मेन्यू
फायरज़ोन जीयूआई के साथ हैलबाइट्स वीपीएन को तैनात करने के लिए चरण-दर-चरण निर्देश यहां दिए गए हैं।
प्रशासन: सर्वर इंस्टेंस की स्थापना सीधे इस भाग से संबंधित है।
उपयोगकर्ता मार्गदर्शिकाएँ: मददगार दस्तावेज़ जो आपको सिखा सकते हैं कि फ़ायरज़ोन का उपयोग कैसे करें और विशिष्ट समस्याओं को कैसे हल करें। सर्वर के सफलतापूर्वक परिनियोजित होने के बाद, इस अनुभाग को देखें।
स्प्लिट टनलिंग: वीपीएन का उपयोग केवल विशिष्ट आईपी रेंज में ट्रैफिक भेजने के लिए करें।
श्वेतसूचीकरण: श्वेतसूचीकरण का उपयोग करने के लिए वीपीएन सर्वर का स्थिर आईपी पता सेट करें।
रिवर्स टनल: रिवर्स टनल का उपयोग करके कई साथियों के बीच टनल बनाएँ।
यदि आपको हैलबाइट्स वीपीएन को स्थापित करने, अनुकूलित करने या उपयोग करने में सहायता की आवश्यकता है तो हमें आपकी सहायता करने में प्रसन्नता हो रही है।
इससे पहले कि उपयोगकर्ता डिवाइस कॉन्फ़िगरेशन फ़ाइलों का उत्पादन या डाउनलोड कर सकें, प्रमाणीकरण की आवश्यकता के लिए फ़ायरज़ोन को कॉन्फ़िगर किया जा सकता है। उपयोगकर्ताओं को अपने वीपीएन कनेक्शन को सक्रिय रखने के लिए समय-समय पर पुन: प्रमाणित करने की भी आवश्यकता हो सकती है।
हालांकि फायरज़ोन की डिफ़ॉल्ट लॉगिन विधि स्थानीय ईमेल और पासवर्ड है, इसे किसी भी मानकीकृत ओपनआईडी कनेक्ट (ओआईडीसी) पहचान प्रदाता के साथ भी एकीकृत किया जा सकता है। उपयोगकर्ता अब अपने Okta, Google, Azure AD, या निजी पहचान प्रदाता क्रेडेंशियल्स का उपयोग करके Firezone में लॉग इन कर सकते हैं।
एक सामान्य ओआईडीसी प्रदाता को एकीकृत करें
SSO को OIDC प्रदाता का उपयोग करने की अनुमति देने के लिए Firezone द्वारा आवश्यक कॉन्फ़िगरेशन पैरामीटर नीचे दिए गए उदाहरण में दिखाए गए हैं। /etc/firezone/firezone.rb पर, आपको कॉन्फ़िगरेशन फ़ाइल मिल सकती है। एप्लिकेशन को अपडेट करने और परिवर्तनों को प्रभावी करने के लिए firezone-ctl reconfigure और firezone-ctl पुनरारंभ करें।
# यह एसएसओ पहचान प्रदाता के रूप में Google और ओक्टा का उपयोग करने का एक उदाहरण है।
# एकाधिक OIDC कॉन्फ़िगरेशन को एक ही Firezone उदाहरण में जोड़ा जा सकता है।
# फायरज़ोन उपयोगकर्ता के वीपीएन को अक्षम कर सकता है यदि प्रयास करने में कोई त्रुटि पाई जाती है
# उनके access_token को रीफ्रेश करने के लिए। यह Google, Okta, और के लिए काम करने के लिए सत्यापित है
# एज़्योर एसएसओ और उपयोगकर्ता के वीपीएन को हटा दिए जाने पर स्वचालित रूप से डिस्कनेक्ट करने के लिए उपयोग किया जाता है
# ओआईडीसी प्रदाता से। यदि आपका ओआईडीसी प्रदाता है तो इसे अक्षम छोड़ दें
# एक्सेस टोकन को रीफ्रेश करने में समस्या है क्योंकि यह अप्रत्याशित रूप से बाधित कर सकता है
# उपयोगकर्ता का वीपीएन सत्र।
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['अक्षम_vpn_on_oidc_error'] = झूठा
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['ओईडीसी'] = {
गूगल: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
ग्राहक ID: " ”,
क्लाइंट_सीक्रेट: " ”,
रीडायरेक्ट_यूरी: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "कोड",
दायरा: "ओपनिड ईमेल प्रोफाइल",
लेबल: "गूगल"
},
ओक्टा: {
Discovery_document_uri: “https:// /.जाने-माने/ओपनिड-कॉन्फ़िगरेशन",
ग्राहक ID: " ”,
क्लाइंट_सीक्रेट: " ”,
रीडायरेक्ट_यूरी: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "कोड",
दायरा: "ओपनिड ईमेल प्रोफाइल ऑफलाइन_एक्सेस",
लेबल: "ओक्टा"
}
}
एकीकरण के लिए निम्नलिखित कॉन्फ़िगरेशन सेटिंग्स आवश्यक हैं:
कॉन्फ़िगर किए गए प्रदाता के साइन-इन URL पर रीडायरेक्ट करने के लिए प्रत्येक OIDC प्रदाता के लिए एक संगत सुंदर URL बनाया जाता है। ऊपर दिए गए OIDC कॉन्फ़िग के उदाहरण के लिए, URL हैं:
प्रदाताओं के लिए हमारे पास दस्तावेज़ हैं:
यदि आपके पहचान प्रदाता के पास एक सामान्य ओआईडीसी कनेक्टर है और ऊपर सूचीबद्ध नहीं है, तो कृपया आवश्यक कॉन्फ़िगरेशन सेटिंग्स को पुनर्प्राप्त करने के तरीके के बारे में जानकारी के लिए उनके दस्तावेज़ीकरण पर जाएं।
समय-समय पर पुन: प्रमाणीकरण की आवश्यकता के लिए सेटिंग्स/सुरक्षा के तहत सेटिंग को बदला जा सकता है। इसका उपयोग उस आवश्यकता को लागू करने के लिए किया जा सकता है जो उपयोगकर्ता अपने वीपीएन सत्र को जारी रखने के लिए नियमित रूप से फायरज़ोन में प्रवेश करते हैं।
सत्र की अवधि को एक घंटे और नब्बे दिनों के बीच कॉन्फ़िगर किया जा सकता है। इसे कभी नहीं पर सेट करके, आप किसी भी समय VPN सत्र सक्षम कर सकते हैं। यह मानक है।
समाप्त वीपीएन सत्र (परिनियोजन के दौरान निर्दिष्ट URL) को फिर से प्रमाणित करने के लिए एक उपयोगकर्ता को अपने वीपीएन सत्र को समाप्त करना होगा और फायरज़ोन पोर्टल में लॉग इन करना होगा।
आप यहां पाए गए सटीक क्लाइंट निर्देशों का पालन करके अपने सत्र को फिर से प्रमाणित कर सकते हैं।
वीपीएन कनेक्शन की स्थिति
उपयोगकर्ता पृष्ठ का वीपीएन कनेक्शन तालिका स्तंभ उपयोगकर्ता की कनेक्शन स्थिति प्रदर्शित करता है। ये हैं कनेक्शन की स्थिति
सक्षम - कनेक्शन सक्षम है।
अक्षम - कनेक्शन एक व्यवस्थापक या OIDC ताज़ा विफलता द्वारा अक्षम किया गया है।
समय सीमा समाप्त - प्रमाणीकरण समाप्ति के कारण कनेक्शन अक्षम है या उपयोगकर्ता ने पहली बार साइन इन नहीं किया है।
सामान्य OIDC कनेक्टर के माध्यम से, Firezone Google Workspace और Cloud Identity के साथ सिंगल साइन-ऑन (SSO) सक्षम करता है। यह मार्गदर्शिका आपको बताएगी कि नीचे सूचीबद्ध कॉन्फ़िगरेशन पैरामीटर कैसे प्राप्त करें, जो एकीकरण के लिए आवश्यक हैं:
1. OAuth कॉन्फ़िग स्क्रीनΣτρατός Assault - Παίξτε Funny Games
यदि यह पहली बार है जब आप एक नई OAuth क्लाइंट आईडी बना रहे हैं, तो आपसे एक सहमति स्क्रीन कॉन्फ़िगर करने के लिए कहा जाएगा।
*उपयोगकर्ता प्रकार के लिए आंतरिक का चयन करें। यह पक्का करता है कि सिर्फ़ आपके Google Workspace संगठन के उपयोगकर्ताओं के खाते ही डिवाइस कॉन्फ़िगरेशन बना सकते हैं. बाहरी का चयन तब तक न करें जब तक कि आप डिवाइस कॉन्फ़िगरेशन बनाने के लिए किसी वैध Google खाते के साथ किसी को भी सक्षम नहीं करना चाहते।
ऐप सूचना स्क्रीन पर:
2. OAuth क्लाइंट आईडी बनाएंΣτρατός Assault - Παίξτε Funny Games
यह अनुभाग Google के अपने दस्तावेज़ीकरण पर आधारित है OAuth 2.0 की स्थापना.
Google क्लाउड कंसोल पर जाएं साख पृष्ठ पेज, + क्रेडेंशियल बनाएं पर क्लिक करें और OAuth क्लाइंट आईडी चुनें.
OAuth क्लाइंट आईडी निर्माण स्क्रीन पर:
OAuth क्लाइंट आईडी बनाने के बाद आपको एक क्लाइंट आईडी और क्लाइंट सीक्रेट दिया जाएगा। इनका उपयोग अगले चरण में रीडायरेक्ट URI के साथ किया जाएगा।
संपादित करें /etc/firezone/firezone.rb नीचे दिए गए विकल्पों को शामिल करने के लिए:
# SSO पहचान प्रदाता के रूप में Google का उपयोग करना
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['ओईडीसी'] = {
गूगल: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
ग्राहक ID: " ”,
क्लाइंट_सीक्रेट: " ”,
रीडायरेक्ट_यूरी: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "कोड",
दायरा: "ओपनिड ईमेल प्रोफाइल",
लेबल: "गूगल"
}
}
एप्लिकेशन को अपडेट करने के लिए firezone-ctl reconfigure और firezone-ctl पुनरारंभ करें। अब आपको रूट Firezone URL पर Google से साइन इन करें बटन दिखाई देगा।
फायरज़ोन ओक्टा के साथ सिंगल साइन-ऑन (एसएसओ) की सुविधा के लिए सामान्य ओआईडीसी कनेक्टर का उपयोग करता है। यह ट्यूटोरियल आपको दिखाएगा कि नीचे सूचीबद्ध कॉन्फ़िगरेशन पैरामीटर कैसे प्राप्त करें, जो एकीकरण के लिए आवश्यक हैं:
गाइड का यह भाग आधारित है ओक्टा के दस्तावेज.
एडमिन कंसोल में ऐप्लिकेशन > ऐप्लिकेशन पर जाएं और ऐप्लिकेशन इंटीग्रेशन बनाएं पर क्लिक करें. साइन-इन पद्धति को OICD - OpenID Connect और एप्लिकेशन प्रकार को वेब एप्लिकेशन पर सेट करें।
इन सेटिंग्स को कॉन्फ़िगर करें:
सेटिंग्स सहेजे जाने के बाद, आपको क्लाइंट आईडी, क्लाइंट सीक्रेट और ओक्टा डोमेन दिया जाएगा। Firezone को कॉन्फ़िगर करने के लिए चरण 3 में इन 2 मानों का उपयोग किया जाएगा।
संपादित करें /etc/firezone/firezone.rb नीचे दिए गए विकल्पों को शामिल करने के लिए। आपका Discovery_document_url होगा /.जाने-माने/ओपनिड-कॉन्फ़िगरेशन आपके अंत में जोड़ा गया ओक्टा_डोमेन.
# एसएसओ पहचान प्रदाता के रूप में ओक्टा का उपयोग करना
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['ओईडीसी'] = {
ओक्टा: {
Discovery_document_uri: “https:// /.जाने-माने/ओपनिड-कॉन्फ़िगरेशन",
ग्राहक ID: " ”,
क्लाइंट_सीक्रेट: " ”,
रीडायरेक्ट_यूरी: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "कोड",
दायरा: "ओपनिड ईमेल प्रोफाइल ऑफलाइन_एक्सेस",
लेबल: "ओक्टा"
}
}
एप्लिकेशन को अपडेट करने के लिए firezone-ctl reconfigure और firezone-ctl पुनरारंभ करें। अब आपको रूट फायरज़ोन यूआरएल पर ओक्टा बटन के साथ साइन इन करना चाहिए।
फायरज़ोन ऐप का उपयोग करने वाले उपयोगकर्ताओं को ओक्टा द्वारा प्रतिबंधित किया जा सकता है। इसे पूरा करने के लिए अपने Okta Admin Console के Firezone ऐप इंटीग्रेशन के असाइनमेंट पेज पर जाएं।
सामान्य OIDC कनेक्टर के माध्यम से, Firezone Azure Active Directory के साथ सिंगल साइन-ऑन (SSO) को सक्षम करता है। यह मैनुअल आपको दिखाएगा कि नीचे सूचीबद्ध कॉन्फ़िगरेशन पैरामीटर कैसे प्राप्त करें, जो एकीकरण के लिए आवश्यक हैं:
यह गाइड से तैयार किया गया है Azure सक्रिय निर्देशिका दस्तावेज़.
