ເມນູ
ຄຳແນະນຳເທື່ອລະຂັ້ນຕອນສຳລັບການນຳໃຊ້ Halbytes VPN ກັບ Firezone GUI ແມ່ນມີໃຫ້ຢູ່ທີ່ນີ້.
ບໍລິຫານ: ການຕັ້ງຄ່າເຊີບເວີ instance ແມ່ນກ່ຽວຂ້ອງໂດຍກົງກັບສ່ວນນີ້.
ຄູ່ມືຜູ້ໃຊ້: ເອກະສານທີ່ເປັນປະໂຫຍດທີ່ສາມາດສອນທ່ານກ່ຽວກັບການນໍາໃຊ້ Firezone ແລະແກ້ໄຂບັນຫາທົ່ວໄປ. ຫຼັງຈາກເຊີບເວີຖືກນຳໃຊ້ຢ່າງສຳເລັດຜົນ, ໃຫ້ອ້າງອີງໃສ່ພາກນີ້.
Split Tunneling: ໃຊ້ VPN ເພື່ອສົ່ງການຈະລາຈອນໄປຫາຂອບເຂດ IP ສະເພາະເທົ່ານັ້ນ.
ບັນຊີຂາວ: ຕັ້ງທີ່ຢູ່ IP ຄົງທີ່ຂອງເຊີບເວີ VPN ເພື່ອໃຊ້ບັນຊີຂາວ.
Reverse Tunnels: ສ້າງ tunnels ລະ ຫວ່າງ peers ຫຼາຍ ຄົນ ໂດຍ ນໍາ ໃຊ້ reverse tunnels.
ພວກເຮົາຍິນດີທີ່ຈະຊ່ວຍທ່ານຖ້າຫາກວ່າທ່ານຕ້ອງການການຊ່ວຍເຫຼືອການຕິດຕັ້ງ, ການປັບແຕ່ງ, ຫຼືການນໍາໃຊ້ Halbytes VPN.
ກ່ອນທີ່ຜູ້ໃຊ້ສາມາດຜະລິດຫຼືດາວໂຫລດໄຟລ໌ການຕັ້ງຄ່າອຸປະກອນ, Firezone ສາມາດຖືກຕັ້ງຄ່າເພື່ອຮຽກຮ້ອງໃຫ້ມີການກວດສອບຄວາມຖືກຕ້ອງ. ຜູ້ໃຊ້ຍັງອາດຈະຈໍາເປັນຕ້ອງໄດ້ຮັບການກວດສອບເປັນໄລຍະແຕ່ລະໄລຍະເພື່ອຮັກສາການເຊື່ອມຕໍ່ VPN ຂອງເຂົາເຈົ້າມີການເຄື່ອນໄຫວ.
ເຖິງແມ່ນວ່າວິທີການເຂົ້າສູ່ລະບົບໃນຕອນຕົ້ນຂອງ Firezone ແມ່ນອີເມລ໌ ແລະລະຫັດຜ່ານໃນທ້ອງຖິ່ນ, ມັນຍັງສາມາດຖືກລວມເຂົ້າກັບຜູ້ໃຫ້ບໍລິການເອກະລັກ OpenID Connect (ODC) ທີ່ໄດ້ມາດຕະຖານ. ໃນປັດຈຸບັນຜູ້ໃຊ້ສາມາດເຂົ້າສູ່ລະບົບ Firezone ໂດຍໃຊ້ Okta, Google, Azure AD, ຫຼືຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ໃຫ້ບໍລິການສ່ວນຕົວຂອງເຂົາເຈົ້າ.
ປະສົມປະສານຜູ້ໃຫ້ບໍລິການ ODC ທົ່ວໄປ
ຕົວກໍານົດການກໍານົດທີ່ຕ້ອງການໂດຍ Firezone ເພື່ອອະນຸຍາດໃຫ້ SSO ນໍາໃຊ້ຜູ້ໃຫ້ບໍລິການ ODC ແມ່ນສະແດງຢູ່ໃນຕົວຢ່າງຂ້າງລຸ່ມນີ້. ຢູ່ /etc/firezone/firezone.rb, ທ່ານອາດຈະຊອກຫາໄຟລ໌ການຕັ້ງຄ່າ. ເປີດໃຊ້ firezone-ctl reconfigure ແລະ firezone-ctl restart ເພື່ອອັບເດດແອັບພລິເຄຊັນ ແລະມີຜົນກະທົບຂອງການປ່ຽນແປງ.
# ນີ້ແມ່ນຕົວຢ່າງທີ່ໃຊ້ Google ແລະ Okta ເປັນຜູ້ໃຫ້ບໍລິການ Identity SSO.
# ການຕັ້ງຄ່າ ODC ຫຼາຍສາມາດຖືກເພີ່ມໃສ່ໃນ Firezone ດຽວກັນ.
# Firezone ສາມາດປິດການໃຊ້ງານ VPN ຂອງຜູ້ໃຊ້ໄດ້ຖ້າມີຂໍ້ຜິດພາດທີ່ກວດພົບວ່າພະຍາຍາມ
# ເພື່ອໂຫຼດຂໍ້ມູນ access_token ຄືນໃໝ່. ນີ້ແມ່ນການຢັ້ງຢືນເພື່ອເຮັດວຽກສໍາລັບ Google, Okta, ແລະ
# Azure SSO ແລະຖືກໃຊ້ເພື່ອຕັດການເຊື່ອມຕໍ່ VPN ຂອງຜູ້ໃຊ້ໂດຍອັດຕະໂນມັດຖ້າພວກມັນຖືກລຶບອອກ
# ຈາກຜູ້ໃຫ້ບໍລິການ ODDC. ປ່ອຍໃຫ້ອັນນີ້ຖືກປິດໄວ້ຖ້າຜູ້ໃຫ້ບໍລິການ ODC ຂອງທ່ານ
# ມີບັນຫາການໂຫຼດໂທເຄັນການເຂົ້າເຖິງຄືນໃໝ່ ເນື່ອງຈາກມັນສາມາດລົບກວນ a
# ເຊດຊັນ VPN ຂອງຜູ້ໃຊ້.
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = false
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ ”,
client_secret: “ ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: "ລະຫັດ",
ຂອບເຂດ: "ໂປຣໄຟລ໌ອີເມວເປີດ",
ປ້າຍກຳກັບ: “Google”
},
okta: {
discovery_document_uri: “https:// /.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: "ລະຫັດ",
ຂອບເຂດ: “ການເປີດໂປຣໄຟລ໌ອີເມວ offline_access”,
ປ້າຍກຳກັບ: "Okta"
}
}
ການຕັ້ງຄ່າ config ຕໍ່ໄປນີ້ແມ່ນຈໍາເປັນສໍາລັບການລວມ:
ສໍາລັບຜູ້ໃຫ້ບໍລິການ ODC ແຕ່ລະ URL ທີ່ສວຍງາມທີ່ສອດຄ້ອງກັນແມ່ນຖືກສ້າງຂຶ້ນສໍາລັບການປ່ຽນເສັ້ນທາງໄປຫາ URL ການເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຫ້ບໍລິການທີ່ຖືກຕັ້ງຄ່າ. ຕົວຢ່າງ ODC config ຂ້າງເທິງ, URLs ແມ່ນ:
ຜູ້ໃຫ້ບໍລິການພວກເຮົາມີເອກະສານສໍາລັບ:
ຖ້າຜູ້ໃຫ້ບໍລິການຕົວຕົນຂອງທ່ານມີຕົວເຊື່ອມຕໍ່ OIDC ທົ່ວໄປແລະບໍ່ໄດ້ລະບຸໄວ້ຂ້າງເທິງ, ກະລຸນາໄປທີ່ເອກະສານຂອງເຂົາເຈົ້າສໍາລັບຂໍ້ມູນກ່ຽວກັບວິທີດຶງຂໍ້ມູນການຕັ້ງຄ່າທີ່ຈໍາເປັນ.
ການຕັ້ງຄ່າພາຍໃຕ້ການຕັ້ງຄ່າ / ຄວາມປອດໄພສາມາດໄດ້ຮັບການປ່ຽນແປງເພື່ອຮຽກຮ້ອງໃຫ້ມີການກວດສອບຄືນໃຫມ່ເປັນໄລຍະ. ນີ້ສາມາດຖືກນໍາໃຊ້ເພື່ອບັງຄັບໃຊ້ຂໍ້ກໍານົດທີ່ຜູ້ໃຊ້ເຂົ້າໄປໃນ Firezone ເປັນປະຈໍາເພື່ອສືບຕໍ່ເຊດຊັນ VPN ຂອງເຂົາເຈົ້າ.
ໄລຍະເວລາຂອງເຊດຊັນສາມາດຖືກຕັ້ງຄ່າໃຫ້ຢູ່ລະຫວ່າງໜຶ່ງຊົ່ວໂມງຫາເກົ້າສິບມື້. ໂດຍການຕັ້ງຄ່ານີ້ເປັນ Never, ທ່ານສາມາດເປີດໃຊ້ງານ VPN ໄດ້ທຸກເວລາ. ນີ້ແມ່ນມາດຕະຖານ.
ຜູ້ໃຊ້ຕ້ອງຢຸດເຊດຊັນ VPN ຂອງເຂົາເຈົ້າ ແລະເຂົ້າສູ່ລະບົບ Firezone portal ເພື່ອພິສູດຢືນຢັນເຊສຊັນ VPN ທີ່ໝົດອາຍຸແລ້ວຄືນໃໝ່ (URL ທີ່ລະບຸໃນລະຫວ່າງການນຳໃຊ້).
ທ່ານສາມາດຢັ້ງຢືນເຊດຊັນຂອງທ່ານຄືນໃໝ່ໄດ້ໂດຍການປະຕິບັດຕາມຄໍາແນະນໍາຂອງລູກຄ້າທີ່ຊັດເຈນທີ່ພົບເຫັນຢູ່ທີ່ນີ້.
ສະຖານະຂອງການເຊື່ອມຕໍ່ VPN
ຖັນຕາຕະລາງການເຊື່ອມຕໍ່ VPN ຂອງໜ້າຜູ້ໃຊ້ສະແດງສະຖານະການເຊື່ອມຕໍ່ຂອງຜູ້ໃຊ້. ນີ້ແມ່ນສະຖານະການເຊື່ອມຕໍ່:
ເປີດໃຊ້ງານ - ການເຊື່ອມຕໍ່ຖືກເປີດໃຊ້.
ປິດການໃຊ້ງານ – ການເຊື່ອມຕໍ່ຖືກປິດໃຊ້ງານໂດຍຜູ້ເບິ່ງແຍງລະບົບ ຫຼືການໂຫຼດຂໍ້ມູນຄືນໃໝ່ ODC ລົ້ມເຫລວ.
ໝົດອາຍຸ – ການເຊື່ອມຕໍ່ຖືກປິດການນຳໃຊ້ເນື່ອງຈາກການພິສູດຢືນຢັນໝົດອາຍຸ ຫຼືຜູ້ໃຊ້ບໍ່ໄດ້ເຂົ້າສູ່ລະບົບເປັນເທື່ອທຳອິດ.
ຜ່ານຕົວເຊື່ອມຕໍ່ ODC ທົ່ວໄປ, Firezone ເປີດໃຊ້ Single Sign-On (SSO) ດ້ວຍ Google Workspace ແລະ Cloud Identity. ຄູ່ມືນີ້ຈະສະແດງໃຫ້ທ່ານຮູ້ວິທີການເອົາຕົວກໍານົດການກໍານົດໄວ້ຂ້າງລຸ່ມນີ້, ເຊິ່ງເປັນສິ່ງຈໍາເປັນສໍາລັບການລວມ:
1. ໜ້າຈໍກຳນົດຄ່າ OAuth'' '"
ຖ້ານີ້ແມ່ນຄັ້ງທຳອິດທີ່ທ່ານກຳລັງສ້າງລະຫັດລູກຄ້າ OAuth ໃໝ່, ທ່ານຈະຖືກຖາມໃຫ້ກຳນົດຄ່າໜ້າຈໍການຍິນຍອມ.
*ເລືອກພາຍໃນສຳລັບປະເພດຜູ້ໃຊ້. ນີ້ຮັບປະກັນພຽງແຕ່ບັນຊີທີ່ເປັນຂອງຜູ້ໃຊ້ຢູ່ໃນອົງການ Google Workspace ຂອງທ່ານສາມາດສ້າງການຕັ້ງຄ່າອຸປະກອນໄດ້. ຢ່າເລືອກພາຍນອກເວັ້ນເສຍແຕ່ວ່າທ່ານຕ້ອງການເປີດໃຊ້ໃຜທີ່ມີບັນຊີ Google ທີ່ຖືກຕ້ອງເພື່ອສ້າງການຕັ້ງຄ່າອຸປະກອນ.
ໃນໜ້າຈໍຂໍ້ມູນແອັບ:
2. ສ້າງ OAuth Client IDs'' '"
ພາກສ່ວນນີ້ແມ່ນອີງໃສ່ເອກະສານຂອງຕົນເອງຂອງ Google ກ່ຽວກັບ ຕັ້ງຄ່າ OAuth 2.0.
ເຂົ້າເບິ່ງ Google Cloud Console ໜ້າຂໍ້ມູນປະຈຳຕົວ ຫນ້າ, ຄລິກ + ສ້າງຂໍ້ມູນປະຈໍາຕົວ ແລະເລືອກ OAuth client ID.
ໃນໜ້າຈໍການສ້າງ ID ລູກຄ້າ OAuth:
ຫຼັງຈາກສ້າງ ID ລູກຄ້າ OAuth, ທ່ານຈະໄດ້ຮັບ ID ລູກຄ້າ ແລະ Client Secret. ເຫຼົ່ານີ້ຈະຖືກນໍາໃຊ້ຮ່ວມກັນກັບການປ່ຽນເສັ້ນທາງ URI ໃນຂັ້ນຕອນຕໍ່ໄປ.
ດັດແກ້ /etc/firezone/firezone.rb ເພື່ອປະກອບມີທາງເລືອກຂ້າງລຸ່ມນີ້:
# ການນໍາໃຊ້ Google ເປັນຜູ້ໃຫ້ບໍລິການຕົວຕົນ SSO
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ ”,
client_secret: “ ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: "ລະຫັດ",
ຂອບເຂດ: "ໂປຣໄຟລ໌ອີເມວເປີດ",
ປ້າຍກຳກັບ: “Google”
}
}
ເປີດໃຊ້ firezone-ctl reconfigure ແລະ firezone-ctl restart ເພື່ອອັບເດດແອັບພລິເຄຊັນ. ຕອນນີ້ເຈົ້າຄວນຈະເຫັນປຸ່ມເຂົ້າສູ່ລະບົບດ້ວຍ Google ຢູ່ URL Firezone ຮາກ.
Firezone ໃຊ້ຕົວເຊື່ອມຕໍ່ ODC ທົ່ວໄປເພື່ອອໍານວຍຄວາມສະດວກໃນການເຂົ້າສູ່ລະບົບດຽວ (SSO) ກັບ Okta. tutorial ນີ້ຈະສະແດງໃຫ້ທ່ານວິທີການໄດ້ຮັບຕົວກໍານົດການຕັ້ງຄ່າທີ່ລະບຸໄວ້ຂ້າງລຸ່ມນີ້, ທີ່ຈໍາເປັນສໍາລັບການເຊື່ອມໂຍງ:
ສ່ວນຄູ່ມືນີ້ແມ່ນອີງໃສ່ ເອກະສານຂອງ Okta.
ໃນ Admin Console, ໄປທີ່ Applications > Applications ແລະຄລິກ Create App Integration. ຕັ້ງຄ່າວິທີການເຂົ້າສູ່ລະບົບເປັນ OICD – OpenID Connect ແລະປະເພດແອັບພລິເຄຊັນໃຫ້ກັບແອັບພລິເຄຊັນເວັບ.
ຕັ້ງຄ່າການຕັ້ງຄ່າເຫຼົ່ານີ້:
ເມື່ອການຕັ້ງຄ່າຖືກບັນທຶກ, ທ່ານຈະໄດ້ຮັບ ID ລູກຄ້າ, ຄວາມລັບຂອງລູກຄ້າ, ແລະໂດເມນ Okta. 3 ຄ່າເຫຼົ່ານີ້ຈະຖືກໃຊ້ໃນຂັ້ນຕອນທີ 2 ເພື່ອກຳນົດຄ່າ Firezone.
ດັດແກ້ /etc/firezone/firezone.rb ເພື່ອປະກອບມີທາງເລືອກຂ້າງລຸ່ມນີ້. ຂອງເຈົ້າ discovery_document_url ຈະເປັນ /.well-known/openid-configuration ຕື່ມໃສ່ໃນຕອນທ້າຍຂອງທ່ານ okta_domain.
# ການນໍາໃຊ້ Okta ເປັນຜູ້ໃຫ້ບໍລິການຕົວຕົນ SSO
default['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri: “https:// /.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: "ລະຫັດ",
ຂອບເຂດ: “ການເປີດໂປຣໄຟລ໌ອີເມວ offline_access”,
ປ້າຍກຳກັບ: "Okta"
}
}
ເປີດໃຊ້ firezone-ctl reconfigure ແລະ firezone-ctl restart ເພື່ອອັບເດດແອັບພລິເຄຊັນ. ຕອນນີ້ເຈົ້າຄວນຈະເຫັນປຸ່ມເຂົ້າສູ່ລະບົບດ້ວຍປຸ່ມ Okta ຢູ່ URL Firezone ຮາກ.
ຜູ້ໃຊ້ທີ່ສາມາດເຂົ້າເຖິງແອັບຯ Firezone ສາມາດຖືກຈໍາກັດໂດຍ Okta. ໄປທີ່ໜ້າການມອບໝາຍຂອງ Firezone App Integration ຂອງ Okta Admin Console ຂອງທ່ານເພື່ອເຮັດສິ່ງນີ້.
