د Firezone GUI سره د Hailbytes VPN ګمارلو لپاره ګام په ګام لارښوونې دلته چمتو شوي.
اداره کول: د سرور مثال تنظیم کول مستقیم له دې برخې سره تړاو لري.
د کارونکي لارښودونه: ګټور اسناد چې تاسو ته د فائر زون کارولو څرنګوالی او عادي ستونزې حل کولی شي. وروسته له دې چې سرور په بریالیتوب سره ځای په ځای شوی، دې برخې ته مراجعه وکړئ.
سپلیټ تونل کول: VPN وکاروئ یوازې ځانګړي IP سلسلو ته ترافیک لیږلو لپاره.
سپین لیست کول: د سپین لیست کولو کارولو لپاره د VPN سرور جامد IP پته تنظیم کړئ.
ریورس تونلونه: د ریورس تونلونو په کارولو سره د څو ملګرو ترمنځ تونلونه جوړ کړئ.
موږ خوښ یو چې تاسو سره مرسته وکړو که تاسو د Hailbytes VPN نصبولو ، تنظیم کولو یا کارولو کې مرستې ته اړتیا لرئ.
مخکې لدې چې کاروونکي وکولی شي د وسیلې ترتیب کولو فایلونه تولید یا ډاونلوډ کړي ، Firezone د تصدیق کولو اړتیا لپاره تنظیم کیدی شي. کاروونکي ممکن د وخت په تیریدو سره بیا تصدیق کولو ته هم اړتیا ولري ترڅو د دوی VPN پیوستون فعال وساتي.
که څه هم د فایر زون د ډیفالټ ننوتلو میتود محلي بریښنالیک او پټنوم دی ، دا د هر معیاري OpenID Connect (OIDC) پیژندونکي چمتو کونکي سره هم مدغم کیدی شي. کاروونکي اوس د دې وړتیا لري چې د خپل Okta، ګوګل، Azure AD، یا د شخصي پیژندنې چمتو کونکي اسناد په کارولو سره Firezone ته ننوځي.
د عمومي OIDC چمتو کونکي ادغام
د تنظیم کولو پیرامیټونه د Firezone لخوا اړین دي ترڅو SSO ته د OIDC چمتو کونکي په کارولو سره اجازه ورکړي په لاندې مثال کې ښودل شوي. په /etc/firezone/firezone.rb کې، تاسو کولی شئ د ترتیب کولو فایل ومومئ. د اپلیکیشن تازه کولو او د بدلونونو اغیزې کولو لپاره firezone-ctl reconfigure او firezone-ctl بیا پیل کړئ.
# دا د SSO پیژندونکي چمتو کونکي په توګه د ګوګل او اوکاټا کارولو مثال دی.
# ډیری OIDC تشکیلات ورته فایر زون مثال کې اضافه کیدی شي.
# فائر زون کولی شي د کارونکي VPN غیر فعال کړي که چیرې کومه تېروتنه په هڅه کې وموندل شي
# د دوی لاسرسي_ټوکن تازه کولو لپاره. دا د ګوګل، Okta، او لپاره د کار کولو لپاره تایید شوی
# Azure SSO او د کارونکي VPN په اتوماتيک ډول منحل کولو لپاره کارول کیږي که چیرې دوی لرې شي
# د OIDC چمتو کونکي څخه. دا غیر فعال پریږدئ که ستاسو د OIDC چمتو کونکی
# د لاسرسي ټکنونو تازه کولو مسلې لري ځکه چې دا کولی شي په غیر متوقع ډول a مداخله وکړي
# د کارونکي VPN ناسته.
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = غلط
default['firezone']['authentication']['oidc'] = {
google: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration"،
client_id: " "،
د پیرودونکي_راز: " "،
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
ځواب_ډول: "کوډ"،
دائره: "پرانستل شوي بریښنالیک پروفایل"،
لیبل: "ګوګل"
},
اوکټا: {
Discovery_document_uri: "https:// /.well-known/openid-configuration”,
client_id: " "،
د پیرودونکي_راز: " "،
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
ځواب_ډول: "کوډ"،
دائره: "د خلاص بریښنالیک پروفایل offline_access"،
لیبل: "اکتا"
}
}
د ادغام لپاره لاندې ترتیب ترتیبات اړین دي:
د هر OIDC چمتو کونکي لپاره یو ورته ښکلی URL د ترتیب شوي چمتو کونکي لاسلیک شوي URL ته د راستنیدو لپاره رامینځته کیږي. د مثال لپاره د OIDC ترتیب پورته، URLs دي:
چمتو کونکي موږ لپاره اسناد لرو:
که ستاسو د پیژندنې چمتو کونکی عمومي OIDC نښلونکی ولري او پورته لیست شوی نه وي، مهرباني وکړئ د دوی اسنادو ته لاړ شئ د معلوماتو لپاره چې څنګه د اړین ترتیب ترتیبات بیرته ترلاسه کړئ.
د تنظیماتو/امنیت لاندې ترتیب بدل کیدی شي ترڅو دوره ایز بیا تصدیق ته اړتیا ولري. دا د اړتیا پلي کولو لپاره کارول کیدی شي چې کاروونکي په منظم ډول د فائر زون ته ننوځي ترڅو د دوی VPN ناستې ته دوام ورکړي.
د ناستې اوږدوالی د یو ساعت او نهو ورځو ترمنځ تنظیم کیدی شي. هیڅکله د دې تنظیم کولو سره ، تاسو کولی شئ په هر وخت کې د VPN ناستې فعال کړئ. دا معیار دی.
یو کاروونکی باید خپل VPN ناسته پای ته ورسوي او د فایر زون پورټل ته ننوځي ترڅو د ختم شوي VPN سیشن بیا تصدیق کولو لپاره (د ګمارلو پرمهال مشخص شوی URL).
تاسو کولی شئ دلته موندل شوي د پیرودونکي دقیق لارښوونې تعقیبولو سره خپله ناسته بیا تصدیق کړئ.
د VPN اتصال حالت
د کاروونکو پاڼې د VPN اتصال جدول کالم د کارونکي پیوستون حالت ښیې. دا د ارتباط حالتونه دي:
فعال شوی - پیوستون فعال شوی.
غیر فعال - پیوستون د مدیر یا OIDC ریفریش ناکامي لخوا غیر فعال شوی.
ختم شوی - اړیکه د اعتبار ختمیدو له امله غیر فعاله شوې یا یو کارونکي د لومړي ځل لپاره لاسلیک نه دی کړی.
د عمومي OIDC نښلونکي له لارې، Firezone د Google Workspace او Cloud Identity سره واحد لاسلیک-آن (SSO) فعالوي. دا لارښود به تاسو ته وښیې چې څنګه لاندې لیست شوي د ترتیب کولو پیرامیټونه ترلاسه کړئ ، کوم چې د ادغام لپاره اړین دي:
1. د OAuth ترتیب سکرین
که دا لومړی ځل وي چې تاسو د نوي OAuth پیرودونکي ID رامینځته کوئ ، نو تاسو به وغوښتل شي چې د رضایت سکرین تنظیم کړئ.
* د کارونکي ډول لپاره داخلي غوره کړئ. دا ډاډ ورکوي چې یوازې ستاسو د ګوګل ورک سپیس سازمان کې د کاروونکو پورې اړوند حسابونه کولی شي د وسیلې تشکیلات رامینځته کړي. بهرنۍ انتخاب مه کوئ پرته لدې چې تاسو غواړئ د وسیلې تشکیلاتو رامینځته کولو لپاره د اعتبار وړ ګوګل حساب سره هرڅوک فعال کړئ.
د اپلیکیشن معلوماتو سکرین کې:
2. د OAuth پیرودونکي IDs جوړ کړئ
دا برخه د ګوګل د خپلو اسنادو پر بنسټ ولاړه ده د OAuth 2.0 تنظیم کول.
د ګوګل کلاوډ کنسول څخه لیدنه وکړئ د اعتبار پاڼه پاڼه، کلیک وکړئ + اسناد جوړ کړئ او د OAuth پیرودونکي ID غوره کړئ.
د OAuth پیرودونکي ID رامینځته کولو سکرین کې:
د OAuth پیرودونکي ID رامینځته کولو وروسته ، تاسو ته به د پیرودونکي ID او د پیرودونکي راز درکړل شي. دا به په بل ګام کې د ریډیریټ URI سره یوځای وکارول شي.
سمول /etc/firezone/firezone.rb د لاندې اختیارونو شاملولو لپاره:
# د SSO پیژندونکي په توګه د ګوګل کارول
default['firezone']['authentication']['oidc'] = {
google: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration"،
client_id: " "،
د پیرودونکي راز: " "،
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
ځواب_ډول: "کوډ"،
دائره: "پرانستل شوي بریښنالیک پروفایل"،
لیبل: "ګوګل"
}
}
د اپلیکیشن تازه کولو لپاره firezone-ctl reconfigure او firezone-ctl بیا پیل کړئ. تاسو باید اوس د روټ فائر زون URL کې د ګوګل تڼۍ سره لاسلیک وګورئ.
Firezone د اوکټا سره د واحد لاسلیک (SSO) اسانتیا لپاره عمومي OIDC نښلونکی کاروي. دا ټیوټوریل به تاسو ته وښیې چې څنګه لاندې لیست شوي د ترتیب کولو پیرامیټونه ترلاسه کړئ ، کوم چې د ادغام لپاره اړین دي:
د لارښود دا برخه پر بنسټ ولاړه ده د اوکتا اسناد.
په اډمین کنسول کې، غوښتنلیکونو> غوښتنلیکونو ته لاړ شئ او د اپلیکیشن ادغام جوړ کړئ کلیک وکړئ. OICD ته د ننوتلو طریقه تنظیم کړئ - د OpenID نښلول او ویب غوښتنلیک ته د غوښتنلیک ډول.
دا ترتیبات تنظیم کړئ:
یوځل چې تنظیمات خوندي شي ، تاسو ته به د پیرودونکي ID ، د پیرودونکي راز ، او اوکټا ډومین درکړل شي. دا 3 ارزښتونه به د فائر زون تنظیم کولو لپاره په 2 مرحله کې وکارول شي.
سمول /etc/firezone/firezone.rb لاندې اختیارونه شاملولو لپاره. ستاسو کشف_د سند_url وي به /.well-known/openid-configuration ستاسو په پای کې ضمیمه شوی okta_domain.
# د SSO پیژندونکي په توګه د Okta کارول
default['firezone']['authentication']['oidc'] = {
اوکټا: {
Discovery_document_uri: "https:// /.well-known/openid-configuration”,
client_id: " "،
د پیرودونکي راز: " "،
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
ځواب_ډول: "کوډ"،
دائره: "د خلاص بریښنالیک پروفایل offline_access"،
لیبل: "اکتا"
}
}
د اپلیکیشن تازه کولو لپاره firezone-ctl reconfigure او firezone-ctl بیا پیل کړئ. تاسو باید اوس په روټ Firezone URL کې د اوکټا تڼۍ سره لاسلیک وګورئ.
هغه کارونکي چې د فائر زون ایپ ته لاسرسی کولی شي د اوکټا لخوا محدود کیدی شي. د دې سرته رسولو لپاره د خپل Okta Admin Console د Firezone App Integration Assignments پاڼې ته لاړ شئ.
د عمومي OIDC نښلونکي له لارې، Firezone د Azure Active Directory سره Single Sign-On (SSO) وړوي. دا لارښود به تاسو ته وښیې چې څنګه لاندې لیست شوي د ترتیب کولو پیرامیټونه ترلاسه کړئ، کوم چې د ادغام لپاره اړین دي:
دا لارښود د دې څخه اخیستل شوی د Azure فعال لارښود اسناد.
د Azure portal Azure Active Directory پاڼې ته لاړ شئ. د مدیریت مینو اختیار غوره کړئ، نوی راجستریشن غوره کړئ، بیا د لاندې معلوماتو چمتو کولو سره راجستر کړئ:
د راجسټر کولو وروسته ، د غوښتنلیک توضیحات لید خلاص کړئ او کاپي یې کړئ د غوښتنلیک (پیرودونکي) ID. دا به د client_id ارزښت وي. بیا ، د بیرته ترلاسه کولو لپاره د پای ټکي مینو خلاص کړئ د OpenID Connect میټاډاټا سند. دا به د کشف_د سند_uri ارزښت وي.