Azure पोर्टल के Azure Active Directory पृष्ठ पर जाएँ। प्रबंधन मेनू विकल्प चुनें, नया पंजीकरण चुनें, फिर नीचे दी गई जानकारी प्रदान करके पंजीकरण करें:
पंजीकरण करने के बाद, आवेदन का विवरण देखें और कॉपी करें एप्लिकेशन (क्लाइंट) आईडी. यह client_id मान होगा। अगला, पुनः प्राप्त करने के लिए समापन बिंदु मेनू खोलें OpenID कनेक्ट मेटाडेटा दस्तावेज़. यह Discovery_document_uri मान होगा।
प्रबंधन मेनू के अंतर्गत प्रमाणपत्र और रहस्य विकल्प पर क्लिक करके एक नया ग्राहक रहस्य बनाएं। ग्राहक रहस्य की प्रतिलिपि बनाएँ; ग्राहक गुप्त मूल्य यह होगा।
अंत में, प्रबंधन मेनू के अंतर्गत API अनुमतियां लिंक चुनें, क्लिक करें अनुमति जोड़ें, और चुनें Microsoft ग्राफ़, जोड़ना ईमेल, खुला हुआ, ऑफ़लाइन_पहुँच और प्रोफाइल आवश्यक अनुमतियों के लिए।
संपादित करें /etc/firezone/firezone.rb नीचे दिए गए विकल्पों को शामिल करने के लिए:
# SSO पहचान प्रदाता के रूप में Azure Active Directory का उपयोग करना
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['ओईडीसी'] = {
नीला: {
Discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
ग्राहक ID: " ”,
क्लाइंट_सीक्रेट: " ”,
रीडायरेक्ट_यूरी: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
response_type: "कोड",
दायरा: "ओपनिड ईमेल प्रोफाइल ऑफलाइन_एक्सेस",
लेबल: "नीला"
}
}
एप्लिकेशन को अपडेट करने के लिए firezone-ctl reconfigure और firezone-ctl पुनरारंभ करें। अब आपको रूट Firezone URL पर Azure बटन के साथ साइन इन करना चाहिए।
Azure AD, व्यवस्थापकों को आपकी कंपनी के भीतर उपयोगकर्ताओं के एक विशिष्ट समूह तक ऐप की पहुँच को सीमित करने में सक्षम बनाता है। ऐसा करने के तरीके के बारे में अधिक जानकारी Microsoft के दस्तावेज़ीकरण में मिल सकती है।
शेफ ओम्निबस का उपयोग फायरज़ोन द्वारा रिलीज़ पैकेजिंग, प्रक्रिया पर्यवेक्षण, लॉग प्रबंधन, और अधिक सहित कार्यों को प्रबंधित करने के लिए किया जाता है।
रूबी कोड प्राथमिक कॉन्फ़िगरेशन फ़ाइल बनाता है, जो /etc/firezone/firezone.rb पर स्थित है। इस फ़ाइल में संशोधन करने के बाद sudo firezone-ctl reconfigure को फिर से शुरू करने से शेफ को परिवर्तनों को पहचानने और उन्हें वर्तमान ऑपरेटिंग सिस्टम पर लागू करने का कारण बनता है।
कॉन्फ़िगरेशन चर और उनके विवरणों की पूरी सूची के लिए कॉन्फ़िगरेशन फ़ाइल संदर्भ देखें।
आपका Firezone उदाहरण इसके द्वारा प्रबंधित किया जा सकता है फायरज़ोन-सीटीएल कमांड, जैसा कि नीचे दिखाया गया है। अधिकांश उप-आदेशों के साथ उपसर्ग की आवश्यकता होती है sudo.
जड़ @ डेमो: ~# firezone-ctl
ऑम्निबस-सीटीएल: कमांड (सबकमांड)
सामान्य आदेश:
शुद्ध
*सभी* फ़ायरज़ोन डेटा हटाएं, और नए सिरे से शुरू करें।
बनाएँ-या-रीसेट-व्यवस्थापक
व्यवस्थापक के लिए डिफ़ॉल्ट ['firezone'] ['admin_email'] द्वारा निर्दिष्ट ईमेल के साथ पासवर्ड रीसेट करता है या यदि वह ईमेल मौजूद नहीं है तो एक नया व्यवस्थापक बनाता है।
मदद
इस सहायता संदेश को प्रिंट करें।
पुन: कॉन्फ़िगर
एप्लिकेशन को पुन: कॉन्फ़िगर करें।
रीसेट-नेटवर्क
nftables, WireGuard इंटरफ़ेस और रूटिंग टेबल को Firezone डिफ़ॉल्ट पर रीसेट करता है।
शो-कॉन्फ़िगरेशन
कॉन्फ़िगरेशन दिखाएं जो पुन: कॉन्फ़िगर करके उत्पन्न होगा।
टियरडाउन-नेटवर्क
वायरगार्ड इंटरफ़ेस और फायरज़ोन nftables तालिका को हटाता है।
बल-प्रमाण-नवीनीकरण
प्रमाणपत्र नवीनीकरण अभी बलपूर्वक करें, भले ही इसकी अवधि समाप्त न हुई हो।
बंद करो-प्रमाणपत्र-नवीनीकरण
प्रमाणपत्रों को नवीनीकृत करने वाले cronjob को हटाता है।
स्थापना रद्द करें
सभी प्रक्रियाओं को समाप्त करें और प्रक्रिया पर्यवेक्षक की स्थापना रद्द करें (डेटा संरक्षित किया जाएगा)।
संस्करण
फायरज़ोन का वर्तमान संस्करण प्रदर्शित करें
सेवा प्रबंधन आदेश:
अनुग्रह मार
एक सुंदर पड़ाव का प्रयास करें, फिर संपूर्ण प्रक्रिया समूह को SIGKILL करें।
हांक देना
सेवाओं को एक एचयूपी भेजें।
int
सेवाओं को एक आईएनटी भेजें।
हत्या
सेवाओं को एक मार भेजें।
एक बार
यदि वे नीचे हैं तो सेवाएं प्रारंभ करें। यदि वे रुक जाते हैं तो उन्हें पुनः आरंभ न करें।
पुनः प्रारंभ
यदि सेवाएं चल रही हैं तो उन्हें बंद कर दें, फिर उन्हें फिर से शुरू करें।
सेवा-सूची
सभी सेवाओं की सूची बनाएं (सक्षम सेवाएं * के साथ दिखाई देती हैं।)
प्रारंभ
यदि वे बंद हैं तो सेवाएँ प्रारंभ करें और यदि वे बंद हो जाएँ तो उन्हें पुनः आरंभ करें।
हैसियत
सभी सेवाओं की स्थिति दिखाएं।
रुकें
सेवाओं को रोकें, और उन्हें पुनरारंभ न करें।
पूंछ
सभी सक्षम सेवाओं के सेवा लॉग देखें।
अवधि
सेवाओं को एक टर्म भेजें।
usr1
सेवाओं को USR1 भेजें।
usr2
सेवाओं को USR2 भेजें।
फायरज़ोन को अपग्रेड करने से पहले सभी वीपीएन सत्रों को समाप्त किया जाना चाहिए, जो वेब यूआई को बंद करने की भी मांग करता है। अपग्रेड के दौरान कुछ गलत होने की स्थिति में, हम रखरखाव के लिए एक घंटा अलग रखने की सलाह देते हैं।
Firezone को बढ़ाने के लिए, निम्नलिखित क्रियाएं करें:
यदि कोई समस्या आती है, तो कृपया हमें द्वारा बताएं एक समर्थन टिकट जमा करना।
0.5.0 में कुछ ब्रेकिंग परिवर्तन और कॉन्फ़िगरेशन संशोधन हैं जिन्हें संबोधित किया जाना चाहिए। नीचे और जानें।
Nginx अब संस्करण 0.5.0 के रूप में बल एसएसएल और गैर-एसएसएल पोर्ट पैरामीटर का समर्थन नहीं करता है। क्योंकि फायरज़ोन को काम करने के लिए एसएसएल की आवश्यकता है, हम डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['सक्षम'] = गलत सेट करके बंडल Nginx सेवा को हटाने की सलाह देते हैं और इसके बजाय पोर्ट 13000 पर अपने रिवर्स प्रॉक्सी को फीनिक्स ऐप पर निर्देशित करते हैं (डिफ़ॉल्ट रूप से) ).
0.5.0 बंडल किए गए Nginx सेवा के साथ SSL प्रमाणपत्रों को स्वचालित रूप से नवीनीकृत करने के लिए ACME प्रोटोकॉल समर्थन का परिचय देता है। सक्षम करने के लिए,
फायरज़ोन 0.5.0 में डुप्लिकेट गंतव्यों के साथ नियम जोड़ने की संभावना समाप्त हो गई है। हमारी माइग्रेशन स्क्रिप्ट स्वचालित रूप से इन स्थितियों को 0.5.0 में अपग्रेड के दौरान पहचान लेगी और केवल उन्हीं नियमों को रखेगी जिनके गंतव्य में अन्य नियम शामिल हैं। यदि यह ठीक है तो आपको कुछ करने की आवश्यकता नहीं है।
अन्यथा, अपग्रेड करने से पहले, हम इन स्थितियों से छुटकारा पाने के लिए अपने नियम-सेट को बदलने की सलाह देते हैं।
फायरज़ोन 0.5.0 नए, अधिक लचीले ओआईडीसी-आधारित कॉन्फ़िगरेशन के पक्ष में पुरानी शैली के ओक्टा और Google एसएसओ कॉन्फ़िगरेशन के समर्थन को हटा देता है।
यदि आपके पास डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['ओकेटा'] या डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['google'] कुंजी के तहत कोई कॉन्फ़िगरेशन है, तो आपको इन्हें हमारे ओआईडीसी में माइग्रेट करने की आवश्यकता है -आधारित विन्यास नीचे गाइड का उपयोग कर।
मौजूदा Google OAuth कॉन्फ़िगरेशन
/etc/firezone/firezone.rb पर स्थित अपनी कॉन्फ़िगरेशन फ़ाइल से पुराने Google OAuth कॉन्फ़िगरेशन वाली इन पंक्तियों को निकालें
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['गूगल'] ['सक्षम']
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['गूगल'] ['क्लाइंट_आईडी']
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['गूगल'] ['क्लाइंट_सीक्रेट']
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['गूगल'] ['रीडायरेक्ट_यूरी']
फिर, यहां प्रक्रियाओं का पालन करके Google को OIDC प्रदाता के रूप में कॉन्फ़िगर करें।
(लिंक निर्देश प्रदान करें)<<<<<<<<<<<<<<<<<<
मौजूदा Google OAuth को कॉन्फ़िगर करें
पर स्थित अपनी कॉन्फ़िगरेशन फ़ाइल से पुराने Okta OAuth कॉन्फ़िगरेशन वाली इन पंक्तियों को हटा दें /etc/firezone/firezone.rb
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['ओक्टा'] ['सक्षम']
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['ओकेटा'] ['क्लाइंट_आईडी']
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['ओकेटा'] ['क्लाइंट_सेक्रेट']
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['ओक्टा'] ['साइट']
फिर, यहाँ प्रक्रियाओं का पालन करके Okta को OIDC प्रदाता के रूप में कॉन्फ़िगर करें।
आपके वर्तमान सेटअप और संस्करण के आधार पर, नीचे दिए गए निर्देशों का पालन करें:
यदि आपके पास पहले से OIDC एकीकरण है:
कुछ OIDC प्रदाताओं के लिए, >= 0.3.16 में अपग्रेड करने के लिए ऑफ़लाइन एक्सेस स्कोप के लिए रीफ्रेश टोकन प्राप्त करना आवश्यक है। ऐसा करने से, यह सुनिश्चित हो जाता है कि Firezone पहचान प्रदाता के साथ अपडेट हो जाता है और उपयोगकर्ता के हटाए जाने के बाद VPN कनेक्शन बंद हो जाता है। फायरज़ोन के पहले के पुनरावृत्तियों में इस सुविधा का अभाव था। कुछ मामलों में, आपके पहचान प्रदाता से हटाए गए उपयोगकर्ता अभी भी वीपीएन से जुड़े हो सकते हैं।
ऑफ़लाइन एक्सेस स्कोप का समर्थन करने वाले OIDC प्रदाताओं के लिए आपके OIDC कॉन्फ़िगरेशन के स्कोप पैरामीटर में ऑफ़लाइन एक्सेस शामिल करना आवश्यक है। Firezone-ctl reconfigure को Firezone कॉन्फ़िगरेशन फ़ाइल में परिवर्तन लागू करने के लिए निष्पादित किया जाना चाहिए, जो कि /etc/firezone/firezone.rb पर स्थित है।
उन उपयोगकर्ताओं के लिए जिन्हें आपके OIDC प्रदाता द्वारा प्रमाणित किया गया है, यदि Firezone ताज़ा टोकन को सफलतापूर्वक प्राप्त करने में सक्षम है, तो आप वेब UI के उपयोगकर्ता विवरण पृष्ठ में OIDC कनेक्शन शीर्षक देखेंगे।
यदि यह काम नहीं करता है, तो आपको अपने मौजूदा OAuth ऐप को हटाना होगा और इसके लिए OIDC सेटअप चरणों को दोहराना होगा एक नया ऐप एकीकरण बनाएं .
