Firezone GUI ဖြင့် Halbytes VPN ကို အသုံးပြုရန်အတွက် အဆင့်ဆင့် ညွှန်ကြားချက်များကို ဤနေရာတွင် ပေးထားပါသည်။
စီမံခန့်ခွဲသူ- ဆာဗာ ဖြစ်ရပ်ကို စနစ်ထည့်သွင်းခြင်းသည် ဤအပိုင်းနှင့် တိုက်ရိုက်သက်ဆိုင်ပါသည်။
အသုံးပြုသူလမ်းညွှန်များ- Firezone ကိုအသုံးပြုပုံနှင့် ပုံမှန်ပြဿနာများကိုဖြေရှင်းနည်းကို သင်ပေးနိုင်သည့် အထောက်အကူဖြစ်စေသောစာရွက်စာတမ်းများ။ ဆာဗာကို အောင်မြင်စွာ အသုံးချပြီးနောက်၊ ဤကဏ္ဍကို ကိုးကားပါ။
Split Tunneling- သတ်မှတ်ထားသော IP အပိုင်းများသို့သာ လမ်းကြောင်းများပို့ရန် VPN ကိုသုံးပါ။
အဖြူရောင်စာရင်းသွင်းခြင်း- ခွင့်ပြုထားသောစာရင်းကိုအသုံးပြုရန်အတွက် VPN ဆာဗာ၏တည်ငြိမ် IP လိပ်စာကို သတ်မှတ်ပါ။
ပြောင်းပြန်ဥမင်လိုဏ်ခေါင်းများ- ပြောင်းပြန်ဥမင်လိုဏ်ခေါင်းများကို အသုံးပြု၍ သက်တူရွယ်တူအများအပြားကြားတွင် ဥမင်လိုဏ်ခေါင်းများဖန်တီးပါ။
Hailbytes VPN ကို ထည့်သွင်းခြင်း၊ စိတ်ကြိုက်ပြင်ဆင်ခြင်း သို့မဟုတ် အသုံးပြုခြင်းအတွက် အကူအညီလိုအပ်ပါက သင့်ကိုကူညီရန် ကျွန်ုပ်တို့ ဝမ်းမြောက်မိပါသည်။
အသုံးပြုသူများသည် စက်ပစ္စည်းဖွဲ့စည်းမှုပုံစံဖိုင်များကို မထုတ်လုပ်မီ သို့မဟုတ် ဒေါင်းလုဒ်မလုပ်မီ၊ အထောက်အထားစိစစ်မှု လိုအပ်ရန်အတွက် Firezone ကို ပြင်ဆင်သတ်မှတ်နိုင်သည်။ အသုံးပြုသူများသည် ၎င်းတို့၏ VPN ချိတ်ဆက်မှုကို ဆက်လက်အသက်ဝင်နေစေရန်အတွက် အခါအားလျော်စွာ ပြန်လည်အထောက်အထားပြရန် လိုအပ်ပါသည်။
Firezone ၏ မူရင်းအကောင့်ဝင်နည်းလမ်းသည် ဒေသတွင်းအီးမေးလ်နှင့် စကားဝှက်ဖြစ်သော်လည်း၊ ၎င်းကို စံသတ်မှတ်ထားသော OpenID Connect (ODC) အထောက်အထားပေးသူနှင့်လည်း ပေါင်းစပ်နိုင်သည်။ ယခုအခါ အသုံးပြုသူများသည် ၎င်းတို့၏ Okta၊ Google၊ Azure AD သို့မဟုတ် သီးသန့်အထောက်အထားပံ့ပိုးပေးသူအထောက်အထားများကို အသုံးပြု၍ Firezone သို့ ဝင်ရောက်နိုင်ပါပြီ။
ယေဘူယျ OIDC ပံ့ပိုးပေးသူကို ပေါင်းစည်းပါ။
OODC ဝန်ဆောင်မှုပေးသူကို အသုံးပြု၍ SSO ကိုခွင့်ပြုရန် Firezone မှ လိုအပ်သော configuration parameters များကို အောက်ဖော်ပြပါ ဥပမာတွင် ပြထားသည်။ /etc/firezone/firezone.rb တွင်၊ configuration file ကိုသင်တွေ့နိုင်သည်။ အပလီကေးရှင်းကို အပ်ဒိတ်လုပ်ပြီး အပြောင်းအလဲများ အကျိုးသက်ရောက်စေရန် firezone-ctl ပြန်လည်ပြင်ဆင်ပြီး firezone-ctl ပြန်လည်စတင်ပါ။
# ဤသည်မှာ Google နှင့် Okta ကို SSO အထောက်အထားပံ့ပိုးပေးသူအဖြစ် အသုံးပြုထားသော ဥပမာတစ်ခုဖြစ်သည်။
# ODC configs များစွာကို တူညီသော Firezone ဥပမာတွင် ထည့်သွင်းနိုင်သည်။
# Firezone သည် အမှားအယွင်းတစ်စုံတစ်ရာတွေ့ရှိပါက အသုံးပြုသူ၏ VPN ကို ပိတ်နိုင်သည်။
# ၎င်းတို့၏ access_token ကို ပြန်လည်စတင်ရန်။ ၎င်းသည် Google၊ Okta နှင့် အလုပ်လုပ်ရန် အတည်ပြုထားသည်။
# Azure SSO သည် ၎င်းတို့ကို ဖယ်ရှားပါက အသုံးပြုသူ၏ VPN ကို အလိုအလျောက်ဖြတ်တောက်ရန် အသုံးပြုသည်။
# ODC ဝန်ဆောင်မှုပေးသူမှ။ သင်၏ OIDC ပံ့ပိုးပေးသူရှိပါက ၎င်းကိုပိတ်ထားပါ။
# သည် မမျှော်လင့်ဘဲ နှောင့်ယှက်နိုင်သောကြောင့် အသုံးပြုခွင့် တိုကင်များကို ပြန်လည်စတင်ရန် ပြဿနာများ ရှိသည်။
သုံးစွဲသူ # ဦး၏ VPN စက်ရှင်။
မူရင်း['firezone']['authentication']['disable_vpn_on_oidc_error'] = အမှား
default['firezone']['authentication']['oidc'] = {
google- {
discovery_document_uri- “https://accounts.google.com/.well-known/openid-configuration”၊
client_id- " ”၊
ဖောက်သည်_လျှို့ဝှက်ချက်- " ”၊
redirect_uri- “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”၊
တုံ့ပြန်မှု_အမျိုးအစား- "ကုဒ်"၊
နယ်ပယ်- “ဖွင့်ထားသော အီးမေးလ်ပရိုဖိုင်”၊
အညွှန်း- "Google"
},
okta: {
discovery_document_uri- "https:// /.well-known/openid-configuration"၊
client_id- " ”၊
ဖောက်သည်_လျှို့ဝှက်ချက်- " ”၊
redirect_uri- “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”၊
တုံ့ပြန်မှု_အမျိုးအစား- "ကုဒ်"၊
နယ်ပယ်- “ဖွင့်ထားသော အီးမေးလ်ပရိုဖိုင် အော့ဖ်လိုင်း_ဝင်ရောက်မှု”၊
အညွှန်း- "Okta"
}
}
ပေါင်းစည်းမှုအတွက် အောက်ပါ config ဆက်တင်များ လိုအပ်သည်-
ODC ဝန်ဆောင်မှုပေးသူတိုင်းအတွက် သက်ဆိုင်ရာ လှပသော URL ကို စီစဉ်သတ်မှတ်ထားသော ဝန်ဆောင်မှုပေးသူ၏ လက်မှတ်ထိုးဝင်ခြင်း URL သို့ ပြန်ညွှန်းရန်အတွက် ဖန်တီးထားသည်။ အထက်ဖော်ပြပါ ODC config ဥပမာအတွက်၊ URL များသည်-
ကျွန်ုပ်တို့အတွက် စာရွက်စာတမ်းများ ပံ့ပိုးပေးသူများ ရှိသည်-
သင့်အထောက်အထားပံ့ပိုးပေးသူတွင် ယေဘူယျ OIDC ချိတ်ဆက်ကိရိယာတစ်ခုရှိပြီး အထက်တွင်ဖော်ပြထားခြင်းမရှိပါက၊ လိုအပ်သောဖွဲ့စည်းပုံဆက်တင်များကို မည်သို့ပြန်လည်ရယူရမည်ကို သိရှိရန်အတွက် ၎င်းတို့၏စာရွက်စာတမ်းကိုသွားပါ။
အချိန်အခါအလိုက် ပြန်လည်စစ်မှန်ကြောင်းအထောက်အထားလိုအပ်ရန် ဆက်တင်များ/လုံခြုံရေးအောက်ရှိ ဆက်တင်ကို ပြောင်းလဲနိုင်သည်။ သုံးစွဲသူများသည် ၎င်းတို့၏ VPN ဆက်ရှင်ကို ဆက်လက်လုပ်ဆောင်ရန်အတွက် Firezone ထဲသို့ ပုံမှန်ဝင်ရောက်သည့် လိုအပ်ချက်ကို တွန်းအားပေးရန်အတွက် ၎င်းကို အသုံးပြုနိုင်သည်။
စက်ရှင်ကြာချိန်ကို တစ်နာရီမှ ရက်ကိုးဆယ်ကြားတွင် သတ်မှတ်နိုင်သည်။ ၎င်းကို Never ဟု သတ်မှတ်ခြင်းဖြင့်၊ သင်သည် VPN ဆက်ရှင်များကို အချိန်မရွေး ဖွင့်နိုင်ပါသည်။ ဒါက စံနှုန်းပါ။
အသုံးပြုသူတစ်ဦးသည် ၎င်းတို့၏ VPN စက်ရှင်ကို ရပ်ဆိုင်းပြီး သက်တမ်းကုန်ဆုံးသွားသော VPN စက်ရှင် (အသုံးပြုနေစဉ် သတ်မှတ်ထားသည့် URL) ကို ပြန်လည်အထောက်အထားပြရန်အတွက် Firezone ပေါ်တယ်သို့ ဝင်ရောက်ရပါမည်။
ဤနေရာတွင်တွေ့ရှိရသော တိကျသော client ညွှန်ကြားချက်များကို လိုက်နာခြင်းဖြင့် သင်၏ session ကို ပြန်လည် စစ်မှန်ကြောင်း အတည်ပြုနိုင်ပါသည်။
VPN ချိတ်ဆက်မှုအခြေအနေ
အသုံးပြုသူများစာမျက်နှာ၏ VPN ချိတ်ဆက်မှုဇယားကော်လံသည် အသုံးပြုသူ၏ချိတ်ဆက်မှုအခြေအနေကိုပြသသည်။ ဤအရာများသည် ချိတ်ဆက်မှုအခြေအနေများဖြစ်သည်-
Enabled – ချိတ်ဆက်မှုကို ဖွင့်ထားသည်။
ပိတ်ထားသည် - စီမံခန့်ခွဲသူ သို့မဟုတ် ODC ပြန်လည်ဆန်းသစ်မှု မအောင်မြင်ပါက ချိတ်ဆက်မှုကို ပိတ်ထားသည်။
သက်တမ်းကုန်သွားပြီ – အထောက်အထားစိစစ်ခြင်း သက်တမ်းကုန်ဆုံးသွားခြင်းကြောင့် သို့မဟုတ် အသုံးပြုသူတစ်ဦးမှ ပထမဆုံးအကြိမ် အကောင့်ဝင်ခြင်းမပြုခြင်းကြောင့် ချိတ်ဆက်မှုကို ပိတ်ထားသည်။
အထွေထွေ ODC ချိတ်ဆက်ကိရိယာမှတစ်ဆင့် Firezone သည် Google Workspace နှင့် Cloud Identity ဖြင့် Single Sign-On (SSO) ကို ဖွင့်ပေးသည်။ ဤလမ်းညွှန်ချက်သည် ပေါင်းစပ်မှုအတွက် လိုအပ်သော အောက်ဖော်ပြပါ configuration parameters များကို မည်သို့ရယူရမည်နည်း။
1. OAuth Config မျက်နှာပြင်
အကယ်၍ သင်သည် OAuth ကလိုင်းယင့် ID အသစ်ကို ပထမဆုံးအကြိမ် ဖန်တီးပါက၊ ခွင့်ပြုချက်စခရင်ကို ပြင်ဆင်သတ်မှတ်ရန် သင့်အား တောင်းဆိုလိမ့်မည်။
* အသုံးပြုသူအမျိုးအစားအတွက် Internal ကိုရွေးချယ်ပါ။ ၎င်းသည် သင့် Google Workspace အဖွဲ့အစည်းရှိ အသုံးပြုသူများပိုင်ဆိုင်သည့် အကောင့်များသာ စက်ပစ္စည်းဖွဲ့စည်းပုံများကို ဖန်တီးနိုင်သည်ကို သေချာစေပါသည်။ စက်ပစ္စည်း configurationများဖန်တီးရန် တရားဝင် Google အကောင့်ရှိသည့် မည်သူကိုမဆို ဖွင့်လိုပါက ပြင်ပကို မရွေးချယ်ပါနှင့်။
အက်ပ်အချက်အလက် မျက်နှာပြင်ပေါ်တွင်-
2. OAuth Client ID များကို ဖန်တီးပါ။
ဤကဏ္ဍသည် Google ၏ ကိုယ်ပိုင်စာရွက်စာတမ်းများအပေါ် အခြေခံထားသည်။ OAuth 2.0 ကို စနစ်ထည့်သွင်းခြင်း။.
Google Cloud Console သို့ ဝင်ကြည့်ပါ။ အထောက်အထားများ စာမျက်နှာ စာမျက်နှာ၊ + အထောက်အထားများဖန်တီးရန် နှိပ်ပြီး OAuth သုံးစွဲသူ ID ကို ရွေးပါ။
OAuth သုံးစွဲသူ ID ဖန်တီးမှု မျက်နှာပြင်တွင်-
OAuth ကလိုင်းယင့် ID ကိုဖန်တီးပြီးနောက်၊ သင့်အား Client ID နှင့် Client လျှို့ဝှက်ချက်တစ်ခု ပေးလိမ့်မည်။ ၎င်းတို့ကို နောက်တဆင့်တွင် ပြန်ညွှန်း URI နှင့် တွဲသုံးပါမည်။
Edit /etc/firezone/firezone.rb အောက်ပါရွေးချယ်စရာများ ထည့်သွင်းရန်-
# Google ကို SSO အထောက်အထားပံ့ပိုးသူအဖြစ် အသုံးပြုခြင်း။
default['firezone']['authentication']['oidc'] = {
google- {
discovery_document_uri- “https://accounts.google.com/.well-known/openid-configuration”၊
client_id- " ”၊
ဖောက်သည်_လျှို့ဝှက်ချက်- " ”၊
redirect_uri- “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”၊
တုံ့ပြန်မှု_အမျိုးအစား- "ကုဒ်"၊
နယ်ပယ်- “ဖွင့်ထားသော အီးမေးလ်ပရိုဖိုင်”၊
အညွှန်း- "Google"
}
}
အပလီကေးရှင်းကို အပ်ဒိတ်လုပ်ရန် firezone-ctl ပြန်လည်ပြင်ဆင်ပြီး firezone-ctl ပြန်လည်စတင်ပါ။ Root Firezone URL တွင် Sign in with Google ခလုတ်ကို ယခုတွေ့ရပါမည်။
Firezone သည် Okta ဖြင့် Single Sign-On (SSO) ကို အဆင်ပြေချောမွေ့စေရန်အတွက် ယေဘူယျ ODC ချိတ်ဆက်ကိရိယာကို အသုံးပြုသည်။ ဤသင်ခန်းစာတွင် ပေါင်းစပ်မှုအတွက် လိုအပ်သော အောက်ဖော်ပြပါ configuration parameters များကို မည်သို့ရယူရမည်ကို သင့်အား ပြသပါမည်။
လမ်းညွှန်ချက်၏ ဤကဏ္ဍကို အခြေခံထားသည်။ Okta ၏စာတမ်း.
Admin Console တွင်၊ Applications > Applications သို့သွားပြီး Create App Integration ကိုနှိပ်ပါ။ အကောင့်ဝင်နည်းလမ်းကို OICD – OpenID ချိတ်ဆက်ပြီး အက်ပ်အမျိုးအစားကို ဝဘ်အပလီကေးရှင်းသို့ သတ်မှတ်ပါ။
ဤဆက်တင်များကို စီစဉ်သတ်မှတ်ပါ-
ဆက်တင်များကို သိမ်းဆည်းပြီးသည်နှင့် သင်သည် Client ID၊ Client Secret နှင့် Okta Domain တို့ကို ပေးအပ်မည်ဖြစ်သည်။ Firezone ကို စီစဉ်သတ်မှတ်ရန် အဆင့် 3 တွင် ဤတန်ဖိုး 2 ခုကို အသုံးပြုပါမည်။
Edit /etc/firezone/firezone.rb အောက်ပါရွေးချယ်စရာများ ထည့်သွင်းရန်။ မင်းရဲ့ discovery_document_url ဖွစျလိမျ့မညျ /.well-known/openid-configuration မင်းရဲ့ အဆုံးမှာ ထပ်ဖြည့်ထားတယ်။ okta_domain.
