை['firezone']['postgresql']['md5_auth_cidr_addresses'] | md5 அங்கீகாரத்தை அனுமதிக்க Postgresql CIDRகள். | ['127.0.0.1/32', '::1/128'] |
இயல்புநிலை['firezone']['postgresql']['port'] | Postgresql கேட்கும் துறைமுகம். | 15432 |
இயல்புநிலை['firezone']['postgresql']['shared_buffers'] | Postgresql பகிர்ந்த இடையக அளவு. | “#{(node['memory']['total'].to_i / 4) / 1024}MB" |
இயல்புநிலை['firezone']['postgresql']['shmmax'] | பைட்டுகளில் Postgresql shmmax. | 17179869184 |
இயல்புநிலை['firezone']['postgresql']['shmall'] | பைட்டுகளில் Postgresql shmall. | 4194304 |
இயல்புநிலை['firezone']['postgresql']['work_mem'] | Postgresql வேலை செய்யும் நினைவக அளவு. | 8MB' |
இயல்புநிலை['firezone']['database']['user'] | DB உடன் இணைக்க Firezone பயன்படுத்தும் பயனர் பெயரைக் குறிப்பிடுகிறது. | முனை['firezone']['postgresql']['username'] |
இயல்புநிலை['firezone']['database']['password'] | வெளிப்புற DB ஐப் பயன்படுத்தினால், DB உடன் இணைக்க Firezone பயன்படுத்தும் கடவுச்சொல்லைக் குறிப்பிடவும். | என்னை மாற்று' |
இயல்புநிலை['firezone']['database']['name'] | Firezone பயன்படுத்தும் தரவுத்தளம். அது இல்லாவிட்டால் உருவாக்கப்படும். | நெருப்பு மண்டலம்' |
இயல்புநிலை['firezone']['database']['host'] | Firezone இணைக்கும் தரவுத்தள ஹோஸ்ட். | முனை['firezone']['postgresql']['listen_address'] |
இயல்புநிலை['firezone']['database']['port'] | Firezone இணைக்கும் தரவுத்தள போர்ட். | முனை['firezone']['postgresql']['port'] |
இயல்புநிலை['firezone']['database']['pool'] | டேட்டாபேஸ் பூல் அளவு Firezone பயன்படுத்தும். | [10, Etc.nprocessors].max |
இயல்புநிலை['firezone']['database']['ssl'] | SSL மூலம் தரவுத்தளத்துடன் இணைக்க வேண்டுமா. | பொய்யா |
இயல்புநிலை['firezone']['database']['ssl_opts'] | {} | |
இயல்புநிலை['firezone']['database']['parameters'] | {} | |
இயல்புநிலை['firezone']['database']['extensions'] | செயல்படுத்த தரவுத்தள நீட்டிப்புகள். | { 'plpgsql' => true, 'pg_trgm' => true } |
இயல்புநிலை['ஃபயர்சோன்']['பீனிக்ஸ்']['இயக்கப்பட்டது'] | Firezone இணைய பயன்பாட்டை இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['phoenix']['listen_address'] | Firezone இணைய பயன்பாடு கேட்கும் முகவரி. இது nginx ப்ராக்ஸிகளின் அப்ஸ்ட்ரீம் கேட்கும் முகவரியாக இருக்கும். | 127.0.0.1 ' |
இயல்புநிலை['firezone']['phoenix']['port'] | Firezone இணைய பயன்பாடு கேட்கும் துறைமுகம். இது nginx ப்ராக்ஸியின் அப்ஸ்ட்ரீம் போர்ட்டாக இருக்கும். | 13000 |
இயல்புநிலை['firezone']['phoenix']['log_directory'] | Firezone வலை பயன்பாட்டு பதிவு கோப்பகம். | "#{நோட்['ஃபயர்சோன்']['log_directory']}/பீனிக்ஸ்" |
இயல்புநிலை['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone வலை பயன்பாட்டு பதிவு கோப்பு அளவு. | 104857600 |
இயல்புநிலை['firezone']['phoenix']['log_rotation']['num_to_keep'] | வைத்திருக்க வேண்டிய Firezone வலை பயன்பாட்டு பதிவு கோப்புகளின் எண்ணிக்கை. | 10 |
இயல்புநிலை['firezone']['phoenix']['crash_detection']['enabled'] | செயலிழப்பு கண்டறியப்பட்டால், Firezone இணைய பயன்பாட்டைக் கீழே கொண்டுவருவதை இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['phoenix']['external_trusted_proxies'] | IPகள் மற்றும்/அல்லது CIDRகளின் வரிசையாக வடிவமைக்கப்பட்ட நம்பகமான தலைகீழ் ப்ராக்ஸிகளின் பட்டியல். | [] |
இயல்புநிலை['firezone']['phoenix']['private_clients'] | தனிப்பட்ட நெட்வொர்க் HTTP கிளையண்டுகளின் பட்டியல், IPகள் மற்றும்/அல்லது CIDRகளின் வரிசையை வடிவமைத்துள்ளது. | [] |