मेरे पास मौजूदा OAuth एकीकरण है
0.3.11 से पहले, फायरज़ोन पूर्व-कॉन्फ़िगर OAuth2 प्रदाताओं का उपयोग करता था।
निर्देशों का पालन करें यहाँ उत्पन्न करें ओआईडीसी में माइग्रेट करने के लिए।
मैंने किसी पहचान प्रदाता को एकीकृत नहीं किया है
किसी कार्यवाही की आवश्यकता नहीं।
आप निर्देशों का पालन कर सकते हैं यहाँ उत्पन्न करें OIDC प्रदाता के माध्यम से SSO को सक्षम करने के लिए।
इसके स्थान पर, डिफ़ॉल्ट ['फायरज़ोन'] ['बाहरी यूआरएल'] ने कॉन्फ़िगरेशन विकल्प डिफ़ॉल्ट ['फायरज़ोन'] ['fqdn'] को बदल दिया है।
इसे अपने फायरज़ोन ऑनलाइन पोर्टल के URL पर सेट करें जो आम जनता के लिए सुलभ हो। यदि अपरिभाषित छोड़ दिया जाता है तो यह डिफ़ॉल्ट रूप से https: // प्लस आपके सर्वर का FQDN होगा।
कॉन्फ़िगरेशन फ़ाइल /etc/firezone/firezone.rb पर स्थित है। कॉन्फ़िगरेशन चर और उनके विवरणों की पूरी सूची के लिए कॉन्फ़िगरेशन फ़ाइल संदर्भ देखें।
फायरज़ोन अब संस्करण 0.3.0 के रूप में फायरज़ोन सर्वर पर डिवाइस की निजी कुंजियाँ नहीं रखता है।
फायरज़ोन वेब यूआई आपको इन कॉन्फ़िगरेशन को फिर से डाउनलोड करने या देखने की अनुमति नहीं देगा, लेकिन किसी भी मौजूदा डिवाइस को काम करना जारी रखना चाहिए।
यदि आप Firezone 0.1.x से अपग्रेड कर रहे हैं, तो कुछ कॉन्फ़िगरेशन फ़ाइल परिवर्तन हैं जिन्हें मैन्युअल रूप से संबोधित किया जाना चाहिए।
अपनी /etc/firezone/firezone.rb फ़ाइल में आवश्यक संशोधन करने के लिए, नीचे दिए गए कमांड को रूट के रूप में चलाएँ।
सीपी /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i "s/\['enable'\]/\['enabled'\]/" /etc/firezone/firezone.rb
इको "डिफ़ॉल्ट ['फायरज़ोन'] ['कनेक्टिविटी_चेक'] ['सक्षम'] = सच" >> /etc/firezone/firezone.rb
प्रतिध्वनि "डिफ़ॉल्ट ['फायरज़ोन'] ['कनेक्टिविटी_चेक'] ['अंतराल'] = 3_600" >> /etc/firezone/firezone.rb
फायरज़ोन-सीटीएल पुन: कॉन्फ़िगर करें
फायरज़ोन-सीटीएल पुनरारंभ करें
फायरज़ोन लॉग की जाँच करना किसी भी समस्या के लिए एक बुद्धिमान पहला कदम है जो हो सकता है।
फ़ायरज़ोन लॉग देखने के लिए सुडो फ़ायरज़ोन-सीटीएल पूंछ चलाएं।
फायरज़ोन के साथ अधिकांश कनेक्टिविटी समस्याएं असंगत iptables या nftables नियमों द्वारा लाई जाती हैं। आपको यह सुनिश्चित करना चाहिए कि आपके द्वारा लागू किए गए कोई भी नियम Firezone नियमों से टकराते नहीं हैं।
सुनिश्चित करें कि फ़ॉरवर्ड चेन आपके वायरगार्ड क्लाइंट से पैकेट को उन स्थानों पर जाने की अनुमति देती है जहाँ आप फायरज़ोन के माध्यम से जाने देना चाहते हैं यदि आपकी इंटरनेट कनेक्टिविटी हर बार आपके वायरगार्ड टनल को सक्रिय करती है।
यदि आप ufw का उपयोग कर रहे हैं तो यह सुनिश्चित करके इसे प्राप्त किया जा सकता है कि डिफ़ॉल्ट रूटिंग नीति की अनुमति है:
ubuntu@fz:~$ sudo ufw डिफ़ॉल्ट रूट की अनुमति दें
रूट की गई डिफ़ॉल्ट नीति 'अनुमति' में बदली गई
(तदनुसार अपने नियमों को अपडेट करना सुनिश्चित करें)
A ufw एक विशिष्ट फायरज़ोन सर्वर की स्थिति इस तरह दिख सकती है:
ubuntu@fz:~$ sudo ufw स्थिति वर्बोज़
स्थिति: सक्रिय
लॉगिंग: चालू (कम)
डिफ़ॉल्ट: इनकार (इनकमिंग), अनुमति (आउटगोइंग), अनुमति (रूट)
नई प्रोफाइल: छोड़ें
से कार्रवाई करने के लिए
——— ——
22/टीसीपी कहीं भी अनुमति दें
80/टीसीपी कहीं भी अनुमति दें
443/tcp कहीं भी अनुमति दें
51820/udp कहीं भी अनुमति दें
22/tcp (v6) कहीं भी अनुमति दें (v6)
80/tcp (v6) कहीं भी अनुमति दें (v6)
443/tcp (v6) कहीं भी अनुमति दें (v6)
51820/udp (v6) कहीं भी अनुमति दें (v6)
हम अत्यधिक संवेदनशील और मिशन-महत्वपूर्ण उत्पादन तैनाती के लिए वेब इंटरफेस तक पहुंच को सीमित करने की सलाह देते हैं, जैसा कि नीचे बताया गया है।
सर्विस | डिफ़ॉल्ट पोर्ट | पता सुनो | Description |
nginx | 80, 443 | सब | Firezone को प्रशासित करने और प्रमाणीकरण की सुविधा के लिए सार्वजनिक HTTP(S) पोर्ट। |
वायरगार्ड | 51820 | सब | वीपीएन सत्रों के लिए उपयोग किया जाने वाला सार्वजनिक वायरगार्ड पोर्ट। (यूडीपी) |
PostgreSQL | 15432 | 127.0.0.1 | बंडल किए गए Postgresql सर्वर के लिए केवल-स्थानीय पोर्ट का उपयोग किया जाता है। |
अचंभा | 13000 | 127.0.0.1 | स्थानीय-केवल बंदरगाह अपस्ट्रीम अमृत ऐप सर्वर द्वारा उपयोग किया जाता है। |
हम आपको सलाह देते हैं कि आप Firezone के सार्वजनिक रूप से प्रदर्शित वेब UI (डिफ़ॉल्ट पोर्ट 443/tcp और 80/tcp द्वारा) तक पहुंच को प्रतिबंधित करने के बारे में सोचें और इसके बजाय उत्पादन और सार्वजनिक-सामना करने वाले परिनियोजन के लिए Firezone का प्रबंधन करने के लिए WireGuard टनल का उपयोग करें जहां एक ही व्यवस्थापक प्रभारी होगा डिवाइस कॉन्फ़िगरेशन बनाने और अंतिम उपयोगकर्ताओं को वितरित करने के लिए।
उदाहरण के लिए, यदि किसी व्यवस्थापक ने एक डिवाइस कॉन्फ़िगरेशन बनाया है और स्थानीय वायरगार्ड पते 10.3.2.2 के साथ एक सुरंग बनाई है, तो निम्न ufw कॉन्फ़िगरेशन व्यवस्थापक को डिफ़ॉल्ट 10.3.2.1 का उपयोग करके सर्वर के wg-firezone इंटरफ़ेस पर Firezone वेब UI तक पहुँचने में सक्षम करेगा। सुरंग का पता:
जड़ @ डेमो: ~# ufw स्थिति वर्बोज़
स्थिति: सक्रिय
लॉगिंग: चालू (कम)
डिफ़ॉल्ट: इनकार (इनकमिंग), अनुमति (आउटगोइंग), अनुमति (रूट)
नई प्रोफाइल: छोड़ें
से कार्रवाई करने के लिए
——— ——
22/टीसीपी कहीं भी अनुमति दें
51820/udp कहीं भी अनुमति दें
10.3.2.2 में कहीं भी अनुमति दें
22/tcp (v6) कहीं भी अनुमति दें (v6)
51820/udp (v6) कहीं भी अनुमति दें (v6)
यह केवल छोड़ देगा 22/टीसीपी सर्वर (वैकल्पिक) को प्रबंधित करने के लिए एसएसएच एक्सेस के लिए उजागर, और 51820/यूडीपी वायरगार्ड सुरंगों को स्थापित करने के लिए उजागर किया गया।
फायरज़ोन एक पोस्टग्रेस्क्ल सर्वर और मिलान को बंडल करता है psql उपयोगिता जिसका उपयोग स्थानीय खोल से किया जा सकता है:
/opt/firezone/एम्बेडेड/बिन/psql \
-यू फायरज़ोन \
-डी फायरज़ोन \
-एच लोकलहोस्ट \
-पी 15432 \
-सी "SQL_STATEMENT"
यह डिबगिंग उद्देश्यों के लिए मददगार हो सकता है।
सामान्य कार्य:
सभी उपयोगकर्ताओं को सूचीबद्ध करना:
/opt/firezone/एम्बेडेड/बिन/psql \
-यू फायरज़ोन \
-डी फायरज़ोन \
-एच लोकलहोस्ट \
-पी 15432 \
-सी "उपयोगकर्ताओं से * चुनें;"
सभी उपकरणों को सूचीबद्ध करना:
/opt/firezone/एम्बेडेड/बिन/psql \
-यू फायरज़ोन \
-डी फायरज़ोन \
-एच लोकलहोस्ट \
-पी 15432 \
-सी "उपकरणों से * चुनें;"
उपयोगकर्ता भूमिका बदलें:
भूमिका को 'व्यवस्थापक' या 'विशेषाधिकार प्राप्त' पर सेट करें:
/opt/firezone/एम्बेडेड/बिन/psql \
-यू फायरज़ोन \
-डी फायरज़ोन \
-एच लोकलहोस्ट \
-पी 15432 \
-c "अपडेट उपयोगकर्ता सेट भूमिका = 'व्यवस्थापक' जहां ईमेल = 'user@example.com';"
डेटाबेस का बैकअप लेना:
इसके अलावा, pg डंप प्रोग्राम शामिल है, जिसका उपयोग डेटाबेस के नियमित बैकअप लेने के लिए किया जा सकता है। सामान्य SQL क्वेरी प्रारूप में डेटाबेस की प्रतिलिपि डंप करने के लिए निम्न कोड निष्पादित करें (उस स्थान के साथ /path/to/backup.sql बदलें जहां SQL फ़ाइल बनाई जानी चाहिए):
/opt/firezone/एम्बेडेड/बिन/pg_dump \
-यू फायरज़ोन \
-डी फायरज़ोन \
-एच लोकलहोस्ट \
-p 15432 > /path/to/backup.sql
फ़ायरज़ोन सफलतापूर्वक तैनात होने के बाद, आपको उपयोगकर्ताओं को अपने नेटवर्क तक पहुंच प्रदान करने के लिए जोड़ना होगा। ऐसा करने के लिए वेब यूआई का उपयोग किया जाता है।
/उपयोगकर्ताओं के अंतर्गत "उपयोगकर्ता जोड़ें" बटन का चयन करके, आप एक उपयोगकर्ता जोड़ सकते हैं। आपको उपयोगकर्ता को एक ईमेल पता और एक पासवर्ड प्रदान करना होगा। अपने संगठन में उपयोगकर्ताओं को स्वचालित रूप से एक्सेस की अनुमति देने के लिए, Firezone एक पहचान प्रदाता के साथ इंटरफ़ेस और सिंक भी कर सकता है। में अधिक विवरण उपलब्ध हैं प्रमाणित. <प्रमाणीकरण के लिए एक लिंक जोड़ें
हम उपयोगकर्ताओं से अनुरोध करने की सलाह देते हैं कि वे अपने स्वयं के डिवाइस कॉन्फ़िगरेशन बनाएं ताकि निजी कुंजी केवल उन्हें दिखाई दे। उपयोगकर्ता पर निर्देशों का पालन करके अपने स्वयं के डिवाइस कॉन्फ़िगरेशन उत्पन्न कर सकते हैं ग्राहक निर्देश पृष्ठ।
सभी उपयोगकर्ता डिवाइस कॉन्फ़िगरेशन Firezone व्यवस्थापकों द्वारा बनाए जा सकते हैं। /उपयोगकर्ताओं पर स्थित उपयोगकर्ता प्रोफ़ाइल पृष्ठ पर, इसे पूरा करने के लिए "डिवाइस जोड़ें" विकल्प चुनें।
[स्क्रीनशॉट डालें]
डिवाइस प्रोफ़ाइल बनाने के बाद आप उपयोगकर्ता को वायरगार्ड कॉन्फ़िगरेशन फ़ाइल ईमेल कर सकते हैं।
उपयोगकर्ता और उपकरण जुड़े हुए हैं। उपयोगकर्ता को जोड़ने के तरीके के बारे में अधिक जानकारी के लिए, देखें उपयोगकर्ता जोड़ें.
