Firezone GUI ഉപയോഗിച്ച് Hailbytes VPN വിന്യസിക്കുന്നതിനുള്ള ഘട്ടം ഘട്ടമായുള്ള നിർദ്ദേശങ്ങൾ ഇവിടെ നൽകിയിരിക്കുന്നു.
അഡ്മിനിസ്റ്റർ: സെർവർ ഉദാഹരണം സജ്ജീകരിക്കുന്നത് ഈ ഭാഗവുമായി നേരിട്ട് ബന്ധപ്പെട്ടിരിക്കുന്നു.
ഉപയോക്തൃ ഗൈഡുകൾ: ഫയർസോൺ എങ്ങനെ ഉപയോഗിക്കാമെന്നും സാധാരണ പ്രശ്നങ്ങൾ പരിഹരിക്കാമെന്നും നിങ്ങളെ പഠിപ്പിക്കാൻ കഴിയുന്ന സഹായകരമായ ഡോക്യുമെന്റുകൾ. സെർവർ വിജയകരമായി വിന്യസിച്ച ശേഷം, ഈ വിഭാഗം കാണുക.
സ്പ്ലിറ്റ് ടണലിംഗ്: നിർദ്ദിഷ്ട IP ശ്രേണികളിലേക്ക് മാത്രം ട്രാഫിക് അയയ്ക്കാൻ VPN ഉപയോഗിക്കുക.
വൈറ്റ്ലിസ്റ്റിംഗ്: വൈറ്റ്ലിസ്റ്റിംഗ് ഉപയോഗിക്കുന്നതിന് ഒരു VPN സെർവറിന്റെ സ്റ്റാറ്റിക് IP വിലാസം സജ്ജമാക്കുക.
റിവേഴ്സ് ടണലുകൾ: റിവേഴ്സ് ടണലുകൾ ഉപയോഗിച്ച് നിരവധി സമപ്രായക്കാർക്കിടയിൽ തുരങ്കങ്ങൾ സൃഷ്ടിക്കുക.
Hailbytes VPN ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനോ ഇഷ്ടാനുസൃതമാക്കുന്നതിനോ ഉപയോഗിക്കുന്നതിനോ നിങ്ങൾക്ക് സഹായം ആവശ്യമുണ്ടെങ്കിൽ നിങ്ങളെ സഹായിക്കുന്നതിൽ ഞങ്ങൾക്ക് സന്തോഷമുണ്ട്.
ഉപയോക്താക്കൾക്ക് ഉപകരണ കോൺഫിഗറേഷൻ ഫയലുകൾ നിർമ്മിക്കാനോ ഡൗൺലോഡ് ചെയ്യാനോ കഴിയുന്നതിന് മുമ്പ്, ആധികാരികത ആവശ്യമായി വരുന്ന തരത്തിൽ Firezone കോൺഫിഗർ ചെയ്യാവുന്നതാണ്. ഉപയോക്താക്കൾക്ക് അവരുടെ VPN കണക്ഷൻ സജീവമായി നിലനിർത്തുന്നതിന് ഇടയ്ക്കിടെ വീണ്ടും പ്രാമാണീകരിക്കേണ്ടി വന്നേക്കാം.
ഫയർസോണിന്റെ ഡിഫോൾട്ട് ലോഗിൻ രീതി ലോക്കൽ ഇമെയിലും പാസ്വേഡും ആണെങ്കിലും, ഏതെങ്കിലും സ്റ്റാൻഡേർഡ് ഓപ്പൺഐഡി കണക്റ്റ് (OIDC) ഐഡന്റിറ്റി പ്രൊവൈഡറുമായി ഇത് സംയോജിപ്പിക്കാനും കഴിയും. ഉപയോക്താക്കൾക്ക് ഇപ്പോൾ അവരുടെ Okta, Google, Azure AD അല്ലെങ്കിൽ സ്വകാര്യ ഐഡന്റിറ്റി പ്രൊവൈഡർ ക്രെഡൻഷ്യലുകൾ ഉപയോഗിച്ച് Firezone-ലേക്ക് ലോഗിൻ ചെയ്യാൻ കഴിയും.
ഒരു ജനറിക് OIDC ദാതാവിനെ സംയോജിപ്പിക്കുക
ഒരു OIDC പ്രൊവൈഡർ ഉപയോഗിച്ച് SSO അനുവദിക്കുന്നതിന് Firezone-ന് ആവശ്യമായ കോൺഫിഗറേഷൻ പാരാമീറ്ററുകൾ ചുവടെയുള്ള ഉദാഹരണത്തിൽ കാണിച്ചിരിക്കുന്നു. /etc/firezone/firezone.rb-ൽ, നിങ്ങൾക്ക് കോൺഫിഗറേഷൻ ഫയൽ കണ്ടെത്താം. ആപ്ലിക്കേഷൻ അപ്ഡേറ്റ് ചെയ്യുന്നതിനും മാറ്റങ്ങൾ പ്രാബല്യത്തിൽ വരുത്തുന്നതിനും firezone-ctl reconfigure പ്രവർത്തിപ്പിക്കുക, firezone-ctl പുനരാരംഭിക്കുക.
# Google, Okta എന്നിവ ഒരു SSO ഐഡന്റിറ്റി പ്രൊവൈഡറായി ഉപയോഗിക്കുന്ന ഒരു ഉദാഹരണമാണിത്.
# ഒരേ ഫയർസോൺ ഉദാഹരണത്തിലേക്ക് ഒന്നിലധികം OIDC കോൺഫിഗറുകൾ ചേർക്കാൻ കഴിയും.
# ശ്രമിക്കുമ്പോൾ എന്തെങ്കിലും പിശക് കണ്ടെത്തിയാൽ ഫയർസോണിന് ഉപയോക്താവിന്റെ VPN പ്രവർത്തനരഹിതമാക്കാനാകും
# അവരുടെ ആക്സസ്_ടോക്കൺ പുതുക്കാൻ. ഇത് Google, Okta, എന്നിവയ്ക്കായി പ്രവർത്തിക്കുമെന്ന് പരിശോധിച്ചുറപ്പിച്ചു
# Azure SSO കൂടാതെ ഒരു ഉപയോക്താവിന്റെ VPN നീക്കം ചെയ്താൽ യാന്ത്രികമായി വിച്ഛേദിക്കാൻ ഉപയോഗിക്കുന്നു
# OIDC ദാതാവിൽ നിന്ന്. നിങ്ങളുടെ OIDC ദാതാവാണെങ്കിൽ ഇത് പ്രവർത്തനരഹിതമാക്കുക
ആക്സസ് ടോക്കണുകൾ പുതുക്കുന്നതിൽ # പ്രശ്നങ്ങളുണ്ട്, കാരണം അത് അപ്രതീക്ഷിതമായി തടസ്സപ്പെട്ടേക്കാം a
# ഉപയോക്താവിന്റെ VPN സെഷൻ.
ഡിഫോൾട്ട്['firezone']['authentication']['disable_vpn_on_oidc_error'] = തെറ്റ്
ഡിഫോൾട്ട്['firezone']['authentication']['oidc'] = {
ഗൂഗിൾ: {
Discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: " ”,
client_secret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
പ്രതികരണം_തരം: "കോഡ്",
വ്യാപ്തി: "ഓപ്പണിഡ് ഇമെയിൽ പ്രൊഫൈൽ",
ലേബൽ: "Google"
},
ഒക്ട: {
Discovery_document_uri: “https:// /.well-known/openid-configuration”,
client_id: " ”,
client_secret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
പ്രതികരണം_തരം: "കോഡ്",
വ്യാപ്തി: “ഓപ്പണിഡ് ഇമെയിൽ പ്രൊഫൈൽ ഓഫ്ലൈൻ_ആക്സസ്”,
ലേബൽ: "ഒക്ട"
}
}
സംയോജനത്തിന് ഇനിപ്പറയുന്ന കോൺഫിഗറേഷൻ ക്രമീകരണങ്ങൾ ആവശ്യമാണ്:
ഓരോ OIDC ദാതാവിനും കോൺഫിഗർ ചെയ്ത ദാതാവിന്റെ സൈൻ-ഇൻ URL-ലേക്ക് റീഡയറക്ടുചെയ്യുന്നതിന് അനുയോജ്യമായ മനോഹരമായ URL സൃഷ്ടിച്ചിരിക്കുന്നു. മുകളിലുള്ള OIDC കോൺഫിഗറിനായി, URL-കൾ ഇവയാണ്:
ദാതാക്കൾക്കായി ഞങ്ങൾക്ക് ഡോക്യുമെന്റേഷൻ ഉണ്ട്:
നിങ്ങളുടെ ഐഡന്റിറ്റി പ്രൊവൈഡർക്ക് ഒരു പൊതു OIDC കണക്റ്റർ ഉണ്ടെങ്കിൽ മുകളിൽ ലിസ്റ്റ് ചെയ്തിട്ടില്ലെങ്കിൽ, ആവശ്യമായ കോൺഫിഗറേഷൻ ക്രമീകരണങ്ങൾ എങ്ങനെ വീണ്ടെടുക്കാം എന്നതിനെക്കുറിച്ചുള്ള വിവരങ്ങൾക്ക് ദയവായി അവരുടെ ഡോക്യുമെന്റേഷനിലേക്ക് പോകുക.
ക്രമീകരണങ്ങൾ/സുരക്ഷയ്ക്ക് കീഴിലുള്ള ക്രമീകരണം ആനുകാലികമായി വീണ്ടും പ്രാമാണീകരണം ആവശ്യമായി മാറ്റാവുന്നതാണ്. ഉപയോക്താക്കൾ അവരുടെ VPN സെഷൻ തുടരുന്നതിന് പതിവായി ഫയർസോണിലേക്ക് പ്രവേശിക്കേണ്ടതിന്റെ ആവശ്യകത നടപ്പിലാക്കാൻ ഇത് ഉപയോഗിക്കാം.
സെഷൻ ദൈർഘ്യം ഒരു മണിക്കൂർ മുതൽ തൊണ്ണൂറ് ദിവസം വരെ ക്രമീകരിക്കാം. ഇത് ഒരിക്കലും അല്ല എന്ന് സജ്ജീകരിക്കുന്നതിലൂടെ, നിങ്ങൾക്ക് എപ്പോൾ വേണമെങ്കിലും VPN സെഷനുകൾ പ്രവർത്തനക്ഷമമാക്കാം. ഇതാണ് മാനദണ്ഡം.
കാലഹരണപ്പെട്ട VPN സെഷൻ (വിന്യാസ സമയത്ത് വ്യക്തമാക്കിയ URL) വീണ്ടും പ്രാമാണീകരിക്കുന്നതിന് ഒരു ഉപയോക്താവ് അവരുടെ VPN സെഷൻ അവസാനിപ്പിക്കുകയും Firezone പോർട്ടലിലേക്ക് ലോഗിൻ ചെയ്യുകയും വേണം.
ഇവിടെ കാണുന്ന ക്ലയന്റ് നിർദ്ദേശങ്ങൾ പാലിച്ചുകൊണ്ട് നിങ്ങൾക്ക് സെഷൻ വീണ്ടും പ്രാമാണീകരിക്കാൻ കഴിയും.
VPN കണക്ഷന്റെ നില
ഉപയോക്താക്കളുടെ പേജിന്റെ VPN കണക്ഷൻ പട്ടിക കോളം ഒരു ഉപയോക്താവിന്റെ കണക്ഷൻ നില പ്രദർശിപ്പിക്കുന്നു. കണക്ഷൻ സ്റ്റാറ്റസുകൾ ഇവയാണ്:
പ്രവർത്തനക്ഷമമാക്കി - കണക്ഷൻ പ്രവർത്തനക്ഷമമാക്കി.
പ്രവർത്തനരഹിതമാക്കി - ഒരു അഡ്മിനിസ്ട്രേറ്റർ അല്ലെങ്കിൽ OIDC പുതുക്കൽ പരാജയം മൂലം കണക്ഷൻ പ്രവർത്തനരഹിതമാക്കി.
കാലഹരണപ്പെട്ടു - പ്രാമാണീകരണ കാലഹരണപ്പെടൽ കാരണം അല്ലെങ്കിൽ ഒരു ഉപയോക്താവ് ആദ്യമായി സൈൻ ഇൻ ചെയ്യാത്തതിനാൽ കണക്ഷൻ പ്രവർത്തനരഹിതമാക്കി.
പൊതുവായ OIDC കണക്ടറിലൂടെ, Google Workspace, Cloud Identity എന്നിവ ഉപയോഗിച്ച് Firezone സിംഗിൾ സൈൻ-ഓൺ (SSO) പ്രവർത്തനക്ഷമമാക്കുന്നു. സംയോജനത്തിന് ആവശ്യമായ, താഴെ ലിസ്റ്റുചെയ്തിരിക്കുന്ന കോൺഫിഗറേഷൻ പാരാമീറ്ററുകൾ എങ്ങനെ നേടാമെന്ന് ഈ ഗൈഡ് നിങ്ങളെ കാണിക്കും:
1. OAuth കോൺഫിഗറേഷൻ സ്ക്രീൻമയക്കുമരുന്ന്
നിങ്ങൾ ആദ്യമായാണ് ഒരു പുതിയ OAuth ക്ലയന്റ് ഐഡി സൃഷ്ടിക്കുന്നതെങ്കിൽ, ഒരു സമ്മത സ്ക്രീൻ കോൺഫിഗർ ചെയ്യാൻ നിങ്ങളോട് ആവശ്യപ്പെടും.
*ഉപയോക്തൃ തരത്തിനായി ആന്തരികം തിരഞ്ഞെടുക്കുക. നിങ്ങളുടെ Google Workspace ഓർഗനൈസേഷനിലെ ഉപയോക്താക്കളുടെ അക്കൗണ്ടുകൾക്ക് മാത്രമേ ഉപകരണ കോൺഫിഗറുകൾ സൃഷ്ടിക്കാനാകൂ എന്ന് ഇത് ഉറപ്പാക്കുന്നു. സാധുവായ Google അക്കൗണ്ടുള്ള ആരെയും ഉപകരണ കോൺഫിഗറുകൾ സൃഷ്ടിക്കുന്നതിന് പ്രാപ്തമാക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നില്ലെങ്കിൽ എക്സ്റ്റേണൽ തിരഞ്ഞെടുക്കരുത്.
ആപ്പ് വിവര സ്ക്രീനിൽ:
2. OAuth ക്ലയന്റ് ഐഡികൾ സൃഷ്ടിക്കുകമയക്കുമരുന്ന്
ഈ വിഭാഗം Google-ന്റെ സ്വന്തം ഡോക്യുമെന്റേഷൻ അടിസ്ഥാനമാക്കിയുള്ളതാണ് OAuth 2.0 സജ്ജീകരിക്കുന്നു.
Google ക്ലൗഡ് കൺസോൾ സന്ദർശിക്കുക ക്രെഡൻഷ്യൽ പേജ് പേജ്, + ക്രെഡൻഷ്യലുകൾ സൃഷ്ടിക്കുക ക്ലിക്ക് ചെയ്ത് OAuth ക്ലയന്റ് ഐഡി തിരഞ്ഞെടുക്കുക.
OAuth ക്ലയന്റ് ഐഡി സൃഷ്ടിക്കൽ സ്ക്രീനിൽ:
OAuth ക്ലയന്റ് ഐഡി സൃഷ്ടിച്ച ശേഷം, നിങ്ങൾക്ക് ഒരു ക്ലയന്റ് ഐഡിയും ക്ലയന്റ് രഹസ്യവും നൽകും. അടുത്ത ഘട്ടത്തിൽ റീഡയറക്ട് യുആർഐയ്ക്കൊപ്പം ഇവ ഉപയോഗിക്കും.
തിരുത്തുക /etc/firezone/firezone.rb ചുവടെയുള്ള ഓപ്ഷനുകൾ ഉൾപ്പെടുത്താൻ:
# SSO ഐഡന്റിറ്റി പ്രൊവൈഡറായി Google ഉപയോഗിക്കുന്നു
ഡിഫോൾട്ട്['firezone']['authentication']['oidc'] = {
ഗൂഗിൾ: {
Discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: " ”,
client_secret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
പ്രതികരണം_തരം: "കോഡ്",
വ്യാപ്തി: "ഓപ്പണിഡ് ഇമെയിൽ പ്രൊഫൈൽ",
ലേബൽ: "Google"
}
}
ആപ്ലിക്കേഷൻ അപ്ഡേറ്റ് ചെയ്യുന്നതിന് firezone-ctl reconfigure പ്രവർത്തിപ്പിക്കുക, firezone-ctl പുനരാരംഭിക്കുക. നിങ്ങൾ ഇപ്പോൾ റൂട്ട് ഫയർസോൺ URL-ൽ Google ഉപയോഗിച്ച് സൈൻ ഇൻ ബട്ടൺ കാണും.
ഒക്ടയുമായുള്ള സിംഗിൾ സൈൻ-ഓൺ (എസ്എസ്ഒ) സുഗമമാക്കാൻ ഫയർസോൺ ജനറിക് ഒഐഡിസി കണക്റ്റർ ഉപയോഗിക്കുന്നു. സംയോജനത്തിന് ആവശ്യമായ, താഴെ ലിസ്റ്റ് ചെയ്തിരിക്കുന്ന കോൺഫിഗറേഷൻ പാരാമീറ്ററുകൾ എങ്ങനെ നേടാമെന്ന് ഈ ട്യൂട്ടോറിയൽ നിങ്ങളെ കാണിക്കും:
ഗൈഡിന്റെ ഈ വിഭാഗം അടിസ്ഥാനമാക്കിയുള്ളതാണ് ഒക്ടയുടെ ഡോക്യുമെന്റേഷൻ.
അഡ്മിൻ കൺസോളിൽ, അപ്ലിക്കേഷനുകൾ > ആപ്ലിക്കേഷനുകൾ എന്നതിലേക്ക് പോയി ആപ്പ് ഇന്റഗ്രേഷൻ സൃഷ്ടിക്കുക ക്ലിക്കുചെയ്യുക. സൈൻ-ഇൻ രീതി OICD-ഓപ്പൺഐഡി കണക്റ്റും ആപ്ലിക്കേഷൻ തരവും വെബ് ആപ്ലിക്കേഷനായി സജ്ജമാക്കുക.
ഈ ക്രമീകരണങ്ങൾ കോൺഫിഗർ ചെയ്യുക:
ക്രമീകരണങ്ങൾ സംരക്ഷിച്ചുകഴിഞ്ഞാൽ, നിങ്ങൾക്ക് ഒരു ക്ലയന്റ് ഐഡി, ക്ലയന്റ് സീക്രട്ട്, ഒക്ട ഡൊമെയ്ൻ എന്നിവ നൽകും. Firezone കോൺഫിഗർ ചെയ്യുന്നതിന് ഈ 3 മൂല്യങ്ങൾ ഘട്ടം 2-ൽ ഉപയോഗിക്കും.
തിരുത്തുക /etc/firezone/firezone.rb ചുവടെയുള്ള ഓപ്ഷനുകൾ ഉൾപ്പെടുത്താൻ. നിങ്ങളുടെ Discovery_document_url ആയിരിക്കും /.well-known/openid-configuration നിങ്ങളുടെ അവസാനം വരെ ചേർത്തു okta_domain.
# SSO ഐഡന്റിറ്റി പ്രൊവൈഡറായി Okta ഉപയോഗിക്കുന്നു
ഡിഫോൾട്ട്['firezone']['authentication']['oidc'] = {
ഒക്ട: {
Discovery_document_uri: “https:// /.well-known/openid-configuration”,
client_id: " ”,
client_secret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
പ്രതികരണം_തരം: "കോഡ്",
വ്യാപ്തി: “ഓപ്പണിഡ് ഇമെയിൽ പ്രൊഫൈൽ ഓഫ്ലൈൻ_ആക്സസ്”,
ലേബൽ: "ഒക്ട"
}
}
ആപ്ലിക്കേഷൻ അപ്ഡേറ്റ് ചെയ്യുന്നതിന് firezone-ctl reconfigure പ്രവർത്തിപ്പിക്കുക, firezone-ctl പുനരാരംഭിക്കുക. നിങ്ങൾ ഇപ്പോൾ റൂട്ട് ഫയർസോൺ URL-ൽ Okta ബട്ടൺ ഉപയോഗിച്ച് സൈൻ ഇൻ ചെയ്യുന്നത് കാണും.
Firezone ആപ്പ് ആക്സസ് ചെയ്യാൻ കഴിയുന്ന ഉപയോക്താക്കളെ Okta വഴി നിയന്ത്രിക്കാം. ഇത് പൂർത്തിയാക്കാൻ നിങ്ങളുടെ Okta അഡ്മിൻ കൺസോളിന്റെ ഫയർസോൺ ആപ്പ് ഇന്റഗ്രേഷന്റെ അസൈൻമെന്റ് പേജിലേക്ക് പോകുക.
ജനറിക് ഒഐഡിസി കണക്ടറിലൂടെ, ഫയർസോൺ അസൂർ ആക്റ്റീവ് ഡയറക്ടറി ഉപയോഗിച്ച് സിംഗിൾ സൈൻ-ഓൺ (എസ്എസ്ഒ) പ്രാപ്തമാക്കുന്നു. സംയോജനത്തിന് ആവശ്യമായ, താഴെ ലിസ്റ്റ് ചെയ്തിരിക്കുന്ന കോൺഫിഗറേഷൻ പാരാമീറ്ററുകൾ എങ്ങനെ നേടാമെന്ന് ഈ മാനുവൽ നിങ്ങളെ കാണിക്കും:
ഈ ഗൈഡ് ഇതിൽ നിന്ന് എടുത്തതാണ് അസൂർ ആക്ടീവ് ഡയറക്ടറി ഡോക്സ്.