ຜ່ານຕົວເຊື່ອມຕໍ່ ODC ທົ່ວໄປ, Firezone ເປີດໃຊ້ Single Sign-On (SSO) ດ້ວຍ Azure Active Directory. ຄູ່ມືນີ້ຈະສະແດງໃຫ້ທ່ານວິທີການໄດ້ຮັບຕົວກໍານົດການຕັ້ງຄ່າທີ່ລະບຸໄວ້ຂ້າງລຸ່ມນີ້, ທີ່ຈໍາເປັນສໍາລັບການເຊື່ອມໂຍງ:
ຄູ່ມືນີ້ແມ່ນໄດ້ມາຈາກ Azure Active Directory Docs.
ໄປທີ່ຫນ້າ Azure Active Directory ຂອງປະຕູ Azure. ເລືອກຕົວເລືອກເມນູຈັດການ, ເລືອກການລົງທະບຽນໃໝ່, ຈາກນັ້ນລົງທະບຽນໂດຍການໃຫ້ຂໍ້ມູນຂ້າງລຸ່ມນີ້:
ຫຼັງຈາກການລົງທະບຽນ, ເປີດເບິ່ງລາຍລະອຽດຂອງຄໍາຮ້ອງສະຫມັກແລະສໍາເນົາເອົາ ID ແອັບພລິເຄຊັນ (ລູກຄ້າ).. ອັນນີ້ຈະເປັນຄ່າ client_id. ຕໍ່ໄປ, ເປີດເມນູຈຸດສິ້ນສຸດເພື່ອດຶງຂໍ້ມູນ OpenID Connect ເອກະສານ metadata. ອັນນີ້ຈະເປັນຄ່າ discovery_document_uri.
ສ້າງຄວາມລັບຂອງລູກຄ້າໃຫມ່ໂດຍການຄລິກໃສ່ທາງເລືອກໃບຢັ້ງຢືນ & ຄວາມລັບພາຍໃຕ້ເມນູຈັດການ. ຄັດລອກຄວາມລັບຂອງລູກຄ້າ; ຄ່າລັບຂອງລູກຄ້າຈະເປັນອັນນີ້.
ສຸດທ້າຍ, ເລືອກການເຊື່ອມຕໍ່ການອະນຸຍາດ API ພາຍໃຕ້ເມນູ Manage, ຄລິກ ເພີ່ມການອະນຸຍາດ, ແລະເລືອກເອົາ Microsoft Graph. ຕື່ມ ອີເມວ, OpenID, offline_access ແລະ ຂໍ້ມູນ ການອະນຸຍາດທີ່ຕ້ອງການ.
ດັດແກ້ /etc/firezone/firezone.rb ເພື່ອປະກອບມີທາງເລືອກຂ້າງລຸ່ມນີ້:
# ການນໍາໃຊ້ Azure Active Directory ເປັນຜູ້ໃຫ້ບໍລິການຕົວຕົນ SSO
default['firezone']['authentication']['oidc'] = {
ສີຟ້າສົດ: {
discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
response_type: "ລະຫັດ",
ຂອບເຂດ: “ການເປີດໂປຣໄຟລ໌ອີເມວ offline_access”,
ປ້າຍກຳກັບ: "Azure"
}
}
ເປີດໃຊ້ firezone-ctl reconfigure ແລະ firezone-ctl restart ເພື່ອອັບເດດແອັບພລິເຄຊັນ. ໃນປັດຈຸບັນທ່ານຄວນເຫັນປຸ່ມເຂົ້າສູ່ລະບົບດ້ວຍ Azure ຢູ່ URL Firezone ຮາກ.
Azure AD ຊ່ວຍໃຫ້ຜູ້ບໍລິຫານສາມາດຈໍາກັດການເຂົ້າເຖິງ app ກັບກຸ່ມຜູ້ໃຊ້ສະເພາະພາຍໃນບໍລິສັດຂອງທ່ານ. ຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບວິທີການເຮັດນີ້ສາມາດພົບໄດ້ໃນເອກະສານຂອງ Microsoft.
Chef Omnibus ຖືກໃຊ້ໂດຍ Firezone ເພື່ອຈັດການວຽກງານລວມທັງການຫຸ້ມຫໍ່ການປ່ອຍ, ການເບິ່ງແຍງຂະບວນການ, ການຈັດການບັນທຶກ, ແລະອື່ນໆ.
ລະຫັດ Ruby ສ້າງໄຟລ໌ການຕັ້ງຄ່າຕົ້ນຕໍ, ເຊິ່ງຕັ້ງຢູ່ /etc/firezone/firezone.rb. restarting sudo firezone-ctl reconfigure ຫຼັງຈາກການດັດແປງໄຟລ໌ນີ້ເຮັດໃຫ້ Chef ຮັບຮູ້ການປ່ຽນແປງແລະນໍາໃຊ້ພວກມັນກັບລະບົບປະຕິບັດການໃນປະຈຸບັນ.
ເບິ່ງການອ້າງອີງໄຟລ໌ການຕັ້ງຄ່າສໍາລັບບັນຊີລາຍຊື່ຄົບຖ້ວນຂອງຕົວແປການຕັ້ງຄ່າແລະຄໍາອະທິບາຍຂອງມັນ.
ຕົວຢ່າງ Firezone ຂອງທ່ານສາມາດຈັດການໄດ້ໂດຍຜ່ານ firezone-ctl ຄໍາສັ່ງ, ດັ່ງທີ່ສະແດງຂ້າງລຸ່ມນີ້. ຄໍາສັ່ງຍ່ອຍສ່ວນໃຫຍ່ຕ້ອງການຄໍານໍາຫນ້າດ້ວຍ sudo.
root@demo:~# firezone-ctl
omnibus-ctl: ຄໍາສັ່ງ (ຄໍາສັ່ງຍ່ອຍ)
ຄໍາສັ່ງທົ່ວໄປ:
ເຮັດຄວາມສະອາດ
ລຶບຂໍ້ມູນ *ທັງໝົດ* firezone, ແລະເລີ່ມຈາກຈຸດເລີ່ມຕົ້ນ.
create-or-reset-admin
ຣີເຊັດລະຫັດຜ່ານສຳລັບຜູ້ເບິ່ງແຍງລະບົບດ້ວຍອີເມວທີ່ກຳນົດໄວ້ໂດຍຄ່າເລີ່ມຕົ້ນ['firezone']['admin_email'] ຫຼືສ້າງຜູ້ເບິ່ງແຍງລະບົບໃໝ່ຖ້າອີເມວນັ້ນບໍ່ມີຢູ່.
ຊ່ວຍເຫຼືອ
ພິມຂໍ້ຄວາມຊ່ວຍເຫຼືອນີ້.
ການ ກຳ ນົດຄືນ ໃໝ່
ຕັ້ງຄ່າແອັບພລິເຄຊັນຄືນໃໝ່.
ຕັ້ງຄ່າເຄືອຂ່າຍຄືນໃໝ່
ຣີເຊັດ nftables, WireGuard interface, ແລະຕາຕະລາງການກຳນົດເສັ້ນທາງກັບໄປເປັນຄ່າເລີ່ມຕົ້ນຂອງ Firezone.
show-config
ສະແດງການຕັ້ງຄ່າທີ່ຈະຖືກສ້າງຂຶ້ນໂດຍ reconfigure.
ເຄືອຂ່າຍ teardown
ເອົາສ່ວນຕິດຕໍ່ WireGuard ແລະຕາຕະລາງ firezone nftables.
force-cert-ຕໍ່ອາຍຸ
ບັງຄັບໃຫ້ຕໍ່ອາຍຸໃບຮັບຮອງດຽວນີ້ ເຖິງແມ່ນວ່າມັນບໍ່ໝົດອາຍຸກໍຕາມ.
stop-cert-ຕໍ່ອາຍຸ
ເອົາ cronjob ທີ່ຕໍ່ອາຍຸໃບຢັ້ງຢືນ.
ຖອນການຕິດຕັ້ງ
ຂ້າຂະບວນການທັງຫມົດແລະຖອນການຕິດຕັ້ງຜູ້ຄວບຄຸມຂະບວນການ (ຂໍ້ມູນຈະຖືກເກັບຮັກສາໄວ້).
ສະບັບພາສາ
ສະແດງ Firezone ເວີຊັນປັດຈຸບັນ
ຄໍາສັ່ງການຄຸ້ມຄອງການບໍລິການ:
graceful-ຂ້າ
ພະຍາຍາມຢຸດຢ່າງສະຫງ່າງາມ, ຈາກນັ້ນ SIGKILL ກຸ່ມຂະບວນການທັງໝົດ.
ຮື
ສົ່ງບໍລິການ HUP.
int
ສົ່ງການບໍລິການ INT.
ຂ້າ
ສົ່ງການບໍລິການຂ້າ.
ຄັ້ງຫນຶ່ງ
ເລີ່ມຕົ້ນການບໍລິການຖ້າພວກເຂົາຫຼຸດລົງ. ຢ່າປິດເປີດພວກມັນຄືນໃຫມ່ຖ້າພວກເຂົາຢຸດ.
ເລີ່ມຕົ້ນໃຫມ່
ຢຸດເຊົາການບໍລິການຖ້າພວກເຂົາກໍາລັງແລ່ນ, ຫຼັງຈາກນັ້ນເລີ່ມຕົ້ນອີກເທື່ອຫນຶ່ງ.
ບັນຊີລາຍຊື່ການບໍລິການ
ລາຍຊື່ການບໍລິການທັງໝົດ (ການບໍລິການທີ່ເປີດໃຫ້ປະກົດຂຶ້ນດ້ວຍ *.)
ການເລີ່ມຕົ້ນ
ເລີ່ມຕົ້ນການບໍລິການຖ້າພວກເຂົາລົ້ມລົງ, ແລະເລີ່ມຕົ້ນໃຫມ່ຖ້າພວກເຂົາຢຸດ.
ສະຖານະພາບ
ສະແດງສະຖານະຂອງບໍລິການທັງໝົດ.
ຢຸດ
ຢຸດເຊົາການບໍລິການ, ແລະບໍ່ restart ພວກມັນ.
ຫາງ
ສັງເກດເບິ່ງບັນທຶກການບໍລິການຂອງການບໍລິການທີ່ເປີດໃຊ້ທັງຫມົດ.
ໄລຍະ
ສົ່ງການບໍລິການຕາມເງື່ອນໄຂ.
usr1
ສົ່ງບໍລິການເປັນ USR1.
usr2
ສົ່ງບໍລິການເປັນ USR2.
ເຊດຊັນ VPN ທັງໝົດຕ້ອງຖືກປິດກ່ອນທີ່ຈະອັບເກຣດ Firezone, ເຊິ່ງຍັງຮຽກຮ້ອງໃຫ້ປິດ Web UI. ໃນກໍລະນີທີ່ມີບາງສິ່ງບາງຢ່າງຜິດພາດໃນລະຫວ່າງການຍົກລະດັບ, ພວກເຮົາແນະນໍາໃຫ້ຕັ້ງໄວ້ຫນຶ່ງຊົ່ວໂມງສໍາລັບການບໍາລຸງຮັກສາ.
ເພື່ອເພີ່ມ Firezone, ໃຫ້ປະຕິບັດດັ່ງຕໍ່ໄປນີ້:
ຖ້າມີບັນຫາໃດໆເກີດຂື້ນ, ກະລຸນາແຈ້ງໃຫ້ພວກເຮົາທາບໂດຍ ການຍື່ນສະເຫນີປີ້ສະຫນັບສະຫນູນ.
ມີການປ່ຽນແປງທີ່ແຕກຫັກເລັກນ້ອຍ ແລະການແກ້ໄຂການຕັ້ງຄ່າໃນ 0.5.0 ທີ່ຕ້ອງໄດ້ຮັບການແກ້ໄຂ. ຊອກຫາຂໍ້ມູນເພີ່ມເຕີມຂ້າງລຸ່ມນີ້.
Nginx ບໍ່ຮອງຮັບພາຣາມິເຕີພອດ SSL ແລະທີ່ບໍ່ແມ່ນ SSL ອີກຕໍ່ໄປຕາມເວີຊັນ 0.5.0. ເນື່ອງຈາກ Firezone ຕ້ອງການ SSL ເພື່ອເຮັດວຽກ, ພວກເຮົາແນະນຳໃຫ້ລຶບ bundle Nginx service ອອກໂດຍການຕັ້ງຄ່າຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['enabled'] = false ແລະ directing your reverse proxy to the Phoenix app on port 13000 ແທນ (ໂດຍຄ່າເລີ່ມຕົ້ນ ).
0.5.0 ແນະນຳການຮອງຮັບ ACME protocol ສຳລັບການຕໍ່ອາຍຸໃບຢັ້ງຢືນ SSL ໂດຍອັດຕະໂນມັດດ້ວຍການບໍລິການ Nginx ທີ່ຖືກມັດໄວ້. ເພື່ອເປີດໃຊ້ງານ,
ຄວາມເປັນໄປໄດ້ທີ່ຈະເພີ່ມກົດລະບຽບທີ່ມີຈຸດຫມາຍປາຍທາງທີ່ຊ້ໍາກັນແມ່ນຫມົດໄປໃນ Firezone 0.5.0. script ການເຄື່ອນຍ້າຍຂອງພວກເຮົາຈະຮັບຮູ້ສະຖານະການເຫຼົ່ານີ້ໂດຍອັດຕະໂນມັດໃນລະຫວ່າງການຍົກລະດັບເປັນ 0.5.0 ແລະພຽງແຕ່ຮັກສາກົດລະບຽບທີ່ມີຈຸດຫມາຍປາຍທາງລວມເຖິງກົດລະບຽບອື່ນໆ. ບໍ່ມີຫຍັງທີ່ເຈົ້າຕ້ອງເຮັດຖ້າອັນນີ້ດີ.
ຖ້າບໍ່ດັ່ງນັ້ນ, ກ່ອນທີ່ຈະຍົກລະດັບ, ພວກເຮົາແນະນໍາໃຫ້ປ່ຽນກົດລະບຽບຂອງທ່ານເພື່ອກໍາຈັດສະຖານະການເຫຼົ່ານີ້.
Firezone 0.5.0 ຖອນການຮອງຮັບການກຳນົດຄ່າ Okta ແລະ Google SSO ແບບເກົ່າອອກເພື່ອຮອງຮັບການກຳນົດຄ່າໃໝ່ທີ່ອີງໃສ່ ODC ທີ່ມີຄວາມຍືດຫຍຸ່ນກວ່າ.
ຖ້າທ່ານມີການຕັ້ງຄ່າໃດໆພາຍໃຕ້ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['okta'] ຫຼື default['firezone']['authentication']['google'] keys, ທ່ານຈໍາເປັນຕ້ອງໂອນຍ້າຍສິ່ງເຫຼົ່ານີ້ໄປຫາ OIDC ຂອງພວກເຮົາ. -based configuration ໂດຍໃຊ້ຄູ່ມືຂ້າງລຸ່ມນີ້.
ການຕັ້ງຄ່າ Google OAuth ທີ່ມີຢູ່ແລ້ວ
ເອົາເສັ້ນເຫຼົ່ານີ້ທີ່ມີການຕັ້ງຄ່າ Google OAuth ເກົ່າອອກຈາກໄຟລ໌ການຕັ້ງຄ່າຂອງທ່ານຢູ່ທີ່ /etc/firezone/firezone.rb
ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['google']['enabled']
ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['google']['client_id']
ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['google']['client_secret']
ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['google']['redirect_uri']
ຈາກນັ້ນ, ຕັ້ງຄ່າ Google ເປັນຜູ້ໃຫ້ບໍລິການ ODC ໂດຍປະຕິບັດຕາມຂັ້ນຕອນທີ່ນີ້.
(ໃຫ້ຄໍາແນະນໍາກ່ຽວກັບການເຊື່ອມຕໍ່)<<<<<<<<<<<<<<
ຕັ້ງຄ່າ Google OAuth ທີ່ມີຢູ່ແລ້ວ
ເອົາເສັ້ນເຫຼົ່ານີ້ທີ່ມີການຕັ້ງຄ່າ Okta OAuth ເກົ່າອອກຈາກໄຟລ໌ການຕັ້ງຄ່າຂອງທ່ານຢູ່ທີ່ /etc/firezone/firezone.rb
ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['okta']['enabled']
ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['okta']['client_id']
ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['okta']['client_secret']
ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['okta']['site']
ຈາກນັ້ນ, ຕັ້ງຄ່າ Okta ເປັນຜູ້ໃຫ້ບໍລິການ ODC ໂດຍປະຕິບັດຕາມຂັ້ນຕອນທີ່ນີ້.
ອີງຕາມການຕັ້ງຄ່າ ແລະເວີຊັນປັດຈຸບັນຂອງທ່ານ, ປະຕິບັດຕາມຄຳແນະນຳຂ້າງລຸ່ມນີ້:
ຖ້າທ່ານມີການເຊື່ອມໂຍງ ODC ແລ້ວ:
ສໍາລັບຜູ້ໃຫ້ບໍລິການ ODC ບາງອັນ, ການອັບເກຣດເປັນ >= 0.3.16 ຈໍາເປັນຕ້ອງໄດ້ຮັບ token ໂຫຼດຫນ້າຈໍຄືນສໍາລັບຂອບເຂດການເຂົ້າເຖິງອອຟໄລ. ໂດຍການເຮັດອັນນີ້, ມັນແນ່ໃຈວ່າ Firezone ອັບເດດກັບຜູ້ໃຫ້ບໍລິການຕົວຕົນ ແລະການເຊື່ອມຕໍ່ VPN ນັ້ນຖືກປິດຫຼັງຈາກຜູ້ໃຊ້ຖືກລຶບ. ການຊໍ້າຄືນກ່ອນໜ້ານີ້ຂອງ Firezone ຂາດຄຸນສົມບັດນີ້. ໃນບາງກໍລະນີ, ຜູ້ໃຊ້ທີ່ຖືກລຶບອອກຈາກຕົວຕົນຂອງເຈົ້າອາດຈະຍັງເຊື່ອມຕໍ່ກັບ VPN.
