ការណែនាំជាជំហាន ៗ សម្រាប់ការដាក់ពង្រាយ Halbytes VPN ជាមួយ Firezone GUI ត្រូវបានផ្តល់ជូននៅទីនេះ។
គ្រប់គ្រង៖ ការដំឡើង server instance គឺទាក់ទងដោយផ្ទាល់ទៅនឹងផ្នែកនេះ។
ការណែនាំអ្នកប្រើប្រាស់៖ ឯកសារមានប្រយោជន៍ដែលអាចបង្រៀនអ្នកពីរបៀបប្រើ Firezone និងដោះស្រាយបញ្ហាធម្មតា។ បន្ទាប់ពីម៉ាស៊ីនមេត្រូវបានដាក់ឱ្យប្រើប្រាស់ដោយជោគជ័យ សូមមើលផ្នែកនេះ។
ការបំបែកផ្លូវរូងក្រោមដី៖ ប្រើ VPN ដើម្បីផ្ញើចរាចរណ៍ទៅកាន់ជួរ IP ជាក់លាក់ប៉ុណ្ណោះ។
បញ្ជីស៖ កំណត់អាសយដ្ឋាន IP ឋិតិវន្តរបស់ម៉ាស៊ីនមេ VPN ដើម្បីប្រើបញ្ជីស។
ផ្លូវរូងក្រោមដីបញ្ច្រាស៖ បង្កើតផ្លូវរូងក្រោមដីរវាងមិត្តភក្ដិជាច្រើនដោយប្រើផ្លូវរូងក្រោមដីបញ្ច្រាស។
យើងរីករាយក្នុងការជួយអ្នក ប្រសិនបើអ្នកត្រូវការជំនួយក្នុងការដំឡើង ប្ដូរតាមបំណង ឬប្រើប្រាស់ Halbytes VPN។
មុនពេលអ្នកប្រើប្រាស់អាចផលិត ឬទាញយកឯកសារកំណត់រចនាសម្ព័ន្ធឧបករណ៍ Firezone អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីទាមទារការផ្ទៀងផ្ទាត់។ អ្នកប្រើក៏ប្រហែលជាត្រូវធ្វើការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវម្ដងទៀតដើម្បីរក្សាការតភ្ជាប់ VPN របស់ពួកគេឱ្យសកម្ម។
ទោះបីជាវិធីសាស្ត្រចូលលំនាំដើមរបស់ Firezone គឺជាអ៊ីមែល និងពាក្យសម្ងាត់ក្នុងតំបន់ក៏ដោយ វាក៏អាចត្រូវបានរួមបញ្ចូលជាមួយអ្នកផ្តល់អត្តសញ្ញាណ OpenID Connect (ODC) ស្តង់ដារណាមួយ។ ឥឡូវនេះ អ្នកប្រើប្រាស់អាចចូលទៅក្នុង Firezone ដោយប្រើ Okta, Google, Azure AD ឬព័ត៌មានបញ្ជាក់អត្តសញ្ញាណអ្នកផ្តល់សេវាឯកជនរបស់ពួកគេ។
រួមបញ្ចូលអ្នកផ្តល់សេវា OIDC ទូទៅ
ប៉ារ៉ាម៉ែត្រកំណត់រចនាសម្ព័ន្ធដែលត្រូវការដោយ Firezone ដើម្បីអនុញ្ញាតឱ្យ SSO ប្រើប្រាស់អ្នកផ្តល់សេវា ODC ត្រូវបានបង្ហាញក្នុងឧទាហរណ៍ខាងក្រោម។ នៅ /etc/firezone/firezone.rb អ្នកអាចរកឃើញឯកសារកំណត់រចនាសម្ព័ន្ធ។ ដំណើរការ firezone-ctl reconfigure និង firezone-ctl restart ដើម្បីធ្វើបច្ចុប្បន្នភាពកម្មវិធី និងមានប្រសិទ្ធិភាពនៃការផ្លាស់ប្តូរ។
# នេះជាឧទាហរណ៍ដោយប្រើ Google និង Okta ជាអ្នកផ្តល់អត្តសញ្ញាណ SSO ។
# ការកំណត់រចនាសម្ព័ន្ធ ODC ច្រើនអាចត្រូវបានបន្ថែមទៅឧទាហរណ៍ Firezone ដូចគ្នា។
# Firezone អាចបិទ VPN របស់អ្នកប្រើ ប្រសិនបើមានកំហុសណាមួយត្រូវបានរកឃើញថាកំពុងព្យាយាម
# ដើម្បីធ្វើបច្ចុប្បន្នភាព access_token របស់ពួកគេ។ វាត្រូវបានផ្ទៀងផ្ទាត់ដើម្បីដំណើរការសម្រាប់ Google, Okta និង
# Azure SSO និងត្រូវបានប្រើដើម្បីផ្តាច់ VPN របស់អ្នកប្រើប្រាស់ដោយស្វ័យប្រវត្តិ ប្រសិនបើពួកគេត្រូវបានដកចេញ
# ពីអ្នកផ្តល់សេវា ODC ។ ទុកឱ្យវាបិទប្រសិនបើអ្នកផ្តល់សេវា ODC របស់អ្នក។
# មានបញ្ហាក្នុងការធ្វើឱ្យថូខឹនចូលដំណើរការឡើងវិញ ដោយសារវាអាចរំខាន a
វគ្គ VPN របស់អ្នកប្រើ # ។
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = មិនពិត
default['firezone']['authentication']['oidc'] = {
ហ្គូហ្គល៖ {
discovery_document_uri៖ “https://accounts.google.com/.well-known/openid-configuration”,
client_id: " ”,
client_secret៖ " ”,
redirect_uri៖ “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: "កូដ",
វិសាលភាព៖ "ទម្រង់អ៊ីមែលបើកចំហ",
ស្លាក: "Google"
},
អូតា៖ {
discovery_document_uri៖ “https:// /.well-known/openid-configuration",
client_id: " ”,
client_secret៖ " ”,
redirect_uri៖ “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: "កូដ",
វិសាលភាព៖ "ទម្រង់អ៊ីមែលបើកចំហរ offline_access",
ស្លាក: "អូកតា"
}
}
ការកំណត់រចនាសម្ព័ន្ធខាងក្រោមគឺត្រូវបានទាមទារសម្រាប់ការរួមបញ្ចូល៖
សម្រាប់អ្នកផ្តល់សេវា ODC នីមួយៗ URL ស្អាតដែលត្រូវគ្នាត្រូវបានបង្កើតឡើងសម្រាប់ការបញ្ជូនបន្តទៅកាន់ URL ចូលរបស់អ្នកដែលបានកំណត់រចនាសម្ព័ន្ធ។ សម្រាប់ឧទាហរណ៍ការកំណត់រចនាសម្ព័ន្ធ ODC ខាងលើ URLs គឺ៖
អ្នកផ្តល់សេវាយើងមានឯកសារសម្រាប់៖
ប្រសិនបើអ្នកផ្តល់អត្តសញ្ញាណរបស់អ្នកមានឧបករណ៍ភ្ជាប់ OIDC ទូទៅ ហើយមិនមាននៅក្នុងបញ្ជីខាងលើ សូមចូលទៅកាន់ឯកសាររបស់ពួកគេសម្រាប់ព័ត៌មានអំពីរបៀបទាញយកការកំណត់រចនាសម្ព័ន្ធចាំបាច់។
ការកំណត់នៅក្រោមការកំណត់/សុវត្ថិភាពអាចត្រូវបានផ្លាស់ប្តូរ ដើម្បីទាមទារការផ្ទៀងផ្ទាត់ឡើងវិញតាមកាលកំណត់។ វាអាចត្រូវបានប្រើដើម្បីអនុវត្តតម្រូវការដែលអ្នកប្រើប្រាស់ចូលទៅក្នុង Firezone ជាប្រចាំ ដើម្បីបន្តវេន VPN របស់ពួកគេ។
រយៈពេលនៃសម័យអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធចន្លោះពីមួយម៉ោងទៅកៅសិបថ្ងៃ។ តាមរយៈការកំណត់នេះជា Never អ្នកអាចបើកវគ្គ VPN នៅពេលណាក៏បាន។ នេះគឺជាស្តង់ដារ។
អ្នកប្រើប្រាស់ត្រូវតែបញ្ចប់វគ្គ VPN របស់ពួកគេ ហើយចូលទៅក្នុងវិបផតថល Firezone ដើម្បីផ្ទៀងផ្ទាត់ឡើងវិញនូវវគ្គ VPN ដែលផុតកំណត់ (URL បានបញ្ជាក់អំឡុងពេលដាក់ឱ្យប្រើប្រាស់)។
អ្នកអាចផ្ទៀងផ្ទាត់វគ្គរបស់អ្នកឡើងវិញដោយធ្វើតាមការណែនាំអតិថិជនច្បាស់លាស់ដែលមាននៅទីនេះ។
ស្ថានភាពនៃការតភ្ជាប់ VPN
ជួរឈរតារាងការតភ្ជាប់ VPN របស់ទំព័រអ្នកប្រើប្រាស់បង្ហាញស្ថានភាពការតភ្ជាប់របស់អ្នកប្រើ។ នេះគឺជាស្ថានភាពនៃការតភ្ជាប់៖
បានបើក - ការតភ្ជាប់ត្រូវបានបើក។
បិទ - ការតភ្ជាប់ត្រូវបានបិទដោយអ្នកគ្រប់គ្រងឬការបរាជ័យក្នុងការធ្វើឱ្យថ្មី ODDC ។
ផុតកំណត់៖ ការតភ្ជាប់ត្រូវបានបិទដោយសារការផុតកំណត់នៃការផ្ទៀងផ្ទាត់ ឬអ្នកប្រើប្រាស់មិនបានចូលជាលើកដំបូង។
តាមរយៈឧបករណ៍ភ្ជាប់ ODC ទូទៅ Firezone បើកការចូលតែមួយ (SSO) ជាមួយ Google Workspace និង Cloud Identity ។ មគ្គុទ្ទេសក៍នេះនឹងបង្ហាញអ្នកពីរបៀបដើម្បីទទួលបានប៉ារ៉ាម៉ែត្រកំណត់រចនាសម្ព័ន្ធដែលបានរាយខាងក្រោម ដែលចាំបាច់សម្រាប់ការរួមបញ្ចូល៖
1. អេក្រង់កំណត់រចនាសម្ព័ន្ធ OAuth'' '"
ប្រសិនបើនេះជាលើកដំបូងដែលអ្នកកំពុងបង្កើតលេខសម្គាល់អតិថិជន OAuth ថ្មី អ្នកនឹងត្រូវបានសួរឱ្យកំណត់រចនាសម្ព័ន្ធអេក្រង់យល់ព្រម។
* ជ្រើសរើសខាងក្នុងសម្រាប់ប្រភេទអ្នកប្រើប្រាស់។ នេះធានាថាមានតែគណនីដែលជាកម្មសិទ្ធិរបស់អ្នកប្រើប្រាស់នៅក្នុងអង្គការ Google Workspace របស់អ្នកប៉ុណ្ណោះដែលអាចបង្កើតការកំណត់ឧបករណ៍បាន។ កុំជ្រើសរើសខាងក្រៅ លុះត្រាតែអ្នកចង់បើកនរណាម្នាក់ដែលមានគណនី Google ត្រឹមត្រូវ ដើម្បីបង្កើតការកំណត់ឧបករណ៍។
នៅលើអេក្រង់ព័ត៌មានកម្មវិធី៖
2. បង្កើតលេខសម្គាល់អតិថិជន OAuth'' '"
ផ្នែកនេះគឺផ្អែកលើឯកសារផ្ទាល់ខ្លួនរបស់ Google នៅលើ ដំឡើង OAuth 2.0.
ចូលទៅកាន់ Google Cloud Console ទំព័រព័ត៌មានសម្ងាត់ ទំព័រ ចុច + បង្កើតព័ត៌មានសម្ងាត់ ហើយជ្រើសរើសលេខសម្គាល់អតិថិជន OAuth ។
នៅលើអេក្រង់បង្កើតលេខសម្គាល់អតិថិជន OAuth៖
បន្ទាប់ពីបង្កើតលេខសម្គាល់អតិថិជន OAuth អ្នកនឹងត្រូវបានផ្តល់លេខសម្គាល់អតិថិជន និងសម្ងាត់អតិថិជន។ ទាំងនេះនឹងត្រូវបានប្រើរួមគ្នាជាមួយ URI ប្តូរទិសនៅជំហានបន្ទាប់។
Edit /etc/firezone/firezone.rb ដើម្បីរួមបញ្ចូលជម្រើសខាងក្រោម៖
# ការប្រើប្រាស់ Google ជាអ្នកផ្តល់អត្តសញ្ញាណ SSO
default['firezone']['authentication']['oidc'] = {
ហ្គូហ្គល៖ {
discovery_document_uri៖ “https://accounts.google.com/.well-known/openid-configuration”,
client_id: " ”,
client_secret៖ " ”,
redirect_uri៖ “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: "កូដ",
វិសាលភាព៖ "ទម្រង់អ៊ីមែលបើកចំហ",
ស្លាក: "Google"
}
}
ដំណើរការ firezone-ctl reconfigure និង firezone-ctl restart ដើម្បីធ្វើបច្ចុប្បន្នភាពកម្មវិធី។ ឥឡូវនេះ អ្នកគួរតែឃើញប៊ូតុង Sign in with Google នៅ root Firezone URL។
Firezone ប្រើឧបករណ៍ភ្ជាប់ ODC ទូទៅដើម្បីជួយសម្រួលដល់ការចូលតែមួយ (SSO) ជាមួយ Okta ។ ការបង្រៀននេះនឹងបង្ហាញអ្នកពីរបៀបដើម្បីទទួលបានប៉ារ៉ាម៉ែត្រកំណត់រចនាសម្ព័ន្ធដែលបានរាយខាងក្រោម ដែលចាំបាច់សម្រាប់ការរួមបញ្ចូល៖
ផ្នែកនៃការណែនាំនេះគឺផ្អែកលើ ឯកសាររបស់អូកតា.
នៅក្នុង Admin Console សូមចូលទៅកាន់ Applications > Applications ហើយចុច Create App Integration។ កំណត់វិធីសាស្ត្រចុះឈ្មោះចូល OICD – OpenID Connect និងប្រភេទកម្មវិធីទៅកម្មវិធីបណ្តាញ។
កំណត់ការកំណត់ទាំងនេះ៖
នៅពេលដែលការកំណត់ត្រូវបានរក្សាទុក អ្នកនឹងត្រូវបានផ្តល់លេខសម្គាល់អតិថិជន សម្ងាត់អតិថិជន និងដែន Okta ។ តម្លៃទាំង 3 នេះនឹងត្រូវបានប្រើក្នុងជំហានទី 2 ដើម្បីកំណត់រចនាសម្ព័ន្ធ Firezone ។
Edit /etc/firezone/firezone.rb ដើម្បីរួមបញ្ចូលជម្រើសខាងក្រោម។ របស់អ្នក។ discovery_document_url នឹងត្រូវបាន /.well-known/openid-configuration បន្ថែមទៅចុងបញ្ចប់នៃរបស់អ្នក។ okta_domain.
# ការប្រើប្រាស់ Okta ជាអ្នកផ្តល់អត្តសញ្ញាណ SSO
default['firezone']['authentication']['oidc'] = {
អូតា៖ {
discovery_document_uri៖ “https:// /.well-known/openid-configuration",
client_id: " ”,
client_secret៖ " ”,
redirect_uri៖ “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: "កូដ",
វិសាលភាព៖ "ទម្រង់អ៊ីមែលបើកចំហរ offline_access",
ស្លាក: "អូកតា"
}
}
ដំណើរការ firezone-ctl reconfigure និង firezone-ctl restart ដើម្បីធ្វើបច្ចុប្បន្នភាពកម្មវិធី។ ឥឡូវនេះ អ្នកគួរតែឃើញប៊ូតុង Sign in with Okta នៅ root Firezone URL។
អ្នកប្រើប្រាស់ដែលអាចចូលប្រើកម្មវិធី Firezone អាចត្រូវបានរឹតបន្តឹងដោយ Okta ។ ចូលទៅកាន់ទំព័រការចាត់តាំងរបស់ Firezone App Integration របស់ Okta Admin Console របស់អ្នក ដើម្បីសម្រេចកិច្ចការនេះ។
តាមរយៈឧបករណ៍ភ្ជាប់ ODC ទូទៅ Firezone បើកដំណើរការ Single Sign-On (SSO) ជាមួយនឹង Azure Active Directory ។ សៀវភៅណែនាំនេះនឹងបង្ហាញអ្នកពីរបៀបដើម្បីទទួលបានប៉ារ៉ាម៉ែត្រកំណត់រចនាសម្ព័ន្ធដែលបានរាយខាងក្រោម ដែលចាំបាច់សម្រាប់ការរួមបញ្ចូល៖
មគ្គុទ្ទេសក៍នេះត្រូវបានដកចេញពី ឯកសារថតសកម្ម Azure.