कर्नेल के नेटफिल्टर सिस्टम के उपयोग के माध्यम से, फायरज़ोन DROP या ACCEPT पैकेट निर्दिष्ट करने के लिए निकास फ़िल्टरिंग क्षमताओं को सक्षम करता है। सभी यातायात को सामान्य रूप से अनुमति दी जाती है।
IPv4 और IPv6 CIDRs और IP पते क्रमशः अनुमति सूची और अस्वीकृत सूची के माध्यम से समर्थित हैं। आप किसी नियम को जोड़ते समय किसी उपयोगकर्ता के लिए उसका दायरा चुन सकते हैं, जो उस उपयोगकर्ता के सभी उपकरणों पर नियम लागू करता है।
स्थापित करें और कॉन्फ़िगर करें
मूल वायरगार्ड क्लाइंट का उपयोग करके वीपीएन कनेक्शन स्थापित करने के लिए, इस गाइड को देखें।
यहां स्थित आधिकारिक वायरगार्ड क्लाइंट फायरज़ोन संगत हैं:
ऊपर उल्लिखित ओएस सिस्टम के लिए आधिकारिक वायरगार्ड वेबसाइट https://www.wireguard.com/install/ पर जाएं।
या तो आपका फ़ायरज़ोन व्यवस्थापक या स्वयं फ़ायरज़ोन पोर्टल का उपयोग करके डिवाइस कॉन्फ़िगरेशन फ़ाइल उत्पन्न कर सकता है।
उस URL पर जाएं जिसे आपके फ़ायरज़ोन व्यवस्थापक ने डिवाइस कॉन्फ़िगरेशन फ़ाइल को स्व-जनरेट करने के लिए प्रदान किया है। इसके लिए आपकी फर्म के पास एक अद्वितीय URL होगा; इस मामले में, यह https://instance-id.yourfirezone.com है।
फायरज़ोन ओक्टा एसएसओ में लॉग इन करें
[स्क्रीनशॉट डालें]
वायरगार्ड क्लाइंट में .conf फ़ाइल को खोलकर आयात करें। एक्टिवेट स्विच को फ्लिप करके, आप एक वीपीएन सेशन शुरू कर सकते हैं।
[स्क्रीनशॉट डालें]
यदि आपके नेटवर्क व्यवस्थापक ने आपके वीपीएन कनेक्शन को सक्रिय रखने के लिए पुनरावर्ती प्रमाणीकरण अनिवार्य किया है, तो नीचे दिए गए निर्देशों का पालन करें।
आप की जरूरत है:
Firezone पोर्टल का URL: कनेक्शन के लिए अपने नेटवर्क व्यवस्थापक से पूछें।
आपका नेटवर्क व्यवस्थापक आपके लॉगिन और पासवर्ड की पेशकश करने में सक्षम होना चाहिए। फायरज़ोन साइट आपको आपके नियोक्ता द्वारा उपयोग की जाने वाली एकल साइन-ऑन सेवा (जैसे Google या Okta) का उपयोग करके लॉग इन करने के लिए कहेगी।
[स्क्रीनशॉट डालें]
Firezone पोर्टल के URL पर जाएं और आपके नेटवर्क व्यवस्थापक द्वारा प्रदान किए गए क्रेडेंशियल्स का उपयोग करके लॉग इन करें। यदि आप पहले से ही साइन इन हैं, तो वापस साइन इन करने से पहले पुन: प्रमाणित करें बटन पर क्लिक करें।
[स्क्रीनशॉट डालें]
[स्क्रीनशॉट डालें]
Linux उपकरणों पर नेटवर्क प्रबंधक CLI का उपयोग करके WireGuard कॉन्फ़िगरेशन प्रोफ़ाइल आयात करने के लिए, इन निर्देशों (nmcli) का पालन करें।
यदि प्रोफ़ाइल में IPv6 समर्थन सक्षम है, तो नेटवर्क प्रबंधक GUI का उपयोग करके कॉन्फ़िगरेशन फ़ाइल आयात करने का प्रयास निम्न त्रुटि के साथ विफल हो सकता है:
ipv6.method: वायरगार्ड के लिए विधि "ऑटो" समर्थित नहीं है
वायरगार्ड यूजरस्पेस उपयोगिताओं को स्थापित करना आवश्यक है। यह लिनक्स वितरण के लिए वायरगार्ड या वायरगार्ड-टूल्स नामक पैकेज होगा।
उबंटू/डेबियन के लिए:
sudo apt इंस्टाल वायरगार्ड
फेडोरा का उपयोग करने के लिए:
sudo dnf वायरगार्ड-टूल्स स्थापित करें
आर्क लिनक्स:
सुडो पॅकमैन -एस वायरगार्ड-टूल्स
उन वितरणों के लिए आधिकारिक वायरगार्ड वेबसाइट https://www.wireguard.com/install/ पर जाएं जिनका उल्लेख ऊपर नहीं किया गया है।
या तो आपका फ़ायरज़ोन व्यवस्थापक या स्वयं-पीढ़ी फ़ायरज़ोन पोर्टल का उपयोग करके डिवाइस कॉन्फ़िगरेशन फ़ाइल उत्पन्न कर सकता है।
उस URL पर जाएं जिसे आपके फ़ायरज़ोन व्यवस्थापक ने डिवाइस कॉन्फ़िगरेशन फ़ाइल को स्व-जनरेट करने के लिए प्रदान किया है। इसके लिए आपकी फर्म के पास एक अद्वितीय URL होगा; इस मामले में, यह https://instance-id.yourfirezone.com है।
[स्क्रीनशॉट डालें]
Nmcli का उपयोग करके आपूर्ति की गई कॉन्फ़िगरेशन फ़ाइल आयात करें:
sudo nmcli कनेक्शन आयात प्रकार वायरगार्ड फ़ाइल /path/to/configuration.conf
कॉन्फ़िगरेशन फ़ाइल का नाम वायरगार्ड कनेक्शन/इंटरफ़ेस के अनुरूप होगा। आयात के बाद, यदि आवश्यक हो तो कनेक्शन का नाम बदला जा सकता है:
nmcli कनेक्शन संशोधित [पुराना नाम] कनेक्शन.आईडी [नया नाम]
कमांड लाइन के माध्यम से, वीपीएन से निम्नानुसार कनेक्ट करें:
एनएमसीएलआई कनेक्शन अप [वीपीएन नाम]
डिस्कनेक्ट करने के लिए:
एनएमसीएलआई कनेक्शन डाउन [वीपीएन नाम]
जीयूआई का उपयोग करने पर कनेक्शन को प्रबंधित करने के लिए लागू नेटवर्क प्रबंधक एप्लेट का भी उपयोग किया जा सकता है।
ऑटोकनेक्ट विकल्प के लिए "हां" का चयन करके, वीपीएन कनेक्शन को स्वचालित रूप से कनेक्ट करने के लिए कॉन्फ़िगर किया जा सकता है:
nmcli कनेक्शन [vpn नाम] कनेक्शन को संशोधित करें। <<<<<<<<<<<<<<<<<<<<<<<<<
स्वत: कनेक्ट हाँ
स्वचालित कनेक्शन को अक्षम करने के लिए इसे वापस नहीं पर सेट करें:
nmcli कनेक्शन [vpn नाम] कनेक्शन को संशोधित करें।
ऑटोकनेक्ट नं
MFA को सक्रिय करने के लिए Firezone पोर्टल के /user account/register mfa पेज पर जाएं। QR कोड जनरेट होने के बाद उसे स्कैन करने के लिए अपने ऑथेंटिकेटर ऐप का उपयोग करें, फिर छह अंकों का कोड दर्ज करें।
यदि आप अपने प्रमाणीकरणकर्ता ऐप को खो देते हैं तो अपने खाते की पहुंच जानकारी को रीसेट करने के लिए अपने व्यवस्थापक से संपर्क करें।
यह ट्यूटोरियल आपको फायरज़ोन के साथ वायरगार्ड की स्प्लिट टनलिंग सुविधा स्थापित करने की प्रक्रिया के बारे में बताएगा ताकि वीपीएन सर्वर के माध्यम से केवल विशिष्ट आईपी रेंज के लिए ट्रैफ़िक को अग्रेषित किया जा सके।
IP रेंज जिसके लिए क्लाइंट नेटवर्क ट्रैफ़िक को रूट करेगा, /सेटिंग्स/डिफ़ॉल्ट पेज पर स्थित अनुमत IPs फ़ील्ड में सेट किया गया है। फायरज़ोन द्वारा निर्मित केवल नव निर्मित वायरगार्ड सुरंग विन्यास इस क्षेत्र में परिवर्तन से प्रभावित होंगे।
[स्क्रीनशॉट डालें]
डिफ़ॉल्ट मान 0.0.0.0/0, ::/0 है, जो क्लाइंट से वीपीएन सर्वर तक सभी नेटवर्क ट्रैफ़िक को रूट करता है।
इस क्षेत्र में मूल्यों के उदाहरणों में शामिल हैं:
0.0.0.0/0, ::/0 - सभी नेटवर्क ट्रैफ़िक को वीपीएन सर्वर पर रूट किया जाएगा।
192.0.2.3/32 - केवल एक आईपी पते पर आने वाला ट्रैफ़िक वीपीएन सर्वर पर भेजा जाएगा।
3.5.140.0/22 - 3.5.140.1 - 3.5.143.254 रेंज में केवल IP का ट्रैफ़िक VPN सर्वर पर रूट किया जाएगा। इस उदाहरण में, AP-Northeast-2 AWS क्षेत्र के लिए CIDR श्रेणी का उपयोग किया गया था।
Firezone किसी पैकेट को रूट करने का निर्धारण करते समय सबसे पहले सबसे सटीक रूट से जुड़े इग्रेस इंटरफ़ेस का चयन करता है।
उपयोगकर्ताओं को कॉन्फ़िगरेशन फ़ाइलों को फिर से बनाना होगा और नए स्प्लिट टनल कॉन्फ़िगरेशन के साथ मौजूदा उपयोगकर्ता उपकरणों को अपडेट करने के लिए उन्हें अपने मूल वायरगार्ड क्लाइंट में जोड़ना होगा।
निर्देशों के लिए, देखें डिवाइस जोडे. <<<<<<<<<<<< लिंक जोड़ें
यह मैनुअल प्रदर्शित करेगा कि रिले के रूप में फायरज़ोन का उपयोग करके दो उपकरणों को कैसे जोड़ा जाए। एक विशिष्ट उपयोग मामला एक व्यवस्थापक को सर्वर, कंटेनर, या मशीन तक पहुंचने में सक्षम बनाना है जो NAT या फ़ायरवॉल द्वारा सुरक्षित है।
यह चित्रण एक सीधा परिदृश्य दिखाता है जिसमें डिवाइस ए और बी एक सुरंग का निर्माण करते हैं।
[फायरज़ोन वास्तुशिल्प चित्र डालें]
/उपयोगकर्ताओं/[user_id]/new_device पर नेविगेट करके डिवाइस A और डिवाइस B बनाकर प्रारंभ करें। प्रत्येक डिवाइस के लिए सेटिंग्स में, सुनिश्चित करें कि निम्न पैरामीटर नीचे सूचीबद्ध मानों पर सेट हैं। डिवाइस कॉन्फ़िगरेशन बनाते समय आप डिवाइस सेटिंग सेट कर सकते हैं (डिवाइस जोड़ें देखें)। यदि आपको किसी मौजूदा डिवाइस पर सेटिंग्स को अपडेट करने की आवश्यकता है, तो आप एक नया डिवाइस कॉन्फिग जनरेट करके ऐसा कर सकते हैं।
ध्यान दें कि सभी उपकरणों में एक /सेटिंग्स/डिफ़ॉल्ट पृष्ठ होता है जहाँ PersistentKeepalive को कॉन्फ़िगर किया जा सकता है।
अनुमत आईपी = 10.3.2.2/32
यह डिवाइस बी के आईपी या आईपी की रेंज है
परसिस्टेंटकीपैलिव = 25
यदि डिवाइस NAT के पीछे है, तो यह सुनिश्चित करता है कि डिवाइस सुरंग को जीवित रखने में सक्षम है और वायरगार्ड इंटरफ़ेस से पैकेट प्राप्त करना जारी रखता है। आमतौर पर 25 का मान पर्याप्त होता है, लेकिन आपको अपने वातावरण के आधार पर इस मान को कम करने की आवश्यकता हो सकती है।
अनुमत आईपी = 10.3.2.3/32
यह डिवाइस ए के आईपी या आईपी की रेंज है
परसिस्टेंटकीपैलिव = 25
यह उदाहरण एक ऐसी स्थिति दिखाता है जिसमें डिवाइस ए दोनों दिशाओं में डी के माध्यम से डिवाइस बी के साथ संचार कर सकता है। यह सेटअप एक इंजीनियर या प्रशासक का प्रतिनिधित्व कर सकता है जो विभिन्न नेटवर्कों पर कई संसाधनों (सर्वर, कंटेनर या मशीन) तक पहुंच बना रहा है।
[आर्किटेक्चर आरेख]<<<<<<<<<<<<<<<<<<<<<<<<<
सुनिश्चित करें कि प्रत्येक डिवाइस की सेटिंग में संबंधित मानों के लिए निम्न सेटिंग्स की गई हैं। डिवाइस कॉन्फ़िगरेशन बनाते समय, आप डिवाइस सेटिंग निर्दिष्ट कर सकते हैं (डिवाइस जोड़ें देखें)। यदि किसी मौजूदा डिवाइस पर सेटिंग्स को अपडेट करने की आवश्यकता है तो एक नया डिवाइस कॉन्फ़िगरेशन बनाया जा सकता है।
अनुमत आईपी = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
यह डिवाइस बी से डी तक का आईपी है। डिवाइस बी से डी तक के आईपी को किसी भी आईपी रेंज में शामिल किया जाना चाहिए जिसे आप सेट करना चुनते हैं।
परसिस्टेंटकीपैलिव = 25
यह गारंटी देता है कि डिवाइस सुरंग को बनाए रख सकता है और NAT द्वारा संरक्षित होने पर भी वायरगार्ड इंटरफ़ेस से पैकेट प्राप्त करना जारी रख सकता है। ज्यादातर मामलों में, 25 का मान पर्याप्त होता है, हालाँकि आपके परिवेश के आधार पर, आपको इस आंकड़े को कम करने की आवश्यकता हो सकती है।
अपनी टीम के सभी ट्रैफ़िक को बाहर निकालने के लिए एकल, स्थिर इग्रेस आईपी ऑफ़र करने के लिए, Firezone का उपयोग NAT गेटवे के रूप में किया जा सकता है। इन स्थितियों में इसका लगातार उपयोग शामिल है:
परामर्श कार्य: अनुरोध करें कि आपका ग्राहक प्रत्येक कर्मचारी के अद्वितीय डिवाइस IP के बजाय एक एकल स्थिर IP पते को श्वेतसूची में डाले।
सुरक्षा या गोपनीयता उद्देश्यों के लिए प्रॉक्सी का उपयोग करना या अपने स्रोत आईपी को मास्क करना।
एक स्व-होस्ट किए गए वेब एप्लिकेशन तक पहुंच को सीमित करने का एक सरल उदाहरण इस पोस्ट में प्रदर्शित किया जाएगा। इस उदाहरण में, Firezone और संरक्षित संसाधन विभिन्न VPC क्षेत्रों में हैं।
यह समाधान कई अंतिम उपयोगकर्ताओं के लिए आईपी श्वेतसूची के प्रबंधन के स्थान पर अक्सर उपयोग किया जाता है, जो पहुंच सूची के विस्तार के रूप में समय लेने वाला हो सकता है।
हमारा उद्देश्य वीपीएन ट्रैफ़िक को प्रतिबंधित संसाधन पर पुनर्निर्देशित करने के लिए EC2 उदाहरण पर एक फायरज़ोन सर्वर स्थापित करना है। इस उदाहरण में, Firezone प्रत्येक कनेक्टेड डिवाइस को एक अद्वितीय सार्वजनिक इग्रेस IP देने के लिए एक नेटवर्क प्रॉक्सी या NAT गेटवे के रूप में कार्य कर रहा है।
इस स्थिति में, tc2.micro नाम के EC2 इंस्टेंस पर Firezone इंस्टेंस स्थापित है। Firezone को परिनियोजित करने के बारे में जानकारी के लिए, परिनियोजन मार्गदर्शिका पर जाएँ। AWS के संबंध में, सुनिश्चित करें:
Firezone EC2 उदाहरण का सुरक्षा समूह संरक्षित संसाधन के IP पते पर आउटबाउंड ट्रैफ़िक की अनुमति देता है।
फायरज़ोन उदाहरण एक लोचदार आईपी के साथ आता है। फायरज़ोन उदाहरण के माध्यम से बाहरी गंतव्यों के लिए अग्रेषित किए जाने वाले ट्रैफ़िक का स्रोत आईपी पता होगा। विचाराधीन IP पता 52.202.88.54 है।
[स्क्रीनशॉट डालें]<<<<<<<<<<<<<<<<<<<<<<<<
एक स्व-होस्टेड वेब एप्लिकेशन इस मामले में संरक्षित संसाधन के रूप में कार्य करता है। वेब ऐप को केवल IP पते 52.202.88.54 से आने वाले अनुरोधों द्वारा ही एक्सेस किया जा सकता है। संसाधन के आधार पर, विभिन्न बंदरगाहों और ट्रैफ़िक प्रकारों पर इनबाउंड ट्रैफ़िक की अनुमति देना आवश्यक हो सकता है। यह इस मैनुअल में शामिल नहीं है।
[स्क्रीनशॉट डालें]<<<<<<<<<<<<<<<<<<<<<<<<
कृपया संरक्षित संसाधन के प्रभारी तीसरे पक्ष को बताएं कि चरण 1 में परिभाषित स्थिर आईपी से यातायात की अनुमति दी जानी चाहिए (इस मामले में 52.202.88.54)।
डिफ़ॉल्ट रूप से, सभी उपयोगकर्ता ट्रैफ़िक वीपीएन सर्वर के माध्यम से जाएंगे और स्थिर आईपी से आएंगे जो चरण 1 में कॉन्फ़िगर किया गया था (इस मामले में 52.202.88.54)। हालाँकि, यदि स्प्लिट टनलिंग को सक्षम किया गया है, तो यह सुनिश्चित करने के लिए सेटिंग्स आवश्यक हो सकती हैं कि संरक्षित संसाधन का गंतव्य IP अनुमत IP में सूचीबद्ध है।
में उपलब्ध कॉन्फ़िगरेशन विकल्पों की पूरी सूची नीचे दिखाई गई है /etc/firezone/firezone.rb.