ມັນເປັນສິ່ງຈໍາເປັນທີ່ຈະລວມເອົາການເຂົ້າເຖິງອອຟໄລໃນພາລາມິເຕີຂອບເຂດຂອງການຕັ້ງຄ່າ ODC ຂອງທ່ານສໍາລັບຜູ້ໃຫ້ບໍລິການ ODC ທີ່ສະຫນັບສະຫນູນຂອບເຂດການເຂົ້າເຖິງອອຟໄລ. Firezone-ctl reconfigure ຕ້ອງໄດ້ຮັບການປະຕິບັດເພື່ອນໍາໃຊ້ການປ່ຽນແປງກັບໄຟລ໌ການຕັ້ງຄ່າ Firezone, ເຊິ່ງຕັ້ງຢູ່ /etc/firezone/firezone.rb.
ສໍາລັບຜູ້ໃຊ້ທີ່ໄດ້ຮັບການພິສູດຢືນຢັນໂດຍຜູ້ໃຫ້ບໍລິການ OIDC ຂອງທ່ານ, ທ່ານຈະເຫັນການເຊື່ອມຕໍ່ ODC ຢູ່ໃນຫນ້າລາຍລະອຽດຜູ້ໃຊ້ຂອງ web UI ຖ້າ Firezone ສາມາດດຶງຄືນ token ໂຫຼດຫນ້າຈໍຄືນໄດ້.
ຖ້າອັນນີ້ໃຊ້ບໍ່ໄດ້, ເຈົ້າຈະຕ້ອງລຶບແອັບ OAuth ທີ່ມີຢູ່ແລ້ວຂອງເຈົ້າອອກ ແລະເຮັດຂັ້ນຕອນການຕັ້ງຄ່າ ODC ຄືນໃໝ່ເພື່ອ ສ້າງການເຊື່ອມໂຍງແອັບຯໃຫມ່ .
ຂ້ອຍມີການເຊື່ອມໂຍງ OAuth ທີ່ມີຢູ່ແລ້ວ
ກ່ອນໜ້າ 0.3.11, Firezone ໄດ້ໃຊ້ຜູ້ໃຫ້ບໍລິການ OAuth2 ທີ່ກຳນົດຄ່າລ່ວງໜ້າແລ້ວ.
ປະຕິບັດຕາມ ຄຳ ແນະ ນຳ ທີ່ນີ້ ການເຄື່ອນຍ້າຍໄປ OIDC.
ຂ້ອຍບໍ່ໄດ້ລວມຕົວຜູ້ໃຫ້ບໍລິການ
ບໍ່ ຈຳ ເປັນຕ້ອງ ດຳ ເນີນການຫຍັງ.
ທ່ານສາມາດປະຕິບັດຕາມຄໍາແນະນໍາ ທີ່ນີ້ ເພື່ອເປີດໃຊ້ SSO ຜ່ານຜູ້ໃຫ້ບໍລິການ ODDC.
ໃນສະຖານທີ່ຂອງມັນ, ຄ່າເລີ່ມຕົ້ນ['firezone']['external url'] ໄດ້ປ່ຽນແທນຕົວເລືອກການຕັ້ງຄ່າເລີ່ມຕົ້ນ['firezone']['fqdn'].
ຕັ້ງຄ່ານີ້ເປັນ URL ຂອງປະຕູອອນໄລນ໌ Firezone ຂອງທ່ານທີ່ສາມາດເຂົ້າເຖິງສາທາລະນະທົ່ວໄປ. ມັນຈະເປັນຄ່າເລີ່ມຕົ້ນເປັນ https:// ບວກ FQDN ຂອງເຊີບເວີຂອງທ່ານຖ້າປະໄວ້ໂດຍບໍ່ໄດ້ກໍານົດ.
ໄຟລ໌ການຕັ້ງຄ່າແມ່ນຢູ່ທີ່ /etc/firezone/firezone.rb. ເບິ່ງການອ້າງອີງໄຟລ໌ການຕັ້ງຄ່າສໍາລັບບັນຊີລາຍຊື່ຄົບຖ້ວນຂອງຕົວແປການຕັ້ງຄ່າແລະຄໍາອະທິບາຍຂອງມັນ.
Firezone ຈະບໍ່ຮັກສາກະແຈສ່ວນຕົວຂອງອຸປະກອນໄວ້ໃນເຊີບເວີ Firezone ຕັ້ງແຕ່ລຸ້ນ 0.3.0.
Firezone Web UI ຈະບໍ່ອະນຸຍາດໃຫ້ທ່ານດາວໂຫຼດຄືນໃໝ່ ຫຼືເບິ່ງການຕັ້ງຄ່າເຫຼົ່ານີ້, ແຕ່ອຸປະກອນທີ່ມີຢູ່ກ່ອນແລ້ວຄວນສືບຕໍ່ເຮັດວຽກຕາມທີ່ເປັນຢູ່.
ຖ້າທ່ານກໍາລັງອັບເກຣດຈາກ Firezone 0.1.x, ມີການປ່ຽນໄຟລ໌ການຕັ້ງຄ່າຈໍານວນຫນຶ່ງທີ່ຕ້ອງໄດ້ຮັບການແກ້ໄຂດ້ວຍຕົນເອງ.
ເພື່ອເຮັດໃຫ້ການດັດແກ້ທີ່ຈໍາເປັນຕໍ່ໄຟລ໌ /etc/firezone/firezone.rb ຂອງທ່ານ, ດໍາເນີນການຄໍາສັ່ງຂ້າງລຸ່ມນີ້ເປັນຮາກ.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl reconfigure
firezone-ctl restart
ການກວດສອບບັນທຶກ Firezone ເປັນຂັ້ນຕອນທໍາອິດທີ່ສະຫລາດສໍາລັບບັນຫາຕ່າງໆທີ່ສາມາດເກີດຂື້ນໄດ້.
ແລ່ນ sudo firezone-ctl tail ເພື່ອເບິ່ງບັນທຶກ Firezone.
ສ່ວນໃຫຍ່ຂອງບັນຫາການເຊື່ອມຕໍ່ກັບ Firezone ແມ່ນເກີດຂຶ້ນໂດຍ iptables ຫຼືກົດລະບຽບ nftables ທີ່ບໍ່ເຂົ້າກັນໄດ້. ທ່ານຕ້ອງໃຫ້ແນ່ໃຈວ່າກົດລະບຽບໃດໆທີ່ທ່ານມີຜົນບັງຄັບໃຊ້ບໍ່ໄດ້ຂັດກັບກົດລະບຽບ Firezone.
ໃຫ້ແນ່ໃຈວ່າລະບົບຕ່ອງໂສ້ FORWARD ອະນຸຍາດໃຫ້ແພັກເກັດຈາກລູກຄ້າ WireGuard ຂອງທ່ານໄປຫາສະຖານທີ່ທີ່ທ່ານຕ້ອງການທີ່ຈະປ່ອຍຜ່ານ Firezone ຖ້າການເຊື່ອມຕໍ່ອິນເຕີເນັດຂອງທ່ານຊຸດໂຊມລົງທຸກຄັ້ງທີ່ທ່ານເປີດໃຊ້ອຸໂມງ WireGuard ຂອງທ່ານ.
ນີ້ອາດຈະບັນລຸໄດ້ຖ້າທ່ານໃຊ້ ufw ໂດຍການຮັບປະກັນວ່ານະໂຍບາຍການກໍານົດເສັ້ນທາງເລີ່ມຕົ້ນແມ່ນອະນຸຍາດໃຫ້:
ubuntu@fz:~$ sudo ufw ເລີ່ມຕົ້ນອະນຸຍາດໃຫ້ເສັ້ນທາງ
ນະໂຍບາຍເສັ້ນທາງເລີ່ມຕົ້ນຖືກປ່ຽນເປັນ 'ອະນຸຍາດ'
(ໃຫ້ແນ່ໃຈວ່າຈະປັບປຸງກົດລະບຽບຂອງທ່ານຕາມຄວາມເຫມາະສົມ)
A ວ້າວ ສະຖານະຂອງເຊີບເວີ Firezone ປົກກະຕິອາດຈະມີລັກສະນະນີ້:
ubuntu@fz:~$ sudo ufw ສະຖານະ verbose
ສະຖານະ: ເຄື່ອນໄຫວ
ບັນທຶກ: ເປີດ (ຕໍ່າ)
ຄ່າເລີ່ມຕົ້ນ: ປະຕິເສດ (ຂາເຂົ້າ), ອະນຸຍາດ (ຂາອອກ), ອະນຸຍາດ (ສົ່ງ)
ໂປຣໄຟລ໌ໃໝ່: ຂ້າມໄປ
ການປະຕິບັດຈາກ
——————
22/tcp ອະນຸຍາດໃນທຸກບ່ອນ
80/tcp ອະນຸຍາດໃນທຸກບ່ອນ
443/tcp ອະນຸຍາດໃນທຸກບ່ອນ
51820/udp ອະນຸຍາດໃນທຸກບ່ອນ
22/tcp (v6) ອະນຸຍາດໃນທຸກບ່ອນ (v6)
80/tcp (v6) ອະນຸຍາດໃນທຸກບ່ອນ (v6)
443/tcp (v6) ອະນຸຍາດໃນທຸກບ່ອນ (v6)
51820/udp (v6) ອະນຸຍາດໃນທຸກບ່ອນ (v6)
ພວກເຮົາແນະນຳໃຫ້ຈຳກັດການເຂົ້າເຖິງອິນເຕີເຟດເວັບສຳລັບການນຳໃຊ້ການຜະລິດທີ່ລະອຽດອ່ອນ ແລະສຳຄັນທີ່ສຸດ, ດັ່ງທີ່ໄດ້ອະທິບາຍໄວ້ຂ້າງລຸ່ມນີ້.
ການບໍລິການ | ພອດເລີ່ມຕົ້ນ | ຟັງທີ່ຢູ່ | ລາຍລະອຽດ |
Nginx | 80, 443 | ທັງຫມົດ | ພອດ HTTP(S) ສາທາລະນະສໍາລັບການຄຸ້ມຄອງ Firezone ແລະອໍານວຍຄວາມສະດວກໃນການກວດສອບຄວາມຖືກຕ້ອງ. |
ຊ່າງເຫຼັກ | 51820 | ທັງຫມົດ | ພອດ WireGuard ສາທາລະນະທີ່ໃຊ້ສໍາລັບເຊດຊັນ VPN. (UDP) |
postgresql | 15432 | 127.0.0.1 | ພອດທ້ອງຖິ່ນເທົ່ານັ້ນທີ່ໃຊ້ສໍາລັບເຄື່ອງແມ່ຂ່າຍ Postgresql ທີ່ຖືກມັດໄວ້. |
Phoenix | 13000 | 127.0.0.1 | ພອດທ້ອງຖິ່ນເທົ່ານັ້ນທີ່ໃຊ້ໂດຍເຊີບເວີແອັບ upstream elixir. |
ພວກເຮົາແນະນໍາໃຫ້ທ່ານຄິດກ່ຽວກັບການຈໍາກັດການເຂົ້າເຖິງ UI ເວັບໄຊຕ໌ທີ່ເປີດເຜີຍຕໍ່ສາທາລະນະຂອງ Firezone (ໂດຍພອດເລີ່ມຕົ້ນ 443/tcp ແລະ 80/tcp) ແລະແທນທີ່ຈະໃຊ້ອຸໂມງ WireGuard ເພື່ອຈັດການ Firezone ສໍາລັບການຜະລິດແລະການນໍາໄປໃຊ້ສາທາລະນະທີ່ຜູ້ບໍລິຫານດຽວຈະຮັບຜິດຊອບ. ການສ້າງແລະແຈກຢາຍການຕັ້ງຄ່າອຸປະກອນໃຫ້ກັບຜູ້ໃຊ້ສຸດທ້າຍ.
ສໍາລັບຕົວຢ່າງ, ຖ້າຜູ້ເບິ່ງແຍງລະບົບສ້າງການຕັ້ງຄ່າອຸປະກອນແລະສ້າງອຸໂມງທີ່ມີທີ່ຢູ່ WireGuard ທ້ອງຖິ່ນ 10.3.2.2, ການຕັ້ງຄ່າ ufw ຕໍ່ໄປນີ້ຈະເຮັດໃຫ້ຜູ້ເບິ່ງແຍງລະບົບເຂົ້າເຖິງ Firezone web UI ໃນການໂຕ້ຕອບ wg-firezone ຂອງເຄື່ອງແມ່ຂ່າຍໂດຍໃຊ້ຄ່າເລີ່ມຕົ້ນ 10.3.2.1. ທີ່ຢູ່ອຸໂມງ:
root@demo:~# ສະຖານະ ufw verbose
ສະຖານະ: ເຄື່ອນໄຫວ
ບັນທຶກ: ເປີດ (ຕໍ່າ)
ຄ່າເລີ່ມຕົ້ນ: ປະຕິເສດ (ຂາເຂົ້າ), ອະນຸຍາດ (ຂາອອກ), ອະນຸຍາດ (ສົ່ງ)
ໂປຣໄຟລ໌ໃໝ່: ຂ້າມໄປ
ການປະຕິບັດຈາກ
——————
22/tcp ອະນຸຍາດໃນທຸກບ່ອນ
51820/udp ອະນຸຍາດໃນທຸກບ່ອນ
ບ່ອນໃດກໍໄດ້ອະນຸຍາດໃຫ້ຢູ່ໃນ 10.3.2.2
22/tcp (v6) ອະນຸຍາດໃນທຸກບ່ອນ (v6)
51820/udp (v6) ອະນຸຍາດໃນທຸກບ່ອນ (v6)
ນີ້ຈະປ່ອຍໃຫ້ພຽງແຕ່ 22/tcp ເປີດເຜີຍສໍາລັບການເຂົ້າເຖິງ SSH ເພື່ອຈັດການເຄື່ອງແມ່ຂ່າຍ (ທາງເລືອກ), ແລະ 51820/ປ ເປີດເຜີຍເພື່ອສ້າງຕັ້ງອຸໂມງ WireGuard.
Firezone ມັດເຄື່ອງແມ່ຂ່າຍ Postgresql ແລະການຈັບຄູ່ psql ຜົນປະໂຫຍດທີ່ສາມາດນໍາໃຊ້ຈາກ shell ທ້ອງຖິ່ນເຊັ່ນ:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
ນີ້ສາມາດເປັນປະໂຫຍດສໍາລັບຈຸດປະສົງ debugging.
ໜ້າວຽກທົ່ວໄປ:
ລາຍຊື່ຜູ້ໃຊ້ທັງໝົດ:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “ເລືອກ * ຈາກຜູ້ໃຊ້;”
ລາຍຊື່ອຸປະກອນທັງໝົດ:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “ເລືອກ * ຈາກອຸປະກອນ;”
ປ່ຽນບົດບາດຜູ້ໃຊ້:
ກໍານົດບົດບາດເປັນ 'admin' ຫຼື 'unprivileged':
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “ອັບເດດຜູ້ໃຊ້ SET role = 'admin' WHERE email = 'user@example.com';”
ການສໍາຮອງຂໍ້ມູນ:
ນອກຈາກນັ້ນ, ລວມມີໂຄງການ pg dump, ເຊິ່ງອາດຈະຖືກນໍາໃຊ້ເພື່ອເຮັດການສໍາຮອງຂໍ້ມູນປົກກະຕິຂອງຖານຂໍ້ມູນ. ປະຕິບັດລະຫັດຕໍ່ໄປນີ້ເພື່ອ dump ສໍາເນົາຂອງຖານຂໍ້ມູນໃນຮູບແບບການສອບຖາມ SQL ທົ່ວໄປ (ແທນທີ່ /path/to/backup.sql ກັບສະຖານທີ່ບ່ອນທີ່ໄຟລ໌ SQL ຄວນຖືກສ້າງ):
/opt/firezone/embedded/bin/pg_dump \
-U firezone \
-d firezone \
-h localhost \
-p 15432 > /path/to/backup.sql
ຫຼັງຈາກ Firezone ໄດ້ຖືກນຳໃຊ້ຢ່າງສຳເລັດຜົນ, ທ່ານຕ້ອງເພີ່ມຜູ້ໃຊ້ເພື່ອໃຫ້ເຂົາເຈົ້າເຂົ້າເຖິງເຄືອຂ່າຍຂອງທ່ານ. Web UI ຖືກໃຊ້ເພື່ອເຮັດສິ່ງນີ້.
ໂດຍການເລືອກປຸ່ມ "ເພີ່ມຜູ້ໃຊ້" ພາຍໃຕ້ / ຜູ້ໃຊ້, ທ່ານສາມາດເພີ່ມຜູ້ໃຊ້ໄດ້. ທ່ານຈະຕ້ອງໃຫ້ທີ່ຢູ່ອີເມວ ແລະລະຫັດຜ່ານໃຫ້ກັບຜູ້ໃຊ້. ເພື່ອອະນຸຍາດໃຫ້ເຂົ້າເຖິງຜູ້ໃຊ້ໃນອົງກອນຂອງທ່ານໂດຍອັດຕະໂນມັດ, Firezone ຍັງສາມາດໂຕ້ຕອບ ແລະຊິງຄ໌ກັບຜູ້ໃຫ້ບໍລິການຕົວຕົນໄດ້. ລາຍລະອຽດເພີ່ມເຕີມມີຢູ່ໃນ ຮັບຮອງ. < ເພີ່ມລິ້ງເພື່ອພິສູດຢືນຢັນ
ພວກເຮົາແນະນໍາການຮ້ອງຂໍໃຫ້ຜູ້ໃຊ້ສ້າງການຕັ້ງຄ່າອຸປະກອນຂອງເຂົາເຈົ້າເອງເພື່ອໃຫ້ກະແຈສ່ວນຕົວເບິ່ງເຫັນໄດ້ພຽງແຕ່ໃຫ້ເຂົາເຈົ້າ. ຜູ້ໃຊ້ສາມາດສ້າງການຕັ້ງຄ່າອຸປະກອນຂອງຕົນເອງໂດຍການປະຕິບັດຕາມທິດທາງໃນ ຄໍາແນະນໍາຂອງລູກຄ້າ ຫນ້າ.