இயல்புநிலை['firezone']['wireguard']['enabled'] | தொகுக்கப்பட்ட WireGuard நிர்வாகத்தை இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['wireguard']['log_directory'] | தொகுக்கப்பட்ட WireGuard நிர்வாகத்திற்கான பதிவு அடைவு. | “#{node['firezone']['log_directory']}/wireguard" |
இயல்புநிலை['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard பதிவு கோப்பு அதிகபட்ச அளவு. | 104857600 |
இயல்புநிலை['firezone']['wireguard']['log_rotation']['num_to_keep'] | வைத்திருக்க வேண்டிய WireGuard பதிவு கோப்புகளின் எண்ணிக்கை. | 10 |
இயல்புநிலை['firezone']['wireguard']['interface_name'] | WireGuard இடைமுகத்தின் பெயர். இந்த அளவுருவை மாற்றுவது VPN இணைப்பில் தற்காலிக இழப்பை ஏற்படுத்தலாம். | wg-firezone' |
இயல்புநிலை['firezone']['wireguard']['port'] | வயர்கார்ட் கேட்கும் துறைமுகம். | 51820 |
இயல்புநிலை['firezone']['wireguard']['mtu'] | இந்த சேவையகத்திற்கும் சாதன அமைப்புகளுக்கும் WireGuard இடைமுகம் MTU. | 1280 |
இயல்புநிலை['firezone']['wireguard']['endpoint'] | சாதன உள்ளமைவுகளை உருவாக்க WireGuard எண்ட்பாயிண்ட் பயன்படுத்த வேண்டும். பூஜ்யமாக இருந்தால், சர்வரின் பொது ஐபி முகவரிக்கு இயல்புநிலையாக இருக்கும். | ஒன்றுமே |
இயல்புநிலை['firezone']['wireguard']['dns'] | உருவாக்கப்பட்ட சாதன உள்ளமைவுகளுக்கு பயன்படுத்த WireGuard DNS. | 1.1.1.1, 1.0.0.1′ |
இயல்புநிலை['firezone']['wireguard']['allowed_ips'] | உருவாக்கப்பட்ட சாதன உள்ளமைவுகளுக்கு WireGuard ஐபிகள் பயன்படுத்த அனுமதிக்கப்பட்டது. | 0.0.0.0/0, ::/0′ |
இயல்புநிலை['firezone']['wireguard']['persistent_keepalive'] | உருவாக்கப்பட்ட சாதன உள்ளமைவுகளுக்கான இயல்புநிலை PersistentKeepalive அமைப்பு. 0 இன் மதிப்பு முடக்குகிறது. | 0 |
இயல்புநிலை['firezone']['wireguard']['ipv4']['enabled'] | WireGuard நெட்வொர்க்கிற்கு IPv4 ஐ இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['wireguard']['ipv4']['masquerade'] | IPv4 சுரங்கப்பாதையை விட்டு வெளியேறும் பாக்கெட்டுகளுக்கு முகமூடியை இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['wireguard']['ipv4']['network'] | WireGuard நெட்வொர்க் IPv4 முகவரி குளம். | 10.3.2.0/24 |
இயல்புநிலை['firezone']['wireguard']['ipv4']['address'] | WireGuard இடைமுகம் IPv4 முகவரி. WireGuard முகவரிக் குழுவிற்குள் இருக்க வேண்டும். | 10.3.2.1 ' |
இயல்புநிலை['firezone']['wireguard']['ipv6']['enabled'] | WireGuard நெட்வொர்க்கிற்கு IPv6 ஐ இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['wireguard']['ipv6']['masquerade'] | IPv6 சுரங்கப்பாதையை விட்டு வெளியேறும் பாக்கெட்டுகளுக்கு முகமூடியை இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['wireguard']['ipv6']['network'] | WireGuard நெட்வொர்க் IPv6 முகவரி குளம். | fd00::3:2:0/120′ |
இயல்புநிலை['firezone']['wireguard']['ipv6']['address'] | WireGuard இடைமுகம் IPv6 முகவரி. IPv6 முகவரிக் குழுவிற்குள் இருக்க வேண்டும். | fd00::3:2:1′ |
இயல்புநிலை['firezone']['runit']['svlogd_bin'] | svlogd bin இருப்பிடத்தை இயக்கவும். | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
இயல்புநிலை['firezone']['ssl']['directory'] | உருவாக்கப்பட்ட சான்றிதழ்களை சேமிப்பதற்கான SSL அடைவு. | /var/opt/firezone/ssl' |
இயல்புநிலை['firezone']['ssl']['email_address'] | சுய கையொப்பமிடப்பட்ட சான்றிதழ்கள் மற்றும் ACME நெறிமுறை புதுப்பித்தல் அறிவிப்புகளுக்கு பயன்படுத்த வேண்டிய மின்னஞ்சல் முகவரி. | you@example.com' |