ចូលទៅកាន់ទំព័រ Azure Active Directory របស់វិបផតថល Azure ។ ជ្រើសរើសជម្រើស Manage menu ជ្រើសរើស New Registration បន្ទាប់មកចុះឈ្មោះដោយផ្តល់ព័ត៌មានខាងក្រោម៖
បន្ទាប់ពីចុះឈ្មោះ សូមបើកទិដ្ឋភាពលម្អិតនៃកម្មវិធី ហើយចម្លងឯកសារ លេខសម្គាល់កម្មវិធី (អតិថិជន). នេះនឹងជាតម្លៃ client_id។ បន្ទាប់មកបើកម៉ឺនុយចំណុចបញ្ចប់ដើម្បីទាញយកឯកសារ ឯកសារទិន្នន័យមេតាតភ្ជាប់ OpenID. នេះនឹងជាតម្លៃ discovery_document_uri ។
បង្កើតការសម្ងាត់អតិថិជនថ្មីដោយចុចលើជម្រើសវិញ្ញាបនបត្រ & អាថ៌កំបាំងនៅក្រោមម៉ឺនុយគ្រប់គ្រង។ ចម្លងការសម្ងាត់របស់អតិថិជន; តម្លៃសម្ងាត់របស់អតិថិជននឹងជាតម្លៃនេះ។
ជាចុងក្រោយ ជ្រើសរើសតំណការអនុញ្ញាត API នៅក្រោមម៉ឺនុយគ្រប់គ្រង ចុច បន្ថែមការអនុញ្ញាតហើយជ្រើស Microsoft Graph, បន្ថែម អ៊ីម៉ែល, បើកចំហ, offline_access និង ទម្រង់ ចំពោះការអនុញ្ញាតដែលត្រូវការ។
Edit /etc/firezone/firezone.rb ដើម្បីរួមបញ្ចូលជម្រើសខាងក្រោម៖
# ការប្រើប្រាស់ Azure Active Directory ជាអ្នកផ្តល់អត្តសញ្ញាណ SSO
default['firezone']['authentication']['oidc'] = {
azure: {
discovery_document_uri៖ “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
client_id: " ”,
client_secret៖ " ”,
redirect_uri៖ “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
response_type: "កូដ",
វិសាលភាព៖ "ទម្រង់អ៊ីមែលបើកចំហរ offline_access",
ស្លាក: "Azure"
}
}
ដំណើរការ firezone-ctl reconfigure និង firezone-ctl restart ដើម្បីធ្វើបច្ចុប្បន្នភាពកម្មវិធី។ ឥឡូវនេះ អ្នកគួរតែឃើញប៊ូតុង Sign in with Azure នៅ root Firezone URL។
Azure AD អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងកំណត់ការចូលប្រើកម្មវិធីទៅកាន់ក្រុមអ្នកប្រើប្រាស់ជាក់លាក់នៅក្នុងក្រុមហ៊ុនរបស់អ្នក។ ព័ត៌មានបន្ថែមអំពីរបៀបធ្វើវាអាចរកបាននៅក្នុងឯកសាររបស់ Microsoft។
Chef Omnibus ត្រូវបានប្រើប្រាស់ដោយ Firezone ដើម្បីគ្រប់គ្រងកិច្ចការនានា រួមទាំងការវេចខ្ចប់ការចេញផ្សាយ ការត្រួតពិនិត្យដំណើរការ ការគ្រប់គ្រងកំណត់ហេតុ និងច្រើនទៀត។
កូដ Ruby បង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធចម្បង ដែលមានទីតាំងនៅ /etc/firezone/firezone.rb ។ ការចាប់ផ្ដើម sudo firezone-ctl កំណត់រចនាសម្ព័ន្ធឡើងវិញបន្ទាប់ពីធ្វើការកែប្រែឯកសារនេះបណ្តាលឱ្យមេចុងភៅទទួលស្គាល់ការផ្លាស់ប្តូរ និងអនុវត្តពួកវាទៅប្រព័ន្ធប្រតិបត្តិការបច្ចុប្បន្ន។
សូមមើលឯកសារកំណត់រចនាសម្ព័ន្ធឯកសារយោងសម្រាប់បញ្ជីពេញលេញនៃអថេរការកំណត់រចនាសម្ព័ន្ធ និងការពិពណ៌នារបស់វា។
វត្ថុ Firezone របស់អ្នកអាចត្រូវបានគ្រប់គ្រងតាមរយៈ តំបន់ភ្លើង-ctl ពាក្យបញ្ជាដូចបានបង្ហាញខាងក្រោម។ ពាក្យបញ្ជារងភាគច្រើនទាមទារបុព្វបទជាមួយ sudo.
root@demo:~# firezone-ctl
omnibus-ctl: ពាក្យបញ្ជា (ពាក្យបញ្ជារង)
ពាក្យបញ្ជាទូទៅ៖
សម្អាត
លុបទិន្នន័យតំបន់ភ្លើង*ទាំងអស់* ហើយចាប់ផ្តើមពីដំបូង។
បង្កើត-ឬ-កំណត់ឡើងវិញ-អ្នកគ្រប់គ្រង
កំណត់ពាក្យសម្ងាត់ឡើងវិញសម្រាប់អ្នកគ្រប់គ្រងជាមួយនឹងអ៊ីមែលដែលបានបញ្ជាក់តាមលំនាំដើម['firezone']['admin_email'] ឬបង្កើតអ្នកគ្រប់គ្រងថ្មីប្រសិនបើអ៊ីមែលនោះមិនមាន។
ជួយ
បោះពុម្ពសារជំនួយនេះ។
កំណត់រចនាសម្ព័ន្ធឡើងវិញ
កំណត់រចនាសម្ព័ន្ធកម្មវិធីឡើងវិញ។
កំណត់បណ្តាញឡើងវិញ
កំណត់ឡើងវិញនូវ nftables, ចំណុចប្រទាក់ WireGuard និងតារាងនាំផ្លូវត្រឡប់ទៅ Firezone លំនាំដើមវិញ។
បង្ហាញ-កំណត់រចនាសម្ព័ន្ធ
បង្ហាញការកំណត់រចនាសម្ព័ន្ធដែលនឹងត្រូវបានបង្កើតដោយកំណត់រចនាសម្ព័ន្ធឡើងវិញ។
បណ្តាញ teardown
លុបចំណុចប្រទាក់ WireGuard និងតារាង firezone nftables ។
បង្ខំ-បញ្ជាក់-បន្ត
បង្ខំការបន្តវិញ្ញាបនបត្រឥឡូវនេះ ទោះបីជាវាមិនទាន់ផុតកំណត់ក៏ដោយ។
បញ្ឈប់-បញ្ជាក់-បន្ត
យក cronjob ដែលបន្តវិញ្ញាបនបត្រ។
លុប
សម្លាប់ដំណើរការទាំងអស់ ហើយលុបកម្មវិធីគ្រប់គ្រងដំណើរការ (ទិន្នន័យនឹងត្រូវបានរក្សាទុក)។
កំណែ
បង្ហាញកំណែបច្ចុប្បន្នរបស់ Firezone
ពាក្យបញ្ជាគ្រប់គ្រងសេវាកម្ម៖
សម្លាប់ដោយប្រពៃ
ព្យាយាមបញ្ឈប់ដោយប្រពៃ បន្ទាប់មក SIGKILL ក្រុមដំណើរការទាំងមូល។
ហប់
ផ្ញើសេវាកម្ម HUP ។
int
ផ្ញើសេវាកម្ម INT ។
សម្លាប់
ផ្ញើសេវាកម្មសម្លាប់។
ម្តង
ចាប់ផ្តើមសេវាកម្មប្រសិនបើពួកគេធ្លាក់ចុះ។ កុំចាប់ផ្តើមពួកវាឡើងវិញប្រសិនបើពួកគេឈប់។
ចាប់ផ្ដើមឡើងវិញ
បញ្ឈប់សេវាកម្ម ប្រសិនបើពួកគេកំពុងដំណើរការ បន្ទាប់មកចាប់ផ្តើមវាម្តងទៀត។
បញ្ជីសេវាកម្ម
រាយបញ្ជីសេវាកម្មទាំងអស់ (សេវាកម្មដែលបានបើកបង្ហាញជាមួយ * ។ )
ការចាប់ផ្តើម
ចាប់ផ្តើមសេវាកម្មប្រសិនបើពួកគេធ្លាក់ចុះ ហើយចាប់ផ្តើមពួកវាឡើងវិញប្រសិនបើពួកគេឈប់។
ស្ថានភាព
បង្ហាញស្ថានភាពនៃសេវាកម្មទាំងអស់។
បញ្ឈប់
បញ្ឈប់សេវាកម្ម ហើយកុំចាប់ផ្តើមពួកវាឡើងវិញ។
កន្ទុយ
មើលកំណត់ហេតុសេវាកម្មនៃសេវាកម្មដែលបានបើកទាំងអស់។
រយៈពេល
ផ្ញើសេវាកម្មតាមលក្ខខណ្ឌ។
usr1
ផ្ញើសេវាកម្ម USR1 ។
usr2
ផ្ញើសេវាកម្ម USR2 ។
វគ្គ VPN ទាំងអស់ត្រូវតែត្រូវបានបិទមុនពេលដំឡើងកំណែ Firezone ដែលអំពាវនាវឱ្យបិទ UI គេហទំព័រផងដែរ។ ក្នុងករណីដែលមានអ្វីខុសប្រក្រតីក្នុងអំឡុងពេលដំឡើងកំណែ យើងណែនាំឱ្យទុកពេលមួយម៉ោងសម្រាប់ការថែទាំ។
ដើម្បីបង្កើន Firezone សូមធ្វើសកម្មភាពដូចខាងក្រោម៖
ប្រសិនបើមានបញ្ហាណាមួយកើតឡើងសូមប្រាប់យើងដោយ ដាក់ស្នើសំបុត្រគាំទ្រ។
មានការផ្លាស់ប្តូរ និងការកែប្រែការកំណត់រចនាសម្ព័ន្ធមួយចំនួននៅក្នុង 0.5.0 ដែលត្រូវតែដោះស្រាយ។ ស្វែងយល់បន្ថែមខាងក្រោម។
Nginx លែងគាំទ្រប៉ារ៉ាម៉ែត្រច្រក SSL និងមិនមែន SSL ដូចកំណែ 0.5.0 ទៀតហើយ។ ដោយសារតែ Firezone ត្រូវការ SSL ដើម្បីដំណើរការ យើងណែនាំអោយលុបកញ្ចប់សេវា Nginx ដោយកំណត់លំនាំដើម['firezone']['nginx']['enabled'] = មិនពិត និងដឹកនាំប្រូកស៊ីបញ្ច្រាសរបស់អ្នកទៅកម្មវិធី Phoenix នៅលើច្រក 13000 ជំនួសវិញ (តាមលំនាំដើម )
0.5.0 ណែនាំការគាំទ្រពិធីការ ACME សម្រាប់ការបន្តវិញ្ញាបនបត្រ SSL ដោយស្វ័យប្រវត្តិជាមួយនឹងសេវាកម្ម Nginx ដែលបានភ្ជាប់មកជាមួយ។ ដើម្បីបើកដំណើរការ
លទ្ធភាពក្នុងការបន្ថែមច្បាប់ជាមួយនឹងទិសដៅស្ទួនត្រូវបានបាត់បង់នៅក្នុង Firezone 0.5.0 ។ ស្គ្រីបការធ្វើចំណាកស្រុករបស់យើងនឹងទទួលស្គាល់ស្ថានភាពទាំងនេះដោយស្វ័យប្រវត្តិអំឡុងពេលដំឡើងកំណែទៅ 0.5.0 ហើយរក្សាតែច្បាប់ដែលគោលដៅរួមបញ្ចូលច្បាប់ផ្សេងទៀត។ មិនមានអ្វីដែលអ្នកត្រូវធ្វើទេ ប្រសិនបើវាមិនអីទេ។
បើមិនដូច្នេះទេ មុននឹងអាប់ដេត យើងណែនាំឲ្យផ្លាស់ប្តូរសំណុំច្បាប់របស់អ្នក ដើម្បីកម្ចាត់ស្ថានភាពទាំងនេះ។
Firezone 0.5.0 ដកការគាំទ្រសម្រាប់ការកំណត់រចនាសម្ព័ន្ធ Okta និង Google SSO បែបចាស់ ដើម្បីគាំទ្រដល់ការកំណត់រចនាសម្ព័ន្ធដែលមានមូលដ្ឋានលើ ODC ដែលមានភាពបត់បែនជាងមុន។
ប្រសិនបើអ្នកមានការកំណត់រចនាសម្ព័ន្ធណាមួយនៅក្រោមលំនាំដើម['firezone']['authentication']['okta'] ឬលំនាំដើម['firezone']['authentication']['google'] keys អ្នកត្រូវផ្ទេរវាទៅ OIDC របស់យើង -based configuration ដោយប្រើការណែនាំខាងក្រោម។
ការកំណត់រចនាសម្ព័ន្ធ Google OAuth ដែលមានស្រាប់
លុបបន្ទាត់ទាំងនេះដែលមានការកំណត់រចនាសម្ព័ន្ធ Google OAuth ចាស់ចេញពីឯកសារកំណត់រចនាសម្ព័ន្ធរបស់អ្នកដែលមានទីតាំងនៅ /etc/firezone/firezone.rb
default['firezone']['authentication']['google']['enabled']
default['firezone']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
default['firezone']['authentication']['google']['redirect_uri']
បន្ទាប់មក កំណត់រចនាសម្ព័ន្ធ Google ជាអ្នកផ្តល់សេវា ODC ដោយធ្វើតាមនីតិវិធីនៅទីនេះ។
(ផ្តល់ការណែនាំអំពីតំណភ្ជាប់)<<<<<<<<<<<<<<<
កំណត់រចនាសម្ព័ន្ធ Google OAuth ដែលមានស្រាប់
យកបន្ទាត់ទាំងនេះដែលមានការកំណត់រចនាសម្ព័ន្ធ Okta OAuth ចាស់ចេញពីឯកសារកំណត់រចនាសម្ព័ន្ធរបស់អ្នកដែលមានទីតាំងនៅ /etc/firezone/firezone.rb
default['firezone']['authentication']['okta']['enabled']
default['firezone']['authentication']['okta']['client_id']
default['firezone']['authentication']['okta']['client_secret']
លំនាំដើម['firezone']['authentication']['okta']['site']
បន្ទាប់មក កំណត់រចនាសម្ព័ន្ធ Okta ជាអ្នកផ្តល់សេវា ODC ដោយធ្វើតាមនីតិវិធីនៅទីនេះ។
អាស្រ័យលើការដំឡើង និងកំណែបច្ចុប្បន្នរបស់អ្នក សូមអនុវត្តតាមការណែនាំខាងក្រោម៖
ប្រសិនបើអ្នកមានការរួមបញ្ចូល ODC រួចហើយ៖
សម្រាប់អ្នកផ្តល់សេវា ODC មួយចំនួន ការអាប់ដេតទៅ >= 0.3.16 ត្រូវការការទទួលបានថូខឹនធ្វើឱ្យស្រស់សម្រាប់វិសាលភាពចូលប្រើក្រៅបណ្តាញ។ តាមរយៈការធ្វើវា វាត្រូវបានធ្វើឱ្យប្រាកដថា Firezone ធ្វើបច្ចុប្បន្នភាពជាមួយអ្នកផ្តល់អត្តសញ្ញាណ ហើយការតភ្ជាប់ VPN នោះត្រូវបានបិទ បន្ទាប់ពីអ្នកប្រើប្រាស់ត្រូវបានលុប។ ការធ្វើម្តងទៀតមុនរបស់ Firezone ខ្វះលក្ខណៈពិសេសនេះ។ ក្នុងករណីខ្លះ អ្នកប្រើប្រាស់ដែលត្រូវបានលុបចេញពីអ្នកផ្តល់អត្តសញ្ញាណរបស់អ្នកអាចនៅតែភ្ជាប់ទៅ VPN ដដែល។
វាចាំបាច់ក្នុងការរួមបញ្ចូលការចូលប្រើក្រៅបណ្តាញនៅក្នុងប៉ារ៉ាម៉ែត្រវិសាលភាពនៃការកំណត់រចនាសម្ព័ន្ធ ODC របស់អ្នកសម្រាប់អ្នកផ្តល់សេវា ODC ដែលគាំទ្រវិសាលភាពនៃការចូលប្រើក្រៅបណ្តាញ។ Firezone-ctl reconfigure ត្រូវតែត្រូវបានប្រតិបត្តិ ដើម្បីអនុវត្តការផ្លាស់ប្តូរទៅឯកសារកំណត់រចនាសម្ព័ន្ធ Firezone ដែលមានទីតាំងនៅ /etc/firezone/firezone.rb ។
សម្រាប់អ្នកប្រើប្រាស់ដែលត្រូវបានផ្ទៀងផ្ទាត់ដោយអ្នកផ្តល់សេវា OIDC របស់អ្នក អ្នកនឹងឃើញការភ្ជាប់ ODC ក្បាលនៅក្នុងទំព័រព័ត៌មានលំអិតរបស់អ្នកប្រើប្រាស់នៃ UI បណ្តាញ ប្រសិនបើ Firezone អាចទាញយកនិមិត្តសញ្ញាធ្វើឱ្យស្រស់ឡើងវិញដោយជោគជ័យ។
ប្រសិនបើវាមិនដំណើរការទេ អ្នកនឹងត្រូវលុបកម្មវិធី OAuth ដែលមានស្រាប់របស់អ្នក ហើយធ្វើតាមជំហាននៃការដំឡើង ODC ម្តងទៀត បង្កើតការរួមបញ្ចូលកម្មវិធីថ្មី។ .