Azure പോർട്ടലിന്റെ Azure Active Directory പേജിലേക്ക് പോകുക. മാനേജ് മെനു ഓപ്ഷൻ തിരഞ്ഞെടുക്കുക, പുതിയ രജിസ്ട്രേഷൻ തിരഞ്ഞെടുക്കുക, തുടർന്ന് താഴെയുള്ള വിവരങ്ങൾ നൽകി രജിസ്റ്റർ ചെയ്യുക:
രജിസ്റ്റർ ചെയ്ത ശേഷം, അപേക്ഷയുടെ വിശദാംശ കാഴ്ച തുറന്ന് പകർത്തുക അപേക്ഷ (ക്ലയന്റ്) ഐഡി. ഇതായിരിക്കും client_id മൂല്യം. അടുത്തതായി, വീണ്ടെടുക്കാൻ എൻഡ്പോയിന്റ്സ് മെനു തുറക്കുക OpenID കണക്റ്റ് മെറ്റാഡാറ്റ പ്രമാണം. ഇത് Discovery_document_uri മൂല്യമായിരിക്കും.
മാനേജ് മെനുവിന് കീഴിലുള്ള സർട്ടിഫിക്കറ്റുകളും രഹസ്യങ്ങളും എന്ന ഓപ്ഷനിൽ ക്ലിക്കുചെയ്ത് ഒരു പുതിയ ക്ലയന്റ് രഹസ്യം സൃഷ്ടിക്കുക. ക്ലയന്റ് രഹസ്യം പകർത്തുക; ക്ലയന്റ് രഹസ്യ മൂല്യം ഇതായിരിക്കും.
അവസാനമായി, മാനേജ് മെനുവിന് കീഴിലുള്ള API അനുമതികളുടെ ലിങ്ക് തിരഞ്ഞെടുക്കുക, ക്ലിക്കുചെയ്യുക ഒരു അനുമതി ചേർക്കുക, തിരഞ്ഞെടുക്കുക മൈക്രോസോഫ്റ്റ് ഗ്രാഫ്, ചേർക്കുക ഇമെയിൽ, തുറന്നത്, ഓഫ്ലൈൻ_ആക്സസ് ഒപ്പം പ്രൊഫൈൽ ആവശ്യമായ അനുമതികളിലേക്ക്.
തിരുത്തുക /etc/firezone/firezone.rb ചുവടെയുള്ള ഓപ്ഷനുകൾ ഉൾപ്പെടുത്താൻ:
# SSO ഐഡന്റിറ്റി പ്രൊവൈഡറായി Azure Active Directory ഉപയോഗിക്കുന്നു
ഡിഫോൾട്ട്['firezone']['authentication']['oidc'] = {
ആകാശനീല: {
Discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: " ”,
client_secret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
പ്രതികരണം_തരം: "കോഡ്",
വ്യാപ്തി: “ഓപ്പണിഡ് ഇമെയിൽ പ്രൊഫൈൽ ഓഫ്ലൈൻ_ആക്സസ്”,
ലേബൽ: "അസുർ"
}
}
ആപ്ലിക്കേഷൻ അപ്ഡേറ്റ് ചെയ്യുന്നതിന് firezone-ctl reconfigure പ്രവർത്തിപ്പിക്കുക, firezone-ctl പുനരാരംഭിക്കുക. നിങ്ങൾ ഇപ്പോൾ റൂട്ട് ഫയർസോൺ URL-ൽ Azure ബട്ടൺ ഉപയോഗിച്ച് സൈൻ ഇൻ ചെയ്യുന്നത് കാണും.
നിങ്ങളുടെ കമ്പനിയ്ക്കുള്ളിലെ ഒരു നിർദ്ദിഷ്ട ഉപയോക്താക്കളുടെ ആപ്പ് ആക്സസ് പരിമിതപ്പെടുത്താൻ അസുർ എഡി അഡ്മിനിസ്ട്രേറ്റർമാരെ പ്രാപ്തമാക്കുന്നു. ഇത് എങ്ങനെ ചെയ്യാം എന്നതിനെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾ Microsoft-ന്റെ ഡോക്യുമെന്റേഷനിൽ കാണാം.
റിലീസ് പാക്കേജിംഗ്, പ്രോസസ്സ് മേൽനോട്ടം, ലോഗ് മാനേജ്മെന്റ് എന്നിവയും അതിലേറെയും ഉൾപ്പെടെയുള്ള ടാസ്ക്കുകൾ നിയന്ത്രിക്കാൻ Firezone ഉപയോഗിക്കുന്നത് Chef Omnibus ആണ്.
റൂബി കോഡ് പ്രാഥമിക കോൺഫിഗറേഷൻ ഫയൽ നിർമ്മിക്കുന്നു, അത് /etc/firezone/firezone.rb-ൽ സ്ഥിതി ചെയ്യുന്നു. ഈ ഫയലിൽ മാറ്റങ്ങൾ വരുത്തിയ ശേഷം sudo firezone-ctl reconfigure പുനരാരംഭിക്കുന്നത് മാറ്റങ്ങൾ തിരിച്ചറിയുന്നതിനും നിലവിലെ ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിൽ അവ പ്രയോഗിക്കുന്നതിനും ഷെഫിന് കാരണമാകുന്നു.
കോൺഫിഗറേഷൻ വേരിയബിളുകളുടെയും അവയുടെ വിവരണങ്ങളുടെയും പൂർണ്ണമായ ലിസ്റ്റിനായി കോൺഫിഗറേഷൻ ഫയൽ റഫറൻസ് കാണുക.
നിങ്ങളുടെ Firezone ഉദാഹരണം ഇതുവഴി മാനേജ് ചെയ്യാൻ കഴിയും firezone-ctl കമാൻഡ്, താഴെ കാണിച്ചിരിക്കുന്നതുപോലെ. മിക്ക ഉപകമാൻഡുകൾക്കും പ്രിഫിക്സിംഗ് ആവശ്യമാണ് സുഡോ.
റൂട്ട്@ഡെമോ:~# firezone-ctl
omnibus-ctl: കമാൻഡ് (സബ്കമാൻഡ്)
പൊതുവായ കമാൻഡുകൾ:
വൃത്തിയാക്കുക
*എല്ലാ* ഫയർസോൺ ഡാറ്റയും ഇല്ലാതാക്കുക, ആദ്യം മുതൽ ആരംഭിക്കുക.
സൃഷ്ടിക്കുക-അല്ലെങ്കിൽ പുനഃസജ്ജമാക്കുക-അഡ്മിൻ
സ്ഥിരസ്ഥിതിയായി വ്യക്തമാക്കിയ ഇമെയിൽ അഡ്മിന്റെ പാസ്വേഡ് പുനഃസജ്ജമാക്കുന്നു['firezone']['admin_email'] അല്ലെങ്കിൽ ആ ഇമെയിൽ നിലവിലില്ലെങ്കിൽ ഒരു പുതിയ അഡ്മിനെ സൃഷ്ടിക്കുന്നു.
സഹായിക്കൂ
ഈ സഹായ സന്ദേശം അച്ചടിക്കുക.
പുന f ക്രമീകരിക്കുക
ആപ്ലിക്കേഷൻ വീണ്ടും ക്രമീകരിക്കുക.
റീസെറ്റ്-നെറ്റ്വർക്ക്
nftables, WireGuard ഇന്റർഫേസ്, റൂട്ടിംഗ് ടേബിൾ എന്നിവ Firezone ഡിഫോൾട്ടുകളിലേക്ക് പുനഃസജ്ജമാക്കുന്നു.
show-config
വീണ്ടും കോൺഫിഗർ ചെയ്യുന്നതിലൂടെ ജനറേറ്റുചെയ്യുന്ന കോൺഫിഗറേഷൻ കാണിക്കുക.
ടിയർഡൗൺ-നെറ്റ്വർക്ക്
WireGuard ഇന്റർഫേസും ഫയർസോൺ nftables പട്ടികയും നീക്കംചെയ്യുന്നു.
ഫോഴ്സ്-സർട്ട്-ന്യൂവൽ
കാലഹരണപ്പെട്ടില്ലെങ്കിലും ഇപ്പോൾ നിർബന്ധിത സർട്ടിഫിക്കറ്റ് പുതുക്കൽ.
സ്റ്റോപ്പ്-സർട്ട്-പുതുക്കൽ
സർട്ടിഫിക്കറ്റുകൾ പുതുക്കുന്ന ക്രോൺജോബ് നീക്കംചെയ്യുന്നു.
അൺഇൻസ്റ്റാൾ
എല്ലാ പ്രക്രിയകളും ഇല്ലാതാക്കി പ്രോസസ്സ് സൂപ്പർവൈസർ അൺഇൻസ്റ്റാൾ ചെയ്യുക (ഡാറ്റ സംരക്ഷിക്കപ്പെടും).
പതിപ്പ്
Firezone-ന്റെ നിലവിലെ പതിപ്പ് പ്രദർശിപ്പിക്കുക
സേവന മാനേജ്മെന്റ് കമാൻഡുകൾ:
ഭംഗിയുള്ള-കൊല്ലുക
മനോഹരമായ ഒരു സ്റ്റോപ്പ് ശ്രമിക്കുക, തുടർന്ന് മുഴുവൻ പ്രോസസ്സ് ഗ്രൂപ്പും SIGKILL.
ഹപ്പ്
സേവനങ്ങൾ ഒരു HUP അയയ്ക്കുക.
int
സേവനങ്ങൾ ഒരു INT അയയ്ക്കുക.
കൊല്ലുക
സേവനങ്ങൾ ഒരു KILL അയയ്ക്കുക.
ഒരിക്കല്
അവ തകരാറിലാണെങ്കിൽ സേവനങ്ങൾ ആരംഭിക്കുക. അവ നിർത്തിയാൽ പുനരാരംഭിക്കരുത്.
പുനരാരംഭിക്കുക
സേവനങ്ങൾ പ്രവർത്തിക്കുകയാണെങ്കിൽ അവ നിർത്തുക, തുടർന്ന് അവ വീണ്ടും ആരംഭിക്കുക.
സേവന-ലിസ്റ്റ്
എല്ലാ സേവനങ്ങളും ലിസ്റ്റ് ചെയ്യുക (പ്രാപ്തമാക്കിയ സേവനങ്ങൾ * ഉപയോഗിച്ച് ദൃശ്യമാകും.)
തുടക്കം
സേവനങ്ങൾ തകരാറിലാണെങ്കിൽ അവ ആരംഭിക്കുക, അവ നിർത്തിയാൽ പുനരാരംഭിക്കുക.
പദവി
എല്ലാ സേവനങ്ങളുടെയും നില കാണിക്കുക.
നിർത്തുക
സേവനങ്ങൾ നിർത്തുക, അവ പുനരാരംഭിക്കരുത്.
വാൽ
പ്രവർത്തനക്ഷമമാക്കിയ എല്ലാ സേവനങ്ങളുടെയും സേവന ലോഗുകൾ കാണുക.
കാലാവധി
സേവനങ്ങൾ ഒരു TERM അയയ്ക്കുക.
usr1
സേവനങ്ങൾക്ക് USR1 അയയ്ക്കുക.
usr2
സേവനങ്ങൾക്ക് USR2 അയയ്ക്കുക.
Firezone അപ്ഗ്രേഡ് ചെയ്യുന്നതിന് മുമ്പ് എല്ലാ VPN സെഷനുകളും അവസാനിപ്പിക്കണം, ഇത് വെബ് UI ഷട്ട് ഡൗൺ ചെയ്യാനും ആവശ്യപ്പെടുന്നു. അപ്ഗ്രേഡ് ചെയ്യുന്നതിനിടയിൽ എന്തെങ്കിലും തെറ്റ് സംഭവിച്ചാൽ, അറ്റകുറ്റപ്പണികൾക്കായി ഒരു മണിക്കൂർ നീക്കിവെക്കാൻ ഞങ്ങൾ നിർദ്ദേശിക്കുന്നു.
Firezone മെച്ചപ്പെടുത്തുന്നതിന്, ഇനിപ്പറയുന്ന പ്രവർത്തനങ്ങൾ ചെയ്യുക:
എന്തെങ്കിലും പ്രശ്നങ്ങൾ ഉണ്ടായാൽ, ദയവായി ഞങ്ങളെ അറിയിക്കുക ഒരു പിന്തുണാ ടിക്കറ്റ് സമർപ്പിക്കുന്നു.
0.5.0-ൽ ചില ബ്രേക്കിംഗ് മാറ്റങ്ങളും കോൺഫിഗറേഷൻ പരിഷ്ക്കരണങ്ങളും ഉണ്ട്. താഴെ കൂടുതൽ കണ്ടെത്തുക.
പതിപ്പ് 0.5.0-ലെ ഫോഴ്സ് എസ്എസ്എൽ, നോൺ-എസ്എസ്എൽ പോർട്ട് പാരാമീറ്ററുകൾ എന്നിവ Nginx പിന്തുണയ്ക്കുന്നില്ല. ഫയർസോണിന് പ്രവർത്തിക്കാൻ SSL ആവശ്യമായതിനാൽ, സ്ഥിരസ്ഥിതി['firezone']['nginx']['enabled'] = false സജ്ജീകരിച്ച് ബണ്ടിൽ Nginx സേവനം നീക്കം ചെയ്യുകയും പകരം 13000 പോർട്ടിലെ Phoenix ആപ്പിലേക്ക് നിങ്ങളുടെ റിവേഴ്സ് പ്രോക്സി നയിക്കുകയും ചെയ്യണമെന്ന് ഞങ്ങൾ നിർദ്ദേശിക്കുന്നു (സ്ഥിരസ്ഥിതിയായി ).
ബണ്ടിൽ ചെയ്ത Nginx സേവനം ഉപയോഗിച്ച് SSL സർട്ടിഫിക്കറ്റുകൾ സ്വയമേവ പുതുക്കുന്നതിനുള്ള ACME പ്രോട്ടോക്കോൾ പിന്തുണ 0.5.0 അവതരിപ്പിക്കുന്നു. പ്രാപ്തമാക്കാൻ,
ഡ്യൂപ്ലിക്കേറ്റ് ഡെസ്റ്റിനേഷനുകൾക്കൊപ്പം നിയമങ്ങൾ ചേർക്കാനുള്ള സാധ്യത Firezone 0.5.0-ൽ ഇല്ലാതായി. 0.5.0 ലേക്ക് അപ്ഗ്രേഡ് ചെയ്യുമ്പോൾ ഞങ്ങളുടെ മൈഗ്രേഷൻ സ്ക്രിപ്റ്റ് ഈ സാഹചര്യങ്ങൾ സ്വയമേവ തിരിച്ചറിയുകയും ലക്ഷ്യസ്ഥാനത്ത് മറ്റ് നിയമം ഉൾപ്പെടുന്ന നിയമങ്ങൾ മാത്രം നിലനിർത്തുകയും ചെയ്യും. ഇത് ശരിയാണെങ്കിൽ നിങ്ങൾ ഒന്നും ചെയ്യേണ്ടതില്ല.
അല്ലെങ്കിൽ, അപ്ഗ്രേഡ് ചെയ്യുന്നതിനുമുമ്പ്, ഈ സാഹചര്യങ്ങളിൽ നിന്ന് മുക്തി നേടുന്നതിന് നിങ്ങളുടെ റൂൾസെറ്റ് മാറ്റാൻ ഞങ്ങൾ ഉപദേശിക്കുന്നു.
ഫയർസോൺ 0.5.0 പഴയ രീതിയിലുള്ള Okta, Google SSO കോൺഫിഗറേഷനുള്ള പിന്തുണ നീക്കം ചെയ്യുന്നു, പുതിയതും കൂടുതൽ വഴക്കമുള്ളതുമായ OIDC-അടിസ്ഥാന കോൺഫിഗറേഷന് അനുകൂലമായി.
ഡിഫോൾട്ട്['firezone']['authentication']['okta'] അല്ലെങ്കിൽ ഡിഫോൾട്ട്['firezone']['authentication']['google'] കീകൾക്ക് കീഴിൽ നിങ്ങൾക്ക് എന്തെങ്കിലും കോൺഫിഗറേഷൻ ഉണ്ടെങ്കിൽ, നിങ്ങൾ ഇവ ഞങ്ങളുടെ OIDC-ലേക്ക് മൈഗ്രേറ്റ് ചെയ്യേണ്ടതുണ്ട്. ചുവടെയുള്ള ഗൈഡ് ഉപയോഗിച്ചുള്ള -അടിസ്ഥാന കോൺഫിഗറേഷൻ.
നിലവിലുള്ള Google OAuth കോൺഫിഗറേഷൻ
/etc/firezone/firezone.rb-ൽ സ്ഥിതി ചെയ്യുന്ന നിങ്ങളുടെ കോൺഫിഗറേഷൻ ഫയലിൽ നിന്ന് പഴയ Google OAuth കോൺഫിഗറേഷനുകൾ അടങ്ങിയ ഈ വരികൾ നീക്കം ചെയ്യുക.
ഡിഫോൾട്ട്['firezone']['authentication']['google']['enabled']
ഡിഫോൾട്ട്['firezone']['authentication']['google']['client_id']
ഡിഫോൾട്ട്['firezone']['authentication']['google']['client_secret']
ഡിഫോൾട്ട്['firezone']['authentication']['google']['redirect_uri']
തുടർന്ന്, ഇവിടെയുള്ള നടപടിക്രമങ്ങൾ പിന്തുടർന്ന് Google-നെ OIDC ദാതാവായി കോൺഫിഗർ ചെയ്യുക.
(ലിങ്ക് നിർദ്ദേശങ്ങൾ നൽകുക)<<<<<<<<<<<<<<<<<<
നിലവിലുള്ള Google OAuth കോൺഫിഗർ ചെയ്യുക
നിങ്ങളുടെ കോൺഫിഗറേഷൻ ഫയലിൽ നിന്ന് പഴയ Okta OAuth കോൺഫിഗറേഷനുകൾ അടങ്ങിയ ഈ വരികൾ നീക്കം ചെയ്യുക /etc/firezone/firezone.rb
ഡിഫോൾട്ട്['ഫയർസോൺ']['ആധികാരികത']['okta']['പ്രവർത്തനക്ഷമമാക്കി']
ഡിഫോൾട്ട്['firezone']['authentication']['okta']['client_id']
ഡിഫോൾട്ട്['firezone']['authentication']['okta']['client_secret']
ഡിഫോൾട്ട്['ഫയർസോൺ']['ആധികാരികത']['okta']['സൈറ്റ്']
തുടർന്ന്, ഇവിടെയുള്ള നടപടിക്രമങ്ങൾ പിന്തുടർന്ന് OIDC ദാതാവായി Okta കോൺഫിഗർ ചെയ്യുക.
നിങ്ങളുടെ നിലവിലെ സജ്ജീകരണവും പതിപ്പും അനുസരിച്ച്, ചുവടെയുള്ള നിർദ്ദേശങ്ങൾ പാലിക്കുക:
നിങ്ങൾക്ക് ഇതിനകം ഒരു OIDC സംയോജനമുണ്ടെങ്കിൽ:
ചില OIDC ദാതാക്കൾക്ക്, >= 0.3.16 ലേക്ക് അപ്ഗ്രേഡ് ചെയ്യുന്നതിന് ഓഫ്ലൈൻ ആക്സസ് സ്കോപ്പിനായി ഒരു പുതുക്കൽ ടോക്കൺ ആവശ്യമാണ്. ഇത് ചെയ്യുന്നതിലൂടെ, ഐഡന്റിറ്റി പ്രൊവൈഡറുമായി ഫയർസോൺ അപ്ഡേറ്റ് ചെയ്യുന്നുവെന്നും ഒരു ഉപയോക്താവിനെ ഇല്ലാതാക്കിയതിന് ശേഷം VPN കണക്ഷൻ ഓഫാക്കിയിട്ടുണ്ടെന്നും ഉറപ്പാക്കുന്നു. ഫയർസോണിന്റെ മുമ്പത്തെ ആവർത്തനങ്ങളിൽ ഈ സവിശേഷത ഇല്ലായിരുന്നു. ചില സന്ദർഭങ്ങളിൽ, നിങ്ങളുടെ ഐഡന്റിറ്റി പ്രൊവൈഡറിൽ നിന്ന് ഇല്ലാതാക്കിയ ഉപയോക്താക്കൾ ഇപ്പോഴും ഒരു VPN-ലേക്ക് കണക്റ്റ് ചെയ്തിരിക്കാം.
ഓഫ്ലൈൻ ആക്സസ് സ്കോപ്പിനെ പിന്തുണയ്ക്കുന്ന OIDC ദാതാക്കൾക്കായി നിങ്ങളുടെ OIDC കോൺഫിഗറേഷന്റെ സ്കോപ്പ് പാരാമീറ്ററിൽ ഓഫ്ലൈൻ ആക്സസ് ഉൾപ്പെടുത്തേണ്ടത് ആവശ്യമാണ്. /etc/firezone/firezone.rb-ൽ സ്ഥിതി ചെയ്യുന്ന Firezone കോൺഫിഗറേഷൻ ഫയലിൽ മാറ്റങ്ങൾ വരുത്തുന്നതിനായി Firezone-ctl reconfigure എക്സിക്യൂട്ട് ചെയ്യണം.