ການຕັ້ງຄ່າອຸປະກອນຜູ້ໃຊ້ທັງໝົດສາມາດສ້າງໄດ້ໂດຍຜູ້ເບິ່ງແຍງ Firezone. ໃນໜ້າໂປຣໄຟລ໌ຜູ້ໃຊ້ທີ່ຕັ້ງຢູ່ທີ່ /users, ເລືອກຕົວເລືອກ “ເພີ່ມອຸປະກອນ” ເພື່ອເຮັດສິ່ງນີ້ໃຫ້ສຳເລັດ.
[ໃສ່ຮູບໜ້າຈໍ]
ທ່ານສາມາດອີເມລຜູ້ໃຊ້ໄຟລ໌ການຕັ້ງຄ່າ WireGuard ຫຼັງຈາກການສ້າງຂໍ້ມູນອຸປະກອນ.
ຜູ້ໃຊ້ແລະອຸປະກອນຖືກເຊື່ອມຕໍ່. ສໍາລັບລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບວິທີການເພີ່ມຜູ້ໃຊ້, ເບິ່ງ ເພີ່ມຜູ້ໃຊ້.
ໂດຍຜ່ານການນໍາໃຊ້ລະບົບ netfilter ຂອງ kernel, Firezone ເປີດໃຊ້ຄວາມສາມາດການກັ່ນຕອງ egress ເພື່ອລະບຸແພັກເກັດ DROP ຫຼື ACCEPT. ປົກກະຕິການສັນຈອນທັງໝົດແມ່ນອະນຸຍາດ.
IPv4 ແລະ IPv6 CIDRs ແລະທີ່ຢູ່ IP ໄດ້ຮັບການສະຫນັບສະຫນູນຜ່ານ Allowlist ແລະ Denylist, ຕາມລໍາດັບ. ທ່ານສາມາດເລືອກຂອບເຂດກົດລະບຽບໃຫ້ກັບຜູ້ໃຊ້ເມື່ອເພີ່ມມັນ, ເຊິ່ງໃຊ້ກົດລະບຽບກັບທຸກອຸປະກອນຂອງຜູ້ໃຊ້ນັ້ນ.
ຕິດຕັ້ງແລະຕັ້ງຄ່າ
ເພື່ອສ້າງການເຊື່ອມຕໍ່ VPN ໂດຍໃຊ້ WireGuard client, ເບິ່ງຄູ່ມືນີ້.
ລູກຄ້າ WireGuard ຢ່າງເປັນທາງການທີ່ຕັ້ງຢູ່ທີ່ນີ້ແມ່ນເຂົ້າກັນໄດ້ກັບ Firezone:
ເຂົ້າເບິ່ງເວັບໄຊທ໌ທາງການຂອງ WireGuard ທີ່ https://www.wireguard.com/install/ ສໍາລັບລະບົບ OS ທີ່ບໍ່ໄດ້ກ່າວເຖິງຂ້າງເທິງ.
ທັງຜູ້ເບິ່ງແຍງລະບົບ Firezone ຂອງທ່ານ ຫຼືຕົວທ່ານເອງສາມາດສ້າງໄຟລ໌ການຕັ້ງຄ່າອຸປະກອນໂດຍໃຊ້ Firezone portal.
ເຂົ້າໄປທີ່ URL ຜູ້ເບິ່ງແຍງລະບົບ Firezone ຂອງທ່ານໄດ້ສະໜອງໃຫ້ເພື່ອສ້າງໄຟລ໌ການຕັ້ງຄ່າອຸປະກອນດ້ວຍຕົນເອງ. ບໍລິສັດຂອງທ່ານຈະມີ URL ທີ່ເປັນເອກະລັກສໍາລັບການນີ້; ໃນກໍລະນີນີ້, ມັນແມ່ນ https://instance-id.yourfirezone.com.
ເຂົ້າສູ່ລະບົບ Firezone Okta SSO
[ໃສ່ພາບຫນ້າຈໍ]
ນໍາເຂົ້າໄຟລ໌ the.conf ເຂົ້າໄປໃນລູກຄ້າ WireGuard ໂດຍການເປີດມັນ. ໂດຍການພິກປຸ່ມເປີດໃຊ້ງານ, ທ່ານສາມາດເລີ່ມເຊດຊັນ VPN ໄດ້.
[ໃສ່ພາບຫນ້າຈໍ]
ປະຕິບັດຕາມຄໍາແນະນໍາຂ້າງລຸ່ມນີ້ຖ້າຜູ້ເບິ່ງແຍງເຄືອຂ່າຍຂອງທ່ານໄດ້ກໍານົດການພິສູດຢືນຢັນແບບເກີດຂຶ້ນເລື້ອຍໆເພື່ອຮັກສາການເຊື່ອມຕໍ່ VPN ຂອງທ່ານ.
ທ່ານຈໍາເປັນຕ້ອງ:
URL ຂອງ Firezone portal: ຖາມຜູ້ເບິ່ງແຍງເຄືອຂ່າຍຂອງທ່ານສໍາລັບການເຊື່ອມຕໍ່.
ຜູ້ເບິ່ງແຍງເຄືອຂ່າຍຂອງທ່ານຄວນສາມາດສະເຫນີການເຂົ້າສູ່ລະບົບແລະລະຫັດຜ່ານຂອງທ່ານ. ເວັບໄຊ Firezone ຈະເຕືອນໃຫ້ທ່ານເຂົ້າສູ່ລະບົບດ້ວຍການບໍລິການເຂົ້າສູ່ລະບົບດຽວທີ່ນາຍຈ້າງຂອງທ່ານໃຊ້ (ເຊັ່ນ: Google ຫຼື Okta).
[ໃສ່ພາບຫນ້າຈໍ]
ໄປທີ່ URL ຂອງ Firezone portal ແລະເຂົ້າສູ່ລະບົບໂດຍໃຊ້ຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ເບິ່ງແຍງເຄືອຂ່າຍຂອງທ່ານໃຫ້. ຖ້າທ່ານໄດ້ເຂົ້າສູ່ລະບົບແລ້ວ, ໃຫ້ຄລິກໃສ່ປຸ່ມຢືນຢັນຄືນໃຫມ່ກ່ອນທີ່ຈະເຂົ້າສູ່ລະບົບຄືນ.
[ໃສ່ພາບຫນ້າຈໍ]
[ໃສ່ພາບຫນ້າຈໍ]
ເພື່ອນໍາເຂົ້າໂປຣໄຟລ໌ການຕັ້ງຄ່າ WireGuard ໂດຍໃຊ້ Network Manager CLI ໃນອຸປະກອນ Linux, ປະຕິບັດຕາມຄໍາແນະນໍາເຫຼົ່ານີ້ (nmcli).
ຖ້າໂປຣໄຟລ໌ມີການເປີດໃຊ້ການຮອງຮັບ IPv6, ການພະຍາຍາມນໍາເຂົ້າໄຟລ໌ການຕັ້ງຄ່າໂດຍໃຊ້ Network Manager GUI ອາດຈະລົ້ມເຫລວໂດຍມີຂໍ້ຜິດພາດຕໍ່ໄປນີ້:
ipv6.method: ວິທີການ “ອັດຕະໂນມັດ” ບໍ່ຮອງຮັບ WireGuard
ມັນເປັນສິ່ງຈໍາເປັນທີ່ຈະຕິດຕັ້ງ WireGuard userspace utilities. ນີ້ຈະເປັນຊຸດທີ່ເອີ້ນວ່າ wireguard ຫຼື wireguard-tools ສໍາລັບການແຈກຢາຍ Linux.
ສໍາລັບ Ubuntu / Debian:
sudo apt ຕິດຕັ້ງ wireguard
ການນໍາໃຊ້ Fedora:
sudo dnf ຕິດຕັ້ງ wireguard-tools
Arch Linux:
sudo pacman -S wireguard-tools
ເຂົ້າເບິ່ງເວັບໄຊທ໌ທາງການຂອງ WireGuard ທີ່ https://www.wireguard.com/install/ ສໍາລັບການແຈກຢາຍທີ່ບໍ່ໄດ້ກ່າວເຖິງຂ້າງເທິງ.
ຜູ້ເບິ່ງແຍງລະບົບ Firezone ຂອງທ່ານສາມາດສ້າງໄຟລ໌ການຕັ້ງຄ່າອຸປະກອນໂດຍໃຊ້ Firezone portal.
ເຂົ້າໄປທີ່ URL ຜູ້ເບິ່ງແຍງລະບົບ Firezone ຂອງທ່ານໄດ້ສະໜອງໃຫ້ເພື່ອສ້າງໄຟລ໌ການຕັ້ງຄ່າອຸປະກອນດ້ວຍຕົນເອງ. ບໍລິສັດຂອງທ່ານຈະມີ URL ທີ່ເປັນເອກະລັກສໍາລັບການນີ້; ໃນກໍລະນີນີ້, ມັນແມ່ນ https://instance-id.yourfirezone.com.
[ໃສ່ພາບຫນ້າຈໍ]
ນຳເຂົ້າໄຟລ໌ການຕັ້ງຄ່າທີ່ສະໜອງໃຫ້ໂດຍໃຊ້ nmcli:
ການເຊື່ອມຕໍ່ sudo nmcli ປະເພດການນໍາເຂົ້າໄຟລ໌ wireguard /path/to/configuration.conf
ຊື່ຂອງໄຟລ໌ການຕັ້ງຄ່າຈະກົງກັບ WireGuard ການເຊື່ອມຕໍ່ / ການໂຕ້ຕອບ. ຫຼັງຈາກການນໍາເຂົ້າ, ການເຊື່ອມຕໍ່ສາມາດຖືກປ່ຽນຊື່ຖ້າຈໍາເປັນ:
ການເຊື່ອມຕໍ່ nmcli ແກ້ໄຂ [ຊື່ເກົ່າ] connection.id [ຊື່ໃຫມ່]
ຜ່ານເສັ້ນຄໍາສັ່ງ, ເຊື່ອມຕໍ່ກັບ VPN ດັ່ງຕໍ່ໄປນີ້:
ການເຊື່ອມຕໍ່ nmcli ຂຶ້ນ [vpn name]
ເພື່ອຕັດການເຊື່ອມຕໍ່:
ການເຊື່ອມຕໍ່ nmcli ລົງ [vpn name]
applet Manager ເຄືອຂ່າຍທີ່ໃຊ້ໄດ້ຍັງສາມາດຖືກນໍາໃຊ້ເພື່ອຈັດການການເຊື່ອມຕໍ່ຖ້າໃຊ້ GUI.
ໂດຍການເລືອກ “ແມ່ນ” ສໍາລັບທາງເລືອກການເຊື່ອມຕໍ່ອັດຕະໂນມັດ, ການເຊື່ອມຕໍ່ VPN ສາມາດຖືກຕັ້ງຄ່າເພື່ອເຊື່ອມຕໍ່ອັດຕະໂນມັດ:
ການເຊື່ອມຕໍ່ nmcli ແກ້ໄຂການເຊື່ອມຕໍ່ [vpn name]. <<<<<<<<<<<<<<<<<<<<<
ເຊື່ອມຕໍ່ອັດຕະໂນມັດແມ່ນແລ້ວ
ເພື່ອປິດການເຊື່ອມຕໍ່ອັດຕະໂນມັດ, ຕັ້ງມັນກັບຄືນເປັນບໍ່:
ການເຊື່ອມຕໍ່ nmcli ແກ້ໄຂການເຊື່ອມຕໍ່ [vpn name].
autoconnect no
ເພື່ອເປີດໃຊ້ MFA ໄປທີ່ Firezone portal's /user account/register page mfa. ໃຊ້ແອັບ authenticator ຂອງທ່ານເພື່ອສະແກນລະຫັດ QR ຫຼັງຈາກທີ່ມັນຖືກສ້າງຂຶ້ນ, ຈາກນັ້ນໃສ່ລະຫັດຫົກຕົວເລກ.
ຕິດຕໍ່ຜູ້ເບິ່ງແຍງລະບົບຂອງທ່ານເພື່ອຣີເຊັດຂໍ້ມູນການເຂົ້າເຖິງບັນຊີຂອງທ່ານ ຖ້າທ່ານວາງແອັບຯຕົວພິສູດຢືນຢັນຜິດ.
ການສອນນີ້ຈະນໍາທ່ານຜ່ານຂັ້ນຕອນການຕັ້ງຄ່າຄຸນສົມບັດການເຈາະອຸໂມງແຍກຂອງ WireGuard ກັບ Firezone ເພື່ອໃຫ້ພຽງແຕ່ການຈະລາຈອນໄປຫາຊ່ວງ IP ສະເພາະເທົ່ານັ້ນທີ່ຖືກສົ່ງຕໍ່ຜ່ານເຊີບເວີ VPN.
ຊ່ວງ IP ທີ່ລູກຄ້າຈະສົ່ງເສັ້ນທາງການຈາລະຈອນເຄືອຂ່າຍຖືກຕັ້ງໄວ້ໃນຊ່ອງ IPs ທີ່ໄດ້ຮັບອະນຸຍາດຢູ່ໃນ / ການຕັ້ງຄ່າ / ຫນ້າເລີ່ມຕົ້ນ. ມີພຽງການກຳນົດຄ່າອຸໂມງ WireGuard ທີ່ສ້າງຂຶ້ນໃໝ່ທີ່ຜະລິດໂດຍ Firezone ເທົ່ານັ້ນທີ່ຈະໄດ້ຮັບຜົນກະທົບຈາກການປ່ຽນແປງໃນຊ່ອງຂໍ້ມູນນີ້.
[ໃສ່ພາບຫນ້າຈໍ]
ຄ່າເລີ່ມຕົ້ນແມ່ນ 0.0.0.0/0, ::/0, ເຊິ່ງສົ່ງການຈະລາຈອນເຄືອຂ່າຍທັງໝົດຈາກລູກຄ້າໄປຫາເຊີບເວີ VPN.
ຕົວຢ່າງຂອງຄ່າໃນຊ່ອງນີ້ປະກອບມີ:
0.0.0.0/0, ::/0 – ການຈະລາຈອນເຄືອຂ່າຍທັງໝົດຈະຖືກສົ່ງໄປຫາເຊີບເວີ VPN.
192.0.2.3/32 – ພຽງແຕ່ການຈະລາຈອນໄປຫາທີ່ຢູ່ IP ດຽວຈະຖືກສົ່ງໄປຫາເຊີບເວີ VPN.
3.5.140.0/22 – ພຽງແຕ່ການຈະລາຈອນໄປຫາ IPs ໃນໄລຍະ 3.5.140.1 – 3.5.143.254 ຈະຖືກນໍາທາງໄປຫາເຊີບເວີ VPN. ໃນຕົວຢ່າງນີ້, ຊ່ວງ CIDR ສໍາລັບພາກພື້ນ ap-northeast-2 AWS ໄດ້ຖືກນໍາໃຊ້.
Firezone ເລືອກສ່ວນຕິດຕໍ່ egress ທີ່ກ່ຽວຂ້ອງກັບເສັ້ນທາງທີ່ຊັດເຈນທີ່ສຸດກ່ອນເມື່ອກໍານົດບ່ອນທີ່ຈະສົ່ງຕໍ່ແພັກເກັດ.
ຜູ້ໃຊ້ຕ້ອງສ້າງໄຟລ໌ການຕັ້ງຄ່າຄືນໃຫມ່ແລະເພີ່ມພວກມັນໃສ່ລູກຄ້າ WireGuard ເດີມຂອງພວກເຂົາເພື່ອອັບເດດອຸປະກອນຜູ້ໃຊ້ທີ່ມີຢູ່ກັບການຕັ້ງຄ່າອຸໂມງແຍກໃຫມ່.
ສຳ ລັບ ຄຳ ແນະ ນຳ, ໃຫ້ເບິ່ງ ເພີ່ມອຸປະກອນ. <<<<<<<<<<<< ເພີ່ມລິ້ງ
ຄູ່ມືນີ້ຈະສະແດງວິທີການເຊື່ອມຕໍ່ສອງອຸປະກອນໂດຍໃຊ້ Firezone ເປັນການສົ່ງຕໍ່. ກໍລະນີການນໍາໃຊ້ປົກກະຕິອັນຫນຶ່ງແມ່ນເພື່ອໃຫ້ຜູ້ເບິ່ງແຍງລະບົບເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍ, ຕູ້ຄອນເທນເນີ, ຫຼືເຄື່ອງຈັກທີ່ຖືກປົກປ້ອງໂດຍ NAT ຫຼື firewall.
ຮູບຕົວຢ່າງນີ້ສະແດງໃຫ້ເຫັນສະຖານະການທີ່ກົງໄປກົງມາທີ່ອຸປະກອນ A ແລະ B ກໍ່ສ້າງອຸໂມງ.
[ໃສ່ຮູບສະຖາປັດຕະຍະກໍາ firezone]
ເລີ່ມຕົ້ນໂດຍການສ້າງອຸປະກອນ A ແລະອຸປະກອນ B ໂດຍການນໍາທາງໄປຫາ /users/[user_id]/new_device. ໃນການຕັ້ງຄ່າສໍາລັບແຕ່ລະອຸປະກອນ, ໃຫ້ແນ່ໃຈວ່າພາລາມິເຕີຕໍ່ໄປນີ້ຖືກຕັ້ງເປັນຄ່າທີ່ລະບຸໄວ້ຂ້າງລຸ່ມນີ້. ທ່ານສາມາດຕັ້ງຄ່າອຸປະກອນໃນເວລາສ້າງການຕັ້ງຄ່າອຸປະກອນ (ເບິ່ງເພີ່ມອຸປະກອນ). ຖ້າທ່ານຕ້ອງການອັບເດດການຕັ້ງຄ່າໃນອຸປະກອນທີ່ມີຢູ່ແລ້ວ, ທ່ານສາມາດເຮັດໄດ້ໂດຍການສ້າງການຕັ້ງຄ່າອຸປະກອນໃຫມ່.