# Okta ကို SSO အထောက်အထားပံ့ပိုးသူအဖြစ် အသုံးပြုခြင်း။
default['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri- "https:// /.well-known/openid-configuration"၊
client_id- " ”၊
ဖောက်သည်_လျှို့ဝှက်ချက်- " ”၊
redirect_uri- “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”၊
တုံ့ပြန်မှု_အမျိုးအစား- "ကုဒ်"၊
နယ်ပယ်- “ဖွင့်ထားသော အီးမေးလ်ပရိုဖိုင် အော့ဖ်လိုင်း_ဝင်ရောက်မှု”၊
အညွှန်း- "Okta"
}
}
အပလီကေးရှင်းကို အပ်ဒိတ်လုပ်ရန် firezone-ctl ပြန်လည်ပြင်ဆင်ပြီး firezone-ctl ပြန်လည်စတင်ပါ။ Root Firezone URL မှာ Sign in with Okta ခလုတ်ကို ယခု မြင်တွေ့ရမှာ ဖြစ်ပါတယ်။
Firezone အက်ပ်ကို ဝင်သုံးနိုင်သည့် သုံးစွဲသူများကို Okta မှ ကန့်သတ်ထားနိုင်သည်။ ၎င်းကို ပြီးမြောက်စေရန် သင်၏ Okta Admin Console ၏ Firezone App ပေါင်းစည်းခြင်း၏ Assignments စာမျက်နှာသို့ သွားပါ။
ယေဘုယျအားဖြင့် ODC ချိတ်ဆက်ကိရိယာမှတစ်ဆင့် Firezone သည် Azure Active Directory ဖြင့် Single Sign-On (SSO) ကို ဖွင့်ပေးသည်။ ဤလက်စွဲစာအုပ်သည် ပေါင်းစည်းမှုအတွက် လိုအပ်သော အောက်တွင်ဖော်ပြထားသော configuration parameters များကို မည်သို့ရယူရမည်နည်း။
ဤလမ်းညွှန်ချက်ကို နိဒါန်းမှ ထုတ်ယူသည်။ Azure Active Directory Docs.
Azure portal ၏ Azure Active Directory စာမျက်နှာသို့ သွားပါ။ Manage menu option ကိုရွေးချယ်ပါ၊ မှတ်ပုံတင်ခြင်းအသစ်ကိုရွေးချယ်ပါ၊ ထို့နောက်အောက်ပါအချက်အလက်များကိုပေးခြင်းဖြင့်စာရင်းသွင်းပါ။
စာရင်းသွင်းပြီးနောက်၊ လျှောက်လွှာ၏အသေးစိတ်မြင်ကွင်းကိုဖွင့်ပြီး ကော်ပီကူးပါ။ လျှောက်လွှာ (ဖောက်သည်) ID. ၎င်းသည် client_id တန်ဖိုးဖြစ်လိမ့်မည်။ ထို့နောက် ၎င်းကိုရယူရန် အဆုံးမှတ်မီနူးကိုဖွင့်ပါ။ OpenID ချိတ်ဆက်မှု မက်တာဒေတာစာရွက်စာတမ်း. ၎င်းသည် discovery_document_uri တန်ဖိုးဖြစ်လိမ့်မည်။
Manage menu အောက်ရှိ လက်မှတ်များနှင့် လျှို့ဝှက်ချက်များ ရွေးချယ်မှုကို နှိပ်ခြင်းဖြင့် သုံးစွဲသူ၏ လျှို့ဝှက်ချက်အသစ်ကို ဖန်တီးပါ။ client လျှို့ဝှက်ချက်ကိုကူးယူ; ဖောက်သည်လျှို့ဝှက်တန်ဖိုးသည် ဤအရာဖြစ်လိမ့်မည်။
နောက်ဆုံးအနေဖြင့်၊ Manage menu အောက်ရှိ API ခွင့်ပြုချက်လင့်ခ်ကို ရွေးပါ၊ နှိပ်ပါ။ ခွင့်ပြုချက်ထည့်ပါ။နှင့်ကို select Microsoft ဂရပ်, add အီးမေးလ်က, ပွင့်လင်း, အော့ဖ်လိုင်း_ဝင်ရောက်ခွင့် နှင့် ပရိုဖိုင်းကို လိုအပ်သောခွင့်ပြုချက်များ။
Edit /etc/firezone/firezone.rb အောက်ပါရွေးချယ်စရာများ ထည့်သွင်းရန်-
# Azure Active Directory ကို SSO အထောက်အထားပေးသူအဖြစ် အသုံးပြုခြင်း။
default['firezone']['authentication']['oidc'] = {
အပြာရောင်- {
discovery_document_uri- “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration"၊
client_id- " ”၊
ဖောက်သည်_လျှို့ဝှက်ချက်- " ”၊
redirect_uri- “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”၊
တုံ့ပြန်မှု_အမျိုးအစား- "ကုဒ်"၊
နယ်ပယ်- “ဖွင့်ထားသော အီးမေးလ်ပရိုဖိုင် အော့ဖ်လိုင်း_ဝင်ရောက်မှု”၊
တံဆိပ်- "Azure"
}
}
အပလီကေးရှင်းကို အပ်ဒိတ်လုပ်ရန် firezone-ctl ပြန်လည်ပြင်ဆင်ပြီး firezone-ctl ပြန်လည်စတင်ပါ။ Root Firezone URL မှာ Sign in with Azure ခလုတ်ကို ယခု မြင်တွေ့ရမှာ ဖြစ်ပါတယ်။
Azure AD သည် အက်ဒမင်များကို သင့်ကုမ္ပဏီအတွင်းရှိ သတ်မှတ်ထားသော အသုံးပြုသူအုပ်စုထံ အက်ပ်ဝင်ရောက်ခွင့်ကို ကန့်သတ်ရန် စီမံအုပ်ချုပ်သူများကို လုပ်ဆောင်စေသည်။ ၎င်းကိုပြုလုပ်ပုံနှင့်ပတ်သက်သည့် နောက်ထပ်အချက်အလက်များကို Microsoft ၏စာရွက်စာတမ်းများတွင် တွေ့ရှိနိုင်သည်။
စားဖိုမှူး Omnibus ကို ထုတ်ပိုးမှု ထုပ်ပိုးမှု၊ လုပ်ငန်းစဉ် ကြီးကြပ်မှု၊ မှတ်တမ်း စီမံခန့်ခွဲမှုနှင့် အခြားအရာများ အပါအဝင် အလုပ်များကို စီမံခန့်ခွဲရန် Firezone မှ အသုံးပြုပါသည်။
Ruby ကုဒ်သည် /etc/firezone/firezone.rb တွင်တည်ရှိသော ပင်မဖွဲ့စည်းပုံဖိုင်ကို ဖန်တီးပါသည်။ sudo firezone-ctl ကို ပြန်လည်စတင်ခြင်းဖြင့် ဤဖိုင်ကို ပြုပြင်မွမ်းမံမှုများ ပြုလုပ်ပြီးနောက် ပြန်လည်ပြင်ဆင်သတ်မှတ်ခြင်းသည် Chef မှ အပြောင်းအလဲများကို အသိအမှတ်ပြုပြီး ၎င်းတို့ကို လက်ရှိလည်ပတ်မှုစနစ်တွင် အသုံးချစေသည်။
ဖွဲ့စည်းမှုပုံစံကွဲလွဲချက်များနှင့် ၎င်းတို့၏ဖော်ပြချက်အပြည့်အစုံအတွက် ဖွဲ့စည်းမှုဖိုင်ကို ကိုးကားကြည့်ပါ။
သင်၏ Firezone instance ကို အဆိုပါမှတစ်ဆင့် စီမံခန့်ခွဲနိုင်သည်။ firezone-ctl အောက်မှာပြထားတဲ့အတိုင်း command ပါ။ subcommand အများစုသည် prefixing လိုအပ်သည်။ sudo.
root@demo-~# firezone-ctl
omnibus-ctl : အမိန့်ပေးမှု (subcommand)
အထွေထွေအမိန့်များ-
သန့်ရှင်းစေ
*all* firezone data ကိုဖျက်ပြီး အစမှ စတင်ပါ။
create-or-reset-admin
မူရင်း['firezone']['admin_email'] ဖြင့် သတ်မှတ်ထားသော စီမံခန့်ခွဲသူအတွက် စကားဝှက်ကို ပြန်လည်သတ်မှတ်သည် သို့မဟုတ် ထိုအီးမေးလ်မရှိပါက စီမံခန့်ခွဲသူအသစ်ကို ဖန်တီးပါ။
ကူညီပါ
ဤအကူအညီစာတိုကို ပရင့်ထုတ်ပါ။
ပြန်လည်ဖွဲ့စည်း
လျှောက်လွှာကို ပြန်လည်ပြင်ဆင်ပါ။
ကွန်ရက်ကို ပြန်လည်သတ်မှတ်ပါ။
nftables၊ WireGuard အင်တာဖေ့စ်နှင့် လမ်းကြောင်းပြဇယားကို Firezone မူရင်းများအတိုင်း ပြန်လည်သတ်မှတ်သည်။
show-config
reconfigure ဖြင့် ထုတ်ပေးမည့် configuration ကို ပြပါ။
teardown-ကွန်ရက်
WireGuard အင်တာဖေ့စ်နှင့် firezone nftables ဇယားကို ဖယ်ရှားသည်။
force-cert-သက်တမ်းတိုးခြင်း။
သက်တမ်းမကုန်သေးသော်လည်း ယခု လက်မှတ်သက်တမ်းတိုးရန် အတင်းအကြပ်
stop-cert-သက်တမ်းတိုးခြင်း။
လက်မှတ်များကိုသက်တမ်းတိုးသည့် cronjob ကိုဖယ်ရှားသည်။
ဖယ်ရှားရန်
လုပ်ငန်းစဉ်အားလုံးကိုသတ်ပြီး လုပ်ငန်းစဉ်ကြီးကြပ်သူကို ဖြုတ်ပါ (ဒေတာကို ထိန်းသိမ်းထားပါမည်)။
ဗားရှင်း
Firezone ၏ လက်ရှိဗားရှင်းကို ပြသပါ။
ဝန်ဆောင်မှုစီမံခန့်ခွဲမှု ညွှန်ကြားချက်များ-
ထုဆစ်သတ်
လှပသောရပ်တန့်ရန်ကြိုးစားပါ၊ ထို့နောက် လုပ်ငန်းစဉ်အုပ်စုတစ်ခုလုံးကို SIGKILL။
ဟပ်
ဝန်ဆောင်မှုများကို HUP ပေးပို့ပါ။
int
ဝန်ဆောင်မှုများကို INT ပေးပို့ပါ။
ကိုသတ်ပစ်
ဝန်ဆောင်မှုများကို KILL ပေးပို့ပါ။
တခါ
ဝန်ဆောင်မှုများ ကျဆင်းပါက စတင်ပါ။ ရပ်သွားပါက ၎င်းတို့ကို ပြန်လည်စတင်ခြင်းမပြုပါနှင့်။
ပြန်စတင်သည်
၎င်းတို့ လုပ်ဆောင်နေပါက ဝန်ဆောင်မှုများကို ရပ်ပါ၊ ထို့နောက် ၎င်းတို့ကို ပြန်လည်စတင်ပါ။
ဝန်ဆောင်မှုစာရင်း
ဝန်ဆောင်မှုအားလုံးကို စာရင်းပြုစုပါ (ဖွင့်ထားသော ဝန်ဆောင်မှုများကို * ဖြင့် ပေါ်လာသည်)
စတင်
ဝန်ဆောင်မှုများ ကျဆင်းနေပါက စတင်ပါ၊ ရပ်တန့်ပါက ၎င်းတို့ကို ပြန်လည်စတင်ပါ။
အဆင့်အတန်း
ဝန်ဆောင်မှုအားလုံး၏ အခြေအနေကို ပြပါ။
ရပ်
ဝန်ဆောင်မှုများကို ရပ်လိုက်ပြီး ၎င်းတို့ကို ပြန်လည်စတင်ခြင်းမပြုပါနှင့်။
အမြီး
ဖွင့်ထားသည့် ဝန်ဆောင်မှုအားလုံး၏ ဝန်ဆောင်မှုမှတ်တမ်းများကို ကြည့်ရှုပါ။
သက်တမ်း
ဝန်ဆောင်မှုများကို TERM တစ်ခုပေးပို့ပါ။
usr1
ဝန်ဆောင်မှုများကို USR1 ပေးပို့ပါ။
usr2
ဝန်ဆောင်မှုများကို USR2 ပေးပို့ပါ။
Web UI ကို ပိတ်ပစ်ရန် တောင်းဆိုသည့် Firezone ကို အဆင့်မြှင့်တင်ခြင်းမပြုမီ VPN စက်ရှင်များအားလုံးကို ရပ်စဲရပါမည်။ အဆင့်မြှင့်တင်မှုအတွင်း တစ်စုံတစ်ခု မှားယွင်းသွားပါက ပြုပြင်ထိန်းသိမ်းမှုအတွက် တစ်နာရီ ဖယ်ထားရန် အကြံပြုအပ်ပါသည်။
Firezone ကို မြှင့်တင်ရန် အောက်ပါလုပ်ဆောင်ချက်များကို လုပ်ဆောင်ပါ-
ပြဿနာတစ်စုံတစ်ရာပေါ်ပေါက်ပါက ကျေးဇူးပြု၍ ကျွန်ုပ်တို့အား အသိပေးပါ။ ထောက်ခံချက်လက်မှတ် တင်သွင်းခြင်း။
ကိုင်တွယ်ဖြေရှင်းရမည့် 0.5.0 တွင် ဖောက်ထွင်းပြောင်းလဲမှုများနှင့် ဖွဲ့စည်းမှုမွမ်းမံပြင်ဆင်မှုများ အနည်းငယ်ရှိပါသည်။ အောက်တွင်ပိုမိုရှာဖွေပါ။
Nginx သည် ဗားရှင်း 0.5.0 အရ force SSL နှင့် non-SSL port ဘောင်များကို ပံ့ပိုးပေးတော့မည်မဟုတ်ပါ။ Firezone သည် SSL အလုပ်လုပ်ရန် လိုအပ်သောကြောင့်၊ default['firezone']['nginx']['enabled'] = မှားယွင်းပြီး Port 13000 ရှိ Phoenix အက်ပ်သို့ သင်၏ပြောင်းပြန်ပရောက်စီကို လမ်းညွှန်သတ်မှတ်ခြင်းဖြင့် အစုအဝေး Nginx ဝန်ဆောင်မှုကို ဖယ်ရှားရန် အကြံပြုပါသည် (ပုံမှန်အားဖြင့် )
0.5.0 သည် စုစည်းထားသော Nginx ဝန်ဆောင်မှုဖြင့် SSL လက်မှတ်များကို အလိုအလျောက်သက်တမ်းတိုးရန်အတွက် ACME ပရိုတိုကော ပံ့ပိုးမှုကို မိတ်ဆက်ပေးသည်။ ဖွင့်ရန်၊
ထပ်နေသည့်နေရာများနှင့် စည်းမျဉ်းများထည့်ရန် ဖြစ်နိုင်ခြေသည် Firezone 0.5.0 တွင် မရှိတော့ပါ။ ကျွန်ုပ်တို့၏ migration script သည် 0.5.0 သို့ အဆင့်မြှင့်တင်စဉ်အတွင်း ဤအခြေအနေများကို အလိုအလျောက်မှတ်မိပြီး အခြားစည်းမျဉ်းများပါဝင်သည့် စည်းမျဉ်းများကိုသာ ထားရှိပါမည်။ ဒါအဆင်ပြေရင် ဘာမှလုပ်စရာမလိုပါဘူး။
မဟုတ်ပါက အဆင့်မြှင့်တင်ခြင်းမပြုမီ ဤအခြေအနေများကို ဖယ်ရှားရန် သင့်စည်းမျဉ်းများကို ပြောင်းလဲရန် ကျွန်ုပ်တို့ အကြံပြုအပ်ပါသည်။
Firezone 0.5.0 သည် ပုံစံဟောင်း Okta နှင့် Google SSO ဖွဲ့စည်းမှုပုံစံအတွက် ပံ့ပိုးမှုကို ဖယ်ရှားပြီး ပိုမိုပြောင်းလွယ်ပြင်လွယ် ODDC-အခြေခံဖွဲ့စည်းမှုအသစ်ကို ထောက်ခံသည်။
သင့်တွင် ပုံသေ['firezone']['authentication']['okta'] သို့မဟုတ် default['firezone']['authentication']['google'] keys အောက်တွင် ၎င်းတို့ကို ကျွန်ုပ်တို့၏ ODC သို့ ရွှေ့ပြောင်းရန် လိုအပ်ပါသည်။ အောက်ပါလမ်းညွှန်ကို အသုံးပြု၍ အခြေခံဖွဲ့စည်းမှုပုံစံ။