നിങ്ങളുടെ OIDC ദാതാവ് ആധികാരികമാക്കിയ ഉപയോക്താക്കൾക്കായി, Firezone-ന് പുതുക്കിയ ടോക്കൺ വിജയകരമായി വീണ്ടെടുക്കാൻ കഴിയുമെങ്കിൽ, വെബ് UI-യുടെ ഉപയോക്തൃ വിശദാംശ പേജിൽ OIDC കണക്ഷനുകൾ എന്ന തലക്കെട്ട് നിങ്ങൾ കാണും.
ഇത് പ്രവർത്തിക്കുന്നില്ലെങ്കിൽ, നിങ്ങളുടെ നിലവിലുള്ള OAuth ആപ്പ് ഇല്ലാതാക്കുകയും OIDC സജ്ജീകരണ ഘട്ടങ്ങൾ ആവർത്തിക്കുകയും വേണം ഒരു പുതിയ ആപ്പ് ഇന്റഗ്രേഷൻ സൃഷ്ടിക്കുക .
എനിക്ക് നിലവിലുള്ള ഒരു OAuth സംയോജനമുണ്ട്
0.3.11-ന് മുമ്പ്, ഫയർസോൺ മുൻകൂട്ടി ക്രമീകരിച്ച OAuth2 ദാതാക്കളെ ഉപയോഗിച്ചു.
നിർദ്ദേശങ്ങൾ പാലിക്കുക ഇവിടെ ഒഐഡിസിയിലേക്ക് മൈഗ്രേറ്റ് ചെയ്യാൻ.
ഞാൻ ഒരു ഐഡന്റിറ്റി പ്രൊവൈഡറെ സംയോജിപ്പിച്ചിട്ടില്ല
നടപടി ആവശ്യമില്ല.
നിങ്ങൾക്ക് നിർദ്ദേശങ്ങൾ പാലിക്കാം ഇവിടെ ഒരു OIDC ദാതാവ് വഴി SSO പ്രവർത്തനക്ഷമമാക്കാൻ.
അതിന്റെ സ്ഥാനത്ത്, ഡിഫോൾട്ട്['firezone']['external url'] കോൺഫിഗറേഷൻ ഓപ്ഷൻ default['firezone']['fqdn'] മാറ്റിസ്ഥാപിച്ചു.
പൊതുജനങ്ങൾക്ക് ആക്സസ് ചെയ്യാവുന്ന നിങ്ങളുടെ Firezone ഓൺലൈൻ പോർട്ടലിന്റെ URL-ലേക്ക് ഇത് സജ്ജീകരിക്കുക. നിർവചിക്കാതെ വിടുകയാണെങ്കിൽ, ഇത് https:// എന്നതിലേക്കും നിങ്ങളുടെ സെർവറിന്റെ FQDN-യിലേക്കും ഡിഫോൾട്ടാകും.
കോൺഫിഗറേഷൻ ഫയൽ /etc/firezone/firezone.rb-ൽ സ്ഥിതി ചെയ്യുന്നു. കോൺഫിഗറേഷൻ വേരിയബിളുകളുടെയും അവയുടെ വിവരണങ്ങളുടെയും പൂർണ്ണമായ ലിസ്റ്റിനായി കോൺഫിഗറേഷൻ ഫയൽ റഫറൻസ് കാണുക.
0.3.0 പതിപ്പ് പ്രകാരം Firezone മേലിൽ ഉപകരണ സ്വകാര്യ കീകൾ Firezone സെർവറിൽ സൂക്ഷിക്കില്ല.
ഈ കോൺഫിഗറേഷനുകൾ വീണ്ടും ഡൗൺലോഡ് ചെയ്യാനോ കാണാനോ Firezone Web UI നിങ്ങളെ അനുവദിക്കില്ല, എന്നാൽ നിലവിലുള്ള ഏതെങ്കിലും ഉപകരണങ്ങൾ അതേപടി പ്രവർത്തിക്കുന്നത് തുടരണം.
നിങ്ങൾ Firezone 0.1.x-ൽ നിന്ന് അപ്ഗ്രേഡ് ചെയ്യുകയാണെങ്കിൽ, സ്വമേധയാ പരിഹരിക്കേണ്ട ചില കോൺഫിഗറേഷൻ ഫയൽ മാറ്റങ്ങളുണ്ട്.
നിങ്ങളുടെ /etc/firezone/firezone.rb ഫയലിൽ ആവശ്യമായ മാറ്റങ്ങൾ വരുത്തുന്നതിന്, താഴെയുള്ള കമാൻഡുകൾ റൂട്ടായി പ്രവർത്തിപ്പിക്കുക.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
firezone-ctl reconfigure
firezone-ctl പുനരാരംഭിക്കുക
ഫയർസോൺ ലോഗുകൾ പരിശോധിക്കുന്നത് സംഭവിക്കാവുന്ന ഏത് പ്രശ്നങ്ങൾക്കും ഒരു മികച്ച ആദ്യപടിയാണ്.
Firezone ലോഗുകൾ കാണുന്നതിന് sudo firezone-ctl tail പ്രവർത്തിപ്പിക്കുക.
പൊരുത്തമില്ലാത്ത iptables അല്ലെങ്കിൽ nftables നിയമങ്ങളാൽ ഫയർസോണുമായുള്ള കണക്റ്റിവിറ്റി പ്രശ്നങ്ങളിൽ ഭൂരിഭാഗവും കൊണ്ടുവരുന്നു. നിങ്ങൾക്ക് പ്രാബല്യത്തിൽ ഉള്ള ഏതെങ്കിലും നിയമങ്ങൾ ഫയർസോൺ നിയമങ്ങളുമായി പൊരുത്തപ്പെടുന്നില്ലെന്ന് ഉറപ്പാക്കണം.
നിങ്ങൾ WireGuard ടണൽ സജീവമാക്കുമ്പോഴെല്ലാം നിങ്ങളുടെ ഇന്റർനെറ്റ് കണക്റ്റിവിറ്റി വഷളാകുകയാണെങ്കിൽ, Firezone വഴി നിങ്ങൾ അനുവദിക്കാൻ ആഗ്രഹിക്കുന്ന സ്ഥലങ്ങളിലേക്ക് നിങ്ങളുടെ WireGuard ക്ലയന്റുകളിൽ നിന്ന് പാക്കറ്റുകൾ FORWARD ചെയിൻ അനുവദിക്കുന്നുവെന്ന് ഉറപ്പാക്കുക.
ഡിഫോൾട്ട് റൂട്ടിംഗ് നയം അനുവദനീയമാണെന്ന് ഉറപ്പാക്കിക്കൊണ്ട് നിങ്ങൾ ufw ഉപയോഗിക്കുകയാണെങ്കിൽ ഇത് നേടിയേക്കാം:
ubuntu@fz:~$ sudo ufw ഡിഫോൾട്ട് റൂട്ട് അനുവദിച്ചു
ഡിഫോൾട്ട് റൂട്ടഡ് നയം 'അനുവദിക്കുക' എന്നാക്കി മാറ്റി
(അതനുസരിച്ച് നിങ്ങളുടെ നിയമങ്ങൾ അപ്ഡേറ്റ് ചെയ്യുന്നത് ഉറപ്പാക്കുക)
A ufw ഒരു സാധാരണ ഫയർസോൺ സെർവറിന്റെ നില ഇതുപോലെയായിരിക്കാം:
ubuntu@fz:~$ sudo ufw സ്റ്റാറ്റസ് വെർബോസ്
നില: സജീവം
ലോഗിംഗ്: ഓൺ (കുറഞ്ഞത്)
സ്ഥിരസ്ഥിതി: നിരസിക്കുക (ഇൻകമിംഗ്), അനുവദിക്കുക (ഔട്ട്ഗോയിംഗ്), അനുവദിക്കുക (റൂട്ടുചെയ്തത്)
പുതിയ പ്രൊഫൈലുകൾ: ഒഴിവാക്കുക
പ്രവർത്തനത്തിലേക്ക്
————-
22/tcp എവിടെയും അനുവദിക്കുക
80/tcp എവിടെയും അനുവദിക്കുക
443/tcp എവിടെയും അനുവദിക്കുക
51820/udp എവിടെയും അനുവദിക്കുക
22/tcp (v6) എവിടെയും അനുവദിക്കുക (v6)
80/tcp (v6) എവിടെയും അനുവദിക്കുക (v6)
443/tcp (v6) എവിടെയും അനുവദിക്കുക (v6)
51820/udp (v6) എവിടെയും അനുവദിക്കുക (v6)
ചുവടെ വിശദീകരിച്ചിരിക്കുന്നതുപോലെ, വളരെ സെൻസിറ്റീവും മിഷൻ-ക്രിട്ടിക്കൽ പ്രൊഡക്ഷൻ വിന്യാസങ്ങൾക്കായി വെബ് ഇന്റർഫേസിലേക്കുള്ള ആക്സസ് പരിമിതപ്പെടുത്താൻ ഞങ്ങൾ ഉപദേശിക്കുന്നു.
സേവനം | ഡിഫോൾട്ട് പോർട്ട് | വിലാസം കേൾക്കുക | വിവരണം |
നിക്കിക്സ് | 80, 443 | എല്ലാം | ഫയർസോൺ നിയന്ത്രിക്കുന്നതിനും പ്രാമാണീകരണം സുഗമമാക്കുന്നതിനുമുള്ള പൊതു HTTP(S) പോർട്ട്. |
വയർഗാർഡ് | 51820 | എല്ലാം | VPN സെഷനുകൾക്കായി ഉപയോഗിക്കുന്ന പൊതു വയർഗാർഡ് പോർട്ട്. (യുഡിപി) |
postgresql | 15432 | 127.0.0.1 | ബണ്ടിൽ ചെയ്ത Postgresql സെർവറിനായി ലോക്കൽ-മാത്രം പോർട്ട് ഉപയോഗിക്കുന്നു. |
ഫീനിക്സ് | 13000 | 127.0.0.1 | അപ്സ്ട്രീം എലിക്സിർ ആപ്പ് സെർവർ ഉപയോഗിക്കുന്ന ലോക്കൽ-മാത്രം പോർട്ട്. |
Firezone-ന്റെ പൊതുവായി തുറന്നുകാട്ടപ്പെട്ട വെബ് UI-ലേക്കുള്ള ആക്സസ് നിയന്ത്രിക്കുന്നതിനെക്കുറിച്ച് ചിന്തിക്കാൻ ഞങ്ങൾ നിങ്ങളെ ഉപദേശിക്കുന്നു (സ്ഥിരസ്ഥിതി പോർട്ടുകൾ 443/tcp, 80/tcp) കൂടാതെ ഒരു അഡ്മിനിസ്ട്രേറ്ററുടെ ചുമതലയുള്ള ഉൽപ്പാദനത്തിനും പൊതു-മുഖ വിന്യാസത്തിനുമായി Firezone നിയന്ത്രിക്കുന്നതിന് WireGuard ടണൽ ഉപയോഗിക്കുക. അന്തിമ ഉപയോക്താക്കൾക്ക് ഉപകരണ കോൺഫിഗറേഷനുകൾ സൃഷ്ടിക്കുന്നതിനും വിതരണം ചെയ്യുന്നതിനും.
ഉദാഹരണത്തിന്, ഒരു അഡ്മിനിസ്ട്രേറ്റർ ഒരു ഉപകരണ കോൺഫിഗറേഷൻ സൃഷ്ടിക്കുകയും പ്രാദേശിക വയർഗാർഡ് വിലാസം 10.3.2.2 ഉപയോഗിച്ച് ഒരു ടണൽ സൃഷ്ടിക്കുകയും ചെയ്താൽ, ഇനിപ്പറയുന്ന ufw കോൺഫിഗറേഷൻ സ്ഥിരസ്ഥിതി ഉപയോഗിച്ച് സെർവറിന്റെ wg-firezone ഇന്റർഫേസിൽ Firezone വെബ് യുഐ ആക്സസ് ചെയ്യാൻ അഡ്മിനിസ്ട്രേറ്ററെ പ്രാപ്തമാക്കും.10.3.2.1. ടണൽ വിലാസം:
റൂട്ട്@ഡെമോ:~# ufw സ്റ്റാറ്റസ് വെർബോസ്
നില: സജീവം
ലോഗിംഗ്: ഓൺ (കുറഞ്ഞത്)
സ്ഥിരസ്ഥിതി: നിരസിക്കുക (ഇൻകമിംഗ്), അനുവദിക്കുക (ഔട്ട്ഗോയിംഗ്), അനുവദിക്കുക (റൂട്ടുചെയ്തത്)
പുതിയ പ്രൊഫൈലുകൾ: ഒഴിവാക്കുക
പ്രവർത്തനത്തിലേക്ക്
————-
22/tcp എവിടെയും അനുവദിക്കുക
51820/udp എവിടെയും അനുവദിക്കുക
എവിടെയും അനുവദിക്കുക 10.3.2.2
22/tcp (v6) എവിടെയും അനുവദിക്കുക (v6)
51820/udp (v6) എവിടെയും അനുവദിക്കുക (v6)
ഇത് മാത്രം അവശേഷിക്കുന്നു 22/ടിസിപി സെർവർ മാനേജുചെയ്യുന്നതിനുള്ള SSH ആക്സസ്സ് തുറന്നുകാട്ടുന്നു (ഓപ്ഷണൽ), കൂടാതെ 51820/udp വയർഗാർഡ് തുരങ്കങ്ങൾ സ്ഥാപിക്കാൻ വേണ്ടി തുറന്നു.
ഫയർസോൺ ഒരു Postgresql സെർവറും പൊരുത്തപ്പെടുത്തലും ബണ്ടിൽ ചെയ്യുന്നു psql ലോക്കൽ ഷെല്ലിൽ നിന്ന് ഉപയോഗിക്കാവുന്ന യൂട്ടിലിറ്റി:
/opt/firezone/embedded/bin/psql \
-യു ഫയർസോൺ \
-d ഫയർസോൺ \
-h ലോക്കൽ ഹോസ്റ്റ് \
-p 15432 \
-c “SQL_STATEMENT”
ഡീബഗ്ഗിംഗ് ആവശ്യങ്ങൾക്ക് ഇത് സഹായകമാകും.
പൊതുവായ ജോലികൾ:
എല്ലാ ഉപയോക്താക്കളെയും ലിസ്റ്റുചെയ്യുന്നു:
/opt/firezone/embedded/bin/psql \
-യു ഫയർസോൺ \
-d ഫയർസോൺ \
-h ലോക്കൽ ഹോസ്റ്റ് \
-p 15432 \
-c “ഉപയോക്താക്കളിൽ നിന്ന് * തിരഞ്ഞെടുക്കുക;”
എല്ലാ ഉപകരണങ്ങളും ലിസ്റ്റുചെയ്യുന്നു:
/opt/firezone/embedded/bin/psql \
-യു ഫയർസോൺ \
-d ഫയർസോൺ \
-h ലോക്കൽ ഹോസ്റ്റ് \
-p 15432 \
-c “ഉപകരണങ്ങളിൽ നിന്ന് * തിരഞ്ഞെടുക്കുക;”
ഒരു ഉപയോക്തൃ റോൾ മാറ്റുക:
റോൾ 'അഡ്മിൻ' അല്ലെങ്കിൽ 'പ്രിവിലേജ്ഡ്' ആയി സജ്ജമാക്കുക:
/opt/firezone/embedded/bin/psql \
-യു ഫയർസോൺ \
-d ഫയർസോൺ \
-h ലോക്കൽ ഹോസ്റ്റ് \
-p 15432 \
-c “ഉപയോക്താക്കൾ അപ്ഡേറ്റ് ചെയ്യുക റോൾ = 'അഡ്മിൻ' എവിടെ ഇമെയിൽ = 'user@example.com';”
ഡാറ്റാബേസ് ബാക്കപ്പ് ചെയ്യുന്നു:
കൂടാതെ, ഡാറ്റാബേസിന്റെ പതിവ് ബാക്കപ്പുകൾ എടുക്കാൻ ഉപയോഗിച്ചേക്കാവുന്ന pg ഡംപ് പ്രോഗ്രാമും ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. പൊതുവായ SQL അന്വേഷണ ഫോർമാറ്റിൽ ഡാറ്റാബേസിന്റെ ഒരു പകർപ്പ് ഡംപ് ചെയ്യുന്നതിന് ഇനിപ്പറയുന്ന കോഡ് എക്സിക്യൂട്ട് ചെയ്യുക (SQL ഫയൽ സൃഷ്ടിക്കേണ്ട സ്ഥലം ഉപയോഗിച്ച് /path/to/backup.sql മാറ്റിസ്ഥാപിക്കുക):
/opt/firezone/embedded/bin/pg_dump \
-യു ഫയർസോൺ \
-d ഫയർസോൺ \
-h ലോക്കൽ ഹോസ്റ്റ് \
-p 15432 > /path/to/backup.sql
Firezone വിജയകരമായി വിന്യസിച്ചതിന് ശേഷം, നിങ്ങളുടെ നെറ്റ്വർക്കിലേക്ക് ആക്സസ് നൽകുന്നതിന് നിങ്ങൾ ഉപയോക്താക്കളെ ചേർക്കണം. ഇത് ചെയ്യുന്നതിന് വെബ് യുഐ ഉപയോഗിക്കുന്നു.
/ഉപയോക്താക്കൾക്ക് താഴെയുള്ള "ഉപയോക്താവിനെ ചേർക്കുക" ബട്ടൺ തിരഞ്ഞെടുക്കുന്നതിലൂടെ, നിങ്ങൾക്ക് ഒരു ഉപയോക്താവിനെ ചേർക്കാൻ കഴിയും. നിങ്ങൾ ഉപയോക്താവിന് ഒരു ഇമെയിൽ വിലാസവും പാസ്വേഡും നൽകേണ്ടതുണ്ട്. നിങ്ങളുടെ സ്ഥാപനത്തിലെ ഉപയോക്താക്കൾക്ക് സ്വയമേവ ആക്സസ് അനുവദിക്കുന്നതിന്, ഒരു ഐഡന്റിറ്റി പ്രൊവൈഡറുമായി ഫയർസോണിന് ഇന്റർഫേസ് ചെയ്യാനും സമന്വയിപ്പിക്കാനും കഴിയും. കൂടുതൽ വിശദാംശങ്ങൾ ലഭ്യമാണ് പമാണീകരിക്കുക. < പ്രാമാണീകരിക്കുന്നതിന് ഒരു ലിങ്ക് ചേർക്കുക
ഉപയോക്താക്കൾക്ക് അവരുടെ സ്വന്തം ഉപകരണ കോൺഫിഗറേഷനുകൾ സൃഷ്ടിക്കാൻ അഭ്യർത്ഥിക്കാൻ ഞങ്ങൾ ഉപദേശിക്കുന്നു, അതുവഴി അവർക്ക് സ്വകാര്യ കീ ദൃശ്യമാകും. എന്നതിലെ നിർദ്ദേശങ്ങൾ പിന്തുടർന്ന് ഉപയോക്താക്കൾക്ക് അവരുടെ സ്വന്തം ഉപകരണ കോൺഫിഗറേഷനുകൾ സൃഷ്ടിക്കാൻ കഴിയും ഉപഭോക്തൃ നിർദ്ദേശങ്ങൾ പേജ്.
എല്ലാ ഉപയോക്തൃ ഉപകരണ കോൺഫിഗറേഷനുകളും Firezone അഡ്മിനുകൾക്ക് സൃഷ്ടിക്കാനാകും. /ഉപയോക്താക്കൾ എന്നതിൽ സ്ഥിതിചെയ്യുന്ന ഉപയോക്തൃ പ്രൊഫൈൽ പേജിൽ, ഇത് പൂർത്തിയാക്കാൻ "ഉപകരണം ചേർക്കുക" ഓപ്ഷൻ തിരഞ്ഞെടുക്കുക.
[സ്ക്രീൻഷോട്ട് ചേർക്കുക]
ഉപകരണ പ്രൊഫൈൽ സൃഷ്ടിച്ചതിന് ശേഷം നിങ്ങൾക്ക് WireGuard കോൺഫിഗറേഷൻ ഫയൽ ഉപയോക്താവിന് ഇമെയിൽ ചെയ്യാവുന്നതാണ്.
ഉപയോക്താക്കളും ഉപകരണങ്ങളും ലിങ്ക് ചെയ്തിരിക്കുന്നു. ഒരു ഉപയോക്താവിനെ എങ്ങനെ ചേർക്കാം എന്നതിനെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾക്ക്, കാണുക ഉപയോക്താക്കളെ ചേർക്കുക.
കേർണലിന്റെ നെറ്റ്ഫിൽറ്റർ സിസ്റ്റത്തിന്റെ ഉപയോഗത്തിലൂടെ, ഡ്രോപ്പ് അല്ലെങ്കിൽ അക്സെപ്റ്റ് പാക്കറ്റുകൾ വ്യക്തമാക്കുന്നതിന് ഫയർസോൺ എഗ്രസ് ഫിൽട്ടറിംഗ് കഴിവുകൾ പ്രാപ്തമാക്കുന്നു. എല്ലാ ഗതാഗതവും സാധാരണയായി അനുവദനീയമാണ്.