ໃຫ້ສັງເກດວ່າອຸປະກອນທັງຫມົດມີຫນ້າ /settings/defaults ບ່ອນທີ່ PersistentKeepalive ສາມາດຖືກຕັ້ງຄ່າໄດ້.
AllowedIPs = 10.3.2.2/32
ນີ້ແມ່ນ IP ຫຼືໄລຍະຂອງ IP ຂອງອຸປະກອນ B
PersistentKeepalive = 25
ຖ້າອຸປະກອນຢູ່ເບື້ອງຫຼັງ NAT, ນີ້ຮັບປະກັນວ່າອຸປະກອນສາມາດຮັກສາອຸໂມງໄດ້ ແລະສືບຕໍ່ຮັບແພັກເກັດຈາກອິນເຕີເຟດ WireGuard. ປົກກະຕິແລ້ວຄ່າຂອງ 25 ແມ່ນພຽງພໍ, ແຕ່ທ່ານອາດຈະຕ້ອງຫຼຸດລົງມູນຄ່ານີ້ຂຶ້ນກັບສະພາບແວດລ້ອມຂອງທ່ານ.
AllowedIPs = 10.3.2.3/32
ນີ້ແມ່ນ IP ຫຼືຊ່ວງຂອງ IP ຂອງອຸປະກອນ A
PersistentKeepalive = 25
ຕົວຢ່າງນີ້ສະແດງໃຫ້ເຫັນສະຖານະການທີ່ອຸປະກອນ A ສາມາດສື່ສານກັບອຸປະກອນ B ຜ່ານ D ໃນທັງສອງທິດທາງ. ການຕິດຕັ້ງນີ້ສາມາດເປັນຕົວແທນຂອງວິສະວະກອນ ຫຼືຜູ້ບໍລິຫານທີ່ເຂົ້າເຖິງຊັບພະຍາກອນຈໍານວນຫລາຍ (ເຊີບເວີ, ຕູ້ຄອນເທນເນີ ຫຼືເຄື່ອງຈັກ) ໃນທົ່ວເຄືອຂ່າຍຕ່າງໆ.
[ແຜນວາດສະຖາປັດຕະຍະກໍາ]<<<<<<<<<<<<<<<<<<<<<
ໃຫ້ແນ່ໃຈວ່າການຕັ້ງຄ່າຕໍ່ໄປນີ້ແມ່ນເຮັດຢູ່ໃນການຕັ້ງຄ່າຂອງແຕ່ລະອຸປະກອນກັບຄ່າທີ່ສອດຄ້ອງກັນ. ເມື່ອສ້າງການຕັ້ງຄ່າອຸປະກອນ, ທ່ານສາມາດກໍານົດການຕັ້ງຄ່າອຸປະກອນ (ເບິ່ງເພີ່ມອຸປະກອນ). ສາມາດສ້າງການຕັ້ງຄ່າອຸປະກອນໃໝ່ໄດ້ ຖ້າການຕັ້ງຄ່າໃນອຸປະກອນທີ່ມີຢູ່ແລ້ວຕ້ອງການອັບເດດ.
AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
ນີ້ແມ່ນ IP ຂອງອຸປະກອນ B ຫາ D. IP ຂອງອຸປະກອນ B ຫາ D ຈະຕ້ອງຖືກລວມເຂົ້າຢູ່ໃນຂອບເຂດ IP ໃດໆກໍຕາມທີ່ທ່ານເລືອກຕັ້ງ.
PersistentKeepalive = 25
ນີ້ຮັບປະກັນວ່າອຸປະກອນສາມາດຮັກສາອຸໂມງແລະສືບຕໍ່ຮັບແພັກເກັດຈາກອິນເຕີເຟດ WireGuard ເຖິງແມ່ນວ່າມັນຖືກປົກປ້ອງໂດຍ NAT. ໃນກໍລະນີຫຼາຍທີ່ສຸດ, ມູນຄ່າຂອງ 25 ແມ່ນພຽງພໍ, ຢ່າງໃດກໍຕາມ, ອີງຕາມການອ້ອມຂ້າງຂອງທ່ານ, ທ່ານອາດຈະຈໍາເປັນຕ້ອງໄດ້ຫຼຸດລົງຕົວເລກນີ້.
ເພື່ອສະເຫນີ IP egress ດຽວ, static ສໍາລັບການຈະລາຈອນຂອງທີມງານຂອງທ່ານທັງຫມົດທີ່ຈະໄຫຼອອກຈາກ, Firezone ສາມາດຖືກນໍາໃຊ້ເປັນປະຕູ NAT. ສະຖານະການເຫຼົ່ານີ້ກ່ຽວຂ້ອງກັບການນໍາໃຊ້ເລື້ອຍໆຂອງມັນ:
ການມີສ່ວນພົວພັນທີ່ປຶກສາ: ຂໍໃຫ້ລູກຄ້າຂອງທ່ານໃສ່ບັນຊີຂາວທີ່ຢູ່ IP ແບບຄົງທີ່ອັນດຽວແທນທີ່ຈະເປັນ IP ຂອງອຸປະກອນທີ່ເປັນເອກະລັກຂອງພະນັກງານແຕ່ລະຄົນ.
ການນໍາໃຊ້ຕົວແທນຫຼື masking IP ແຫຼ່ງຂອງທ່ານສໍາລັບຈຸດປະສົງຄວາມປອດໄພຫຼືຄວາມເປັນສ່ວນຕົວ.
ຕົວຢ່າງງ່າຍໆຂອງການຈໍາກັດການເຂົ້າເຖິງແອັບພລິເຄຊັນເວັບທີ່ໂຮດເອງໃຫ້ກັບ IP static ທີ່ຢູ່ບັນຊີຂາວດຽວທີ່ໃຊ້ Firezone ຈະຖືກສະແດງຢູ່ໃນໂພສນີ້. ໃນຕົວຢ່າງນີ້, Firezone ແລະຊັບພະຍາກອນທີ່ຖືກປົກປ້ອງຢູ່ໃນພື້ນທີ່ VPC ທີ່ແຕກຕ່າງກັນ.
ການແກ້ໄຂນີ້ຖືກນໍາໃຊ້ເລື້ອຍໆແທນທີ່ຈະຈັດການບັນຊີຂາວ IP ສໍາລັບຜູ້ໃຊ້ສຸດທ້າຍຈໍານວນຫລາຍ, ເຊິ່ງສາມາດໃຊ້ເວລາຫຼາຍເມື່ອບັນຊີລາຍຊື່ການເຂົ້າເຖິງຂະຫຍາຍອອກ.
ຈຸດປະສົງຂອງພວກເຮົາແມ່ນເພື່ອຕັ້ງຄ່າເຄື່ອງແມ່ຂ່າຍ Firezone ໃນຕົວຢ່າງ EC2 ເພື່ອປ່ຽນເສັ້ນທາງການສັນຈອນ VPN ໄປຫາຊັບພະຍາກອນທີ່ຖືກຈໍາກັດ. ໃນຕົວຢ່າງນີ້, Firezone ກໍາລັງຮັບໃຊ້ເປັນເຄືອຂ່າຍຕົວແທນ ຫຼື gateway NAT ເພື່ອໃຫ້ອຸປະກອນທີ່ເຊື່ອມຕໍ່ແຕ່ລະອັນມີ IP egress ສາທາລະນະທີ່ເປັນເອກະລັກ.
ໃນກໍລະນີນີ້, ຕົວຢ່າງ EC2 ທີ່ມີຊື່ tc2.micro ມີຕົວຢ່າງ Firezone ຕິດຕັ້ງໃສ່ມັນ. ສຳລັບຂໍ້ມູນກ່ຽວກັບການນຳໃຊ້ Firezone, ໃຫ້ໄປທີ່ຄູ່ມືການນຳໃຊ້. ກ່ຽວຂ້ອງກັບ AWS, ໃຫ້ແນ່ໃຈວ່າ:
ກຸ່ມຄວາມປອດໄພຂອງ Firezone EC2 ອະນຸຍາດໃຫ້ການຈະລາຈອນຂາອອກໄປຫາທີ່ຢູ່ IP ຂອງຊັບພະຍາກອນທີ່ຖືກປົກປ້ອງ.
ຕົວຢ່າງ Firezone ມາພ້ອມກັບ IP elastic. ການຈະລາຈອນທີ່ສົ່ງຜ່ານ Firezone ໄປຫາຈຸດຫມາຍປາຍທາງພາຍນອກຈະມີທີ່ຢູ່ IP ຂອງມັນ. ທີ່ຢູ່ IP ໃນຄໍາຖາມແມ່ນ 52.202.88.54.
[ໃສ່ພາບຫນ້າຈໍ]<<<<<<<<<<<<<<<<<<<<<<<
ແອັບພລິເຄຊັ່ນເວັບໂຮດເອງເຮັດໜ້າທີ່ເປັນຊັບພະຍາກອນທີ່ຖືກປົກປ້ອງໃນກໍລະນີນີ້. ແອັບຯເວັບສາມາດເຂົ້າເຖິງໄດ້ໂດຍການຮ້ອງຂໍທີ່ມາຈາກທີ່ຢູ່ IP 52.202.88.54. ອີງຕາມຊັບພະຍາກອນ, ມັນສາມາດມີຄວາມຈໍາເປັນທີ່ຈະອະນຸຍາດໃຫ້ການຈະລາຈອນຂາເຂົ້າຢູ່ໃນທ່າເຮືອຕ່າງໆແລະປະເພດການຈະລາຈອນ. ນີ້ບໍ່ໄດ້ກວມເອົາໃນຄູ່ມືນີ້.
[ໃສ່ຮູບໜ້າຈໍ]<<<<<<<<<<<<<<<<<<<<<<<
ກະລຸນາບອກພາກສ່ວນທີສາມທີ່ຮັບຜິດຊອບຂອງຊັບພະຍາກອນທີ່ຖືກປົກປ້ອງວ່າການຈະລາຈອນຈາກ IP static ທີ່ກໍານົດໄວ້ໃນຂັ້ນຕອນທີ 1 ຕ້ອງໄດ້ຮັບການອະນຸຍາດ (ໃນກໍລະນີນີ້ 52.202.88.54).
ໂດຍຄ່າເລີ່ມຕົ້ນ, ການເຂົ້າຊົມຜູ້ໃຊ້ທັງຫມົດຈະຜ່ານເຄື່ອງແມ່ຂ່າຍ VPN ແລະມາຈາກ IP static ທີ່ຖືກຕັ້ງຄ່າໃນຂັ້ນຕອນ 1 (ໃນກໍລະນີນີ້ 52.202.88.54). ຢ່າງໃດກໍຕາມ, ຖ້າການແຍກອຸໂມງໄດ້ຖືກເປີດໃຊ້, ການຕັ້ງຄ່າອາດຈະເປັນສິ່ງຈໍາເປັນເພື່ອໃຫ້ແນ່ໃຈວ່າ IP ຈຸດຫມາຍປາຍທາງຂອງຊັບພະຍາກອນທີ່ຖືກປົກປ້ອງຖືກລະບຸໄວ້ໃນ IPs ທີ່ໄດ້ຮັບອະນຸຍາດ.
ສະແດງໃຫ້ເຫັນຂ້າງລຸ່ມນີ້ແມ່ນບັນຊີລາຍຊື່ຄົບຖ້ວນຂອງຕົວເລືອກການຕັ້ງຄ່າທີ່ມີຢູ່ໃນ /etc/firezone/firezone.rb.
ທາງເລືອກ | ຄໍາອະທິບາຍ | ຄ່າເລີ່ມຕົ້ນ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['external_url'] | URL ໃຊ້ເພື່ອເຂົ້າເຖິງເວັບຂອງ Firezone instance ນີ້. | “https://#{node['fqdn'] || node['hostname']}” |
ຄ່າເລີ່ມຕົ້ນ['firezone']['config_directory'] | ໄດເລກະທໍລີລະດັບສູງສຸດສໍາລັບການຕັ້ງຄ່າ Firezone. | /etc/firezone' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['install_directory'] | ໄດເລກະທໍລີລະດັບເທິງເພື່ອຕິດຕັ້ງ Firezone ກັບ. | /opt/firezone' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['app_directory'] | ໄດເລກະທໍລີລະດັບສູງສຸດເພື່ອຕິດຕັ້ງແອັບພລິເຄຊັນເວັບ Firezone. | “#{node['firezone']['install_directory']}/embedded/service/firezone” |
ຄ່າເລີ່ມຕົ້ນ['firezone']['log_directory'] | ໄດເລກະທໍລີລະດັບສູງສຸດສໍາລັບບັນທຶກ Firezone. | /var/log/firezone' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['var_directory'] | ໄດເລກະທໍລີລະດັບສູງສຸດສໍາລັບໄຟລ໌ເວລາແລ່ນ Firezone. | /var/opt/firezone' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['user'] | ຊື່ຂອງຜູ້ໃຊ້ Linux ທີ່ບໍ່ມີສິດທິພິເສດການບໍລິການແລະໄຟລ໌ສ່ວນໃຫຍ່ຈະເປັນຂອງ. | ເຂດໄຟໄຫມ້' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['group'] | ຊື່ຂອງກຸ່ມ Linux ບໍລິການ ແລະໄຟລ໌ສ່ວນໃຫຍ່ຈະເປັນຂອງ. | ເຂດໄຟໄຫມ້' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['admin_email'] | ທີ່ຢູ່ອີເມວສຳລັບຜູ້ໃຊ້ Firezone ໃນເບື້ອງຕົ້ນ. | "firezone@localhost" |
ຄ່າເລີ່ມຕົ້ນ['firezone']['max_devices_per_user'] | ຈຳນວນອຸປະກອນສູງສຸດທີ່ຜູ້ໃຊ້ສາມາດມີໄດ້. | 10 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['allow_unprivileged_device_management'] | ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ທີ່ບໍ່ແມ່ນຜູ້ເບິ່ງແຍງສ້າງ ແລະລຶບອຸປະກອນ. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['allow_unprivileged_device_configuration'] | ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ທີ່ບໍ່ແມ່ນຜູ້ເບິ່ງແຍງສາມາດແກ້ໄຂການຕັ້ງຄ່າອຸປະກອນ. ເມື່ອປິດການໃຊ້ງານ, ປ້ອງກັນຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບສິດຈາກການປ່ຽນແປງທຸກຊ່ອງຂໍ້ມູນອຸປະກອນຍົກເວັ້ນຊື່ ແລະຄໍາອະທິບາຍ. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['egress_interface'] | ຊື່ການໂຕ້ຕອບບ່ອນທີ່ການຈະລາຈອນທາງອຸໂມງຈະອອກໄປ. ຖ້າບໍ່ມີ, ການໂຕ້ຕອບເສັ້ນທາງເລີ່ມຕົ້ນຈະຖືກນໍາໃຊ້. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['fips_enabled'] | ເປີດ ຫຼືປິດໂໝດ OpenSSL FIPs. | nil |
default['firezone']['logging']['enabled'] | ເປີດໃຊ້ ຫຼືປິດການເຂົ້າສູ່ລະບົບທົ່ວ Firezone. ຕັ້ງຄ່າເປັນຜິດເພື່ອປິດການເຂົ້າສູ່ລະບົບທັງໝົດ. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['ວິສາຫະກິດ']['ຊື່'] | ຊື່ທີ່ໃຊ້ໂດຍ Chef 'ວິສາຫະກິດ' cookbook. | ເຂດໄຟໄຫມ້' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['install_path'] | ຕິດຕັ້ງເສັ້ນທາງທີ່ໃຊ້ໂດຍ Chef 'ວິສາຫະກິດ' cookbook. ຄວນຖືກຕັ້ງເປັນອັນດຽວກັນກັບ install_directory ຂ້າງເທິງ. | node['firezone']['install_directory'] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['sysvinit_id'] | ຕົວລະບຸທີ່ໃຊ້ໃນ /etc/inittab. ຕ້ອງເປັນລຳດັບທີ່ເປັນເອກະລັກຂອງ 1-4 ຕົວອັກສອນ. | SUP' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['local']['enabled'] | ເປີດ ຫຼືປິດການພິສູດຢືນຢັນອີເມວ/ລະຫັດຜ່ານໃນທ້ອງຖິ່ນ. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['auto_create_oidc_users'] | ສ້າງຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບໂດຍອັດຕະໂນມັດຈາກ ODC ເປັນຄັ້ງທຳອິດ. ປິດການໃຊ້ງານເພື່ອໃຫ້ພຽງແຕ່ຜູ້ໃຊ້ທີ່ມີຢູ່ແລ້ວເຂົ້າສູ່ລະບົບຜ່ານ ODC. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['disable_vpn_on_oidc_error'] | ປິດການນຳໃຊ້ VPN ຂອງຜູ້ໃຊ້ຫາກກວດພົບຂໍ້ຜິດພາດທີ່ພະຍາຍາມໂຫຼດຂໍ້ມູນໂທເຄັນ ODC ຄືນໃໝ່. | ຜິດ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['authentication']['oidc'] | OpenID Connect config, ໃນຮູບແບບຂອງ {“ຜູ້ໃຫ້ບໍລິການ” => [config…]} – ເບິ່ງ ເອກະສານ OpenIDConnect ສໍາລັບຕົວຢ່າງ config. | {} |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['enabled'] | ເປີດໃຊ້ຫຼືປິດເຄື່ອງແມ່ຂ່າຍ nginx ທີ່ມັດໄວ້. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['ssl_port'] | ພອດຟັງ HTTPS. | 443 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['directory'] | ໄດເລກະທໍລີເພື່ອເກັບຮັກສາການຕັ້ງຄ່າໂຮດສະເໝືອນ nginx ທີ່ກ່ຽວຂ້ອງກັບ Firezone. | “#{node['firezone']['var_directory']}/nginx/etc” |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['log_directory'] | ໄດເລກະທໍລີເພື່ອເກັບຮັກສາໄຟລ໌ບັນທຶກ nginx ທີ່ກ່ຽວຂ້ອງກັບ Firezone. | “#{node['firezone']['log_directory']}/nginx” |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['log_rotation']['file_maxbytes'] | ຂະຫນາດໄຟລ໌ທີ່ຈະຫມຸນໄຟລ໌ບັນທຶກ Nginx. | 104857600 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['log_rotation']['num_to_keep'] | ຈຳນວນໄຟລ໌ບັນທຶກ Firezone nginx ທີ່ຈະຮັກສາໄວ້ກ່ອນທີ່ຈະຍົກເລີກ. | 10 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['log_x_forwarded_for'] | ວ່າຈະບັນທຶກ Firezone nginx x-forwarded-for header. | TRUE |