د مدیریت مینو لاندې د سندونو او رازونو اختیار په کلیک کولو سره د نوي پیرودونکي راز رامینځته کړئ. د پیرودونکي راز کاپي کړئ؛ د پیرودونکي پټ ارزښت به دا وي.
په نهایت کې ، د مدیریت مینو لاندې د API اجازې لینک غوره کړئ ، کلیک وکړئ اجازه اضافه کړئاو غوره کړئ مایکروسافټ ګراف، Add ایمیل, OpenID, آف لائن_لاسرسی او عکس وښاياست د اړتیا وړ اجازې ته.
سمول /etc/firezone/firezone.rb د لاندې اختیارونو شاملولو لپاره:
# د SSO پیژندونکي په توګه د Azure فعال لارښود کارول
default['firezone']['authentication']['oidc'] = {
azure: {
Discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: " "،
د پیرودونکي راز: " "،
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/"،
ځواب_ډول: "کوډ"،
دائره: "د خلاص بریښنالیک پروفایل offline_access"،
لیبل: "ازور"
}
}
د اپلیکیشن تازه کولو لپاره firezone-ctl reconfigure او firezone-ctl بیا پیل کړئ. تاسو باید اوس په روټ Firezone URL کې د Azure تڼۍ سره لاسلیک وګورئ.
Azure AD مدیرانو ته وړتیا ورکوي چې ستاسو په شرکت کې د کاروونکو یوې ځانګړې ډلې ته د ایپ لاسرسي محدود کړي. د دې کولو څرنګوالي په اړه نور معلومات د مایکروسافټ اسنادو کې موندل کیدی شي.
شیف اومنیبس د فائر زون لخوا د دندو اداره کولو لپاره کارول کیږي پشمول د خوشې بسته بندۍ ، پروسې نظارت ، د لاګ مدیریت ، او نور ډیر څه.
د روبي کوډ لومړني ترتیب فایل جوړوي، کوم چې په /etc/firezone/firezone.rb کې موقعیت لري. په دې فایل کې د بدلونونو وروسته د sudo firezone-ctl بیا تنظیم کول د شیف لامل کیږي چې بدلونونه وپیژني او اوسني عملیاتي سیسټم ته یې پلي کړي.
د ترتیب کولو متغیرونو او د دوی توضیحاتو بشپړ لیست لپاره د ترتیب فایل حوالې وګورئ.
ستاسو د فائر زون مثال د دې له لارې اداره کیدی شي firezone-ctl کمانډ، لکه څنګه چې لاندې ښودل شوي. ډیری فرعي کمانډونه د مخکیني سره اړتیا لري سوډو.
root@demo:~# firezone-ctl
omnibus-ctl: کمانډ (فرعي کمانډ)
عمومي حکمونه:
پاکول
* ټول * د اور وژنې ډیټا حذف کړئ، او له سکریچ څخه پیل کړئ.
منتظم جوړ کړئ یا بیا تنظیم کړئ
د ډیفالټ ['firezone']['admin_email'] لخوا مشخص شوي بریښنالیک سره د اډمین لپاره پټنوم بیا تنظیموي یا یو نوی مدیر رامینځته کوي که چیرې دا بریښنالیک شتون ونلري.
مرسته
دا د مرستې پیغام چاپ کړئ.
بیا تنظیمول
غوښتنلیک بیا تنظیم کړئ.
reset-network
nftables، WireGuard انٹرفیس، او د روټینګ میز بیرته د Firezone ډیفالټ ته بیا تنظیموي.
show-config
هغه ترتیب وښایاست چې د بیا تنظیم کولو لخوا رامینځته کیږي.
تخریب - شبکه
د WireGuard انٹرفیس او د Firezone nftables جدول لرې کوي.
ځواک - تصدیق - تجدید
د سند نوي کول اوس مجبور کړئ حتی که دا پای ته نه وي رسیدلی.
stop-cert- تجدید
کرونجب لرې کوي چې سندونه نوي کوي.
نالګول
ټولې پروسې وژنئ او د پروسې څارونکي غیر نصب کړئ (ډیټا به خوندي شي).
نسخه
د Firezone اوسنی نسخه ښکاره کړئ
د خدماتو مدیریت امرونه:
په زړه پورې - وژنه
په زړه پورې تمځای هڅه وکړئ، بیا د پروسې ټول ګروپ SIGKILL.
کوپ
خدمات HUP ته واستوئ.
اینټ
خدمتونه INT ته واستوئ.
وژني
خدمتونه یو وژنه واستوئ.
یوځل
خدمتونه پیل کړئ که دوی ښکته وي. که دوی ودریږي بیا یې مه پیلوئ.
بیا روښانه کول
خدمتونه بند کړئ که دوی روان وي نو بیا یې پیل کړئ.
د خدماتو لیست
ټول خدمات لیست کړئ (فعال شوي خدمتونه د * سره څرګندیږي.)
پیل
خدمتونه پیل کړئ که دوی ښکته وي، او که دوی ودریږي بیا یې پیل کړئ.
حالت
د ټولو خدماتو وضعیت ښکاره کړئ.
درېدل
خدمات بند کړئ، او بیا یې مه پیلوئ.
پټه
د ټولو فعال شویو خدماتو د خدماتو لاګ وګورئ.
اصطلاح
خدمتونه یو TERM واستوئ.
usr1
خدمتونه په USR1 کې واستوئ.
usr2
خدمتونه په USR2 کې واستوئ.
ټولې VPN ناستې باید د فایر زون لوړولو دمخه پای ته ورسي ، کوم چې د ویب UI بندولو غوښتنه هم کوي. په هغه حالت کې چې د نوي کولو په جریان کې یو څه غلط کیږي، موږ مشوره ورکوو چې د ساتنې لپاره یو ساعت جلا کړئ.
د Firezone لوړولو لپاره، لاندې کړنې ترسره کړئ:
که کومه ستونزه رامنځته شي، مهرباني وکړئ موږ ته خبر راکړئ د ملاتړ ټکټ سپارل.
په 0.5.0 کې یو څو ماتونکي بدلونونه او د تشکیلاتو بدلونونه شتون لري چې باید په نښه شي. لاندې نور معلومات ومومئ.
نګینکس نور د 0.5.0 نسخه سره سم د ځواک SSL او غیر SSL پورټ پیرامیټونو ملاتړ نه کوي. ځکه چې فایر زون د کار کولو لپاره SSL ته اړتیا لري، موږ مشوره ورکوو چې د ډیفالټ ['firezone']['nginx']['enabled'] = غلط په ترتیب کولو سره د بنډل نګینکس خدمت لرې کړئ او د دې پرځای په پورټ 13000 کې د فینکس ایپ ته خپل ریورس پراکسي لارښود کړئ (د ډیفالټ له مخې ).
0.5.0 د بنډل شوي Nginx خدمت سره د SSL سندونو په اوتومات ډول نوي کولو لپاره د ACME پروتوکول ملاتړ معرفي کوي. د فعالولو لپاره،
د نقل ځایونو سره د قواعدو اضافه کولو امکان په Firezone 0.5.0 کې ورک شوی. زموږ د مهاجرت سکریپټ به دا حالتونه په اتوماتيک ډول 0.5.0 ته د لوړیدو پرمهال پیژني او یوازې هغه مقررات ساتي چې منزل یې نور قاعده پکې شامل وي. هیڅ شی نشته چې تاسو یې کولو ته اړتیا لرئ که دا سم وي.
که نه نو، د لوړولو دمخه، موږ د دې شرایطو څخه د خلاصون لپاره ستاسو د مقرراتو بدلولو مشوره ورکوو.
Firezone 0.5.0 د نوي، ډیر انعطاف وړ OIDC پر بنسټ ترتیب کولو په ګټه د زاړه سټایل اوکټا او ګوګل SSO ترتیب لپاره ملاتړ لرې کوي.
که تاسو د ډیفالټ['firezone']['authentication']['okta'] یا ډیفالټ['firezone']['authentication']['google'] کلیدونو لاندې کوم تشکیلات لرئ، تاسو اړتیا لرئ دا زموږ OIDC ته واستوئ - د لاندې لارښود په کارولو سره تنظیم کول.
د Google OAuth موجوده تشکیلات
دا لینونه لرې کړئ چې زاړه ګوګل OAuth تشکیلات لري ستاسو د ترتیب فایل څخه چې په /etc/firezone/firezone.rb کې موقعیت لري لرې کړئ
default['firezone']['authentication']['google']['enabled']
default['firezone']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
default['firezone']['authentication']['google']['redirect_uri']
بیا، دلته د پروسیجرونو په تعقیب ګوګل د OIDC چمتو کونکي په توګه تنظیم کړئ.
(د لینک لارښوونې چمتو کړئ)<<<<<<<<<<<<<
موجوده Google OAuth تنظیم کړئ
دا لینونه لرې کړئ چې زاړه Okta OAuth تشکیلات لري ستاسو د ترتیب کولو فایل څخه چې موقعیت لري /etc/firezone/firezone.rb
default['firezone']['authentication']['okta']['enabled']
default['firezone']['authentication']['okta']['client_id']
default['firezone']['authentication']['okta']['client_secret']
Default['firezone']['authentication']['okta']['site']
بیا، Okta د OIDC چمتو کونکي په توګه تنظیم کړئ دلته د پروسیجرونو په تعقیب.
ستاسو د اوسني تنظیم او نسخې پورې اړه لري، لاندې لارښوونې تعقیب کړئ:
که تاسو دمخه د OIDC ادغام لرئ:
د ځینو OIDC چمتو کونکو لپاره، >= 0.3.16 ته لوړیدل د آفلاین لاسرسي ساحې لپاره د ریفریش نښه ترلاسه کولو ته اړتیا لري. د دې کولو په واسطه، دا ډاډه کیږي چې د پیژندونکي چمتو کونکي سره د Firezone تازه کیږي او دا چې د VPN اتصال د کاروونکي له مینځه وړلو وروسته بند شوی. د فائر زون مخکیني تکرارونه دا ځانګړتیا نلري. په ځینو مواردو کې، هغه کاروونکي چې ستاسو د هویت چمتو کونکي څخه حذف شوي ممکن لاهم د VPN سره وصل وي.
دا اړینه ده چې د OIDC چمتو کونکو لپاره ستاسو د OIDC ترتیب په دائره پیرامیټر کې آفلاین لاسرسی شامل کړئ چې د آفلاین لاسرسي ساحې ملاتړ کوي. د Firezone-ctl بیا تنظیم کول باید د فایر زون ترتیب کولو فایل کې د بدلونونو پلي کولو لپاره اجرا شي، کوم چې په /etc/firezone/firezone.rb کې موقعیت لري.
د هغو کاروونکو لپاره چې ستاسو د OIDC چمتو کونکي لخوا تصدیق شوي، تاسو به د ویب UI د کارونکي توضیحاتو پاڼې کې د OIDC اتصال سرلیک وګورئ که چیرې فایر زون په بریالیتوب سره د ریفریش نښه بیرته ترلاسه کولو توان ولري.
که دا کار ونکړي، تاسو به اړتیا ولرئ خپل موجود OAuth ایپ حذف کړئ او د OIDC تنظیم کولو مرحلې تکرار کړئ د نوي اپلیکیشن ادغام رامینځته کړئ .
زه د اوسنۍ OAuth ادغام لرم
د 0.3.11 څخه دمخه، Firezone دمخه ترتیب شوي OAuth2 چمتو کونکي کارولي.
لارښوونې تعقیب کړئ دلته OIDC ته مهاجرت کول.
ما د پیژندنې چمتو کونکی نه دی مدغم کړی
هیڅ اقدام ته اړتیا نشته.
تاسو کولی شئ لارښوونې تعقیب کړئ دلته د OIDC چمتو کونکي له لارې SSO فعالول.
په خپل ځای کې، default['firezone']['external url'] د ترتیب کولو اختیار ډیفالټ ['firezone']['fqdn'] ځای په ځای کړی دی.