IPv4, IPv6 CIDR-കളും IP വിലാസങ്ങളും യഥാക്രമം Allowlist, Denylist എന്നിവ വഴി പിന്തുണയ്ക്കുന്നു. ഒരു റൂൾ ചേർക്കുമ്പോൾ അത് ഉപയോക്താവിന് സ്കോപ്പ് ചെയ്യാൻ തിരഞ്ഞെടുക്കാം, അത് ആ ഉപയോക്താവിന്റെ എല്ലാ ഉപകരണങ്ങൾക്കും ബാധകമാണ്.
ഇൻസ്റ്റാൾ ചെയ്ത് കോൺഫിഗർ ചെയ്യുക
നേറ്റീവ് WireGuard ക്ലയന്റ് ഉപയോഗിച്ച് ഒരു VPN കണക്ഷൻ സ്ഥാപിക്കുന്നതിന്, ഈ ഗൈഡ് കാണുക.
ഇവിടെ സ്ഥിതി ചെയ്യുന്ന ഔദ്യോഗിക WireGuard ക്ലയന്റുകൾ Firezone-ന് അനുയോജ്യമാണ്:
മുകളിൽ സൂചിപ്പിച്ചിട്ടില്ലാത്ത OS സിസ്റ്റങ്ങൾക്കായി https://www.wireguard.com/install/ എന്നതിലെ ഔദ്യോഗിക WireGuard വെബ്സൈറ്റ് സന്ദർശിക്കുക.
ഒന്നുകിൽ നിങ്ങളുടെ ഫയർസോൺ അഡ്മിനിസ്ട്രേറ്റർക്കോ നിങ്ങൾക്കോ ഫയർസോൺ പോർട്ടൽ ഉപയോഗിച്ച് ഉപകരണ കോൺഫിഗറേഷൻ ഫയൽ സൃഷ്ടിക്കാനാകും.
ഒരു ഉപകരണ കോൺഫിഗറേഷൻ ഫയൽ സ്വയം ജനറേറ്റ് ചെയ്യാൻ നിങ്ങളുടെ ഫയർസോൺ അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ URL സന്ദർശിക്കുക. ഇതിനായി നിങ്ങളുടെ സ്ഥാപനത്തിന് ഒരു അദ്വിതീയ URL ഉണ്ടായിരിക്കും; ഈ സാഹചര്യത്തിൽ, ഇത് https://instance-id.yourfirezone.com ആണ്.
Firezone Okta SSO-ലേക്ക് ലോഗിൻ ചെയ്യുക
[സ്ക്രീൻഷോട്ട് തിരുകുക]
WireGuard ക്ലയന്റിലേക്ക് തുറക്കുന്നതിലൂടെ.conf ഫയൽ ഇറക്കുമതി ചെയ്യുക. സജീവമാക്കുക സ്വിച്ച് ഫ്ലിപ്പുചെയ്യുന്നതിലൂടെ, നിങ്ങൾക്ക് ഒരു VPN സെഷൻ ആരംഭിക്കാനാകും.
[സ്ക്രീൻഷോട്ട് തിരുകുക]
നിങ്ങളുടെ VPN കണക്ഷൻ സജീവമായി നിലനിർത്താൻ നിങ്ങളുടെ നെറ്റ്വർക്ക് അഡ്മിനിസ്ട്രേറ്റർ ആവർത്തിച്ചുള്ള പ്രാമാണീകരണം നിർബന്ധമാക്കിയിട്ടുണ്ടെങ്കിൽ ചുവടെയുള്ള നിർദ്ദേശങ്ങൾ പാലിക്കുക.
നിങ്ങൾക്ക് ഇത് ആവശ്യമാണ്:
ഫയർസോൺ പോർട്ടലിന്റെ URL: കണക്ഷനായി നിങ്ങളുടെ നെറ്റ്വർക്ക് അഡ്മിനിസ്ട്രേറ്ററോട് ആവശ്യപ്പെടുക.
നിങ്ങളുടെ ലോഗിൻ, പാസ്വേഡ് എന്നിവ നൽകാൻ നിങ്ങളുടെ നെറ്റ്വർക്ക് അഡ്മിനിസ്ട്രേറ്റർക്ക് കഴിയണം. നിങ്ങളുടെ തൊഴിലുടമ ഉപയോഗിക്കുന്ന സിംഗിൾ സൈൻ-ഓൺ സേവനം (Google അല്ലെങ്കിൽ Okta പോലുള്ളവ) ഉപയോഗിച്ച് ലോഗിൻ ചെയ്യാൻ Firezone സൈറ്റ് നിങ്ങളോട് ആവശ്യപ്പെടും.
[സ്ക്രീൻഷോട്ട് തിരുകുക]
Firezone പോർട്ടലിന്റെ URL-ലേക്ക് പോയി നിങ്ങളുടെ നെറ്റ്വർക്ക് അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ ക്രെഡൻഷ്യലുകൾ ഉപയോഗിച്ച് ലോഗിൻ ചെയ്യുക. നിങ്ങൾ ഇതിനകം സൈൻ ഇൻ ചെയ്തിട്ടുണ്ടെങ്കിൽ, വീണ്ടും സൈൻ ഇൻ ചെയ്യുന്നതിന് മുമ്പ് വീണ്ടും പ്രാമാണീകരിക്കുക ബട്ടൺ ക്ലിക്കുചെയ്യുക.
[സ്ക്രീൻഷോട്ട് തിരുകുക]
[സ്ക്രീൻഷോട്ട് തിരുകുക]
Linux ഉപകരണങ്ങളിൽ നെറ്റ്വർക്ക് മാനേജർ CLI ഉപയോഗിച്ച് WireGuard കോൺഫിഗറേഷൻ പ്രൊഫൈൽ ഇറക്കുമതി ചെയ്യുന്നതിന്, ഈ നിർദ്ദേശങ്ങൾ പാലിക്കുക (nmcli).
പ്രൊഫൈലിൽ IPv6 പിന്തുണ പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടെങ്കിൽ, നെറ്റ്വർക്ക് മാനേജർ GUI ഉപയോഗിച്ച് കോൺഫിഗറേഷൻ ഫയൽ ഇറക്കുമതി ചെയ്യാൻ ശ്രമിക്കുന്നത് ഇനിപ്പറയുന്ന പിശകിനാൽ പരാജയപ്പെടാം:
ipv6.method: “ഓട്ടോ” എന്ന രീതി WireGuard-ന് പിന്തുണയ്ക്കുന്നില്ല
WireGuard യൂസർസ്പേസ് യൂട്ടിലിറ്റികൾ ഇൻസ്റ്റാൾ ചെയ്യേണ്ടത് ആവശ്യമാണ്. ഇത് Linux വിതരണങ്ങൾക്കായുള്ള വയർഗാർഡ് അല്ലെങ്കിൽ വയർഗാർഡ്-ടൂളുകൾ എന്നൊരു പാക്കേജായിരിക്കും.
ഉബുണ്ടു/ഡെബിയന് വേണ്ടി:
sudo apt ഇൻസ്റ്റാൾ വയർഗാർഡ്
ഫെഡോറ ഉപയോഗിക്കുന്നതിന്:
sudo dnf വയർഗാർഡ്-ടൂളുകൾ ഇൻസ്റ്റാൾ ചെയ്യുക
ആർക്ക് ലിനക്സ്:
സുഡോ പാക്മാൻ -എസ് വയർഗാർഡ്-ടൂളുകൾ
മുകളിൽ സൂചിപ്പിച്ചിട്ടില്ലാത്ത വിതരണങ്ങൾക്കായി https://www.wireguard.com/install/ എന്നതിലെ ഔദ്യോഗിക WireGuard വെബ്സൈറ്റ് സന്ദർശിക്കുക.
ഒന്നുകിൽ നിങ്ങളുടെ ഫയർസോൺ അഡ്മിനിസ്ട്രേറ്റർ അല്ലെങ്കിൽ സെൽഫ്-ജനറേഷൻ ഫയർസോൺ പോർട്ടൽ ഉപയോഗിച്ച് ഉപകരണ കോൺഫിഗറേഷൻ ഫയൽ സൃഷ്ടിക്കാൻ കഴിയും.
ഒരു ഉപകരണ കോൺഫിഗറേഷൻ ഫയൽ സ്വയം ജനറേറ്റ് ചെയ്യാൻ നിങ്ങളുടെ ഫയർസോൺ അഡ്മിനിസ്ട്രേറ്റർ നൽകിയ URL സന്ദർശിക്കുക. ഇതിനായി നിങ്ങളുടെ സ്ഥാപനത്തിന് ഒരു അദ്വിതീയ URL ഉണ്ടായിരിക്കും; ഈ സാഹചര്യത്തിൽ, ഇത് https://instance-id.yourfirezone.com ആണ്.
[സ്ക്രീൻഷോട്ട് തിരുകുക]
nmcli ഉപയോഗിച്ച് വിതരണം ചെയ്ത കോൺഫിഗറേഷൻ ഫയൽ ഇറക്കുമതി ചെയ്യുക:
sudo nmcli കണക്ഷൻ ഇറക്കുമതി തരം വയർഗാർഡ് ഫയൽ /path/to/configuration.conf
കോൺഫിഗറേഷൻ ഫയലിന്റെ പേര് WireGuard കണക്ഷൻ/ഇന്റർഫേസുമായി പൊരുത്തപ്പെടും. ഇറക്കുമതി ചെയ്ത ശേഷം, ആവശ്യമെങ്കിൽ കണക്ഷന്റെ പേര് മാറ്റാവുന്നതാണ്:
nmcli കണക്ഷൻ പരിഷ്ക്കരിക്കുക [പഴയ പേര്] connection.id [പുതിയ പേര്]
കമാൻഡ് ലൈൻ വഴി, ഇനിപ്പറയുന്ന രീതിയിൽ VPN-ലേക്ക് ബന്ധിപ്പിക്കുക:
nmcli കണക്ഷൻ അപ്പ് [vpn പേര്]
വിച്ഛേദിക്കുന്നതിന്:
nmcli കണക്ഷൻ ഡൗൺ [vpn പേര്]
ഒരു GUI ഉപയോഗിക്കുകയാണെങ്കിൽ കണക്ഷൻ നിയന്ത്രിക്കാൻ ബാധകമായ നെറ്റ്വർക്ക് മാനേജർ ആപ്ലെറ്റും ഉപയോഗിക്കാം.
ഓട്ടോകണക്റ്റ് ഓപ്ഷനായി “അതെ” തിരഞ്ഞെടുക്കുന്നതിലൂടെ, സ്വയമേവ കണക്റ്റുചെയ്യുന്നതിന് VPN കണക്ഷൻ ക്രമീകരിക്കാൻ കഴിയും:
nmcli കണക്ഷൻ പരിഷ്ക്കരിക്കുക [vpn name] കണക്ഷൻ. <<<<<<<<<<<<<<<<<<<<<<
ഓട്ടോകണക്ട് അതെ
യാന്ത്രിക കണക്ഷൻ അപ്രാപ്തമാക്കുന്നതിന്, അത് ഇല്ല എന്ന് തിരികെ സജ്ജമാക്കുക:
nmcli കണക്ഷൻ പരിഷ്ക്കരിക്കുക [vpn name] കണക്ഷൻ.
ഓട്ടോകണക്ട് നമ്പർ
MFA സജീവമാക്കുന്നതിന് Firezone പോർട്ടലിന്റെ /ഉപയോക്തൃ അക്കൗണ്ട്/രജിസ്റ്റർ mfa പേജിലേക്ക് പോകുക. QR കോഡ് ജനറേറ്റ് ചെയ്തതിന് ശേഷം സ്കാൻ ചെയ്യാൻ നിങ്ങളുടെ ഓതന്റിക്കേറ്റർ ആപ്പ് ഉപയോഗിക്കുക, തുടർന്ന് ആറ് അക്ക കോഡ് നൽകുക.
നിങ്ങളുടെ ഓതന്റിക്കേറ്റർ ആപ്പ് തെറ്റായി സ്ഥാപിക്കുകയാണെങ്കിൽ നിങ്ങളുടെ അക്കൗണ്ടിന്റെ ആക്സസ് വിവരങ്ങൾ പുനഃസജ്ജമാക്കാൻ നിങ്ങളുടെ അഡ്മിനെ ബന്ധപ്പെടുക.
ഈ ട്യൂട്ടോറിയൽ നിങ്ങളെ Firezone-നൊപ്പം WireGuard-ന്റെ സ്പ്ലിറ്റ് ടണലിംഗ് സവിശേഷത സജ്ജീകരിക്കുന്ന പ്രക്രിയയിലൂടെ നിങ്ങളെ നയിക്കും, അതുവഴി നിർദ്ദിഷ്ട IP ശ്രേണികളിലേക്കുള്ള ട്രാഫിക് മാത്രമേ VPN സെർവറിലൂടെ കൈമാറുകയുള്ളൂ.
ക്ലയന്റ് നെറ്റ്വർക്ക് ട്രാഫിക്ക് റൂട്ട് ചെയ്യുന്ന IP ശ്രേണികൾ /settings/default പേജിൽ സ്ഥിതിചെയ്യുന്ന അനുവദനീയമായ IP ഫീൽഡിൽ സജ്ജീകരിച്ചിരിക്കുന്നു. Firezone നിർമ്മിക്കുന്ന പുതുതായി സൃഷ്ടിച്ച WireGuard ടണൽ കോൺഫിഗറേഷനുകളെ മാത്രമേ ഈ ഫീൽഡിലെ മാറ്റങ്ങൾ ബാധിക്കുകയുള്ളൂ.
[സ്ക്രീൻഷോട്ട് തിരുകുക]
സ്ഥിരസ്ഥിതി മൂല്യം 0.0.0.0/0, ::/0 ആണ്, ഇത് എല്ലാ നെറ്റ്വർക്ക് ട്രാഫിക്കും ക്ലയന്റിൽ നിന്ന് VPN സെർവറിലേക്ക് നയിക്കുന്നു.
ഈ ഫീൽഡിലെ മൂല്യങ്ങളുടെ ഉദാഹരണങ്ങളിൽ ഇവ ഉൾപ്പെടുന്നു:
0.0.0.0/0, ::/0 – എല്ലാ നെറ്റ്വർക്ക് ട്രാഫിക്കും VPN സെർവറിലേക്ക് റൂട്ട് ചെയ്യപ്പെടും.
192.0.2.3/32 - ഒരൊറ്റ IP വിലാസത്തിലേക്കുള്ള ട്രാഫിക് മാത്രമേ VPN സെർവറിലേക്ക് റൂട്ട് ചെയ്യപ്പെടുകയുള്ളൂ.
3.5.140.0/22 – 3.5.140.1 – 3.5.143.254 ശ്രേണിയിലുള്ള IP-കളിലേക്കുള്ള ട്രാഫിക് മാത്രം VPN സെർവറിലേക്ക് റൂട്ട് ചെയ്യപ്പെടും. ഈ ഉദാഹരണത്തിൽ, ap-Northeast-2 AWS മേഖലയ്ക്കുള്ള CIDR ശ്രേണി ഉപയോഗിച്ചു.
ഒരു പാക്കറ്റ് എവിടേക്കാണ് റൂട്ട് ചെയ്യേണ്ടതെന്ന് നിർണ്ണയിക്കുമ്പോൾ, ഏറ്റവും കൃത്യമായ റൂട്ടുമായി ബന്ധപ്പെട്ട എഗ്രസ് ഇന്റർഫേസ് ഫയർസോൺ തിരഞ്ഞെടുക്കുന്നു.
പുതിയ സ്പ്ലിറ്റ് ടണൽ കോൺഫിഗറേഷൻ ഉപയോഗിച്ച് നിലവിലുള്ള ഉപയോക്തൃ ഉപകരണങ്ങൾ അപ്ഡേറ്റ് ചെയ്യുന്നതിനായി ഉപയോക്താക്കൾ കോൺഫിഗറേഷൻ ഫയലുകൾ പുനഃസൃഷ്ടിക്കുകയും അവയെ അവരുടെ നേറ്റീവ് WireGuard ക്ലയന്റിലേക്ക് ചേർക്കുകയും വേണം.
നിർദ്ദേശങ്ങൾക്കായി, കാണുക ഉപകരണം ചേർക്കുക. <<<<<<<<<<<< ലിങ്ക് ചേർക്കുക
ഒരു റിലേ ആയി Firezone ഉപയോഗിച്ച് രണ്ട് ഉപകരണങ്ങൾ എങ്ങനെ ലിങ്ക് ചെയ്യാമെന്ന് ഈ മാനുവൽ കാണിക്കും. NAT അല്ലെങ്കിൽ ഫയർവാൾ പരിരക്ഷിച്ചിരിക്കുന്ന ഒരു സെർവർ, കണ്ടെയ്നർ അല്ലെങ്കിൽ മെഷീൻ ആക്സസ് ചെയ്യാൻ ഒരു അഡ്മിനിസ്ട്രേറ്ററെ പ്രാപ്തമാക്കുക എന്നതാണ് ഒരു സാധാരണ ഉപയോഗ കേസ്.
എ, ബി ഉപകരണങ്ങൾ ഒരു തുരങ്കം നിർമ്മിക്കുന്ന ഒരു നേരായ സാഹചര്യം ഈ ചിത്രീകരണം കാണിക്കുന്നു.
[ഫയർസോൺ വാസ്തുവിദ്യാ ചിത്രം ചേർക്കുക]
/users/[user_id]/new_device എന്നതിലേക്ക് നാവിഗേറ്റ് ചെയ്ത് ഡിവൈസ് എ, ഡിവൈസ് ബി എന്നിവ സൃഷ്ടിച്ച് ആരംഭിക്കുക. ഓരോ ഉപകരണത്തിനുമുള്ള ക്രമീകരണങ്ങളിൽ, ഇനിപ്പറയുന്ന പാരാമീറ്ററുകൾ ചുവടെ ലിസ്റ്റുചെയ്തിരിക്കുന്ന മൂല്യങ്ങളിലേക്ക് സജ്ജീകരിച്ചിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക. ഉപകരണ കോൺഫിഗറേഷൻ സൃഷ്ടിക്കുമ്പോൾ നിങ്ങൾക്ക് ഉപകരണ ക്രമീകരണങ്ങൾ സജ്ജമാക്കാൻ കഴിയും (ഉപകരണങ്ങൾ ചേർക്കുക കാണുക). നിലവിലുള്ള ഒരു ഉപകരണത്തിൽ നിങ്ങൾക്ക് ക്രമീകരണം അപ്ഡേറ്റ് ചെയ്യണമെങ്കിൽ, ഒരു പുതിയ ഉപകരണ കോൺഫിഗറേഷൻ സൃഷ്ടിച്ചുകൊണ്ട് നിങ്ങൾക്ക് അത് ചെയ്യാൻ കഴിയും.
എല്ലാ ഉപകരണങ്ങൾക്കും PersistentKeepalive കോൺഫിഗർ ചെയ്യാൻ കഴിയുന്ന ഒരു /ക്രമീകരണങ്ങൾ/ഡിഫോൾട്ട് പേജ് ഉണ്ടെന്നത് ശ്രദ്ധിക്കുക.
അനുവദിച്ച ഐപികൾ = 10.3.2.2/32
ഇതാണ് ഡിവൈസ് ബിയുടെ ഐപി അല്ലെങ്കിൽ ഐപി ശ്രേണി
പെർസിസ്റ്റന്റ് കീപാലീവ് = 25
ഉപകരണം ഒരു NAT-ന് പിന്നിലാണെങ്കിൽ, ടണലിനെ സജീവമായി നിലനിർത്താനും WireGuard ഇന്റർഫേസിൽ നിന്ന് പാക്കറ്റുകൾ സ്വീകരിക്കുന്നത് തുടരാനും ഉപകരണത്തിന് കഴിയുമെന്ന് ഇത് ഉറപ്പാക്കുന്നു. സാധാരണയായി 25 മൂല്യം മതിയാകും, എന്നാൽ നിങ്ങളുടെ പരിസ്ഥിതിയെ ആശ്രയിച്ച് ഈ മൂല്യം കുറയ്ക്കേണ്ടി വന്നേക്കാം.
അനുവദിച്ച ഐപികൾ = 10.3.2.3/32
ഇത് ഡിവൈസ് എയുടെ ഐപി അല്ലെങ്കിൽ ഐപി ശ്രേണിയാണ്
പെർസിസ്റ്റന്റ് കീപാലീവ് = 25
ഡിവൈസ് എ യ്ക്ക് ഡിവൈസുകൾ ബി യുമായി ഡി വഴി രണ്ട് ദിശകളിലേക്കും ആശയവിനിമയം നടത്താൻ കഴിയുന്ന ഒരു സാഹചര്യം ഈ ഉദാഹരണം കാണിക്കുന്നു. വിവിധ നെറ്റ്വർക്കുകളിലുടനീളം നിരവധി ഉറവിടങ്ങൾ (സെർവറുകൾ, കണ്ടെയ്നറുകൾ അല്ലെങ്കിൽ മെഷീനുകൾ) ആക്സസ് ചെയ്യുന്ന ഒരു എഞ്ചിനീയറെയോ അഡ്മിനിസ്ട്രേറ്ററെയോ ഈ സജ്ജീകരണത്തിന് പ്രതിനിധീകരിക്കാനാകും.