default['firezone']['nginx']['hsts_header']['enabled'] | TRUE | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | ເປີດ ຫຼືປິດການໃຊ້ງານ includeSubDomains ສໍາລັບສ່ວນຫົວ HSTS. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['hsts_header']['max_age'] | ອາຍຸສູງສຸດສໍາລັບສ່ວນຫົວ HSTS. | 31536000 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['redirect_to_canonical'] | ວ່າຈະປ່ຽນເສັ້ນທາງ URL ໄປຫາ Canonical FQDN ທີ່ລະບຸໄວ້ຂ້າງເທິງຫຼືບໍ່ | ຜິດ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['cache']['enabled'] | ເປີດ ຫຼືປິດການໃຊ້ງານ Firezone nginx cache. | ຜິດ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['cache']['directory'] | ໄດເລກະທໍລີສໍາລັບ Firezone nginx cache. | “#{node['firezone']['var_directory']}/nginx/cache” |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['user'] | ຜູ້ໃຊ້ Firezone nginx. | node['firezone']['user'] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['group'] | ກຸ່ມ Firezone nginx. | node['firezone']['group'] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['dir'] | ໄດເຣັກທໍຣີການຕັ້ງຄ່າ nginx ລະດັບສູງສຸດ. | node['firezone']['nginx']['directory'] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['log_dir'] | ບັນຊີບັນທຶກ nginx ລະດັບສູງສຸດ. | node['firezone']['nginx']['log_directory'] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['pid'] | ສະຖານທີ່ສໍາລັບໄຟລ໌ nginx pid. | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['daemon_disable'] | ປິດໃຊ້ງານໂໝດ nginx daemon ເພື່ອໃຫ້ພວກເຮົາສາມາດຕິດຕາມມັນໄດ້ແທນ. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['gzip'] | ເປີດ ຫຼືປິດການບີບອັດ nginx gzip. | ສຸດ ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['gzip_static'] | ເປີດ ຫຼືປິດການບີບອັດ nginx gzip ສໍາລັບໄຟລ໌ຄົງທີ່. | ປິດ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['gzip_http_version'] | ສະບັບ HTTP ທີ່ຈະໃຊ້ສໍາລັບການຮັບໃຊ້ໄຟລ໌ຄົງທີ່. | 1.0 ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['gzip_comp_level'] | nginx gzip ລະດັບການບີບອັດ. | 2 ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['gzip_proxied'] | ເປີດໃຊ້ຫຼືປິດການໃຊ້ງານ gzipping ຂອງການຕອບສະຫນອງສໍາລັບການຮ້ອງຂໍ proxied ຂຶ້ນກັບການຮ້ອງຂໍແລະການຕອບສະຫນອງ. | ໃດໆ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['gzip_vary'] | ເປີດໃຊ້ ຫຼືປິດການໃສ່ສ່ວນຫົວຄຳຕອບ “Vary: ຍອມຮັບ-ເຂົ້າລະຫັດ”. | ປິດ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['gzip_buffers'] | ກໍານົດຈໍານວນແລະຂະຫນາດຂອງ buffers ທີ່ໃຊ້ເພື່ອບີບອັດຄໍາຕອບ. ຖ້າບໍ່ມີ, nginx ເລີ່ມຕົ້ນຖືກໃຊ້. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['gzip_types'] | ປະເພດ MIME ເພື່ອເປີດໃຊ້ການບີບອັດ gzip ສໍາລັບ. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['gzip_min_length'] | ຄວາມຍາວໄຟລ໌ຕໍ່າສຸດເພື່ອເປີດໃຊ້ການບີບອັດ gzip ໄຟລ໌ສໍາລັບ. | 1000 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['gzip_disable'] | ຕົວຈັບຄູ່ຕົວແທນຜູ້ໃຊ້ເພື່ອປິດການບີບອັດ gzip ສໍາລັບ. | MSIE [1-6]\.' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['keepalive'] | ເປີດໃຊ້ cache ສໍາລັບການເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍຕົ້ນ. | ສຸດ ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['keepalive_timeout'] | ໝົດເວລາໃນວິນາທີສຳລັບການເຊື່ອມຕໍ່ແບບຄົງຢູ່ກັບເຊີບເວີຕົ້ນນ້ຳ. | 65 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['worker_processes'] | ຈໍານວນຂອງຂະບວນການພະນັກງານ nginx. | node['cpu'] && node['cpu']['total'] ? node['cpu']['total'] : 1 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['worker_connections'] | ຈໍານວນສູງສຸດຂອງການເຊື່ອມຕໍ່ພ້ອມໆກັນທີ່ສາມາດເປີດໄດ້ໂດຍຂະບວນການພະນັກງານ. | 1024 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['worker_rlimit_nofile'] | ປ່ຽນແປງຂອບເຂດຈໍາກັດຂອງໄຟລ໌ເປີດສູງສຸດສໍາລັບຂະບວນການຂອງພະນັກງານ. ໃຊ້ຄ່າເລີ່ມຕົ້ນ nginx ຖ້າບໍ່ມີ. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['multi_accept'] | ບໍ່ວ່າຄົນງານຄວນຍອມຮັບການເຊື່ອມຕໍ່ຄັ້ງດຽວ ຫຼືຫຼາຍອັນ. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['event'] | ລະບຸວິທີການປະມວນຜົນການເຊື່ອມຕໍ່ເພື່ອໃຊ້ພາຍໃນບໍລິບົດເຫດການ nginx. | epol' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['server_tokens'] | ເປີດໃຊ້ຫຼືປິດການປ່ອຍເວີຊັນ nginx ຢູ່ໃນຫນ້າຄວາມຜິດພາດແລະໃນຊ່ອງສ່ວນຫົວການຕອບສະຫນອງ "ເຄື່ອງແມ່ຂ່າຍ". | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['server_names_hash_bucket_size'] | ກໍານົດຂະຫນາດ bucket ສໍາລັບຊື່ເຄື່ອງແມ່ຂ່າຍຂອງຕາຕະລາງ hash. | 64 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['sendfile'] | ເປີດໃຊ້ ຫຼືປິດການນຳໃຊ້ sendfile() ຂອງ nginx. | ສຸດ ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['access_log_options'] | ຕັ້ງຄ່າຕົວເລືອກບັນທຶກການເຂົ້າເຖິງ nginx. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['error_log_options'] | ຕັ້ງຄ່າຕົວເລືອກບັນທຶກຄວາມຜິດພາດ nginx. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['disable_access_log'] | ປິດການນຳໃຊ້ບັນທຶກການເຂົ້າເຖິງ nginx. | ຜິດ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['types_hash_max_size'] | nginx ປະເພດ hash ຂະຫນາດສູງສຸດ. | 2048 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['types_hash_bucket_size'] | nginx ປະເພດ hash bucket size. | 64 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['proxy_read_timeout'] | nginx proxy ອ່ານໝົດເວລາ. ຕັ້ງເປັນ nil ເພື່ອໃຊ້ nginx ເລີ່ມຕົ້ນ. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['client_body_buffer_size'] | ຂະໜາດຂອງຕົວເຄື່ອງລູກຄ້າ nginx. ຕັ້ງເປັນ nil ເພື່ອໃຊ້ nginx ເລີ່ມຕົ້ນ. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['client_max_body_size'] | nginx client max ຂະຫນາດຮ່າງກາຍ. | 250ມ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['default']['modules'] | ລະບຸໂມດູນ nginx ເພີ່ມເຕີມ. | [] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['enable_rate_limiting'] | ເປີດໃຊ້ຫຼືປິດການຈໍາກັດອັດຕາ nginx. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['rate_limiting_zone_name'] | ຊື່ເຂດຈໍາກັດອັດຕາ Nginx. | ເຂດໄຟໄຫມ້' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['rate_limiting_backoff'] | ອັດຕາ Nginx ຈໍາກັດການກັບຄືນ. | 10ມ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['rate_limit'] | ຈຳກັດອັດຕາ Nginx. | 10r/ວິນາທີ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['nginx']['ipv6'] | ອະນຸຍາດໃຫ້ nginx ຟັງຄໍາຮ້ອງຂໍ HTTP ສໍາລັບ IPv6 ນອກຈາກ IPv4. | TRUE |
default['firezone']['postgresql']['enabled'] | ເປີດໃຊ້ຫຼືປິດການໃຊ້ງານ Postgresql ທີ່ຖືກມັດໄວ້. ຕັ້ງຄ່າເປັນ false ແລະຕື່ມຂໍ້ມູນໃສ່ໃນຕົວເລືອກຖານຂໍ້ມູນຂ້າງລຸ່ມນີ້ເພື່ອນໍາໃຊ້ຕົວຢ່າງ Postgresql ຂອງທ່ານເອງ. | TRUE |
default['firezone']['postgresql']['username'] | ຊື່ຜູ້ໃຊ້ສໍາລັບ Postgresql. | node['firezone']['user'] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['data_directory'] | ໄດເລກະທໍລີຂໍ້ມູນ Postgresql. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['log_directory'] | ໄດເລກະທໍລີບັນທຶກ Postgresql. | “#{node['firezone']['log_directory']}/postgresql” |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['log_rotation']['file_maxbytes'] | ໄຟລ໌ບັນທຶກ Postgresql ຂະໜາດສູງສຸດກ່ອນທີ່ມັນຈະຖືກໝຸນ. | 104857600 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['log_rotation']['num_to_keep'] | ຈໍານວນໄຟລ໌ບັນທຶກ Postgresql ທີ່ຈະຮັກສາ. | 10 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['checkpoint_completion_target'] | ເປົ້າໝາຍການສຳເລັດຈຸດກວດກາ Postgresql. | 0.5 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['checkpoint_segments'] | ຈໍານວນພາກສ່ວນຈຸດກວດກາ Postgresql. | 3 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['checkpoint_timeout'] | ໝົດເວລາດ່ານ Postgresql. | 5 ນາທີ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['checkpoint_warning'] | ເວລາເຕືອນຈຸດກວດກາ Postgresql ເປັນວິນາທີ. | 30s' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['effective_cache_size'] | ຂະຫນາດແຄດທີ່ມີປະສິດທິພາບ Postgresql. | 128MB' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['listen_address'] | Postgresql ຟັງທີ່ຢູ່. | 127.0.0.1 ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['max_connections'] | ການເຊື່ອມຕໍ່ສູງສຸດ Postgresql. | 350 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs ເພື່ອອະນຸຍາດໃຫ້ໃຊ້ md5 auth. | ['127.0.0.1/32', '::1/128'] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['port'] | Postgresql ຟັງ Port. | 15432 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['shared_buffers'] | Postgresql ແບ່ງປັນຂະໜາດ buffers. | “#{(node['memory']['total'].to_i / 4) / 1024}MB” |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['shmmax'] | Postgresql shmmax ໃນ bytes. | 17179869184 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['shmall'] | Postgresql shmall ໃນ bytes. | 4194304 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['postgresql']['work_mem'] | ຂະຫນາດຫນ່ວຍຄວາມຈໍາເຮັດວຽກ Postgresql. | 8MB' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['database']['user'] | ລະບຸຊື່ຜູ້ໃຊ້ Firezone ຈະໃຊ້ເພື່ອເຊື່ອມຕໍ່ກັບ DB. | node['firezone']['postgresql']['username'] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['database']['password'] | ຖ້າໃຊ້ DB ພາຍນອກ, ລະບຸລະຫັດຜ່ານ Firezone ຈະໃຊ້ເພື່ອເຊື່ອມຕໍ່ກັບ DB. | ປ່ຽນແປງຂ້ອຍ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['database']['name'] | ຖານຂໍ້ມູນທີ່ Firezone ຈະໃຊ້. ຈະຖືກສ້າງຂື້ນຖ້າມັນບໍ່ມີ. | ເຂດໄຟໄຫມ້' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['database']['host'] | ເຈົ້າພາບຖານຂໍ້ມູນທີ່ Firezone ຈະເຊື່ອມຕໍ່ກັບ. | node['firezone']['postgresql']['listen_address'] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['database']['port'] | ພອດຖານຂໍ້ມູນທີ່ Firezone ຈະເຊື່ອມຕໍ່ກັບ. | node['firezone']['postgresql']['port'] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['database']['pool'] | ຂະໜາດຂອງຖານຂໍ້ມູນ Firezone ຈະໃຊ້. | [10, Etc.nprocessors].max |
ຄ່າເລີ່ມຕົ້ນ['firezone']['database']['ssl'] | ຈະເຊື່ອມຕໍ່ກັບຖານຂໍ້ມູນຜ່ານ SSL ຫຼືບໍ່. | ຜິດ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['database']['ssl_opts'] | {} | |
ຄ່າເລີ່ມຕົ້ນ['firezone']['database']['parameters'] | {} | |
ຄ່າເລີ່ມຕົ້ນ['firezone']['database']['extensions'] | ການຂະຫຍາຍຖານຂໍ້ມູນເພື່ອເປີດໃຊ້. | { 'plpgsql' => ຈິງ, 'pg_trgm' => ຖືກຕ້ອງ } |
ຄ່າເລີ່ມຕົ້ນ['firezone']['phoenix']['enabled'] | ເປີດໃຊ້ ຫຼືປິດການນຳໃຊ້ແອັບພລິເຄຊັນເວັບ Firezone. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['phoenix']['listen_address'] | ທີ່ຢູ່ຄໍາຮ້ອງສະຫມັກເວັບ Firezone ຟັງ. ອັນນີ້ຈະເປັນທີ່ຢູ່ຟັງເທິງກະແສທີ່ nginx proxies. | 127.0.0.1 ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['phoenix']['port'] | Firezone web application listen port. ອັນນີ້ຈະເປັນພອດຕົ້ນທາງທີ່ nginx proxies. | 13000 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['phoenix']['log_directory'] | Firezone web application log directory. | “#{node['firezone']['log_directory']}/phoenix” |
ຄ່າເລີ່ມຕົ້ນ['firezone']['phoenix']['log_rotation']['file_maxbytes'] | ຂະໜາດໄຟລ໌ບັນທຶກແອັບພລິເຄຊັນ Firezone. | 104857600 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['phoenix']['log_rotation']['num_to_keep'] | ຈຳນວນຂອງໄຟລ໌ບັນທຶກແອັບພລິເຄຊັນເວັບ Firezone ທີ່ຈະຮັກສາໄວ້. | 10 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['phoenix']['crash_detection']['enabled'] | ເປີດໃຊ້ ຫຼືປິດການນຳໃຊ້ແອັບພລິເຄຊັນເວັບ Firezone ເມື່ອກວດພົບວ່າເກີດການຂັດຂ້ອງ. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['phoenix']['external_trusted_proxies'] | ລາຍຊື່ຂອງພຣັອກຊີປີ້ນກັບກັນທີ່ເຊື່ອຖືໄດ້ທີ່ຈັດຮູບແບບເປັນ Array ຂອງ IPs ແລະ/ຫຼື CIDRs. | [] |