دا ستاسو د Firezone آنلاین پورټل URL ته تنظیم کړئ چې عام خلکو ته د لاسرسي وړ وي. دا به ډیفالټ https:// پلس ستاسو د سرور FQDN ته که چیرې نامعلوم پاتې شي.
د ترتیب کولو فایل په /etc/firezone/firezone.rb کې موقعیت لري. د ترتیب کولو متغیرونو او د دوی توضیحاتو بشپړ لیست لپاره د ترتیب فایل حوالې وګورئ.
Firezone نور د 0.3.0 نسخه سره سم د Firezone سرور کې د وسیلې شخصي کیلي نه ساتي.
د Firezone Web UI به تاسو ته اجازه ورنکړي چې دا ترتیبونه بیا ډاونلوډ یا وګورئ، مګر هر موجود وسایل باید خپل کار ته دوام ورکړي لکه څنګه چې دی.
که تاسو د Firezone 0.1.x څخه اپ گریڈ کوئ، د یو څو ترتیب کولو فایل بدلونونه شتون لري چې باید په لاسي ډول حل شي.
ستاسو د /etc/firezone/firezone.rb فایل کې د اړینو بدلونونو لپاره، لاندې کمانډونه د روټ په توګه پرمخ وړئ.
cp/etc/firezone/firezone.rb/etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
firezone-ctl بیا تنظیم کول
firezone-ctl بیا پیل کول
د فایر زون لاګونو چیک کول د هرې مسلې لپاره چې پیښ کیدی شي یو هوښیار لومړی ګام دی.
د فایر زون لاګونو لیدو لپاره sudo firezone-ctl tail چل کړئ.
د Firezone سره د ارتباط ډیری ستونزې د نامناسب iptables یا nftables مقرراتو لخوا راوړل کیږي. تاسو باید ډاډ ترلاسه کړئ چې کوم مقررات چې تاسو یې په عمل کې لرئ د فائر زون قواعدو سره ټکر نه کوي.
ډاډ ترلاسه کړئ چې د FORWARD زنځیر ستاسو د WireGuard مراجعینو څخه هغه ځایونو ته اجازه ورکوي چې تاسو یې غواړئ د Firezone له لارې اجازه ورکړئ که ستاسو د انټرنیټ اتصال خراب شي هرکله چې تاسو خپل WireGuard تونل فعال کړئ.
دا ممکن ترلاسه شي که تاسو ufw کاروئ د دې ډاډ ترلاسه کولو سره چې د ډیفالټ روټینګ پالیسي اجازه لري:
ubuntu@fz: ~$ sudo ufw ډیفالټ اجازه راکوي
د ډیفالټ روټ پالیسي په 'اجازه' بدله شوې
(ډاډ ترلاسه کړئ چې خپل قواعد د مطابق مطابق تازه کړئ)
A ufw د عام فائر زون سرور لپاره حالت ممکن داسې ښکاري:
ubuntu@fz:~$ sudo ufw حالت فعل
حالت: فعال
ننوتل: آن (ټيټ)
ډیفالټ: رد کول (راتلونکي)، اجازه ورکول (بهریدل)، اجازه ورکول (روټ شوی)
نوي پروفایلونه: پریږدئ
له عمل څخه
—————
22/tcp په هر ځای کې اجازه ورکړئ
80/tcp په هر ځای کې اجازه ورکړئ
443/tcp په هر ځای کې اجازه ورکړئ
51820/udp په هر ځای کې اجازه ورکړئ
22/tcp (v6) په هر ځای کې اجازه ورکړئ (v6)
80/tcp (v6) په هر ځای کې اجازه ورکړئ (v6)
443/tcp (v6) په هر ځای کې اجازه ورکړئ (v6)
51820/udp (v6) په هر ځای کې اجازه ورکړئ (v6)
موږ مشوره ورکوو چې ویب انٹرفیس ته د خورا حساس او د ماموریت مهم تولید پلي کولو لپاره د لاسرسي محدودولو لپاره ، لکه څنګه چې لاندې تشریح شوي.
خدمت | ډیفالټ پورټ | ادرس واورئ | Description |
نګینکس | 80، 443 | ټول | عامه HTTP(S) بندر د فائر زون اداره کولو او تصدیق کولو اسانتیا لپاره. |
وایبرګیډ | 51820 | ټول | د عامه وایر ګارډ بندر د VPN غونډو لپاره کارول کیږي. (UDP) |
پوسټ ګریسال | 15432 | 127.0.0.1 | یوازې ځایی بندر د بنډل شوي پوسټګریسکیل سرور لپاره کارول کیږي. |
دغړيتوب نېټه | 13000 | 127.0.0.1 | یوازې ځایی بندر د اپسټریم ایلکسیر ایپ سرور لخوا کارول کیږي. |
موږ تاسو ته مشوره درکوو چې د Firezone عامه افشا شوي ویب UI ته د لاسرسي محدودولو په اړه فکر وکړئ (د ډیفالټ بندرونو 443/tcp او 80/tcp په واسطه) او پرځای یې د فایر زون اداره کولو لپاره د WireGuard تونل وکاروئ د تولید او عامه مخ په وړاندې ګمارلو لپاره چیرې چې یو واحد مدیر به مسؤل وي. د پای کاروونکو ته د وسیلې ترتیبونو رامینځته کولو او توزیع کولو.
د مثال په توګه ، که چیرې یو مدیر د وسیلې ترتیب رامینځته کړي او د محلي WireGuard پتې 10.3.2.2 سره تونل رامینځته کړي ، لاندې ufw ترتیب به مدیر ته وړتیا ورکړي چې د ډیفالټ 10.3.2.1 په کارولو سره د سرور wg-firezone انٹرفیس کې Firezone ویب UI ته لاسرسی ومومي. د تونل پته:
root@demo:~# ufw حالت فعل
حالت: فعال
ننوتل: آن (ټيټ)
ډیفالټ: رد کول (راتلونکي)، اجازه ورکول (بهریدل)، اجازه ورکول (روټ شوی)
نوي پروفایلونه: پریږدئ
له عمل څخه
—————
22/tcp په هر ځای کې اجازه ورکړئ
51820/udp په هر ځای کې اجازه ورکړئ
هرچیرې په 10.3.2.2 کې اجازه ورکړئ
22/tcp (v6) په هر ځای کې اجازه ورکړئ (v6)
51820/udp (v6) په هر ځای کې اجازه ورکړئ (v6)
دا به یوازې پریږدي 22/tcp د سرور اداره کولو لپاره د SSH لاسرسي لپاره افشا شوي (اختیاري) ، او 51820/udp د WireGuard تونلونو رامینځته کولو لپاره افشا شوي.
فایر زون د Postgresql سرور او میچنګ بنډل کوي psql افادیت چې د ځایی شیل څخه کارول کیدی شي لکه:
/opt/firezone/embedded/bin/psql \
د اور وژنې زون
د اور وژنې زون \
-h ځایی کوربه \
-مخ ۱۵۴۳۲\
-c "SQL_STATEMENT"
دا د ډیبګ کولو موخو لپاره ګټور کیدی شي.
عام کارونه:
د ټولو کاروونکو لیست کول:
/opt/firezone/embedded/bin/psql \
د اور وژنې زون
د اور وژنې زون \
-h ځایی کوربه \
-مخ ۱۵۴۳۲\
-c "د کاروونکو څخه غوره کړئ؛"
د ټولو وسایلو لیست کول:
/opt/firezone/embedded/bin/psql \
د اور وژنې زون
د اور وژنې زون \
-h ځایی کوربه \
-مخ ۱۵۴۳۲\
-c "د وسیلو څخه غوره کړئ؛"
د کارونکي رول بدل کړئ:
رول 'اډمین' یا 'غیر امتیازي' ته وټاکئ:
/opt/firezone/embedded/bin/psql \
د اور وژنې زون
د اور وژنې زون \
-h ځایی کوربه \
-مخ ۱۵۴۳۲\
-c "د کاروونکو تازه کول SET رول = 'admin' چیرته بریښنالیک = 'user@example.com'؛"
د ډیټابیس بیک اپ کول:
سربیره پردې ، د pg ډمپ برنامه شامله ده ، کوم چې ممکن د ډیټابیس منظم بیک اپ اخیستلو لپاره وکارول شي. لاندې کوډ اجرا کړئ ترڅو د ډیټابیس یوه کاپي د عام SQL پوښتنې فارمیټ کې ډمپ کړئ (د /path/to/backup.sql د هغه ځای سره ځای په ځای کړئ چیرې چې د SQL فایل باید رامینځته شي):
/opt/firezone/embedded/bin/pg_dump \
د اور وژنې زون
د اور وژنې زون \
-h ځایی کوربه \
-p 15432 > /path/to/backup.sql
وروسته له دې چې Firezone په بریالیتوب سره ځای په ځای شوی، تاسو باید کاروونکي اضافه کړئ ترڅو دوی ته ستاسو شبکې ته لاسرسی چمتو کړي. د دې کولو لپاره د ویب UI کارول کیږي.
د / کاروونکو لاندې د "کاروونکي اضافه کړئ" تڼۍ په غوره کولو سره، تاسو کولی شئ یو کاروونکي اضافه کړئ. تاسو به اړتیا ولرئ چې کارونکي ته د بریښنالیک آدرس او پټنوم چمتو کړئ. ستاسو په سازمان کې کاروونکو ته په اوتومات ډول د لاسرسي اجازه ورکولو لپاره ، فایر زون کولی شي د پیژندونکي چمتو کونکي سره انٹرفیس او همغږي هم کړي. نور جزیات په کې شتون لري تصدیق کړئ. < د تصدیق لپاره لینک اضافه کړئ
موږ مشوره ورکوو چې غوښتنه وکړو چې کاروونکي د خپل وسیله ترتیبونه رامینځته کړي ترڅو شخصي کیلي یوازې دوی ته ښکاره شي. کارونکي کولی شي د لارښوونو په تعقیب د خپل وسیله تنظیمات رامینځته کړي د مراجعینو لارښوونې پاڼه
د کارونکي وسیلې ټول تشکیلات د فائر زون مدیرانو لخوا رامینځته کیدی شي. د کارونکي پروفایل پا pageه کې چې په / کاروونکو کې موقعیت لري ، د دې سرته رسولو لپاره "د وسیلې اضافه کړئ" انتخاب غوره کړئ.
[د سکرین شاټ داخل کړئ]
تاسو کولی شئ د وسیلې پروفایل رامینځته کولو وروسته کارونکي ته د WireGuard تشکیلاتو فایل بریښنالیک واستوئ.
کاروونکي او وسایل تړل شوي دي. د کاروونکي اضافه کولو څرنګوالي په اړه د نورو معلوماتو لپاره، وګورئ کارونکي اضافه کړئ.
د کرنل د نیټ فلټر سیسټم کارولو له لارې، فایر زون د ایګریس فلټر کولو وړتیاوې وړوي ترڅو DROP یا ACCEPT پاکټونه مشخص کړي. ټول ترافیک په نورمال ډول اجازه لري.
IPv4 او IPv6 CIDRs او IP پتې په ترتیب سره د اجازې لیست او انکار لیست له لارې ملاتړ کیږي. تاسو کولی شئ یو کارونکي ته د ضمیمه کولو لپاره وټاکئ کله چې دا اضافه کړئ ، کوم چې د دې کارونکي ټولو وسیلو باندې قاعده پلي کوي.
ولګوه او تنظیم یې کړه
د اصلي WireGuard پیرودونکي په کارولو سره د VPN اتصال رامینځته کولو لپاره ، دې لارښود ته مراجعه وکړئ.
د WireGuard رسمي پیرودونکي چې دلته موقعیت لري د Firezone سره مطابقت لري:
د OS سیسټمونو لپاره چې پورته ذکر شوي ندي په https://www.wireguard.com/install/ کې د WireGuard رسمي ویب پاڼه وګورئ.
یا ستاسو د فائر زون مدیر یا پخپله کولی شي د فایر زون پورټل په کارولو سره د وسیلې ترتیب کولو فایل رامینځته کړي.