[വാസ്തുവിദ്യാ ഡയഗ്രം]<<<<<<<<<<<<<<<<<<<<<<<
ഓരോ ഉപകരണത്തിന്റെയും ക്രമീകരണങ്ങളിൽ അനുബന്ധ മൂല്യങ്ങൾക്കായി ഇനിപ്പറയുന്ന ക്രമീകരണങ്ങൾ നിർമ്മിച്ചിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക. ഉപകരണ കോൺഫിഗറേഷൻ സൃഷ്ടിക്കുമ്പോൾ, നിങ്ങൾക്ക് ഉപകരണ ക്രമീകരണങ്ങൾ വ്യക്തമാക്കാൻ കഴിയും (ഉപകരണങ്ങൾ ചേർക്കുക കാണുക). നിലവിലുള്ള ഒരു ഉപകരണത്തിലെ ക്രമീകരണങ്ങൾ അപ്ഡേറ്റ് ചെയ്യേണ്ടതുണ്ടെങ്കിൽ, ഒരു പുതിയ ഉപകരണ കോൺഫിഗറേഷൻ സൃഷ്ടിക്കാൻ കഴിയും.
അനുവദനീയമായ ഐപികൾ = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
ഇതാണ് ബി മുതൽ ഡി വരെയുള്ള ഉപകരണങ്ങളുടെ ഐപി. നിങ്ങൾ സജ്ജീകരിക്കാൻ തിരഞ്ഞെടുക്കുന്ന ഏത് ഐപി ശ്രേണിയിലും ബി മുതൽ ഡി വരെയുള്ള ഉപകരണങ്ങളുടെ ഐപികൾ ഉൾപ്പെടുത്തിയിരിക്കണം.
പെർസിസ്റ്റന്റ് കീപാലീവ് = 25
ഉപകരണത്തിന് ടണൽ പരിപാലിക്കാനും വയർഗാർഡ് ഇന്റർഫേസിൽ നിന്ന് പാക്കറ്റുകൾ സ്വീകരിക്കുന്നത് തുടരാനും കഴിയുമെന്ന് ഇത് ഉറപ്പ് നൽകുന്നു. മിക്ക കേസുകളിലും, 25 എന്ന മൂല്യം മതിയാകും, എന്നിരുന്നാലും നിങ്ങളുടെ ചുറ്റുപാടുകളെ ആശ്രയിച്ച്, നിങ്ങൾ ഈ കണക്ക് കുറയ്ക്കേണ്ടി വന്നേക്കാം.
നിങ്ങളുടെ ടീമിന്റെ എല്ലാ ട്രാഫിക്കും പുറത്തേക്ക് ഒഴുകുന്നതിന് ഒരൊറ്റ, സ്റ്റാറ്റിക് എഗ്രസ് ഐപി വാഗ്ദാനം ചെയ്യാൻ, ഫയർസോൺ ഒരു NAT ഗേറ്റ്വേ ആയി ഉപയോഗിക്കാം. ഈ സാഹചര്യങ്ങളിൽ അതിന്റെ പതിവ് ഉപയോഗം ഉൾപ്പെടുന്നു:
കൺസൾട്ടിംഗ് ഇടപഴകലുകൾ: നിങ്ങളുടെ ഉപഭോക്താവ് ഓരോ ജീവനക്കാരന്റെയും തനതായ ഉപകരണ ഐപിക്ക് പകരം ഒരൊറ്റ സ്റ്റാറ്റിക് ഐപി വിലാസം വൈറ്റ്ലിസ്റ്റ് ചെയ്യാൻ അഭ്യർത്ഥിക്കുക.
സുരക്ഷയ്ക്കോ സ്വകാര്യതയ്ക്കോ വേണ്ടി ഒരു പ്രോക്സി ഉപയോഗിക്കുകയോ നിങ്ങളുടെ സോഴ്സ് ഐപി മാസ്ക് ചെയ്യുകയോ ചെയ്യുക.
ഒരു വൈറ്റ്ലിസ്റ്റ് ചെയ്ത ഒരു സ്റ്റാറ്റിക് ഐപി റണ്ണിംഗ് ഫയർസോണിലേക്ക് സ്വയം-ഹോസ്റ്റ് ചെയ്ത വെബ് ആപ്ലിക്കേഷനിലേക്കുള്ള ആക്സസ് പരിമിതപ്പെടുത്തുന്നതിന്റെ ഒരു ലളിതമായ ഉദാഹരണം ഈ പോസ്റ്റിൽ പ്രദർശിപ്പിക്കും. ഈ ചിത്രീകരണത്തിൽ, ഫയർസോണും സംരക്ഷിത ഉറവിടവും വ്യത്യസ്ത വിപിസി ഏരിയകളിലാണ്.
നിരവധി അന്തിമ ഉപയോക്താക്കൾക്കായി ഒരു IP വൈറ്റ്ലിസ്റ്റ് കൈകാര്യം ചെയ്യുന്നതിന് പകരം ഈ പരിഹാരം പതിവായി ഉപയോഗിക്കുന്നു, ഇത് ആക്സസ് ലിസ്റ്റ് വികസിക്കുമ്പോൾ സമയമെടുക്കും.
നിയന്ത്രിത ഉറവിടത്തിലേക്ക് VPN ട്രാഫിക് റീഡയറക്ട് ചെയ്യുന്നതിനായി ഒരു EC2 സന്ദർഭത്തിൽ ഒരു Firezone സെർവർ സജ്ജീകരിക്കുക എന്നതാണ് ഞങ്ങളുടെ ലക്ഷ്യം. ഈ സാഹചര്യത്തിൽ, കണക്റ്റുചെയ്തിരിക്കുന്ന ഓരോ ഉപകരണത്തിനും ഒരു അദ്വിതീയ പബ്ലിക് എക്സ് ഐപി നൽകുന്നതിന് ഫയർസോൺ ഒരു നെറ്റ്വർക്ക് പ്രോക്സി അല്ലെങ്കിൽ NAT ഗേറ്റ്വേ ആയി പ്രവർത്തിക്കുന്നു.
ഈ സാഹചര്യത്തിൽ, tc2.micro എന്ന് പേരുള്ള ഒരു EC2 ഇൻസ്റ്റൻസിൽ ഒരു ഫയർസോൺ ഇൻസ്റ്റൻസ് ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ട്. Firezone വിന്യസിക്കുന്നതിനെക്കുറിച്ചുള്ള വിവരങ്ങൾക്ക്, വിന്യാസ ഗൈഡിലേക്ക് പോകുക. AWS-മായി ബന്ധപ്പെട്ട്, ഉറപ്പാക്കുക:
സംരക്ഷിത റിസോഴ്സിന്റെ ഐപി വിലാസത്തിലേക്ക് ഫയർസോൺ EC2 ഇൻസ്റ്റൻസിന്റെ സുരക്ഷാ ഗ്രൂപ്പ് ഔട്ട്ബൗണ്ട് ട്രാഫിക് അനുവദിക്കുന്നു.
ഫയർസോൺ ഉദാഹരണം ഒരു ഇലാസ്റ്റിക് ഐപിയോടെയാണ് വരുന്നത്. ഫയർസോൺ ഉദാഹരണത്തിലൂടെ പുറത്തുള്ള ലക്ഷ്യസ്ഥാനങ്ങളിലേക്ക് കൈമാറുന്ന ട്രാഫിക്കിന് ഇത് അതിന്റെ ഉറവിട ഐപി വിലാസമായി ഉണ്ടായിരിക്കും. ചോദ്യം ചെയ്യപ്പെടുന്ന IP വിലാസം 52.202.88.54 ആണ്.
[സ്ക്രീൻഷോട്ട് തിരുകുക]<<<<<<<<<<<<<<<<<<<<<<<<
ഈ സാഹചര്യത്തിൽ ഒരു സ്വയം ഹോസ്റ്റ് ചെയ്ത വെബ് ആപ്ലിക്കേഷൻ സംരക്ഷിത ഉറവിടമായി പ്രവർത്തിക്കുന്നു. 52.202.88.54 എന്ന IP വിലാസത്തിൽ നിന്ന് വരുന്ന അഭ്യർത്ഥനകളിലൂടെ മാത്രമേ വെബ് ആപ്പ് ആക്സസ് ചെയ്യാൻ കഴിയൂ. ഉറവിടത്തെ ആശ്രയിച്ച്, വിവിധ തുറമുഖങ്ങളിലും ട്രാഫിക് തരങ്ങളിലും ഇൻബൗണ്ട് ട്രാഫിക് അനുവദിക്കേണ്ടത് ആവശ്യമാണ്. ഇത് ഈ മാനുവലിൽ ഉൾപ്പെടുത്തിയിട്ടില്ല.
[സ്ക്രീൻഷോട്ട് ചേർക്കുക]<<<<<<<<<<<<<<<<<<<<<<<<
ഘട്ടം 1-ൽ നിർവചിച്ചിരിക്കുന്ന സ്റ്റാറ്റിക് ഐപിയിൽ നിന്നുള്ള ട്രാഫിക്ക് അനുവദനീയമാണെന്ന് ദയവായി പരിരക്ഷിത ഉറവിടത്തിന്റെ ചുമതലയുള്ള മൂന്നാം കക്ഷിയോട് പറയുക (ഈ സാഹചര്യത്തിൽ 52.202.88.54).
സ്ഥിരസ്ഥിതിയായി, എല്ലാ ഉപയോക്തൃ ട്രാഫിക്കും VPN സെർവറിലൂടെ കടന്നുപോകുകയും ഘട്ടം 1-ൽ ക്രമീകരിച്ചിരിക്കുന്ന സ്റ്റാറ്റിക് IP-ൽ നിന്ന് വരികയും ചെയ്യും (ഈ സാഹചര്യത്തിൽ 52.202.88.54). എന്നിരുന്നാലും, സ്പ്ലിറ്റ് ടണലിംഗ് പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടെങ്കിൽ, അനുവദനീയമായ IP-കളിൽ സംരക്ഷിത ഉറവിടത്തിന്റെ ലക്ഷ്യസ്ഥാന IP ലിസ്റ്റ് ചെയ്തിട്ടുണ്ടെന്ന് ഉറപ്പാക്കാൻ ക്രമീകരണങ്ങൾ ആവശ്യമായി വന്നേക്കാം.
ലഭ്യമായ കോൺഫിഗറേഷൻ ഓപ്ഷനുകളുടെ പൂർണ്ണമായ ലിസ്റ്റിംഗ് ചുവടെ കാണിച്ചിരിക്കുന്നു /etc/firezone/firezone.rb.
ഓപ്ഷൻ | വിവരണം | സ്ഥിര മൂല്യം |
ഡിഫോൾട്ട്['firezone']['external_url'] | ഈ Firezone സംഭവത്തിന്റെ വെബ് പോർട്ടൽ ആക്സസ് ചെയ്യാൻ ഉപയോഗിക്കുന്ന URL. | “https://#{node['fqdn'] || നോഡ്['ഹോസ്റ്റ്നെയിം']}” |
സ്ഥിരസ്ഥിതി['firezone']['config_directory'] | ഫയർസോൺ കോൺഫിഗറേഷനുള്ള ടോപ്പ്-ലെവൽ ഡയറക്ടറി. | /etc/firezone' |
സ്ഥിരസ്ഥിതി['firezone']['install_directory'] | ഫയർസോൺ ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനുള്ള ഉയർന്ന തലത്തിലുള്ള ഡയറക്ടറി. | /opt/firezone' |
സ്ഥിരസ്ഥിതി['firezone']['app_directory'] | Firezone വെബ് ആപ്ലിക്കേഷൻ ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനുള്ള ഉയർന്ന തലത്തിലുള്ള ഡയറക്ടറി. | “#{node['firezone']['install_directory']}/Embedded/service/firezone" |
സ്ഥിരസ്ഥിതി['firezone']['log_directory'] | Firezone ലോഗുകൾക്കായുള്ള ഉയർന്ന തലത്തിലുള്ള ഡയറക്ടറി. | /var/log/firezone' |
സ്ഥിരസ്ഥിതി['firezone']['var_directory'] | Firezone റൺടൈം ഫയലുകൾക്കായുള്ള ഉയർന്ന തലത്തിലുള്ള ഡയറക്ടറി. | /var/opt/firezone' |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഉപയോക്താവ്'] | അനഭിലഷണീയമായ Linux ഉപയോക്താവിന്റെ പേര് മിക്ക സേവനങ്ങളും ഫയലുകളും ഉൾപ്പെടും. | അഗ്നിമണ്ഡലം' |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഗ്രൂപ്പ്'] | Linux ഗ്രൂപ്പിന്റെ പേര് മിക്ക സേവനങ്ങളും ഫയലുകളും ഉൾപ്പെടും. | അഗ്നിമണ്ഡലം' |
സ്ഥിരസ്ഥിതി['firezone']['admin_email'] | പ്രാരംഭ ഫയർസോൺ ഉപയോക്താവിനുള്ള ഇമെയിൽ വിലാസം. | "firezone@localhost" |
ഡിഫോൾട്ട്['firezone']['max_devices_per_user'] | ഒരു ഉപയോക്താവിന് ഉണ്ടായിരിക്കാവുന്ന പരമാവധി എണ്ണം ഉപകരണങ്ങൾ. | 10 |
സ്ഥിരസ്ഥിതി['firezone']['allow_unprivileged_device_management'] | ഉപകരണങ്ങൾ സൃഷ്ടിക്കാനും ഇല്ലാതാക്കാനും അഡ്മിൻ ഇതര ഉപയോക്താക്കളെ അനുവദിക്കുന്നു. | യഥാർഥ |
ഡിഫോൾട്ട്['firezone']['allow_unprivileged_device_configuration'] | ഉപകരണ കോൺഫിഗറേഷനുകൾ പരിഷ്ക്കരിക്കാൻ അഡ്മിൻ ഇതര ഉപയോക്താക്കളെ അനുവദിക്കുന്നു. പ്രവർത്തനരഹിതമാക്കുമ്പോൾ, പേരും വിവരണവും ഒഴികെയുള്ള എല്ലാ ഉപകരണ ഫീൽഡുകളും മാറ്റുന്നതിൽ നിന്ന് പ്രത്യേകാവകാശമില്ലാത്ത ഉപയോക്താക്കളെ തടയുന്നു. | യഥാർഥ |
ഡിഫോൾട്ട്['firezone']['egress_interface'] | ടണൽ ട്രാഫിക്ക് പുറത്തുകടക്കുന്ന ഇന്റർഫേസ് നാമം. ഇല്ലെങ്കിൽ, ഡിഫോൾട്ട് റൂട്ട് ഇന്റർഫേസ് ഉപയോഗിക്കും. | ഇല്ല |
ഡിഫോൾട്ട്['ഫയർസോൺ']['fips_enabled'] | OpenSSL FIPs മോഡ് പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | ഇല്ല |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ലോഗിംഗ്']['പ്രവർത്തനക്ഷമമാക്കി'] | ഫയർസോണിലുടനീളം ലോഗിംഗ് പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. ലോഗിംഗ് പൂർണ്ണമായി പ്രവർത്തനരഹിതമാക്കുന്നതിന് തെറ്റ് എന്ന് സജ്ജമാക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['എന്റർപ്രൈസ്']['പേര്'] | ഷെഫ് 'എന്റർപ്രൈസ്' പാചകപുസ്തകം ഉപയോഗിക്കുന്ന പേര്. | അഗ്നിമണ്ഡലം' |
സ്ഥിരസ്ഥിതി['firezone']['install_path'] | ഷെഫ് 'എന്റർപ്രൈസ്' കുക്ക്ബുക്ക് ഉപയോഗിക്കുന്ന പാത്ത് ഇൻസ്റ്റാൾ ചെയ്യുക. മുകളിലെ ഇൻസ്റ്റോൾ_ഡയറക്ടറിക്ക് സമാനമായി സജ്ജീകരിക്കണം. | നോഡ്['firezone']['install_directory'] |
സ്ഥിരസ്ഥിതി['firezone']['sysvinit_id'] | /etc/inittab-ൽ ഉപയോഗിക്കുന്ന ഒരു ഐഡന്റിഫയർ. 1-4 പ്രതീകങ്ങളുടെ ഒരു അദ്വിതീയ ശ്രേണി ആയിരിക്കണം. | SUP' |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ആധികാരികത']['ലോക്കൽ']['പ്രവർത്തനക്ഷമമാക്കി'] | പ്രാദേശിക ഇമെയിൽ/പാസ്വേഡ് പ്രാമാണീകരണം പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['firezone']['authentication']['auto_create_oidc_users'] | OIDC-ൽ നിന്ന് ആദ്യമായി സൈൻ ഇൻ ചെയ്യുന്ന ഉപയോക്താക്കളെ സ്വയമേവ സൃഷ്ടിക്കുക. OIDC വഴി സൈൻ ഇൻ ചെയ്യാൻ നിലവിലുള്ള ഉപയോക്താക്കളെ മാത്രം അനുവദിക്കുന്നത് പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['firezone']['authentication']['disable_vpn_on_oidc_error'] | ഒരു ഉപയോക്താവിന്റെ OIDC ടോക്കൺ പുതുക്കാൻ ശ്രമിക്കുമ്പോൾ ഒരു പിശക് കണ്ടെത്തിയാൽ അവരുടെ VPN പ്രവർത്തനരഹിതമാക്കുക. | തെറ്റായ |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ആധികാരികത']['oidc'] | OpenID Connect config, {“provider” => [config…]} ഫോർമാറ്റിൽ – കാണുക OpenIDConnect ഡോക്യുമെന്റേഷൻ കോൺഫിഗറേഷൻ ഉദാഹരണങ്ങൾക്കായി. | {} |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['Enabled'] | ബണ്ടിൽ ചെയ്ത nginx സെർവർ പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['ssl_port'] | HTTPS ശ്രവണ പോർട്ട്. | 443 |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['directory'] | Firezone-മായി ബന്ധപ്പെട്ട nginx വെർച്വൽ ഹോസ്റ്റ് കോൺഫിഗറേഷൻ സംഭരിക്കുന്നതിനുള്ള ഡയറക്ടറി. | “#{node['firezone']['var_directory']}/nginx/etc" |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['log_directory'] | Firezone-മായി ബന്ധപ്പെട്ട nginx ലോഗ് ഫയലുകൾ സംഭരിക്കുന്നതിനുള്ള ഡയറക്ടറി. | “#{node['firezone']['log_directory']}/nginx" |
ഡിഫോൾട്ട്['firezone']['nginx']['log_rotation']['file_maxbytes'] | Nginx ലോഗ് ഫയലുകൾ തിരിക്കാനുള്ള ഫയൽ വലുപ്പം. | 104857600 |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['log_rotation']['num_to_keep'] | നിരസിക്കുന്നതിന് മുമ്പ് സൂക്ഷിക്കേണ്ട Firezone nginx ലോഗ് ഫയലുകളുടെ എണ്ണം. | 10 |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['log_x_forwarded_for'] | Firezone nginx x-forwarded-for header ലോഗ് ചെയ്യണമോ എന്ന്. | യഥാർഥ |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['hsts_header']['enabled'] | പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക എച്ച്.എസ്.ടി.എസ്. | യഥാർഥ |
ഡിഫോൾട്ട്['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS തലക്കെട്ടിനായി സബ്ഡൊമെയ്നുകൾ ഉൾപ്പെടുത്തുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['firezone']['nginx']['hsts_header']['max_age'] | HSTS തലക്കെട്ടിനുള്ള പരമാവധി പ്രായം. | 31536000 |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['redirect_to_canonical'] | മുകളിൽ വ്യക്തമാക്കിയ കാനോനിക്കൽ FQDN-ലേക്ക് URL-കൾ റീഡയറക്ട് ചെയ്യണോ എന്ന് | തെറ്റായ |
ഡിഫോൾട്ട്['firezone']['nginx']['cache']['Enabled'] | Firezone nginx കാഷെ പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | തെറ്റായ |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['cache']['directory'] | Firezone nginx കാഷെയ്ക്കുള്ള ഡയറക്ടറി. | “#{node['firezone']['var_directory']}/nginx/cache" |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['user'] | Firezone nginx ഉപയോക്താവ്. | നോഡ്['ഫയർസോൺ']['ഉപയോക്താവ്'] |
ഡിഫോൾട്ട്['firezone']['nginx']['group'] | ഫയർസോൺ എൻജിഎൻഎക്സ് ഗ്രൂപ്പ്. | നോഡ്['ഫയർസോൺ']['ഗ്രൂപ്പ്'] |
ഡിഫോൾട്ട്['firezone']['nginx']['dir'] | ടോപ്പ്-ലെവൽ nginx കോൺഫിഗറേഷൻ ഡയറക്ടറി. | നോഡ്['ഫയർസോൺ']['nginx']['ഡയറക്ടറി'] |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['log_dir'] | ഉയർന്ന തലത്തിലുള്ള nginx ലോഗ് ഡയറക്ടറി. | നോഡ്['firezone']['nginx']['log_directory'] |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['pid'] | nginx pid ഫയലിനുള്ള സ്ഥാനം. | “#{node['firezone']['nginx']['directory']}/nginx.pid" |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['demon_disable'] | nginx ഡെമൺ മോഡ് അപ്രാപ്തമാക്കുക, അതുവഴി നമുക്ക് അത് നിരീക്ഷിക്കാനാകും. | യഥാർഥ |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['gzip'] | nginx gzip കംപ്രഷൻ ഓൺ അല്ലെങ്കിൽ ഓഫ് ചെയ്യുക. | ഓൺ ' |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['gzip_static'] | സ്റ്റാറ്റിക് ഫയലുകൾക്കായി nginx gzip കംപ്രഷൻ ഓൺ അല്ലെങ്കിൽ ഓഫ് ചെയ്യുക. | ഓഫ്' |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['gzip_http_version'] | സ്റ്റാറ്റിക് ഫയലുകൾ നൽകുന്നതിന് ഉപയോഗിക്കേണ്ട HTTP പതിപ്പ്. | 1.0 ' |