இயல்புநிலை['firezone']['ssl']['acme']['enabled'] | தானியங்கு SSL சான்றிதழ் வழங்கலுக்கு ACME ஐ இயக்கவும். போர்ட் 80 இல் Nginx கேட்பதைத் தடுக்க இதை முடக்கவும். பார்க்கவும் இங்கே மேலும் அறிவுறுத்தல்களுக்கு. | பொய்யா |
இயல்புநிலை['firezone']['ssl']['acme']['server'] | letsencrypt | |
இயல்புநிலை['firezone']['ssl']['acme']['keylength'] | SSL சான்றிதழ்களுக்கான முக்கிய வகை மற்றும் நீளத்தைக் குறிப்பிடவும். பார்க்கவும் இங்கே | ec-256 |
இயல்புநிலை['firezone']['ssl']['certificate'] | உங்கள் FQDNக்கான சான்றிதழ் கோப்பிற்கான பாதை. மேலே குறிப்பிடப்பட்டால் ACME அமைப்பை மீறுகிறது. ACME மற்றும் இது இரண்டும் பூஜ்யமாக இருந்தால், சுய கையொப்பமிடப்பட்ட சான்றிதழ் உருவாக்கப்படும். | ஒன்றுமே |
இயல்புநிலை['firezone']['ssl']['certificate_key'] | சான்றிதழ் கோப்பிற்கான பாதை. | ஒன்றுமே |
இயல்புநிலை['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | ஒன்றுமே |
இயல்புநிலை['firezone']['ssl']['country_name'] | சுய கையொப்பமிடப்பட்ட சான்றிதழுக்கான நாட்டின் பெயர். | எங்களுக்கு' |
இயல்புநிலை['firezone']['ssl']['state_name'] | சுய கையொப்பமிடப்பட்ட சான்றிதழின் மாநில பெயர். | சி.ஏ ' |
இயல்புநிலை['firezone']['ssl']['locality_name'] | சுய கையொப்பமிடப்பட்ட சான்றிதழுக்கான உள்ளூர் பெயர். | சான் பிரான்சிஸ்கோ' |
இயல்புநிலை['firezone']['ssl']['company_name'] | நிறுவனத்தின் பெயர் சுய கையொப்பமிடப்பட்ட சான்றிதழ். | எனது நிறுவனம்' |
இயல்புநிலை['firezone']['ssl']['organisational_unit_name'] | சுய கையொப்பமிடப்பட்ட சான்றிதழுக்கான நிறுவன அலகு பெயர். | செயல்பாடுகள்' |
இயல்புநிலை['firezone']['ssl']['ciphers'] | nginx பயன்படுத்த SSL சைபர்கள். | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
இயல்புநிலை['firezone']['ssl']['fips_ciphers'] | FIPகள் பயன்முறைக்கான SSL சைபர்கள். | FIPS@StrengTH:!aNULL:!eNULL' |
இயல்புநிலை['firezone']['ssl']['protocols'] | பயன்படுத்த வேண்டிய TLS நெறிமுறைகள். | TLSv1 TLSv1.1 TLSv1.2′ |
இயல்புநிலை['firezone']['ssl']['session_cache'] | SSL அமர்வு தற்காலிக சேமிப்பு. | பகிரப்பட்டது:SSL:4m' |
இயல்புநிலை['firezone']['ssl']['session_timeout'] | SSL அமர்வு நேரம் முடிந்தது. | 5 மீ' |
இயல்புநிலை['firezone']['robots_allow'] | nginx ரோபோக்கள் அனுமதிக்கின்றன. | /' |
இயல்புநிலை['firezone']['robots_disallow'] | nginx ரோபோக்கள் அனுமதிக்காது. | ஒன்றுமே |
இயல்புநிலை['firezone']['outbound_email']['from'] | முகவரியிலிருந்து வெளிவரும் மின்னஞ்சல். | ஒன்றுமே |
இயல்புநிலை['firezone']['outbound_email']['provider'] | வெளிச்செல்லும் மின்னஞ்சல் சேவை வழங்குநர். | ஒன்றுமே |
இயல்புநிலை['firezone']['outbound_email']['configs'] | வெளிச்செல்லும் மின்னஞ்சல் வழங்குநர் கட்டமைப்புகள். | omnibus/cookbooks/firezone/attributes/default.rb ஐப் பார்க்கவும் |
இயல்புநிலை['firezone']['telemetry']['enabled'] | அநாமதேய தயாரிப்பு டெலிமெட்ரியை இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['connectivity_checks']['enabled'] | Firezone இணைப்புச் சரிபார்ப்புச் சேவையை இயக்கவும் அல்லது முடக்கவும். | உண்மை |
இயல்புநிலை['firezone']['connectivity_checks']['interval'] | வினாடிகளில் இணைப்புச் சோதனைகளுக்கு இடையிலான இடைவெளி. | 3_600 |
________________________________________________________________
ஒரு பொதுவான Firezone நிறுவலுடன் தொடர்புடைய கோப்புகள் மற்றும் கோப்பகங்களின் பட்டியலை இங்கே காணலாம். உங்கள் உள்ளமைவு கோப்பில் ஏற்படும் மாற்றங்களைப் பொறுத்து இவை மாறலாம்.