လက်ရှိ Google OAuth ဖွဲ့စည်းမှုပုံစံ
/etc/firezone/firezone.rb တွင်ရှိသော သင်၏ဖွဲ့စည်းပုံဖိုင်မှ Google OAuth configs အဟောင်းများပါရှိသော ဤလိုင်းများကို ဖယ်ရှားပါ။
မူရင်း['firezone']['authentication']['google']['enabled']
မူရင်း['firezone']['authentication']['google']['client_id']
မူရင်း['firezone']['authentication']['google']['client_secret']
မူရင်း['firezone']['authentication']['google']['redirect_uri']
ထို့နောက် ဤနေရာတွင် လုပ်ထုံးလုပ်နည်းများကို လိုက်နာခြင်းဖြင့် Google ကို ODC ဝန်ဆောင်မှုပေးသူအဖြစ် သတ်မှတ်ပါ။
(လင့်ခ် ညွှန်ကြားချက်များ ပေးဆောင်ပါ)<<<<<<<<<<<<<<<
လက်ရှိ Google OAuth ကို စီစဉ်သတ်မှတ်ပါ။
Okta OAuth configs အဟောင်းများပါရှိသော ဤလိုင်းများကို သင့် configuration file မှ ဖယ်ရှားပါ။ /etc/firezone/firezone.rb
မူရင်း['firezone']['authentication']['okta']['enabled']
မူရင်း['firezone']['authentication']['okta']['client_id']
မူရင်း['firezone']['authentication']['okta']['client_secret']
မူရင်း['firezone']['authentication']['okta']['site']
ထို့နောက် ဤလုပ်ထုံးလုပ်နည်းများကို လိုက်နာခြင်းဖြင့် Okta ကို ODC ပံ့ပိုးပေးသူအဖြစ် သတ်မှတ်ပါ။
သင်၏ လက်ရှိထည့်သွင်းမှုနှင့် ဗားရှင်းပေါ်မူတည်၍ အောက်ပါလမ်းညွှန်ချက်များကို လိုက်နာပါ-
သင့်တွင် ODC ပေါင်းစည်းမှု ရှိနှင့်ပြီးပါက-
ODC ဝန်ဆောင်မှုပေးသူအချို့အတွက်၊ >= 0.3.16 သို့ အဆင့်မြှင့်တင်ခြင်းသည် အော့ဖ်လိုင်းဝင်ရောက်ခွင့်နယ်ပယ်အတွက် ပြန်လည်ဆန်းသစ်သည့် တိုကင်တစ်ခုရရှိရန် လိုအပ်ပါသည်။ ထိုသို့ပြုလုပ်ခြင်းဖြင့်၊ အသုံးပြုသူအား ဖျက်ပြီးနောက် Firezone သည် အထောက်အထားဝန်ဆောင်မှုပေးသူနှင့်အတူ အပ်ဒိတ်လုပ်ထားပြီး VPN ချိတ်ဆက်မှုကို ပိတ်ထားကြောင်း သေချာစေပါသည်။ Firezone ၏ အစောပိုင်းတွင် ထပ်တလဲလဲ လုပ်ဆောင်မှုများသည် ဤအင်္ဂါရပ် ကင်းမဲ့ခဲ့သည်။ အချို့သောအခြေအနေများတွင်၊ သင်၏အထောက်အထားဝန်ဆောင်မှုပေးသူမှ ဖျက်လိုက်သောအသုံးပြုသူများသည် VPN သို့ ချိတ်ဆက်နေဆဲဖြစ်နိုင်ပါသည်။
အော့ဖ်လိုင်းဝင်ရောက်ခွင့်နယ်ပယ်ကို ပံ့ပိုးပေးသည့် ODDC ဝန်ဆောင်မှုပေးသူများအတွက် သင်၏ ODC ဖွဲ့စည်းမှုပုံစံ၏ ဘောင်ဘောင်ဘောင်တွင် အော့ဖ်လိုင်းဝင်ရောက်ခွင့်ကို ထည့်သွင်းရန် လိုအပ်ပါသည်။ /etc/firezone/firezone.rb တွင်ရှိသော Firezone configuration ဖိုင်သို့ ပြောင်းလဲမှုများကို အသုံးချရန်အတွက် Firezone-ctl ပြန်လည်ပြင်ဆင်ခြင်းကို လုပ်ဆောင်ရပါမည်။
သင့် OIDC ဝန်ဆောင်မှုပေးသူမှ စစ်မှန်ကြောင်းအထောက်အထားပြထားသော အသုံးပြုသူများအတွက် Firezone သည် ပြန်လည်ဆန်းသစ်ထားသော တိုကင်ကို အောင်မြင်စွာရယူနိုင်ပါက Firezone သည် ပြန်လည်ဆန်းသစ်ထားသော တိုကင်ကို အောင်မြင်စွာရယူနိုင်ပါက ဝဘ် UI ၏ အသုံးပြုသူအသေးစိတ်စာမျက်နှာတွင် ODC ချိတ်ဆက်မှုများကို သင်တွေ့ရပါမည်။
၎င်းသည် အလုပ်မလုပ်ပါက၊ သင်သည် သင်၏ရှိပြီးသား OAuth အက်ပ်ကို ဖျက်ပြီး ODC စနစ်ထည့်သွင်းမှု အဆင့်များကို ပြန်လုပ်ရန် လိုအပ်မည်ဖြစ်သည်။ အက်ပ်ပေါင်းစည်းမှုအသစ်ကို ဖန်တီးပါ။ .
ကျွန်ုပ်တွင် ရှိပြီးသား OAuth ပေါင်းစပ်မှုတစ်ခုရှိသည်။
0.3.11 မတိုင်မီ၊ Firezone သည် ကြိုတင်ပြင်ဆင်ထားသော OAuth2 ဝန်ဆောင်မှုပေးသူများကို အသုံးပြုခဲ့သည်။
ညွှန်ကြားချက်များကိုလိုက်နာပါ ဒီမှာ ODC သို့ ပြောင်းရွှေ့ရန်။
ကျွန်ုပ်သည် အထောက်အထားပေးသူအား ပေါင်းစပ်ထားခြင်းမရှိပါ။
လုပ်ဆောင်ရန်မလိုအပ်ပါ။
ညွှန်ကြားချက်များကို လိုက်နာနိုင်ပါသည်။ ဒီမှာ ODC ဝန်ဆောင်မှုပေးသူမှတဆင့် SSO ကိုဖွင့်ရန်။
၎င်း၏နေရာတွင်၊ default['firezone']['external url'] သည် configuration option default['firezone']['fqdn'] ကို အစားထိုးခဲ့သည်။
၎င်းကို အများသူငှာ အသုံးပြုနိုင်သော သင်၏ Firezone အွန်လိုင်းပေါ်တယ်၏ URL သို့ သတ်မှတ်ပါ။ သတ်မှတ်ထားခြင်းမရှိပါက ၎င်းသည် https:// နှင့် သင့်ဆာဗာ၏ FQDN သို့ ပုံသေဖြစ်လိမ့်မည်။
ဖွဲ့စည်းမှုပုံစံဖိုင်သည် /etc/firezone/firezone.rb တွင် တည်ရှိသည်။ ဖွဲ့စည်းမှုပုံစံကွဲလွဲချက်များနှင့် ၎င်းတို့၏ဖော်ပြချက်အပြည့်အစုံအတွက် ဖွဲ့စည်းမှုဖိုင်ကို ကိုးကားကြည့်ပါ။
Firezone သည် ဗားရှင်း 0.3.0 တွင် စက်ပစ္စည်းသီးသန့်သော့များကို Firezone ဆာဗာတွင် သိမ်းမထားတော့ပါ။
Firezone ဝဘ် UI သည် သင့်အား ဤဖွဲ့စည်းပုံများကို ပြန်လည်ဒေါင်းလုဒ်လုပ်ရန် သို့မဟုတ် ကြည့်ရန် ခွင့်မပြုသော်လည်း လက်ရှိစက်ပစ္စည်းများသည် ယခင်အတိုင်း ဆက်လက်လည်ပတ်နေသင့်သည်။
အကယ်၍ သင်သည် Firezone 0.1.x မှ အဆင့်မြှင့်တင်နေပါက၊ ၎င်းကို ကိုယ်တိုင်ကိုင်တွယ်ဖြေရှင်းရမည့် ဖိုင်ဖွဲ့စည်းပုံပြောင်းလဲမှု အနည်းငယ်ရှိပါသည်။
သင်၏ /etc/firezone/firezone.rb ဖိုင်သို့ လိုအပ်သော ပြုပြင်မွမ်းမံမှုများ ပြုလုပ်ရန်၊ အောက်ပါ command များကို root အဖြစ် လုပ်ဆောင်ပါ။
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
ပဲ့တင်သံ “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
ပဲ့တင်သံ “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl ကို ပြန်လည်ပြင်ဆင်ခြင်း။
firezone-ctl ကို ပြန်လည်စတင်ပါ။
Firezone မှတ်တမ်းများကို စစ်ဆေးခြင်းသည် ဖြစ်ပေါ်လာနိုင်သည့် ပြဿနာများအတွက် ဉာဏ်ပညာရှိသော ပထမအဆင့်ဖြစ်သည်။
Firezone မှတ်တမ်းများကိုကြည့်ရှုရန် sudo firezone-ctl အမြီးကိုဖွင့်ပါ။
Firezone နှင့် ချိတ်ဆက်မှုဆိုင်ရာ ပြဿနာအများစုသည် ကိုက်ညီမှုမရှိသော iptables သို့မဟုတ် nftables စည်းမျဉ်းများဖြင့် ဖြစ်ပေါ်လာပါသည်။ သင့်တွင်ရှိသော မည်သည့်စည်းမျဉ်းများသည် Firezone စည်းမျဉ်းများနှင့် မတိုက်ဆိုင်ကြောင်း သေချာစေရမည်။
သင်၏ WireGuard ဥမင်လိုဏ်ခေါင်းကို စဖွင့်တိုင်း သင့်အင်တာနက်ချိတ်ဆက်မှု ဆိုးရွားနေပါက FORWARD ကွင်းဆက်သည် သင့် WireGuard သုံးစွဲသူများမှ ပက်ကေ့ခ်ျများကို Firezone မှတဆင့် သင်ခွင့်ပြုပေးလိုသော တည်နေရာများသို့ ခွင့်ပြုကြောင်း သေချာပါစေ။
မူရင်းလမ်းကြောင်းပေါ်လစီကို ခွင့်ပြုကြောင်းသေချာစေခြင်းဖြင့် သင်သည် ufw ကိုအသုံးပြုနေပါက ၎င်းကိုအောင်မြင်နိုင်သည်-
ubuntu@fz:~$ sudo ufw default လမ်းကြောင်းကို ခွင့်ပြုသည်။
မူရင်းလမ်းကြောင်းပေါ်လစီကို 'ခွင့်ပြု' သို့ ပြောင်းခဲ့သည်
(သင့်ရဲ့ စည်းမျဉ်းစည်းကမ်းတွေကို လိုက်နာဖို့ သေချာပါ)
A နင် ပုံမှန် Firezone ဆာဗာတစ်ခုအတွက် အခြေအနေသည် ဤကဲ့သို့ဖြစ်နိုင်သည်-
ubuntu@fz:~$ sudo ufw အခြေအနေ စကားကြောရှည်
အခြေအနေ - တက်ကြွသည်
စာရင်းသွင်းခြင်း- ဖွင့်ထားသည် (နိမ့်သည်)
မူရင်း- ငြင်းပယ် (အဝင်)၊ ခွင့်ပြု (အထွက်)၊ ခွင့်ပြု (လမ်းကြောင်း)
ပရိုဖိုင်အသစ်- ကျော်သွားပါ။
အရေးယူရန်
——————
22/tcp နေရာတိုင်းတွင် ခွင့်ပြုပါ။
80/tcp နေရာတိုင်းတွင် ခွင့်ပြုပါ။
443/tcp နေရာတိုင်းတွင် ခွင့်ပြုပါ။
51820/udp မည်သည့်နေရာတွင်မဆို ခွင့်ပြုပါ။
22/tcp (v6) နေရာတိုင်းတွင် ခွင့်ပြုပါ (v6)
80/tcp (v6) နေရာတိုင်းတွင် ခွင့်ပြုပါ (v6)
443/tcp (v6) နေရာတိုင်းတွင် ခွင့်ပြုပါ (v6)
51820/udp (v6) နေရာတိုင်းတွင် ခွင့်ပြုပါ (v6)
အောက်ဖော်ပြပါအတိုင်း အလွန်အမင်းထိခိုက်လွယ်ပြီး မစ်ရှင်အရေးပါသော ထုတ်လုပ်မှုဖြန့်ကျက်မှုအတွက် ဝဘ်အင်တာဖေ့စ်သို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ရန် ကျွန်ုပ်တို့ အကြံပြုထားသည်။
ဝန်ဆောင်မှု | ပုံသေ ဆိပ်ကမ်း | လိပ်စာ နားထောင်ပါ။ | ဖေါ်ပြချက် |
Nginx | 80, 443 | အားလုံး | Firezone ကို စီမံခန့်ခွဲခြင်းနှင့် အထောက်အထားစိစစ်ခြင်းတို့ကို လွယ်ကူချောမွေ့စေရန်အတွက် အများသူငှာ HTTP(S) ပေါက်။ |
ကြေးမုံ | 51820 | အားလုံး | VPN ဆက်ရှင်များအတွက်အသုံးပြုသော Public WireGuard ပေါက်။ (UDP) |
postgresql | 15432 | 127.0.0.1 | စုစည်းထားသော Postgresql ဆာဗာအတွက် အသုံးပြုသည့် ပြည်တွင်း-သီးသန့် ဆိပ်ကမ်း။ |
Phoenix | 13000 | 127.0.0.1 | အထက်ရေစီးကြောင်း elixir အက်ပ်ဆာဗာမှ အသုံးပြုသည့် ဒေသသီးသန့် ဆိပ်ကမ်း။ |
Firezone ၏ လူသိရှင်ကြား ထုတ်ဖော်ထားသော ဝဘ် UI (မူလ အပေါက်များ 443/tcp နှင့် 80/tcp) သို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ရန် သင့်အား စဉ်းစားရန် အကြံပြုထားပြီး စီမံခန့်ခွဲသူတစ်ဦးမှ တာဝန်ယူမည့် ထုတ်လုပ်မှုနှင့် အများသူငှာ ဖြန့်ကျက်မှုများအတွက် Firezone ကို စီမံခန့်ခွဲရန် WireGuard tunnel ကို အသုံးပြုရန် အကြံပြုအပ်ပါသည်။ စက်ဖွဲ့စည်းပုံများကို ဖန်တီးခြင်းနှင့် သုံးစွဲသူများထံ ဖြန့်ဝေပေးခြင်း။
ဥပမာအားဖြင့်၊ အက်ဒမင်သည် စက်ဖွဲ့စည်းပုံပုံစံတစ်ခုကို ဖန်တီးပြီး ဒေသခံ WireGuard လိပ်စာ 10.3.2.2 ဖြင့် ဥမင်လိုဏ်ခေါင်းတစ်ခုကို ဖန်တီးပါက၊ အောက်ပါ ufw ဖွဲ့စည်းမှုပုံစံသည် စီမံခန့်ခွဲသူကို Firezone ဝဘ် UI ကို မူရင်း 10.3.2.1 ကိုအသုံးပြု၍ ဆာဗာ၏ wg-firezone မျက်နှာပြင်ပေါ်ရှိ Firezone မျက်နှာပြင်ကို ဝင်ရောက်ကြည့်ရှုနိုင်မည်ဖြစ်သည်။ ဥမင်လိပ်စာ-
root@demo:~# ufw အခြေအနေ စကားကြောရှည်
အခြေအနေ - တက်ကြွသည်
စာရင်းသွင်းခြင်း- ဖွင့်ထားသည် (နိမ့်သည်)
မူရင်း- ငြင်းပယ် (အဝင်)၊ ခွင့်ပြု (အထွက်)၊ ခွင့်ပြု (လမ်းကြောင်း)
ပရိုဖိုင်အသစ်- ကျော်သွားပါ။
အရေးယူရန်
——————
22/tcp နေရာတိုင်းတွင် ခွင့်ပြုပါ။
51820/udp မည်သည့်နေရာတွင်မဆို ခွင့်ပြုပါ။