هغه URL ته مراجعه وکړئ چې ستاسو د فایر زون مدیر د وسیلې ترتیب کولو فایل ځان رامینځته کولو لپاره چمتو کړی. ستاسو شرکت به د دې لپاره یو ځانګړی URL ولري؛ په دې حالت کې، دا دی https://instance-id.yourfirezone.com.
Firezone Okta SSO ته ننوتل
[سکرین شاټ داخل کړئ]
د کنف فایل په خلاصولو سره د WireGuard پیرودونکي ته وارد کړئ. د فعال سویچ په فلپ کولو سره ، تاسو کولی شئ د VPN ناسته پیل کړئ.
[سکرین شاټ داخل کړئ]
لاندې لارښوونې تعقیب کړئ که ستاسو د شبکې مدیر ستاسو د VPN اتصال فعال ساتلو لپاره تکراري تصدیق لازمي کړي.
تاسو اړتیا لرئ:
د فائر زون پورټل URL: د خپل شبکې مدیر څخه د پیوستون غوښتنه وکړئ.
ستاسو د شبکې مدیر باید وکوالی شي ستاسو د ننوتلو او پټنوم وړاندیز وکړي. د فایر زون سایټ به تاسو ته وهڅوي چې د واحد لاسلیک خدمت په کارولو سره لاګ ان شئ چې ستاسو کارمند یې کاروي (لکه ګوګل یا اوکټا).
[سکرین شاټ داخل کړئ]
د Firezone پورټل URL ته لاړ شئ او د هغه اسنادو په کارولو سره لاګ ان شئ چې ستاسو د شبکې مدیر چمتو کړي. که تاسو لا دمخه لاسلیک شوی یاست، د بیرته ننوتلو دمخه د بیا تصدیق کولو تڼۍ کلیک وکړئ.
[سکرین شاټ داخل کړئ]
[سکرین شاټ داخل کړئ]
په لینکس وسیلو کې د شبکې مدیر CLI په کارولو سره د WireGuard ترتیب کولو پروفایل واردولو لپاره ، دا لارښوونې تعقیب کړئ (nmcli).
که چیرې پروفایل د IPv6 ملاتړ فعال شوی وي، د شبکې مدیر GUI په کارولو سره د ترتیب کولو فایل واردولو هڅه ممکن د لاندې تېروتنې سره ناکام شي:
ipv6.method: میتود "آټو" د WireGuard لپاره نه ملاتړ کیږي
دا اړینه ده چې د WireGuard کاروونکي ځای اسانتیاوې نصب کړئ. دا به د لینکس توزیع لپاره د وایرګارډ یا وایرګارډ اوزار په نوم یوه بسته وي.
د اوبنټو / دیبیان لپاره:
sudo apt د تار ساتونکي نصب کړئ
د فیډورا کارولو لپاره:
sudo dnf د تار ساتونکي اوزار نصب کړئ
آرکس لینوکس:
sudo pacman -S wireguard-tools
د توزیع لپاره چې پورته ذکر شوي ندي په https://www.wireguard.com/install/ کې د WireGuard رسمي ویب پا visitه وګورئ.
یا ستاسو د فائر زون مدیر یا ځان نسل کولی شي د فایر زون پورټل په کارولو سره د وسیلې ترتیب کولو فایل رامینځته کړي.
هغه URL ته مراجعه وکړئ چې ستاسو د فایر زون مدیر د وسیلې ترتیب کولو فایل ځان رامینځته کولو لپاره چمتو کړی. ستاسو شرکت به د دې لپاره یو ځانګړی URL ولري؛ په دې حالت کې، دا دی https://instance-id.yourfirezone.com.
[سکرین شاټ داخل کړئ]
د nmcli په کارولو سره د چمتو شوي ترتیب فایل وارد کړئ:
sudo nmcli کنکشن واردولو ډول د وایرګارډ فایل /path/to/configuration.conf
د ترتیب کولو فایل نوم به د WireGuard اتصال/انټرفیس سره مطابقت ولري. د واردولو وروسته، د اړتیا په صورت کې د پیوستون نوم بدل کیدی شي:
nmcli پیوستون تعدیل [زاړه نوم] connection.id [نوی نوم]
د کمانډ لاین له لارې، د VPN سره په لاندې ډول وصل شئ:
د nmcli پیوستون پورته [vpn نوم]
منقطع کول:
د nmcli اړیکه ښکته ده [vpn نوم]
د تطبیق وړ شبکې مدیر اپلیټ هم د پیوستون اداره کولو لپاره کارول کیدی شي که چیرې GUI کاروي.
د اتوماتیک اتصال اختیار لپاره د "هو" غوره کولو سره ، د VPN اتصال په اوتومات ډول وصل کیدو لپاره تنظیم کیدی شي:
د nmcli ارتباط تعدیل [vpn نوم] اړیکه. <<<<<<<<<<<<<<<<<
په اتوماتيک ډول نښلول هو
د اتوماتیک پیوستون غیر فعالولو لپاره دا بیرته نه ته وټاکئ:
د nmcli ارتباط تعدیل [vpn نوم] اړیکه.
د اتوماتیک نښلول شمیره
د MFA فعالولو لپاره د Firezone پورټل / کارن حساب / راجستر mfa پاڼې ته لاړ شئ. د QR کوډ سکین کولو لپاره خپل تصدیق کونکي ایپ وکاروئ وروسته له دې چې رامینځته شي ، بیا شپږ عددي کوډ دننه کړئ.
د خپل حساب د لاسرسي معلوماتو بیا تنظیمولو لپاره خپل مدیر سره اړیکه ونیسئ که تاسو خپل د تصدیق کونکي ایپ غلط ځای په ځای کړئ.
دا ټیوټوریل به تاسو ته د فایر زون سره د WireGuard د سپلایټ تونل کولو فیچر ترتیب کولو پروسې له لارې پرمخ بوځي ترڅو یوازې ځانګړي IP رینجونو ته ترافیک د VPN سرور له لارې لیږل کیږي.
د IP سلسلې د کوم لپاره چې پیرودونکی به د شبکې ترافیک ته لاره هواره کړي په اجازه ورکړل شوي IPs ساحه کې چې په /settings/default پاڼه کې موقعیت لري ټاکل شوي. یوازې د فایر زون لخوا تولید شوي نوي رامینځته شوي WireGuard تونل تشکیلات به پدې ساحه کې د بدلونونو لخوا اغیزمن شي.
[سکرین شاټ داخل کړئ]
ډیفالټ ارزښت 0.0.0.0/0، ::/0 دی، کوم چې د پیرودونکي څخه د VPN سرور ته ټول د شبکې ټرافيکي لیږدوي.
په دې ساحه کې د ارزښتونو مثالونه شامل دي:
0.0.0.0/0، ::/0 - ټول د شبکې ترافیک به د VPN سرور ته واستول شي.
192.0.2.3/32 - یوازې یو واحد IP پتې ته ترافیک به د VPN سرور ته واستول شي.
3.5.140.0/22 - یوازې د 3.5.140.1 - 3.5.143.254 رینج کې IPs ته ترافیک به د VPN سرور ته واستول شي. په دې مثال کې، د AP-northeast-2 AWS سیمې لپاره د CIDR سلسله کارول شوې وه.
Firezone لومړی د خورا دقیقې لارې سره تړلی د ایګریس انٹرفیس غوره کوي کله چې دا مشخص کوي چې چیرې پیکټ ته لاره ومومي.
کاروونکي باید د تشکیلاتو فایلونه له سره رامینځته کړي او د دوی اصلي WireGuard مراجعینو ته یې اضافه کړي ترڅو د نوي ویشل شوي تونل ترتیب سره د موجوده کارونکي وسیلې تازه کړي.
د لارښوونو لپاره ، وګورئ توکي اضافه کړئ. <<<<<<<<<<< لینک اضافه کړئ
دا لارښود به وښیې چې څنګه د ریل په توګه د Firezone په کارولو سره دوه وسایل وصل کړئ. د کارونې یوه عادي قضیه دا ده چې مدیر ته وړتیا ورکړي چې سرور، کانټینر، یا ماشین ته لاسرسی ومومي چې د NAT یا فایروال لخوا خوندي وي.
دا انځور یو مستقیم سناریو ښیي په کوم کې چې وسایل A او B یو تونل جوړوي.
[د فائر زون معماري عکس داخل کړئ]
/users/[user_id]/new_device ته د تګ له لارې د A او وسیلې B په جوړولو سره پیل کړئ. د هرې وسیلې لپاره تنظیماتو کې ، ډاډ ترلاسه کړئ چې لاندې پیرامیټونه لاندې لیست شوي ارزښتونو ته تنظیم شوي. تاسو کولی شئ د وسیلې تنظیمات تنظیم کړئ کله چې د وسیلې تشکیل رامینځته کړئ (وګورئ وسیلې اضافه کړئ). که تاسو اړتیا لرئ په موجوده وسیلې کې تنظیمات تازه کړئ ، نو تاسو کولی شئ دا د نوي وسیلې ترتیب رامینځته کولو سره ترسره کړئ.
په یاد ولرئ چې ټول وسایل د / ترتیباتو/ډیفالټ پاڼه لري چیرې چې PersistentKeepalive تنظیم کیدی شي.
اجازه ورکړل شوي IPs = 10.3.2.2/32
دا د وسیلې B IPs یا IPs لړۍ ده
دوامداره ساتل = 25
که وسیله د NAT شاته وي، دا ډاډ ورکوي چې وسیله د دې توان لري چې تونل ژوندی وساتي او د WireGuard انٹرفیس څخه پاکټونو ترلاسه کولو ته دوام ورکړي. معمولا د 25 ارزښت کافي وي، مګر تاسو اړتیا لرئ دا ارزښت ستاسو د چاپیریال پورې اړه لري.
اجازه ورکړل شوي IPs = 10.3.2.3/32
دا د وسیلې A IPs یا IPs لړۍ ده
دوامداره ساتل = 25
دا بیلګه داسې حالت ښیې چې په کوم کې وسیله A کولی شي د وسیلو B سره د D له لارې په دواړو لورو کې اړیکه ونیسي. دا ترتیب کولی شي د انجینر یا مدیر استازیتوب وکړي چې په مختلفو شبکو کې ډیری سرچینو (سرورونو، کانټینرونو، یا ماشینونو) ته لاسرسی لري.
[د معمارۍ ډیاګرام]<<<<<<<<<<<<<<<<<
ډاډ ترلاسه کړئ چې لاندې ترتیبات د هرې وسیلې په ترتیباتو کې د اړوندو ارزښتونو سره جوړ شوي. کله چې د وسیلې تشکیلات رامینځته کړئ ، تاسو کولی شئ د وسیلې تنظیمات مشخص کړئ (وګورئ وسیلې اضافه کړئ). د نوي وسیلې ترتیب رامینځته کیدی شي که چیرې په موجوده وسیلې کې تنظیمات نوي کولو ته اړتیا ولري.
اجازه ورکړل شوي IPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
دا د وسیلو IP د B څخه تر D پورې دی. د وسیلو IPs د B څخه تر D پورې باید په هر هغه IP رینج کې شامل شي چې تاسو یې ټاکلو لپاره غوره کوئ.
دوامداره ساتل = 25
دا تضمین کوي چې وسیله کولی شي تونل وساتي او د WireGuard انٹرفیس څخه پاکټونو ترلاسه کولو ته دوام ورکړي حتی که دا د NAT لخوا خوندي وي. په ډیری حاالتو کې، د 25 ارزښت کافي دی، په هرصورت، ستاسو د چاپیریال پورې اړه لري، تاسو ممکن دا شمیره ټیټه کړئ.
ستاسو د ټیم ټول ټرافیک ته د وتلو لپاره یو واحد، جامد ایګریس IP وړاندیز کولو لپاره، Firezone د NAT دروازې په توګه کارول کیدی شي. پدې حالتونو کې د هغې مکرر کارول شامل دي:
مشورتي بوختیاوې: غوښتنه وکړئ چې ستاسو پیرودونکي د هر کارمند ځانګړي آلې IP پتې پرځای یو واحد جامد IP پته وایټ لیست کړي.