ខ្ញុំមានការរួមបញ្ចូល OAuth ដែលមានស្រាប់
មុនពេល 0.3.11 Firezone បានប្រើអ្នកផ្តល់សេវា OAuth2 ដែលបានកំណត់ទុកជាមុន។
អនុវត្តតាមការណែនាំ នៅទីនេះ ធ្វើចំណាកស្រុកទៅ ODC ។
ខ្ញុំមិនបានរួមបញ្ចូលអ្នកផ្តល់អត្តសញ្ញាណទេ។
មិនត្រូវការសកម្មភាពទេ។
អ្នកអាចធ្វើតាមការណែនាំ នៅទីនេះ ដើម្បីបើកដំណើរការ SSO តាមរយៈអ្នកផ្តល់សេវា ODC ។
នៅកន្លែងរបស់វា default['firezone']['external url'] បានជំនួសជម្រើសកំណត់រចនាសម្ព័ន្ធលំនាំដើម['firezone']['fqdn']។
កំណត់វាទៅ URL នៃវិបផតថលអនឡាញ Firezone របស់អ្នកដែលអាចចូលប្រើបានសម្រាប់សាធារណជនទូទៅ។ វានឹងលំនាំដើមទៅ https:// បូក FQDN នៃម៉ាស៊ីនមេរបស់អ្នក ប្រសិនបើទុកចោលដោយមិនបានកំណត់។
ឯកសារកំណត់រចនាសម្ព័ន្ធមានទីតាំងនៅ /etc/firezone/firezone.rb. សូមមើលឯកសារកំណត់រចនាសម្ព័ន្ធឯកសារយោងសម្រាប់បញ្ជីពេញលេញនៃអថេរការកំណត់រចនាសម្ព័ន្ធ និងការពិពណ៌នារបស់វា។
Firezone លែងរក្សាទុកសោឯកជនរបស់ឧបករណ៍នៅលើម៉ាស៊ីនមេ Firezone ចាប់ពីកំណែ 0.3.0 តទៅទៀតហើយ។
Firezone Web UI នឹងមិនអនុញ្ញាតឱ្យអ្នកទាញយកឡើងវិញ ឬមើលការកំណត់រចនាសម្ព័ន្ធទាំងនេះទេ ប៉ុន្តែឧបករណ៍ដែលមានស្រាប់គួរតែបន្តដំណើរការដូចដែលនៅមាន។
ប្រសិនបើអ្នកកំពុងដំឡើងកំណែពី Firezone 0.1.x មានការផ្លាស់ប្តូរឯកសារកំណត់រចនាសម្ព័ន្ធមួយចំនួនដែលត្រូវតែដោះស្រាយដោយដៃ។
ដើម្បីធ្វើការកែប្រែចាំបាច់ចំពោះឯកសារ /etc/firezone/firezone.rb របស់អ្នក សូមដំណើរការពាក្យបញ្ជាខាងក្រោមជា root ។
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
បន្ទរ “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
បន្ទរ “លំនាំដើម['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl កំណត់រចនាសម្ព័ន្ធឡើងវិញ
firezone-ctl ចាប់ផ្តើមឡើងវិញ
ការពិនិត្យមើលកំណត់ហេតុ Firezone គឺជាជំហានដំបូងដ៏ឆ្លាតវៃសម្រាប់បញ្ហាដែលអាចកើតឡើង។
ដំណើរការកន្ទុយ sudo firezone-ctl ដើម្បីមើលកំណត់ហេតុ Firezone ។
បញ្ហាការតភ្ជាប់ភាគច្រើនជាមួយ Firezone ត្រូវបានបង្កឡើងដោយច្បាប់ iptables ឬ nftables ដែលមិនឆបគ្នា។ អ្នកត្រូវតែប្រាកដថាច្បាប់ណាមួយដែលអ្នកមានជាធរមានមិនប៉ះទង្គិចជាមួយច្បាប់ Firezone ។
ត្រូវប្រាកដថាខ្សែសង្វាក់ FORWARD អនុញ្ញាតឱ្យកញ្ចប់ព័ត៌មានពីអតិថិជន WireGuard របស់អ្នកទៅកាន់ទីតាំងដែលអ្នកចង់អនុញ្ញាតតាមរយៈ Firezone ប្រសិនបើការតភ្ជាប់អ៊ីនធឺណិតរបស់អ្នកកាន់តែយ៉ាប់យ៉ឺនរាល់ពេលដែលអ្នកបើកដំណើរការផ្លូវរូងក្រោមដី WireGuard របស់អ្នក។
នេះអាចសម្រេចបាន ប្រសិនបើអ្នកកំពុងប្រើ ufw ដោយធានាថាគោលការណ៍កំណត់ផ្លូវលំនាំដើមត្រូវបានអនុញ្ញាត៖
ubuntu@fz:~$ sudo ufw លំនាំដើមអនុញ្ញាតឱ្យបញ្ជូន
គោលការណ៍ផ្លូវលំនាំដើមបានប្តូរទៅ 'អនុញ្ញាត'
(ត្រូវប្រាកដថាធ្វើបច្ចុប្បន្នភាពច្បាប់របស់អ្នកស្របតាម)
A វ៉ោវ ស្ថានភាពសម្រាប់ម៉ាស៊ីនមេ Firezone ធម្មតាអាចមើលទៅដូចនេះ៖
ubuntu@fz:~$ sudo ufw status verbose
ស្ថានភាព៖ សកម្ម
ការកត់ត្រា៖ បើក (ទាប)
លំនាំដើម៖ បដិសេធ (ចូល) អនុញ្ញាត (ចេញ) អនុញ្ញាត (បញ្ជូន)
កម្រងព័ត៌មានថ្មី៖ រំលង
សកម្មភាពពី
——————
22/tcp អនុញ្ញាតនៅគ្រប់ទីកន្លែង
80/tcp អនុញ្ញាតនៅគ្រប់ទីកន្លែង
443/tcp អនុញ្ញាតនៅគ្រប់ទីកន្លែង
51820/udp អនុញ្ញាតនៅគ្រប់ទីកន្លែង
22/tcp (v6) អនុញ្ញាតនៅគ្រប់ទីកន្លែង (v6)
80/tcp (v6) អនុញ្ញាតនៅគ្រប់ទីកន្លែង (v6)
443/tcp (v6) អនុញ្ញាតនៅគ្រប់ទីកន្លែង (v6)
51820/udp (v6) អនុញ្ញាតនៅគ្រប់ទីកន្លែង (v6)
យើងផ្តល់ដំបូន្មានដល់ការកំណត់ការចូលប្រើចំណុចប្រទាក់គេហទំព័រសម្រាប់ការដាក់ពង្រាយផលិតកម្មដែលមានលក្ខណៈរសើប និងសំខាន់ខ្លាំង ដូចដែលបានពន្យល់ខាងក្រោម។
សេវាកម្ម | ច្រកលំនាំដើម | ស្តាប់អាសយដ្ឋាន | ការពិពណ៌នា |
Nginx | 80, 443 | ទាំងអស់ | ច្រក HTTP(S) សាធារណៈសម្រាប់គ្រប់គ្រង Firezone និងសម្របសម្រួលការផ្ទៀងផ្ទាត់។ |
អ្នកការពារខ្សែភ្លើង | 51820 | ទាំងអស់ | ច្រក WireGuard សាធារណៈបានប្រើសម្រាប់វគ្គ VPN ។ (UDP) |
postgresql | 15432 | 127.0.0.1 | ច្រកសម្រាប់តែក្នុងតំបន់ប៉ុណ្ណោះដែលប្រើសម្រាប់ម៉ាស៊ីនមេ Postgresql ដែលបានខ្ចប់។ |
ទីក្រុង Phoenix | 13000 | 127.0.0.1 | ច្រកក្នុងស្រុកតែមួយគត់ដែលប្រើដោយម៉ាស៊ីនមេកម្មវិធី elixir ខាងលើ។ |
យើងណែនាំអ្នកឱ្យគិតអំពីការរឹតបន្តឹងការចូលប្រើ UI បណ្ដាញដែលលាតត្រដាងជាសាធារណៈរបស់ Firezone (តាមច្រកលំនាំដើម 443/tcp និង 80/tcp) ហើយជំនួសមកវិញឱ្យប្រើផ្លូវរូងក្រោមដី WireGuard ដើម្បីគ្រប់គ្រង Firezone សម្រាប់ការផលិត និងការដាក់ឱ្យប្រើប្រាស់ជាសាធារណៈ ដែលអ្នកគ្រប់គ្រងតែមួយនឹងទទួលបន្ទុក។ នៃការបង្កើត និងចែកចាយការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដល់អ្នកប្រើប្រាស់ចុងក្រោយ។
ឧទាហរណ៍ ប្រសិនបើអ្នកគ្រប់គ្រងបានបង្កើតការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ និងបង្កើតផ្លូវរូងក្រោមដីជាមួយអាសយដ្ឋាន WireGuard មូលដ្ឋាន 10.3.2.2 ការកំណត់រចនាសម្ព័ន្ធ ufw ខាងក្រោមនឹងអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងចូលប្រើ UI បណ្ដាញ Firezone នៅលើចំណុចប្រទាក់ wg-firezone របស់ម៉ាស៊ីនមេដោយប្រើលំនាំដើម 10.3.2.1 អាសយដ្ឋានផ្លូវរូងក្រោមដី៖
root@demo:~# ស្ថានភាព ufw verbose
ស្ថានភាព៖ សកម្ម
ការកត់ត្រា៖ បើក (ទាប)
លំនាំដើម៖ បដិសេធ (ចូល) អនុញ្ញាត (ចេញ) អនុញ្ញាត (បញ្ជូន)
កម្រងព័ត៌មានថ្មី៖ រំលង
សកម្មភាពពី
——————
22/tcp អនុញ្ញាតនៅគ្រប់ទីកន្លែង
51820/udp អនុញ្ញាតនៅគ្រប់ទីកន្លែង
គ្រប់ទីកន្លែងអនុញ្ញាតក្នុង 10.3.2.2
22/tcp (v6) អនុញ្ញាតនៅគ្រប់ទីកន្លែង (v6)
51820/udp (v6) អនុញ្ញាតនៅគ្រប់ទីកន្លែង (v6)
នេះនឹងចាកចេញតែប៉ុណ្ណោះ 22/tcp លាតត្រដាងសម្រាប់ការចូលប្រើ SSH ដើម្បីគ្រប់គ្រងម៉ាស៊ីនមេ (ជាជម្រើស) និង 51820/udp លាតត្រដាងដើម្បីបង្កើតផ្លូវរូងក្រោមដី WireGuard ។
Firezone បណ្តុំម៉ាស៊ីនមេ Postgresql និងការផ្គូផ្គង psql ឧបករណ៍ប្រើប្រាស់ដែលអាចប្រើបានពីសែលមូលដ្ឋានដូចជា៖
/opt/firezone/embedded/bin/psql \\
- តំបន់ភ្លើង \\
-d តំបន់ភ្លើង \\
-h localhost \\
-ទំ 15432 \\
-c “SQL_STATEMENT”
នេះអាចមានប្រយោជន៍សម្រាប់គោលបំណងបំបាត់កំហុស។
កិច្ចការទូទៅ៖
រាយបញ្ជីអ្នកប្រើប្រាស់ទាំងអស់៖
/opt/firezone/embedded/bin/psql \\
- តំបន់ភ្លើង \\
-d តំបន់ភ្លើង \\
-h localhost \\
-ទំ 15432 \\
-c "ជ្រើសរើស * ពីអ្នកប្រើប្រាស់"
រាយឧបករណ៍ទាំងអស់៖
/opt/firezone/embedded/bin/psql \\
- តំបន់ភ្លើង \\
-d តំបន់ភ្លើង \\
-h localhost \\
-ទំ 15432 \\
-c "ជ្រើសរើស * ពីឧបករណ៍;"
ផ្លាស់ប្តូរតួនាទីអ្នកប្រើប្រាស់៖
កំណត់តួនាទីទៅជា 'admin' ឬ 'unprivileged'៖
/opt/firezone/embedded/bin/psql \\
- តំបន់ភ្លើង \\
-d តំបន់ភ្លើង \\
-h localhost \\
-ទំ 15432 \\
-c “UPDATE users SET role = 'admin' WHERE email = '[អ៊ីមែលការពារ]';”
ការបម្រុងទុកមូលដ្ឋានទិន្នន័យ៖
លើសពីនេះទៀត រួមមានកម្មវិធី pg dump ដែលអាចត្រូវបានប្រើដើម្បីយកការបម្រុងទុកជាប្រចាំនៃមូលដ្ឋានទិន្នន័យ។ ប្រតិបត្តិកូដខាងក្រោមដើម្បីបោះចោលច្បាប់ចម្លងនៃមូលដ្ឋានទិន្នន័យក្នុងទម្រង់សំណួរ SQL ទូទៅ (ជំនួស /path/to/backup.sql ជាមួយទីតាំងដែលឯកសារ SQL គួរតែត្រូវបានបង្កើត)៖
/opt/firezone/embedded/bin/pg_dump \\
- តំបន់ភ្លើង \\
-d តំបន់ភ្លើង \\
-h localhost \\
-p 15432 > /path/to/backup.sql
បន្ទាប់ពី Firezone ត្រូវបានដាក់ឱ្យប្រើប្រាស់ដោយជោគជ័យ អ្នកត្រូវតែបន្ថែមអ្នកប្រើប្រាស់ ដើម្បីផ្តល់ឱ្យពួកគេនូវការចូលប្រើប្រាស់បណ្តាញរបស់អ្នក។ Web UI ត្រូវបានប្រើដើម្បីធ្វើកិច្ចការនេះ។
ដោយជ្រើសរើសប៊ូតុង "បន្ថែមអ្នកប្រើប្រាស់" នៅក្រោម /users អ្នកអាចបន្ថែមអ្នកប្រើប្រាស់។ អ្នកនឹងត្រូវបានតម្រូវឱ្យផ្តល់ឱ្យអ្នកប្រើប្រាស់នូវអាសយដ្ឋានអ៊ីមែល និងពាក្យសម្ងាត់។ ដើម្បីអនុញ្ញាតឱ្យចូលប្រើអ្នកប្រើប្រាស់នៅក្នុងស្ថាប័នរបស់អ្នកដោយស្វ័យប្រវត្តិ Firezone ក៏អាចធ្វើអន្តរកម្ម និងធ្វើសមកាលកម្មជាមួយអ្នកផ្តល់អត្តសញ្ញាណផងដែរ។ ព័ត៌មានលម្អិតមាននៅក្នុង ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។. < បន្ថែមតំណទៅការផ្ទៀងផ្ទាត់
យើងណែនាំឱ្យស្នើឱ្យអ្នកប្រើបង្កើតការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ផ្ទាល់ខ្លួន ដើម្បីឱ្យគេមើលឃើញតែសោឯកជនប៉ុណ្ណោះ។ អ្នកប្រើប្រាស់អាចបង្កើតការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ផ្ទាល់ខ្លួនរបស់ពួកគេដោយធ្វើតាមការណែនាំនៅលើ ការណែនាំរបស់អតិថិជន ទំព័រ។
ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍អ្នកប្រើប្រាស់ទាំងអស់អាចត្រូវបានបង្កើតឡើងដោយអ្នកគ្រប់គ្រង Firezone ។ នៅលើទំព័រកម្រងព័ត៌មានអ្នកប្រើប្រាស់ដែលមានទីតាំងនៅ /users សូមជ្រើសរើសជម្រើស "បន្ថែមឧបករណ៍" ដើម្បីសម្រេចកិច្ចការនេះ។
[បញ្ចូលរូបថតអេក្រង់]
អ្នកអាចផ្ញើអ៊ីមែលទៅអ្នកប្រើប្រាស់នូវឯកសារកំណត់រចនាសម្ព័ន្ធ WireGuard បន្ទាប់ពីបង្កើតទម្រង់ឧបករណ៍។
អ្នកប្រើប្រាស់ និងឧបករណ៍ត្រូវបានភ្ជាប់។ សម្រាប់ព័ត៌មានលម្អិតបន្ថែមអំពីរបៀបបន្ថែមអ្នកប្រើប្រាស់ សូមមើល បន្ថែមអ្នកប្រើប្រាស់.