မည်သည့်နေရာတွင်မဆို 10.3.2.2 တွင် ခွင့်ပြုပါ။
22/tcp (v6) နေရာတိုင်းတွင် ခွင့်ပြုပါ (v6)
51820/udp (v6) နေရာတိုင်းတွင် ခွင့်ပြုပါ (v6)
ဒီအတိုင်းသာထားခဲ့တာ။ 22/tcp ဆာဗာကို စီမံခန့်ခွဲရန် SSH ဝင်ရောက်ခွင့်အတွက် ထုတ်ဖော်ပြသခြင်း (ချန်လှပ်ထားနိုင်သည်) နှင့် 51820/udp WireGuard ဥမင်လှိုဏ်ခေါင်းများကို တည်ထောင်ရန်အတွက် ဖော်ထုတ်ထားသည်။
Firezone သည် Postgresql ဆာဗာနှင့် ကိုက်ညီသော အစုအဝေးတစ်ခုဖြစ်သည်။ psql local shell မှသုံးနိုင်သော utility များ ၊
/opt/firezone/embedded/bin/psql \
-U firezone\
-d firezone \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
၎င်းသည် အမှားရှာပြင်ခြင်း ရည်ရွယ်ချက်များအတွက် အထောက်အကူဖြစ်စေနိုင်သည်။
ဘုံတာဝန်များ-
အသုံးပြုသူအားလုံးကို စာရင်းပြုစုခြင်း-
/opt/firezone/embedded/bin/psql \
-U firezone\
-d firezone \
-h localhost \
-p 15432 \
-c “SELECT * FROM အသုံးပြုသူများ၊”
စက်ပစ္စည်းအားလုံးကို စာရင်းပြုစုနေသည်-
/opt/firezone/embedded/bin/psql \
-U firezone\
-d firezone \
-h localhost \
-p 15432 \
-c “SELECT * ကိရိယာများမှ ရွေးချယ်ပါ။”
အသုံးပြုသူအခန်းကဏ္ဍကို ပြောင်းလဲပါ-
အခန်းကဏ္ဍကို 'စီမံခန့်ခွဲသူ' သို့မဟုတ် 'အခွင့်ထူးမခံရသေးသော' အဖြစ် သတ်မှတ်ပါ-
/opt/firezone/embedded/bin/psql \
-U firezone\
-d firezone \
-h localhost \
-p 15432 \
-c “UPDATE users SET role = 'admin' WHERE email = 'user@example.com';”
ဒေတာဘေ့စ်ကို အရန်သိမ်းခြင်း-
ထို့အပြင်၊ ဒေတာဘေ့စ်၏ပုံမှန်အရန်ကူးယူရန်အသုံးပြုနိုင်သည့် pg dump ပရိုဂရမ်လည်းပါဝင်သည်။ ဘုံ SQL စုံစမ်းမှုဖော်မတ်တွင် ဒေတာဘေ့စ်ကော်ပီကို စွန့်ပစ်ရန် အောက်ပါကုဒ်ကို လုပ်ဆောင်ပါ (SQL ဖိုင်ကို ဖန်တီးသင့်သည့် တည်နေရာဖြင့် /path/to/backup.sql ကို အစားထိုးပါ)။
/opt/firezone/embedded/bin/pg_dump \
-U firezone\
-d firezone \
-h localhost \
-p 15432 > /path/to/backup.sql
Firezone ကို အောင်မြင်စွာ အသုံးချပြီးနောက်၊ ၎င်းတို့ကို သင့်ကွန်ရက်သို့ ဝင်ရောက်ခွင့်ပေးရန် အသုံးပြုသူများကို သင်ပေါင်းထည့်ရပါမည်။ ဒါကိုလုပ်ဖို့ Web UI ကိုသုံးတယ်။
/users အောက်ရှိ “Add User” ခလုတ်ကို ရွေးချယ်ခြင်းဖြင့်၊ သင်သည် အသုံးပြုသူတစ်ဦးကို ထည့်သွင်းနိုင်သည်။ သုံးစွဲသူအား အီးမေးလ်လိပ်စာနှင့် စကားဝှက်တစ်ခု ပေးဆောင်ရန် လိုအပ်မည်ဖြစ်သည်။ သင့်အဖွဲ့အစည်းအတွင်းရှိ အသုံးပြုသူများထံ အလိုအလျောက် ဝင်ရောက်ကြည့်ရှုခွင့်ပေးရန်အတွက် Firezone သည် အထောက်အထားဝန်ဆောင်မှုပေးသူနှင့်လည်း ချိတ်ဆက်ပြီး ထပ်တူပြုနိုင်သည်။ အသေးစိတ်အချက်အလက်များကို တွင် ကြည့်ရှုနိုင်ပါသည်။ သက်သေပြ. < စစ်မှန်ကြောင်းအထောက်အထားပြရန် လင့်ခ်တစ်ခုထည့်ပါ။
လျှို့ဝှက်သော့ကို ၎င်းတို့သာမြင်နိုင်စေရန် အသုံးပြုသူများသည် ၎င်းတို့၏ကိုယ်ပိုင်စက်ပစ္စည်းဖွဲ့စည်းပုံများကို ဖန်တီးရန် တောင်းဆိုရန် အကြံပြုအပ်ပါသည်။ အသုံးပြုသူများသည် ၎င်းပေါ်ရှိ လမ်းညွှန်ချက်များကို လိုက်နာခြင်းဖြင့် ၎င်းတို့၏ ကိုယ်ပိုင် စက်ဖွဲ့စည်းပုံများကို ဖန်တီးနိုင်သည်။ ဖောက်သည်ညွှန်ကြားချက်များ စာမျက်နှာ။
Firezone စီမံခန့်ခွဲသူများသည် အသုံးပြုသူ၏ စက်ဖွဲ့စည်းပုံများအားလုံးကို ဖန်တီးနိုင်သည်။ /users တွင်ရှိသော အသုံးပြုသူပရိုဖိုင် စာမျက်နှာတွင်၊ ၎င်းကို ပြီးမြောက်ရန် "Add Device" option ကို ရွေးပါ။
[ဖန်သားပြင်ဓာတ်ပုံရိုက်ထည့်ပါ]
စက်ပစ္စည်းပရိုဖိုင်ကို ဖန်တီးပြီးနောက် အသုံးပြုသူကို WireGuard ဖွဲ့စည်းမှုပုံစံဖိုင်သို့ အီးမေးလ်ပို့နိုင်သည်။
အသုံးပြုသူများနှင့် စက်များကို ချိတ်ဆက်ထားသည်။ အသုံးပြုသူတစ်ဦးကို ထည့်သွင်းနည်းဆိုင်ရာ နောက်ထပ်အသေးစိတ်အချက်အလက်များကို ကြည့်ရှုပါ။ အသုံးပြုသူများထည့်ပါ.
kernel ၏ netfilter စနစ်အသုံးပြုခြင်းဖြင့် Firezone သည် DROP သို့မဟုတ် ACCEPT packets များကို သတ်မှတ်ရန် egress filtering စွမ်းရည်ကို လုပ်ဆောင်ပေးပါသည်။ ယာဉ်အသွားအလာအားလုံးကို ပုံမှန်အားဖြင့် ခွင့်ပြုထားသည်။
IPv4 နှင့် IPv6 CIDR များနှင့် IP လိပ်စာများကို Allowlist နှင့် Denylist တို့မှ ပံ့ပိုးပေးထားပါသည်။ ၎င်းကိုထည့်သွင်းသောအခါတွင် အသုံးပြုသူတစ်ဦးအား စည်းကမ်းသတ်မှတ်ရန် သင်ရွေးချယ်နိုင်သည်၊ ၎င်းသည် အသုံးပြုသူ၏စက်ပစ္စည်းများအားလုံးတွင် စည်းမျဉ်းကိုအသုံးပြုသည်။
Install လုပ်ပြီး configure
မူရင်း WireGuard ကလိုင်းယင့်ကို အသုံးပြု၍ VPN ချိတ်ဆက်မှုတစ်ခုထူထောင်ရန်၊ ဤလမ်းညွှန်ချက်ကို ကိုးကားပါ။
ဤနေရာတွင်ရှိသော တရားဝင် WireGuard ဖောက်သည်များသည် Firezone နှင့် တွဲဖက်အသုံးပြုနိုင်သည်-
အထက်ဖော်ပြပါ OS စနစ်များအတွက် https://www.wireguard.com/install/ တွင် တရားဝင် WireGuard ဝဘ်ဆိုက်သို့ ဝင်ရောက်ကြည့်ရှုပါ။
သင့် Firezone စီမံခန့်ခွဲသူ သို့မဟုတ် သင်ကိုယ်တိုင်က Firezone ပေါ်တယ်ကို အသုံးပြု၍ စက်ပစ္စည်းဖွဲ့စည်းပုံဖိုင်ကို ဖန်တီးနိုင်သည်။
စက်ပစ္စည်းဖွဲ့စည်းမှုပုံစံဖိုင်ကို ကိုယ်တိုင်ဖန်တီးရန် သင့် Firezone စီမံခန့်ခွဲသူမှ ပေးထားသည့် URL ကို ဝင်ကြည့်ပါ။ သင့်ကုမ္ပဏီသည် ဤအတွက် ထူးခြားသော URL တစ်ခုရှိလိမ့်မည်; ဤကိစ္စတွင်၊ ၎င်းသည် https://instance-id.yourfirezone.com ဖြစ်သည်။
Firezone Okta SSO သို့ဝင်ရောက်ပါ။
[ဖန်သားပြင်ဓာတ်ပုံရိုက်ထည့်ပါ]
၎င်းကိုဖွင့်ခြင်းဖြင့် WireGuard client သို့ .conf ဖိုင်ကို ထည့်သွင်းပါ။ Activate ခလုတ်ကိုလှန်ခြင်းဖြင့်၊ သင်သည် VPN စက်ရှင်ကို စတင်နိုင်သည်။
[ဖန်သားပြင်ဓာတ်ပုံရိုက်ထည့်ပါ]
သင်၏ VPN ချိတ်ဆက်မှုကို ဆက်လက်အသက်ဝင်နေစေရန် သင့်ကွန်ရက်စီမံခန့်ခွဲသူက ထပ်တလဲလဲ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းအား အောက်ပါညွှန်ကြားချက်များကို လိုက်နာပါ။
သင်လိုအပ်သည် -
Firezone portal ၏ URL- ချိတ်ဆက်မှုအတွက် သင့်ကွန်ရက်စီမံခန့်ခွဲသူကို မေးပါ။
သင့်ကွန်ရက်စီမံခန့်ခွဲသူသည် သင်၏ဝင်ရောက်မှုနှင့် စကားဝှက်ကို ပေးဆောင်နိုင်ရပါမည်။ Firezone site သည် သင့်အလုပ်ရှင်အသုံးပြုသည့် တစ်ခုတည်းသော sign-on ဝန်ဆောင်မှု (ဥပမာ Google သို့မဟုတ် Okta) ကို အသုံးပြု၍ သင့်အား အကောင့်ဝင်ရန် နှိုးဆော်မည်ဖြစ်သည်။
[ဖန်သားပြင်ဓာတ်ပုံရိုက်ထည့်ပါ]
Firezone ပေါ်တယ်၏ URL သို့သွားပြီး သင့်ကွန်ရက်စီမံခန့်ခွဲသူမှ ပေးထားသည့် အထောက်အထားများကို အသုံးပြု၍ ဝင်ရောက်ပါ။ သင်ဝင်ရောက်ပြီးဖြစ်ပါက၊ ပြန်လည်ဝင်ရောက်ခြင်းမပြုမီ ပြန်လည်စစ်ဆေးခြင်းခလုတ်ကို နှိပ်ပါ။
[ဖန်သားပြင်ဓာတ်ပုံရိုက်ထည့်ပါ]
[ဖန်သားပြင်ဓာတ်ပုံရိုက်ထည့်ပါ]
Linux စက်များတွင် Network Manager CLI ကို အသုံးပြု၍ WireGuard ဖွဲ့စည်းမှုပုံစံ ပရိုဖိုင်ကို တင်သွင်းရန်၊ ဤညွှန်ကြားချက်များ (nmcli) ကို လိုက်နာပါ။
ပရိုဖိုင်တွင် IPv6 ပံ့ပိုးမှုကို ဖွင့်ထားပါက၊ Network Manager GUI ကို အသုံးပြု၍ ဖွဲ့စည်းမှုဖိုင်ကို ထည့်သွင်းရန် ကြိုးပမ်းခြင်းသည် အောက်ပါအမှားအယွင်းကြောင့် မအောင်မြင်နိုင်ပါ။
ipv6.method- နည်းလမ်း "အော်တို" ကို WireGuard အတွက် မပံ့ပိုးပါ။
WireGuard userspace utilities ကို ထည့်သွင်းရန် လိုအပ်ပါသည်။ ၎င်းသည် Linux ဖြန့်ဝေမှုများအတွက် wireguard သို့မဟုတ် wireguard-tools ဟုခေါ်သော ပက်ကေ့ချ်တစ်ခုဖြစ်ပါမည်။
Ubuntu/Debian အတွက်-
sudo apt က wireguard ကို install လုပ်ပါ။
Fedora အသုံးပြုရန်-
sudo dnf သည် wireguard-tools ကို install လုပ်ပါ။
Arch Linux-
sudo pacman -S wireguard-tools
အထက်တွင်ဖော်ပြထားခြင်းမရှိသော ဖြန့်ဖြူးမှုများကို https://www.wireguard.com/install/ တွင် တရားဝင် WireGuard ဝဘ်ဆိုက်သို့ ဝင်ရောက်ကြည့်ရှုပါ။
သင်၏ Firezone စီမံခန့်ခွဲသူ သို့မဟုတ် ကိုယ်တိုင်မျိုးဆက် တစ်ခုခုသည် Firezone ပေါ်တယ်ကို အသုံးပြု၍ စက်ပစ္စည်းဖွဲ့စည်းမှုပုံစံဖိုင်ကို ထုတ်ပေးနိုင်သည်။
စက်ပစ္စည်းဖွဲ့စည်းမှုပုံစံဖိုင်ကို ကိုယ်တိုင်ဖန်တီးရန် သင့် Firezone စီမံခန့်ခွဲသူမှ ပေးထားသည့် URL ကို ဝင်ကြည့်ပါ။ သင့်ကုမ္ပဏီသည် ဤအတွက် ထူးခြားသော URL တစ်ခုရှိလိမ့်မည်; ဤကိစ္စတွင်၊ ၎င်းသည် https://instance-id.yourfirezone.com ဖြစ်သည်။
[ဖန်သားပြင်ဓာတ်ပုံရိုက်ထည့်ပါ]
nmcli ကို အသုံးပြု၍ ပံ့ပိုးပေးထားသော ဖွဲ့စည်းမှုပုံစံဖိုင်ကို တင်သွင်းပါ။
sudo nmcli ချိတ်ဆက်မှုမှ wireguard ဖိုင် /path/to/configuration.conf အမျိုးအစား တင်သွင်းပါ။
ဖွဲ့စည်းမှုဖိုင်၏အမည်သည် WireGuard ချိတ်ဆက်မှု/အင်တာဖေ့စ်နှင့် ကိုက်ညီမည်ဖြစ်သည်။ တင်သွင်းပြီးနောက်၊ လိုအပ်ပါက ချိတ်ဆက်မှုကို အမည်ပြောင်းနိုင်သည်-
nmcli ချိတ်ဆက်မှု [အမည်ဟောင်း] connection.id [အမည်သစ်] ကို ပြင်ဆင်ပါ။
အမိန့်ပေးစာကြောင်းမှတဆင့်၊ အောက်ပါအတိုင်း VPN သို့ချိတ်ဆက်ပါ။
nmcli ချိတ်ဆက်မှု [vpn အမည်]
အဆက်ဖြတ်ရန်:
nmcli ချိတ်ဆက်မှု အောက်သို့ [vpn အမည်]
GUI ကိုအသုံးပြုပါက ချိတ်ဆက်မှုကို စီမံခန့်ခွဲရန် သက်ဆိုင်ရာ Network Manager applet ကိုလည်း အသုံးပြုနိုင်သည်။
အလိုအလျောက်ချိတ်ဆက်မှုရွေးချယ်မှုအတွက် "yes" ကိုရွေးချယ်ခြင်းဖြင့်၊ VPN ချိတ်ဆက်မှုကို အလိုအလျောက်ချိတ်ဆက်ရန် ပြင်ဆင်သတ်မှတ်နိုင်သည်-
nmcli ချိတ်ဆက်မှု [vpn အမည်] ချိတ်ဆက်မှုကို မွမ်းမံပါ။ <<<<<<<<<<<<<<<<<<<<<<<
အလိုအလျောက်ချိတ်ဆက်မှု ဟုတ်ပါတယ်။
အလိုအလျောက်ချိတ်ဆက်မှုကို ပိတ်ရန် ၎င်းကို No သို့ ပြန်သတ်မှတ်ပါ-