د پراکسي کارول یا د امنیت یا محرمیت موخو لپاره ستاسو د سرچینې IP ماسک کول.
د ځان کوربه شوي ویب غوښتنلیک ته د لاسرسي محدودولو یوه ساده بیلګه یو واحد سپین لیست شوي جامد IP چلولو فائر زون ته به پدې پوسټ کې وښودل شي. په دې انځور کې، Firezone او خوندي سرچینې په مختلفو VPC سیمو کې دي.
دا حل په مکرر ډول د ډیری پای کاروونکو لپاره د IP وایټ لیست اداره کولو ځای کې کارول کیږي ، کوم چې د لاسرسي لیست پراخیدو سره وخت مصرف کیدی شي.
زموږ هدف دا دی چې د EC2 مثال کې د فائر زون سرور تنظیم کړئ ترڅو محدود سرچینې ته د VPN ترافیک بیرته راستانه کړئ. پدې مثال کې، Firezone د شبکې پراکسي یا NAT دروازې په توګه کار کوي ترڅو هر وصل شوي وسیله ته یو ځانګړی عامه ایګریس IP ورکړي.
په دې حالت کې، د tc2.micro په نوم د EC2 مثال په دې کې د فائر زون مثال نصب شوی. د فائر زون د ځای پرځای کولو په اړه د معلوماتو لپاره، د ځای پرځای کولو لارښود ته لاړ شئ. د AWS په اړه، ډاډ ترلاسه کړئ:
د Firezone EC2 مثال امنیتي ډله د خوندي سرچینې IP پتې ته بهر ته ترافیک ته اجازه ورکوي.
د فائر زون مثال د لچک لرونکي IP سره راځي. هغه ترافیک چې د Firezone مثال له لارې بهر ځایونو ته لیږل کیږي دا به د دې سرچینې IP پتې په توګه ولري. د پوښتنې IP پته 52.202.88.54 دی.
[سکرین شاټ داخل کړئ]<<<<<<<<<<<<<<<<<<
د ځان کوربه شوي ویب غوښتنلیک پدې قضیه کې د خوندي سرچینې په توګه کار کوي. ویب اپلیکیشن یوازې د IP پتې 52.202.88.54 څخه د راغلو غوښتنو لخوا لاسرسی کیدی شي. د سرچینې پورې اړه لري، دا اړینه ده چې په مختلفو بندرونو او ټرافیک ډولونو کې د داخلي ټرافیک اجازه ورکړئ. دا په دې لارښود کې نه پوښل شوي.
[د سکرین شاټ داخل کړئ]<<<<<<<<<<<<<<<<<<
مهرباني وکړئ د خوندي سرچینې مسؤل دریم اړخ ته ووایاست چې د جامد IP څخه ټرافیک ته باید اجازه ورکړل شي چې په 1 مرحله کې تعریف شوي (په دې حالت کې 52.202.88.54).
په ډیفالټ ، ټول کارونکي ترافیک به د VPN سرور له لارې تیریږي او د جامد IP څخه راځي چې په 1 مرحله کې ترتیب شوی و (په دې حالت کې 52.202.88.54). په هرصورت، که چیرې د ویشلو تونل فعال شوی وي، ترتیبات اړین وي ترڅو ډاډ ترلاسه کړي چې د خوندي سرچینې منزل IP د اجازه ورکړل شوي IPs په مینځ کې لیست شوی.
لاندې ښودل شوي د ترتیب کولو اختیارونو بشپړ لیست په کې شتون لري /etc/firezone/firezone.rb.
انتخاب | شرح | تلواله ارزښت |
ډیفالټ['فائر زون']['external_url'] | URL د دې Firezone مثال ویب پورټل ته د لاسرسي لپاره کارول کیږي. | https://#{node['fqdn'] || نوډ['میزبان نوم']}" |
default['firezone']['config_directory'] | د فائر زون ترتیب کولو لپاره د لوړې کچې لارښود. | /etc/firezone' |
default['firezone']['install_directory'] | د فایر زون نصبولو لپاره د لوړې کچې لارښود. | /opt/firezone' |
ډیفالټ['firezone']['app_directory'] | د فایر زون ویب غوښتنلیک نصبولو لپاره د لوړې کچې لارښود. | "#{node['firezone']['install_directory']}/embedded/service/firezone" |
ډیفالټ['firezone']['log_directory'] | د فائر زون لاګونو لپاره د لوړې کچې لارښود. | /var/log/firezone' |
ډیفالټ['firezone']['var_directory'] | د فائر زون چلولو فایلونو لپاره د لوړې کچې لارښود. | /var/opt/firezone' |
ډیفالټ['Firezone']['user'] | د لینوکس د غیر مستحق کارونکي نوم ډیری خدمتونه او فایلونه به پورې اړه ولري. | د اور ځای |
ډیفالټ['Firezone']['group'] | د لینکس ګروپ نوم ډیری خدمتونه او فایلونه به پورې اړه ولري. | د اور ځای |
ډیفالټ['Firezone']['admin_email'] | د لومړني فائر زون کارونکي لپاره بریښنالیک پته. | "firezone@localhost" |
ډیفالټ['فائر زون']['max_devices_per_user'] | د وسیلو اعظمي شمیر چې یو کارن کولی شي ولري. | 10 |
default['firezone']['allow_unprivileged_device_management'] | غیر منتظم کاروونکو ته اجازه ورکوي چې وسایل جوړ او حذف کړي. | مهال True |
default['firezone']['allow_unprivileged_device_configuration'] | غیر اډمین کاروونکو ته اجازه ورکوي چې د وسیلې تشکیلات بدل کړي. کله چې غیر فعال وي، د نوم او توضیحاتو پرته پرته د ټولو وسایلو ساحو بدلولو څخه د بې ګټې کاروونکو مخه نیسي. | مهال True |
ډیفالټ['فائر زون']['egress_interface'] | د انٹرفیس نوم چیرې چې تونل شوی ترافیک به وځي. که صفر وي، د ډیفالټ روټ انٹرفیس به وکارول شي. | نیل |
ډیفالټ['فائر زون']['fips_enabled'] | د OpenSSL FIPs حالت فعال یا غیر فعال کړئ. | نیل |
default['firezone']['logging']['enabled'] | د فائر زون په اوږدو کې لاګنګ فعال یا غیر فعال کړئ. په بشپړ ډول د ننوتلو غیر فعالولو لپاره غلط ته وټاکئ. | مهال True |
ډیفالټ['شرکت']['نوم'] | نوم د شیف 'شرکت' د پخلي کتاب لخوا کارول شوی. | د اور ځای |
default['firezone']['install_path'] | د شیف 'شرکت' پخلي کتاب لخوا کارول شوې لاره نصب کړئ. باید د پورته install_directory په څیر ورته ترتیب شي. | نوډ['firezone']['install_directory'] |
ډیفالټ['firezone']['sysvinit_id'] | یو پیژندونکی چې په /etc/inittab کې کارول کیږي. باید د 1-4 حروف یو ځانګړی ترتیب وي. | SUP' |
default['firezone']['authentication']['local']['enabled'] | د محلي بریښنالیک / پاسورډ تصدیق فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['authentication']['auto_create_oidc_users'] | په اتوماتيک ډول د لومړي ځل لپاره د OIDC څخه لاسلیک کونکي کاروونکي رامینځته کړئ. د OIDC له لارې یوازې موجوده کاروونکو ته د ننوتلو اجازه ورکولو لپاره غیر فعال کړئ. | مهال True |
default['firezone']['authentication']['disable_vpn_on_oidc_error'] | د کارونکي VPN غیر فعال کړئ که چیرې د دوی د OIDC نښه تازه کولو په هڅه کې کومه تېروتنه وموندل شي. | غلط |
default['firezone']['authentication']['oidc'] | د OpenID Connect config، د {"provider" => [config…]} په بڼه - وګورئ د OpenIDConnect اسناد د ترتیب مثالونو لپاره. | {} |
default['firezone']['nginx']['enabled'] | د بنډل شوي نګینکس سرور فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['nginx']['ssl_port'] | د HTTPS اوریدلو بندر. | 443 |
default['firezone']['nginx']['directory'] | د Firezone پورې اړوند nginx مجازی کوربه ترتیب ذخیره کولو لارښود. | "#{node['firezone']['var_directory']}/nginx/etc" |
default['firezone']['nginx']['log_directory'] | د Firezone پورې اړوند nginx لاګ فایلونو ذخیره کولو لارښود. | "#{node['firezone']['log_directory']}/nginx" |
default['firezone']['nginx']['log_rotation']['file_maxbytes'] | د فایل اندازه په کوم کې چې د نګینکس لاګ فایلونه ګرځوي. | 104857600 |
default['firezone']['nginx']['log_rotation']['num_to_keep'] | د Firezone nginx لاګ فایلونو شمیر چې له مینځه وړلو دمخه ساتل کیږي. | 10 |
default['firezone']['nginx']['log_x_forwarded_for'] | ایا د سرلیک لپاره د Firezone nginx x-forwarded-log کولو لپاره. | مهال True |
default['firezone']['nginx']['hsts_header']['enabled'] | مهال True | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | د HSTS سرلیک لپاره په شمول SubDomains فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['nginx']['hsts_header']['max_age'] | د HSTS سرلیک لپاره اعظمي عمر. | 31536000 |
default['firezone']['nginx']['redirect_to_canonical'] | ایا URLs د پورته مشخص شوي کانونیکي FQDN ته لیږل کیږي | غلط |
default['firezone']['nginx']['cache']['enabled'] | د Firezone nginx کیچ فعال یا غیر فعال کړئ. | غلط |
default['firezone']['nginx']['cache']['directory'] | د Firezone nginx کیچ لپاره لارښود. | "#{node['firezone']['var_directory']}/nginx/cache" |
ډیفالټ['Firezone']['nginx']['user'] | د Firezone nginx کارن. | نوډ['Firezone']['user'] |
default['firezone']['nginx']['group'] | د Firezone nginx ګروپ. | نوډ['Firezone']['group'] |
default['firezone']['nginx']['dir'] | د لوړ کچې nginx ترتیب لارښود. | node['firezone']['nginx']['directory'] |
default['firezone']['nginx']['log_dir'] | د لوړې کچې nginx لاګ لارښود. | نوډ['firezone']['nginx']['log_directory'] |
ډیفالټ['فائر زون']['nginx']['pid'] | د nginx pid فایل لپاره ځای. | "#{node['firezone']['nginx']['directory']}/nginx.pid" |
default['firezone']['nginx']['daemon_disable'] | د نګینکس ډیمون حالت غیر فعال کړئ نو موږ کولی شو پرځای یې څارنه وکړو. | مهال True |
ډیفالټ['فائر زون']['nginx']['gzip'] | د nginx gzip کمپریشن فعال یا بند کړئ. | پر |
default['firezone']['nginx']['gzip_static'] | د جامد فایلونو لپاره د nginx gzip کمپریشن فعال یا بند کړئ. | بند |
default['firezone']['nginx']['gzip_http_version'] | د جامد فایلونو خدمت کولو لپاره د HTTP نسخه. | 1.0 ' |
default['firezone']['nginx']['gzip_comp_level'] | د nginx gzip کمپریشن کچه. | 2 ' |
default['firezone']['nginx']['gzip_proxied'] | د غوښتنې او ځواب پراساس د پراکسي غوښتنو لپاره د ځوابونو gzipping فعال یا غیر فعالوي. | کوم |
default['firezone']['nginx']['gzip_vary'] | د "تغیر: منل کوډ کول" ځواب سرلیک داخلول فعال یا غیر فعالوي. | بند |
ډیفالټ['firezone']['nginx']['gzip_buffers'] | د بفرونو شمیر او اندازه ټاکي چې د ځواب فشار کولو لپاره کارول کیږي. که صفر وي، د nginx ډیفالټ کارول کیږي. | نیل |