ഡിഫോൾട്ട്['firezone']['nginx']['gzip_comp_level'] | nginx gzip കംപ്രഷൻ ലെവൽ. | 2 ' |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['gzip_proxied'] | അഭ്യർത്ഥനയും പ്രതികരണവും അനുസരിച്ച് പ്രോക്സി ചെയ്ത അഭ്യർത്ഥനകൾക്കുള്ള പ്രതികരണങ്ങളുടെ ജിസിപ്പിംഗ് പ്രവർത്തനക്ഷമമാക്കുന്നു അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുന്നു. | ഏതെങ്കിലും' |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['gzip_vary'] | "വ്യത്യസ്തമാക്കുക: സ്വീകരിക്കുക-എൻകോഡിംഗ്" പ്രതികരണ തലക്കെട്ട് ചേർക്കുന്നത് പ്രവർത്തനക്ഷമമാക്കുകയോ പ്രവർത്തനരഹിതമാക്കുകയോ ചെയ്യുന്നു. | ഓഫ്' |
ഡിഫോൾട്ട്['firezone']['nginx']['gzip_buffers'] | ഒരു പ്രതികരണം കംപ്രസ്സുചെയ്യാൻ ഉപയോഗിക്കുന്ന ബഫറുകളുടെ എണ്ണവും വലുപ്പവും സജ്ജമാക്കുന്നു. ഇല്ലെങ്കിൽ, nginx ഡിഫോൾട്ട് ഉപയോഗിക്കുന്നു. | ഇല്ല |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['gzip_types'] | ഇതിനായി gzip കംപ്രഷൻ പ്രവർത്തനക്ഷമമാക്കുന്നതിനുള്ള MIME തരങ്ങൾ. | ['ടെക്സ്റ്റ്/പ്ലെയിൻ', 'ടെക്സ്റ്റ്/സിഎസ്എസ്','അപ്ലിക്കേഷൻ/എക്സ്-ജാവാസ്ക്രിപ്റ്റ്', 'ടെക്സ്റ്റ്/എക്സ്എംഎൽ', 'ആപ്ലിക്കേഷൻ/എക്സ്എംഎൽ', 'ആപ്ലിക്കേഷൻ/ആർഎസ്എസ്+xml', 'ആപ്ലിക്കേഷൻ/ആറ്റം+xml', ' ടെക്സ്റ്റ്/ജാവാസ്ക്രിപ്റ്റ്', 'അപ്ലിക്കേഷൻ/ജാവാസ്ക്രിപ്റ്റ്', 'അപ്ലിക്കേഷൻ/ജെസൺ'] |
ഡിഫോൾട്ട്['firezone']['nginx']['gzip_min_length'] | ഫയൽ ജിസിപ്പ് കംപ്രഷൻ പ്രവർത്തനക്ഷമമാക്കുന്നതിനുള്ള ഏറ്റവും കുറഞ്ഞ ഫയൽ ദൈർഘ്യം. | 1000 |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['gzip_disable'] | ഇതിനായി gzip കംപ്രഷൻ പ്രവർത്തനരഹിതമാക്കുന്നതിനുള്ള ഉപയോക്തൃ-ഏജന്റ് മാച്ചർ. | MSIE [1-6]\.' |
ഡിഫോൾട്ട്['firezone']['nginx']['keepalive'] | അപ്സ്ട്രീം സെർവറുകളിലേക്കുള്ള കണക്ഷനുള്ള കാഷെ സജീവമാക്കുന്നു. | ഓൺ ' |
ഡിഫോൾട്ട്['firezone']['nginx']['keepalive_timeout'] | അപ്സ്ട്രീം സെർവറുകളിലേക്കുള്ള കീപലൈവ് കണക്ഷനുള്ള സമയപരിധി നിമിഷങ്ങൾക്കുള്ളിൽ. | 65 |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['worker_processes'] | nginx തൊഴിലാളി പ്രക്രിയകളുടെ എണ്ണം. | node['cpu'] && node['cpu']['total'] ? നോഡ്['സിപിയു']['മൊത്തം'] : 1 |
ഡിഫോൾട്ട്['firezone']['nginx']['worker_connections'] | ഒരു വർക്കർ പ്രോസസ്സ് വഴി തുറക്കാൻ കഴിയുന്ന ഒരേസമയം കണക്ഷനുകളുടെ പരമാവധി എണ്ണം. | 1024 |
ഡിഫോൾട്ട്['firezone']['nginx']['worker_rlimit_nofile'] | വർക്കർ പ്രോസസ്സുകൾക്കായി തുറന്ന ഫയലുകളുടെ പരമാവധി എണ്ണത്തിന്റെ പരിധി മാറ്റുന്നു. ഇല്ലെങ്കിൽ nginx ഡിഫോൾട്ട് ഉപയോഗിക്കുന്നു. | ഇല്ല |
ഡിഫോൾട്ട്['firezone']['nginx']['multi_accept'] | തൊഴിലാളികൾ ഒരു സമയം ഒരു കണക്ഷൻ സ്വീകരിക്കണമോ അല്ലെങ്കിൽ ഒന്നിലധികം കണക്ഷനുകൾ സ്വീകരിക്കണമോ എന്ന്. | യഥാർഥ |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['event'] | nginx ഇവന്റുകൾ സന്ദർഭത്തിൽ ഉപയോഗിക്കുന്നതിനുള്ള കണക്ഷൻ പ്രോസസ്സിംഗ് രീതി വ്യക്തമാക്കുന്നു. | എപോൾ' |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['server_tokens'] | പിശക് പേജുകളിലും "സെർവർ" പ്രതികരണ ഹെഡർ ഫീൽഡിലും nginx പതിപ്പ് എമിറ്റിംഗ് പ്രാപ്തമാക്കുന്നു അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുന്നു. | ഇല്ല |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['server_names_hash_bucket_size'] | സെർവർ പേരുകൾ ഹാഷ് ടേബിളുകൾക്കായി ബക്കറ്റ് വലുപ്പം സജ്ജമാക്കുന്നു. | 64 |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['sendfile'] | nginx-ന്റെ sendfile() ഉപയോഗം പ്രവർത്തനക്ഷമമാക്കുന്നു അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുന്നു. | ഓൺ ' |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['access_log_options'] | nginx ആക്സസ് ലോഗ് ഓപ്ഷനുകൾ സജ്ജമാക്കുന്നു. | ഇല്ല |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['error_log_options'] | nginx പിശക് ലോഗ് ഓപ്ഷനുകൾ സജ്ജമാക്കുന്നു. | ഇല്ല |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['disable_access_log'] | nginx ആക്സസ് ലോഗ് പ്രവർത്തനരഹിതമാക്കുന്നു. | തെറ്റായ |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['types_hash_max_size'] | nginx തരങ്ങൾ ഹാഷ് പരമാവധി വലുപ്പം. | 2048 |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['types_hash_bucket_size'] | nginx തരങ്ങൾ ഹാഷ് ബക്കറ്റ് വലുപ്പം. | 64 |
ഡിഫോൾട്ട്['firezone']['nginx']['proxy_read_timeout'] | nginx പ്രോക്സി റീഡ് ടൈംഔട്ട്. nginx ഡിഫോൾട്ട് ഉപയോഗിക്കുന്നതിന് nil ആയി സജ്ജീകരിക്കുക. | ഇല്ല |
ഡിഫോൾട്ട്['firezone']['nginx']['client_body_buffer_size'] | nginx ക്ലയന്റ് ബോഡി ബഫർ വലുപ്പം. nginx ഡിഫോൾട്ട് ഉപയോഗിക്കുന്നതിന് nil ആയി സജ്ജീകരിക്കുക. | ഇല്ല |
ഡിഫോൾട്ട്['firezone']['nginx']['client_max_body_size'] | nginx ക്ലയന്റ് പരമാവധി ശരീര വലുപ്പം. | 250മി' |
ഡിഫോൾട്ട്['firezone']['nginx']['default']['modules'] | അധിക nginx മൊഡ്യൂളുകൾ വ്യക്തമാക്കുക. | [] |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['enable_rate_limiting'] | nginx നിരക്ക് പരിമിതപ്പെടുത്തൽ പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['firezone']['nginx']['rate_limiting_zone_name'] | Nginx നിരക്ക് പരിമിതപ്പെടുത്തുന്ന മേഖല നാമം. | അഗ്നിമണ്ഡലം' |
ഡിഫോൾട്ട്['firezone']['nginx']['rate_limiting_backoff'] | Nginx നിരക്ക് ബാക്ക്ഓഫിനെ പരിമിതപ്പെടുത്തുന്നു. | 10മി' |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['rate_limit'] | Nginx നിരക്ക് പരിധി. | 10r/സെ' |
സ്ഥിരസ്ഥിതി['firezone']['nginx']['ipv6'] | IPv6-ന് പുറമെ IPv4-നുള്ള HTTP അഭ്യർത്ഥനകൾ കേൾക്കാൻ nginx-നെ അനുവദിക്കുക. | യഥാർഥ |
സ്ഥിരസ്ഥിതി['firezone']['postgresql']['Enabled'] | ബണ്ടിൽ ചെയ്ത Postgresql പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. നിങ്ങളുടെ സ്വന്തം Postgresql ഇൻസ്റ്റൻസ് ഉപയോഗിക്കുന്നതിന് തെറ്റായി സജ്ജീകരിച്ച് ചുവടെയുള്ള ഡാറ്റാബേസ് ഓപ്ഷനുകൾ പൂരിപ്പിക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['firezone']['postgresql']['username'] | Postgresql-നുള്ള ഉപയോക്തൃനാമം. | നോഡ്['ഫയർസോൺ']['ഉപയോക്താവ്'] |
സ്ഥിരസ്ഥിതി['firezone']['postgresql']['data_directory'] | Postgresql ഡാറ്റ ഡയറക്ടറി. | “#{node['firezone']['var_directory']}/postgresql/13.3/data" |
സ്ഥിരസ്ഥിതി['firezone']['postgresql']['log_directory'] | Postgresql ലോഗ് ഡയറക്ടറി. | “#{node['firezone']['log_directory']}/postgresql" |
സ്ഥിരസ്ഥിതി['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql ലോഗ് ഫയൽ തിരിക്കുന്നതിന് മുമ്പ് പരമാവധി വലുപ്പം. | 104857600 |
ഡിഫോൾട്ട്['firezone']['postgresql']['log_rotation']['num_to_keep'] | സൂക്ഷിക്കേണ്ട Postgresql ലോഗ് ഫയലുകളുടെ എണ്ണം. | 10 |
സ്ഥിരസ്ഥിതി['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql ചെക്ക്പോയിന്റ് പൂർത്തീകരണ ലക്ഷ്യം. | 0.5 |
സ്ഥിരസ്ഥിതി['firezone']['postgresql']['checkpoint_segments'] | Postgresql ചെക്ക്പോയിന്റ് സെഗ്മെന്റുകളുടെ എണ്ണം. | 3 |
ഡിഫോൾട്ട്['firezone']['postgresql']['checkpoint_timeout'] | Postgresql ചെക്ക്പോയിന്റ് കാലഹരണപ്പെട്ടു. | 5മിനിറ്റ്' |
സ്ഥിരസ്ഥിതി['firezone']['postgresql']['checkpoint_warning'] | Postgresql ചെക്ക്പോയിന്റ് മുന്നറിയിപ്പ് സമയം നിമിഷങ്ങൾക്കുള്ളിൽ. | 30' |
ഡിഫോൾട്ട്['firezone']['postgresql']['effective_cache_size'] | Postgresql ഫലപ്രദമായ കാഷെ വലുപ്പം. | 128MB' |
സ്ഥിരസ്ഥിതി['firezone']['postgresql']['listen_address'] | Postgresql കേൾക്കാനുള്ള വിലാസം. | 127.0.0.1 ' |
ഡിഫോൾട്ട്['firezone']['postgresql']['max_connections'] | Postgresql പരമാവധി കണക്ഷനുകൾ. | 350 |
സ്ഥിരസ്ഥിതി['firezone']['postgresql']['md5_auth_cidr_addresses'] | md5 auth അനുവദിക്കുന്നതിന് Postgresql CIDR-കൾ. | ['127.0.0.1/32', '::1/128'] |
സ്ഥിരസ്ഥിതി['firezone']['postgresql']['port'] | Postgresql ലിസൻ പോർട്ട്. | 15432 |
സ്ഥിരസ്ഥിതി['firezone']['postgresql']['shared_buffers'] | Postgresql പങ്കിട്ട ബഫറുകളുടെ വലുപ്പം. | “#{(node['memory']['total'].to_i / 4) / 1024}MB" |
ഡിഫോൾട്ട്['firezone']['postgresql']['shmmax'] | Postgresql shmmax ബൈറ്റുകളിൽ. | 17179869184 |
സ്ഥിരസ്ഥിതി['firezone']['postgresql']['shmall'] | ബൈറ്റുകളിൽ Postgresql shmall. | 4194304 |
ഡിഫോൾട്ട്['firezone']['postgresql']['work_mem'] | Postgresql പ്രവർത്തന മെമ്മറി വലുപ്പം. | 8MB' |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഡാറ്റബേസ്']['ഉപയോക്താവ്'] | ഡിബിയിലേക്ക് കണക്റ്റുചെയ്യാൻ ഫയർസോൺ ഉപയോഗിക്കുന്ന ഉപയോക്തൃനാമം വ്യക്തമാക്കുന്നു. | നോഡ്['firezone']['postgresql']['username'] |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഡാറ്റബേസ്']['പാസ്വേഡ്'] | ഒരു ബാഹ്യ DB ഉപയോഗിക്കുകയാണെങ്കിൽ, ഡിബിയിലേക്ക് കണക്റ്റുചെയ്യാൻ Firezone ഉപയോഗിക്കുന്ന പാസ്വേഡ് വ്യക്തമാക്കുക. | എന്നെ മാറ്റുക' |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഡാറ്റാബേസ്']['പേര്'] | Firezone ഉപയോഗിക്കുന്ന ഡാറ്റാബേസ്. ഇല്ലെങ്കിൽ സൃഷ്ടിക്കപ്പെടും. | അഗ്നിമണ്ഡലം' |
സ്ഥിരസ്ഥിതി['firezone']['database']['host'] | Firezone കണക്റ്റുചെയ്യുന്ന ഡാറ്റാബേസ് ഹോസ്റ്റ്. | നോഡ്['firezone']['postgresql']['listen_address'] |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഡാറ്റാബേസ്']['പോർട്ട്'] | ഫയർസോൺ ബന്ധിപ്പിക്കുന്ന ഡാറ്റാബേസ് പോർട്ട്. | നോഡ്['ഫയർസോൺ']['postgresql']['port'] |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഡാറ്റാബേസ്']['പൂൾ'] | ഡാറ്റാബേസ് പൂൾ വലുപ്പം Firezone ഉപയോഗിക്കും. | [10, Etc.nprocessors].max |
സ്ഥിരസ്ഥിതി['firezone']['database']['ssl'] | SSL വഴി ഡാറ്റാബേസിലേക്ക് കണക്റ്റ് ചെയ്യണമോ എന്ന്. | തെറ്റായ |
സ്ഥിരസ്ഥിതി['firezone']['database']['ssl_opts'] | {} | |
സ്ഥിരസ്ഥിതി['firezone']['database']['parameters'] | {} | |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഡാറ്റാബേസ്']['വിപുലീകരണങ്ങൾ'] | പ്രവർത്തനക്ഷമമാക്കുന്നതിനുള്ള ഡാറ്റാബേസ് വിപുലീകരണങ്ങൾ. | {'plpgsql' => true, 'pg_trgm' => true} |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഫീനിക്സ്']['പ്രവർത്തനക്ഷമമാക്കി'] | Firezone വെബ് ആപ്ലിക്കേഷൻ പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഫീനിക്സ്']['listen_address'] | Firezone വെബ് ആപ്ലിക്കേഷൻ കേൾക്കാനുള്ള വിലാസം. nginx പ്രോക്സികൾ നൽകുന്ന അപ്സ്ട്രീം കേൾക്കുന്ന വിലാസം ഇതായിരിക്കും. | 127.0.0.1 ' |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഫീനിക്സ്']['പോർട്ട്'] | ഫയർസോൺ വെബ് ആപ്ലിക്കേഷൻ ലിസൻ പോർട്ട്. nginx പ്രോക്സി ചെയ്യുന്ന അപ്സ്ട്രീം പോർട്ട് ഇതായിരിക്കും. | 13000 |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഫീനിക്സ്']['ലോഗ്_ഡയറക്ടറി'] | ഫയർസോൺ വെബ് ആപ്ലിക്കേഷൻ ലോഗ് ഡയറക്ടറി. | “#{node['firezone']['log_directory']}/phoenix" |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഫീനിക്സ്']['ലോഗ്_റൊട്ടേഷൻ']['ഫയൽ_മാക്സ്ബൈറ്റുകൾ'] | Firezone വെബ് ആപ്ലിക്കേഷൻ ലോഗ് ഫയൽ വലുപ്പം. | 104857600 |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഫീനിക്സ്']['ലോഗ്_റൊട്ടേഷൻ']['എണ്ണം_സൂക്ഷിക്കുക'] | സൂക്ഷിക്കേണ്ട Firezone വെബ് ആപ്ലിക്കേഷൻ ലോഗ് ഫയലുകളുടെ എണ്ണം. | 10 |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഫീനിക്സ്']['ക്രാഷ്_ഡിറ്റക്ഷൻ']['പ്രവർത്തനക്ഷമമാക്കി'] | ഒരു ക്രാഷ് കണ്ടെത്തുമ്പോൾ Firezone വെബ് ആപ്ലിക്കേഷൻ ഇറക്കുന്നത് പ്രവർത്തനക്ഷമമാക്കുകയോ പ്രവർത്തനരഹിതമാക്കുകയോ ചെയ്യുക. | യഥാർഥ |