តាមរយៈការប្រើប្រាស់ប្រព័ន្ធ netfilter របស់ខឺណែល Firezone បើកសមត្ថភាពតម្រង egress ដើម្បីបញ្ជាក់កញ្ចប់ DROP ឬ ACCEPT ។ ចរាចរណ៍ទាំងអស់ត្រូវបានអនុញ្ញាតជាធម្មតា។
IPv4 និង IPv6 CIDR និងអាសយដ្ឋាន IP ត្រូវបានគាំទ្រតាមរយៈបញ្ជីអនុញ្ញាត និងបញ្ជីបដិសេធរៀងៗខ្លួន។ អ្នកអាចជ្រើសរើសវិសាលភាពច្បាប់ដល់អ្នកប្រើប្រាស់ នៅពេលបន្ថែមវា ដែលអនុវត្តច្បាប់ចំពោះឧបករណ៍ទាំងអស់របស់អ្នកប្រើប្រាស់នោះ។
ដំឡើងនិងកំណត់រចនាសម្ព័ន្ធ
ដើម្បីបង្កើតការតភ្ជាប់ VPN ដោយប្រើម៉ាស៊ីនភ្ញៀវ WireGuard ដើម សូមមើលការណែនាំនេះ។
អតិថិជន WireGuard ផ្លូវការដែលមានទីតាំងនៅទីនេះគឺត្រូវគ្នាជាមួយ Firezone៖
ចូលទៅកាន់គេហទំព័រផ្លូវការរបស់ WireGuard នៅ https://www.wireguard.com/install/ សម្រាប់ប្រព័ន្ធ OS ដែលមិនបានរៀបរាប់ខាងលើ។
ទាំងអ្នកគ្រប់គ្រង Firezone របស់អ្នក ឬខ្លួនអ្នកអាចបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដោយប្រើវិបផតថល Firezone ។
ចូលទៅកាន់ URL ដែលអ្នកគ្រប់គ្រង Firezone របស់អ្នកបានផ្តល់ឱ្យដើម្បីបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដោយខ្លួនឯង។ ក្រុមហ៊ុនរបស់អ្នកនឹងមាន URL តែមួយគត់សម្រាប់ការនេះ; ក្នុងករណីនេះវាគឺជា https://instance-id.yourfirezone.com ។
ចូលទៅ Firezone Okta SSO
[បញ្ចូលរូបថតអេក្រង់]
នាំចូលឯកសារ the.conf ទៅក្នុងម៉ាស៊ីនភ្ញៀវ WireGuard ដោយបើកវា។ តាមរយៈការត្រឡប់ប៊ូតុងបើកដំណើរការ អ្នកអាចចាប់ផ្តើមវគ្គ VPN បាន។
[បញ្ចូលរូបថតអេក្រង់]
អនុវត្តតាមការណែនាំខាងក្រោម ប្រសិនបើអ្នកគ្រប់គ្រងបណ្តាញរបស់អ្នកបានកំណត់ការផ្ទៀងផ្ទាត់ឡើងវិញដើម្បីរក្សាការតភ្ជាប់ VPN របស់អ្នកឱ្យសកម្ម។
អ្នកត្រូវការ៖
URL របស់វិបផតថល Firezone៖ សួរអ្នកគ្រប់គ្រងបណ្តាញរបស់អ្នកសម្រាប់ការតភ្ជាប់។
អ្នកគ្រប់គ្រងបណ្តាញរបស់អ្នកគួរតែអាចផ្តល់នូវការចូល និងពាក្យសម្ងាត់របស់អ្នក។ គេហទំព័រ Firezone នឹងរំលឹកអ្នកឱ្យចូលដោយប្រើសេវាកម្មចុះឈ្មោះចូលតែមួយដែលនិយោជករបស់អ្នកប្រើ (ដូចជា Google ឬ Okta)។
[បញ្ចូលរូបថតអេក្រង់]
ចូលទៅកាន់ URL របស់វិបផតថល Firezone ហើយចូលដោយប្រើព័ត៌មានសម្ងាត់ដែលអ្នកគ្រប់គ្រងបណ្តាញរបស់អ្នកបានផ្តល់។ ប្រសិនបើអ្នកបានចូលរួចហើយ សូមចុចប៊ូតុងផ្ទៀងផ្ទាត់ឡើងវិញ មុនពេលចូលម្តងទៀត។
[បញ្ចូលរូបថតអេក្រង់]
[បញ្ចូលរូបថតអេក្រង់]
ដើម្បីនាំចូលទម្រង់ការកំណត់រចនាសម្ព័ន្ធ WireGuard ដោយប្រើកម្មវិធីគ្រប់គ្រងបណ្តាញ CLI នៅលើឧបករណ៍លីនុច សូមអនុវត្តតាមការណែនាំទាំងនេះ (nmcli)។
ប្រសិនបើទម្រង់មានការគាំទ្រ IPv6 ត្រូវបានបើក ការព្យាយាមនាំចូលឯកសារកំណត់រចនាសម្ព័ន្ធដោយប្រើ GUI កម្មវិធីគ្រប់គ្រងបណ្តាញអាចបរាជ័យជាមួយនឹងបញ្ហាដូចខាងក្រោម៖
ipv6.method៖ វិធីសាស្ត្រ "ស្វ័យប្រវត្តិ" មិនត្រូវបានគាំទ្រសម្រាប់ WireGuard ទេ។
វាចាំបាច់ក្នុងការដំឡើងឧបករណ៍ប្រើប្រាស់ WireGuard ។ នេះនឹងជាកញ្ចប់មួយដែលមានឈ្មោះថា wireguard ឬ wireguard-tools សម្រាប់ការចែកចាយលីនុច។
សម្រាប់អ៊ូប៊ុនទូ/ដេបៀន៖
sudo apt ដំឡើង wireguard
ដើម្បីប្រើ Fedora៖
sudo dnf ដំឡើង wireguard-tools
Arch Linux៖
sudo pacman -S wireguard-tools
ចូលទៅកាន់គេហទំព័រផ្លូវការរបស់ WireGuard នៅ https://www.wireguard.com/install/ សម្រាប់ការចែកចាយដែលមិនត្រូវបានរៀបរាប់ខាងលើ។
ទាំងអ្នកគ្រប់គ្រង Firezone របស់អ្នក ឬជំនាន់ខ្លួនឯងអាចបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដោយប្រើវិបផតថល Firezone ។
ចូលទៅកាន់ URL ដែលអ្នកគ្រប់គ្រង Firezone របស់អ្នកបានផ្តល់ឱ្យដើម្បីបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដោយខ្លួនឯង។ ក្រុមហ៊ុនរបស់អ្នកនឹងមាន URL តែមួយគត់សម្រាប់ការនេះ; ក្នុងករណីនេះវាគឺជា https://instance-id.yourfirezone.com ។
[បញ្ចូលរូបថតអេក្រង់]
នាំចូលឯកសារកំណត់រចនាសម្ព័ន្ធដែលបានផ្គត់ផ្គង់ដោយប្រើ nmcli៖
sudo nmcli connection នាំចូលប្រភេទ wireguard file /path/to/configuration.conf
ឈ្មោះឯកសារកំណត់រចនាសម្ព័ន្ធនឹងត្រូវគ្នាទៅនឹងការតភ្ជាប់/ចំណុចប្រទាក់ WireGuard ។ បន្ទាប់ពីនាំចូល ការតភ្ជាប់អាចត្រូវបានប្តូរឈ្មោះប្រសិនបើចាំបាច់៖
ការតភ្ជាប់ nmcli កែប្រែ [ឈ្មោះចាស់] connection.id [ឈ្មោះថ្មី]
តាមរយៈបន្ទាត់ពាក្យបញ្ជា ភ្ជាប់ទៅ VPN ដូចខាងក្រោម៖
ការតភ្ជាប់ nmcli ឡើង [ឈ្មោះ vpn]
ដើម្បីផ្តាច់៖
ការតភ្ជាប់ nmcli ចុះក្រោម [ឈ្មោះ vpn]
អាប់ភ្លេតកម្មវិធីគ្រប់គ្រងបណ្តាញដែលអាចអនុវត្តបានក៏អាចត្រូវបានប្រើដើម្បីគ្រប់គ្រងការតភ្ជាប់ប្រសិនបើប្រើ GUI ។
ដោយជ្រើសរើស “បាទ/ចាស” សម្រាប់ជម្រើសភ្ជាប់ដោយស្វ័យប្រវត្តិ ការតភ្ជាប់ VPN អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីភ្ជាប់ដោយស្វ័យប្រវត្តិ៖
ការតភ្ជាប់ nmcli កែប្រែ [vpn name] ការតភ្ជាប់។ <<<<<<<<<<<<<<<<<<<<<<
ភ្ជាប់ដោយស្វ័យប្រវត្តិ បាទ
ដើម្បីបិទការភ្ជាប់ដោយស្វ័យប្រវត្តិ កំណត់វាទៅជាទេ៖
ការតភ្ជាប់ nmcli កែប្រែ [vpn name] ការតភ្ជាប់។
លេខភ្ជាប់ដោយស្វ័យប្រវត្តិ
ដើម្បីធ្វើសកម្មភាព MFA សូមចូលទៅកាន់គេហទំព័រ / គណនីអ្នកប្រើប្រាស់ / ចុះឈ្មោះទំព័រ mfa របស់ Firezone ។ ប្រើកម្មវិធីផ្ទៀងផ្ទាត់របស់អ្នកដើម្បីស្កេនកូដ QR បន្ទាប់ពីវាត្រូវបានបង្កើត បន្ទាប់មកបញ្ចូលលេខកូដប្រាំមួយខ្ទង់។
ទាក់ទងអ្នកគ្រប់គ្រងរបស់អ្នកដើម្បីកំណត់ព័ត៌មានចូលប្រើគណនីរបស់អ្នកឡើងវិញ ប្រសិនបើអ្នកដាក់កម្មវិធីផ្ទៀងផ្ទាត់របស់អ្នកខុស។
ការបង្រៀននេះនឹងណែនាំអ្នកឱ្យឆ្លងកាត់ដំណើរការនៃការដំឡើងមុខងារផ្លូវរូងក្រោមដីបំបែករបស់ WireGuard ជាមួយ Firezone ដូច្នេះមានតែចរាចរទៅកាន់ជួរ IP ជាក់លាក់ប៉ុណ្ណោះដែលត្រូវបានបញ្ជូនបន្តតាមរយៈម៉ាស៊ីនមេ VPN ។
ជួរ IP ដែលអតិថិជននឹងបញ្ជូនចរាចរបណ្តាញត្រូវបានកំណត់ក្នុងវាល IPs ដែលបានអនុញ្ញាតដែលមានទីតាំងនៅលើ /settings/default page។ មានតែការកំណត់រចនាសម្ព័ន្ធផ្លូវរូងក្រោមដី WireGuard ដែលបានបង្កើតថ្មីដែលផលិតដោយ Firezone ប៉ុណ្ណោះដែលនឹងរងផលប៉ះពាល់ដោយការផ្លាស់ប្តូរចំពោះវាលនេះ។
[បញ្ចូលរូបថតអេក្រង់]
តម្លៃលំនាំដើមគឺ 0.0.0.0/0, ::/0 ដែលបញ្ជូនចរាចរណ៍បណ្តាញទាំងអស់ពីម៉ាស៊ីនភ្ញៀវទៅម៉ាស៊ីនមេ VPN ។
ឧទាហរណ៍នៃតម្លៃនៅក្នុងវាលនេះរួមមាន:
0.0.0.0/0, ::/0 – ចរាចរណ៍បណ្តាញទាំងអស់នឹងត្រូវបានបញ្ជូនទៅកាន់ម៉ាស៊ីនមេ VPN ។
192.0.2.3/32 – ចរាចរទៅកាន់អាសយដ្ឋាន IP តែមួយនឹងត្រូវបានបញ្ជូនទៅកាន់ម៉ាស៊ីនមេ VPN ។
3.5.140.0/22 – ចរាចរណ៍តែទៅកាន់ IPs ក្នុងជួរ 3.5.140.1 – 3.5.143.254 នឹងត្រូវបានបញ្ជូនទៅកាន់ម៉ាស៊ីនមេ VPN ។ ក្នុងឧទាហរណ៍នេះ ជួរ CIDR សម្រាប់តំបន់ ap-northeast-2 AWS ត្រូវបានប្រើ។
Firezone ជ្រើសរើសចំណុចប្រទាក់ egress ដែលភ្ជាប់ជាមួយផ្លូវច្បាស់លាស់បំផុតជាមុនសិន នៅពេលកំណត់កន្លែងដែលត្រូវបញ្ជូនកញ្ចប់ព័ត៌មាន។
អ្នកប្រើប្រាស់ត្រូវតែបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធឡើងវិញ ហើយបន្ថែមវាទៅម៉ាស៊ីនភ្ញៀវ WireGuard ដើមរបស់ពួកគេ ដើម្បីធ្វើបច្ចុប្បន្នភាពឧបករណ៍អ្នកប្រើប្រាស់ដែលមានស្រាប់ជាមួយនឹងការកំណត់រចនាសម្ព័ន្ធផ្លូវរូងក្រោមដីបំបែកថ្មី។
សម្រាប់ការណែនាំសូមមើល បន្ថែមឧបករណ៍. <<<<<<<<<<<< បន្ថែមតំណ
សៀវភៅណែនាំនេះនឹងបង្ហាញពីរបៀបភ្ជាប់ឧបករណ៍ពីរដោយប្រើ Firezone ជាការបញ្ជូនត។ ករណីប្រើប្រាស់ធម្មតាមួយគឺបើកឱ្យអ្នកគ្រប់គ្រងចូលប្រើម៉ាស៊ីនមេ កុងតឺន័រ ឬម៉ាស៊ីនដែលត្រូវបានការពារដោយ NAT ឬជញ្ជាំងភ្លើង។
រូបភាពនេះបង្ហាញពីសេណារីយ៉ូត្រង់ដែលឧបករណ៍ A និង B សាងសង់ផ្លូវរូងក្រោមដី។
[បញ្ចូលរូបភាពស្ថាបត្យកម្ម Firezone]
ចាប់ផ្តើមដោយបង្កើតឧបករណ៍ A និងឧបករណ៍ B ដោយរុករកទៅ /users/[user_id]/new_device ។ នៅក្នុងការកំណត់សម្រាប់ឧបករណ៍នីមួយៗ សូមប្រាកដថាប៉ារ៉ាម៉ែត្រខាងក្រោមត្រូវបានកំណត់ទៅតម្លៃដែលបានរាយខាងក្រោម។ អ្នកអាចកំណត់ការកំណត់ឧបករណ៍នៅពេលបង្កើតការកំណត់ឧបករណ៍ (សូមមើលបន្ថែមឧបករណ៍)។ ប្រសិនបើអ្នកត្រូវការធ្វើបច្ចុប្បន្នភាពការកំណត់នៅលើឧបករណ៍ដែលមានស្រាប់ អ្នកអាចធ្វើដូច្នេះបានដោយបង្កើតការកំណត់ឧបករណ៍ថ្មី។
ចំណាំថាឧបករណ៍ទាំងអស់មានទំព័រ /settings/defaults ដែល PersistentKeepalive អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធ។
AllowedIPs = 10.3.2.2/32
នេះគឺជា IP ឬជួរនៃ IP របស់ឧបករណ៍ B
PersistentKeepalive = ២៥
ប្រសិនបើឧបករណ៍នៅពីក្រោយ NAT នេះធានាថាឧបករណ៍អាចរក្សាផ្លូវរូងក្រោមដីឱ្យនៅរស់ និងបន្តទទួលកញ្ចប់ព័ត៌មានពីចំណុចប្រទាក់ WireGuard ។ ជាធម្មតាតម្លៃ 25 គឺគ្រប់គ្រាន់ ប៉ុន្តែអ្នកប្រហែលជាត្រូវបន្ថយតម្លៃនេះ អាស្រ័យលើបរិយាកាសរបស់អ្នក។
AllowedIPs = 10.3.2.3/32
នេះគឺជា IP ឬជួរនៃ IP របស់ឧបករណ៍ A
PersistentKeepalive = ២៥
ឧទាហរណ៍នេះបង្ហាញពីស្ថានភាពដែលឧបករណ៍ A អាចទំនាក់ទំនងជាមួយឧបករណ៍ B ដល់ D ក្នុងទិសដៅទាំងពីរ។ ការដំឡើងនេះអាចតំណាងឱ្យវិស្វករ ឬអ្នកគ្រប់គ្រងដែលចូលប្រើធនធានជាច្រើន (ម៉ាស៊ីនមេ កុងតឺន័រ ឬម៉ាស៊ីន) នៅទូទាំងបណ្តាញផ្សេងៗ។
[ដ្យាក្រាមស្ថាបត្យកម្ម]<<<<<<<<<<<<<<<<<<<<<
ត្រូវប្រាកដថាការកំណត់ខាងក្រោមត្រូវបានធ្វើឡើងនៅក្នុងការកំណត់របស់ឧបករណ៍នីមួយៗទៅនឹងតម្លៃដែលត្រូវគ្នា។ នៅពេលបង្កើតការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ អ្នកអាចបញ្ជាក់ការកំណត់ឧបករណ៍ (សូមមើលបន្ថែមឧបករណ៍)។ ការកំណត់ឧបករណ៍ថ្មីអាចត្រូវបានបង្កើត ប្រសិនបើការកំណត់នៅលើឧបករណ៍ដែលមានស្រាប់ចាំបាច់ត្រូវធ្វើបច្ចុប្បន្នភាព។
AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
នេះគឺជា IP របស់ឧបករណ៍ B ដល់ D។ IP របស់ឧបករណ៍ B ដល់ D ត្រូវតែបញ្ចូលក្នុងជួរ IP ណាមួយដែលអ្នកជ្រើសរើសដើម្បីកំណត់។
PersistentKeepalive = ២៥
នេះធានាថាឧបករណ៍អាចរក្សាផ្លូវរូងក្រោមដី និងបន្តទទួលកញ្ចប់ព័ត៌មានពីចំណុចប្រទាក់ WireGuard ទោះបីជាវាត្រូវបានការពារដោយ NAT ក៏ដោយ។ ក្នុងករណីភាគច្រើន តម្លៃ 25 គឺគ្រប់គ្រាន់ ទោះជាយ៉ាងណាក៏ដោយ អាស្រ័យលើតំបន់ជុំវិញរបស់អ្នក អ្នកប្រហែលជាត្រូវបន្ថយតួលេខនេះ។
ដើម្បីផ្តល់ជូននូវ IP egress តែមួយដែលមានលក្ខណៈឋិតិវន្តសម្រាប់ចរាចរណ៍ទាំងអស់នៃក្រុមរបស់អ្នកក្នុងការហូរចេញ Firezone អាចត្រូវបានប្រើប្រាស់ជាច្រក NAT ។ ស្ថានភាពទាំងនេះពាក់ព័ន្ធនឹងការប្រើប្រាស់ញឹកញាប់របស់វា៖
ការចូលរួមប្រឹក្សាយោបល់៖ ស្នើសុំឱ្យអតិថិជនរបស់អ្នកដាក់បញ្ជីសនូវអាសយដ្ឋាន IP ឋិតិវន្តតែមួយ ជាជាង IP ឧបករណ៍តែមួយគត់របស់បុគ្គលិកនីមួយៗ។
ការប្រើប្រាស់ប្រូកស៊ី ឬបិទបាំង IP ប្រភពរបស់អ្នកសម្រាប់គោលបំណងសុវត្ថិភាព ឬឯកជនភាព។
ឧទាហរណ៍សាមញ្ញនៃការកំណត់ការចូលប្រើកម្មវិធីគេហទំព័រដែលបង្ហោះដោយខ្លួនឯងទៅកាន់ IP ឋិតិវន្តដែលបានចុះបញ្ជីសតែមួយដែលដំណើរការ Firezone នឹងត្រូវបានបង្ហាញនៅក្នុងការប្រកាសនេះ។ នៅក្នុងរូបភាពនេះ Firezone និងធនធានដែលបានការពារគឺស្ថិតនៅក្នុងតំបន់ VPC ផ្សេងៗគ្នា។
ដំណោះស្រាយនេះត្រូវបានប្រើជាញឹកញាប់ជំនួសឱ្យការគ្រប់គ្រងបញ្ជីស IP សម្រាប់អ្នកប្រើប្រាស់ចុងក្រោយជាច្រើន ដែលអាចចំណាយពេលច្រើននៅពេលដែលបញ្ជីចូលដំណើរការពង្រីក។