ډیفالټ['firezone']['nginx']['gzip_types'] | د MIME ډولونه د gzip کمپریشن فعالولو لپاره. | ['text/plain', 'text/css', 'application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' متن/جاواسکریپټ'، 'application/javascript'، 'application/json'] |
default['firezone']['nginx']['gzip_min_length'] | د فایل gzip کمپریشن فعالولو لپاره د فایل لږترلږه اوږدوالی. | 1000 |
default['firezone']['nginx']['gzip_disable'] | د کارونکي اجنټ میچر د gzip کمپریشن غیر فعالولو لپاره. | MSIE [1-6]\.' |
default['firezone']['nginx']['keepalive'] | د اپ سټریم سرورونو سره د پیوستون لپاره کیچ فعالوي. | پر |
default['firezone']['nginx']['keepalive_timeout'] | د اپ سټریم سرورونو سره د ژوندي اتصال ساتلو لپاره په ثانیو کې وخت پای. | 65 |
default['firezone']['nginx']['worker_processes'] | د nginx کارکونکو پروسو شمیر. | نوډ['cpu'] && node['cpu']['total']؟ نوډ['cpu']['total'] : 1 |
ډیفالټ['فائر زون']['nginx']['worker_connections'] | د یوځل پیوستون اعظمي شمیر چې د کارګر پروسې لخوا خلاص کیدی شي. | 1024 |
default['firezone']['nginx']['worker_rlimit_nofile'] | د کارګر پروسو لپاره د خلاص فایلونو اعظمي شمیر محدودیت بدلوي. د nginx ډیفالټ کاروي که صفر. | نیل |
default['firezone']['nginx']['multi_accept'] | ایا کارګران باید په یو وخت کې یو اړیکه ومني یا څو. | مهال True |
default['firezone']['nginx']['events'] | د نګینکس پیښو شرایطو دننه کارولو لپاره د پیوستون پروسس کولو میتود مشخص کوي. | انتخابات |
default['firezone']['nginx']['server_tokens'] | د خطا پا pagesو او د "سرور" ځواب سرلیک ساحه کې د نګینکس نسخه جذب کول فعال یا غیر فعال کوي. | نیل |
default['firezone']['nginx']['server_names_hash_bucket_size'] | د سرور نومونو هش جدولونو لپاره د بالټ اندازه تنظیموي. | 64 |
default['firezone']['nginx']['sendfile'] | د نګینکس د لیږلو فایل () کارول فعال یا غیر فعالوي. | پر |
ډیفالټ['فائر زون']['nginx']['access_log_options'] | د nginx لاسرسي لاګ اختیارونه تنظیموي. | نیل |
ډیفالټ['فائر زون']['nginx']['error_log_options'] | د nginx غلطی لاګ اختیارونه تنظیموي. | نیل |
default['firezone']['nginx']['disable_access_log'] | د nginx لاسرسي لاګ غیر فعالوي. | غلط |
default['firezone']['nginx']['types_hash_max_size'] | د nginx ډولونه د هش اعظمي اندازه. | 2048 |
default['firezone']['nginx']['types_hash_bucket_size'] | د nginx ډولونه د هش بالټ اندازه. | 64 |
default['firezone']['nginx']['proxy_read_timeout'] | د nginx پراکسي لوستلو مهال ویش. د nginx ډیفالټ کارولو لپاره صفر ته وټاکئ. | نیل |
default['firezone']['nginx']['client_body_buffer_size'] | د nginx پیرودونکي د بدن بفر اندازه. د nginx ډیفالټ کارولو لپاره صفر ته وټاکئ. | نیل |
default['firezone']['nginx']['client_max_body_size'] | د nginx پیرودونکي اعظمي بدن اندازه. | 250m' |
default['firezone']['nginx']['default']['modules'] | اضافي نګینکس ماډلونه مشخص کړئ. | [] |
default['firezone']['nginx']['enable_rate_limiting'] | د نګینکس نرخ محدودیت فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['nginx']['rate_limiting_zone_name'] | د Nginx نرخ محدودولو زون نوم. | د اور ځای |
default['firezone']['nginx']['rate_limiting_backoff'] | د نګینکس نرخ محدودیت بیک آف. | 10m' |
default['firezone']['nginx']['rate_limit'] | د Nginx نرخ حد. | 10r/s' |
ډیفالټ['firezone']['nginx']['ipv6'] | nginx ته اجازه ورکړئ چې د IPv6 لپاره د IPv4 سربیره د HTTP غوښتنو ته غوږ ونیسي. | مهال True |
default['firezone']['postgresql']['enabled'] | بنډل شوی Postgresql فعال یا غیر فعال کړئ. غلط ته وټاکئ او لاندې ډیټابیس اختیارونه ډک کړئ ترڅو خپل د پوسټګریسق ایل مثال وکاروئ. | مهال True |
default['firezone']['postgresql']['کارن نوم'] | د Postgresql لپاره کارن نوم. | نوډ['Firezone']['user'] |
default['firezone']['postgresql']['data_directory'] | د Postgresql ډیټا لارښود. | "#{node['firezone']['var_directory']}/postgresql/13.3/data" |
default['firezone']['postgresql']['log_directory'] | د Postgresql لاګ لارښود. | "#{node['firezone']['log_directory']}/postgresql" |
default['firezone']['postgresql']['log_rotation']['file_maxbytes'] | د Postgresql لاګ فایل اعظمي اندازه مخکې له دې چې دا وګرځي. | 104857600 |
default['firezone']['postgresql']['log_rotation']['num_to_keep'] | د ساتلو لپاره د Postgresql لاګ فایلونو شمیر. | 10 |
default['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql د پوستې بشپړولو هدف. | 0.5 |
default['firezone']['postgresql']['checkpoint_segments'] | د Postgresql د پوستې د برخو شمیر. | 3 |
default['firezone']['postgresql']['checkpoint_timeout'] | Postgresql د پوستې مهال ویش. | ۵ دقیقې |
default['firezone']['postgresql']['checkpoint_warning'] | په ثانیو کې د پوستې د پوستې د خبرتیا وخت. | 30s' |
default['firezone']['postgresql']['effective_cache_size'] | د Postgresql اغیزمن کیچ اندازه. | 128MB' |
default['firezone']['postgresql']['listen_address'] | Postgresql د اوریدلو پته. | 127.0.0.1 ' |
default['firezone']['postgresql']['max_connections'] | Postgresql اعظمي اړیکې. | 350 |
default['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs د md5 auth لپاره اجازه ورکوي. | ['127.0.0.1/32', '::1/128'] |
default['firezone']['postgresql']['port'] | Postgresql اوریدلو پورټ. | 15432 |
default['firezone']['postgresql']['shared_buffers'] | Postgresql د بفر اندازه شریکه کړه. | "#{(نوډ['میموري']['ټول'].to_i / 4) / 1024}MB" |
default['firezone']['postgresql']['shmmax'] | Postgresql shmmax په بایټونو کې. | 17179869184 |
default['firezone']['postgresql']['shmall'] | Postgresql shmall په بایټونو کې. | 4194304 |
default['firezone']['postgresql']['work_mem'] | د Postgresql کاري حافظې اندازه. | 8MB' |
default['firezone']['database']['user'] | د کارن نوم مشخص کوي Firezone به د DB سره وصل کولو لپاره وکاروي. | node['firezone']['postgresql']['کارن نوم'] |
default['firezone']['database']['password'] | که چیرې یو بهرنی DB کاروئ، د پټنوم مشخص کړئ Firezone به د DB سره وصل کولو لپاره وکاروي. | بدل_زه' |
default['firezone']['database']['name'] | هغه ډیټابیس چې Firezone به یې کاروي. جوړ به شي که دا شتون ونلري. | د اور ځای |
default['firezone']['database']['host'] | د ډیټابیس کوربه چې Firezone به ورسره وصل شي. | node['firezone']['postgresql']['listen_address'] |
default['firezone']['database']['port'] | د ډیټابیس بندر چې Firezone به ورسره وصل شي. | node['firezone']['postgresql']['port'] |
default['firezone']['database']['pol'] | د ډیټابیس حوض اندازه Firezone به وکاروي. | [10، Etc.nprocessors].max |
default['firezone']['database']['ssl'] | ایا د SSL له لارې ډیټابیس سره وصل شئ. | غلط |
default['firezone']['database']['ssl_opts'] | {} | |
default['firezone']['database']['parameters'] | {} | |
default['firezone']['database']['extensions'] | د فعالولو لپاره ډیټابیس توسیعونه. | {'plpgsql' => ریښتیا، 'pg_trgm' => ریښتیا } |
default['firezone']['phoenix']['enabled'] | د فائر زون ویب غوښتنلیک فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['phoenix']['listen_address'] | د Firezone ویب غوښتنلیک اوریدلو پته. دا به د اپسټریم اوریدلو پته وي چې نګینکس پراکسي. | 127.0.0.1 ' |
default['firezone']['phoenix']['port'] | د فایر زون ویب غوښتنلیک اوریدلو پورټ. دا به د پورتنۍ برخې پورټ وي چې نګینکس پراکسي کوي. | 13000 |
default['firezone']['phoenix']['log_directory'] | د فائر زون ویب غوښتنلیک لاګ لارښود. | "#{node['firezone']['log_directory']}/phoenix" |
default['firezone']['phoenix']['log_rotation']['file_maxbytes'] | د فائر زون ویب غوښتنلیک لاګ فایل اندازه. | 104857600 |
default['firezone']['phoenix']['log_rotation']['num_to_keep'] | د ساتلو لپاره د Firezone ویب غوښتنلیک لاګ فایلونو شمیر. | 10 |
default['firezone']['phoenix']['crash_detection']['enabled'] | کله چې حادثه وموندل شي د Firezone ویب غوښتنلیک ښکته کول فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['phoenix']['external_trusted_proxies'] | د باور وړ ریورس پراکسي لیست چې د IPs او/یا CIDRs په توګه فارمیټ شوی. | [] |
default['firezone']['phoenix']['private_clients'] | د خصوصي شبکې HTTP مراجعینو لیست، د IPs او/یا CIDRs بڼه بڼه. | [] |
default['firezone']['wireguard']['enabled'] | د بنډل شوي WireGuard مدیریت فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['wireguard']['log_directory'] | د بنډل شوي WireGuard مدیریت لپاره د ننوتلو لارښود. | "#{node['firezone']['log_directory']}/wireguard" |
default['firezone']['wireguard']['log_rotation']['file_maxbytes'] | د WireGuard لاګ فایل اعظمي اندازه. | 104857600 |
default['firezone']['wireguard']['log_rotation']['num_to_keep'] | د ساتلو لپاره د WireGuard لاګ فایلونو شمیر. | 10 |
default['firezone']['wireguard']['interface_name'] | د WireGuard انٹرفیس نوم. د دې پیرامیټر بدلول ممکن د VPN ارتباط کې د لنډمهاله زیان لامل شي. | wg-firezone' |