ഡിഫോൾട്ട്['firezone']['phoenix']['external_trusted_proxies'] | IP-കൾ കൂടാതെ/അല്ലെങ്കിൽ CIDR-കളുടെ ഒരു നിരയായി ഫോർമാറ്റ് ചെയ്ത വിശ്വസനീയമായ റിവേഴ്സ് പ്രോക്സികളുടെ ലിസ്റ്റ്. | [] |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ഫീനിക്സ്']['private_clients'] | സ്വകാര്യ നെറ്റ്വർക്ക് HTTP ക്ലയന്റുകളുടെ ലിസ്റ്റ്, IP-കൾ കൂടാതെ/അല്ലെങ്കിൽ CIDR-കളുടെ ഒരു നിര ഫോർമാറ്റ് ചെയ്തു. | [] |
ഡിഫോൾട്ട്['ഫയർസോൺ']['വയർഗാർഡ്']['പ്രവർത്തനക്ഷമമാക്കി'] | ബണ്ടിൽ ചെയ്ത വയർഗാർഡ് മാനേജ്മെന്റ് പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
സ്ഥിരസ്ഥിതി['firezone']['wireguard']['log_directory'] | ബണ്ടിൽ ചെയ്ത വയർഗാർഡ് മാനേജ്മെന്റിനായുള്ള ലോഗ് ഡയറക്ടറി. | “#{node['firezone']['log_directory']}/wireguard" |
ഡിഫോൾട്ട്['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard ലോഗ് ഫയൽ പരമാവധി വലുപ്പം. | 104857600 |
ഡിഫോൾട്ട്['firezone']['wireguard']['log_rotation']['num_to_keep'] | സൂക്ഷിക്കേണ്ട WireGuard ലോഗ് ഫയലുകളുടെ എണ്ണം. | 10 |
ഡിഫോൾട്ട്['firezone']['wireguard']['interface_name'] | വയർഗാർഡ് ഇന്റർഫേസ് നാമം. ഈ പാരാമീറ്റർ മാറ്റുന്നത് VPN കണക്റ്റിവിറ്റിയിൽ താൽക്കാലിക നഷ്ടത്തിന് കാരണമായേക്കാം. | wg-firezone' |
ഡിഫോൾട്ട്['ഫയർസോൺ']['വയർഗാർഡ്']['പോർട്ട്'] | വയർഗാർഡ് ലിസൻ പോർട്ട്. | 51820 |
ഡിഫോൾട്ട്['ഫയർസോൺ']['വയർഗാർഡ്']['mtu'] | ഈ സെർവറിനും ഉപകരണ കോൺഫിഗറേഷനുകൾക്കുമായി വയർഗാർഡ് ഇന്റർഫേസ് MTU. | 1280 |
ഡിഫോൾട്ട്['ഫയർസോൺ']['വയർഗാർഡ്']['എൻഡ്പോയിന്റ്'] | ഉപകരണ കോൺഫിഗറേഷനുകൾ സൃഷ്ടിക്കുന്നതിന് ഉപയോഗിക്കേണ്ട വയർഗാർഡ് എൻഡ്പോയിന്റ്. ഇല്ലെങ്കിൽ, സെർവറിന്റെ പൊതു IP വിലാസത്തിലേക്ക് സ്ഥിരസ്ഥിതിയായി. | ഇല്ല |
ഡിഫോൾട്ട്['ഫയർസോൺ']['വയർഗാർഡ്']['dns'] | ജനറേറ്റുചെയ്ത ഉപകരണ കോൺഫിഗറേഷനുകൾക്കായി ഉപയോഗിക്കാനുള്ള വയർഗാർഡ് ഡിഎൻഎസ്. | 1.1.1.1, 1.0.0.1′ |
സ്ഥിരസ്ഥിതി['firezone']['wireguard']['allowed_ips'] | ജനറേറ്റുചെയ്ത ഉപകരണ കോൺഫിഗറേഷനുകൾക്കായി WireGuard അനുവദിച്ച ഐപികൾ. | 0.0.0.0/0, ::/0′ |
ഡിഫോൾട്ട്['firezone']['wireguard']['persistent_keepalive'] | ജനറേറ്റുചെയ്ത ഉപകരണ കോൺഫിഗറേഷനുകൾക്കായുള്ള ഡിഫോൾട്ട് PersistentKeepalive ക്രമീകരണം. ഒരു മൂല്യം 0 പ്രവർത്തനരഹിതമാക്കുന്നു. | 0 |
സ്ഥിരസ്ഥിതി['firezone']['wireguard']['ipv4']['Enabled'] | WireGuard നെറ്റ്വർക്കിനായി IPv4 പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['ഫയർസോൺ']['വയർഗാർഡ്']['ipv4']['മാസ്ക്വെറേഡ്'] | IPv4 തുരങ്കം വിടുന്ന പാക്കറ്റുകൾക്ക് മാസ്കറേഡ് പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['ഫയർസോൺ']['wireguard']['ipv4']['network'] | WireGuard നെറ്റ്വർക്ക് IPv4 വിലാസ പൂൾ. | 10.3.2.0/24 |
ഡിഫോൾട്ട്['firezone']['wireguard']['ipv4']['address'] | WireGuard ഇന്റർഫേസ് IPv4 വിലാസം. WireGuard വിലാസ പൂളിൽ ആയിരിക്കണം. | 10.3.2.1 ' |
സ്ഥിരസ്ഥിതി['firezone']['wireguard']['ipv6']['Enabled'] | WireGuard നെറ്റ്വർക്കിനായി IPv6 പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['ഫയർസോൺ']['വയർഗാർഡ്']['ipv6']['മാസ്ക്വെറേഡ്'] | IPv6 തുരങ്കം വിടുന്ന പാക്കറ്റുകൾക്ക് മാസ്കറേഡ് പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['ഫയർസോൺ']['wireguard']['ipv6']['network'] | WireGuard നെറ്റ്വർക്ക് IPv6 വിലാസ പൂൾ. | fd00::3:2:0/120′ |
ഡിഫോൾട്ട്['firezone']['wireguard']['ipv6']['address'] | WireGuard ഇന്റർഫേസ് IPv6 വിലാസം. IPv6 വിലാസ പൂളിനുള്ളിൽ ആയിരിക്കണം. | fd00::3:2:1′ |
സ്ഥിരസ്ഥിതി['firezone']['runit']['svlogd_bin'] | Svlogd ബിൻ ലൊക്കേഷൻ പ്രവർത്തിപ്പിക്കുക. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
സ്ഥിരസ്ഥിതി['firezone']['ssl']['directory'] | ജനറേറ്റുചെയ്ത സർട്ടിഫിക്കറ്റുകൾ സംഭരിക്കുന്നതിനുള്ള SSL ഡയറക്ടറി. | /var/opt/firezone/ssl' |
സ്ഥിരസ്ഥിതി['firezone']['ssl']['email_address'] | സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റുകൾക്കും ACME പ്രോട്ടോക്കോൾ പുതുക്കൽ അറിയിപ്പുകൾക്കും ഉപയോഗിക്കേണ്ട ഇമെയിൽ വിലാസം. | you@example.com' |
സ്ഥിരസ്ഥിതി['firezone']['ssl']['acme']['Enabled'] | സ്വയമേവയുള്ള SSL സർട്ടിഫിക്കറ്റ് പ്രൊവിഷനിംഗിനായി ACME പ്രവർത്തനക്ഷമമാക്കുക. പോർട്ട് 80-ൽ Nginx കേൾക്കുന്നത് തടയാൻ ഇത് പ്രവർത്തനരഹിതമാക്കുക. കാണുക ഇവിടെ കൂടുതൽ നിർദ്ദേശങ്ങൾക്കായി. | തെറ്റായ |
സ്ഥിരസ്ഥിതി['firezone']['ssl']['acme']['server'] | സർട്ടിഫിക്കറ്റ് ഇഷ്യു/പുതുക്കലിനായി ഉപയോഗിക്കാൻ ACME സെർവർ. ഏതെങ്കിലും ആകാം സാധുവായ acme.sh സെർവർ | letsencrypt |
സ്ഥിരസ്ഥിതി['firezone']['ssl']['acme']['keylength'] | SSL സർട്ടിഫിക്കറ്റുകളുടെ കീ തരവും നീളവും വ്യക്തമാക്കുക. കാണുക ഇവിടെ | ec-256 |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ssl']['സർട്ടിഫിക്കറ്റ്'] | നിങ്ങളുടെ FQDN-നുള്ള സർട്ടിഫിക്കറ്റ് ഫയലിലേക്കുള്ള പാത. വ്യക്തമാക്കിയിട്ടുണ്ടെങ്കിൽ മുകളിലുള്ള ACME ക്രമീകരണം അസാധുവാക്കുന്നു. ACME ഉം ഇതും ഒന്നുമല്ലെങ്കിൽ സ്വയം ഒപ്പിട്ട ഒരു സർട്ടിഫിക്കറ്റ് ജനറേറ്റുചെയ്യും. | ഇല്ല |
സ്ഥിരസ്ഥിതി['firezone']['ssl']['certificate_key'] | സർട്ടിഫിക്കറ്റ് ഫയലിലേക്കുള്ള പാത. | ഇല്ല |
സ്ഥിരസ്ഥിതി['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | ഇല്ല |
സ്ഥിരസ്ഥിതി['firezone']['ssl']['country_name'] | സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റിനുള്ള രാജ്യത്തിന്റെ പേര്. | യുഎസ്' |
സ്ഥിരസ്ഥിതി['firezone']['ssl']['state_name'] | സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റിന്റെ സംസ്ഥാന നാമം. | സിഎ ' |
ഡിഫോൾട്ട്['firezone']['ssl']['locality_name'] | സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റിനുള്ള പ്രദേശത്തിന്റെ പേര്. | സാന് ഫ്രാന്സിസ്കോ' |
ഡിഫോൾട്ട്['firezone']['ssl']['company_name'] | കമ്പനിയുടെ പേര് സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റ്. | എന്റെ കമ്പനി' |
ഡിഫോൾട്ട്['firezone']['ssl']['organisational_unit_name'] | സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റിനുള്ള ഓർഗനൈസേഷണൽ യൂണിറ്റിന്റെ പേര്. | പ്രവർത്തനങ്ങൾ' |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ssl']['cifers'] | nginx-ന് ഉപയോഗിക്കാനുള്ള SSL സൈഫറുകൾ. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
സ്ഥിരസ്ഥിതി['firezone']['ssl']['fips_ciphers'] | എഫ്ഐപി മോഡിനുള്ള SSL സൈഫറുകൾ. | FIPS@Strength:!aNULL:!eNULL' |
സ്ഥിരസ്ഥിതി['firezone']['ssl']['protocols'] | ഉപയോഗിക്കാനുള്ള TLS പ്രോട്ടോക്കോളുകൾ. | TLSv1 TLSv1.1 TLSv1.2′ |
സ്ഥിരസ്ഥിതി['firezone']['ssl']['session_cache'] | SSL സെഷൻ കാഷെ. | പങ്കിട്ടു:SSL:4m' |
ഡിഫോൾട്ട്['firezone']['ssl']['session_timeout'] | SSL സെഷൻ കാലഹരണപ്പെട്ടു. | 5മി' |
ഡിഫോൾട്ട്['firezone']['robots_allow'] | nginx റോബോട്ടുകൾ അനുവദിക്കുന്നു. | /' |
ഡിഫോൾട്ട്['firezone']['robots_disallow'] | nginx റോബോട്ടുകൾ അനുവദിക്കുന്നില്ല. | ഇല്ല |
സ്ഥിരസ്ഥിതി['firezone']['outbound_email']['from'] | വിലാസത്തിൽ നിന്നുള്ള ഔട്ട്ബൗണ്ട് ഇമെയിൽ. | ഇല്ല |
സ്ഥിരസ്ഥിതി['firezone']['outbound_email']['provider'] | ഔട്ട്ബൗണ്ട് ഇമെയിൽ സേവന ദാതാവ്. | ഇല്ല |
സ്ഥിരസ്ഥിതി['firezone']['outbound_email']['configs'] | ഔട്ട്ബൗണ്ട് ഇമെയിൽ പ്രൊവൈഡർ കോൺഫിഗറേഷനുകൾ. | omnibus/cookbooks/firezone/attributes/default.rb കാണുക |
ഡിഫോൾട്ട്['ഫയർസോൺ']['ടെലിമെട്രി']['പ്രവർത്തനക്ഷമമാക്കി'] | അജ്ഞാത ഉൽപ്പന്ന ടെലിമെട്രി പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['firezone']['connectivity_checks']['enabled'] | ഫയർസോൺ കണക്റ്റിവിറ്റി പരിശോധനാ സേവനം പ്രവർത്തനക്ഷമമാക്കുക അല്ലെങ്കിൽ പ്രവർത്തനരഹിതമാക്കുക. | യഥാർഥ |
ഡിഫോൾട്ട്['firezone']['connectivity_checks']['interval'] | സെക്കൻഡിൽ കണക്റ്റിവിറ്റി പരിശോധനകൾ തമ്മിലുള്ള ഇടവേള. | 3_600 |
________________________________________________________________
ഒരു സാധാരണ ഫയർസോൺ ഇൻസ്റ്റാളേഷനുമായി ബന്ധപ്പെട്ട ഫയലുകളുടെയും ഡയറക്ടറികളുടെയും ഒരു ലിസ്റ്റ് ഇവിടെ കാണാം. നിങ്ങളുടെ കോൺഫിഗറേഷൻ ഫയലിലെ മാറ്റങ്ങൾ അനുസരിച്ച് ഇവ മാറിയേക്കാം.
പാത | വിവരണം |
/var/opt/firezone | ഫയർസോൺ ബണ്ടിൽ ചെയ്ത സേവനങ്ങൾക്കായി ഡാറ്റയും ജനറേറ്റഡ് കോൺഫിഗറേഷനും അടങ്ങുന്ന ഉയർന്ന തലത്തിലുള്ള ഡയറക്ടറി. |
/opt/firezone | ഫയർസോണിന് ആവശ്യമായ ബിൽറ്റ് ലൈബ്രറികൾ, ബൈനറികൾ, റൺടൈം ഫയലുകൾ എന്നിവ അടങ്ങുന്ന ഉയർന്ന തലത്തിലുള്ള ഡയറക്ടറി. |
/usr/bin/firezone-ctl | നിങ്ങളുടെ ഫയർസോൺ ഇൻസ്റ്റാളേഷൻ കൈകാര്യം ചെയ്യുന്നതിനുള്ള firezone-ctl യൂട്ടിലിറ്റി. |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runvdir സൂപ്പർവൈസർ പ്രക്രിയ ആരംഭിക്കുന്നതിനുള്ള systemd യൂണിറ്റ് ഫയൽ. |
/etc/firezone | ഫയർസോൺ കോൺഫിഗറേഷൻ ഫയലുകൾ. |
__________________________________________________________
ഈ പേജ് ഡോക്സിൽ ശൂന്യമായിരുന്നു
_____________________________________________________________
Firezone പ്രവർത്തിക്കുന്ന സെർവർ സുരക്ഷിതമാക്കാൻ ഇനിപ്പറയുന്ന nftables ഫയർവാൾ ടെംപ്ലേറ്റ് ഉപയോഗിക്കാം. ടെംപ്ലേറ്റ് ചില അനുമാനങ്ങൾ ഉണ്ടാക്കുന്നു; നിങ്ങളുടെ ഉപയോഗത്തിന് അനുയോജ്യമായ നിയമങ്ങൾ ക്രമീകരിക്കേണ്ടി വന്നേക്കാം:
വെബ് ഇന്റർഫേസിൽ കോൺഫിഗർ ചെയ്തിരിക്കുന്ന ലക്ഷ്യസ്ഥാനങ്ങളിലേക്കുള്ള ട്രാഫിക് അനുവദിക്കുന്നതിനും നിരസിക്കുന്നതിനും ക്ലയന്റ് ട്രാഫിക്കിനായി ഔട്ട്ബൗണ്ട് NAT കൈകാര്യം ചെയ്യുന്നതിനും Firezone അതിന്റേതായ nftables നിയമങ്ങൾ ക്രമീകരിക്കുന്നു.
ഇതിനകം പ്രവർത്തിക്കുന്ന സെർവറിൽ താഴെയുള്ള ഫയർവാൾ ടെംപ്ലേറ്റ് പ്രയോഗിക്കുന്നത് (ബൂട്ട് സമയത്തല്ല) ഫയർസോൺ നിയമങ്ങൾ മായ്ക്കുന്നതിന് ഇടയാക്കും. ഇതിന് സുരക്ഷാ പ്രത്യാഘാതങ്ങൾ ഉണ്ടായേക്കാം.
ഇത് പരിഹരിക്കുന്നതിന് ഫീനിക്സ് സേവനം പുനരാരംഭിക്കുക:
firezone-ctl ഫീനിക്സ് പുനരാരംഭിക്കുക
#!/usr/sbin/nft -f
## നിലവിലുള്ള എല്ലാ നിയമങ്ങളും മായ്ക്കുക/ഫ്ലഷ് ചെയ്യുക
ഫ്ലഷ് റൂൾസെറ്റ്
############################### വേരിയബിളുകൾ ################# ################
## ഇന്റർനെറ്റ്/WAN ഇന്റർഫേസ് നാമം
DEV_WAN = eth0 നിർവ്വചിക്കുക
## വയർഗാർഡ് ഇന്റർഫേസ് നാമം
DEV_WIREGUARD = wg-firezone നിർവ്വചിക്കുക
## വയർഗാർഡ് ലിസൻ പോർട്ട്
WIREGUARD_PORT = നിർവ്വചിക്കുക 51820
############################## വേരിയബിൾ എൻഡ് ################## ############
# മെയിൻ ഇനെറ്റ് ഫാമിലി ഫിൽട്ടറിംഗ് ടേബിൾ
ടേബിൾ ഇനെറ്റ് ഫിൽട്ടർ {
# ഫോർവേഡ് ട്രാഫിക്കിനുള്ള നിയമങ്ങൾ
# ഫയർസോൺ ഫോർവേഡ് ചെയിനിന് മുമ്പായി ഈ ചെയിൻ പ്രോസസ്സ് ചെയ്യുന്നു
ചെയിൻ ഫോർവേഡ് {
ഫിൽട്ടർ ഹുക്ക് ഫോർവേഡ് മുൻഗണനാ ഫിൽട്ടർ ടൈപ്പ് ചെയ്യുക - 5; നയം സ്വീകരിക്കുക
}
# ഇൻപുട്ട് ട്രാഫിക്കിനുള്ള നിയമങ്ങൾ
ചെയിൻ ഇൻപുട്ട് {
തരം ഫിൽട്ടർ ഹുക്ക് ഇൻപുട്ട് മുൻഗണന ഫിൽട്ടർ; നയപരമായ വീഴ്ച
## ലൂപ്പ്ബാക്ക് ഇന്റർഫേസിലേക്ക് ഇൻബൗണ്ട് ട്രാഫിക് അനുവദിക്കുക
എങ്കിൽ ലോ \
സ്വീകരിക്കുക \
അഭിപ്രായം "ലൂപ്പ്ബാക്ക് ഇന്റർഫേസിൽ നിന്ന് എല്ലാ ട്രാഫിക്കും അനുവദിക്കുക"
## പെർമിറ്റ് സ്ഥാപിച്ചതും അനുബന്ധ കണക്ഷനുകളും
ct സംസ്ഥാന സ്ഥാപിതമായ, ബന്ധപ്പെട്ട \
സ്വീകരിക്കുക \
അഭിപ്രായം "സ്ഥാപിത/അനുബന്ധ കണക്ഷനുകൾ അനുവദിക്കുക"
## ഇൻബൗണ്ട് വയർഗാർഡ് ട്രാഫിക് അനുവദിക്കുക
iif $DEV_WAN udp dport $WIREGUARD_PORT \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "ഇൻബൗണ്ട് വയർഗാർഡ് ട്രാഫിക് അനുവദിക്കുക"
## പുതിയ TCP നോൺ-SYN പാക്കറ്റുകൾ ലോഗ് ചെയ്ത് ഡ്രോപ്പ് ചെയ്യുക
tcp ഫ്ലാഗുകൾ != synct സംസ്ഥാന പുതിയത് \
പരിധി നിരക്ക് 100/ മിനിറ്റ് പൊട്ടിത്തെറി 150 പാക്കറ്റുകൾ \
ലോഗ് പ്രിഫിക്സ് "ഇൻ - പുതിയത് !SYN: " \
അഭിപ്രായം "SYN TCP ഫ്ലാഗ് സെറ്റ് ഇല്ലാത്ത പുതിയ കണക്ഷനുകൾക്കുള്ള ലോഗിംഗ് നിരക്ക് പരിധി"
tcp ഫ്ലാഗുകൾ != synct സംസ്ഥാന പുതിയത് \
കൗണ്ടർ \
ഡ്രോപ്പ് \
അഭിപ്രായം "SYN TCP ഫ്ലാഗ് സെറ്റ് ഇല്ലാത്ത പുതിയ കണക്ഷനുകൾ ഉപേക്ഷിക്കുക"
## അസാധുവായ ഫിൻ/സിൻ ഫ്ലാഗ് സെറ്റ് ഉള്ള TCP പാക്കറ്റുകൾ ലോഗ് ചെയ്ത് ഡ്രോപ്പ് ചെയ്യുക
tcp ഫ്ലാഗുകൾ & (ഫിൻ|സിൻ) == (ഫിൻ|സിൻ) \
പരിധി നിരക്ക് 100/ മിനിറ്റ് പൊട്ടിത്തെറി 150 പാക്കറ്റുകൾ \
ലോഗ് പ്രിഫിക്സ് "IN - TCP FIN|SIN: " \
അഭിപ്രായം "അസാധുവായ ഫിൻ/സിൻ ഫ്ലാഗ് സെറ്റ് ഉള്ള TCP പാക്കറ്റുകൾക്കുള്ള ലോഗിംഗ് നിരക്ക് പരിധി"
tcp ഫ്ലാഗുകൾ & (ഫിൻ|സിൻ) == (ഫിൻ|സിൻ) \
കൗണ്ടർ \
ഡ്രോപ്പ് \
അഭിപ്രായം "അസാധുവായ ഫിൻ/സിൻ ഫ്ലാഗ് സെറ്റ് ഉള്ള TCP പാക്കറ്റുകൾ ഡ്രോപ്പ് ചെയ്യുക"