பாதை | விளக்கம் |
/var/opt/firezone | Firezone தொகுக்கப்பட்ட சேவைகளுக்கான தரவு மற்றும் உருவாக்கப்பட்ட உள்ளமைவைக் கொண்ட உயர்மட்ட கோப்பகம். |
/opt/firezone | Firezoneக்குத் தேவையான கட்டப்பட்ட நூலகங்கள், பைனரிகள் மற்றும் இயக்க நேரக் கோப்புகளைக் கொண்ட உயர்நிலை அடைவு. |
/usr/bin/firezone-ctl | உங்கள் Firezone நிறுவலை நிர்வகிப்பதற்கான firezone-ctl பயன்பாடு. |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runvdir மேற்பார்வையாளர் செயல்முறையைத் தொடங்குவதற்கான systemd அலகு கோப்பு. |
/etc/firezone | Firezone கட்டமைப்பு கோப்புகள். |
__________________________________________________________
ஆவணத்தில் இந்தப் பக்கம் காலியாக இருந்தது
_____________________________________________________________
Firezone இயங்கும் சேவையகத்தைப் பாதுகாக்க பின்வரும் nftables ஃபயர்வால் டெம்ப்ளேட்டைப் பயன்படுத்தலாம். டெம்ப்ளேட் சில அனுமானங்களை செய்கிறது; உங்கள் பயன்பாட்டிற்கு ஏற்ற விதிகளை நீங்கள் சரிசெய்ய வேண்டியிருக்கலாம்:
ஃபயர்ஸோன் அதன் சொந்த nftables விதிகளை இணைய இடைமுகத்தில் கட்டமைக்கப்பட்ட இடங்களுக்கான போக்குவரத்தை அனுமதிக்க/நிராகரிக்கவும் மற்றும் கிளையன்ட் ட்ராஃபிக்காக வெளிச்செல்லும் NAT ஐக் கையாளவும் கட்டமைக்கிறது.
கீழே உள்ள ஃபயர்வால் டெம்ப்ளேட்டை ஏற்கனவே இயங்கும் சர்வரில் பயன்படுத்தினால் (பூட் நேரத்தில் அல்ல) Firezone விதிகள் அழிக்கப்படும். இது பாதுகாப்பு தாக்கங்களை ஏற்படுத்தலாம்.
இதைச் செய்ய, பீனிக்ஸ் சேவையை மறுதொடக்கம் செய்யுங்கள்:
firezone-ctl ஃபீனிக்ஸ் மறுதொடக்கம்
#!/usr/sbin/nft -f
## ஏற்கனவே உள்ள அனைத்து விதிகளையும் அழிக்கவும் / பறிக்கவும்
பறிப்பு விதிகள்
################################ மாறுபாடுகள் ################# ################
## இணையம்/WAN இடைமுகத்தின் பெயர்
DEV_WAN = eth0 ஐ வரையறுக்கவும்
## WireGuard இடைமுகத்தின் பெயர்
DEV_WIREGUARD = wg-firezone ஐ வரையறுக்கவும்
## WireGuard கேட்கும் துறைமுகம்
WIREGUARD_PORT = ஐ வரையறுக்கவும் 51820
############################## மாறுபடும் முடிவு ################## #############
# முக்கிய inet குடும்ப வடிகட்டுதல் அட்டவணை
அட்டவணை inet வடிகட்டி {
# அனுப்பப்பட்ட போக்குவரத்திற்கான விதிகள்
# இந்த சங்கிலி ஃபயர்சோன் முன்னோக்கிச் சங்கிலிக்கு முன் செயலாக்கப்படுகிறது
சங்கிலி முன்னோக்கி {
வகை வடிகட்டி ஹூக் முன்னோக்கி முன்னுரிமை வடிகட்டி - 5; கொள்கை ஏற்றுக்கொள்ளும்
}
# உள்ளீட்டு போக்குவரத்திற்கான விதிகள்
சங்கிலி உள்ளீடு {
வகை வடிகட்டி ஹூக் உள்ளீடு முன்னுரிமை வடிகட்டி; கொள்கை வீழ்ச்சி
## லூப்பேக் இடைமுகத்திற்கு உள்வரும் போக்குவரத்தை அனுமதிக்கவும்
நான் இருந்தால் \\
ஏற்றுக்கொள் \
கருத்து "லூப்பேக் இடைமுகத்திலிருந்து அனைத்து போக்குவரத்தையும் அனுமதிக்கவும்"
## நிறுவப்பட்ட மற்றும் தொடர்புடைய இணைப்புகளுக்கு அனுமதி
ct மாநில நிறுவப்பட்டது, தொடர்புடைய \
ஏற்றுக்கொள் \
கருத்து "அனுமதி நிறுவப்பட்ட/தொடர்புடைய இணைப்புகள்"
## உள்வரும் WireGuard போக்குவரத்தை அனுமதிக்கவும்
II எப் $DEV_WAN udp dport $WIREGUARD_PORT \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "உள்ளே செல்லும் வயர்கார்டு போக்குவரத்தை அனுமதி"
## புதிய TCP அல்லாத SYN பாக்கெட்டுகளை பதிவு செய்து விடுங்கள்
tcp கொடிகள் != ஒத்திசைவு நிலை புதிய \