nmcli ချိတ်ဆက်မှု [vpn အမည်] ချိတ်ဆက်မှုကို မွမ်းမံပါ။
အလိုအလျောက်ချိတ်ဆက်မှုနံပါတ်
MFA ကို အသက်သွင်းရန် Firezone ပေါ်တယ်၏ /user account/mfa စာမျက်နှာသို့ မှတ်ပုံတင်ပါ။ ထုတ်ပေးပြီးနောက် QR ကုဒ်ကို စကင်န်ဖတ်ရန် သင်၏ အထောက်အထားစိစစ်သူအက်ပ်ကို အသုံးပြုပါ၊ ထို့နောက် ဂဏန်းခြောက်လုံးကုဒ်ကို ထည့်ပါ။
သင်၏ အထောက်အထားစိစစ်ရေးအက်ပ်ကို လွဲမှားနေပါက သင့်အကောင့်၏ဝင်ရောက်ခွင့်အချက်အလက်ကို ပြန်လည်သတ်မှတ်ရန် သင့်စီမံခန့်ခွဲသူကို ဆက်သွယ်ပါ။
ဤသင်ခန်းစာသည် သင့်အား WireGuard ၏ သီးခြားဥမင်လိုဏ်ခေါင်းတူးခြင်းအင်္ဂါရပ်ကို Firezone ဖြင့် သတ်မှတ်ခြင်းလုပ်ငန်းစဉ်တစ်လျှောက် သင့်အား လမ်းညွှန်ပေးမည်ဖြစ်သောကြောင့် သတ်မှတ်ထားသော IP အပိုင်းအခြားများသို့ လမ်းကြောင်းများကို VPN ဆာဗာမှတစ်ဆင့် ထပ်ဆင့်ပေးပို့နိုင်မည်ဖြစ်သည်။
ကလိုင်းယင့်သည် ကွန်ရက်အသွားအလာလမ်းကြောင်းကို လမ်းကြောင်းပေးမည့် IP ဘောင်များကို /settings/default စာမျက်နှာတွင်ရှိသော ခွင့်ပြုထားသော IP အကွက်တွင် ဖော်ပြထားပါသည်။ Firezone မှထုတ်လုပ်ထားသော အသစ်ဖန်တီးထားသော WireGuard tunnel configurations များသာ ဤအကွက်သို့ ပြောင်းလဲမှုများကြောင့် ထိခိုက်မည်ဖြစ်သည်။
[ဖန်သားပြင်ဓာတ်ပုံရိုက်ထည့်ပါ]
မူရင်းတန်ဖိုးသည် 0.0.0.0/0၊ ::/0 ဖြစ်ပြီး၊ ၎င်းသည် သုံးစွဲသူမှ ကွန်ရက်အသွားအလာအားလုံးကို VPN ဆာဗာသို့ ပို့ဆောင်ပေးသည်။
ဤအကွက်ရှိ တန်ဖိုးများ ဥပမာများ ပါဝင်သည်။
0.0.0.0/0၊ ::/0 – ကွန်ရက်အသွားအလာအားလုံးကို VPN ဆာဗာသို့ လမ်းကြောင်းပြောင်းသွားပါမည်။
192.0.2.3/32 – တစ်ခုတည်းသော IP လိပ်စာသို့ အသွားအလာများသာ VPN ဆာဗာသို့ လမ်းကြောင်းပြောင်းသွားမည်ဖြစ်သည်။
3.5.140.0/22 – 3.5.140.1 – 3.5.143.254 အကွာအဝေးရှိ IP များသို့သာ လမ်းကြောင်းပြောင်းသွားပါမည်။ ဤဥပမာတွင်၊ ap-northeast-2 AWS ဒေသအတွက် CIDR အပိုင်းကို အသုံးပြုထားသည်။
Firezone သည် ပက်ကက်တစ်ခုကို လမ်းကြောင်းပေးရမည့်နေရာကို ဆုံးဖြတ်သည့်အခါ ဦးစွာ အတိကျဆုံးလမ်းကြောင်းနှင့် ဆက်စပ်နေသည့် egress interface ကို ရွေးသည်။
အသုံးပြုသူများသည် ခွဲထွက်လိုဏ်ခေါင်းပုံစံဖွဲ့စည်းမှုအသစ်ဖြင့် လက်ရှိအသုံးပြုသူစက်ပစ္စည်းများကို အပ်ဒိတ်လုပ်ရန်အတွက် ဖွဲ့စည်းမှုပုံစံဖိုင်များကို ပြန်လည်ထုတ်ပေးပြီး ၎င်းတို့၏ မူရင်း WireGuard ကလိုင်းယင့်သို့ ပေါင်းထည့်ရပါမည်။
ညွှန်ကြားချက်များကိုကြည့်ပါ ကိရိယာထည့်ပါ. <<<<<<<<<<<< လင့်ခ်ထည့်ပါ။
ဤလက်စွဲစာအုပ်သည် Firezone ကို relay အဖြစ်အသုံးပြု၍ စက်နှစ်လုံးကို ချိတ်ဆက်နည်းကို သရုပ်ပြပါမည်။ သာမာန်အသုံးပြုမှုကိစ္စတစ်ခုမှာ NAT သို့မဟုတ် firewall မှကာကွယ်ထားသောဆာဗာ၊ ကွန်တိန်နာ သို့မဟုတ် စက်ကိုဝင်ရောက်ရန် စီမံခန့်ခွဲသူကိုဖွင့်ရန်ဖြစ်သည်။
ဤသရုပ်ဖော်ပုံသည် စက်ကိရိယာ A နှင့် B သည် ဥမင်လိုဏ်ခေါင်းတစ်ခု တည်ဆောက်သည့် ရိုးရှင်းသော မြင်ကွင်းကို ပြသသည်။
[မီးဇုန်ဗိသုကာပုံထည့်ပါ]
/users/[user_id]/new_device သို့သွားခြင်းဖြင့် Device A နှင့် Device B ကို ဖန်တီးခြင်းဖြင့် စတင်ပါ။ စက်တစ်ခုစီအတွက် ဆက်တင်များတွင်၊ အောက်ပါဘောင်များကို အောက်တွင်ဖော်ပြထားသော တန်ဖိုးများအဖြစ် သတ်မှတ်ထားကြောင်း သေချာပါစေ။ စက်ပစ္စည်း config ကိုဖန်တီးသောအခါတွင် သင်သည် စက်ဆက်တင်များကို သတ်မှတ်နိုင်သည်။ ရှိပြီးသားစက်ပစ္စည်းတစ်ခုပေါ်တွင် ဆက်တင်များကို အပ်ဒိတ်လုပ်ရန် လိုအပ်ပါက၊ စက်ပစ္စည်း config အသစ်တစ်ခုကို ဖန်တီးခြင်းဖြင့် ၎င်းကို ပြုလုပ်နိုင်ပါသည်။
စက်ပစ္စည်းအားလုံးတွင် PersistentKeepalive ကို configure လုပ်နိုင်သည့် /settings/defaults စာမျက်နှာရှိသည်ကို သတိပြုပါ။
AllowedIPs = 10.3.2.2/32
၎င်းသည် Device B ၏ IP သို့မဟုတ် IP ၏ အပိုင်းအခြားဖြစ်သည်။
PersistentKeepalive = ၂၅
စက်ပစ္စည်းသည် NAT နောက်ကွယ်တွင်ရှိနေပါက၊ ၎င်းသည် စက်ပစ္စည်းသည် ဥမင်လိုဏ်ခေါင်းကို အသက်ရှင်နေစေကာ WireGuard အင်တာဖေ့စ်မှ ပက်ကေ့ခ်ျများကို ဆက်လက်လက်ခံရရှိကြောင်း သေချာစေသည်။ အများအားဖြင့် 25 တန်ဖိုးသည် လုံလောက်သော်လည်း သင့်ပတ်ဝန်းကျင်ပေါ်မူတည်၍ ဤတန်ဖိုးကို လျှော့ချရန် လိုအပ်နိုင်သည်။
AllowedIPs = 10.3.2.3/32
၎င်းသည် Device A ၏ IP သို့မဟုတ် IP ၏ အပိုင်းအခြားဖြစ်သည်။
PersistentKeepalive = ၂၅
ဤနမူနာတွင် Device A သည် Devices B မှ D နှင့် လမ်းကြောင်းနှစ်ခုလုံးတွင် ဆက်သွယ်နိုင်သည့် အခြေအနေတစ်ခုကို ပြသသည်။ ဤစနစ်ထည့်သွင်းမှုသည် ကွန်ရက်အမျိုးမျိုးရှိ အရင်းအမြစ်များစွာ (ဆာဗာများ၊ ကွန်တိန်နာများ သို့မဟုတ် စက်များ) ကို ဝင်ရောက်အသုံးပြုနေသည့် အင်ဂျင်နီယာ သို့မဟုတ် စီမံခန့်ခွဲသူကို ကိုယ်စားပြုနိုင်သည်။
[ Architectural Diagram ]<<<<<<<<<<<<<<<<<<<<<<
သက်ဆိုင်ရာတန်ဖိုးများအတွက် အောက်ပါဆက်တင်များကို စက်တစ်ခုစီ၏ဆက်တင်များတွင် ပြုလုပ်ထားကြောင်း သေချာပါစေ။ စက်ပစ္စည်းဖွဲ့စည်းမှုပုံစံကို ဖန်တီးသောအခါ၊ သင်သည် စက်ပစ္စည်းဆက်တင်များကို သတ်မှတ်နိုင်သည် (ကိရိယာများထည့်ခြင်းကို ကြည့်ပါ)။ ရှိနှင့်ပြီးသား စက်ရှိ ဆက်တင်များကို အပ်ဒိတ်လုပ်ရန် လိုအပ်ပါက စက်ပစ္စည်းပြင်ဆင်မှုအသစ်ကို ဖန်တီးနိုင်သည်။
AllowedIPs = 10.3.2.3/32၊ 10.3.2.4/32၊ 10.3.2.5/32
၎င်းသည် B မှ D မှ စက်ပစ္စည်းများ၏ IP ဖြစ်သည်။ စက်ပစ္စည်း B မှ D ၏ IP များသည် သင်သတ်မှတ်ရန် ရွေးချယ်ထားသော မည်သည့် IP အပိုင်းအခြားတွင်မဆို ပါဝင်ရပါမည်။
PersistentKeepalive = ၂၅
၎င်းသည် စက်ပစ္စည်းသည် ဥမင်လိုဏ်ခေါင်းကို ထိန်းသိမ်းနိုင်ပြီး NAT မှ ကာကွယ်ထားသော်လည်း WireGuard အင်တာဖေ့စ်မှ ပက်ကေ့ခ်ျများကို ဆက်လက်လက်ခံရရှိကြောင်း အာမခံပါသည်။ အခြေအနေအများစုတွင် 25 တန်ဖိုးသည် လုံလောက်သော်လည်း သင့်ပတ်ဝန်းကျင်ပေါ်မူတည်၍ ဤကိန်းဂဏန်းကို လျှော့ချရန် လိုအပ်နိုင်သည်။
သင့်အဖွဲ့၏ အသွားအလာအားလုံးအတွက် တစ်ခုတည်းသော၊ static egress IP ကို ကမ်းလှမ်းရန်အတွက် Firezone ကို NAT gateway အဖြစ် အသုံးပြုနိုင်ပါသည်။ ဤအခြေအနေများတွင် ၎င်း၏ မကြာခဏအသုံးပြုမှု ပါဝင်သည်။
အတိုင်ပင်ခံ ထိတွေ့ဆက်ဆံမှုများ- ဝန်ထမ်းတစ်ဦးစီ၏ သီးခြားစက်ပစ္စည်း IP ထက် သင့်ဖောက်သည်တစ်ဦးစီ၏ သီးသန့် IP လိပ်စာကို တရားဝင်ခွင့်ပြုရန် တောင်းဆိုပါ။
လုံခြုံရေး သို့မဟုတ် ကိုယ်ရေးကိုယ်တာ ရည်ရွယ်ချက်များအတွက် ပရောက်စီကို အသုံးပြုခြင်း သို့မဟုတ် သင့်အရင်းအမြစ် IP ကို ဖုံးကွယ်ထားသည်။
Firezone လည်ပတ်နေသော တစ်ခုတည်းသော ခွင့်ပြုထားသော စာရင်းဝင်ထားသည့် တည်ငြိမ် IP တစ်ခုသို့ ကိုယ်တိုင်လက်ခံလုပ်ဆောင်ထားသော ဝဘ်အက်ပ်အား ဝင်ရောက်ခွင့်ကို ကန့်သတ်ခြင်း၏ ရိုးရှင်းသော ဥပမာကို ဤပို့စ်တွင် သရုပ်ပြပါမည်။ ဤပုံဥပမာတွင် Firezone နှင့် ကာကွယ်ထားသော အရင်းအမြစ်များသည် မတူညီသော VPC ဧရိယာများတွင် ရှိနေသည်။
အသုံးပြုသူအများအပြားအတွက် IP အဖြူရောင်စာရင်းကို စီမံခန့်ခွဲရာ၌ ဤဖြေရှင်းချက်ကို မကြာခဏ အသုံးပြုလေ့ရှိပြီး အသုံးပြုခွင့်စာရင်း တိုးချဲ့လာသည်နှင့်အမျှ အချိန်ကုန်နိုင်သည်။
ကျွန်ုပ်တို့၏ရည်ရွယ်ချက်မှာ ကန့်သတ်ထားသောအရင်းအမြစ်သို့ VPN အသွားအလာကိုပြန်ညွှန်းရန် EC2 ဥပမာတစ်ခုပေါ်တွင် Firezone ဆာဗာတစ်ခုတည်ဆောက်ရန်ဖြစ်သည်။ ဤဥပမာတွင်၊ Firezone သည် ချိတ်ဆက်ထားသောစက်ပစ္စည်းတစ်ခုစီအား ထူးခြားသော အများသူငှာ egress IP ကိုပေးရန်အတွက် ကွန်ရက်ပရောက်စီ သို့မဟုတ် NAT တံခါးပေါက်တစ်ခုအဖြစ် လုပ်ဆောင်နေပါသည်။
ဤကိစ္စတွင်၊ tc2.micro ဟုအမည်ပေးထားသည့် EC2 instance တစ်ခုတွင် Firezone instance တစ်ခုကို ထည့်သွင်းထားသည်။ Firezone ကို အသုံးချခြင်းဆိုင်ရာ အချက်အလက်အတွက်၊ ဖြန့်ကျက်မှုလမ်းညွှန်သို့ သွားပါ။ AWS နှင့် စပ်လျဉ်း၍ သေချာပါစေ။
Firezone EC2 စံနမူနာ၏ လုံခြုံရေးအဖွဲ့သည် ကာကွယ်ထားသော အရင်းအမြစ်၏ IP လိပ်စာသို့ ပြင်ပအသွားအလာကို ခွင့်ပြုသည်။
Firezone စံနမူနာတွင် elastic IP ပါရှိသည်။ Firezone စံနမူနာမှတဆင့် ပြင်ပသွားမည့်နေရာများသို့ ထပ်ဆင့်ပို့သော လမ်းကြောင်းသည် ၎င်းကို ၎င်း၏အရင်းအမြစ် IP လိပ်စာအဖြစ် ထားရှိမည်ဖြစ်သည်။ မေးခွန်းရှိ IP လိပ်စာသည် 52.202.88.54 ဖြစ်သည်။
[ဖန်သားပြင်ဓာတ်ပုံရိုက်ထည့်ပါ]<<<<<<<<<<<<<<<<<<<<<<<<<
ဤကိစ္စရပ်တွင် ကိုယ်တိုင်လက်ခံလုပ်ဆောင်ထားသော ဝဘ်အက်ပလီကေးရှင်းသည် ကာကွယ်ထားသော ရင်းမြစ်အဖြစ် ဆောင်ရွက်ပါသည်။ ဝဘ်အက်ပ်အား IP လိပ်စာ 52.202.88.54 မှလာသော တောင်းဆိုမှုများဖြင့်သာ ဝင်ရောက်နိုင်သည်။ အရင်းအမြစ်ပေါ်မူတည်၍ ဆိပ်ကမ်းများနှင့် ယာဉ်အသွားအလာ အမျိုးအစား အမျိုးမျိုးတွင် အဝင်အထွက်လမ်းကြောင်းကို ခွင့်ပြုရန် လိုအပ်ပါသည်။ ဤအချက်ကို ဤလက်စွဲစာအုပ်တွင် မဖော်ပြထားပါ။
[ဖန်သားပြင်ဓာတ်ပုံရိုက်ထည့်ပါ]<<<<<<<<<<<<<<<<<<<<<<<<<
အဆင့် 1 တွင် သတ်မှတ်ထားသော static IP မှ အသွားအလာများကို အကာအကွယ်ပေးထားသည့် ရင်းမြစ်၏ တာဝန်ခံ တတိယပုဂ္ဂိုလ်အား ပြောပြပါ (ဤကိစ္စတွင် 52.202.88.54)။
ပုံမှန်အားဖြင့်၊ အသုံးပြုသူအသွားအလာအားလုံးသည် VPN ဆာဗာမှတစ်ဆင့် ဖြတ်သန်းသွားမည်ဖြစ်ပြီး အဆင့် 1 တွင် ပြင်ဆင်သတ်မှတ်ထားသည့် တည်ငြိမ် IP (ဤကိစ္စတွင် 52.202.88.54)။ သို့သော်၊ ခွဲခြမ်းဥမင်လိုဏ်ခေါင်းကို ဖွင့်ထားလျှင်၊ ကာကွယ်ထားသော အရင်းအမြစ်၏ ဦးတည်ရာ IP ကို ခွင့်ပြုထားသော IP များကြားတွင် စာရင်းသွင်းထားကြောင်း သေချာစေရန် ဆက်တင်များ လိုအပ်နိုင်သည်။
အောက်တွင်ဖော်ပြထားသည်မှာ ရရှိနိုင်သော configuration options များ၏ အပြည့်အစုံစာရင်းဖြစ်ပါသည်။ /etc/firezone/firezone.rb.