ຄ່າເລີ່ມຕົ້ນ['firezone']['phoenix']['private_clients'] | ລາຍຊື່ລູກຄ້າ HTTP ເຄືອຂ່າຍສ່ວນຕົວ, ຈັດຮູບແບບ Array ຂອງ IPs ແລະ/ຫຼື CIDRs. | [] |
default['firezone']['wireguard']['enabled'] | ເປີດໃຊ້ຫຼືປິດການຈັດການ WireGuard ມັດໄວ້. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['log_directory'] | ບັນທຶກບັນຊີສໍາລັບການຄຸ້ມຄອງ WireGuard ມັດໄວ້. | “#{node['firezone']['log_directory']}/wireguard” |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['log_rotation']['file_maxbytes'] | ໄຟລ໌ບັນທຶກ WireGuard ຂະໜາດສູງສຸດ. | 104857600 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['log_rotation']['num_to_keep'] | ຈໍານວນໄຟລ໌ບັນທຶກ WireGuard ທີ່ຈະຮັກສາ. | 10 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['interface_name'] | ຊື່ການໂຕ້ຕອບ WireGuard. ການປ່ຽນແປງຕົວກໍານົດການນີ້ອາດຈະເຮັດໃຫ້ການສູນເສຍຊົ່ວຄາວໃນການເຊື່ອມຕໍ່ VPN. | wg-firezone' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['port'] | ພອດຟັງ WireGuard. | 51820 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['mtu'] | ການໂຕ້ຕອບ WireGuard MTU ສໍາລັບເຄື່ອງແມ່ຂ່າຍນີ້ແລະສໍາລັບການຕັ້ງຄ່າອຸປະກອນ. | 1280 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['endpoint'] | WireGuard Endpoint ເພື່ອໃຊ້ສໍາລັບການສ້າງການຕັ້ງຄ່າອຸປະກອນ. ຖ້າບໍ່ແມ່ນ, ເລີ່ມຕົ້ນເປັນທີ່ຢູ່ IP ສາທາລະນະຂອງເຄື່ອງແມ່ຂ່າຍ. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['dns'] | WireGuard DNS ເພື່ອໃຊ້ສໍາລັບການຕັ້ງຄ່າອຸປະກອນທີ່ສ້າງຂຶ້ນ. | 1.1.1.1, 1.0.0.1′ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs ໃຊ້ສໍາລັບການຕັ້ງຄ່າອຸປະກອນທີ່ສ້າງຂຶ້ນ. | 0.0.0.0/0, ::/0′ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['persistent_keepalive'] | ການຕັ້ງຄ່າ PersistentKeepalive ເລີ່ມຕົ້ນສໍາລັບການຕັ້ງອຸປະກອນທີ່ສ້າງຂຶ້ນ. ຄ່າຂອງ 0 ປິດໃຊ້ງານ. | 0 |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['ipv4']['enabled'] | ເປີດໃຊ້ຫຼືປິດ IPv4 ສໍາລັບເຄືອຂ່າຍ WireGuard. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['ipv4']['masquerade'] | ເປີດໃຊ້ຫຼືປິດ masquerade ສໍາລັບແພັກເກັດທີ່ອອກຈາກອຸໂມງ IPv4. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['ipv4']['network'] | WireGuard ເຄືອຂ່າຍ IPv4 ທີ່ຢູ່. | /10.3.2.0/24/XNUMX ′ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['ipv4']['address'] | ທີ່ຢູ່ IPv4 ອິນເຕີເຟດ WireGuard. ຕ້ອງຢູ່ໃນກຸ່ມທີ່ຢູ່ WireGuard. | 10.3.2.1 ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['ipv6']['enabled'] | ເປີດໃຊ້ຫຼືປິດ IPv6 ສໍາລັບເຄືອຂ່າຍ WireGuard. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['ipv6']['masquerade'] | ເປີດໃຊ້ຫຼືປິດ masquerade ສໍາລັບແພັກເກັດທີ່ອອກຈາກອຸໂມງ IPv6. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['ipv6']['network'] | WireGuard ເຄືອຂ່າຍ IPv6 ທີ່ຢູ່. | fd00::3:2:0/120′ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['wireguard']['ipv6']['address'] | ທີ່ຢູ່ IPv6 ອິນເຕີເຟດ WireGuard. ຕ້ອງຢູ່ໃນກຸ່ມທີ່ຢູ່ IPv6. | fd00::3:2:1′ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['runit']['svlogd_bin'] | ແລ່ນສະຖານທີ່ svlogd bin. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['directory'] | ໄດເລກະທໍລີ SSL ສໍາລັບການເກັບຮັກສາໃບຢັ້ງຢືນທີ່ສ້າງຂຶ້ນ. | /var/opt/firezone/ssl' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['email_address'] | ທີ່ຢູ່ອີເມລ໌ທີ່ຈະໃຊ້ສໍາລັບໃບຢັ້ງຢືນທີ່ເຊັນດ້ວຍຕົນເອງແລະແຈ້ງການຕໍ່ອາຍຸຂອງໂປໂຕຄອນ ACME. | you@example.com' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['acme']['enabled'] | ເປີດໃຊ້ ACME ສໍາລັບການສະຫນອງໃບຢັ້ງຢືນ SSL ອັດຕະໂນມັດ. ປິດການໃຊ້ງານນີ້ເພື່ອປ້ອງກັນບໍ່ໃຫ້ Nginx ຟັງຢູ່ໃນພອດ 80. ເບິ່ງ ທີ່ນີ້ ສໍາລັບຄໍາແນະນໍາເພີ່ມເຕີມ. | ຜິດ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['acme']['server'] | ການເຂົ້າລະຫັດລັບ | |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['acme']['keylength'] | ec-256 | |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['certificate'] | ເສັ້ນທາງໄປຫາໄຟລ໌ໃບຢັ້ງຢືນສໍາລັບ FQDN ຂອງທ່ານ. ລົບລ້າງການຕັ້ງຄ່າ ACME ຂ້າງເທິງຖ້າລະບຸໄວ້. ຖ້າທັງສອງ ACME ແລະອັນນີ້ແມ່ນບໍ່ເປັນໃບຮັບຮອງທີ່ເຊັນດ້ວຍຕົນເອງຈະຖືກສ້າງຂື້ນ. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['certificate_key'] | ເສັ້ນທາງໄປຫາເອກະສານໃບຢັ້ງຢືນ. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['ssl_dparam'] | nginx ssl dh_param. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['country_name'] | ຊື່ປະເທດສໍາລັບໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງ. | ພວກເຮົາ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['state_name'] | ຊື່ຂອງລັດສໍາລັບໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງ. | CA ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['locality_name'] | ຊື່ທ້ອງຖິ່ນສໍາລັບການເຊັນໃບຢັ້ງຢືນຕົນເອງ. | San Francisco |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['company_name'] | ໃບຢັ້ງຢືນການເຊັນຊື່ບໍລິສັດດ້ວຍຕົນເອງ. | ບໍລິສັດຂອງຂ້ອຍ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['organizational_unit_name'] | ຊື່ຫນ່ວຍງານຂອງອົງການຈັດຕັ້ງສໍາລັບໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງ. | ການດໍາເນີນງານ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['ciphers'] | SSL ciphers ສໍາລັບ nginx ທີ່ຈະໃຊ້. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['fips_ciphers'] | ຕົວລະຫັດ SSL ສໍາລັບໂໝດ FIPs. | FIPS@ StrengTH:!aNULL:!eNULL' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['protocols'] | ໂປໂຕຄອນ TLS ທີ່ຈະໃຊ້. | TLSv1 TLSv1.1 TLSv1.2′ |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['session_cache'] | SSL session cache. | ແບ່ງປັນ:SSL:4m' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['ssl']['session_timeout'] | ໝົດເວລາເຊດຊັນ SSL. | 5ມ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['robots_allow'] | nginx ຫຸ່ນຍົນອະນຸຍາດໃຫ້. | / ' |
ຄ່າເລີ່ມຕົ້ນ['firezone']['robots_disallow'] | ຫຸ່ນຍົນ nginx ບໍ່ອະນຸຍາດ. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['outbound_email']['from'] | ອີເມວຂາອອກຈາກທີ່ຢູ່. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['outbound_email']['provider'] | ຜູ້ໃຫ້ບໍລິການອີເມວຂາອອກ. | nil |
ຄ່າເລີ່ມຕົ້ນ['firezone']['outbound_email']['configs'] | ການຕັ້ງຄ່າຜູ້ໃຫ້ບໍລິການອີເມວຂາອອກ. | ເບິ່ງ omnibus/cookbooks/firezone/attributes/default.rb |
ຄ່າເລີ່ມຕົ້ນ['firezone']['telemetry']['enabled'] | ເປີດ ຫຼືປິດການໃຊ້ງານ telemetry ຜະລິດຕະພັນທີ່ບໍ່ເປີດເຜີຍຊື່. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['connectivity_checks']['enabled'] | ເປີດ ຫຼືປິດການບໍລິການກວດສອບການເຊື່ອມຕໍ່ Firezone. | TRUE |
ຄ່າເລີ່ມຕົ້ນ['firezone']['connectivity_checks']['interval'] | ໄລຍະຫ່າງລະຫວ່າງການເຊື່ອມຕໍ່ກວດສອບເປັນວິນາທີ. | 3_600 |
________________________________________________________________
ທີ່ນີ້ເຈົ້າຈະພົບເຫັນລາຍການໄຟລ໌ ແລະໄດເລກະທໍລີທີ່ກ່ຽວຂ້ອງກັບການຕິດຕັ້ງ Firezone ປົກກະຕິ. ສິ່ງເຫຼົ່ານີ້ສາມາດປ່ຽນແປງໄດ້ຂຶ້ນກັບການປ່ຽນແປງໄຟລ໌ການຕັ້ງຄ່າຂອງທ່ານ.
ເສັ້ນທາງ | ຄໍາອະທິບາຍ |
/var/opt/firezone | ໄດເຣັກທໍຣີລະດັບສູງສຸດທີ່ປະກອບດ້ວຍຂໍ້ມູນ ແລະການຕັ້ງຄ່າທີ່ສ້າງຂຶ້ນສໍາລັບການບໍລິການທີ່ຮວມຢູ່ໃນ Firezone. |
/opt/firezone | ໄດເຣັກທໍຣີລະດັບສູງສຸດທີ່ປະກອບດ້ວຍຫ້ອງສະໝຸດທີ່ສ້າງຂຶ້ນ, ໄບນາຣີ ແລະໄຟລ໌ runtime ທີ່ຕ້ອງການໂດຍ Firezone. |
/usr/bin/firezone-ctl | firezone-ctl utility ສໍາລັບການຄຸ້ມຄອງການຕິດຕັ້ງ Firezone ຂອງທ່ານ. |
/etc/systemd/system/firezone-runsvdir-start.service | ໄຟລ໌ systemd unit ສໍາລັບການເລີ່ມຕົ້ນຂະບວນການ Firezone runsvdir supervisor. |
/etc/firezone | ໄຟລ໌ການຕັ້ງຄ່າ Firezone. |
__________________________________________________________
ໜ້ານີ້ຫວ່າງເປົ່າຢູ່ໃນເອກະສານ
_____________________________________________________________
ແມ່ແບບ firewall nftables ຕໍ່ໄປນີ້ສາມາດຖືກໃຊ້ເພື່ອຮັບປະກັນເຄື່ອງແມ່ຂ່າຍທີ່ແລ່ນ Firezone. ແມ່ແບບເຮັດໃຫ້ສົມມຸດຕິຖານບາງຢ່າງ; ທ່ານອາດຈະຕ້ອງປັບກົດລະບຽບໃຫ້ເຫມາະສົມກັບກໍລະນີການນໍາໃຊ້ຂອງທ່ານ:
Firezone ກໍານົດກົດລະບຽບ nftables ຂອງຕົນເອງເພື່ອອະນຸຍາດໃຫ້ / ປະຕິເສດການຈະລາຈອນໄປຫາຈຸດຫມາຍປາຍທາງທີ່ຖືກຕັ້ງຄ່າໃນການໂຕ້ຕອບເວັບແລະຈັດການກັບ NAT ຂາອອກສໍາລັບການຈະລາຈອນຂອງລູກຄ້າ.
ການນຳໃຊ້ແມ່ແບບ Firewall ລຸ່ມນີ້ຢູ່ໃນເຊີບເວີທີ່ແລ່ນຢູ່ແລ້ວ (ບໍ່ແມ່ນເວລາບູດ) ຈະສົ່ງຜົນໃຫ້ກົດລະບຽບ Firezone ຖືກລຶບລ້າງ. ນີ້ອາດຈະມີຜົນກະທົບດ້ານຄວາມປອດໄພ.
ເພື່ອແກ້ໄຂບັນຫານີ້, ເລີ່ມຕົ້ນການບໍລິການ phoenix ຄືນໃໝ່:
firezone-ctl restart phoenix
#!/usr/sbin/nft -f
## ລຶບລ້າງ/ລ້າງກົດລະບຽບທີ່ມີຢູ່ທັງໝົດ
ກົດລະບຽບການລ້າງ
######################################################## ###############
## ຊື່ສ່ວນຕິດຕໍ່ອິນເຕີເນັດ/WAN
ກໍານົດ DEV_WAN = eth0
## ຊື່ການໂຕ້ຕອບ WireGuard
ກໍານົດ DEV_WIREGUARD = wg-firezone
## ພອດຟັງ WireGuard
ກຳນົດ WIREGUARD_PORT = 51820
############################## VARIABLES END ################### ############
# ຕາຕະລາງການກັ່ນຕອງຄອບຄົວ inet ຕົ້ນຕໍ
ຕົວກອງ inet ຕາຕະລາງ {
# ກົດລະບຽບການສົ່ງຕໍ່
# ລະບົບຕ່ອງໂສ້ນີ້ຖືກປຸງແຕ່ງກ່ອນລະບົບຕ່ອງໂສ້ການສົ່ງຕໍ່ Firezone
ຕ່ອງໂສ້ຕໍ່ຫນ້າ {
ປະເພດການກັ່ນຕອງ hook forward filter ບູລິມະສິດ - 5; ຍອມຮັບນະໂຍບາຍ
}
# ກົດລະບຽບການປ້ອນຂໍ້ມູນ
ການປ້ອນຂໍ້ມູນລະບົບຕ່ອງໂສ້ {
type filter hook input filter priority; ນະໂຍບາຍຫຼຸດລົງ
## ອະນຸຍາດໃຫ້ການຈະລາຈອນຂາເຂົ້າໄປຫາການໂຕ້ຕອບ loopback
iif lo \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ການຈະລາຈອນທັງຫມົດຈາກການໂຕ້ຕອບ loopback"
## ອະນຸຍາດໃຫ້ສ້າງຕັ້ງແລະການເຊື່ອມຕໍ່ທີ່ກ່ຽວຂ້ອງ
ລັດ ct ສ້າງຕັ້ງຂຶ້ນ, ທີ່ກ່ຽວຂ້ອງ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ສ້າງຕັ້ງ / ການເຊື່ອມຕໍ່ທີ່ກ່ຽວຂ້ອງ"
## ອະນຸຍາດການຈະລາຈອນ WireGuard ຂາເຂົ້າ
iif $DEV_WAN udp dport $WIREGUARD_PORT \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ການຈະລາຈອນ WireGuard ຂາເຂົ້າ"
## ບັນທຶກ ແລະວາງແພັກເກັດໃໝ່ TCP ທີ່ບໍ່ແມ່ນ SYN
tcp ທຸງ != syn ct ລັດໃຫມ່ \
ອັດຕາຈໍາກັດ 100/ ນາທີລະເບີດ 150 ແພັກເກັດ \
ຄຳນຳໜ້າບັນທຶກ “ໃນ – ໃໝ່ !SYN:” \
ຄວາມຄິດເຫັນ "ອັດຕາການຈໍາກັດການບັນທຶກສໍາລັບການເຊື່ອມຕໍ່ໃຫມ່ທີ່ບໍ່ໄດ້ກໍານົດທຸງ SYN TCP"
tcp ທຸງ != syn ct ລັດໃຫມ່ \
ເຄົາເຕີ \
ລົງ \