வரம்பு விகிதம் 100/ நிமிட வெடிப்பு 150 பாக்கெட்டுகள் \
பதிவு முன்னொட்டு "IN - புதியது !SYN: " \
கருத்து "SYN TCP ஃபிளாக் செட் இல்லாத புதிய இணைப்புகளுக்கான லாக்கிங் வரம்பு"
tcp கொடிகள் != ஒத்திசைவு நிலை புதிய \
கவுண்டர் \
கைவிட \
கருத்து "SYN TCP கொடி அமைக்கப்படாத புதிய இணைப்புகளை கைவிடவும்"
## தவறான துடுப்பு/ஒத்திசைவு கொடியுடன் TCP பாக்கெட்டுகளை பதிவு செய்து விடுங்கள்
tcp கொடிகள் & (fin|syn) == (fin|syn) \
வரம்பு விகிதம் 100/ நிமிட வெடிப்பு 150 பாக்கெட்டுகள் \
பதிவு முன்னொட்டு “IN – TCP FIN|SIN: “ \
கருத்து "தவறான துடுப்பு/சின் ஃபிளாக் செட் கொண்ட TCP பாக்கெட்டுகளுக்கான ரேட் லிமிட் லாக்கிங்"
tcp கொடிகள் & (fin|syn) == (fin|syn) \
கவுண்டர் \
கைவிட \
கருத்து "தவறான துடுப்பு/ஒத்திசைவு கொடி செட் கொண்ட TCP பாக்கெட்டுகளை கைவிடவும்"
## தவறான syn/rst ஃபிளாக் செட் மூலம் TCP பாக்கெட்டுகளை பதிவு செய்து விடுங்கள்
tcp கொடிகள் & (syn|rst) == (syn|rst) \
வரம்பு விகிதம் 100/ நிமிட வெடிப்பு 150 பாக்கெட்டுகள் \
பதிவு முன்னொட்டு “IN – TCP SYN|RST: “ \
கருத்து "தவறான syn/rst ஃபிளாக் செட் கொண்ட TCP பாக்கெட்டுகளுக்கான விகித வரம்பு பதிவு"
tcp கொடிகள் & (syn|rst) == (syn|rst) \
கவுண்டர் \
கைவிட \
கருத்து “தவறான syn/rst கொடி தொகுப்புடன் TCP பாக்கெட்டுகளை கைவிடவும்”
## தவறான TCP கொடிகளை பதிவு செய்து விடுங்கள்
tcp கொடிகள் & (fin|syn|rst|psh|ack|urg) < (fin) \
வரம்பு விகிதம் 100/ நிமிட வெடிப்பு 150 பாக்கெட்டுகள் \
பதிவு முன்னொட்டு "IN - FIN:" \
கருத்து “தவறான TCP கொடிகளுக்கான விகித வரம்பு பதிவு (fin|syn|rst|psh|ack|urg) < (fin)”
tcp கொடிகள் & (fin|syn|rst|psh|ack|urg) < (fin) \
கவுண்டர் \
கைவிட \
கருத்து "கொடிகள் (fin|syn|rst|psh|ack|urg) < (fin) உடன் TCP பாக்கெட்டுகளை கைவிடவும்"
## தவறான TCP கொடிகளை பதிவு செய்து விடுங்கள்
tcp கொடிகள் & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
வரம்பு விகிதம் 100/ நிமிட வெடிப்பு 150 பாக்கெட்டுகள் \
பதிவு முன்னொட்டு “IN – FIN|PSH|URG:” \
கருத்து “தவறான TCP கொடிகளுக்கான விகித வரம்பு பதிவு (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
tcp கொடிகள் & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
கவுண்டர் \
கைவிட \
கருத்து "கொடிகளுடன் TCP பாக்கெட்டுகளை கைவிடவும் (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## தவறான இணைப்பு நிலையில் போக்குவரத்தை கைவிடவும்
ct நிலை தவறானது \
வரம்பு விகிதம் 100/ நிமிட வெடிப்பு 150 பாக்கெட்டுகள் \
பதிவு கொடிகள் அனைத்து முன்னொட்டு "IN - தவறானது:" \
கருத்து "தவறான இணைப்பு நிலையுடன் கூடிய போக்குவரத்திற்கான விகித வரம்பு பதிவு"
ct நிலை தவறானது \
கவுண்டர் \
கைவிட \
கருத்து "தவறான இணைப்பு நிலையில் போக்குவரத்தை கைவிடு"
## IPv4 பிங்/பிங் மறுமொழிகளை அனுமதிக்கவும் ஆனால் வீத வரம்பு 2000 PPS ஆக இருக்கும்
ip நெறிமுறை icmp icmp வகை { எதிரொலி-பதில், எதிரொலி-கோரிக்கை } \
வரம்பு விகிதம் 2000/வினாடி \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "அனுமதி உள்வரும் IPv4 எதிரொலி (பிங்) 2000 பிபிஎஸ் வரை வரையறுக்கப்பட்டுள்ளது"
## மற்ற அனைத்து உள்வரும் IPv4 ICMP ஐ அனுமதிக்கவும்
ip நெறிமுறை icmp \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "மற்ற அனைத்து IPv4 ICMP ஐ அனுமதிக்கவும்"