option ကို | ဖေါ်ပြချက် | မူလတန်ဖိုး |
မူရင်း['firezone']['external_url'] | ဤ Firezone ဥပမာ၏ ဝဘ်ပေါ်တယ်သို့ ဝင်ရောက်ရန် URL ကို အသုံးပြုခဲ့သည်။ | “https://#{node['fqdn'] || node['hostname']}” |
မူရင်း['firezone']['config_directory'] | Firezone ဖွဲ့စည်းမှုပုံစံအတွက် ထိပ်တန်းအဆင့်လမ်းညွှန်။ | /etc/firezone' |
မူရင်း['firezone']['install_directory'] | Firezone ကို ထည့်သွင်းရန် ထိပ်တန်းအဆင့် လမ်းညွှန်။ | /opt/firezone' |
မူရင်း['firezone']['app_directory'] | Firezone ဝဘ်အပလီကေးရှင်းကို ထည့်သွင်းရန် ထိပ်တန်းအဆင့်လမ်းညွှန်။ | “#{node['firezone']['install_directory']}/embedded/service/firezone” |
မူရင်း['firezone']['log_directory'] | Firezone မှတ်တမ်းများအတွက် ထိပ်တန်းအဆင့်လမ်းညွှန်။ | /var/log/firezone' |
မူရင်း['firezone']['var_directory'] | Firezone runtime ဖိုင်များအတွက် ထိပ်တန်းအဆင့်လမ်းညွှန်။ | /var/opt/firezone' |
မူရင်း['firezone']['user'] | အခွင့်ထူးခံမရသော Linux အသုံးပြုသူ၏အမည်သည် ဝန်ဆောင်မှုနှင့် ဖိုင်အများစုကို ပိုင်ဆိုင်မည်ဖြစ်သည်။ | မီးဇုန်' |
မူရင်း['firezone']['group'] | ဝန်ဆောင်မှုအများစုနှင့် ဖိုင်အများစုသည် Linux အုပ်စု၏အမည်။ | မီးဇုန်' |
မူရင်း['firezone']['admin_email'] | ကနဦး Firezone အသုံးပြုသူအတွက် အီးမေးလ်လိပ်စာ။ | "firezone@localhost" |
မူရင်း['firezone']['max_devices_per_user'] | အသုံးပြုသူရှိနိုင်သော အများဆုံးစက်ပစ္စည်းအရေအတွက်။ | 10 |
မူရင်း['firezone']['allow_unprivileged_device_management'] | စီမံခန့်ခွဲသူမဟုတ်သော အသုံးပြုသူများအား စက်များကို ဖန်တီးရန်နှင့် ဖျက်ရန် ခွင့်ပြုသည်။ | TRUE |
မူရင်း['firezone']['allow_unprivileged_device_configuration'] | စီမံခန့်ခွဲသူမဟုတ်သော အသုံးပြုသူများကို စက်ပစ္စည်းဖွဲ့စည်းပုံများကို ပြင်ဆင်ခွင့်ပြုသည်။ ပိတ်ထားသည့်အခါ၊ အမည်နှင့် ဖော်ပြချက်မှလွဲ၍ စက်ပစ္စည်းအကွက်များအားလုံးကို ပြောင်းလဲခြင်းမှ အခွင့်ထူးမခံရသေးသော အသုံးပြုသူများကို တားဆီးသည်။ | TRUE |
မူရင်း['firezone']['egress_interface'] | ဥမင်လိုဏ်ခေါင်းလမ်းကြောင်းမှ ထွက်မည့် အင်တာဖေ့စ်အမည်။ မဟုတ်ပါက၊ မူရင်းလမ်းကြောင်း အင်တာဖေ့စ်ကို အသုံးပြုပါမည်။ | nil |
မူရင်း['firezone']['fips_enabled'] | OpenSSL FIPs မုဒ်ကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | nil |
မူရင်း['firezone']['logging']['enabled'] | Firezone တစ်လျှောက် မှတ်တမ်းသွင်းခြင်းကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ စာရင်းသွင်းခြင်းကို လုံးဝပိတ်ရန် false ဟု သတ်မှတ်ပါ။ | TRUE |
မူရင်း['လုပ်ငန်း']['အမည်'] | စားဖိုမှူး 'လုပ်ငန်း' ထမင်းချက်စာအုပ်တွင် သုံးသော အမည်။ | မီးဇုန်' |
မူရင်း['firezone']['install_path'] | စားဖိုမှူး 'လုပ်ငန်း' ထမင်းချက်စာအုပ်တွင် အသုံးပြုသည့် လမ်းကြောင်းကို ထည့်သွင်းပါ။ အပေါ်က install_directory အတိုင်းပဲ သတ်မှတ်သင့်ပါတယ်။ | node['firezone']['install_directory'] |
မူရင်း['firezone']['sysvinit_id'] | /etc/inittab တွင်အသုံးပြုသော identifier တစ်ခု။ စာလုံး 1-4 လုံး၏ ထူးခြားသော အတွဲဖြစ်ရမည်။ | SUP' |
မူရင်း['firezone']['authentication']['local']['enabled'] | ဒေသတွင်း အီးမေးလ်/စကားဝှက် စစ်မှန်ကြောင်း အတည်ပြုခြင်းကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['authentication']['auto_create_oidc_users'] | ODC မှ ပထမဆုံးအကြိမ် လက်မှတ်ထိုးဝင်သည့် သုံးစွဲသူများကို အလိုအလျောက် ဖန်တီးပါ။ ODDC မှတစ်ဆင့် လက်ရှိအသုံးပြုသူများသာ ဝင်ရောက်ခွင့်ပြုရန် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['authentication']['disable_vpn_on_oidc_error'] | ၎င်းတို့၏ ODC တိုကင်ကို ပြန်လည်ဆန်းသစ်ရန် ကြိုးပမ်းရာတွင် အမှားအယွင်းတစ်ခု တွေ့ရှိပါက သုံးစွဲသူ၏ VPN ကို ပိတ်ပါ။ | အတုအယောငျ |
မူရင်း['firezone']['authentication']['oidc'] | OpenID Connect config၊ {“provider” => [config…]} ၏ဖော်မတ် – ကြည့်ပါ OpenIDConnect စာရွက်စာတမ်း config ဥပမာများအတွက်။ | {} |
မူရင်း['firezone']['nginx']['enabled'] | စုစည်းထားသော nginx ဆာဗာကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['nginx']['ssl_port'] | HTTPS နားဆင်ရန်ပေါက်။ | 443 |
မူရင်း['firezone']['nginx']['directory'] | Firezone နှင့်ပတ်သက်သော nginx virtual host ဖွဲ့စည်းမှုပုံစံကို သိမ်းဆည်းရန် လမ်းညွှန်။ | “#{node['firezone']['var_directory']}/nginx/etc” |
မူရင်း['firezone']['nginx']['log_directory'] | Firezone ဆိုင်ရာ nginx မှတ်တမ်းဖိုင်များကို သိမ်းဆည်းရန် လမ်းညွှန်။ | “#{node['firezone']['log_directory']}/nginx” |
မူရင်း['firezone']['nginx']['log_rotation']['file_maxbytes'] | Nginx မှတ်တမ်းဖိုင်များကို လှည့်ရန် ဖိုင်အရွယ်အစား။ | 104857600 |
မူရင်း['firezone']['nginx']['log_rotation']['num_to_keep'] | စွန့်ပစ်ခြင်းမပြုမီ ထိန်းသိမ်းထားရန် Firezone nginx မှတ်တမ်းဖိုင်များ အရေအတွက်။ | 10 |
မူရင်း['firezone']['nginx']['log_x_forwarded_for'] | Firezone nginx x-forwarded-forwarded-header ကို လော့ဂ်လုပ်မလား။ | TRUE |
မူရင်း['firezone']['nginx']['hsts_header']['enabled'] | TRUE | |
မူရင်း['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS ခေါင်းစီးအတွက် SubDomains ပါဝင်သည်ကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['nginx']['hsts_header']['max_age'] | HSTS ခေါင်းစီးအတွက် အများဆုံးအသက်။ | 31536000 |
မူရင်း['firezone']['nginx']['redirect_to_canonical'] | အထက်တွင်ဖော်ပြထားသော canonical FQDN သို့ URL များကို ပြန်ညွှန်းမလား။ | အတုအယောငျ |
မူရင်း['firezone']['nginx']['cache']['enabled'] | Firezone nginx cache ကိုဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | အတုအယောငျ |
မူရင်း['firezone']['nginx']['cache']['directory'] | Firezone nginx cache အတွက် လမ်းညွှန်။ | “#{node['firezone']['var_directory']}/nginx/cache” |
မူရင်း['firezone']['nginx']['user'] | Firezone nginx အသုံးပြုသူ။ | node['firezone']['user'] |
မူရင်း['firezone']['nginx']['group'] | Firezone nginx အုပ်စု။ | node['firezone']['group'] |
မူရင်း['firezone']['nginx']['dir'] | ထိပ်တန်းအဆင့် nginx ဖွဲ့စည်းမှုလမ်းညွှန်။ | node['firezone']['nginx']['directory'] |
မူရင်း['firezone']['nginx']['log_dir'] | ထိပ်တန်းအဆင့် nginx မှတ်တမ်းလမ်းညွှန်။ | node['firezone']['nginx']['log_directory'] |
မူရင်း['firezone']['nginx']['pid'] | nginx pid ဖိုင်အတွက်တည်နေရာ။ | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
မူရင်း['firezone']['nginx']['daemon_disable'] | ၎င်းအစား ၎င်းကို ကျွန်ုပ်တို့ စောင့်ကြည့်နိုင်စေရန် nginx daemon မုဒ်ကို ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['nginx']['gzip'] | nginx gzip ချုံ့ခြင်းကို ဖွင့် သို့မဟုတ် ပိတ်ပါ။ | အပေါ် |
မူရင်း['firezone']['nginx']['gzip_static'] | static ဖိုင်များအတွက် nginx gzip ချုံ့မှုကို အဖွင့် သို့မဟုတ် ပိတ်ပါ။ | ပိတ်' |
မူရင်း['firezone']['nginx']['gzip_http_version'] | static ဖိုင်များကို ဆောင်ရွက်ပေးရန်အတွက် အသုံးပြုရန် HTTP ဗားရှင်း။ | 1.0 '' |
မူရင်း['firezone']['nginx']['gzip_comp_level'] | nginx gzip ဖိသိပ်မှုအဆင့်။ | 2 '' |
မူရင်း['firezone']['nginx']['gzip_proxied'] | တောင်းဆိုချက်နှင့် တုံ့ပြန်မှုပေါ်မူတည်၍ proxyed တောင်းဆိုမှုများအတွက် တုံ့ပြန်မှု gzipping ကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | တစ်ခုခု' |
မူရင်း['firezone']['nginx']['gzip_vary'] | “Vary- လက်ခံ-ကုဒ်သွင်းခြင်း” တုံ့ပြန်မှု ခေါင်းစီးကို ထည့်သွင်းခြင်း သို့မဟုတ် ပိတ်ခြင်း | ပိတ်' |
မူရင်း['firezone']['nginx']['gzip_buffers'] | တုံ့ပြန်မှုကို ချုံ့ရန် အသုံးပြုသည့် ကြားခံများ၏ အရေအတွက်နှင့် အရွယ်အစားကို သတ်မှတ်ပေးသည်။ မဟုတ်ပါက၊ nginx မူရင်းကို အသုံးပြုသည်။ | nil |
မူရင်း['firezone']['nginx']['gzip_types'] | gzip ချုံ့ခြင်းကိုဖွင့်ရန် MIME အမျိုးအစားများ။ | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' စာသား/javascript'၊ 'application/javascript'၊ 'application/json'] |
မူရင်း['firezone']['nginx']['gzip_min_length'] | ဖိုင် gzip ချုံ့မှုကို ဖွင့်ရန် အနည်းဆုံး ဖိုင်အရှည်။ | 1000 |
မူရင်း['firezone']['nginx']['gzip_disable'] | gzip ချုံ့ခြင်းကို ပိတ်ရန်အတွက် အသုံးပြုသူ-အေးဂျင့် matcher။ | MSIE [1-6]\။' |
မူရင်း['firezone']['nginx']['keepalive'] | အထက်စီးကြောင်းဆာဗာများနှင့် ချိတ်ဆက်မှုအတွက် ကက်ရှ်ကို အသက်သွင်းသည်။ | အပေါ် |
မူရင်း['firezone']['nginx']['keepalive_timeout'] | အထက်စီးကြောင်းဆာဗာများသို့ ဆက်တိုက်ချိတ်ဆက်မှုအတွက် စက္ကန့်ပိုင်းအတွင်း အချိန်ကုန်သွားပါသည်။ | 65 |
မူရင်း['firezone']['nginx']['worker_processes'] | nginx အလုပ်သမား လုပ်ငန်းစဉ် အရေအတွက်။ | node['cpu'] && node['cpu']['total'] ? node['cpu']['total'] : ၁ |
မူရင်း['firezone']['nginx']['worker_connections'] | အလုပ်သမား လုပ်ငန်းစဉ်ဖြင့် ဖွင့်နိုင်သော တစ်ပြိုင်နက် ချိတ်ဆက်မှု အများဆုံး အရေအတွက်။ | 1024 |
မူရင်း['firezone']['nginx']['worker_rlimit_nofile'] | အလုပ်သမား လုပ်ငန်းစဉ်များအတွက် အများဆုံးဖွင့်ထားသော ဖိုင်အရေအတွက်အပေါ် ကန့်သတ်ချက်ကို ပြောင်းလဲသည်။ Nil ဖြစ်လျှင် nginx default ကိုသုံးသည်။ | nil |
မူရင်း['firezone']['nginx']['multi_accept'] | အလုပ်သမားများသည် တစ်ကြိမ်လျှင် ချိတ်ဆက်မှုတစ်ခု သို့မဟုတ် အများအပြားကို လက်ခံသင့်သည်ဖြစ်စေ။ | TRUE |
မူရင်း['firezone']['nginx']['event'] | nginx ဖြစ်ရပ်များဆက်စပ်မှုအတွင်း အသုံးပြုရန် ချိတ်ဆက်မှုလုပ်ဆောင်ခြင်းနည်းလမ်းကို သတ်မှတ်သည်။ | epol' |
မူရင်း['firezone']['nginx']['server_tokens'] | အမှားအယွင်းစာမျက်နှာများနှင့် "ဆာဗာ" တုံ့ပြန်မှုခေါင်းစီးအကွက်တွင် nginx ဗားရှင်းကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | nil |
မူရင်း['firezone']['nginx']['server_names_hash_bucket_size'] | ဆာဗာအမည် hash tables အတွက် ပုံးအရွယ်အစားကို သတ်မှတ်သည်။ | 64 |
မူရင်း['firezone']['nginx']['sendfile'] | nginx ၏ sendfile() အသုံးပြုမှုကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | အပေါ် |
မူရင်း['firezone']['nginx']['access_log_options'] | nginx ဝင်ရောက်ခွင့် မှတ်တမ်း ရွေးချယ်မှုများကို သတ်မှတ်ပေးသည်။ | nil |
မူရင်း['firezone']['nginx']['error_log_options'] | nginx အမှားအယွင်းမှတ်တမ်း ရွေးချယ်မှုများကို သတ်မှတ်ပေးသည်။ | nil |
မူရင်း['firezone']['nginx']['disable_access_log'] | nginx ဝင်ရောက်ခွင့် မှတ်တမ်းကို ပိတ်ပါ။ | အတုအယောငျ |
မူရင်း['firezone']['nginx']['types_hash_max_size'] | nginx အမျိုးအစားများသည် hash max အရွယ်အစား။ | 2048 |
မူရင်း['firezone']['nginx']['types_hash_bucket_size'] | nginx အမျိုးအစားများသည် hash bucket အရွယ်အစား။ | 64 |
မူရင်း['firezone']['nginx']['proxy_read_timeout'] | nginx ပရောက်စီဖတ်ချိန်ကုန်သွားသည်။ nginx မူရင်းကို အသုံးပြုရန် Nil ကို သတ်မှတ်ပါ။ | nil |
မူရင်း['firezone']['nginx']['client_body_buffer_size'] | nginx client body buffer အရွယ်အစား။ nginx မူရင်းကို အသုံးပြုရန် Nil ကို သတ်မှတ်ပါ။ | nil |