विकल्प | विवरण | डिफ़ॉल्ट मान |
डिफ़ॉल्ट ['फायरज़ोन'] ['external_url'] | इस Firezone उदाहरण के वेब पोर्टल तक पहुँचने के लिए URL का उपयोग किया गया। | “https://#{नोड ['fqdn'] || नोड ['होस्टनाम']}” |
डिफ़ॉल्ट ['फायरज़ोन'] ['config_directory'] | फायरज़ोन कॉन्फ़िगरेशन के लिए शीर्ष-स्तरीय निर्देशिका। | /आदि/फायरज़ोन' |
डिफ़ॉल्ट ['फायरज़ोन'] ['install_directory'] | Firezone को स्थापित करने के लिए शीर्ष-स्तरीय निर्देशिका। | /ऑप्ट/फायरज़ोन' |
डिफ़ॉल्ट ['फायरज़ोन'] ['app_directory'] | फायरज़ोन वेब एप्लिकेशन को स्थापित करने के लिए शीर्ष-स्तरीय निर्देशिका। | "#{नोड ['फायरज़ोन'] ['install_directory']}/एम्बेडेड/सर्विस/फायरज़ोन" |
डिफ़ॉल्ट ['फायरज़ोन'] ['log_directory'] | Firezone लॉग के लिए शीर्ष-स्तरीय निर्देशिका। | /var/log/firezone' |
डिफ़ॉल्ट ['फायरज़ोन'] ['var_directory'] | फायरज़ोन रनटाइम फ़ाइलों के लिए शीर्ष-स्तरीय निर्देशिका। | /var/opt/firezone' |
डिफ़ॉल्ट ['फायरज़ोन'] ['उपयोगकर्ता'] | अनपेक्षित लिनक्स उपयोगकर्ता का नाम अधिकांश सेवाओं और फाइलों से संबंधित होगा। | फायर जोन' |
डिफ़ॉल्ट ['फायरज़ोन'] ['समूह'] | लिनक्स समूह का नाम अधिकांश सेवाओं और फाइलों से संबंधित होगा। | फायर जोन' |
डिफ़ॉल्ट ['फायरज़ोन'] ['admin_email'] | प्रारंभिक फायरज़ोन उपयोगकर्ता के लिए ईमेल पता। | "फायरज़ोन @ लोकलहोस्ट" |
डिफ़ॉल्ट ['फायरज़ोन'] ['max_devices_per_user'] | एक उपयोगकर्ता के पास अधिकतम डिवाइस हो सकते हैं। | 10 |
डिफ़ॉल्ट ['फायरज़ोन'] ['allow_unprivileged_device_management'] | गैर-व्यवस्थापक उपयोगकर्ताओं को डिवाइस बनाने और हटाने की अनुमति देता है। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['allow_unprivileged_device_configuration'] | गैर-व्यवस्थापक उपयोगकर्ताओं को डिवाइस कॉन्फ़िगरेशन संशोधित करने की अनुमति देता है। अक्षम होने पर, विशेषाधिकार प्राप्त उपयोगकर्ताओं को नाम और विवरण के अलावा सभी डिवाइस फ़ील्ड बदलने से रोकता है। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['egress_interface'] | इंटरफ़ेस का नाम जहां से टनल किया गया ट्रैफ़िक बाहर निकलेगा. यदि शून्य है, तो डिफ़ॉल्ट रूटिंग इंटरफ़ेस का उपयोग किया जाएगा। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['fips_enabled'] | OpenSSL FIPs मोड को सक्षम या अक्षम करें। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['लॉगिंग'] ['सक्षम'] | फायरज़ोन में लॉगिंग को सक्षम या अक्षम करें। लॉगिंग को पूरी तरह से अक्षम करने के लिए गलत पर सेट करें। | जब सही है |
डिफ़ॉल्ट ['उद्यम'] ['नाम'] | शेफ 'एंटरप्राइज' कुकबुक द्वारा उपयोग किया जाने वाला नाम। | फायर जोन' |
डिफ़ॉल्ट ['फायरज़ोन'] ['install_path'] | शेफ 'एंटरप्राइज' कुकबुक द्वारा उपयोग किया जाने वाला पथ इंस्टॉल करें। इसे उपरोक्त install_directory के समान सेट किया जाना चाहिए। | नोड ['फायरज़ोन'] ['install_directory'] |
डिफ़ॉल्ट ['फायरज़ोन'] ['sysvinit_id'] | /etc/inittab में प्रयुक्त एक पहचानकर्ता। 1-4 वर्णों का एक अनूठा क्रम होना चाहिए। | समर्थन' |
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['स्थानीय'] ['सक्षम'] | स्थानीय ईमेल/पासवर्ड प्रमाणीकरण सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['auto_create_oidc_users'] | पहली बार ओआईडीसी से साइन इन करने वाले उपयोगकर्ताओं को स्वचालित रूप से बनाएं। OIDC के माध्यम से केवल मौजूदा उपयोगकर्ताओं को साइन इन करने की अनुमति देने के लिए अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['अक्षम_vpn_on_oidc_error'] | यदि किसी उपयोगकर्ता के OIDC टोकन को रीफ़्रेश करने का प्रयास करते समय कोई त्रुटि पाई जाती है, तो उसका VPN अक्षम करें। | असत्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['प्रमाणीकरण'] ['ओआईडीसी'] | ओपनआईडी कनेक्ट कॉन्फ़िगरेशन, {“provider” => [config…]} के प्रारूप में – देखें ओपनआईडीकनेक्ट दस्तावेज कॉन्फ़िगरेशन उदाहरणों के लिए। | {} |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['सक्षम'] | बंडल किए गए nginx सर्वर को सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['ssl_port'] | HTTPS पोर्ट सुनें। | 443 |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['निर्देशिका'] | फायरज़ोन से संबंधित nginx वर्चुअल होस्ट कॉन्फ़िगरेशन को स्टोर करने के लिए निर्देशिका। | "#{नोड ['फायरज़ोन'] ['var_directory']}/nginx/etc" |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['log_directory'] | निर्देशिका Firezone से संबंधित nginx लॉग फ़ाइलों को संग्रहीत करने के लिए। | "#{नोड ['फायरज़ोन'] ['log_directory']}/nginx" |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['log_rotation'] ['file_maxbytes'] | फ़ाइल आकार जिस पर Nginx लॉग फ़ाइलों को घुमाने के लिए। | 104857600 |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['log_rotation'] ['num_to_keep'] | खारिज करने से पहले रखने के लिए Firezone nginx लॉग फ़ाइलों की संख्या। | 10 |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['log_x_forwarded_for'] | क्या Firezone nginx x-forwarded-for हैडर को लॉग करना है। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['hsts_header'] ['सक्षम'] | जब सही है | |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['hsts_header'] ['include_subdomains'] | HSTS हेडर के लिए SubDomains शामिल करें को सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['hsts_header'] ['max_age'] | HSTS हेडर के लिए अधिकतम आयु। | 31536000 |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['redirect_to_canonical'] | क्या URL को ऊपर निर्दिष्ट विहित FQDN पर पुनर्निर्देशित करना है | असत्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['कैश'] ['सक्षम'] | Firezone nginx कैश को सक्षम या अक्षम करें। | असत्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['कैश'] ['निर्देशिका'] | फायरज़ोन nginx कैश के लिए निर्देशिका। | "#{नोड ['फायरज़ोन'] ['var_directory']}/nginx/cache" |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['उपयोगकर्ता'] | फायरज़ोन nginx उपयोगकर्ता। | नोड ['फायरज़ोन'] ['उपयोगकर्ता'] |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['समूह'] | फायरज़ोन nginx समूह। | नोड ['फायरज़ोन'] ['समूह'] |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['dir'] | शीर्ष-स्तरीय nginx कॉन्फ़िगरेशन निर्देशिका। | नोड ['फायरज़ोन'] ['nginx'] ['निर्देशिका'] |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['log_dir'] | शीर्ष-स्तरीय nginx लॉग निर्देशिका। | नोड ['फायरज़ोन'] ['nginx'] ['log_directory'] |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['पिड'] | nginx pid फ़ाइल के लिए स्थान। | "#{नोड ['फायरज़ोन'] ['nginx'] ['निर्देशिका']}/nginx.pid" |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['daemon_disable'] | Nginx डेमन मोड को अक्षम करें ताकि हम इसकी निगरानी कर सकें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['gzip'] | Nginx gzip संपीड़न चालू या बंद करें। | पर' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['gzip_static'] | स्थैतिक फ़ाइलों के लिए nginx gzip संपीड़न को चालू या बंद करें। | बंद' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['gzip_http_version'] | HTTP संस्करण स्थिर फ़ाइलों की सेवा के लिए उपयोग करने के लिए। | 1.0 ' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['gzip_comp_level'] | nginx gzip संपीड़न स्तर। | 2 ' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['gzip_proxied'] | अनुरोध और प्रतिक्रिया के आधार पर प्रॉक्सी किए गए अनुरोधों के लिए प्रतिक्रियाओं की जिपिंग को सक्षम या अक्षम करता है। | कोई भी' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['gzip_vary'] | "वैरी: एक्सेप्ट-एन्कोडिंग" रिस्पांस हेडर डालने को सक्षम या अक्षम करता है। | बंद' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['gzip_buffers'] | प्रतिक्रिया को संपीड़ित करने के लिए उपयोग किए जाने वाले बफ़र्स की संख्या और आकार सेट करता है। यदि शून्य है, nginx डिफ़ॉल्ट प्रयोग किया जाता है। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['gzip_types'] | MIME प्रकार के लिए gzip संपीड़न सक्षम करने के लिए। | ['टेक्स्ट/प्लेन', 'टेक्स्ट/सीएसएस', 'एप्लीकेशन/एक्स-जावास्क्रिप्ट', 'टेक्स्ट/एक्सएमएल', 'एप्लीकेशन/एक्सएमएल', 'एप्लीकेशन/आरएसएस+एक्सएमएल', 'एप्लीकेशन/एटम+एक्सएमएल', ' टेक्स्ट/जावास्क्रिप्ट', 'एप्लिकेशन/जावास्क्रिप्ट', 'एप्लिकेशन/जेसन'] |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['gzip_min_length'] | फ़ाइल gzip संपीड़न को सक्षम करने के लिए न्यूनतम फ़ाइल लंबाई। | 1000 |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['gzip_disable'] | Gzip संपीड़न को अक्षम करने के लिए उपयोगकर्ता-एजेंट मैचर। | एमएसआईई [1-6]\.' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['कीपैलिव'] | अपस्ट्रीम सर्वर से कनेक्शन के लिए कैश को सक्रिय करता है। | पर' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['keepalive_timeout'] | अपस्ट्रीम सर्वर से सक्रिय कनेक्शन के लिए सेकंड में टाइमआउट। | 65 |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['worker_processes'] | Nginx कार्यकर्ता प्रक्रियाओं की संख्या। | नोड ['सीपीयू'] && नोड ['सीपीयू'] ['कुल']? नोड ['सीपीयू'] ['कुल']: 1 |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['worker_connections'] | अधिकतम एक साथ कनेक्शन जो एक कार्यकर्ता प्रक्रिया द्वारा खोले जा सकते हैं। | 1024 |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['worker_rlimit_nofile'] | कार्यकर्ता प्रक्रियाओं के लिए खुली फाइलों की अधिकतम संख्या की सीमा को बदलता है। शून्य होने पर nginx डिफ़ॉल्ट का उपयोग करता है। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['multi_accept'] | श्रमिकों को एक बार में एक कनेक्शन स्वीकार करना चाहिए या एकाधिक। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['ईवेंट'] | Nginx ईवेंट संदर्भ के अंदर उपयोग करने के लिए कनेक्शन प्रोसेसिंग विधि निर्दिष्ट करता है। | एपोल' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['server_tokens'] | त्रुटि पृष्ठों पर और "सर्वर" प्रतिक्रिया शीर्षलेख फ़ील्ड में nginx संस्करण उत्सर्जित करने में सक्षम या अक्षम करता है। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['server_names_hash_bucket_size'] | सर्वर नाम हैश टेबल के लिए बकेट आकार सेट करता है। | 64 |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['सेंडफाइल'] | Nginx के सेंडफाइल () के उपयोग को सक्षम या अक्षम करता है। | पर' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['access_log_options'] | Nginx एक्सेस लॉग विकल्प सेट करता है। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['error_log_options'] | Nginx त्रुटि लॉग विकल्प सेट करता है। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['disable_access_log'] | Nginx एक्सेस लॉग को अक्षम करता है। | असत्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['types_hash_max_size'] | nginx प्रकार हैश अधिकतम आकार। | 2048 |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['types_hash_bucket_size'] | nginx प्रकार हैश बकेट आकार। | 64 |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['proxy_read_timeout'] | nginx प्रॉक्सी रीड टाइमआउट। Nginx डिफ़ॉल्ट का उपयोग करने के लिए शून्य पर सेट करें। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['client_body_buffer_size'] | nginx क्लाइंट बॉडी बफर आकार। Nginx डिफ़ॉल्ट का उपयोग करने के लिए शून्य पर सेट करें। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['client_max_body_size'] | nginx ग्राहक अधिकतम शरीर का आकार। | 250मी' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['डिफ़ॉल्ट'] ['मॉड्यूल'] | अतिरिक्त nginx मॉड्यूल निर्दिष्ट करें। | [] |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['enable_rate_limiting'] | Nginx रेट लिमिटिंग को सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['rate_limiting_zone_name'] | Nginx दर सीमित क्षेत्र का नाम। | फायर जोन' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['rate_limiting_backoff'] | बैकऑफ़ को सीमित करने वाली Nginx दर। | 10मी' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['rate_limit'] | Nginx दर सीमा। | 10r/s' |
डिफ़ॉल्ट ['फायरज़ोन'] ['nginx'] ['ipv6'] | IPv6 के अलावा IPv4 के लिए HTTP अनुरोधों को सुनने के लिए nginx को अनुमति दें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['सक्षम'] | बंडल किए गए Postgresql को सक्षम या अक्षम करें। गलत पर सेट करें और अपने स्वयं के Postgresql उदाहरण का उपयोग करने के लिए नीचे डेटाबेस विकल्प भरें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['उपयोगकर्ता नाम'] | पोस्टग्रेस्क्ल के लिए उपयोगकर्ता नाम। | नोड ['फायरज़ोन'] ['उपयोगकर्ता'] |
डिफ़ॉल्ट ['firezone'] ['postgresql'] ['data_directory'] | Postgresql डेटा निर्देशिका। | "#{नोड ['फायरज़ोन'] ['var_directory']}/postgresql/13.3/data" |
डिफ़ॉल्ट ['firezone'] ['postgresql'] ['log_directory'] | Postgresql लॉग निर्देशिका। | "#{नोड ['फायरज़ोन'] ['log_directory']}/postgresql" |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['log_rotation'] ['file_maxbytes'] | घुमाए जाने से पहले Postgresql लॉग फ़ाइल का अधिकतम आकार। | 104857600 |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['लॉग_रोटेशन'] ['num_to_keep'] | रखने के लिए Postgresql लॉग फ़ाइलों की संख्या। | 10 |
डिफ़ॉल्ट ['firezone'] ['postgresql'] ['checkpoint_completion_target'] | Postgresql चेकपॉइंट पूरा करने का लक्ष्य। | 0.5 |
डिफ़ॉल्ट ['firezone'] ['postgresql'] ['checkpoint_segments'] | Postgresql चेकपॉइंट सेगमेंट की संख्या। | 3 |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['चेकपॉइंट_टाइमआउट'] | पोस्टग्रेस्क्ल चेकपॉइंट टाइमआउट। | 5 मिनट' |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['चेकपॉइंट_वार्निंग'] | सेकंड में Postgresql चौकी चेतावनी समय। | 30' |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['प्रभावी_कैश_साइज़'] | Postgresql प्रभावी कैश आकार। | 128एमबी' |
डिफ़ॉल्ट ['firezone'] ['postgresql'] ['listen_address'] | Postgresql पता सुनें। | 127.0.0.1 ' |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['max_connections'] | Postgresql अधिकतम कनेक्शन। | 350 |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['md5_auth_cidr_addresses'] | MD5 प्रमाणन के लिए अनुमति देने के लिए Postgresql CIDRs। | ['127.0.0.1/32', '::1/128'] |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['पोर्ट'] | पोस्टग्रेस्क्ल सुनो बंदरगाह। | 15432 |
डिफ़ॉल्ट ['firezone'] ['postgresql'] ['shared_buffers'] | Postgresql ने बफ़र्स आकार साझा किया। | "#{(नोड['मेमोरी']['टोटल'].to_i / 4) / 1024}एमबी" |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['shmmax'] | बाइट्स में Postgresql shmmax। | 17179869184 |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['शमल'] | बाइट्स में Postgresql shmall। | 4194304 |
डिफ़ॉल्ट ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['work_mem'] | Postgresql वर्किंग मेमोरी साइज। | 8एमबी' |
डिफ़ॉल्ट ['फायरज़ोन'] ['डेटाबेस'] ['उपयोगकर्ता'] | निर्दिष्ट करता है कि उपयोगकर्ता नाम Firezone DB से कनेक्ट करने के लिए उपयोग करेगा। | नोड ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['उपयोगकर्ता नाम'] |
डिफ़ॉल्ट ['फायरज़ोन'] ['डेटाबेस'] ['पासवर्ड'] | यदि बाहरी डीबी का उपयोग कर रहे हैं, तो पासवर्ड निर्दिष्ट करें फायरज़ोन डीबी से कनेक्ट करने के लिए उपयोग करेगा। | मुझे बदला' |
डिफ़ॉल्ट ['फायरज़ोन'] ['डेटाबेस'] ['नाम'] | डाटाबेस जो फायरज़ोन उपयोग करेगा। अगर यह मौजूद नहीं है तो बनाया जाएगा। | फायर जोन' |
डिफ़ॉल्ट ['फायरज़ोन'] ['डेटाबेस'] ['होस्ट'] | डेटाबेस होस्ट जिसे Firezone कनेक्ट करेगा। | नोड ['firezone'] ['postgresql'] ['listen_address'] |
डिफ़ॉल्ट ['फायरज़ोन'] ['डेटाबेस'] ['पोर्ट'] | डेटाबेस पोर्ट जिससे Firezone कनेक्ट होगा। | नोड ['फायरज़ोन'] ['पोस्टग्रेस्क्ल'] ['पोर्ट'] |
डिफ़ॉल्ट ['फायरज़ोन'] ['डेटाबेस'] ['पूल'] | डाटाबेस पूल आकार फायरज़ोन उपयोग करेगा। | [10, आदि एनप्रोसेसर] .मैक्स |
डिफ़ॉल्ट ['फायरज़ोन'] ['डेटाबेस'] ['एसएसएल'] | एसएसएल पर डेटाबेस से कनेक्ट करना है या नहीं। | असत्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['डेटाबेस'] ['ssl_opts'] | {} | |
डिफ़ॉल्ट ['फायरज़ोन'] ['डेटाबेस'] ['पैरामीटर'] | {} | |
डिफ़ॉल्ट ['फायरज़ोन'] ['डेटाबेस'] ['एक्सटेंशन'] | सक्षम करने के लिए डेटाबेस एक्सटेंशन। | {'plpgsql' => सत्य, 'pg_trgm' => सत्य} |
डिफ़ॉल्ट ['फायरज़ोन'] ['फ़ीनिक्स'] ['सक्षम'] | फायरज़ोन वेब एप्लिकेशन को सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['फीनिक्स'] ['सुनो_पता'] | फायरज़ोन वेब एप्लिकेशन सुनने का पता। यह अपस्ट्रीम सुनने का पता होगा जो nginx प्रॉक्सी करता है। | 127.0.0.1 ' |
डिफ़ॉल्ट ['फायरज़ोन'] ['फ़ीनिक्स'] ['पोर्ट'] | फायरज़ोन वेब एप्लिकेशन पोर्ट सुनें। यह अपस्ट्रीम पोर्ट होगा जो nginx प्रॉक्सी करता है। | 13000 |
डिफ़ॉल्ट ['फायरज़ोन'] ['फ़ीनिक्स'] ['log_directory'] | फायरज़ोन वेब एप्लिकेशन लॉग निर्देशिका। | "#{नोड ['फायरज़ोन'] ['log_directory']}/फ़ीनिक्स" |
डिफ़ॉल्ट ['फायरज़ोन'] ['फ़ीनिक्स'] ['log_rotation'] ['file_maxbytes'] | फायरज़ोन वेब एप्लिकेशन लॉग फ़ाइल आकार। | 104857600 |
डिफ़ॉल्ट ['फायरज़ोन'] ['फीनिक्स'] ['लॉग_रोटेशन'] ['num_to_keep'] | रखने के लिए Firezone वेब एप्लिकेशन लॉग फ़ाइलों की संख्या। | 10 |
डिफ़ॉल्ट ['फायरज़ोन'] ['फ़ीनिक्स'] ['क्रैश_डिटेक्शन'] ['सक्षम'] | किसी क्रैश का पता चलने पर Firezone वेब एप्लिकेशन को नीचे लाना सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['फ़ीनिक्स'] ['external_trusted_proxies'] | आईपी और/या सीआईडीआर की एक सरणी के रूप में स्वरूपित विश्वसनीय रिवर्स प्रॉक्सी की सूची। | [] |
डिफ़ॉल्ट ['फायरज़ोन'] ['फ़ीनिक्स'] ['private_clients'] | निजी नेटवर्क एचटीटीपी क्लाइंट की सूची, आईपी और/या सीआईडीआर की एक सरणी को फ़ॉर्मैट किया गया है। | [] |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['सक्षम'] | बंडल किए गए वायरगार्ड प्रबंधन को सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['log_directory'] | बंडल किए गए वायरगार्ड प्रबंधन के लिए लॉग निर्देशिका। | "#{नोड ['फायरज़ोन'] ['log_directory']}/वायरगार्ड" |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['log_rotation'] ['file_maxbytes'] | वायरगार्ड लॉग फ़ाइल अधिकतम आकार। | 104857600 |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['लॉग_रोटेशन'] ['num_to_keep'] | रखने के लिए वायरगार्ड लॉग फ़ाइलों की संख्या। | 10 |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['इंटरफ़ेस_नाम'] | वायरगार्ड इंटरफ़ेस नाम। इस पैरामीटर को बदलने से वीपीएन कनेक्टिविटी में अस्थायी नुकसान हो सकता है। | wg-firezone' |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['पोर्ट'] | वायरगार्ड सुनो बंदरगाह। | 51820 |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['एमटीयू'] | इस सर्वर और डिवाइस कॉन्फ़िगरेशन के लिए वायरगार्ड इंटरफ़ेस MTU। | 1280 |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['एंडपॉइंट'] | डिवाइस कॉन्फ़िगरेशन उत्पन्न करने के लिए उपयोग करने के लिए वायरगार्ड एंडपॉइंट। यदि शून्य है, तो डिफ़ॉल्ट रूप से सर्वर का सार्वजनिक IP पता होता है। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['डीएनएस'] | वायरगार्ड डीएनएस उत्पन्न डिवाइस कॉन्फ़िगरेशन के लिए उपयोग करने के लिए। | 1.1.1.1, 1.0.0.1' |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['allowed_ips'] | वायरगार्ड अनुमतआईपी उत्पन्न डिवाइस कॉन्फ़िगरेशन के लिए उपयोग करने के लिए। | 0.0.0.0/0, ::/0′ |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['persistent_keepalive'] | उत्पन्न डिवाइस कॉन्फ़िगरेशन के लिए डिफ़ॉल्ट PersistentKeepalive सेटिंग। 0 का मान अक्षम करता है। | 0 |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['आईपीवी 4'] ['सक्षम'] | वायरगार्ड नेटवर्क के लिए IPv4 को सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['आईपीवी 4'] ['बहाना'] | IPv4 टनल छोड़ने वाले पैकेट के लिए मास्करेड को सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['आईपीवी 4'] ['नेटवर्क'] | वायरगार्ड नेटवर्क IPv4 एड्रेस पूल। | 10.3.2.0/24 ' |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['आईपीवी 4'] ['पता'] | वायरगार्ड इंटरफ़ेस IPv4 पता। वायरगार्ड एड्रेस पूल के भीतर होना चाहिए। | 10.3.2.1 ' |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['आईपीवी 6'] ['सक्षम'] | वायरगार्ड नेटवर्क के लिए IPv6 को सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['आईपीवी 6'] ['बहाना'] | IPv6 टनल छोड़ने वाले पैकेट के लिए मास्करेड को सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['आईपीवी 6'] ['नेटवर्क'] | वायरगार्ड नेटवर्क IPv6 एड्रेस पूल। | fd00::3:2:0/120′ |