## IPv6 பிங்/பிங் மறுமொழிகளை அனுமதிக்கவும் ஆனால் வீத வரம்பு 2000 PPS ஆக இருக்கும்
icmpv6 வகை {எக்கோ-பதில், எதிரொலி-கோரிக்கை } \
வரம்பு விகிதம் 2000/வினாடி \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "அனுமதி உள்வரும் IPv6 எதிரொலி (பிங்) 2000 பிபிஎஸ் வரை வரையறுக்கப்பட்டுள்ளது"
## மற்ற அனைத்து உள்வரும் IPv6 ICMP ஐ அனுமதிக்கவும்
meta l4proto {icmpv6 } \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "மற்ற அனைத்து IPv6 ICMP ஐ அனுமதிக்கவும்"
## உள்வரும் ட்ரேசரூட் UDP போர்ட்களை அனுமதிக்கவும் ஆனால் 500 PPS ஆக வரம்பிடவும்
udp dport 33434-33524 \
வரம்பு விகிதம் 500/வினாடி \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "அனுமதி உள்வரும் UDP ட்ரேசரூட் 500 PPS க்கு மட்டுமே"
## உள்வரும் SSH அனுமதி
டிசிபி டிபோர்ட் எஸ்எஸ்ஹெச் ct மாநில புதிய \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "உள்ளே செல்லும் SSH இணைப்புகளை அனுமதி"
## உள்வரும் HTTP மற்றும் HTTPS அனுமதி
tcp dport { http, https } ct நிலை புதியது \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "உள்ளே செல்லும் HTTP மற்றும் HTTPS இணைப்புகளை அனுமதி"
## பொருந்தாத ட்ராஃபிக்கை பதிவு செய்யுங்கள், ஆனால் அதிகபட்சமாக 60 செய்திகள்/நிமிடத்திற்கு உள்நுழைவு வரம்பு
## இயல்புநிலைக் கொள்கை பொருந்தாத போக்குவரத்திற்குப் பயன்படுத்தப்படும்
வரம்பு விகிதம் 60/ நிமிட வெடிப்பு 100 பாக்கெட்டுகள் \
பதிவு முன்னொட்டு "இன் - டிராப்:" \
கருத்து "எந்தவொரு பொருத்தமற்ற போக்குவரத்தையும் பதிவுசெய்க"
## பொருந்தாத போக்குவரத்தை எண்ணுங்கள்
கவுண்டர் \
கருத்து "எந்தவொரு பொருத்தமற்ற போக்குவரத்தையும் எண்ணுங்கள்"
}
# வெளியீட்டு போக்குவரத்திற்கான விதிகள்
சங்கிலி வெளியீடு {
வகை வடிகட்டி கொக்கி வெளியீடு முன்னுரிமை வடிகட்டி; கொள்கை வீழ்ச்சி
## வெளிச்செல்லும் போக்குவரத்தை லூப்பேக் இடைமுகத்திற்கு அனுமதி
ஓய் லோ \
ஏற்றுக்கொள் \
கருத்து "எல்லா போக்குவரத்தையும் லூப்பேக் இடைமுகத்திற்கு அனுமதிக்கவும்"
## நிறுவப்பட்ட மற்றும் தொடர்புடைய இணைப்புகளுக்கு அனுமதி
ct மாநில நிறுவப்பட்டது, தொடர்புடைய \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "அனுமதி நிறுவப்பட்ட/தொடர்புடைய இணைப்புகள்"
## மோசமான நிலையில் உள்ள இணைப்புகளை கைவிடுவதற்கு முன் வெளிச்செல்லும் வயர்கார்டு போக்குவரத்தை அனுமதிக்கவும்
oif $DEV_WAN udp விளையாட்டு $WIREGUARD_PORT \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "WireGuard வெளிச்செல்லும் போக்குவரத்தை அனுமதி"
## தவறான இணைப்பு நிலையில் போக்குவரத்தை கைவிடவும்
ct நிலை தவறானது \
வரம்பு விகிதம் 100/ நிமிட வெடிப்பு 150 பாக்கெட்டுகள் \
பதிவு கொடிகள் அனைத்து முன்னொட்டு "வெளியே - தவறானது:" \
கருத்து "தவறான இணைப்பு நிலையுடன் கூடிய போக்குவரத்திற்கான விகித வரம்பு பதிவு"
ct நிலை தவறானது \
கவுண்டர் \
கைவிட \
கருத்து "தவறான இணைப்பு நிலையில் போக்குவரத்தை கைவிடு"
## மற்ற அனைத்து வெளிச்செல்லும் IPv4 ICMP ஐ அனுமதிக்கவும்
ip நெறிமுறை icmp \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "அனைத்து IPv4 ICMP வகைகளையும் அனுமதிக்கவும்"