គោលបំណងរបស់យើងគឺតំឡើងម៉ាស៊ីនមេ Firezone នៅលើឧទាហរណ៍ EC2 ដើម្បីប្តូរទិសចរាចរណ៍ VPN ទៅកាន់ធនធានដែលបានដាក់កម្រិត។ ក្នុងករណីនេះ Firezone កំពុងបម្រើជាប្រូកស៊ីបណ្តាញ ឬច្រក NAT ដើម្បីផ្តល់ឱ្យឧបករណ៍ដែលបានភ្ជាប់នីមួយៗនូវ IP egress សាធារណៈតែមួយគត់។
ក្នុងករណីនេះ EC2 instance ដែលមានឈ្មោះថា tc2.micro មាន Firezone instance ដែលបានដំឡើងនៅលើវា។ សម្រាប់ព័ត៌មានអំពីការដាក់ឱ្យប្រើប្រាស់ Firezone សូមចូលទៅកាន់ការណែនាំអំពីការដាក់ឱ្យប្រើប្រាស់។ ទាក់ទងទៅនឹង AWS ត្រូវប្រាកដថា៖
ក្រុមសុវត្ថិភាពរបស់ Firezone EC2 អនុញ្ញាតចរាចរណ៍ចេញទៅកាន់អាសយដ្ឋាន IP របស់ធនធានដែលបានការពារ។
ឧទាហរណ៍ Firezone ភ្ជាប់មកជាមួយ IP យឺត។ ចរាចរណ៍ដែលត្រូវបានបញ្ជូនបន្តតាមរយៈ Firezone ទៅកាន់គោលដៅខាងក្រៅនឹងមានវាជាអាសយដ្ឋាន IP ប្រភពរបស់វា។ អាសយដ្ឋាន IP ជាសំណួរគឺ 52.202.88.54 ។
[បញ្ចូលរូបថតអេក្រង់]<<<<<<<<<<<<<<<<<<<<<<<<
កម្មវិធីគេហទំព័រដែលបង្ហោះដោយខ្លួនឯងបម្រើជាធនធានដែលត្រូវបានការពារក្នុងករណីនេះ។ កម្មវិធីបណ្ដាញអាចចូលប្រើបានតែតាមរយៈសំណើដែលមកពីអាសយដ្ឋាន IP 52.202.88.54។ អាស្រ័យលើធនធាន វាអាចចាំបាច់ក្នុងការអនុញ្ញាតចរាចរណ៍ចូលតាមច្រក និងប្រភេទចរាចរណ៍ផ្សេងៗ។ នេះមិនត្រូវបានគ្របដណ្តប់នៅក្នុងសៀវភៅណែនាំនេះទេ។
[បញ្ចូលរូបថតអេក្រង់]<<<<<<<<<<<<<<<<<<<<<<<<
សូមប្រាប់ភាគីទីបីដែលទទួលខុសត្រូវលើធនធានដែលបានការពារថាចរាចរណ៍ពី IP ឋិតិវន្តដែលបានកំណត់ក្នុងជំហានទី 1 ត្រូវតែត្រូវបានអនុញ្ញាត (ក្នុងករណីនេះ 52.202.88.54) ។
តាមលំនាំដើម ចរាចរណ៍អ្នកប្រើប្រាស់ទាំងអស់នឹងឆ្លងកាត់ម៉ាស៊ីនមេ VPN ហើយមកពី IP ឋិតិវន្តដែលបានកំណត់រចនាសម្ព័ន្ធក្នុងជំហានទី 1 (ក្នុងករណីនេះ 52.202.88.54) ។ ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើការបំបែកផ្លូវរូងក្រោមដីត្រូវបានបើក ការកំណត់អាចចាំបាច់ដើម្បីធ្វើឱ្យប្រាកដថា IP គោលដៅរបស់ធនធានដែលត្រូវបានការពារត្រូវបានរាយបញ្ជីក្នុងចំណោម IPs ដែលបានអនុញ្ញាត។
បង្ហាញខាងក្រោមគឺជាបញ្ជីពេញលេញនៃជម្រើសនៃការកំណត់រចនាសម្ព័ន្ធដែលមាននៅក្នុង /etc/firezone/firezone.rb.
ជម្រើស | បរិយាយ | តម្លៃលំនាំដើម |
លំនាំដើម['firezone']['external_url'] | URL ប្រើដើម្បីចូលប្រើវិបផតថលនៃឧទាហរណ៍ Firezone នេះ។ | “https://#{node['fqdn'] || node['hostname']}” |
default['firezone']['config_directory'] | ថតកម្រិតកំពូលសម្រាប់ការកំណត់រចនាសម្ព័ន្ធ Firezone ។ | /etc/firezone' |
default['firezone']['install_directory'] | ថតកម្រិតកំពូលដើម្បីដំឡើង Firezone ទៅ។ | /opt/firezone' |
លំនាំដើម['firezone']['app_directory'] | ថតកម្រិតកំពូលដើម្បីដំឡើងកម្មវិធីបណ្ដាញ Firezone ។ | “#{node['firezone']['install_directory']}/embedded/service/firezone” |
លំនាំដើម['firezone']['log_directory'] | ថតកម្រិតកំពូលសម្រាប់កំណត់ហេតុ Firezone ។ | /var/log/firezone' |
លំនាំដើម['firezone']['var_directory'] | ថតកម្រិតកំពូលសម្រាប់ឯកសារពេលដំណើរការ Firezone ។ | /var/opt/firezone' |
លំនាំដើម['firezone']['user'] | ឈ្មោះអ្នកប្រើប្រាស់លីនុចដែលមិនមានសិទ្ធិប្រើប្រាស់សេវាកម្ម និងឯកសារភាគច្រើននឹងជាកម្មសិទ្ធិ។ | តំបន់ភ្លើង' |
លំនាំដើម['firezone']['group'] | ឈ្មោះក្រុមលីនុច សេវាកម្ម និងឯកសារភាគច្រើននឹងជាកម្មសិទ្ធិ។ | តំបន់ភ្លើង' |
លំនាំដើម['firezone']['admin_email'] | អាសយដ្ឋានអ៊ីមែលសម្រាប់អ្នកប្រើប្រាស់ Firezone ដំបូង។ | "firezone@localhost" |
default['firezone']['max_devices_per_user'] | ចំនួនឧបករណ៍អតិបរមាដែលអ្នកប្រើប្រាស់អាចមាន។ | 10 |
default['firezone']['allow_unprivileged_device_management'] | អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលមិនមែនជាអ្នកគ្រប់គ្រងបង្កើត និងលុបឧបករណ៍។ | ពិត |
default['firezone']['allow_unprivileged_device_configuration'] | អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលមិនមែនជាអ្នកគ្រប់គ្រងកែប្រែការកំណត់ឧបករណ៍។ នៅពេលបិទ ការពារអ្នកប្រើប្រាស់ដែលមិនមានសិទ្ធិផ្លាស់ប្តូរវាលឧបករណ៍ទាំងអស់ លើកលែងតែឈ្មោះ និងការពិពណ៌នា។ | ពិត |
លំនាំដើម['firezone']['egress_interface'] | ឈ្មោះចំណុចប្រទាក់ដែលចរាចរណ៍ផ្លូវរូងក្រោមដីនឹងចេញ។ ប្រសិនបើគ្មាន ចំណុចប្រទាក់ផ្លូវលំនាំដើមនឹងត្រូវបានប្រើ។ | គ្មាន |
លំនាំដើម['firezone']['fips_enabled'] | បើក ឬបិទមុខងារ OpenSSL FIPs។ | គ្មាន |
default['firezone']['logging']['enabled'] | បើក ឬបិទការកត់ត្រានៅទូទាំង Firezone ។ កំណត់ទៅមិនពិត ដើម្បីបិទការកត់ត្រាទាំងស្រុង។ | ពិត |
លំនាំដើម['សហគ្រាស']['ឈ្មោះ'] | ឈ្មោះដែលប្រើដោយសៀវភៅធ្វើម្ហូប 'សហគ្រាស' ។ | តំបន់ភ្លើង' |
លំនាំដើម['firezone']['install_path'] | ដំឡើងផ្លូវដែលប្រើដោយចុងភៅ 'សហគ្រាស' ។ គួរតែត្រូវបានកំណត់ដូចគ្នាទៅនឹង install_directory ខាងលើ។ | node['firezone']['install_directory'] |
លំនាំដើម['firezone']['sysvinit_id'] | ឧបករណ៍កំណត់អត្តសញ្ញាណដែលប្រើក្នុង /etc/inittab. ត្រូវតែជាលំដាប់តែមួយគត់នៃ 1-4 តួអក្សរ។ | SUP' |
default['firezone']['authentication']['local']['enabled'] | បើក ឬបិទការផ្ទៀងផ្ទាត់អ៊ីមែល/ពាក្យសម្ងាត់ក្នុងតំបន់។ | ពិត |
default['firezone']['authentication']['auto_create_oidc_users'] | បង្កើតអ្នកប្រើប្រាស់ចូលដោយស្វ័យប្រវត្តិពី ODC ជាលើកដំបូង។ បិទដើម្បីអនុញ្ញាតឱ្យតែអ្នកប្រើដែលមានស្រាប់ចូលតាមរយៈ ODC។ | ពិត |
default['firezone']['authentication']['disable_vpn_on_oidc_error'] | បិទ VPN របស់អ្នកប្រើ ប្រសិនបើរកឃើញកំហុស ព្យាយាមធ្វើឱ្យសញ្ញាសម្ងាត់ ODC របស់ពួកគេឡើងវិញ។ | មិនពិត |
លំនាំដើម['firezone']['authentication']['oidc'] | OpenID Connect config ក្នុងទម្រង់ {“provider” => [config…]} – សូមមើល ឯកសារ OpenIDConnect សម្រាប់ឧទាហរណ៍កំណត់រចនាសម្ព័ន្ធ។ | {} |
default['firezone']['nginx']['enabled'] | បើកឬបិទម៉ាស៊ីនមេ nginx ដែលបានខ្ចប់។ | ពិត |
លំនាំដើម['firezone']['nginx']['ssl_port'] | ច្រកស្តាប់ HTTPS ។ | 443 |
លំនាំដើម['firezone']['nginx']['directory'] | ថតដើម្បីរក្សាទុកការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីននិម្មិត nginx ដែលទាក់ទងនឹង Firezone ។ | “#{node['firezone']['var_directory']}/nginx/etc” |
default['firezone']['nginx']['log_directory'] | ថតឯកសារដើម្បីរក្សាទុកឯកសារកំណត់ហេតុ nginx ទាក់ទងនឹង Firezone ។ | “#{node['firezone']['log_directory']}/nginx” |
default['firezone']['nginx']['log_rotation']['file_maxbytes'] | ទំហំឯកសារដែលត្រូវបង្វិលឯកសារកំណត់ហេតុ Nginx ។ | 104857600 |
default['firezone']['nginx']['log_rotation']['num_to_keep'] | ចំនួនឯកសារកំណត់ហេតុ Firezone nginx ដែលត្រូវរក្សាទុកមុនពេលបោះចោល។ | 10 |
default['firezone']['nginx']['log_x_forwarded_for'] | ថាតើត្រូវចូល Firezone nginx x-forwarded-for header ដែរឬទេ។ | ពិត |
default['firezone']['nginx']['hsts_header']['enabled'] | ពិត | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | បើក ឬបិទរួមបញ្ចូល SubDomains សម្រាប់បឋមកថា HSTS ។ | ពិត |
default['firezone']['nginx']['hsts_header']['max_age'] | អាយុអតិបរមាសម្រាប់បឋមកថា HSTS ។ | 31536000 |
default['firezone']['nginx']['redirect_to_canonical'] | ថាតើត្រូវប្តូរទិស URL ទៅកាន់ Canonical FQDN ដែលបានបញ្ជាក់ខាងលើឬអត់ | មិនពិត |
default['firezone']['nginx']['cache']['enabled'] | បើកឬបិទឃ្លាំងសម្ងាត់ Firezone nginx ។ | មិនពិត |
លំនាំដើម['firezone']['nginx']['cache']['directory'] | ថតសម្រាប់ឃ្លាំងសម្ងាត់ Firezone nginx ។ | “#{node['firezone']['var_directory']}/nginx/cache” |
លំនាំដើម['firezone']['nginx']['user'] | អ្នកប្រើប្រាស់ Firezone nginx ។ | node['firezone']['user'] |
លំនាំដើម['firezone']['nginx']['group'] | ក្រុម Firezone nginx ។ | node['firezone']['group'] |
លំនាំដើម['firezone']['nginx']['dir'] | ថតការកំណត់រចនាសម្ព័ន្ធ nginx កម្រិតកំពូល។ | node['firezone']['nginx']['directory'] |
លំនាំដើម['firezone']['nginx']['log_dir'] | ថតកំណត់ហេតុ nginx កម្រិតកំពូល។ | node['firezone']['nginx']['log_directory'] |
លំនាំដើម['firezone']['nginx']['pid'] | ទីតាំងសម្រាប់ឯកសារ nginx pid ។ | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
default['firezone']['nginx']['daemon_disable'] | បិទរបៀបដេមិន nginx ដូច្នេះយើងអាចត្រួតពិនិត្យវាជំនួសវិញ។ | ពិត |
លំនាំដើម['firezone']['nginx']['gzip'] | បើកឬបិទការបង្ហាប់ nginx gzip ។ | នៅលើ ' |
លំនាំដើម['firezone']['nginx']['gzip_static'] | បើក ឬបិទការបង្ហាប់ nginx gzip សម្រាប់ឯកសារឋិតិវន្ត។ | បិទ' |
លំនាំដើម['firezone']['nginx']['gzip_http_version'] | កំណែ HTTP ដែលត្រូវប្រើសម្រាប់បម្រើឯកសារឋិតិវន្ត។ | 1.0 " |
លំនាំដើម['firezone']['nginx']['gzip_comp_level'] | កម្រិតបង្ហាប់ nginx gzip ។ | 2 " |
លំនាំដើម['firezone']['nginx']['gzip_proxied'] | បើក ឬបិទ gzipping នៃការឆ្លើយតបសម្រាប់សំណើប្រូកស៊ី អាស្រ័យលើសំណើ និងការឆ្លើយតប។ | ណាមួយ' |
លំនាំដើម['firezone']['nginx']['gzip_vary'] | បើក ឬបិទការបញ្ចូលបឋមកថាឆ្លើយតប "ប្រែប្រួល៖ ទទួល-ការអ៊ិនកូដ"។ | បិទ' |
លំនាំដើម['firezone']['nginx']['gzip_buffers'] | កំណត់ចំនួន និងទំហំនៃសតិបណ្ដោះអាសន្នដែលប្រើដើម្បីបង្ហាប់ការឆ្លើយតប។ ប្រសិនបើគ្មានទេនោះ nginx លំនាំដើមត្រូវបានប្រើ។ | គ្មាន |
លំនាំដើម['firezone']['nginx']['gzip_types'] | ប្រភេទ MIME ដើម្បីបើកការបង្ហាប់ gzip សម្រាប់។ | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
លំនាំដើម['firezone']['nginx']['gzip_min_length'] | ប្រវែងឯកសារអប្បបរមាដើម្បីបើកការបង្ហាប់ឯកសារ gzip សម្រាប់។ | 1000 |
default['firezone']['nginx']['gzip_disable'] | អ្នកផ្គូផ្គងភ្នាក់ងារអ្នកប្រើប្រាស់ដើម្បីបិទការបង្ហាប់ gzip សម្រាប់។ | MSIE [1-6]\។' |
លំនាំដើម['firezone']['nginx']['keepalive'] | ធ្វើឱ្យឃ្លាំងសម្ងាត់សកម្មសម្រាប់ការតភ្ជាប់ទៅម៉ាស៊ីនមេ។ | នៅលើ ' |
default['firezone']['nginx']['keepalive_timeout'] | អស់ពេលក្នុងប៉ុន្មានវិនាទីសម្រាប់ការតភ្ជាប់បន្តទៅម៉ាស៊ីនមេ។ | 65 |
លំនាំដើម['firezone']['nginx']['worker_processes'] | ចំនួនដំណើរការរបស់កម្មករ nginx ។ | node['cpu'] && node['cpu']['total'] ? node['cpu']['total'] : ១ |