မူရင်း['firezone']['nginx']['client_max_body_size'] | nginx ကလိုင်းယင့် အများဆုံး ကိုယ်ထည်အရွယ်အစား။ | 250m' |
မူရင်း['firezone']['nginx']['default']['modules'] | နောက်ထပ် nginx မော်ဂျူးများကို သတ်မှတ်ပါ။ | [] |
မူရင်း['firezone']['nginx']['enable_rate_limiting'] | nginx နှုန်းကန့်သတ်ချက်ကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['nginx']['rate_limiting_zone_name'] | Nginx နှုန်းကန့်သတ်ဇုန်အမည်။ | မီးဇုန်' |
မူရင်း['firezone']['nginx']['rate_limiting_backoff'] | Nginx နှုန်းသည် backoff ကိုကန့်သတ်ထားသည်။ | 10m' |
မူရင်း['firezone']['nginx']['rate_limit'] | Nginx နှုန်းကန့်သတ်ချက်။ | 10r/s' |
မူရင်း['firezone']['nginx']['ipv6'] | IPv6 အပြင် IPv4 အတွက် HTTP တောင်းဆိုမှုများကို nginx အား နားထောင်ခွင့်ပြုပါ။ | TRUE |
မူရင်း['firezone']['postgresql']['enabled'] | စုစည်းထားသော Postgresql ကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ false ဟုသတ်မှတ်ပြီး သင့်ကိုယ်ပိုင် Postgresql instance ကိုအသုံးပြုရန်အတွက် အောက်တွင်ဖော်ပြထားသော ဒေတာဘေ့စ်ရွေးချယ်စရာများကို ဖြည့်ပါ။ | TRUE |
မူရင်း['firezone']['postgresql']['username'] | Postgresql အတွက် အသုံးပြုသူအမည်။ | node['firezone']['user'] |
မူရင်း['firezone']['postgresql']['data_directory'] | Postgresql ဒေတာလမ်းညွှန်။ | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
မူရင်း['firezone']['postgresql']['log_directory'] | Postgresql မှတ်တမ်းလမ်းညွှန်။ | “#{node['firezone']['log_directory']}/postgresql” |
မူရင်း['firezone']['postgresql']['log_rotation']['file_maxbytes'] | မလှည့်မီ Postgresql မှတ်တမ်းဖိုင်၏ အမြင့်ဆုံးအရွယ်အစား။ | 104857600 |
မူရင်း['firezone']['postgresql']['log_rotation']['num_to_keep'] | သိမ်းဆည်းရန် Postgresql မှတ်တမ်းဖိုင်များ အရေအတွက်။ | 10 |
မူရင်း['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql စစ်ဆေးရေးဂိတ် ပြီးစီးရန် ပစ်မှတ်။ | 0.5 |
မူရင်း['firezone']['postgresql']['checkpoint_segments'] | Postgresql စစ်ဆေးရေးဂိတ် အပိုင်း အရေအတွက်။ | 3 |
မူရင်း['firezone']['postgresql']['checkpoint_timeout'] | Postgresql စစ်ဆေးရေးဂိတ် အချိန်ကုန်သွားသည်။ | ၅ မိနစ် |
မူရင်း['firezone']['postgresql']['checkpoint_warning'] | Postgresql စစ်ဆေးရေးဂိတ် သတိပေးချက်အချိန်သည် စက္ကန့်ပိုင်းအတွင်း။ | ၃၀ နှစ်များ |
မူရင်း['firezone']['postgresql']['effective_cache_size'] | Postgresql ထိရောက်သော ကက်ရှ်အရွယ်အစား။ | 128MB' |
မူရင်း['firezone']['postgresql']['listen_address'] | Postgresql နားထောင်ရန်လိပ်စာ။ | 127.0.0.1 '' |
မူရင်း['firezone']['postgresql']['max_connections'] | Postgresql အမြင့်ဆုံးချိတ်ဆက်မှုများ။ | 350 |
မူရင်း['firezone']['postgresql']['md5_auth_cidr_addresses'] | md5 auth အတွက် ခွင့်ပြုရန် Postgresql CIDRs | ['127.0.0.1/32'၊ '::1/128'] |
မူရင်း['firezone']['postgresql']['port'] | Postgresql နားထောင်ရန်ဆိပ်ကမ်း။ | 15432 |
မူရင်း['firezone']['postgresql']['shared_buffers'] | Postgresql မျှဝေထားသော ကြားခံအရွယ်အစား။ | “#{(node['memory']['total'].to_i / 4) / 1024}MB” |
မူရင်း['firezone']['postgresql']['shmmax'] | ဘိုက်ဖြင့် Postgresql shmmax | 17179869184 |
မူရင်း['firezone']['postgresql']['shmall'] | ဘိုက်ဖြင့် Postgresql shmall | 4194304 |
မူရင်း['firezone']['postgresql']['work_mem'] | Postgresql အလုပ်လုပ်သောမှတ်ဉာဏ်အရွယ်အစား။ | 8MB' |
မူရင်း['firezone']['database']['user'] | DB သို့ ချိတ်ဆက်ရန် Firezone အသုံးပြုမည့် သုံးစွဲသူအမည်ကို သတ်မှတ်ပါ။ | node['firezone']['postgresql']['username'] |
မူရင်း['firezone']['database']['password'] | ပြင်ပ DB ကို အသုံးပြုပါက DB သို့ ချိတ်ဆက်ရန် Firezone အသုံးပြုမည့် စကားဝှက်ကို သတ်မှတ်ပါ။ | ပြောင်းလဲ_ငါ့ |
မူရင်း['firezone']['database']['name'] | Firezone အသုံးပြုမည့် ဒေတာဘေ့စ်။ မရှိလျှင် ဖန်တီးပါမည်။ | မီးဇုန်' |
မူရင်း['firezone']['database']['host'] | Firezone နှင့်ချိတ်ဆက်မည့် ဒေတာဘေ့စ်အိမ်ရှင်။ | node['firezone']['postgresql']['listen_address'] |
မူရင်း['firezone']['database']['port'] | Firezone သို့ ချိတ်ဆက်မည့် ဒေတာဘေ့စ်ပေါက်။ | node['firezone']['postgresql']['port'] |
မူရင်း['firezone']['database']['pool'] | Database pool size Firezone ကို အသုံးပြုပါမည်။ | [10၊ Etc.nprocessors].max |
မူရင်း['firezone']['database']['ssl'] | SSL မှတဆင့် ဒေတာဘေ့စ်သို့ ချိတ်ဆက်မလား။ | အတုအယောငျ |
မူရင်း['firezone']['database']['ssl_opts'] | {} | |
မူရင်း['firezone']['database']['parameters'] | {} | |
မူရင်း['firezone']['database']['extensions'] | ဖွင့်ရန် ဒေတာဘေ့စ် တိုးချဲ့မှုများ။ | { 'plpgsql' => true, 'pg_trgm' => true } |
မူရင်း['firezone']['phoenix']['enabled'] | Firezone ဝဘ်အပလီကေးရှင်းကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['phoenix']['listen_address'] | Firezone ဝဘ်အပလီကေးရှင်းလိပ်စာ နားထောင်ပါ။ ၎င်းသည် nginx proxies ၏ အထက်စီးကြောင်း နားထောင်ရန်လိပ်စာဖြစ်ပါမည်။ | 127.0.0.1 '' |
မူရင်း['firezone']['phoenix']['port'] | Firezone ဝဘ်အက်ပလီကေးရှင်း နားထောင်ရန် ဆိပ်ကမ်း။ ၎င်းသည် nginx proxies ၏ အထက်ရေစီးကြောင်း ပို့တ်ဖြစ်လိမ့်မည်။ | 13000 |
မူရင်း['firezone']['phoenix']['log_directory'] | Firezone ဝဘ်အပလီကေးရှင်းမှတ်တမ်းလမ်းညွှန်။ | “#{node['firezone']['log_directory']}/phoenix” |
မူရင်း['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone ဝဘ်အပလီကေးရှင်းမှတ်တမ်း ဖိုင်အရွယ်အစား။ | 104857600 |
မူရင်း['firezone']['phoenix']['log_rotation']['num_to_keep'] | Firezone ဝဘ်အပလီကေးရှင်း မှတ်တမ်းဖိုင်များကို ထားရှိရန် အရေအတွက်။ | 10 |
မူရင်း['firezone']['phoenix']['crash_detection']['enabled'] | ပျက်ကျနေသည်ကို တွေ့ရှိသောအခါ Firezone ဝဘ်အပလီကေးရှင်းကို ဖြုတ်ချခြင်းအား ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['phoenix']['external_trusted_proxies'] | IPs နှင့်/သို့မဟုတ် CIDR များ Array တစ်ခုအဖြစ် ဖော်မတ်လုပ်ထားသည့် ယုံကြည်ရသော ပြောင်းပြန် proxy များစာရင်း။ | [] |
မူရင်း['firezone']['phoenix']['private_clients'] | သီးသန့်ကွန်ရက် HTTP ဖောက်သည်များစာရင်း၊ IP နှင့်/သို့မဟုတ် CIDR များ၏ Array တစ်ခုကို ဖော်မတ်လုပ်ထားသည်။ | [] |
မူရင်း['firezone']['wireguard']['enabled'] | စုစည်းထားသော WireGuard စီမံခန့်ခွဲမှုကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['wireguard']['log_directory'] | ထုပ်ပိုးထားသော WireGuard စီမံခန့်ခွဲမှုအတွက် မှတ်တမ်းလမ်းညွှန်။ | “#{node['firezone']['log_directory']}/wireguard” |
မူရင်း['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard မှတ်တမ်းဖိုင် အမြင့်ဆုံးအရွယ်အစား။ | 104857600 |
မူရင်း['firezone']['wireguard']['log_rotation']['num_to_keep'] | သိမ်းဆည်းရန် WireGuard မှတ်တမ်းဖိုင်အရေအတွက်။ | 10 |
မူရင်း['firezone']['wireguard']['interface_name'] | WireGuard အင်တာဖေ့စ်အမည်။ ဤကန့်သတ်ဘောင်ကိုပြောင်းလဲခြင်းသည် VPN ချိတ်ဆက်မှုတွင် ယာယီဆုံးရှုံးမှုဖြစ်စေနိုင်သည်။ | wg-firezone' |
မူရင်း['firezone']['wireguard']['port'] | WireGuard နားဆင်ပေါက်ပေါက်။ | 51820 |
မူရင်း['firezone']['wireguard']['mtu'] | ဤဆာဗာအတွက် နှင့် စက်ဖွဲ့စည်းပုံများ အတွက် WireGuard အင်တာဖေ့စ် MTU။ | 1280 |
မူရင်း['firezone']['wireguard']['endpoint'] | စက်ပစ္စည်းဖွဲ့စည်းပုံများဖန်တီးရန်အတွက် အသုံးပြုရန် WireGuard Endpoint။ မဟုတ်ပါက၊ ဆာဗာ၏ အများသူငှာ IP လိပ်စာသို့ ပုံသေသတ်မှတ်သည်။ | nil |
မူရင်း['firezone']['wireguard']['dns'] | ထုတ်လုပ်ထားသော စက်ဖွဲ့စည်းပုံများ အတွက် အသုံးပြုရန် WireGuard DNS။ | ၁.၁.၁.၁၊ ၁.၀.၀.၁′ |
မူရင်း['firezone']['wireguard']['allowed_ips'] | ထုတ်လုပ်ထားသော စက်ဖွဲ့စည်းပုံများ အတွက် WireGuard ခွင့်ပြုထားသော IP များ။ | 0.0.0.0/0၊ ::/0′ |
မူရင်း['firezone']['wireguard']['persistent_keepalive'] | ထုတ်လုပ်လိုက်သော စက်ဖွဲ့စည်းပုံများအတွက် မူရင်း PersistentKeepalive ဆက်တင်။ တန်ဖိုး၏ 0 ကို ပိတ်ထားသည်။ | 0 |
မူရင်း['firezone']['wireguard']['ipv4']['enabled'] | WireGuard ကွန်ရက်အတွက် IPv4 ကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['wireguard']['ipv4']['masquerade'] | IPv4 ဥမင်လိုဏ်ခေါင်းမှ ထွက်သည့် ပက်ကေ့ဂျ်များအတွက် အသွင်ဆောင်မှုကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['wireguard']['ipv4']['network'] | WireGuard ကွန်ရက် IPv4 လိပ်စာ ရေကန်။ | ၅၈/၅၉ ′ |
မူရင်း['firezone']['wireguard']['ipv4']['address'] | WireGuard အင်တာဖေ့စ် IPv4 လိပ်စာ။ WireGuard လိပ်စာရေကူးကန်အတွင်း ဖြစ်ရမည်။ | 10.3.2.1 '' |
မူရင်း['firezone']['wireguard']['ipv6']['enabled'] | WireGuard ကွန်ရက်အတွက် IPv6 ကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['wireguard']['ipv6']['masquerade'] | IPv6 ဥမင်လိုဏ်ခေါင်းမှ ထွက်သည့် ပက်ကေ့ဂျ်များအတွက် အသွင်ဆောင်မှုကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['wireguard']['ipv6']['network'] | WireGuard ကွန်ရက် IPv6 လိပ်စာ ရေကန်။ | fd00::3:2:0/120′ |
မူရင်း['firezone']['wireguard']['ipv6']['address'] | WireGuard အင်တာဖေ့စ် IPv6 လိပ်စာ။ IPv6 လိပ်စာပေါင်းစုအတွင်း ဖြစ်ရမည်။ | fd00::3:2:1′ |
မူရင်း['firezone']['runit']['svlogd_bin'] | svlogd bin တည်နေရာကို run ပါ။ | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
မူရင်း['firezone']['ssl']['directory'] | ထုတ်ပေးထားသော လက်မှတ်များကို သိမ်းဆည်းရန်အတွက် SSL လမ်းညွှန်။ | /var/opt/firezone/ssl' |
မူရင်း['firezone']['ssl']['email_address'] | ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်များနှင့် ACME ပရိုတိုကော သက်တမ်းတိုးခြင်း သတိပေးချက်များအတွက် အသုံးပြုရန် အီးမေးလ်လိပ်စာ။ | you@example.com' |
မူရင်း['firezone']['ssl']['acme']['enabled'] | အလိုအလျောက် SSL လက်မှတ် ပံ့ပိုးပေးမှုအတွက် ACME ကို ဖွင့်ပါ။ Nginx ကို port 80 တွင် နားထောင်ခြင်းမှ ကာကွယ်ရန် ၎င်းကို ပိတ်ပါ။ ကြည့်ပါ။ ဒီမှာ နောက်ထပ်ညွှန်ကြားချက်များအတွက် | အတုအယောငျ |
မူရင်း['firezone']['ssl']['acme']['server'] | letencrypt | |
မူရင်း['firezone']['ssl']['acme']['keylength'] | SSL လက်မှတ်များအတွက် သော့အမျိုးအစားနှင့် အရှည်ကို သတ်မှတ်ပါ။ ကြည့်ပါ။ ဒီမှာ | ec-256 |
မူရင်း['firezone']['ssl']['certificate'] | သင်၏ FQDN အတွက် လက်မှတ်ဖိုင်သို့ လမ်းကြောင်း။ သတ်မှတ်ထားပါက အထက်ဖော်ပြပါ ACME ဆက်တင်ကို အစားထိုးသည်။ ACME နှင့် ၎င်းသည် နှစ်ခုလုံးမဟုတ်ပါက ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်ကိုထုတ်ပေးမည်ဖြစ်သည်။ | nil |
မူရင်း['firezone']['ssl']['certificate_key'] | လက်မှတ်ဖိုင်သို့ လမ်းကြောင်း။ | nil |
မူရင်း['firezone']['ssl']['ssl_dparam'] | nginx ssl dh_param။ | nil |
မူရင်း['firezone']['ssl']['country_name'] | ကိုယ်တိုင်လက်မှတ်ထိုးထားသော နိုင်ငံအမည်။ | US' |