## மற்ற அனைத்து வெளிச்செல்லும் IPv6 ICMP ஐ அனுமதிக்கவும்
meta l4proto {icmpv6 } \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "அனைத்து IPv6 ICMP வகைகளையும் அனுமதிக்கவும்"
## வெளிச்செல்லும் டிரேசரூட் UDP போர்ட்களை அனுமதிக்கவும் ஆனால் 500 PPS ஆக வரம்பிடவும்
udp dport 33434-33524 \
வரம்பு விகிதம் 500/வினாடி \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "வெளிச்செல்லும் UDP ட்ரேசரூட்டை 500 PPSக்கு அனுமதியுங்கள்"
## வெளிச்செல்லும் HTTP மற்றும் HTTPS இணைப்புகளை அனுமதிக்கவும்
tcp dport { http, https } ct நிலை புதியது \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "வெளியே செல்லும் HTTP மற்றும் HTTPS இணைப்புகளை அனுமதி"
## வெளிச்செல்லும் SMTP சமர்ப்பிப்பை அனுமதி
tcp dport சமர்ப்பிப்பு ct நிலை புதிய \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "வெளியே செல்லும் SMTP சமர்ப்பிப்பை அனுமதி"
## வெளிச்செல்லும் DNS கோரிக்கைகளை அனுமதி
udp dport 53 \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து "வெளியே செல்லும் UDP DNS கோரிக்கைகளை அனுமதி"
டிசிபி டிபோர்ட் 53 \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து “வெளியே செல்லும் TCP DNS கோரிக்கைகளை அனுமதி”
## வெளிச்செல்லும் NTP கோரிக்கைகளை அனுமதி
udp dport 123 \
கவுண்டர் \
ஏற்றுக்கொள் \
கருத்து “வெளியே செல்லும் NTP கோரிக்கைகளை அனுமதி”
## பொருந்தாத ட்ராஃபிக்கை பதிவு செய்யுங்கள், ஆனால் அதிகபட்சமாக 60 செய்திகள்/நிமிடத்திற்கு உள்நுழைவு வரம்பு
## இயல்புநிலைக் கொள்கை பொருந்தாத போக்குவரத்திற்குப் பயன்படுத்தப்படும்
வரம்பு விகிதம் 60/ நிமிட வெடிப்பு 100 பாக்கெட்டுகள் \
பதிவு முன்னொட்டு "அவுட் - டிராப்:" \
கருத்து "எந்தவொரு பொருத்தமற்ற போக்குவரத்தையும் பதிவுசெய்க"
## பொருந்தாத போக்குவரத்தை எண்ணுங்கள்
கவுண்டர் \
கருத்து "எந்தவொரு பொருத்தமற்ற போக்குவரத்தையும் எண்ணுங்கள்"
}
}
# முக்கிய NAT வடிகட்டுதல் அட்டவணை
டேபிள் இன்ட் நாட் {
# NAT ட்ராஃபிக் முன்-ரூட்டிங் விதிகள்
சங்கிலி முன்னோட்டம் {
டைப் நாட் ஹூக் ப்ரீரூட்டிங் முன்னுரிமை dstnat; கொள்கை ஏற்றுக்கொள்ளும்
}
# NAT போக்குவரத்துக்கு பிந்தைய ரூட்டிங் விதிகள்
# இந்த அட்டவணை Firezone பிந்தைய ரூட்டிங் சங்கிலிக்கு முன் செயலாக்கப்படுகிறது
சங்கிலி போஸ்ட்ரூட்டிங் {
நேட் ஹூக் போஸ்ட்ரூட்டிங் முன்னுரிமை srcnat - 5; கொள்கை ஏற்றுக்கொள்ளும்
}
}
இயங்கும் லினக்ஸ் விநியோகத்திற்கான ஃபயர்வால் தொடர்புடைய இடத்தில் சேமிக்கப்பட வேண்டும். Debian/Ubuntu க்கு இது /etc/nftables.conf மற்றும் RHEL க்கு இது /etc/sysconfig/nftables.conf.
nftables.service ஆனது துவக்கத்தில் தொடங்குவதற்கு கட்டமைக்கப்பட வேண்டும் (ஏற்கனவே இல்லை என்றால்) அமைக்கப்பட்டது:
systemctl nftables.service ஐ செயல்படுத்துகிறது
ஃபயர்வால் டெம்ப்ளேட்டில் ஏதேனும் மாற்றங்களைச் செய்தால், காசோலை கட்டளையை இயக்குவதன் மூலம் தொடரியல் சரிபார்க்கப்படலாம்:
nft -f /path/to/nftables.conf -c
சர்வரில் இயங்கும் வெளியீட்டைப் பொறுத்து சில nftables அம்சங்கள் கிடைக்காமல் போகலாம் என்பதால் எதிர்பார்த்தபடி ஃபயர்வால் வேலைகளைச் சரிபார்க்கவும்.
_______________________________________________________________
இந்த ஆவணம் உங்கள் சுய-ஹோஸ்ட் செய்யப்பட்ட நிகழ்விலிருந்து Firezone சேகரிக்கும் டெலிமெட்ரியின் மேலோட்டத்தையும் அதை எவ்வாறு முடக்குவது என்பதையும் வழங்குகிறது.