default['firezone']['nginx']['worker_connections'] | ចំនួនអតិបរមានៃការតភ្ជាប់ក្នុងពេលដំណាលគ្នាដែលអាចត្រូវបានបើកដោយដំណើរការកម្មករ។ | 1024 |
default['firezone']['nginx']['worker_rlimit_nofile'] | ផ្លាស់ប្តូរដែនកំណត់លើចំនួនអតិបរមានៃឯកសារបើកសម្រាប់ដំណើរការរបស់កម្មករ។ ប្រើលំនាំដើម nginx ប្រសិនបើគ្មាន។ | គ្មាន |
លំនាំដើម['firezone']['nginx']['multi_accept'] | ថាតើកម្មករគួរតែទទួលយកការតភ្ជាប់មួយក្នុងពេលតែមួយ ឬច្រើនដង។ | ពិត |
លំនាំដើម['firezone']['nginx']['event'] | បញ្ជាក់វិធីសាស្ត្រដំណើរការការតភ្ជាប់ ដើម្បីប្រើក្នុងបរិបទព្រឹត្តិការណ៍ nginx ។ | epol' |
លំនាំដើម['firezone']['nginx']['server_tokens'] | បើក ឬបិទការបញ្ចេញកំណែ nginx នៅលើទំព័រកំហុស និងនៅក្នុងវាលបឋមកថាឆ្លើយតប "ម៉ាស៊ីនមេ" ។ | គ្មាន |
default['firezone']['nginx']['server_names_hash_bucket_size'] | កំណត់ទំហំធុងសម្រាប់តារាងឈ្មោះម៉ាស៊ីនមេ។ | 64 |
លំនាំដើម['firezone']['nginx']['sendfile'] | បើក ឬបិទការប្រើប្រាស់ sendfile() របស់ nginx។ | នៅលើ ' |
default['firezone']['nginx']['access_log_options'] | កំណត់ជម្រើសកំណត់ហេតុចូលប្រើ nginx ។ | គ្មាន |
default['firezone']['nginx']['error_log_options'] | កំណត់ជម្រើសកំណត់ហេតុកំហុស nginx ។ | គ្មាន |
default['firezone']['nginx']['disable_access_log'] | បិទដំណើរការកំណត់ហេតុចូលប្រើ nginx ។ | មិនពិត |
default['firezone']['nginx']['types_hash_max_size'] | ប្រភេទ nginx hash ទំហំអតិបរមា។ | 2048 |
លំនាំដើម['firezone']['nginx']['types_hash_bucket_size'] | ប្រភេទ nginx ទំហំធុងទឹក hash ។ | 64 |
default['firezone']['nginx']['proxy_read_timeout'] | ការអស់ពេលអានប្រូកស៊ី nginx ។ កំណត់ទៅ Nil ដើម្បីប្រើ nginx លំនាំដើម។ | គ្មាន |
default['firezone']['nginx']['client_body_buffer_size'] | ទំហំអង្គចងចាំរបស់អតិថិជន nginx ។ កំណត់ទៅ Nil ដើម្បីប្រើ nginx លំនាំដើម។ | គ្មាន |
default['firezone']['nginx']['client_max_body_size'] | ទំហំរាងកាយអតិបរមារបស់អតិថិជន nginx ។ | 250m' |
default['firezone']['nginx']['default']['modules'] | បញ្ជាក់ម៉ូឌុល nginx បន្ថែម។ | [] |
default['firezone']['nginx']['enable_rate_limiting'] | បើក ឬបិទការកំណត់អត្រា nginx ។ | ពិត |
default['firezone']['nginx']['rate_limiting_zone_name'] | ឈ្មោះតំបន់កំណត់អត្រា Nginx ។ | តំបន់ភ្លើង' |
default['firezone']['nginx']['rate_limiting_backoff'] | អត្រា Nginx កំណត់ការថយក្រោយ។ | 10m' |
default['firezone']['nginx']['rate_limit'] | ដែនកំណត់អត្រា Nginx ។ | 10r/s' |
លំនាំដើម['firezone']['nginx']['ipv6'] | អនុញ្ញាតឱ្យ nginx ស្តាប់សំណើ HTTP សម្រាប់ IPv6 បន្ថែមពីលើ IPv4 ។ | ពិត |
default['firezone']['postgresql']['enabled'] | បើក ឬបិទ Postgresql ដែលបាច់។ កំណត់ទៅមិនពិត ហើយបំពេញជម្រើសមូលដ្ឋានទិន្នន័យខាងក្រោម ដើម្បីប្រើឧទាហរណ៍ Postgresql ផ្ទាល់ខ្លួនរបស់អ្នក។ | ពិត |
default['firezone']['postgresql']['username'] | ឈ្មោះអ្នកប្រើសម្រាប់ Postgresql. | node['firezone']['user'] |
default['firezone']['postgresql']['data_directory'] | ថតទិន្នន័យ Postgresql ។ | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
default['firezone']['postgresql']['log_directory'] | ថតកំណត់ហេតុ Postgresql ។ | “#{node['firezone']['log_directory']}/postgresql” |
default['firezone']['postgresql']['log_rotation']['file_maxbytes'] | ទំហំអតិបរមានៃឯកសារកំណត់ហេតុ Postgresql មុនពេលវាត្រូវបានបង្វិល។ | 104857600 |
default['firezone']['postgresql']['log_rotation']['num_to_keep'] | ចំនួនឯកសារកំណត់ហេតុ Postgresql ដែលត្រូវរក្សាទុក។ | 10 |
default['firezone']['postgresql']['checkpoint_completion_target'] | គោលដៅបញ្ចប់ប៉ុស្តិ៍ត្រួតពិនិត្យ Postgresql ។ | 0.5 |
default['firezone']['postgresql']['checkpoint_segments'] | ចំនួនផ្នែកប៉ុស្តិ៍ត្រួតពិនិត្យ Postgresql ។ | 3 |
default['firezone']['postgresql']['checkpoint_timeout'] | ការអស់ពេលនៃប៉ុស្តិ៍ត្រួតពិនិត្យ Postgresql ។ | 5 នាទី' |
default['firezone']['postgresql']['checkpoint_warning'] | ពេលវេលាព្រមានប៉ុស្តិ៍ត្រួតពិនិត្យ Postgresql គិតជាវិនាទី។ | 30s' |
default['firezone']['postgresql']['effective_cache_size'] | ទំហំឃ្លាំងសម្ងាត់ដែលមានប្រសិទ្ធភាព Postgresql ។ | 128MB' |
default['firezone']['postgresql']['listen_address'] | Postgresql ស្តាប់អាសយដ្ឋាន។ | 127.0.0.1 " |
default['firezone']['postgresql']['max_connections'] | ការតភ្ជាប់អតិបរមា Postgresql ។ | 350 |
default['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs ដើម្បីអនុញ្ញាតឱ្យ md5 auth ។ | ['127.0.0.1/32', '::1/128'] |
លំនាំដើម['firezone']['postgresql']['port'] | ច្រកស្តាប់ Postgresql ។ | 15432 |
default['firezone']['postgresql']['shared_buffers'] | Postgresql ចែករំលែកទំហំផ្ទុក។ | “#{(node['memory']['total'].to_i / 4) / 1024}MB” |
លំនាំដើម['firezone']['postgresql']['shmmax'] | Postgresql shmmax ជាបៃ។ | 17179869184 |
លំនាំដើម['firezone']['postgresql']['shmall'] | Postgresql shmall ជាបៃ។ | 4194304 |
លំនាំដើម['firezone']['postgresql']['work_mem'] | ទំហំអង្គចងចាំដំណើរការ Postgresql ។ | 8MB' |
default['firezone']['database']['user'] | បញ្ជាក់ឈ្មោះអ្នកប្រើប្រាស់ Firezone នឹងប្រើដើម្បីភ្ជាប់ទៅ DB ។ | node['firezone']['postgresql']['username'] |
default['firezone']['database']['password'] | ប្រសិនបើប្រើ DB ខាងក្រៅ បញ្ជាក់ពាក្យសម្ងាត់ Firezone នឹងប្រើដើម្បីភ្ជាប់ទៅ DB ។ | ផ្លាស់ប្តូរ_ខ្ញុំ' |
លំនាំដើម['firezone']['database']['name'] | មូលដ្ឋានទិន្នន័យដែល Firezone នឹងប្រើ។ នឹងត្រូវបានបង្កើតប្រសិនបើវាមិនមាន។ | តំបន់ភ្លើង' |
default['firezone']['database']['host'] | ម៉ាស៊ីនមូលដ្ឋានទិន្នន័យដែល Firezone នឹងភ្ជាប់ទៅ។ | node['firezone']['postgresql']['listen_address'] |
default['firezone']['database']['port'] | ច្រកមូលដ្ឋានទិន្នន័យដែល Firezone នឹងភ្ជាប់ទៅ។ | node['firezone']['postgresql']['port'] |
លំនាំដើម['firezone']['database']['pool'] | ទំហំអាងផ្ទុកទិន្នន័យ Firezone នឹងប្រើ។ | [10, Etc.nprocessors].max |
លំនាំដើម['firezone']['database']['ssl'] | ថាតើត្រូវភ្ជាប់ទៅមូលដ្ឋានទិន្នន័យតាមរយៈ SSL ដែរឬទេ។ | មិនពិត |
default['firezone']['database']['ssl_opts'] | Hash នៃជម្រើសដើម្បីផ្ញើទៅកាន់ជម្រើស :ssl_opts នៅពេលភ្ជាប់ SSL ។ សូមមើល ឯកសារ Ecto.Adapters.Postgres. | {} |
default['firezone']['database']['parameters'] | {} | |
default['firezone']['database']['extensions'] | ផ្នែកបន្ថែមមូលដ្ឋានទិន្នន័យដើម្បីបើក។ | { 'plpgsql' => ពិត, 'pg_trgm' => ពិត } |
លំនាំដើម['firezone']['phoenix']['enabled'] | បើក ឬបិទកម្មវិធីបណ្តាញ Firezone ។ | ពិត |
លំនាំដើម['firezone']['phoenix']['listen_address'] | កម្មវិធីគេហទំព័រ Firezone ស្តាប់អាសយដ្ឋាន។ នេះនឹងជាអាសយដ្ឋានស្តាប់ចរន្តដែលប្រូកស៊ី nginx ។ | 127.0.0.1 " |
លំនាំដើម['firezone']['phoenix']['port'] | កម្មវិធីបណ្តាញ Firezone ស្តាប់ច្រក។ នេះនឹងជាច្រកខាងលើដែលប្រូកស៊ី nginx ។ | 13000 |
default['firezone']['phoenix']['log_directory'] | បញ្ជីឈ្មោះកម្មវិធីគេហទំព័រ Firezone ។ | “#{node['firezone']['log_directory']}/phoenix” |
លំនាំដើម['firezone']['phoenix']['log_rotation']['file_maxbytes'] | ទំហំឯកសារកំណត់ហេតុកម្មវិធីបណ្ដាញ Firezone ។ | 104857600 |
default['firezone']['phoenix']['log_rotation']['num_to_keep'] | ចំនួនឯកសារកំណត់ហេតុកម្មវិធីបណ្ដាញ Firezone ដែលត្រូវរក្សាទុក។ | 10 |
default['firezone']['phoenix']['crash_detection']['enabled'] | បើក ឬបិទការទម្លាក់កម្មវិធីបណ្តាញ Firezone នៅពេលរកឃើញការគាំង។ | ពិត |
default['firezone']['phoenix']['external_trusted_proxies'] | បញ្ជីនៃប្រូកស៊ីបញ្ច្រាសដែលគួរឱ្យទុកចិត្តបានធ្វើទ្រង់ទ្រាយជាអារេនៃ IP និង/ឬ CIDRs ។ | [] |
លំនាំដើម['firezone']['phoenix']['private_clients'] | បញ្ជីម៉ាស៊ីនភ្ញៀវ HTTP បណ្តាញឯកជន បានធ្វើទ្រង់ទ្រាយអារេនៃ IP និង/ឬ CIDRs ។ | [] |
default['firezone']['wireguard']['enabled'] | បើក ឬបិទការគ្រប់គ្រង WireGuard ដែលបានបាច់។ | ពិត |
default['firezone']['wireguard']['log_directory'] | ថតឯកសារសម្រាប់ការគ្រប់គ្រង WireGuard ដែលបានបាច់។ | “#{node['firezone']['log_directory']}/wireguard” |
default['firezone']['wireguard']['log_rotation']['file_maxbytes'] | ឯកសារកំណត់ហេតុ WireGuard ទំហំអតិបរមា។ | 104857600 |
default['firezone']['wireguard']['log_rotation']['num_to_keep'] | ចំនួនឯកសារកំណត់ហេតុ WireGuard ដែលត្រូវរក្សាទុក។ | 10 |
default['firezone']['wireguard']['interface_name'] | ឈ្មោះចំណុចប្រទាក់ WireGuard ។ ការផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រនេះអាចបណ្តាលឱ្យបាត់បង់បណ្តោះអាសន្នក្នុងការតភ្ជាប់ VPN ។ | wg-firezone' |
លំនាំដើម['firezone']['wireguard']['port'] | ច្រកស្តាប់ WireGuard ។ | 51820 |
លំនាំដើម['firezone']['wireguard']['mtu'] | ចំណុចប្រទាក់ WireGuard MTU សម្រាប់ម៉ាស៊ីនមេនេះ និងសម្រាប់ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍។ | 1280 |
default['firezone']['wireguard']['endpoint'] | WireGuard Endpoint ដើម្បីប្រើសម្រាប់បង្កើតការកំណត់រចនាសម្ព័ន្ធឧបករណ៍។ ប្រសិនបើគ្មានទេ វាកំណត់លំនាំដើមទៅអាសយដ្ឋាន IP សាធារណៈរបស់ម៉ាស៊ីនមេ។ | គ្មាន |
លំនាំដើម['firezone']['wireguard']['dns'] | WireGuard DNS ដើម្បីប្រើសម្រាប់ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដែលបានបង្កើត។ | 1.1.1.1, 1.0.0.1′ |
default['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs ប្រើសម្រាប់ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដែលបានបង្កើត។ | 0.0.0.0/0, ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | ការកំណត់លំនាំដើម PersistentKeepalive សម្រាប់ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ដែលបានបង្កើត។ តម្លៃ 0 បិទ។ | 0 |