डिफ़ॉल्ट ['फायरज़ोन'] ['वायरगार्ड'] ['आईपीवी 6'] ['पता'] | वायरगार्ड इंटरफ़ेस IPv6 पता। IPv6 एड्रेस पूल के भीतर होना चाहिए। | fd00::3:2:1' |
डिफ़ॉल्ट ['फायरज़ोन'] ['रनिट'] ['svlogd_bin'] | svlogd बिन स्थान रनिट करें। | "#{नोड ['फायरज़ोन'] ['install_directory']}/एम्बेडेड/बिन/svlogd" |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['निर्देशिका'] | जेनरेट किए गए प्रमाणपत्रों को संग्रहित करने के लिए एसएसएल निर्देशिका। | /var/opt/firezone/ssl' |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['ईमेल_एड्रेस'] | स्व-हस्ताक्षरित प्रमाणपत्र और एसीएमई प्रोटोकॉल नवीनीकरण नोटिस के लिए उपयोग करने के लिए ईमेल पता। | you@example.com' |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['एक्मे'] ['सक्षम'] | स्वचालित एसएसएल प्रमाणपत्र प्रावधान के लिए एसीएमई सक्षम करें। Nginx को पोर्ट 80 पर सुनने से रोकने के लिए इसे अक्षम करें। देखें यहाँ उत्पन्न करें अधिक निर्देशों के लिए। | असत्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['एक्मे'] ['सर्वर'] | प्रमाणपत्र जारी/नवीनीकरण के लिए उपयोग करने के लिए ACME सर्वर। कोई भी हो सकता है मान्य acme.sh सर्वर | letsencrypt |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['एक्मे'] ['कीलेंथ'] | एसएसएल प्रमाणपत्रों के लिए कुंजी प्रकार और लंबाई निर्दिष्ट करें। देखना यहाँ उत्पन्न करें | चुनाव आयोग -256 |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['प्रमाणपत्र'] | आपके FQDN के लिए प्रमाणपत्र फ़ाइल का पथ। निर्दिष्ट किए जाने पर उपरोक्त एसीएमई सेटिंग को ओवरराइड करता है। यदि ACME और यह दोनों शून्य हैं तो एक स्व-हस्ताक्षरित प्रमाणपत्र तैयार किया जाएगा। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['प्रमाणपत्र_की'] | प्रमाणपत्र फ़ाइल का पथ। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['ssl'] ['ssl_dhparam'] | nginx एसएसएल dh_param. | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['देश का नाम'] | स्व-हस्ताक्षरित प्रमाणपत्र के लिए देश का नाम। | हम' |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['स्टेट_नाम'] | स्व-हस्ताक्षरित प्रमाणपत्र के लिए राज्य का नाम। | सीए' |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['लोकलिटी_नाम'] | स्व-हस्ताक्षरित प्रमाणपत्र के लिए इलाके का नाम। | सैन फ्रांसिस्को' |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['कंपनी_नाम'] | कंपनी का नाम स्व-हस्ताक्षरित प्रमाणपत्र। | मेरी कंपनी' |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['संगठनात्मक_unit_name'] | स्व-हस्ताक्षरित प्रमाणपत्र के लिए संगठनात्मक इकाई का नाम। | संचालन' |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['सिफर्स'] | उपयोग करने के लिए nginx के लिए एसएसएल सिफर। | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
डिफ़ॉल्ट ['फायरज़ोन'] ['ssl'] ['fips_ciphers'] | एफआईपी मोड के लिए एसएसएल सिफर। | FIPS @ शक्ति:!एक पूर्ण:!eNULL' |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['प्रोटोकॉल'] | उपयोग करने के लिए टीएलएस प्रोटोकॉल। | टीएलएसवी1 टीएलएसवी1.1 टीएलएसवी1.2′ |
डिफ़ॉल्ट ['फायरज़ोन'] ['ssl'] ['session_cache'] | एसएसएल सत्र कैश। | साझा:एसएसएल:4मी' |
डिफ़ॉल्ट ['फायरज़ोन'] ['एसएसएल'] ['सेशन_टाइमआउट'] | एसएसएल सत्र टाइमआउट। | 5मी' |
डिफ़ॉल्ट ['फायरज़ोन'] ['robots_allow'] | nginx रोबोट अनुमति देते हैं। | /' |
डिफ़ॉल्ट ['फायरज़ोन'] ['robots_disallow'] | nginx रोबोट अस्वीकार करते हैं। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['आउटबाउंड_मेल'] ['से'] | पते से आउटबाउंड ईमेल। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['आउटबाउंड_मेल'] ['प्रदाता'] | आउटबाउंड ईमेल सेवा प्रदाता। | शून्य |
डिफ़ॉल्ट ['फायरज़ोन'] ['आउटबाउंड_मेल'] ['कॉन्फ़िगरेशन'] | आउटबाउंड ईमेल प्रदाता कॉन्फ़िगरेशन। | ऑम्निबस/कुकबुक/फायरज़ोन/एट्रिब्यूट्स/डिफॉल्ट.आरबी देखें |
डिफ़ॉल्ट ['फायरज़ोन'] ['टेलीमेट्री'] ['सक्षम'] | अज्ञात उत्पाद टेलीमेट्री को सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['कनेक्टिविटी_चेक'] ['सक्षम'] | फायरज़ोन कनेक्टिविटी चेक सेवा को सक्षम या अक्षम करें। | जब सही है |
डिफ़ॉल्ट ['फायरज़ोन'] ['कनेक्टिविटी_चेक'] ['अंतराल'] | सेकेंड में कनेक्टिविटी चेक के बीच अंतराल। | 3_600 |
________________________________________________________________
यहां आपको विशिष्ट फायरज़ोन स्थापना से संबंधित फ़ाइलों और निर्देशिकाओं की एक सूची मिलेगी। आपकी कॉन्फ़िगरेशन फ़ाइल में परिवर्तनों के आधार पर ये बदल सकते हैं।
पथ | विवरण |
/var/opt/firezone | फायरज़ोन बंडल सेवाओं के लिए डेटा और उत्पन्न कॉन्फ़िगरेशन वाली शीर्ष-स्तरीय निर्देशिका। |
/ऑप्ट/फ़ायरज़ोन | फायरज़ोन द्वारा आवश्यक निर्मित लाइब्रेरी, बायनेरिज़ और रनटाइम फ़ाइलों वाली शीर्ष-स्तरीय निर्देशिका। |
/usr/bin/firezone-ctl | firezone-ctl उपयोगिता अपने Firezone स्थापना के प्रबंधन के लिए। |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runvdir पर्यवेक्षक प्रक्रिया शुरू करने के लिए systemd यूनिट फ़ाइल। |
/आदि/फ़ायरज़ोन | फायरज़ोन कॉन्फ़िगरेशन फ़ाइलें। |
__________________________________________________________
डॉक्स में यह पेज खाली था
_____________________________________________________________
Firezone चलाने वाले सर्वर को सुरक्षित करने के लिए निम्न nftables फ़ायरवॉल टेम्पलेट का उपयोग किया जा सकता है। साँचा कुछ धारणाएँ बनाता है; आपको अपने उपयोग के मामले के अनुरूप नियमों को समायोजित करने की आवश्यकता हो सकती है:
वेब इंटरफ़ेस में कॉन्फ़िगर किए गए गंतव्यों के लिए ट्रैफ़िक को अनुमति/अस्वीकार करने और क्लाइंट ट्रैफ़िक के लिए आउटबाउंड NAT को संभालने के लिए Firezone अपने स्वयं के nftables नियमों को कॉन्फ़िगर करता है।
पहले से चल रहे सर्वर (बूट समय पर नहीं) पर नीचे दिए गए फ़ायरवॉल टेम्प्लेट को लागू करने से फ़ायरज़ोन नियम साफ़ हो जाएंगे। इसके सुरक्षा निहितार्थ हो सकते हैं।
इसके समाधान के लिए फ़ीनिक्स सेवा को पुनरारंभ करें:
firezone-ctl फ़ीनिक्स को पुनरारंभ करें
#!/usr/sbin/nft -f
## सभी मौजूदा नियमों को साफ/फ्लश करें
फ्लश नियमसेट
################################ चर ################# ################
## इंटरनेट/वैन इंटरफ़ेस नाम
DEV_WAN = eth0 को परिभाषित करें
## वायरगार्ड इंटरफ़ेस नाम
परिभाषित DEV_WIREGUARD = wg-firezone
## वायरगार्ड सुनो बंदरगाह
WIREGUARD_PORT = परिभाषित करें 51820
############################# चर अंत ################## ############
# मुख्य inet परिवार फ़िल्टरिंग टेबल
टेबल इनसेट फ़िल्टर {
# अग्रेषित यातायात के नियम
# इस चेन को फायरज़ोन फॉरवर्ड चेन से पहले प्रोसेस किया जाता है
चेन फॉरवर्ड {
टाइप फिल्टर हुक फॉरवर्ड प्रायोरिटी फिल्टर - 5; नीति स्वीकार
}
# इनपुट यातायात के लिए नियम
चेन इनपुट {
फ़िल्टर हुक इनपुट प्राथमिकता फ़िल्टर टाइप करें; नीति ड्रॉप
## लूपबैक इंटरफ़ेस के लिए इनबाउंड ट्रैफ़िक की अनुमति दें
अगर लो \
स्वीकार करना \
टिप्पणी "लूपबैक इंटरफ़ेस से सभी ट्रैफ़िक को अनुमति दें"
## परमिट स्थापित और संबंधित कनेक्शन
सीटी राज्य की स्थापना, संबंधित \
स्वीकार करना \
टिप्पणी "परमिट स्थापित / संबंधित कनेक्शन"
## इनबाउंड वायरगार्ड ट्रैफिक की अनुमति दें
IIF $DEV_WAN यूडीपी डीपोर्ट $वायरगार्ड_पोर्ट \
विरोध करना \
स्वीकार करना \
टिप्पणी "इनबाउंड वायरगार्ड ट्रैफ़िक की अनुमति दें"
## लॉग इन करें और नए टीसीपी गैर-एसवाईएन पैकेट छोड़ें
टीसीपी झंडे! = सिंक सीटी राज्य नया \
सीमा दर 100/ मिनट फट गया 150 पैकेट \
लॉग उपसर्ग "इन - न्यू! SYN:" \
टिप्पणी "नए कनेक्शन के लिए दर सीमा लॉगिंग जिसमें SYN TCP फ्लैग सेट नहीं है"
टीसीपी झंडे! = सिंक सीटी राज्य नया \
विरोध करना \
बूँद \
टिप्पणी "नए कनेक्शन छोड़ें जिनमें SYN TCP फ्लैग सेट नहीं है"
## अवैध फिन/सिंक फ्लैग सेट के साथ टीसीपी पैकेट लॉग और ड्रॉप करें
टीसीपी झंडे और (फिन | सिंक) == (फिन | सिंक) \
सीमा दर 100/ मिनट फट गया 150 पैकेट \
लॉग उपसर्ग "आईएन - टीसीपी फिन | एसआईएन:" \
टिप्पणी "अमान्य फिन/सिन फ्लैग सेट के साथ टीसीपी पैकेट के लिए दर सीमा लॉगिंग"
टीसीपी झंडे और (फिन | सिंक) == (फिन | सिंक) \
विरोध करना \
बूँद \
टिप्पणी "अमान्य फिन/सिन फ्लैग सेट के साथ टीसीपी पैकेट ड्रॉप करें"
## अवैध सिंक/पहला फ्लैग सेट के साथ टीसीपी पैकेट लॉग और ड्रॉप करें
टीसीपी झंडे & (syn|rst) == (syn|rst) \
सीमा दर 100/ मिनट फट गया 150 पैकेट \
लॉग उपसर्ग "IN - TCP SYN|RST:" \
टिप्पणी "अमान्य सिंक/पहला फ्लैग सेट के साथ टीसीपी पैकेट के लिए दर सीमा लॉगिंग"
टीसीपी झंडे & (syn|rst) == (syn|rst) \
विरोध करना \
बूँद \
टिप्पणी "अमान्य सिंक/पहला फ्लैग सेट के साथ टीसीपी पैकेट ड्रॉप करें"
## लॉग इन करें और अमान्य टीसीपी फ्लैग ड्रॉप करें
tcp फ़्लैग्स & (fin|syn|rst|psh|ack|urg) <(fin) \
सीमा दर 100/ मिनट फट गया 150 पैकेट \
लॉग उपसर्ग "इन - फिन:" \