default['firezone']['wireguard']['port'] | د WireGuard اوریدلو بندر. | 51820 |
default['firezone']['wireguard']['mtu'] | د دې سرور او د وسیلې تشکیلاتو لپاره د WireGuard انٹرفیس MTU. | 1280 |
default['firezone']['wireguard']['endpoint'] | د WireGuard پای ټکی د وسیلې تشکیلاتو رامینځته کولو لپاره کارولو لپاره. که صفر وي، د سرور عامه IP پتې ته ډیفالټ. | نیل |
default['firezone']['wireguard']['dns'] | WireGuard DNS د تولید شوي وسیلې تشکیلاتو لپاره کارولو لپاره. | 1.1.1.1، 1.0.0.1′ |
default['firezone']['wireguard']['allowed_ips'] | د WireGuard اجازه ورکړل شوې IPs د تولید شوي وسیلې تشکیلاتو لپاره کارولو لپاره. | 0.0.0.0/0، ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | د تولید شوي وسیلې تشکیلاتو لپاره د ډیفالټ PersistentKeepalive ترتیب. د 0 ارزښت غیر فعال دی. | 0 |
default['firezone']['wireguard']['ipv4']['enabled'] | د WireGuard شبکې لپاره IPv4 فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['wireguard']['ipv4']['masquerade'] | د IPv4 تونل څخه د وتلو پاکټونو لپاره ماسکریډ فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['wireguard']['ipv4']['network'] | د WireGuard شبکه IPv4 پته حوض. | 10.3.2.0/24 ′ |
default['firezone']['wireguard']['ipv4']['address'] | د WireGuard انٹرفیس IPv4 پته. باید د WireGuard پته حوض کې وي. | 10.3.2.1 ' |
default['firezone']['wireguard']['ipv6']['enabled'] | د WireGuard شبکې لپاره IPv6 فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['wireguard']['ipv6']['masquerade'] | د IPv6 تونل څخه د وتلو پاکټونو لپاره ماسکریډ فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['wireguard']['ipv6']['network'] | د WireGuard شبکه IPv6 پته حوض. | fd00::3:2:0/120′ |
default['firezone']['wireguard']['ipv6']['address'] | د WireGuard انٹرفیس IPv6 پته. باید د IPv6 پته حوض کې وي. | fd00::3:2:1′ |
default['firezone']['runit']['svlogd_bin'] | د svlogd بن ځای چلول. | "#{node['firezone']['install_directory']}/embedded/bin/svlogd" |
default['firezone']['ssl']['directory'] | د تولید شوي سندونو ذخیره کولو لپاره SSL لارښود. | /var/opt/firezone/ssl' |
default['firezone']['ssl']['email_address'] | د ځان لاسلیک شوي سندونو او ACME پروتوکول نوي کولو خبرتیاو لپاره د کارولو لپاره بریښنالیک آدرس. | you@example.com' |
default['firezone']['ssl']['acme']['enabled'] | د اتوماتیک SSL سند چمتو کولو لپاره ACME فعال کړئ. دا غیر فعال کړئ ترڅو د Nginx د 80 په پورټ کې د اوریدلو مخه ونیسي. وګورئ دلته د نورو لارښوونو لپاره. | غلط |
default['firezone']['ssl']['acme']['server'] | د ACME سرور د سند صادرولو / نوي کولو لپاره کارول کیږي. کیدای شي هر یو وي د اعتبار وړ acme.sh سرور | راځئ |
default['firezone']['ssl']['acme']['keylength'] | د SSL سندونو لپاره کلیدي ډول او اوږدوالی مشخص کړئ. وګورئ دلته | ec-256 |
default['firezone']['ssl']['certificate'] | ستاسو د FQDN لپاره د سند فایل ته لاره. د ACME ترتیب پورته پورته کوي که مشخص شوی وي. که چیرې ACME او دا دواړه صفر وي یو پخپله لاسلیک شوی سند به رامینځته شي. | نیل |
default['firezone']['ssl']['certificate_key'] | د سند فایل ته لاره. | نیل |
default['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | نیل |
default['firezone']['ssl']['country_name'] | د ځان لاسلیک شوي سند لپاره د هیواد نوم. | امریکا |
default['firezone']['ssl']['state_name'] | د ځان لاسلیک شوي سند لپاره د دولت نوم. | CA ' |
default['firezone']['ssl']['locality_name'] | د ځان لاسلیک شوي سند لپاره د ځای نوم. | سن فرانسیسکو' |
default['firezone']['ssl']['company_name'] | د شرکت نوم پخپله لاسلیک شوی سند. | زما شرکت |
default['firezone']['ssl']['organizational_unit_name'] | د ځان لاسلیک شوي سند لپاره د سازماني واحد نوم. | عملیات |
default['firezone']['ssl']['ciphers'] | د نګینکس کارولو لپاره SSL سیفرونه. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default['firezone']['ssl']['fips_ciphers'] | د FIPs حالت لپاره SSL سیفرونه. | FIPS@STRENGTH:!aNULL:!eNULL' |
default['firezone']['ssl']['protocols'] | د کارولو لپاره د TLS پروتوکولونه. | TLSv1 TLSv1.1 TLSv1.2′ |
default['firezone']['ssl']['session_cache'] | د ایس ایس ایل سیشن کیچ. | شریک شوی:SSL:4m' |
default['firezone']['ssl']['session_timeout'] | د ایس ایس ایل سیشن مهال ویش. | 5m' |
ډیفالټ['فائر زون']['robots_allow'] | د nginx روبوټ اجازه ورکوي. | /' |
ډیفالټ['فائر زون']['robots_disallow'] | د nginx روبوټ اجازه نه ورکوي. | نیل |
default['firezone']['outbound_email']['from'] | د آدرس څخه بهر ته بریښنالیک. | نیل |
default['firezone']['outbound_email']['provider'] | بهر ته د بریښنالیک خدمت چمتو کونکی. | نیل |
default['firezone']['outbound_email']['configs'] | بهر ته د بریښنالیک چمتو کونکي تشکیلات. | omnibus/cookbooks/firezone/attributes/default.rb وګورئ |
default['firezone']['telemetry']['enabled'] | د نامعلوم محصول ټیلی میټری فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['connectivity_checks']['enabled'] | د Firezone ارتباطي چک خدمت فعال یا غیر فعال کړئ. | مهال True |
default['firezone']['connectivity_checks']['interval'] | په ثانیو کې د ارتباط چکونو ترمنځ وقفه. | 3_600 |
________________________________________________________________
دلته به تاسو د عام فائر زون نصب کولو پورې اړوند د فایلونو او لارښودونو لیست ومومئ. دا ستاسو د ترتیب کولو فایل کې بدلونونو پورې اړه لري.
لاره | شرح |
/var/opt/firezone | د لوړې کچې لارښود چې ډیټا لري او د فائر زون بنډل شوي خدماتو لپاره رامینځته شوي تشکیلات. |
/opt/firezone | د لوړې کچې لارښود چې جوړ شوي کتابتونونه، بائنریونه او د چلولو وخت فایلونه د Firezone لخوا اړین دي. |
/usr/bin/firezone-ctl | ستاسو د فائر زون نصبولو اداره کولو لپاره د firezone-ctl یوټیلیټ. |
/etc/systemd/system/firezone-runsvdir-start.service | د Firezone runvdir څارونکي پروسې پیل کولو لپاره د systemd واحد فایل. |
/etc/firezone | د فائر زون ترتیب کولو فایلونه. |
__________________________________________________
دا پاڼه په اسنادو کې خالي وه
_____________________________________________________________
لاندې nftables د فائر وال ټیمپلیټ د فایر زون چلولو سرور خوندي کولو لپاره کارول کیدی شي. ټیمپلیټ ځینې انګیرنې کوي؛ تاسو ممکن اړتیا ولرئ مقررات تنظیم کړئ ترڅو ستاسو د کارونې قضیې سره سم وي:
Firezone خپل د nftables مقررات تنظیموي ترڅو په ویب انٹرفیس کې ترتیب شوي منزلونو ته د ترافیک اجازه / رد کړي او د پیرودونکي ترافیک لپاره بهر ته NAT اداره کړي.
د لا دمخه په چلونکي سرور کې د لاندې فایروال ټیمپلیټ پلي کول (نه د بوټ په وخت کې) به د فایر زون مقررات پاک شي. دا کیدای شي امنیتي اغیزې ولري.
د دې شاوخوا کار کولو لپاره د فینکس خدمت بیا پیل کړئ:
firezone-ctl فینکس بیا پیل کړئ
#!/usr/sbin/nft -f
## ټول موجود مقررات پاک / فلش کړئ
د فلش قواعد
################################################ #############
## د انټرنیټ/WAN انٹرفیس نوم
DEV_WAN = eth0 تعریف کړئ
## د WireGuard انٹرفیس نوم
DEV_WIREGUARD = wg-فائر زون تعریف کړئ
## وایر ګارډ اوریډ پورټ
WIREGUARD_PORT = تعریف کړئ 51820
########################################################################### ###########
# د اصلي انیټ کورنۍ فلټر کولو میز
جدول انیټ فلټر {
# د لیږل شوي ترافیک لپاره مقررات
# دا سلسله د فائر زون فارورډ چین څخه دمخه پروسس کیږي
زنځیر مخکی {
د فلټر هوک فارورډ لومړیتوب فلټر ټایپ کړئ - 5; پالیسي مني
}
# د ننوتلو ترافیک لپاره مقررات
زنځیر داخل {
د فلټر هک ان پټ لومړیتوب فلټر ډول؛ د پالیسۍ کمښت
## لوپ بیک انٹرفیس ته د داخلي ترافیک اجازه ورکړئ
که لو \
قبول کړه \
نظر "د لوپ بیک انٹرفیس څخه ټول ترافیک ته اجازه ورکړئ"
## جواز تاسیس شوی او اړونده اړیکې
ct ریاست تاسیس شوی، اړونده \
قبول کړه \
نظر "د تاسیس / اړونده اړیکو اجازه"
## د داخلي تار ګارډ ترافیک ته اجازه ورکړئ
iif $DEV_WAN udp dport $WIREGUARD_PORT \
ضد \
قبول کړه \
نظر "د داخلي تار ګارډ ترافیک ته اجازه ورکړئ"
## نوي TCP غیر SYN پاکټونه ننوتل او پریږدئ
tcp بیرغونه!= syn ct حالت نوی \
د حد اندازه 100/دقیقې سوځیدل 150 کڅوړې \
log prefix "ان - نوی! SYN: " \
نظر "د نوو اړیکو لپاره د ننوتلو نرخ محدودیت چې د SYN TCP بیرغ نلري"
tcp بیرغونه!= syn ct حالت نوی \
ضد \
غورځول \
نظر "نوي اړیکې پریږدئ چې د SYN TCP بیرغ نلري"
## د ناسم فین/سین بیرغ سیټ سره د TCP پاکټونه ننوتل او پریږدئ
tcp پرچمونه او (fin|syn) == (fin|syn) \
د حد اندازه 100/دقیقې سوځیدل 150 کڅوړې \
log prefix "IN - TCP FIN|SIN:" \
نظر "د TCP پیکټو لپاره د ناباوره فین / سین بیرغ سیټ سره د نرخ محدودیت لاګنګ"
tcp پرچمونه او (fin|syn) == (fin|syn) \
ضد \
غورځول \
نظر "د TCP پاکټونه د غلط فین / سین بیرغ سیټ سره پریږدئ"
## د ناسم ترکیب/لومړي بیرغ سیټ سره د TCP پاکټونه ننوتل او پریږدئ
tcp بیرغونه او (syn|rst) == (syn|rst) \
د حد اندازه 100/دقیقې سوځیدل 150 کڅوړې \
log prefix "IN - TCP SYN|RST:" \
نظر "د TCP پیکټو لپاره د نرخ محدودیت لاګنګ د ناسم مطابقت / لومړي بیرغ سیټ سره"
tcp بیرغونه او (syn|rst) == (syn|rst) \