default['firezone']['wireguard']['ipv4']['enabled'] | បើក ឬបិទ IPv4 សម្រាប់បណ្តាញ WireGuard ។ | ពិត |
លំនាំដើម['firezone']['wireguard']['ipv4']['masquerade'] | បើក ឬបិទការក្លែងបន្លំសម្រាប់កញ្ចប់ព័ត៌មានដែលចាកចេញពីផ្លូវរូងក្រោមដី IPv4 ។ | ពិត |
លំនាំដើម['firezone']['wireguard']['ipv4']['network'] | បណ្តុំអាសយដ្ឋាន IPv4 បណ្តាញ WireGuard ។ | ៥៨/៥៩ ′ |
លំនាំដើម['firezone']['wireguard']['ipv4']['address'] | អាសយដ្ឋាន IPv4 ចំណុចប្រទាក់ WireGuard ។ ត្រូវតែស្ថិតនៅក្នុងក្រុមអាសយដ្ឋាន WireGuard ។ | 10.3.2.1 " |
default['firezone']['wireguard']['ipv6']['enabled'] | បើក ឬបិទ IPv6 សម្រាប់បណ្តាញ WireGuard ។ | ពិត |
លំនាំដើម['firezone']['wireguard']['ipv6']['masquerade'] | បើក ឬបិទការក្លែងបន្លំសម្រាប់កញ្ចប់ព័ត៌មានដែលចាកចេញពីផ្លូវរូងក្រោមដី IPv6 ។ | ពិត |
លំនាំដើម['firezone']['wireguard']['ipv6']['network'] | បណ្តុំអាសយដ្ឋាន IPv6 បណ្តាញ WireGuard ។ | fd00::3:2:0/120′ |
លំនាំដើម['firezone']['wireguard']['ipv6']['address'] | អាសយដ្ឋាន IPv6 ចំណុចប្រទាក់ WireGuard ។ ត្រូវតែស្ថិតនៅក្នុងក្រុមអាសយដ្ឋាន IPv6 ។ | fd00::3:2:1′ |
លំនាំដើម['firezone']['runit']['svlogd_bin'] | ដំណើរការទីតាំង svlogd bin ។ | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
លំនាំដើម['firezone']['ssl']['directory'] | ថត SSL សម្រាប់រក្សាទុកវិញ្ញាបនប័ត្រដែលបានបង្កើត។ | /var/opt/firezone/ssl' |
លំនាំដើម['firezone']['ssl']['email_address'] | អាសយដ្ឋានអ៊ីមែលដែលត្រូវប្រើសម្រាប់វិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯង និងការជូនដំណឹងអំពីការបន្តពិធីការ ACME ។ | |
default['firezone']['ssl']['acme']['enabled'] | បើកដំណើរការ ACME សម្រាប់ការផ្តល់វិញ្ញាបនបត្រ SSL ដោយស្វ័យប្រវត្តិ។ បិទវាដើម្បីការពារ Nginx ពីការស្តាប់នៅលើច្រក 80។ សូមមើល នៅទីនេះ សម្រាប់ការណែនាំបន្ថែម។ | មិនពិត |
លំនាំដើម['firezone']['ssl']['acme']['server'] | ម៉ាស៊ីនមេ ACME ដើម្បីប្រើសម្រាប់ការចេញ/បន្តវិញ្ញាបនបត្រ។ អាចជាណាមួយ។ ម៉ាស៊ីនមេ acme.sh ត្រឹមត្រូវ។ | letencrypt |
លំនាំដើម['firezone']['ssl']['acme']['keylength'] | បញ្ជាក់ប្រភេទគន្លឹះ និងប្រវែងសម្រាប់វិញ្ញាបនបត្រ SSL ។ សូមមើល នៅទីនេះ | អ៊ី-២៥៦ |
លំនាំដើម['firezone']['ssl']['certificate'] | ផ្លូវទៅកាន់ឯកសារវិញ្ញាបនបត្រសម្រាប់ FQDN របស់អ្នក។ បដិសេធការកំណត់ ACME ខាងលើប្រសិនបើបានបញ្ជាក់។ ប្រសិនបើទាំង ACME និងនេះមិនមាន វិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងនឹងត្រូវបានបង្កើត។ | គ្មាន |
លំនាំដើម['firezone']['ssl']['certificate_key'] | ផ្លូវទៅកាន់ឯកសារវិញ្ញាបនបត្រ។ | គ្មាន |
លំនាំដើម['firezone']['ssl']['ssl_dparam'] | nginx ssl dh_param ។ | គ្មាន |
លំនាំដើម['firezone']['ssl']['country_name'] | ឈ្មោះប្រទេសសម្រាប់វិញ្ញាបនបត្រចុះហត្ថលេខាដោយខ្លួនឯង។ | អាមេរិក |
លំនាំដើម['firezone']['ssl']['state_name'] | ឈ្មោះរដ្ឋសម្រាប់វិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង។ | CA ' |
លំនាំដើម['firezone']['ssl']['locality_name'] | ឈ្មោះតំបន់សម្រាប់វិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង។ | សេនហ្វ្រេនស៊ីស្កូ' |
លំនាំដើម['firezone']['ssl']['company_name'] | ឈ្មោះក្រុមហ៊ុនដែលចុះហត្ថលេខាដោយខ្លួនឯង។ | ក្រុមហ៊ុនរបស់ខ្ញុំ' |
លំនាំដើម['firezone']['ssl']['organizational_unit_name'] | ឈ្មោះអង្គភាពរបស់អង្គការសម្រាប់វិញ្ញាបនប័ត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯង។ | ប្រតិបត្តិការ |
លំនាំដើម['firezone']['ssl']['ciphers'] | SSL ciphers សម្រាប់ nginx ដើម្បីប្រើ។ | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
លំនាំដើម['firezone']['ssl']['fips_ciphers'] | លេខកូដ SSL សម្រាប់របៀប FIPs ។ | FIPS@ StrengTH:!aNULL:!eNULL' |
លំនាំដើម['firezone']['ssl']['protocols'] | ពិធីការ TLS ដែលត្រូវប្រើ។ | TLSv1 TLSv1.1 TLSv1.2′ |
លំនាំដើម['firezone']['ssl']['session_cache'] | ឃ្លាំងសម្ងាត់សម័យ SSL ។ | ចែករំលែក៖ SSL: 4m' |
default['firezone']['ssl']['session_timeout'] | អស់ពេលសម័យ SSL ។ | 5m' |
លំនាំដើម['firezone']['robots_allow'] | មនុស្សយន្ត nginx អនុញ្ញាត។ | / ' |
លំនាំដើម['firezone']['robots_disallow'] | មនុស្សយន្ត nginx មិនអនុញ្ញាត។ | គ្មាន |
default['firezone']['outbound_email']['from'] | អ៊ីមែលចេញពីអាសយដ្ឋាន។ | គ្មាន |
default['firezone']['outbound_email']['provider'] | អ្នកផ្តល់សេវាអ៊ីមែលក្រៅប្រទេស។ | គ្មាន |
default['firezone']['outbound_email']['configs'] | ការកំណត់រចនាសម្ព័ន្ធអ្នកផ្តល់អ៊ីមែលក្រៅស្រុក | សូមមើល omnibus/cookbooks/firezone/attributes/default.rb |
default['firezone']['telemetry']['enabled'] | បើក ឬបិទដំណើរការទូរលេខផលិតផលអនាមិក។ | ពិត |
default['firezone']['connectivity_checks']['enabled'] | បើក ឬបិទសេវាកម្មត្រួតពិនិត្យការតភ្ជាប់ Firezone ។ | ពិត |
default['firezone']['connectivity_checks']['interval'] | ចន្លោះពេលរវាងការតភ្ជាប់ពិនិត្យគិតជាវិនាទី។ | 3_600 |
________________________________________________________________
នៅទីនេះ អ្នកនឹងឃើញបញ្ជីឯកសារ និងថតដែលទាក់ទងនឹងការដំឡើង Firezone ធម្មតា។ ទាំងនេះអាចផ្លាស់ប្តូរអាស្រ័យលើការផ្លាស់ប្តូរឯកសារកំណត់រចនាសម្ព័ន្ធរបស់អ្នក។
ផ្លូវ | បរិយាយ |
/var/opt/firezone | ថតកម្រិតកំពូលដែលមានទិន្នន័យ និងការកំណត់រចនាសម្ព័ន្ធដែលបានបង្កើតសម្រាប់សេវាកម្ម Firezone បណ្តុំ។ |
/opt/firezone | ថតកម្រិតកំពូលដែលមានបណ្ណាល័យដែលបានបង្កើត ប្រព័ន្ធគោលពីរ និងឯកសារពេលដំណើរការដែលត្រូវការដោយ Firezone ។ |
/usr/bin/firezone-ctl | ឧបករណ៍ប្រើប្រាស់ firezone-ctl សម្រាប់គ្រប់គ្រងការដំឡើង Firezone របស់អ្នក។ |
/etc/systemd/system/firezone-runsvdir-start.service | ឯកសារឯកតា systemd សម្រាប់ចាប់ផ្តើមដំណើរការ Firezone runsvdir supervisor ។ |
/etc/firezone | ឯកសារកំណត់រចនាសម្ព័ន្ធ Firezone ។ |
__________________________________________________________
ទំព័រនេះទទេនៅក្នុងឯកសារ
_____________________________________________________________
គំរូជញ្ជាំងភ្លើង nftables ខាងក្រោមអាចត្រូវបានប្រើដើម្បីធានាម៉ាស៊ីនមេដែលកំពុងដំណើរការ Firezone ។ គំរូធ្វើឱ្យមានការសន្មត់មួយចំនួន; អ្នកប្រហែលជាត្រូវកែសម្រួលច្បាប់ឱ្យសមស្របនឹងករណីប្រើប្រាស់របស់អ្នក៖
Firezone កំណត់រចនាសម្ព័ន្ធច្បាប់ nftables ផ្ទាល់ខ្លួនដើម្បីអនុញ្ញាត/បដិសេធចរាចរណ៍ទៅកាន់គោលដៅដែលបានកំណត់រចនាសម្ព័ន្ធនៅក្នុងចំណុចប្រទាក់បណ្ដាញ និងដើម្បីគ្រប់គ្រង NAT ខាងក្រៅសម្រាប់ចរាចរណ៍អតិថិជន។
ការអនុវត្តគំរូជញ្ជាំងភ្លើងខាងក្រោមនៅលើម៉ាស៊ីនមេដែលកំពុងដំណើរការរួចហើយ (មិនមែននៅពេលចាប់ផ្ដើម) នឹងនាំឱ្យច្បាប់ Firezone ត្រូវបានជម្រះ។ វាអាចមានផលប៉ះពាល់ផ្នែកសុវត្ថិភាព។
ដើម្បីដោះស្រាយបញ្ហានេះ ចាប់ផ្តើមសេវាកម្ម phoenix ឡើងវិញ៖
firezone-ctl ចាប់ផ្តើម phoenix ឡើងវិញ
#!/usr/sbin/nft -f
## ជម្រះ/លុបច្បាប់ដែលមានស្រាប់ទាំងអស់។
ច្បាប់នៃការហូរចេញ
####################################################### ###############
## ឈ្មោះចំណុចប្រទាក់អ៊ីនធឺណិត / WAN
កំណត់ DEV_WAN = eth0
## ឈ្មោះចំណុចប្រទាក់ WireGuard
កំណត់ DEV_WIREGUARD = wg-firezone
## ច្រកស្តាប់ WireGuard
កំណត់ WIREGUARD_PORT = 51820
############################## VARIABLES END ################## ############
# តារាងតម្រងគ្រួសារ inet ចម្បង
តម្រង inet តារាង {
# ច្បាប់សម្រាប់ចរាចរណ៍បញ្ជូនបន្ត
# ខ្សែសង្វាក់នេះត្រូវបានដំណើរការមុនពេលខ្សែសង្វាក់បញ្ជូនបន្ត Firezone
ខ្សែសង្វាក់ទៅមុខ {
ប្រភេទតម្រង តម្រងអាទិភាព ឆ្ពោះទៅមុខ - 5; គោលនយោបាយទទួលយក
}
# ច្បាប់សម្រាប់ចរាចរណ៍បញ្ចូល
ការបញ្ចូលខ្សែសង្វាក់ {
ប្រភេទតម្រង ទំពក់បញ្ចូលតម្រងអាទិភាព; ការធ្លាក់ចុះគោលនយោបាយ
## អនុញ្ញាតឱ្យចរាចរចូលទៅកាន់ចំណុចប្រទាក់រង្វិលជុំ
iif lo \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតចរាចរណ៍ទាំងអស់ចេញពីចំណុចប្រទាក់រង្វិលជុំ"
## អនុញ្ញាតឱ្យបង្កើត និងការតភ្ជាប់ដែលពាក់ព័ន្ធ
រដ្ឋ ct ត្រូវបានបង្កើតឡើង ពាក់ព័ន្ធ \\
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតឱ្យបង្កើត/ភ្ជាប់ទំនាក់ទំនង"
## អនុញ្ញាតឱ្យចរាចរណ៍ WireGuard ចូល
អាយ $DEV_WAN udp dport $WIREGUARD_PORT \
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតឱ្យចរាចរណ៍ WireGuard ចូល"
## ចូល ហើយទម្លាក់កញ្ចប់ TCP ថ្មីដែលមិនមែនជា SYN
ទង់ tcp != syn ct state ថ្មី \\
អត្រាកំណត់ 100/ នាទីផ្ទុះ 150 កញ្ចប់ \
បុព្វបទកំណត់ហេតុ “IN – ថ្មី !SYN៖” \
ការអត្ថាធិប្បាយ "ការកត់ត្រាដែនកំណត់អត្រាសម្រាប់ការតភ្ជាប់ថ្មីដែលមិនមានកំណត់ទង់ SYN TCP"
ទង់ tcp != syn ct state ថ្មី \\
បញ្ជរ \
ទម្លាក់ \\
ការអត្ថាធិប្បាយ "ទម្លាក់ការតភ្ជាប់ថ្មីដែលមិនបានកំណត់ទង់ SYN TCP"
## កត់ត្រា និងទម្លាក់កញ្ចប់ TCP ជាមួយនឹងសំណុំទង់ fin/syn មិនត្រឹមត្រូវ
ទង់ tcp & (fin|syn) == (fin|syn) \\
អត្រាកំណត់ 100/ នាទីផ្ទុះ 150 កញ្ចប់ \
បុព្វបទកំណត់ហេតុ “IN – TCP FIN|SIN៖” \
ការអត្ថាធិប្បាយ "ការកត់ត្រាដែនកំណត់អត្រាសម្រាប់កញ្ចប់ TCP ជាមួយនឹងការកំណត់ទង់ fin/syn មិនត្រឹមត្រូវ"
ទង់ tcp & (fin|syn) == (fin|syn) \\
បញ្ជរ \
ទម្លាក់ \\
ការអត្ថាធិប្បាយ "ទម្លាក់កញ្ចប់ TCP ជាមួយនឹងសំណុំទង់ fin/syn មិនត្រឹមត្រូវ"
## កត់ត្រា និងទម្លាក់កញ្ចប់ TCP ជាមួយនឹងការកំណត់ទង់ syn/rst មិនត្រឹមត្រូវ
ទង់ tcp & (syn|rst) == (syn|rst) \\
អត្រាកំណត់ 100/ នាទីផ្ទុះ 150 កញ្ចប់ \
បុព្វបទកំណត់ហេតុ “IN – TCP SYN|RST៖” \
ការអត្ថាធិប្បាយ "ការកត់ត្រាដែនកំណត់អត្រាសម្រាប់កញ្ចប់ TCP ជាមួយនឹងការកំណត់ទង់ syn/rst មិនត្រឹមត្រូវ"
ទង់ tcp & (syn|rst) == (syn|rst) \\
បញ្ជរ \
ទម្លាក់ \\
ការអត្ថាធិប្បាយ "ទម្លាក់កញ្ចប់ TCP ជាមួយនឹងសំណុំទង់ syn/rst មិនត្រឹមត្រូវ"
## កត់ត្រា ហើយទម្លាក់ទង់ TCP មិនត្រឹមត្រូវ
ទង់ tcp & (fin|syn|rst|psh|ack|urg) < (fin) \
អត្រាកំណត់ 100/ នាទីផ្ទុះ 150 កញ្ចប់ \
បុព្វបទកំណត់ហេតុ “IN-FIN៖” \
ការអត្ថាធិប្បាយ "ការកត់ត្រាដែនកំណត់អត្រាសម្រាប់ទង់ TCP មិនត្រឹមត្រូវ (fin|syn|rst|psh|ack|urg) < (fin)"
ទង់ tcp & (fin|syn|rst|psh|ack|urg) < (fin) \
បញ្ជរ \
ទម្លាក់ \\
ការអត្ថាធិប្បាយ "ទម្លាក់កញ្ចប់ TCP ដែលមានទង់ (fin|syn|rst|psh|ack|urg) < (fin)"