टिप्पणी "अमान्य टीसीपी झंडे के लिए दर सीमा लॉगिंग (fin|syn|rst|psh|ack|urg) < (फिन)"
tcp फ़्लैग्स & (fin|syn|rst|psh|ack|urg) <(fin) \
विरोध करना \
बूँद \
टिप्पणी "फ्लैग के साथ टीसीपी पैकेट ड्रॉप करें (फिन | सिन | rst | psh | ack | urg) < (फिन)"
## लॉग इन करें और अमान्य टीसीपी फ्लैग ड्रॉप करें
tcp फ़्लैग्स & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
सीमा दर 100/ मिनट फट गया 150 पैकेट \
लॉग उपसर्ग "इन - फिन|पीएसएच|यूआरजी:" \
टिप्पणी "अमान्य टीसीपी झंडे के लिए दर सीमा लॉगिंग (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp फ़्लैग्स & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
विरोध करना \
बूँद \
टिप्पणी "झंडों के साथ टीसीपी पैकेट ड्रॉप करें (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## अमान्य कनेक्शन स्थिति के साथ ट्रैफ़िक छोड़ें
सीटी राज्य अमान्य \
सीमा दर 100/ मिनट फट गया 150 पैकेट \
लॉग ध्वज सभी उपसर्ग "में - अमान्य:" \
टिप्पणी "अमान्य कनेक्शन स्थिति वाले ट्रैफ़िक के लिए दर सीमा लॉगिंग"
सीटी राज्य अमान्य \
विरोध करना \
बूँद \
टिप्पणी "अमान्य कनेक्शन स्थिति के साथ ट्रैफ़िक छोड़ें"
## IPv4 पिंग/पिंग प्रतिक्रियाओं की अनुमति दें लेकिन दर सीमा 2000 PPS तक
ip प्रोटोकॉल icmp icmp प्रकार {इको-रिप्लाई, इको-रिक्वेस्ट} \
सीमा दर 2000/दूसरा \
विरोध करना \
स्वीकार करना \
टिप्पणी "इनबाउंड IPv4 इको (पिंग) को 2000 PPS तक सीमित करने की अनुमति दें"
## अन्य सभी इनबाउंड IPv4 ICMP की अनुमति दें
ip प्रोटोकॉल आईसीएमपी \
विरोध करना \
स्वीकार करना \
टिप्पणी "अन्य सभी IPv4 ICMP को अनुमति दें"
## IPv6 पिंग/पिंग प्रतिक्रियाओं की अनुमति दें लेकिन दर सीमा 2000 PPS तक
icmpv6 प्रकार {इको-रिप्लाई, इको-रिक्वेस्ट} \
सीमा दर 2000/दूसरा \
विरोध करना \
स्वीकार करना \
टिप्पणी "इनबाउंड IPv6 इको (पिंग) को 2000 PPS तक सीमित करने की अनुमति दें"
## अन्य सभी इनबाउंड IPv6 ICMP की अनुमति दें
मेटा l4proto { icmpv6 } \
विरोध करना \
स्वीकार करना \
टिप्पणी "अन्य सभी IPv6 ICMP को अनुमति दें"
## इनबाउंड ट्रेसरूट UDP पोर्ट की अनुमति दें लेकिन 500 PPS तक सीमित करें
यूडीपी डीपोर्ट 33434-33524 \
सीमा दर 500/दूसरा \
विरोध करना \
स्वीकार करना \
टिप्पणी "500 पीपीएस तक सीमित इनबाउंड यूडीपी ट्रेसरूट की अनुमति दें"
## इनबाउंड एसएसएच की अनुमति दें
टीसीपी डीपोर्ट एसएसएच सीटी राज्य नया \
विरोध करना \
स्वीकार करना \
टिप्पणी "इनबाउंड SSH कनेक्शन की अनुमति दें"
## इनबाउंड HTTP और HTTPS की अनुमति दें
tcp dport { http, https } ct स्टेट न्यू \
विरोध करना \
स्वीकार करना \
टिप्पणी "इनबाउंड HTTP और HTTPS कनेक्शन की अनुमति दें"
## किसी भी बेजोड़ ट्रैफ़िक को लॉग करें लेकिन अधिकतम 60 संदेशों / मिनट तक लॉगिंग की दर सीमा
## डिफ़ॉल्ट नीति बेजोड़ ट्रैफ़िक पर लागू की जाएगी
सीमा दर 60/ मिनट फट गया 100 पैकेट \
लॉग उपसर्ग "इन - ड्रॉप:" \
टिप्पणी "किसी भी बेजोड़ ट्रैफ़िक को लॉग करें"
## बेजोड़ ट्रैफ़िक की गणना करें
विरोध करना \
टिप्पणी "किसी भी बेजोड़ ट्रैफ़िक की गणना करें"
}
# आउटपुट ट्रैफिक के नियम
चेन आउटपुट {
फ़िल्टर हुक आउटपुट प्राथमिकता फ़िल्टर टाइप करें; नीति ड्रॉप
## लूपबैक इंटरफ़ेस के लिए आउटबाउंड ट्रैफ़िक की अनुमति दें
ओइफ लो \
स्वीकार करना \
टिप्पणी "सभी ट्रैफ़िक को लूपबैक इंटरफ़ेस से बाहर जाने की अनुमति दें"
## परमिट स्थापित और संबंधित कनेक्शन
सीटी राज्य की स्थापना, संबंधित \
विरोध करना \
स्वीकार करना \
टिप्पणी "परमिट स्थापित / संबंधित कनेक्शन"
## खराब स्थिति वाले कनेक्शन को छोड़ने से पहले आउटबाउंड वायरगार्ड ट्रैफिक की अनुमति दें
ओआइएफ $DEV_WAN यूडीपी खेल $वायरगार्ड_पोर्ट \
विरोध करना \
स्वीकार करना \
टिप्पणी “वायरगार्ड आउटबाउंड ट्रैफ़िक की अनुमति दें”
## अमान्य कनेक्शन स्थिति के साथ ट्रैफ़िक छोड़ें
सीटी राज्य अमान्य \
सीमा दर 100/ मिनट फट गया 150 पैकेट \
लॉग ध्वज सभी उपसर्ग "बाहर - अमान्य:" \
टिप्पणी "अमान्य कनेक्शन स्थिति वाले ट्रैफ़िक के लिए दर सीमा लॉगिंग"
सीटी राज्य अमान्य \
विरोध करना \
बूँद \
टिप्पणी "अमान्य कनेक्शन स्थिति के साथ ट्रैफ़िक छोड़ें"
## अन्य सभी आउटबाउंड IPv4 ICMP को अनुमति दें
ip प्रोटोकॉल आईसीएमपी \
विरोध करना \
स्वीकार करना \
टिप्पणी "सभी IPv4 ICMP प्रकारों को अनुमति दें"
## अन्य सभी आउटबाउंड IPv6 ICMP को अनुमति दें
मेटा l4proto { icmpv6 } \
विरोध करना \
स्वीकार करना \
टिप्पणी "सभी IPv6 ICMP प्रकारों को अनुमति दें"
## आउटबाउंड ट्रेसरूट UDP पोर्ट की अनुमति दें लेकिन 500 PPS तक सीमित करें
यूडीपी डीपोर्ट 33434-33524 \
सीमा दर 500/दूसरा \
विरोध करना \
स्वीकार करना \
टिप्पणी "500 पीपीएस तक सीमित आउटबाउंड यूडीपी ट्रेसरूट की अनुमति दें"
## आउटबाउंड HTTP और HTTPS कनेक्शन की अनुमति दें
tcp dport { http, https } ct स्टेट न्यू \
विरोध करना \
स्वीकार करना \
टिप्पणी "आउटबाउंड HTTP और HTTPS कनेक्शन की अनुमति दें"
## आउटबाउंड SMTP सबमिशन की अनुमति दें
टीसीपी डीपोर्ट सबमिशन सीटी स्टेट न्यू \
विरोध करना \
स्वीकार करना \
टिप्पणी "आउटबाउंड SMTP सबमिशन की अनुमति दें"
## आउटबाउंड DNS अनुरोधों की अनुमति दें
यूडीपी डीपोर्ट 53 \
विरोध करना \
स्वीकार करना \
टिप्पणी "आउटबाउंड UDP DNS अनुरोधों की अनुमति दें"
टीसीपी डीपोर्ट 53 \
विरोध करना \
स्वीकार करना \
टिप्पणी "आउटबाउंड टीसीपी डीएनएस अनुरोधों की अनुमति दें"
## आउटबाउंड NTP अनुरोधों की अनुमति दें
यूडीपी डीपोर्ट 123 \
विरोध करना \
स्वीकार करना \
टिप्पणी "आउटबाउंड NTP अनुरोधों की अनुमति दें"
## किसी भी बेजोड़ ट्रैफ़िक को लॉग करें लेकिन अधिकतम 60 संदेशों / मिनट तक लॉगिंग की दर सीमा
## डिफ़ॉल्ट नीति बेजोड़ ट्रैफ़िक पर लागू की जाएगी
सीमा दर 60/ मिनट फट गया 100 पैकेट \
लॉग उपसर्ग "आउट - ड्रॉप:" \
टिप्पणी "किसी भी बेजोड़ ट्रैफ़िक को लॉग करें"
## बेजोड़ ट्रैफ़िक की गणना करें
विरोध करना \
टिप्पणी "किसी भी बेजोड़ ट्रैफ़िक की गणना करें"
}
}
# मुख्य NAT फ़िल्टरिंग टेबल
टेबल इनैट नेट {
# NAT ट्रैफिक प्री-रूटिंग के नियम
चेन प्रीरूटिंग {
नेट हुक प्रीरूटिंग प्राथमिकता dstnat टाइप करें; नीति स्वीकार
}
# NAT ट्रैफिक पोस्ट-रूटिंग के नियम
# इस तालिका को फायरज़ोन पोस्ट-रूटिंग श्रृंखला से पहले संसाधित किया जाता है
चेन पोस्टरूटिंग {
नेट हुक पोस्टरूटिंग प्राथमिकता srcnat टाइप करें - 5; नीति स्वीकार
}
}
चल रहे लिनक्स वितरण के लिए फ़ायरवॉल को प्रासंगिक स्थान पर संग्रहीत किया जाना चाहिए। डेबियन/उबंटू के लिए यह /etc/nftables.conf है और RHEL के लिए यह /etc/sysconfig/nftables.conf है।
nftables.service को बूट पर शुरू करने के लिए कॉन्फ़िगर करने की आवश्यकता होगी (यदि पहले से नहीं है) सेट:
systemctl nftables.service को सक्षम करता है
यदि फ़ायरवॉल टेम्प्लेट में कोई परिवर्तन किया जाता है, तो चेक कमांड चलाकर सिंटैक्स को मान्य किया जा सकता है:
nft -f /path/to/nftables.conf -c
सुनिश्चित करें कि फ़ायरवॉल अपेक्षित रूप से कार्य करता है क्योंकि सर्वर पर चल रहे रिलीज़ के आधार पर कुछ nftables सुविधाएँ उपलब्ध नहीं हो सकती हैं।
_______________________________________________________________
यह दस्तावेज़ टेलीमेट्री फ़ायरज़ोन का एक अवलोकन प्रस्तुत करता है जो आपके स्व-होस्ट किए गए उदाहरण से एकत्रित होता है और इसे कैसे अक्षम करना है।
अग्नि क्षेत्र निर्भर करता है टेलीमेट्री पर हमारे रोडमैप को प्राथमिकता देने और इंजीनियरिंग संसाधनों का अनुकूलन करने के लिए हमें Firezone को सभी के लिए बेहतर बनाना होगा।
हमारे द्वारा एकत्र की जाने वाली टेलीमेट्री का उद्देश्य निम्नलिखित प्रश्नों का उत्तर देना है:
फायरज़ोन में तीन मुख्य स्थान हैं जहाँ टेलीमेट्री एकत्र की जाती है:
इन तीन संदर्भों में से प्रत्येक में, हम उपरोक्त अनुभाग में प्रश्नों का उत्तर देने के लिए आवश्यक न्यूनतम मात्रा में डेटा प्राप्त करते हैं।
एडमिन ईमेल केवल तभी एकत्र किए जाते हैं जब आप उत्पाद अपडेट के लिए स्पष्ट रूप से ऑप्ट-इन करते हैं। अन्यथा, व्यक्तिगत रूप से पहचाने जाने योग्य जानकारी है कभी नहीँ जुटाया हुआ।
फायरज़ोन टेलीमेट्री को निजी कुबेरनेट्स क्लस्टर में चल रहे पोस्टहॉग के स्व-होस्टेड उदाहरण में संग्रहीत करता है, जिसे केवल फायरज़ोन टीम द्वारा एक्सेस किया जा सकता है। यहां टेलीमेट्री ईवेंट का एक उदाहरण दिया गया है, जिसे आपके Firezone के इंस्टेंस से हमारे टेलीमेट्री सर्वर पर भेजा गया है:
{
"पहचान": “0182272d-0b88-0000-d419-7b9a413713f1”,
"टाइमस्टैम्प": “2022-07-22T18:30:39.748000+00:00”,
"आयोजन": "fz_http_started",
"अलग_आईडी": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"गुण"{
“$geoip_city_name”: "एशबर्न",
“$जियोआईपी_महाद्वीप_कोड”: "एनए",
“$जियोआईपी_महाद्वीप_नाम”: "उत्तरी अमेरिका",
“$geoip_country_code”: "हम",
“$geoip_country_name”: "संयुक्त राज्य अमेरिका",
“$जियोइप_अक्षांश”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
“$जियोआईपी_उपविभाग_1_कोड”: "वीए",
“$जियोआईपी_उपविभाग_1_नाम”: "वर्जीनिया",
“$geoip_time_zone”: "अमेरिका/न्यू_यॉर्क",
"$ आईपी": "52.200.241.107",
"$ प्लगइन्स_डिफर्ड":[],
“$प्लगइन्स_असफल”:[],
“$प्लगइन्स_सफल”[
"जियोआईपी (3)"
],
"अलग_आईडी": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"कर्नेल_वर्जन": "लिनक्स 5.13.0",
"संस्करण": "0.4.6"
},
"तत्व_श्रृंखला": ""
}
ध्यान दें
फायरज़ोन विकास दल निर्भर करता है Firezone को सभी के लिए बेहतर बनाने के लिए उत्पाद विश्लेषण पर। टेलीमेट्री को सक्षम छोड़ना फायरज़ोन के विकास में आपके द्वारा किया जाने वाला सबसे महत्वपूर्ण योगदान है। उस ने कहा, हम समझते हैं कि कुछ उपयोगकर्ताओं की गोपनीयता या सुरक्षा आवश्यकताएं अधिक होती हैं और वे टेलीमेट्री को पूरी तरह से अक्षम करना पसंद करेंगे। यदि वह आप हैं, तो पढ़ना जारी रखें।
टेलीमेट्री डिफ़ॉल्ट रूप से सक्षम है। उत्पाद टेलीमेट्री को पूरी तरह से अक्षम करने के लिए, निम्न कॉन्फ़िगरेशन विकल्प को /etc/firezone/firezone.rb में गलत पर सेट करें और परिवर्तनों को लेने के लिए sudo firezone-ctl reconfigure चलाएँ।
गलती करना['फायर जोन']['टेलीमेट्री']['सक्षम'] = असत्य
वह सभी उत्पाद टेलीमेट्री को पूरी तरह अक्षम कर देगा।
हैलबाइट्स
9511 क्वींस गार्ड सीटी।
लॉरेल, एमडी 20723
टेलीफोन: (732) 771 9995
ईमेल: info@hailbytes.com