நெருப்பு மண்டலம் பின்னர் கூடியிருந்த டெலிமெட்ரியில் எங்கள் சாலை வரைபடத்திற்கு முன்னுரிமை அளிக்கவும் மற்றும் பொறியியல் வளங்களை மேம்படுத்தவும் நாம் அனைவருக்கும் Firezone ஐ சிறந்ததாக்க வேண்டும்.
நாங்கள் சேகரிக்கும் டெலிமெட்ரி பின்வரும் கேள்விகளுக்கு பதிலளிப்பதை நோக்கமாகக் கொண்டுள்ளது:
ஃபயர்சோனில் டெலிமெட்ரி சேகரிக்கப்படும் மூன்று முக்கிய இடங்கள் உள்ளன:
இந்த மூன்று சூழல்களில் ஒவ்வொன்றிலும், மேலே உள்ள பிரிவில் உள்ள கேள்விகளுக்கு பதிலளிக்க தேவையான குறைந்தபட்ச தரவை நாங்கள் கைப்பற்றுகிறோம்.
தயாரிப்பு புதுப்பிப்புகளை நீங்கள் வெளிப்படையாகத் தேர்வுசெய்தால் மட்டுமே நிர்வாக மின்னஞ்சல்கள் சேகரிக்கப்படும். இல்லையெனில், தனிப்பட்ட முறையில் அடையாளம் காணக்கூடிய தகவல் ஒருபோதும் சேகரிக்கப்பட்டது.
ஃபயர்ஸோன் டெலிமெட்ரியை ஒரு தனியார் குபெர்னெட்ஸ் கிளஸ்டரில் இயங்கும் போஸ்ட்ஹாக் சுய-ஹோஸ்ட் நிகழ்வில் சேமிக்கிறது, ஃபயர்ஸோன் குழுவால் மட்டுமே அணுக முடியும். உங்கள் ஃபயர்ஸோனின் நிகழ்விலிருந்து எங்கள் டெலிமெட்ரி சர்வருக்கு அனுப்பப்படும் டெலிமெட்ரி நிகழ்வின் உதாரணம் இங்கே:
{
"ஐடி": “0182272d-0b88-0000-d419-7b9a413713f1”,
"நேர முத்திரை": “2022-07-22T18:30:39.748000+00:00”,
"நிகழ்வு": “fz_http_started”,
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"பண்புகள்": {
“$geoip_city_name”: "ஆஷ்பர்ன்",
“$geoip_continent_code”: "என்ஏ",
“$geoip_continent_name”: "வட அமெரிக்கா",
“$geoip_country_code”: "எங்களுக்கு",
“$geoip_country_name”: "அமெரிக்கா",
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
“$geoip_subdivision_1_code”: "VA",
“$geoip_subdivision_1_name”: "வர்ஜீனியா",
“$geoip_time_zone”: “அமெரிக்கா/நியூயார்க்”,
"$ip": "52.200.241.107",
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”: [
"ஜியோஐபி (3)"
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": “awsdemo.firezone.dev”,
“கர்னல்_பதிப்பு”: லினக்ஸ் 5.13.0,
"பதிப்பு": "0.4.6"
},
"Elements_chain": ""
}
குறிப்பு
ஃபயர்ஸோன் மேம்பாட்டுக் குழு பின்னர் கூடியிருந்த அனைவருக்கும் Firezone ஐ சிறந்ததாக்க தயாரிப்பு பகுப்பாய்வுகளில். டெலிமெட்ரியை இயக்குவதே Firezone இன் வளர்ச்சிக்கு நீங்கள் செய்யக்கூடிய மிகவும் மதிப்புமிக்க பங்களிப்பாகும். சில பயனர்களுக்கு அதிக தனியுரிமை அல்லது பாதுகாப்புத் தேவைகள் இருப்பதாகவும், டெலிமெட்ரியை முழுவதுமாக முடக்க விரும்புவதாகவும் நாங்கள் புரிந்துகொள்கிறோம். அது நீங்கள் என்றால், தொடர்ந்து படியுங்கள்.
டெலிமெட்ரி இயல்பாகவே இயக்கப்பட்டது. தயாரிப்பு டெலிமெட்ரியை முழுவதுமாக முடக்க, பின்வரும் உள்ளமைவு விருப்பத்தை /etc/firezone/firezone.rb இல் தவறு என அமைக்கவும் மற்றும் மாற்றங்களை எடுக்க sudo firezone-ctl reconfigure ஐ இயக்கவும்.
இயல்புநிலை['நெருப்பு மண்டலம்']['டெலிமெட்ரி']['இயக்கப்பட்டது'] = தவறான
இது அனைத்து தயாரிப்பு டெலிமெட்ரியையும் முற்றிலும் முடக்கும்.
ஹைல்பைட்ஸ்
9511 குயின்ஸ் காவலர் சி.டி.
லாரல், MD 20723
தொலைபேசி: (732) 771-9995
மின்னஞ்சல்: info@hailbytes.com