ຄວາມຄິດເຫັນ "ຖິ້ມການເຊື່ອມຕໍ່ໃຫມ່ທີ່ບໍ່ໄດ້ກໍານົດທຸງ SYN TCP"
## ບັນທຶກ ແລະວາງແພັກເກັດ TCP ດ້ວຍຊຸດທຸງ fin/syn ທີ່ບໍ່ຖືກຕ້ອງ
ທຸງ tcp & (fin|syn) == (fin|syn) \
ອັດຕາຈໍາກັດ 100/ ນາທີລະເບີດ 150 ແພັກເກັດ \
ຄຳນຳໜ້າບັນທຶກ “IN – TCP FIN|SIN:” \
ຄວາມຄິດເຫັນ "ອັດຕາການຈໍາກັດການບັນທຶກສໍາລັບແພັກເກັດ TCP ກັບຊຸດທຸງ fin/syn ທີ່ບໍ່ຖືກຕ້ອງ"
ທຸງ tcp & (fin|syn) == (fin|syn) \
ເຄົາເຕີ \
ລົງ \
ຄວາມຄິດເຫັນ “ວາງແພັກເກັດ TCP ດ້ວຍຊຸດທຸງ fin/syn ທີ່ບໍ່ຖືກຕ້ອງ”
## ບັນທຶກ ແລະວາງແພັກເກັດ TCP ດ້ວຍຊຸດທຸງ syn/rst ທີ່ບໍ່ຖືກຕ້ອງ
ທຸງ tcp & (syn|rst) == (syn|rst) \
ອັດຕາຈໍາກັດ 100/ ນາທີລະເບີດ 150 ແພັກເກັດ \
ຄຳນຳໜ້າບັນທຶກ “IN – TCP SYN|RST:” \
ຄວາມຄິດເຫັນ "ອັດຕາການຈໍາກັດການບັນທຶກສໍາລັບແພັກເກັດ TCP ທີ່ມີຊຸດທຸງ syn/rst ທີ່ບໍ່ຖືກຕ້ອງ"
ທຸງ tcp & (syn|rst) == (syn|rst) \
ເຄົາເຕີ \
ລົງ \
ຄວາມຄິດເຫັນ “ວາງແພັກເກັດ TCP ດ້ວຍຊຸດທຸງ syn/rst ທີ່ບໍ່ຖືກຕ້ອງ”
## ບັນທຶກ ແລະວາງທຸງ TCP ທີ່ບໍ່ຖືກຕ້ອງ
ທຸງ tcp & (fin|syn|rst|psh|ack|urg) < (fin) \
ອັດຕາຈໍາກັດ 100/ ນາທີລະເບີດ 150 ແພັກເກັດ \
ຄຳນຳໜ້າບັນທຶກ “IN – FIN:” \
ຄວາມຄິດເຫັນ “ການຈຳກັດອັດຕາການບັນທຶກສຳລັບທຸງ TCP ທີ່ບໍ່ຖືກຕ້ອງ (fin|syn|rst|psh|ack|urg) < (fin)”
ທຸງ tcp & (fin|syn|rst|psh|ack|urg) < (fin) \
ເຄົາເຕີ \
ລົງ \
ຄວາມຄິດເຫັນ “ວາງແພັກເກັດ TCP ທີ່ມີທຸງ (fin|syn|rst|psh|ack|urg) < (fin)”
## ບັນທຶກ ແລະວາງທຸງ TCP ທີ່ບໍ່ຖືກຕ້ອງ
ທຸງ tcp & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
ອັດຕາຈໍາກັດ 100/ ນາທີລະເບີດ 150 ແພັກເກັດ \
ຄຳນຳໜ້າບັນທຶກ “IN – FIN|PSH|URG:” \
ຄວາມຄິດເຫັນ “ການຈຳກັດອັດຕາການບັນທຶກສຳລັບທຸງ TCP ທີ່ບໍ່ຖືກຕ້ອງ (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
ທຸງ tcp & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
ເຄົາເຕີ \
ລົງ \
ຄວາມຄິດເຫັນ “ວາງແພັກເກັດ TCP ທີ່ມີທຸງ (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
## ຫຼຸດລົງການຈະລາຈອນທີ່ມີສະຖານະການເຊື່ອມຕໍ່ບໍ່ຖືກຕ້ອງ
ct ລັດບໍ່ຖືກຕ້ອງ \
ອັດຕາຈໍາກັດ 100/ ນາທີລະເບີດ 150 ແພັກເກັດ \
ທຸງບັນທຶກຄຳນຳໜ້າທັງໝົດ "ຢູ່ໃນ - ບໍ່ຖືກຕ້ອງ:" \
ຄວາມຄິດເຫັນ "ອັດຕາຈໍາກັດການບັນທຶກການຈະລາຈອນກັບສະຖານະການເຊື່ອມຕໍ່ທີ່ບໍ່ຖືກຕ້ອງ"
ct ລັດບໍ່ຖືກຕ້ອງ \
ເຄົາເຕີ \
ລົງ \
ຄວາມຄິດເຫັນ "ຫຼຸດລົງການຈະລາຈອນທີ່ມີສະຖານະການເຊື່ອມຕໍ່ທີ່ບໍ່ຖືກຕ້ອງ"
## ອະນຸຍາດການຕອບສະໜອງ IPv4 ping/ping ແຕ່ອັດຕາຈໍາກັດເຖິງ 2000 PPS
ip protocol icmp ປະເພດ icmp { echo-reply, echo-request } \
ອັດຕາຈໍາກັດ 2000/ວິນາທີ \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ inbound IPv4 echo (ping) ຈໍາກັດ 2000 PPS"
## ອະນຸຍາດ IPv4 ICMP ຂາເຂົ້າອື່ນໆທັງໝົດ
ip ພິທີການ icmp \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ IPv4 ICMP ອື່ນໆທັງຫມົດ"
## ອະນຸຍາດການຕອບສະໜອງ IPv6 ping/ping ແຕ່ອັດຕາຈໍາກັດເຖິງ 2000 PPS
ປະເພດ icmpv6 { echo-reply, echo-request } \
ອັດຕາຈໍາກັດ 2000/ວິນາທີ \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ inbound IPv6 echo (ping) ຈໍາກັດ 2000 PPS"
## ອະນຸຍາດ IPv6 ICMP ຂາເຂົ້າອື່ນໆທັງໝົດ
meta l4proto { icmpv6 } \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ IPv6 ICMP ອື່ນໆທັງຫມົດ"
## ອະນຸຍາດໃຫ້ພອດ UDP traceroute ຂາເຂົ້າແຕ່ຈໍາກັດເຖິງ 500 PPS
udp dport 33434-33524 \
ອັດຕາຈໍາກັດ 500/ວິນາທີ \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ inbound UDP traceroute ຈໍາກັດ 500 PPS"
## ອະນຸຍາດ SSH ຂາເຂົ້າ
tcp dport ssh ct ລັດໃຫມ່ \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ເຊື່ອມຕໍ່ SSH ຂາເຂົ້າ"
## ອະນຸຍາດ HTTP ແລະ HTTPS ຂາເຂົ້າ
tcp dport { http, https } ct state new \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ເຊື່ອມຕໍ່ HTTP ແລະ HTTPS ຂາເຂົ້າ"
## ບັນທຶກການຈາລະຈອນທີ່ບໍ່ກົງກັນແຕ່ອັດຕາຈໍາກັດການບັນທຶກສູງສຸດ 60 ຂໍ້ຄວາມ/ນາທີ
## ນະໂຍບາຍເລີ່ມຕົ້ນຈະຖືກນຳໃຊ້ກັບການຈະລາຈອນທີ່ບໍ່ກົງກັນ
ອັດຕາຈໍາກັດ 60/ ນາທີລະເບີດ 100 ແພັກເກັດ \
ຄຳນຳໜ້າບັນທຶກ "ໃນ - ຫຼຸດລົງ:" \
ຄວາມຄິດເຫັນ "ບັນທຶກການຈະລາຈອນທີ່ບໍ່ກົງກັນໃດໆ"
## ນັບການຈະລາຈອນທີ່ບໍ່ກົງກັນ
ເຄົາເຕີ \
ຄວາມຄິດເຫັນ "ນັບການຈະລາຈອນທີ່ບໍ່ກົງກັນໃດໆ"
}
# ກົດລະບຽບການຈາລະຈອນຜົນຜະລິດ
ຜົນຜະລິດລະບົບຕ່ອງໂສ້ {
type filter hook output filter ບູລິມະສິດ; ນະໂຍບາຍຫຼຸດລົງ
## ອະນຸຍາດໃຫ້ການຈາລະຈອນຂາອອກໄປຫາການໂຕ້ຕອບ loopback
oif lo \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ການຈະລາຈອນທັງຫມົດອອກໄປໃນການໂຕ້ຕອບ loopback"
## ອະນຸຍາດໃຫ້ສ້າງຕັ້ງແລະການເຊື່ອມຕໍ່ທີ່ກ່ຽວຂ້ອງ
ລັດ ct ສ້າງຕັ້ງຂຶ້ນ, ທີ່ກ່ຽວຂ້ອງ \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ສ້າງຕັ້ງ / ການເຊື່ອມຕໍ່ທີ່ກ່ຽວຂ້ອງ"
## ອະນຸຍາດໃຫ້ການຈະລາຈອນ WireGuard ຂາອອກກ່ອນທີ່ຈະຫຼຸດລົງການເຊື່ອມຕໍ່ກັບສະຖານະທີ່ບໍ່ດີ
oif $DEV_WAN ກິລາ udp $WIREGUARD_PORT \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ການສັນຈອນນອກ WireGuard"
## ຫຼຸດລົງການຈະລາຈອນທີ່ມີສະຖານະການເຊື່ອມຕໍ່ບໍ່ຖືກຕ້ອງ
ct ລັດບໍ່ຖືກຕ້ອງ \
ອັດຕາຈໍາກັດ 100/ ນາທີລະເບີດ 150 ແພັກເກັດ \
ທຸງບັນທຶກຄຳນຳໜ້າທັງໝົດ “ອອກ – ບໍ່ຖືກຕ້ອງ:” \
ຄວາມຄິດເຫັນ "ອັດຕາຈໍາກັດການບັນທຶກການຈະລາຈອນກັບສະຖານະການເຊື່ອມຕໍ່ທີ່ບໍ່ຖືກຕ້ອງ"
ct ລັດບໍ່ຖືກຕ້ອງ \
ເຄົາເຕີ \
ລົງ \
ຄວາມຄິດເຫັນ "ຫຼຸດລົງການຈະລາຈອນທີ່ມີສະຖານະການເຊື່ອມຕໍ່ທີ່ບໍ່ຖືກຕ້ອງ"
## ອະນຸຍາດ IPv4 ICMP ຂາອອກອື່ນໆທັງໝົດ
ip ພິທີການ icmp \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດ IPv4 ICMP ທຸກປະເພດ"
## ອະນຸຍາດ IPv6 ICMP ຂາອອກອື່ນໆທັງໝົດ
meta l4proto { icmpv6 } \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດ IPv6 ICMP ທຸກປະເພດ"
## ອະນຸຍາດໃຫ້ພອດ UDP traceroute ຂາອອກແຕ່ຈໍາກັດເຖິງ 500 PPS
udp dport 33434-33524 \
ອັດຕາຈໍາກັດ 500/ວິນາທີ \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ UDP traceroute ຂາອອກຈໍາກັດ 500 PPS"
## ອະນຸຍາດການເຊື່ອມຕໍ່ HTTP ແລະ HTTPS ຂາອອກ
tcp dport { http, https } ct state new \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ເຊື່ອມຕໍ່ HTTP ແລະ HTTPS ຂາອອກ"
## ອະນຸຍາດໃຫ້ສົ່ງ SMTP ຂາອອກ
ການຍື່ນສະເຫນີ tcp dport ct state ໃຫມ່ \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ສົ່ງ SMTP ຂາອອກ"
## ອະນຸຍາດການຮ້ອງຂໍ DNS ຂາອອກ
udp dport 53 \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດໃຫ້ຄໍາຮ້ອງຂໍ DNS ຂາອອກ UDP"
tcp dport 53 \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດການຮ້ອງຂໍ TCP DNS ຂາອອກ"
## ອະນຸຍາດການຮ້ອງຂໍ NTP ຂາອອກ
udp dport 123 \
ເຄົາເຕີ \
ຍອມຮັບ \
ຄວາມຄິດເຫັນ "ອະນຸຍາດການຮ້ອງຂໍ NTP ຂາອອກ"
## ບັນທຶກການຈາລະຈອນທີ່ບໍ່ກົງກັນແຕ່ອັດຕາຈໍາກັດການບັນທຶກສູງສຸດ 60 ຂໍ້ຄວາມ/ນາທີ
## ນະໂຍບາຍເລີ່ມຕົ້ນຈະຖືກນຳໃຊ້ກັບການຈະລາຈອນທີ່ບໍ່ກົງກັນ
ອັດຕາຈໍາກັດ 60/ ນາທີລະເບີດ 100 ແພັກເກັດ \
ຄຳນຳໜ້າບັນທຶກ “ອອກ – ຖິ້ມ:” \
ຄວາມຄິດເຫັນ "ບັນທຶກການຈະລາຈອນທີ່ບໍ່ກົງກັນໃດໆ"
## ນັບການຈະລາຈອນທີ່ບໍ່ກົງກັນ
ເຄົາເຕີ \
ຄວາມຄິດເຫັນ "ນັບການຈະລາຈອນທີ່ບໍ່ກົງກັນໃດໆ"
}
}
# ຕາຕະລາງການກັ່ນຕອງ NAT ຫຼັກ
ຕາຕະລາງ inet nat {
# ກົດລະບຽບການສັນຈອນ NAT ກ່ອນເສັ້ນທາງ
ລະບົບຕ່ອງໂສ້ prerouting {
ປະເພດ nat hook prerouting ບູລິມະສິດ dstnat; ຍອມຮັບນະໂຍບາຍ
}
# ກົດລະບຽບການສັນຈອນ NAT ຫຼັງຈາກເສັ້ນທາງ
# ຕາຕະລາງນີ້ຖືກປະມວນຜົນກ່ອນລະບົບຕ່ອງໂສ້ຫຼັງການສົ່ງຕໍ່ Firezone
ລະບົບຕ່ອງໂສ້ postrouting {
ປະເພດ nat hook postrouting ບູລິມະສິດ srcnat – 5; ຍອມຮັບນະໂຍບາຍ
}
}
Firewall ຄວນຖືກເກັບໄວ້ໃນສະຖານທີ່ທີ່ກ່ຽວຂ້ອງສໍາລັບການແຈກຢາຍ Linux ທີ່ກໍາລັງເຮັດວຽກ. ສໍາລັບ Debian/Ubuntu ນີ້ແມ່ນ /etc/nftables.conf ແລະສໍາລັບ RHEL ນີ້ແມ່ນ /etc/sysconfig/nftables.conf.
nftables.service ຈະຕ້ອງໄດ້ຮັບການຕັ້ງຄ່າເພື່ອເລີ່ມຕົ້ນການບູດ (ຖ້າບໍ່ມີແລ້ວ) ຕັ້ງໄວ້:
systemctl ເປີດໃຊ້ nftables.service
ຖ້າມີການປ່ຽນແປງໃດໆກັບແມ່ແບບ firewall, syntax ສາມາດກວດສອບໄດ້ໂດຍການແລ່ນຄໍາສັ່ງກວດສອບ:
nft -f /path/to/nftables.conf -c
ໃຫ້ແນ່ໃຈວ່າການກວດສອບ Firewall ເຮັດວຽກຕາມທີ່ຄາດໄວ້ເນື່ອງຈາກລັກສະນະ nftables ບາງຢ່າງອາດຈະບໍ່ມີຢູ່ຂຶ້ນຢູ່ກັບການປ່ອຍທີ່ເຮັດວຽກຢູ່ໃນເຄື່ອງແມ່ຂ່າຍ.
_______________________________________________________________
ເອກະສານນີ້ສະເໜີພາບລວມຂອງ telemetry Firezone ເກັບກຳຈາກຕົວຢ່າງທີ່ເຈົ້າເປັນເຈົ້າພາບ ແລະວິທີການປິດການນຳໃຊ້ມັນ.
ເຂດດັບເພີງ ຂື້ນກັບ ກ່ຽວກັບ telemetry ເພື່ອຈັດລໍາດັບຄວາມສໍາຄັນຂອງແຜນທີ່ຖະຫນົນຂອງພວກເຮົາແລະເພີ່ມປະສິດທິພາບຊັບພະຍາກອນດ້ານວິສະວະກໍາທີ່ພວກເຮົາຕ້ອງເຮັດໃຫ້ Firezone ດີຂຶ້ນສໍາລັບທຸກຄົນ.
telemetry ທີ່ພວກເຮົາເກັບກໍາມີຈຸດປະສົງເພື່ອຕອບຄໍາຖາມຕໍ່ໄປນີ້:
ມີສາມສະຖານທີ່ຕົ້ນຕໍທີ່ເກັບກໍາຂໍ້ມູນ telemetry ໃນ Firezone:
ໃນແຕ່ລະສາມສະພາບການນີ້, ພວກເຮົາເກັບກໍາຂໍ້ມູນຈໍານວນຕໍາ່ສຸດທີ່ທີ່ຈໍາເປັນເພື່ອຕອບຄໍາຖາມໃນພາກສ່ວນຂ້າງເທິງ.
ອີເມວຜູ້ເບິ່ງແຍງຈະຖືກເກັບເອົາພຽງແຕ່ຖ້າທ່ານເລືອກເຂົ້າໃນການອັບເດດຜະລິດຕະພັນຢ່າງຈະແຈ້ງເທົ່ານັ້ນ. ຖ້າບໍ່ດັ່ງນັ້ນ, ຂໍ້ມູນສ່ວນບຸກຄົນທີ່ສາມາດລະບຸຕົວຕົນໄດ້ ບໍ່ເຄີຍ ເກັບກໍາຂໍ້ມູນ.
Firezone ເກັບຮັກສາ telemetry ຢູ່ໃນຕົວຢ່າງທີ່ເປັນເຈົ້າພາບຂອງຕົນເອງຂອງ PostHog ທີ່ແລ່ນຢູ່ໃນກຸ່ມ Kubernetes ສ່ວນຕົວ, ສາມາດເຂົ້າເຖິງໄດ້ໂດຍທີມງານ Firezone ເທົ່ານັ້ນ. ນີ້ແມ່ນຕົວຢ່າງຂອງເຫດການ telemetry ທີ່ຖືກສົ່ງຈາກຕົວຢ່າງ Firezone ຂອງທ່ານໄປຫາເຄື່ອງແມ່ຂ່າຍ telemetry ຂອງພວກເຮົາ:
{
ໄປ: “0182272d-0b88-0000-d419-7b9a413713f1”,
"ສະແຕມເວລາ": “2022-07-22T18:30:39.748000+00:00”,
"ເຫດການ": “fz_http_started”,
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"ຄຸນສົມບັດ":{
“$geoip_city_name”: "Ashburn",
“$geoip_continent_code”: “NA”,
“$geoip_continent_name”: "ອາເມລິກາເຫນືອ",
“$geoip_country_code”: "ພວກເຮົາ",
“$geoip_country_name”: "ສະຫະລັດ",
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
“$geoip_subdivision_1_code”: “VA”,
“$geoip_subdivision_1_name”: "ເວີຈີເນຍ",
“$geoip_time_zone”: “ອາເມລິກາ/ນິວ_ຢອກ”,
“$ip”: "52.200.241.107",
“$plugins_ deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”: [
“GeoIP (3)”
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": “awsdemo.firezone.dev”,
“ຮຸ່ນ kernel”: "linux 5.13.0",
"ຮຸ່ນ": "0.4.6"
},
"ອົງປະກອບ_ຕ່ອງໂສ້": ""
}
ຫມາຍເຫດ
ທີມງານພັດທະນາ Firezone ຂື້ນກັບ ກ່ຽວກັບການວິເຄາະຜະລິດຕະພັນເພື່ອເຮັດໃຫ້ Firezone ດີກວ່າສໍາລັບທຸກຄົນ. ການເປີດການນຳໃຊ້ telemetry ເປັນການປະກອບສ່ວນອັນລ້ຳຄ່າທີ່ສຸດທີ່ເຈົ້າສາມາດສ້າງໃຫ້ກັບ Firezone ໄດ້. ທີ່ເວົ້າວ່າ, ພວກເຮົາເຂົ້າໃຈຜູ້ໃຊ້ບາງຄົນມີຄວາມຕ້ອງການຄວາມເປັນສ່ວນຕົວຫຼືຄວາມປອດໄພທີ່ສູງກວ່າແລະຕ້ອງການປິດການໃຊ້ງານ telemetry ທັງຫມົດ. ຖ້ານັ້ນແມ່ນເຈົ້າ, ສືບຕໍ່ອ່ານ.
Telemetry ຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນ. ເພື່ອປິດການໃຊ້ງານ telemetry ຜະລິດຕະພັນຢ່າງສົມບູນ, ຕັ້ງຕົວເລືອກການຕັ້ງຄ່າຕໍ່ໄປນີ້ເປັນຜິດໃນ /etc/firezone/firezone.rb ແລະດໍາເນີນການ sudo firezone-ctl reconfigure ເພື່ອເລືອກເອົາການປ່ຽນແປງ.
ຄ່າເລີ່ມຕົ້ນ['ເຂດໄຟໄຫມ້']['ໂທລະທັດ']['ເປີດໃຊ້ງານ'] = ທີ່ບໍ່ຖືກຕ້ອງ
ທີ່ຈະປິດການໃຊ້ງານ telemetry ຜະລິດຕະພັນທັງຫມົດ.
Halbytes
9511 Queens Guard Ct.
Laurel, MD 20723
ໂທລະສັບ: (732) 771-9995
ອີເມວ: info@hailbytes.com