ضد \
غورځول \
نظر "د TCP پاکټونه د غلط ترکیب / لومړي بیرغ سیټ سره پریږدئ"
## د TCP ناسم بیرغونه ننوتل او پریږدئ
tcp بیرغونه او (fin|syn|rst|psh|ack|urg) < (fin) \
د حد اندازه 100/دقیقې سوځیدل 150 کڅوړې \
log prefix "IN - FIN:" \
نظر "د ناسم TCP بیرغونو لپاره د نرخ محدودیت ننوتل (fin|syn|rst|psh|ack|urg) < (fin)"
tcp بیرغونه او (fin|syn|rst|psh|ack|urg) < (fin) \
ضد \
غورځول \
نظر "د بیرغونو سره د TCP پاکټونه پریږدئ (fin|syn|rst|psh|ack|urg) < (fin)"
## د TCP ناسم بیرغونه ننوتل او پریږدئ
tcp بیرغونه او (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
د حد اندازه 100/دقیقې سوځیدل 150 کڅوړې \
log prefix "IN - FIN|PSH|URG:" \
نظر "د ناسم TCP بیرغونو لپاره د نرخ محدودیت ننوتل (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp بیرغونه او (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
ضد \
غورځول \
نظر "د بیرغونو سره د TCP پاکټونه پریږدئ (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## د غلط ارتباط حالت سره ترافیک پریږدئ
ct حالت ناباوره \
د حد اندازه 100/دقیقې سوځیدل 150 کڅوړې \
log flags all prefix "IN - ناسم:" \
نظر "د ناسم ارتباط حالت سره د ترافیک لپاره د نرخ محدودیت ننوتل"
ct حالت ناباوره \
ضد \
غورځول \
نظر "د ناسم ارتباط حالت سره ترافیک کم کړئ"
## د IPv4 ping/ping ځوابونو ته اجازه ورکړئ مګر د نرخ حد 2000 PPS ته
ip پروتوکول icmp icmp ډول { echo-reply, echo-request} \
د حد اندازه 2000/دوهم \
ضد \
قبول کړه \
نظر "پرمټ انباونډ IPv4 اکو (پنګ) تر 2000 PPS پورې محدود دی"
## نورو ټولو داخلي IPv4 ICMP ته اجازه ورکړئ
ip پروتوکول icmp \
ضد \
قبول کړه \
نظر "نورو ټولو IPv4 ICMP ته اجازه ورکړئ"
## د IPv6 ping/ping ځوابونو ته اجازه ورکړئ مګر د نرخ حد 2000 PPS ته
icmpv6 ډول { echo-reply, echo-request} \
د حد اندازه 2000/دوهم \
ضد \
قبول کړه \
نظر "پرمټ انباونډ IPv6 اکو (پنګ) تر 2000 PPS پورې محدود دی"
## نورو ټولو داخلي IPv6 ICMP ته اجازه ورکړئ
meta l4proto { icmpv6 } \
ضد \
قبول کړه \
نظر "نورو ټولو IPv6 ICMP ته اجازه ورکړئ"
## د داخلي ټریسروټ UDP بندرونو ته اجازه ورکړئ مګر تر 500 PPS پورې محدود کړئ
udp dport 33434-۳۳۵۲۴\
د حد اندازه 500/دوهم \
ضد \
قبول کړه \
نظر "د داخلي UDP ټریسروټ اجازه 500 PPS پورې محدوده ده"
## د داخلي SSH اجازه
tcp dport SSH ct ریاست نوی \
ضد \
قبول کړه \
نظر "د داخلي SSH ارتباطاتو ته اجازه ورکړئ"
## د داخلي HTTP او HTTPS اجازه ورکړئ
tcp dport { http, https } ct نوی حالت \
ضد \
قبول کړه \
نظر "د داخلي HTTP او HTTPS اړیکو ته اجازه ورکړئ"
## هر بې ساري ټرافیک ته ننوځي مګر د ننوتلو نرخ حد تر 60 پیغامونو / دقیقو پورې محدود کړئ
## ډیفالټ پالیسي به په بې ساري ترافیک کې پلي شي
د حد اندازه 60/دقیقې سوځیدل 100 کڅوړې \
log prefix "ان - ډراپ:" \
نظر "کوم بې ساري ټرافیک ثبت کړئ"
## بې ساري ترافیک حساب کړئ
ضد \
نظر "هر ډول بې ساري ترافیک حساب کړئ"
}
# د محصول ترافیک لپاره مقررات
د زنځیر محصول {
د فلټر هوک محصول لومړیتوب فلټر ډول؛ د پالیسۍ کمښت
## لوپ بیک انٹرفیس ته بهر ته تګ اجازه ورکړئ
oif lo \
قبول کړه \
نظر "ټول ټرافیک د لوپ بیک انٹرفیس ته اجازه ورکړئ"
## جواز تاسیس شوی او اړونده اړیکې
ct ریاست تاسیس شوی، اړونده \
ضد \
قبول کړه \
نظر "د تاسیس / اړونده اړیکو اجازه"
## د خراب حالت سره د اړیکو پریښودو دمخه د بیروني وائر ګارډ ترافیک ته اجازه ورکړئ
oif $DEV_WAN udp سپورت $WIREGUARD_PORT \
ضد \
قبول کړه \
نظر "د وائر ګارډ بهر ته تګ اجازه ورکړئ"
## د غلط ارتباط حالت سره ترافیک پریږدئ
ct حالت ناباوره \
د حد اندازه 100/دقیقې سوځیدل 150 کڅوړې \
log flags all prefix بهر - ناسم: " \
نظر "د ناسم ارتباط حالت سره د ترافیک لپاره د نرخ محدودیت ننوتل"
ct حالت ناباوره \
ضد \
غورځول \
نظر "د ناسم ارتباط حالت سره ترافیک کم کړئ"
## نورو ټولو بهر ته د IPv4 ICMP اجازه ورکړئ
ip پروتوکول icmp \
ضد \
قبول کړه \
نظر "د ټولو IPv4 ICMP ډولونو ته اجازه ورکړئ"
## نورو ټولو بهر ته د IPv6 ICMP اجازه ورکړئ
meta l4proto { icmpv6 } \
ضد \
قبول کړه \
نظر "د ټولو IPv6 ICMP ډولونو ته اجازه ورکړئ"
## بهر ته د ټرسروټ UDP بندرونو ته اجازه ورکړئ مګر تر 500 PPS پورې محدود کړئ
udp dport 33434-۳۳۵۲۴\
د حد اندازه 500/دوهم \
ضد \
قبول کړه \
نظر "د بهر ته د UDP ټریسروټ اجازه ورکړئ چې تر 500 PPS پورې محدود وي"
## د وتلو HTTP او HTTPS پیوستون ته اجازه ورکړئ
tcp dport { http, https } ct نوی حالت \
ضد \
قبول کړه \
نظر "د وتلو HTTP او HTTPS پیوستون ته اجازه ورکړئ"
## بهر ته د SMTP سپارلو اجازه
د tcp dport سپارلو ct ریاست نوی \
ضد \
قبول کړه \
نظر "د بهر ته د SMTP سپارلو اجازه ورکړئ"
## د وتلو DNS غوښتنو ته اجازه ورکړئ
udp dport 53 \
ضد \
قبول کړه \
نظر "د بهر وتلو UDP DNS غوښتنو ته اجازه ورکړئ"
tcp dport 53 \
ضد \
قبول کړه \
نظر "د بهر وتلو TCP DNS غوښتنو ته اجازه ورکړئ"
## د وتلو NTP غوښتنو ته اجازه ورکړئ
udp dport 123 \
ضد \
قبول کړه \
نظر "د وتلو NTP غوښتنو ته اجازه ورکړئ"
## هر بې ساري ټرافیک ته ننوځي مګر د ننوتلو نرخ حد تر 60 پیغامونو / دقیقو پورې محدود کړئ
## ډیفالټ پالیسي به په بې ساري ترافیک کې پلي شي
د حد اندازه 60/دقیقې سوځیدل 100 کڅوړې \
log prefix بهر - غورځول: \
نظر "کوم بې ساري ټرافیک ثبت کړئ"
## بې ساري ترافیک حساب کړئ
ضد \
نظر "هر ډول بې ساري ترافیک حساب کړئ"
}
}
# د NAT فلټر کولو اصلي میز
جدول inet nat {
# د NAT ترافیک دمخه روټینګ لپاره مقررات
د زنځیر مخکی کول {
ټایپ nat hook prerouting priority dstnat; پالیسي مني
}
# د NAT ټرافیک پوسټ روټینګ لپاره مقررات
# دا جدول د فایر زون پوسټ روټینګ زنځیر څخه دمخه پروسس شوی
د ځنځیر پوسټروټینګ {
د نیټ هوک پوسټ راټینګ لومړیتوب srcnat ټایپ کړئ - 5; پالیسي مني
}
}
فایروال باید د لینکس توزیع لپاره چې روان وي په اړوند ځای کې زیرمه شي. د Debian/Ubuntu لپاره دا دی /etc/nftables.conf او د RHEL لپاره دا دی /etc/sysconfig/nftables.conf.
nftables.service به د بوټ پیل کولو لپاره تنظیم کولو ته اړتیا ولري (که دمخه نه وي) سیټ:
systemctl nftables.service فعالوي
که چیرې د فایر وال ټیمپلیټ کې کوم بدلون رامینځته شي نو ترکیب د چیک کمانډ په چلولو سره تایید کیدی شي:
nft -f /path/to/nftables.conf -c
ډاډ ترلاسه کړئ چې د فایر وال کار تایید کړئ لکه څنګه چې تمه کیده ځکه چې د nftables ځینې ځانګړتیاوې ممکن شتون ونلري چې په سرور کې د خوشې کیدو پورې اړه لري.
_______________________________________________
دا سند د ټیلی میټری فائر زون یوه عمومي کتنه وړاندې کوي چې ستاسو د ځان کوربه شوي مثال څخه راټولوي او دا څنګه غیر فعال کړئ.
اور وروسته راغونډ په ټیلی میټری کې د دې لپاره چې زموږ د سړک نقشې ته لومړیتوب ورکړي او د انجینرۍ سرچینې مطلوب کړي چې موږ یې د هرچا لپاره د Firezone غوره کولو لپاره لرو.
هغه ټیلی میټری چې موږ یې راټولوو هدف یې لاندې پوښتنو ته ځواب ویل دي:
دلته درې اصلي ځایونه شتون لري چیرې چې ټیلی میټري په فائر زون کې راټولیږي:
د دې دریو شرایطو څخه په هر یو کې، موږ د پورتنۍ برخې پوښتنو ته د ځواب ویلو لپاره د اړینو معلوماتو لږترلږه مقدار اخلو.
د اډمین بریښنالیکونه یوازې هغه وخت راټولیږي کله چې تاسو په ښکاره ډول د محصول تازه معلوماتو ته غوره کوئ. که نه نو، د شخصي پیژندلو وړ معلومات دي هيڅکله راټول شوي
د فایر زون ټیلی میټری ذخیره کوي په خپل کوربه شوي مثال کې د پوسټ هاګ په شخصي کوبرنیټس کلستر کې چلیږي ، یوازې د فایر زون ټیم لخوا د لاسرسي وړ. دلته د ټیلی میټری پیښې یوه بیلګه ده چې ستاسو د فائر زون مثال څخه زموږ د ټیلی میټری سرور ته لیږل کیږي:
{
"ایډ": “0182272d-0b88-0000-d419-7b9a413713f1”,
"ټامپمپ": “2022-07-22T18:30:39.748000+00:00”,
"پېښه": "fz_http_started",
"ځانګړي_ID": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"ملکیتونه":
"$geoip_city_name": "اشبورن",
"$geoip_continent_code": "NA",
"$geoip_continent_name": "شمالی امریکا",
"$geoip_country_code": "امریکا",
"$geoip_country_name": "متحده ایالات",
"$geoip_latitude": 39.0469,
"$geoip_longitude": -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "ورجینیا",
"$geoip_time_zone": "امریکا/نیویارک",
"$ip": "52.200.241.107",
"$plugins_deferred": []
"$plugins_failed": []
"$plugins_succeeded": [
"GeoIP (3)"
],
"ځانګړي_ID": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"کرنل_نسخه": "لینکس 5.13.0",
"نسخه": "0.4.6"
},
د عناصرو سلسله: ""
}
یادښت
د فائر زون پراختیایی ټیم وروسته راغونډ د محصول تحلیلونو کې د هرچا لپاره د فائر زون غوره کولو لپاره. د ټیلی میټری فعال پریښودل یوازینۍ خورا ارزښتناکه مرسته ده چې تاسو یې د Firezone پراختیا کې کولی شئ. دې وویل، موږ پوهیږو چې ځینې کاروونکي لوړ محرمیت یا امنیتي اړتیاوې لري او غوره کوي چې ټیلی میټري په بشپړه توګه غیر فعال کړي. که دا تاسو یاست، لوستلو ته دوام ورکړئ.
ټیلی میټری په ډیفالټ فعال شوی. د محصول ټیلی میټري په بشپړ ډول غیر فعالولو لپاره ، لاندې ترتیب کولو اختیار په /etc/firezone/firezone.rb کې غلط ته وټاکئ او د بدلونونو غوره کولو لپاره sudo firezone-ctl بیا تنظیم کړئ.
ډیفالټ['د اور زون']['ټلی میټری']['فعال شوی']= غلط
دا به په بشپړ ډول د محصول ټول ټیلی میټري غیر فعال کړي.
هیلبیټس
9511 کوینز ګارډ Ct.
لوریل، MD 20723
تلیفون: (732) 771-9995
بریښنالیک: info@hailbytes.com