## កត់ត្រា ហើយទម្លាក់ទង់ TCP មិនត្រឹមត្រូវ
ទង់ tcp & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \\
អត្រាកំណត់ 100/ នាទីផ្ទុះ 150 កញ្ចប់ \
បុព្វបទកំណត់ហេតុ “IN – FIN|PSH|URG៖” \
ការអត្ថាធិប្បាយ "ការកត់ត្រាដែនកំណត់អត្រាសម្រាប់ទង់ TCP មិនត្រឹមត្រូវ (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
ទង់ tcp & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \\
បញ្ជរ \
ទម្លាក់ \\
ការអត្ថាធិប្បាយ "ទម្លាក់កញ្ចប់ TCP ដែលមានទង់ (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## ទម្លាក់ចរាចរណ៍ជាមួយនឹងស្ថានភាពតភ្ជាប់មិនត្រឹមត្រូវ
ct រដ្ឋមិនត្រឹមត្រូវ \\
អត្រាកំណត់ 100/ នាទីផ្ទុះ 150 កញ្ចប់ \
ទង់កំណត់បុព្វបទទាំងអស់។ “IN – មិនត្រឹមត្រូវ៖” \
ការអត្ថាធិប្បាយ "ការកត់ត្រាដែនកំណត់អត្រាសម្រាប់ចរាចរណ៍ជាមួយនឹងស្ថានភាពតភ្ជាប់មិនត្រឹមត្រូវ"
ct រដ្ឋមិនត្រឹមត្រូវ \\
បញ្ជរ \
ទម្លាក់ \\
ការអត្ថាធិប្បាយ "ទម្លាក់ចរាចរណ៍ជាមួយនឹងស្ថានភាពតភ្ជាប់មិនត្រឹមត្រូវ"
## អនុញ្ញាតឱ្យមានការឆ្លើយតប ping/ping IPv4 ប៉ុន្តែអត្រាកំណត់ត្រឹម 2000 PPS
ip ពិធីការ icmp ប្រភេទ icmp { ការឆ្លើយតបអេកូ សំណើអេកូ } \
អត្រាកំណត់ 2000/ វិនាទី \\
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ “អនុញ្ញាត IPv4 បន្ទរ (ping) ចូលមានកំណត់ត្រឹម 2000 PPS”
## អនុញ្ញាត IPv4 ICMP ចូលផ្សេងទៀតទាំងអស់។
ip ពិធីការ icmp \\
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាត IPv4 ICMP ផ្សេងទៀតទាំងអស់"
## អនុញ្ញាតឱ្យមានការឆ្លើយតប ping/ping IPv6 ប៉ុន្តែអត្រាកំណត់ត្រឹម 2000 PPS
ប្រភេទ icmpv6 { ឆ្លើយតបអេកូ សំណើអេកូ } \\
អត្រាកំណត់ 2000/ វិនាទី \\
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ “អនុញ្ញាត IPv6 បន្ទរ (ping) ចូលមានកំណត់ត្រឹម 2000 PPS”
## អនុញ្ញាត IPv6 ICMP ចូលផ្សេងទៀតទាំងអស់។
meta l4proto { icmpv6 } \\
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាត IPv6 ICMP ផ្សេងទៀតទាំងអស់"
## អនុញ្ញាតឱ្យច្រកចូល traceroute UDP ប៉ុន្តែកំណត់ត្រឹម 500 PPS
udp dport 33434-33524 \\
អត្រាកំណត់ 500/ វិនាទី \\
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតឱ្យចូល UDP traceroute កំណត់ត្រឹម 500 PPS"
## អនុញ្ញាត SSH ចូល
tcp dport ssh ct រដ្ឋថ្មី \\
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ “អនុញ្ញាតការតភ្ជាប់ SSH ចូល”
## អនុញ្ញាត HTTP និង HTTPS ចូល
tcp dport { http, https } ct state new \
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតការភ្ជាប់ HTTP និង HTTPS ចូល"
## កត់ត្រាចរាចរណ៍ដែលមិនផ្គូផ្គង ប៉ុន្តែអត្រាកំណត់ការកត់ត្រារហូតដល់អតិបរមា 60 សារ/នាទី
## គោលការណ៍លំនាំដើមនឹងត្រូវបានអនុវត្តចំពោះចរាចរណ៍ដែលមិនផ្គូផ្គង
អត្រាកំណត់ 60/ នាទីផ្ទុះ 100 កញ្ចប់ \
បុព្វបទកំណត់ហេតុ "ចូល-ទម្លាក់៖" \
ការអត្ថាធិប្បាយ "កត់ត្រាចរាចរណ៍ដែលមិនផ្គូផ្គងណាមួយ"
## រាប់ចំនួនចរាចរណ៍ដែលមិនធ្លាប់មាន
បញ្ជរ \
ការអត្ថាធិប្បាយ "រាប់ចំនួនចរាចរណ៍ដែលមិនផ្គូផ្គង"
}
# ច្បាប់សម្រាប់ចរាចរណ៍ទិន្នផល
ទិន្នផលខ្សែសង្វាក់ {
ប្រភេទ តម្រង ទំពក់ តម្រង អាទិភាព ទិន្នផល; ការធ្លាក់ចុះគោលនយោបាយ
## អនុញ្ញាតឱ្យចរាចរណ៍ចេញទៅកាន់ចំណុចប្រទាក់រង្វិលជុំ
Oif lo \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតឱ្យចរាចរទាំងអស់ចេញទៅចំណុចប្រទាក់រង្វិលជុំ"
## អនុញ្ញាតឱ្យបង្កើត និងការតភ្ជាប់ដែលពាក់ព័ន្ធ
រដ្ឋ ct ត្រូវបានបង្កើតឡើង ពាក់ព័ន្ធ \\
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតឱ្យបង្កើត/ភ្ជាប់ទំនាក់ទំនង"
## អនុញ្ញាតឱ្យចរាចរណ៍ WireGuard ចេញក្រៅ មុនពេលទម្លាក់ការតភ្ជាប់ជាមួយនឹងស្ថានភាពមិនល្អ
oif $DEV_WAN កីឡា udp $WIREGUARD_PORT \
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតឱ្យ WireGuard ចរាចរណ៍ចេញក្រៅ"
## ទម្លាក់ចរាចរណ៍ជាមួយនឹងស្ថានភាពតភ្ជាប់មិនត្រឹមត្រូវ
ct រដ្ឋមិនត្រឹមត្រូវ \\
អត្រាកំណត់ 100/ នាទីផ្ទុះ 150 កញ្ចប់ \
ទង់កំណត់បុព្វបទទាំងអស់។ "ចេញ - មិនត្រឹមត្រូវ៖" \
ការអត្ថាធិប្បាយ "ការកត់ត្រាដែនកំណត់អត្រាសម្រាប់ចរាចរណ៍ជាមួយនឹងស្ថានភាពតភ្ជាប់មិនត្រឹមត្រូវ"
ct រដ្ឋមិនត្រឹមត្រូវ \\
បញ្ជរ \
ទម្លាក់ \\
ការអត្ថាធិប្បាយ "ទម្លាក់ចរាចរណ៍ជាមួយនឹងស្ថានភាពតភ្ជាប់មិនត្រឹមត្រូវ"
## អនុញ្ញាត IPv4 ICMP ខាងក្រៅផ្សេងទៀត។
ip ពិធីការ icmp \\
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតគ្រប់ប្រភេទ IPv4 ICMP"
## អនុញ្ញាត IPv6 ICMP ខាងក្រៅផ្សេងទៀត។
meta l4proto { icmpv6 } \\
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតគ្រប់ប្រភេទ IPv6 ICMP"
## អនុញ្ញាតឱ្យច្រក UDP traceroute ចេញក្រៅ ប៉ុន្តែកំណត់ត្រឹម 500 PPS
udp dport 33434-33524 \\
អត្រាកំណត់ 500/ វិនាទី \\
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតឱ្យចេញដំណើរ UDP traceroute កំណត់ត្រឹម 500 PPS"
## អនុញ្ញាតឱ្យមានការតភ្ជាប់ HTTP និង HTTPS ខាងក្រៅ
tcp dport { http, https } ct state new \
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតការតភ្ជាប់ HTTP និង HTTPS ចេញ"
## អនុញ្ញាតការបញ្ជូន SMTP ចេញក្រៅ
tcp dport ដាក់ស្នើ ct state ថ្មី \
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតការបញ្ជូន SMTP ក្រៅប្រទេស"
## អនុញ្ញាតសំណើ DNS ខាងក្រៅ
udp dport 53 \
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតឱ្យសំណើ DNS របស់ UDP ចេញ"
tcp dport 53 \
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតឱ្យសំណើ DNS របស់ TCP ចេញ"
## អនុញ្ញាតសំណើ NTP ក្រៅប្រទេស
udp dport 123 \
បញ្ជរ \
ទទួលយក \
ការអត្ថាធិប្បាយ "អនុញ្ញាតសំណើរ NTP ក្រៅប្រទេស"
## កត់ត្រាចរាចរណ៍ដែលមិនផ្គូផ្គង ប៉ុន្តែអត្រាកំណត់ការកត់ត្រារហូតដល់អតិបរមា 60 សារ/នាទី
## គោលការណ៍លំនាំដើមនឹងត្រូវបានអនុវត្តចំពោះចរាចរណ៍ដែលមិនផ្គូផ្គង
អត្រាកំណត់ 60/ នាទីផ្ទុះ 100 កញ្ចប់ \
បុព្វបទកំណត់ហេតុ "ចេញ - ទម្លាក់៖" \
ការអត្ថាធិប្បាយ "កត់ត្រាចរាចរណ៍ដែលមិនផ្គូផ្គងណាមួយ"
## រាប់ចំនួនចរាចរណ៍ដែលមិនធ្លាប់មាន
បញ្ជរ \
ការអត្ថាធិប្បាយ "រាប់ចំនួនចរាចរណ៍ដែលមិនផ្គូផ្គង"
}
}
# តារាងតម្រង NAT ចម្បង
តារាង inet nat {
# ច្បាប់សម្រាប់ចរាចរណ៍ NAT ជាមុន
ខ្សែសង្វាក់ prerouting {
ប្រភេទ nat hook prerouting អាទិភាព dstnat; គោលនយោបាយទទួលយក
}
# ច្បាប់សម្រាប់ចរាចរណ៍ NAT ក្រោយផ្លូវ
# តារាងនេះត្រូវបានដំណើរការមុនពេលខ្សែសង្វាក់ក្រោយការបញ្ជូនបន្តរបស់ Firezone
ការបញ្ជូនបន្តខ្សែសង្វាក់ {
វាយ nat hook postrouting អាទិភាព srcnat – 5; គោលនយោបាយទទួលយក
}
}
ជញ្ជាំងភ្លើងគួរតែត្រូវបានរក្សាទុកនៅក្នុងទីតាំងពាក់ព័ន្ធសម្រាប់ការចែកចាយលីនុចដែលកំពុងដំណើរការ។ សម្រាប់ Debian/Ubuntu នេះគឺ /etc/nftables.conf ហើយសម្រាប់ RHEL នេះគឺជា /etc/sysconfig/nftables.conf ។
nftables.service នឹងចាំបាច់ត្រូវកំណត់រចនាសម្ព័ន្ធដើម្បីចាប់ផ្តើមនៅពេលចាប់ផ្ដើម (ប្រសិនបើមិនទាន់មាន) កំណត់៖
systemctl បើក nftables.service
ប្រសិនបើធ្វើការផ្លាស់ប្តូរណាមួយចំពោះគំរូជញ្ជាំងភ្លើង វាក្យសម្ព័ន្ធអាចត្រូវបានបញ្ជាក់ដោយដំណើរការពាក្យបញ្ជាពិនិត្យ៖
nft -f /path/to/nftables.conf -c
ត្រូវប្រាកដថាធ្វើឱ្យជញ្ជាំងភ្លើងដំណើរការដូចការរំពឹងទុក ព្រោះលក្ខណៈពិសេសមួយចំនួនរបស់ nftables ប្រហែលជាមិនមានទេ អាស្រ័យលើការចេញផ្សាយដែលកំពុងដំណើរការនៅលើម៉ាស៊ីនមេ។
_______________________________________________________________
ឯកសារនេះបង្ហាញពីទិដ្ឋភាពទូទៅនៃ telemetry Firezone ប្រមូលពី instance ដែលបង្ហោះដោយខ្លួនឯង និងរបៀបបិទវា។
តំបន់ភ្លើង បានជួបប្រជុំគ្នាជាបន្តបន្ទាប់ នៅលើ telemetry ដើម្បីកំណត់អាទិភាពផែនទីបង្ហាញផ្លូវរបស់យើង និងបង្កើនប្រសិទ្ធភាពធនធានវិស្វកម្ម យើងត្រូវធ្វើឱ្យ Firezone កាន់តែប្រសើរឡើងសម្រាប់អ្នករាល់គ្នា។
តេឡេម៉ែត្រដែលយើងប្រមូលមានគោលបំណងឆ្លើយសំណួរខាងក្រោម៖
មានកន្លែងសំខាន់ៗចំនួនបីដែលតេឡេម៉ែត្រត្រូវបានប្រមូលនៅក្នុង Firezone៖
នៅក្នុងបរិបទនីមួយៗនៃទាំងបីនេះ យើងចាប់យកចំនួនអប្បបរមានៃទិន្នន័យដែលចាំបាច់ដើម្បីឆ្លើយសំណួរនៅក្នុងផ្នែកខាងលើ។
អ៊ីមែលអ្នកគ្រប់គ្រងត្រូវបានប្រមូលបានលុះត្រាតែអ្នកជ្រើសរើសចូលក្នុងការអាប់ដេតផលិតផលយ៉ាងច្បាស់។ បើមិនដូច្នោះទេ ព័ត៌មានដែលអាចកំណត់អត្តសញ្ញាណបានផ្ទាល់ខ្លួន មិនដែល ប្រមូល។
Firezone រក្សាទុក telemetry នៅក្នុងករណីដែលបង្ហោះដោយខ្លួនឯងនៃ PostHog ដែលដំណើរការនៅក្នុងចង្កោម Kubernetes ឯកជន ដែលអាចចូលប្រើបានដោយក្រុម Firezone ប៉ុណ្ណោះ។ នេះគឺជាឧទាហរណ៍នៃព្រឹត្តិការណ៍ telemetry ដែលត្រូវបានផ្ញើពីឧទាហរណ៍ Firezone របស់អ្នកទៅកាន់ម៉ាស៊ីនមេ telemetry របស់យើង៖
{
ទៅ: “0182272d-0b88-0000-d419-7b9a413713f1”,
"ត្រាពេលវេលា": “2022-07-22T18:30:39.748000+00:00”,
"ព្រឹត្តិការណ៍": “fz_http_started”,
“distinct_id”: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"លក្ខណៈសម្បត្តិ"៖ {
“$geoip_city_name”: "Ashburn",
“$geoip_continent_code”: “NA”,
“$geoip_continent_name”: "អាមេរិកខាងជើង",
“$geoip_country_code”: "អាមេរិក",
“$geoip_country_name”: "សហរដ្ឋអាមេរិក",
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
“$geoip_subdivision_1_code”: “VA”,
“$geoip_subdivision_1_name”: “វឺជីនៀ”,
“$geoip_time_zone”: “អាមេរិក/ញូវ_យ៉ក”,
“$ip”: "52.200.241.107",
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”៖ [
“GeoIP (3)”
],
“distinct_id”: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
“កំណែខឺណែល”: "លីនុច 5.13.0",
"កំណែ": "0.4.6"
},
"ធាតុ_ខ្សែសង្វាក់": ""
}
ចំណាំ
ក្រុមអភិវឌ្ឍន៍ Firezone បានជួបប្រជុំគ្នាជាបន្តបន្ទាប់ លើការវិភាគផលិតផលដើម្បីធ្វើឱ្យ Firezone កាន់តែប្រសើរឡើងសម្រាប់អ្នករាល់គ្នា។ ការចាកចេញពីការបើក telemetry គឺជាការរួមចំណែកដ៏មានតម្លៃបំផុតតែមួយគត់ដែលអ្នកអាចធ្វើបានចំពោះការអភិវឌ្ឍន៍របស់ Firezone ។ ដែលបាននិយាយថា យើងយល់ថាអ្នកប្រើប្រាស់មួយចំនួនមានតម្រូវការឯកជនភាព ឬសុវត្ថិភាពខ្ពស់ជាង ហើយចង់បិទការបញ្ជូនតេឡេមេតូទាំងស្រុង។ ប្រសិនបើនោះជាអ្នក សូមបន្តអាន។
Telemetry ត្រូវបានបើកតាមលំនាំដើម។ ដើម្បីបិទដំណើរការទូរលេខផលិតផលទាំងស្រុង សូមកំណត់ជម្រើសនៃការកំណត់រចនាសម្ព័ន្ធខាងក្រោមទៅជាមិនពិតនៅក្នុង /etc/firezone/firezone.rb ហើយដំណើរការ sudo firezone-ctl កំណត់រចនាសម្ព័ន្ធឡើងវិញដើម្បីទទួលយកការផ្លាស់ប្តូរ។
លំនាំដើម['តំបន់ភ្លើង']['ទូរលេខ']['បានបើក'] = ។ មិនពិត
វានឹងបិទទាំងស្រុង telemetry ផលិតផលទាំងអស់។