## അസാധുവായ syn/rst ഫ്ലാഗ് സെറ്റ് ഉള്ള TCP പാക്കറ്റുകൾ ലോഗ് ചെയ്ത് ഡ്രോപ്പ് ചെയ്യുക
tcp ഫ്ലാഗുകൾ & (syn|rst) == (syn|rst) \
പരിധി നിരക്ക് 100/ മിനിറ്റ് പൊട്ടിത്തെറി 150 പാക്കറ്റുകൾ \
ലോഗ് പ്രിഫിക്സ് "IN - TCP SYN|RST: " \
അഭിപ്രായം "അസാധുവായ syn/rst ഫ്ലാഗ് സെറ്റുള്ള TCP പാക്കറ്റുകൾക്കുള്ള നിരക്ക് പരിധി ലോഗിംഗ്"
tcp ഫ്ലാഗുകൾ & (syn|rst) == (syn|rst) \
കൗണ്ടർ \
ഡ്രോപ്പ് \
അഭിപ്രായം "അസാധുവായ syn/rst ഫ്ലാഗ് സെറ്റ് ഉള്ള TCP പാക്കറ്റുകൾ ഡ്രോപ്പ് ചെയ്യുക"
## അസാധുവായ TCP ഫ്ലാഗുകൾ ലോഗ് ചെയ്ത് ഡ്രോപ്പ് ചെയ്യുക
tcp ഫ്ലാഗുകൾ & (fin|syn|rst|psh|ack|urg) < (ഫിൻ) \
പരിധി നിരക്ക് 100/ മിനിറ്റ് പൊട്ടിത്തെറി 150 പാക്കറ്റുകൾ \
ലോഗ് പ്രിഫിക്സ് "ഇൻ - ഫിൻ:" \
അഭിപ്രായം “അസാധുവായ TCP ഫ്ലാഗുകൾക്കുള്ള നിരക്ക് പരിധി ലോഗിംഗ് (fin|syn|rst|psh|ack|urg) < (fin)”
tcp ഫ്ലാഗുകൾ & (fin|syn|rst|psh|ack|urg) < (ഫിൻ) \
കൗണ്ടർ \
ഡ്രോപ്പ് \
അഭിപ്രായം "ഫ്ലാഗുകളുള്ള TCP പാക്കറ്റുകൾ വലിച്ചിടുക (fin|syn|rst|psh|ack|urg) < (ഫിൻ)"
## അസാധുവായ TCP ഫ്ലാഗുകൾ ലോഗ് ചെയ്ത് ഡ്രോപ്പ് ചെയ്യുക
tcp ഫ്ലാഗുകൾ & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
പരിധി നിരക്ക് 100/ മിനിറ്റ് പൊട്ടിത്തെറി 150 പാക്കറ്റുകൾ \
ലോഗ് പ്രിഫിക്സ് “IN – FIN|PSH|URG:” \
അഭിപ്രായം "അസാധുവായ TCP ഫ്ലാഗുകൾക്കുള്ള നിരക്ക് പരിധി ലോഗിംഗ് (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp ഫ്ലാഗുകൾ & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
കൗണ്ടർ \
ഡ്രോപ്പ് \
അഭിപ്രായം "ഫ്ലാഗുകളുള്ള TCP പാക്കറ്റുകൾ വലിച്ചിടുക (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## അസാധുവായ കണക്ഷൻ അവസ്ഥയിൽ ട്രാഫിക് ഡ്രോപ്പ് ചെയ്യുക
ct അവസ്ഥ അസാധുവാണ് \
പരിധി നിരക്ക് 100/ മിനിറ്റ് പൊട്ടിത്തെറി 150 പാക്കറ്റുകൾ \
ലോഗ് ഫ്ലാഗുകൾ എല്ലാ പ്രിഫിക്സും "IN - അസാധുവാണ്:" \
അഭിപ്രായം "അസാധുവായ കണക്ഷൻ നിലയുള്ള ട്രാഫിക്കിനുള്ള നിരക്ക് പരിധി ലോഗിംഗ്"
ct അവസ്ഥ അസാധുവാണ് \
കൗണ്ടർ \
ഡ്രോപ്പ് \
അഭിപ്രായം "അസാധുവായ കണക്ഷൻ അവസ്ഥയിൽ ട്രാഫിക് ഡ്രോപ്പ് ചെയ്യുക"
## IPv4 പിംഗ്/പിംഗ് പ്രതികരണങ്ങൾ അനുവദിക്കുക എന്നാൽ നിരക്ക് പരിധി 2000 PPS ആയി
ip പ്രോട്ടോക്കോൾ icmp icmp തരം {എക്കോ-മറുപടി, എക്കോ-അഭ്യർത്ഥന} \
പരിധി നിരക്ക് 2000/സെക്കൻഡ് \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "ഇൻബൗണ്ട് IPv4 എക്കോ (പിംഗ്) പെർമിറ്റ് 2000 PPS ആയി പരിമിതപ്പെടുത്തിയിരിക്കുന്നു"
## മറ്റെല്ലാ ഇൻബൗണ്ട് IPv4 ICMP-യും അനുവദിക്കുക
ip പ്രോട്ടോക്കോൾ icmp \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "മറ്റെല്ലാ IPv4 ICMP കളും അനുവദിക്കുക"
## IPv6 പിംഗ്/പിംഗ് പ്രതികരണങ്ങൾ അനുവദിക്കുക എന്നാൽ നിരക്ക് പരിധി 2000 PPS ആയി
icmpv6 തരം {എക്കോ-മറുപടി, എക്കോ-അഭ്യർത്ഥന} \
പരിധി നിരക്ക് 2000/സെക്കൻഡ് \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "ഇൻബൗണ്ട് IPv6 എക്കോ (പിംഗ്) പെർമിറ്റ് 2000 PPS ആയി പരിമിതപ്പെടുത്തിയിരിക്കുന്നു"
## മറ്റെല്ലാ ഇൻബൗണ്ട് IPv6 ICMP-യും അനുവദിക്കുക
meta l4proto {icmpv6} \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "മറ്റെല്ലാ IPv6 ICMP കളും അനുവദിക്കുക"
## ഇൻബൗണ്ട് ട്രേസറൂട്ട് UDP പോർട്ടുകൾ അനുവദിക്കുക എന്നാൽ 500 PPS ആയി പരിമിതപ്പെടുത്തുക
udp dport 33434-33524 \
പരിധി നിരക്ക് 500/സെക്കൻഡ് \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "ഇൻബൗണ്ട് യുഡിപി ട്രേസറൗട്ട് പെർമിറ്റ് 500 പിപിഎസിലേക്ക് പരിമിതപ്പെടുത്തിയിരിക്കുന്നു"
## ഇൻബൗണ്ട് SSH അനുവദിക്കുക
tcp dport ssh ct സംസ്ഥാന പുതിയ \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "ഇൻബൗണ്ട് SSH കണക്ഷനുകൾ അനുവദിക്കുക"
## ഇൻബൗണ്ട് HTTP, HTTPS എന്നിവ അനുവദിക്കുക
tcp dport { http, https } ct പുതിയത് \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "ഇൻബൗണ്ട് HTTP, HTTPS കണക്ഷനുകൾ അനുവദിക്കുക"
## പൊരുത്തപ്പെടാത്ത ട്രാഫിക്ക് ലോഗ് ചെയ്യുക എന്നാൽ ലോഗിംഗ് നിരക്ക് പരമാവധി 60 സന്ദേശങ്ങൾ/മിനിറ്റിൽ
## സമാനതകളില്ലാത്ത ട്രാഫിക്കിന് ഡിഫോൾട്ട് നയം ബാധകമാകും
പരിധി നിരക്ക് 60/ മിനിറ്റ് പൊട്ടിത്തെറി 100 പാക്കറ്റുകൾ \
ലോഗ് പ്രിഫിക്സ് "ഇൻ - ഡ്രോപ്പ്:" \
അഭിപ്രായം "ഏതെങ്കിലും പൊരുത്തപ്പെടാത്ത ട്രാഫിക് ലോഗ് ചെയ്യുക"
## സമാനതകളില്ലാത്ത ട്രാഫിക് എണ്ണുക
കൗണ്ടർ \
അഭിപ്രായം "ഏതെങ്കിലും സമാനതകളില്ലാത്ത ട്രാഫിക് എണ്ണുക"
}
# ഔട്ട്പുട്ട് ട്രാഫിക്കിനുള്ള നിയമങ്ങൾ
ചെയിൻ ഔട്ട്പുട്ട് {
തരം ഫിൽട്ടർ ഹുക്ക് ഔട്ട്പുട്ട് മുൻഗണന ഫിൽട്ടർ; നയപരമായ വീഴ്ച
## ലൂപ്പ്ബാക്ക് ഇന്റർഫേസിലേക്ക് ഔട്ട്ബൗണ്ട് ട്രാഫിക് അനുവദിക്കുക
ഒഇഫ് ലോ \
സ്വീകരിക്കുക \
അഭിപ്രായം "എല്ലാ ട്രാഫിക്കും ലൂപ്പ്ബാക്ക് ഇന്റർഫേസിലേക്ക് അനുവദിക്കുക"
## പെർമിറ്റ് സ്ഥാപിച്ചതും അനുബന്ധ കണക്ഷനുകളും
ct സംസ്ഥാന സ്ഥാപിതമായ, ബന്ധപ്പെട്ട \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "സ്ഥാപിത/അനുബന്ധ കണക്ഷനുകൾ അനുവദിക്കുക"
## മോശം അവസ്ഥയിലുള്ള കണക്ഷനുകൾ ഉപേക്ഷിക്കുന്നതിന് മുമ്പ് ഔട്ട്ബൗണ്ട് വയർഗാർഡ് ട്രാഫിക് അനുവദിക്കുക
ഒഐഎഫ് $DEV_WAN udp കായിക $WIREGUARD_PORT \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "വയർഗാർഡ് ഔട്ട്ബൗണ്ട് ട്രാഫിക് അനുവദിക്കുക"
## അസാധുവായ കണക്ഷൻ അവസ്ഥയിൽ ട്രാഫിക് ഡ്രോപ്പ് ചെയ്യുക
ct അവസ്ഥ അസാധുവാണ് \
പരിധി നിരക്ക് 100/ മിനിറ്റ് പൊട്ടിത്തെറി 150 പാക്കറ്റുകൾ \
ലോഗ് ഫ്ലാഗുകൾ എല്ലാ പ്രിഫിക്സും "പുറത്ത് - അസാധുവാണ്:" \
അഭിപ്രായം "അസാധുവായ കണക്ഷൻ നിലയുള്ള ട്രാഫിക്കിനുള്ള നിരക്ക് പരിധി ലോഗിംഗ്"
ct അവസ്ഥ അസാധുവാണ് \
കൗണ്ടർ \
ഡ്രോപ്പ് \
അഭിപ്രായം "അസാധുവായ കണക്ഷൻ അവസ്ഥയിൽ ട്രാഫിക് ഡ്രോപ്പ് ചെയ്യുക"
## മറ്റെല്ലാ ഔട്ട്ബൗണ്ട് IPv4 ICMP-യും അനുവദിക്കുക
ip പ്രോട്ടോക്കോൾ icmp \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "എല്ലാ IPv4 ICMP തരങ്ങളും അനുവദിക്കുക"
## മറ്റെല്ലാ ഔട്ട്ബൗണ്ട് IPv6 ICMP-യും അനുവദിക്കുക
meta l4proto {icmpv6} \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "എല്ലാ IPv6 ICMP തരങ്ങളും അനുവദിക്കുക"
## ഔട്ട്ബൗണ്ട് ട്രെയ്സറൗട്ട് UDP പോർട്ടുകൾ അനുവദിക്കുക എന്നാൽ 500 PPS ആയി പരിമിതപ്പെടുത്തുക
udp dport 33434-33524 \
പരിധി നിരക്ക് 500/സെക്കൻഡ് \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "പെർമിറ്റ് ഔട്ട്ബൗണ്ട് UDP ട്രേസറൗട്ട് 500 PPS ആയി പരിമിതപ്പെടുത്തിയിരിക്കുന്നു"
## ഔട്ട്ബൗണ്ട് HTTP, HTTPS കണക്ഷനുകൾ അനുവദിക്കുക
tcp dport { http, https } ct പുതിയത് \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "ഔട്ട്ബൗണ്ട് HTTP, HTTPS കണക്ഷനുകൾ അനുവദിക്കുക"
## ഔട്ട്ബൗണ്ട് SMTP സമർപ്പണം അനുവദിക്കുക
tcp dport സമർപ്പണം CT സംസ്ഥാനം പുതിയത് \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "ഔട്ട്ബൗണ്ട് SMTP സമർപ്പിക്കൽ അനുവദിക്കുക"
## ഔട്ട്ബൗണ്ട് DNS അഭ്യർത്ഥനകൾ അനുവദിക്കുക
udp dport 53 \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "ഔട്ട്ബൗണ്ട് UDP DNS അഭ്യർത്ഥനകൾ അനുവദിക്കുക"
tcp dport 53 \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "ഔട്ട്ബൗണ്ട് TCP DNS അഭ്യർത്ഥനകൾ അനുവദിക്കുക"
## ഔട്ട്ബൗണ്ട് NTP അഭ്യർത്ഥനകൾ അനുവദിക്കുക
udp dport 123 \
കൗണ്ടർ \
സ്വീകരിക്കുക \
അഭിപ്രായം "ഔട്ട്ബൗണ്ട് NTP അഭ്യർത്ഥനകൾ അനുവദിക്കുക"
## പൊരുത്തപ്പെടാത്ത ട്രാഫിക്ക് ലോഗ് ചെയ്യുക എന്നാൽ ലോഗിംഗ് നിരക്ക് പരമാവധി 60 സന്ദേശങ്ങൾ/മിനിറ്റിൽ
## സമാനതകളില്ലാത്ത ട്രാഫിക്കിന് ഡിഫോൾട്ട് നയം ബാധകമാകും
പരിധി നിരക്ക് 60/ മിനിറ്റ് പൊട്ടിത്തെറി 100 പാക്കറ്റുകൾ \
ലോഗ് പ്രിഫിക്സ് "ഔട്ട് - ഡ്രോപ്പ്:" \
അഭിപ്രായം "ഏതെങ്കിലും പൊരുത്തപ്പെടാത്ത ട്രാഫിക് ലോഗ് ചെയ്യുക"
## സമാനതകളില്ലാത്ത ട്രാഫിക് എണ്ണുക
കൗണ്ടർ \
അഭിപ്രായം "ഏതെങ്കിലും സമാനതകളില്ലാത്ത ട്രാഫിക് എണ്ണുക"
}
}
# പ്രധാന NAT ഫിൽട്ടറിംഗ് പട്ടിക
പട്ടിക ഇനെറ്റ് നാറ്റ് {
# NAT ട്രാഫിക്ക് പ്രീ-റൂട്ടിംഗിനുള്ള നിയമങ്ങൾ
ചെയിൻ പ്രിറൂട്ടിംഗ് {
നാറ്റ് ഹുക്ക് ടൈപ്പ് ചെയ്യുക മുൻഗണന dstnat; നയം സ്വീകരിക്കുക
}
# റൂട്ടിംഗിന് ശേഷമുള്ള NAT ട്രാഫിക്കിനുള്ള നിയമങ്ങൾ
# ഫയർസോൺ പോസ്റ്റ്-റൂട്ടിംഗ് ശൃംഖലയ്ക്ക് മുമ്പായി ഈ പട്ടിക പ്രോസസ്സ് ചെയ്യുന്നു
ചെയിൻ പോസ്റ്റ്റൂട്ടിംഗ് {
ടൈപ്പ് നാറ്റ് ഹുക്ക് പോസ്റ്റ്റൂട്ടിംഗ് മുൻഗണന srcnat - 5; നയം സ്വീകരിക്കുക
}
}
പ്രവർത്തിക്കുന്ന Linux വിതരണത്തിനായി ഫയർവാൾ പ്രസക്തമായ സ്ഥലത്ത് സൂക്ഷിക്കണം. Debian/Ubuntu-ന് ഇത് /etc/nftables.conf ആണ്, RHEL-ന് ഇത് /etc/sysconfig/nftables.conf ആണ്.
ബൂട്ട് (ഇതിനകം ഇല്ലെങ്കിൽ) സജ്ജീകരിക്കുമ്പോൾ ആരംഭിക്കുന്നതിന് nftables.service കോൺഫിഗർ ചെയ്യേണ്ടതുണ്ട്:
systemctl nftables.service പ്രവർത്തനക്ഷമമാക്കുന്നു
ഫയർവാൾ ടെംപ്ലേറ്റിൽ എന്തെങ്കിലും മാറ്റങ്ങൾ വരുത്തുകയാണെങ്കിൽ, ചെക്ക് കമാൻഡ് പ്രവർത്തിപ്പിച്ച് വാക്യഘടന സാധൂകരിക്കാനാകും:
nft -f /path/to/nftables.conf -c
സെർവറിൽ പ്രവർത്തിക്കുന്ന റിലീസ് അനുസരിച്ച് ചില nftables ഫീച്ചറുകൾ ലഭ്യമായേക്കില്ല എന്നതിനാൽ ഫയർവാൾ വർക്കുകൾ പ്രതീക്ഷിക്കുന്നത് പോലെ സാധൂകരിക്കുന്നത് ഉറപ്പാക്കുക.
_______________________________________________________________
നിങ്ങൾ സ്വയം ഹോസ്റ്റ് ചെയ്ത സന്ദർഭത്തിൽ നിന്ന് ഫയർസോൺ ശേഖരിക്കുന്ന ടെലിമെട്രിയുടെ ഒരു അവലോകനവും അത് എങ്ങനെ പ്രവർത്തനരഹിതമാക്കാമെന്നും ഈ ഡോക്യുമെന്റ് അവതരിപ്പിക്കുന്നു.
ഫയർസോൺ ആശ്രയിക്കുന്നു ടെലിമെട്രിയിൽ ഞങ്ങളുടെ റോഡ്മാപ്പിന് മുൻഗണന നൽകാനും എഞ്ചിനീയറിംഗ് ഉറവിടങ്ങൾ ഒപ്റ്റിമൈസ് ചെയ്യാനും എല്ലാവർക്കുമായി ഫയർസോണിനെ മികച്ചതാക്കുന്നതിന്.
ഞങ്ങൾ ശേഖരിക്കുന്ന ടെലിമെട്രി ഇനിപ്പറയുന്ന ചോദ്യങ്ങൾക്ക് ഉത്തരം നൽകാൻ ലക്ഷ്യമിടുന്നു:
ഫയർസോണിൽ ടെലിമെട്രി ശേഖരിക്കുന്ന മൂന്ന് പ്രധാന സ്ഥലങ്ങളുണ്ട്:
ഈ മൂന്ന് സന്ദർഭങ്ങളിൽ ഓരോന്നിലും, മുകളിലെ വിഭാഗത്തിലെ ചോദ്യങ്ങൾക്ക് ഉത്തരം നൽകാൻ ആവശ്യമായ ഏറ്റവും കുറഞ്ഞ ഡാറ്റ ഞങ്ങൾ ക്യാപ്ചർ ചെയ്യുന്നു.
ഉൽപ്പന്ന അപ്ഡേറ്റുകൾ നിങ്ങൾ വ്യക്തമായി തിരഞ്ഞെടുത്താൽ മാത്രമേ അഡ്മിൻ ഇമെയിലുകൾ ശേഖരിക്കൂ. അല്ലെങ്കിൽ, വ്യക്തിപരമായി തിരിച്ചറിയാവുന്ന വിവരങ്ങളാണ് ഒരിക്കലും ശേഖരിച്ചു.
ഒരു സ്വകാര്യ കുബർനെറ്റസ് ക്ലസ്റ്ററിൽ പ്രവർത്തിക്കുന്ന PostHog ന്റെ സ്വയം ഹോസ്റ്റ് ചെയ്ത സന്ദർഭത്തിൽ Firezone ടെലിമെട്രി സംഭരിക്കുന്നു, Firezone ടീമിന് മാത്രമേ ആക്സസ് ചെയ്യാനാകൂ. നിങ്ങളുടെ ഫയർസോണിൽ നിന്ന് ഞങ്ങളുടെ ടെലിമെട്രി സെർവറിലേക്ക് അയച്ച ടെലിമെട്രി ഇവന്റിന്റെ ഒരു ഉദാഹരണം ഇതാ:
{
"ഐഡി": “0182272d-0b88-0000-d419-7b9a413713f1”,
"ടൈംസ്റ്റാമ്പ്": “2022-07-22T18:30:39.748000+00:00”,
"സംഭവം": “fz_http_started”,
"വ്യതിരിക്ത_ഐഡി": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"സ്വത്തുക്കൾ":{
“$geoip_city_name”: "ആഷ്ബേൺ",
“$geoip_continent_code”: "NA",
“$geoip_continent_name”: "വടക്കേ അമേരിക്ക",
“$geoip_country_code”: "യുഎസ്",
“$geoip_country_name”: "അമേരിക്ക",
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
“$geoip_subdivision_1_code”: "VA",
“$geoip_subdivision_1_name”: "വിർജീനിയ",
“$geoip_time_zone”: “അമേരിക്ക/ന്യൂയോർക്ക്”,
"$ip": "52.200.241.107",
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”: [
"ജിയോഐപി (3)"
],
"വ്യതിരിക്ത_ഐഡി": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "ലിനക്സ് 5.13.0",
"പതിപ്പ്": "0.4.6"
},
"Elements_chain": ""
}
കുറിപ്പ്
ഫയർസോൺ വികസന സംഘം ആശ്രയിക്കുന്നു എല്ലാവർക്കുമായി Firezone മികച്ചതാക്കുന്നതിന് ഉൽപ്പന്ന വിശകലനത്തിൽ. ടെലിമെട്രി പ്രവർത്തനക്ഷമമാക്കുന്നത് ഫയർസോണിന്റെ വികസനത്തിന് നിങ്ങൾക്ക് നൽകുന്ന ഏറ്റവും മൂല്യവത്തായ സംഭാവനയാണ്. ചില ഉപയോക്താക്കൾക്ക് ഉയർന്ന സ്വകാര്യത അല്ലെങ്കിൽ സുരക്ഷാ ആവശ്യകതകൾ ഉണ്ടെന്നും ടെലിമെട്രി മൊത്തത്തിൽ പ്രവർത്തനരഹിതമാക്കാൻ താൽപ്പര്യപ്പെടുന്നുവെന്നും ഞങ്ങൾ മനസ്സിലാക്കുന്നു. അത് നിങ്ങളാണെങ്കിൽ, വായന തുടരുക.
സ്ഥിരസ്ഥിതിയായി ടെലിമെട്രി പ്രവർത്തനക്ഷമമാക്കിയിരിക്കുന്നു. ഉൽപ്പന്ന ടെലിമെട്രി പൂർണ്ണമായും പ്രവർത്തനരഹിതമാക്കുന്നതിന്, ഇനിപ്പറയുന്ന കോൺഫിഗറേഷൻ ഓപ്ഷൻ /etc/firezone/firezone.rb-ൽ false ആയി സജ്ജീകരിക്കുകയും മാറ്റങ്ങൾ എടുക്കുന്നതിന് sudo firezone-ctl reconfigure പ്രവർത്തിപ്പിക്കുകയും ചെയ്യുക.
സ്ഥിരം['ഫയർസോൺ']['ടെലിമെട്രി']['പ്രാപ്തമാക്കി'] = തെറ്റായ
അത് എല്ലാ ഉൽപ്പന്ന ടെലിമെട്രിയും പൂർണ്ണമായും പ്രവർത്തനരഹിതമാക്കും.
ഹൈൽബൈറ്റുകൾ
9511 ക്വീൻസ് ഗാർഡ് സി.ടി.
ലോറൽ, എംഡി 20723
ഫോൺ: (732) 771-9995
ഇമെയിൽ: info@hailbytes.com