မူရင်း['firezone']['ssl']['state_name'] | ကိုယ်တိုင်လက်မှတ်ထိုးထားသော ပြည်နယ်အမည်။ | CA ' |
မူရင်း['firezone']['ssl']['locality_name'] | ကိုယ်တိုင်ရေးထိုးထားသော လက်မှတ်အတွက် ဒေသအမည်။ | ဆန်ဖရန်စစ္စကို |
မူရင်း['firezone']['ssl']['company_name'] | ကုမ္ပဏီအမည် ကိုယ်တိုင် လက်မှတ် ရေးထိုးပါ။ | ကျွန်ုပ်၏ကုမ္ပဏီ' |
မူရင်း['firezone']['ssl']['organizational_unit_name'] | ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်အတွက် အဖွဲ့အစည်းဆိုင်ရာ ယူနစ်အမည်။ | စစ်ဆင်ရေး' |
မူရင်း['firezone']['ssl']['ciphers'] | အသုံးပြုရန် nginx အတွက် SSL ciphers | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
မူရင်း['firezone']['ssl']['fips_ciphers'] | FIPs မုဒ်အတွက် SSL စာဝှက်များ။ | FIPS@ Strength:!aNULL:!eNULL' |
မူရင်း['firezone']['ssl']['protocols'] | အသုံးပြုရန် TLS ပရိုတိုကောများ | TLSv1 TLSv1.1 TLSv1.2′ |
မူရင်း['firezone']['ssl']['session_cache'] | SSL စက်ရှင် ကက်ရှ်။ | မျှဝေထားသည်-SSL:4m' |
မူရင်း['firezone']['ssl']['session_timeout'] | SSL စက်ရှင် အချိန်ကုန်သွားသည်။ | 5m' |
မူရင်း['firezone']['robots_allow'] | nginx စက်ရုပ်များကိုခွင့်ပြုသည်။ | /' |
မူရင်း['firezone']['robots_disallow'] | nginx စက်ရုပ်များကို ခွင့်မပြုပါ။ | nil |
မူရင်း['firezone']['outbound_email']['from'] | လိပ်စာမှ ပြင်ပအီးမေးလ်။ | nil |
မူရင်း['firezone']['outbound_email']['provider'] | ပြင်ပအီးမေးလ်ဝန်ဆောင်မှုပေးသူ။ | nil |
မူရင်း['firezone']['outbound_email']['configs'] | ပြင်ပအီးမေးလ်ဝန်ဆောင်မှုပေးသူ စီစဉ်သတ်မှတ်မှုများ။ | omnibus/cookbooks/firezone/attributes/default.rb ကိုကြည့်ပါ။ |
မူရင်း['firezone']['telemetry']['enabled'] | အမည်မသိ ထုတ်ကုန် တယ်လီမီတာကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['connectivity_checks']['enabled'] | Firezone ချိတ်ဆက်မှု စစ်ဆေးခြင်းဝန်ဆောင်မှုကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။ | TRUE |
မူရင်း['firezone']['connectivity_checks']['interval'] | ချိတ်ဆက်မှုကြားကာလကို စက္ကန့်ပိုင်းအတွင်း စစ်ဆေးပါ။ | 3_600 |
________________________________________________________________
ဤနေရာတွင် ပုံမှန် Firezone တပ်ဆင်ခြင်းနှင့် ပတ်သက်သည့် ဖိုင်များနှင့် လမ်းညွှန်များစာရင်းကို သင်တွေ့ရပါမည်။ သင့် configuration ဖိုင်တွင် အပြောင်းအလဲများပေါ်မူတည်၍ ၎င်းတို့သည် ပြောင်းလဲနိုင်သည်။
လမ်းကြောင်း | ဖေါ်ပြချက် |
/var/opt/firezone | Firezone ပေါင်းစည်းထားသော ဝန်ဆောင်မှုများအတွက် ဒေတာနှင့် ထုတ်ပေးသော ဖွဲ့စည်းမှုပုံစံများပါဝင်သော ထိပ်တန်းအဆင့်လမ်းညွှန်။ |
/opt/firezone | Firezone လိုအပ်သော တည်ဆောက်ထားသော စာကြည့်တိုက်များ၊ binaries နှင့် runtime ဖိုင်များပါရှိသော ထိပ်တန်းလမ်းညွှန်။ |
/usr/bin/firezone-ctl | သင်၏ Firezone တပ်ဆင်မှုကို စီမံခန့်ခွဲရန်အတွက် firezone-ctl အသုံးဝင်မှု။ |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runsvdir ကြီးကြပ်ရေးမှူးလုပ်ငန်းစဉ်ကိုစတင်ရန်အတွက် systemd ယူနစ်ဖိုင်။ |
/etc/firezone | Firezone ဖွဲ့စည်းမှုပုံစံဖိုင်များ။ |
__________________________________________________________
ဤစာမျက်နှာသည် စာရွက်စာတမ်းများတွင် ဗလာဖြစ်နေသည်။
_____________________________________________________________
Firezone လည်ပတ်နေသော ဆာဗာအား လုံခြုံစေရန် အောက်ပါ nftables firewall ပုံစံကို အသုံးပြုနိုင်ပါသည်။ ပုံစံခွက်သည် ယူဆချက်အချို့ကို ဖြစ်စေသည်။ သင့်အသုံးပြုမှုကိစ္စနှင့် လိုက်လျောညီထွေဖြစ်စေရန်အတွက် စည်းမျဉ်းများကို ချိန်ညှိရန် လိုအပ်နိုင်သည်-
Firezone သည် ဝဘ်အင်တာဖေ့စ်တွင် ပြင်ဆင်ထားသော နေရာများသို့ အသွားအလာကို ခွင့်ပြု/ငြင်းပယ်ရန်နှင့် ကလိုင်းယင့်အသွားအလာအတွက် အပြင်ဘက် NAT ကို ကိုင်တွယ်ရန် Firezone သည် ၎င်း၏ကိုယ်ပိုင် nftables စည်းမျဉ်းများကို ပြင်ဆင်သတ်မှတ်သည်။
အောက်ဖော်ပြပါ firewall နမူနာပုံစံကို အသုံးပြုပြီးသော ဆာဗာတစ်ခုတွင် (စတင်သည့်အချိန်မဟုတ်ပါ) သည် Firezone စည်းမျဉ်းများကို ရှင်းလင်းသွားမည်ဖြစ်သည်။ ၎င်းသည် လုံခြုံရေးဆိုင်ရာ သက်ရောက်မှုများရှိနိုင်သည်။
၎င်းကိုလုပ်ဆောင်ရန်အတွက် phoenix ဝန်ဆောင်မှုကို ပြန်လည်စတင်ရန်-
firezone-ctl phoenix ကို restart လုပ်ပါ။
#!/usr/sbin/nft -f
## ရှိပြီးသားစည်းမျဉ်းများအားလုံးကို ရှင်းလင်း/ဖယ်ရှားပါ။
flush စည်းမျဉ်းသတ်မှတ်
################################ ကိန်းရှင်များ ################# ################
## အင်တာနက်/WAN အင်တာဖေ့စ်အမည်
DEV_WAN = eth0 ကို သတ်မှတ်သည်။
## WireGuard အင်တာဖေ့စ်အမည်
DEV_WIREGUARD = wg-firezone ကို သတ်မှတ်ပါ။
## WireGuard နားဆင်ပေါက်ပေါက်
WIREGUARD_PORT = သတ်မှတ်သည်။ 51820
############################## VARIABLES အဆုံး #################### #############
# အဓိက inet မိသားစု filtering ဇယား
ဇယား inet filter {
# ထပ်ဆင့်လမ်းကြောင်းအတွက် စည်းကမ်းများ
# ဤကွင်းဆက်သည် Firezone ရှေ့ဆက်ကွင်းဆက်ရှေ့တွင် လုပ်ဆောင်သည်။
ရှေ့သို့ ကွင်းဆက် {
အမျိုးအစား filter သည် ရှေ့သို့ချိတ်ထားသော ဦးစားပေး filter ဖြစ်သည်- 5; မူဝါဒလက်ခံသည်။
}
# ထည့်သွင်းလမ်းကြောင်းအတွက် စည်းကမ်းများ
ကွင်းဆက်ထည့်သွင်းမှု {
အမျိုးအစား filter ချိတ်ထည့်သွင်းမှုဦးစားပေး filter; မူဝါဒကျဆင်းခြင်း။
## အဝင်အသွားအလာကို loopback interface သို့ခွင့်ပြုပါ။
iif lo \
လက်ခံ\
မှတ်ချက် " loopback interface မှအသွားအလာအားလုံးကိုခွင့်ပြုပါ"
## ခွင့်ပြုမိန့်နှင့် ဆက်စပ်ချိတ်ဆက်မှုများ
ct ပြည်နယ်တည်ထောင်၊ ဆက်စပ် \
လက်ခံ\
မှတ်ချက် "တည်ထောင်/ဆက်စပ်ချိတ်ဆက်မှုများကို ခွင့်ပြုပါ"
## အတွင်းဝင် WireGuard အသွားအလာကို ခွင့်ပြုပါ။
iif $DEV_WAN udp dport $WIREGUARD_PORT \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "အဝင် WireGuard အသွားအလာကိုခွင့်ပြုပါ"
## စာရင်းသွင်းပြီး SYN မဟုတ်သော TCP အသစ်များကို ချလိုက်ပါ။
tcp အလံများ != syn ct state အသစ် \
ကန့်သတ်နှုန်း 100/ မိနစ်ပေါက်ကွဲ 150 အထုပ်များ \
မှတ်တမ်းအရှေ့ "ဝင်-အသစ် !SYN-" \
မှတ်ချက် "SYN TCP အလံသတ်မှတ်ထားခြင်းမရှိသော ချိတ်ဆက်မှုအသစ်များအတွက် အဆင့်သတ်မှတ်ကန့်သတ်မှုမှတ်တမ်း"
tcp အလံများ != syn ct state အသစ် \
တန်ပြန် \
ချလိုက် \
မှတ်ချက် "SYN TCP အလံသတ်မှတ်မထားသော ချိတ်ဆက်မှုအသစ်များကို လွှတ်လိုက်ပါ"
## မမှန်ကန်သော fin/syn အလံသတ်မှတ်မှုဖြင့် TCP အထုပ်များကို မှတ်တမ်းတင်ပြီး ချလိုက်ပါ။
tcp အလံများ & (fin|syn) == (fin|syn) \
ကန့်သတ်နှုန်း 100/ မိနစ်ပေါက်ကွဲ 150 အထုပ်များ \
မှတ်တမ်းအရှေ့ “IN – TCP FIN|SIN-” \
မှတ်ချက် "မမှန်ကန်သော fin/syn အလံသတ်မှတ်မှုဖြင့် TCP ပက်ကေ့ဂျ်များအတွက် အဆင့်သတ်မှတ်ကန့်သတ်မှုမှတ်တမ်း"
tcp အလံများ & (fin|syn) == (fin|syn) \
တန်ပြန် \
ချလိုက် \
မှတ်ချက် “မမှန်ကန်သော fin/syn အလံအစုံပါသော TCP အထုပ်များကို ချပေးသည်”
## မမှန်ကန်သော syn/rst အလံသတ်မှတ်မှုဖြင့် TCP ပက်ကေ့ခ်ျများကို စာရင်းသွင်းပြီး ချလိုက်ပါ။
tcp အလံများ & (syn|rst) == (syn|rst) \
ကန့်သတ်နှုန်း 100/ မိနစ်ပေါက်ကွဲ 150 အထုပ်များ \
မှတ်တမ်းအရှေ့ “IN – TCP SYN|RST-” \
မှတ်ချက် "မမှန်ကန်သော syn/rst အလံသတ်မှတ်ထားသည့် TCP အထုပ်များအတွက် ကန့်သတ်ချက်အမှတ် မှတ်တမ်းတင်ခြင်း"
tcp အလံများ & (syn|rst) == (syn|rst) \
တန်ပြန် \
ချလိုက် \
မှတ်ချက် "မမှန်ကန်သော syn/rst အလံသတ်မှတ်ထားသည့် TCP အထုပ်များကို ချပေးသည်"
## စာရင်းသွင်းပြီး မမှန်ကန်သော TCP အလံများကို ချလိုက်ပါ။
tcp အလံများ & (fin|syn|rst|psh|ack|urg) < (fin) \
ကန့်သတ်နှုန်း 100/ မိနစ်ပေါက်ကွဲ 150 အထုပ်များ \
မှတ်တမ်းအရှေ့ “IN – FIN:” \
မှတ်ချက် “မမှန်ကန်သော TCP အလံများအတွက် အဆင့်သတ်မှတ်ကန့်သတ်ချက် မှတ်တမ်းများ (fin|syn|rst|psh|ack|urg) < (fin)”
tcp အလံများ & (fin|syn|rst|psh|ack|urg) < (fin) \
တန်ပြန် \
ချလိုက် \
မှတ်ချက် "အလံများပါရှိသော TCP အထုပ်များကို ချပေးပါ (fin|syn|rst|psh|ack|urg) < (fin)"
## စာရင်းသွင်းပြီး မမှန်ကန်သော TCP အလံများကို ချလိုက်ပါ။
tcp အလံများ & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
ကန့်သတ်နှုန်း 100/ မိနစ်ပေါက်ကွဲ 150 အထုပ်များ \
မှတ်တမ်းအရှေ့ “IN – FIN|PSH|URG-” \
မှတ်ချက် “မမှန်ကန်သော TCP အလံများအတွက် အဆင့်သတ်မှတ်ကန့်သတ်ချက် မှတ်တမ်းတင်ခြင်း (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
tcp အလံများ & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
တန်ပြန် \
ချလိုက် \
မှတ်ချက် "အလံများပါရှိသော TCP ပက်ကေ့ဂျ်များကို ချပေးပါ (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## မမှန်ကန်သောချိတ်ဆက်မှုအခြေအနေဖြင့် အသွားအလာကို ချလိုက်ပါ။
ct ပြည်နယ် မမှန်ကန်ပါ \
ကန့်သတ်နှုန်း 100/ မိနစ်ပေါက်ကွဲ 150 အထုပ်များ \
log အလံများ ရှေ့ဆက်အားလုံး “ဝင် – မမှန်ကန်ပါ-” \
မှတ်ချက် "မမှန်ကန်သော ချိတ်ဆက်မှုအခြေအနေဖြင့် လမ်းကြောင်းအတွက် ကန့်သတ်နှုန်းထား"
ct ပြည်နယ် မမှန်ကန်ပါ \
တန်ပြန် \
ချလိုက် \
မှတ်ချက် "မမှန်ကန်သောချိတ်ဆက်မှုအခြေအနေဖြင့် အသွားအလာကို ချပေးသည်"
## IPv4 ping/ping တုံ့ပြန်မှုများကို ခွင့်ပြုသော်လည်း နှုန်းကန့်သတ်ချက် 2000 PPS
ip ပရိုတိုကော icmp icmp အမျိုးအစား { ပဲ့တင်သံ-ပြန်ကြားရေး၊ ပဲ့တင်သံ-တောင်းဆိုချက် } \
ကန့်သတ်နှုန်း 2000/စက္ကန့် \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "ပြည်တွင်း IPv4 ပဲ့တင်သံ (ping) ကို 2000 PPS တွင် ကန့်သတ်ခွင့်ပြုပါ"
## အခြားအဝင် IPv4 ICMP အားလုံးကို ခွင့်ပြုပါ။
ip ပရိုတိုကော icmp \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "အခြား IPv4 ICMP အားလုံးကို ခွင့်ပြုပါ"
## IPv6 ping/ping တုံ့ပြန်မှုများကို ခွင့်ပြုသော်လည်း နှုန်းကန့်သတ်ချက် 2000 PPS
icmpv6 အမျိုးအစား { ပဲ့တင်သံ-ပြန်ကြားရေး၊ ပဲ့တင်သံ-တောင်းဆိုချက် } \
ကန့်သတ်နှုန်း 2000/စက္ကန့် \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "ပြည်တွင်း IPv6 ပဲ့တင်သံ (ping) ကို 2000 PPS တွင် ကန့်သတ်ခွင့်ပြုပါ"
## အခြားအဝင် IPv6 ICMP အားလုံးကို ခွင့်ပြုပါ။
meta l4proto { icmpv6 } \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "အခြား IPv6 ICMP အားလုံးကို ခွင့်ပြုပါ"
## Inbound traceroute UDP ဆိပ်ကမ်းများကို ခွင့်ပြုသော်လည်း 500 PPS ကန့်သတ်ထားသည်။
udp dport 33434စာ-၃၃၅၂၄\
ကန့်သတ်နှုန်း 500/စက္ကန့် \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "ပြည်တွင်း UDP traceroute ကို 500 PPS ကန့်သတ်ထားခွင့်ပြုပါ"
## အဝင် SSH ကို ခွင့်ပြုပါ။
tcp dport ssh ct ပြည်နယ် \ အသစ်
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "အဝင် SSH ချိတ်ဆက်မှုများကို ခွင့်ပြုပါ"
## အဝင် HTTP နှင့် HTTPS ကို ခွင့်ပြုပါ။
tcp dport { http, https } ct state new \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် “အဝင် HTTP နှင့် HTTPS ချိတ်ဆက်မှုများကို ခွင့်ပြုပါ”
## လိုက်လျောညီထွေမရှိသောအသွားအလာမှန်သမျှကို မှတ်တမ်းမှတ်ထားသော်လည်း အများဆုံး 60 မက်ဆေ့ချ်/မိနစ်အထိ မှတ်တမ်းတင်နှုန်းကန့်သတ်ထားသည်။
## မူရင်းမူဝါဒကို လိုက်လျောညီထွေမရှိသော အသွားအလာအတွက် အသုံးပြုပါမည်။
ကန့်သတ်နှုန်း 60/ မိနစ်ပေါက်ကွဲ 100 အထုပ်များ \
မှတ်တမ်းအရှေ့ "ဝင်-ချပါ-" \
မှတ်ချက် “မတူညီသော အသွားအလာမှန်သမျှကို မှတ်တမ်းတင်ပါ”
## လိုက်လျောညီထွေမရှိသောလမ်းကြောင်းကိုရေတွက်ပါ။
တန်ပြန် \
မှတ်ချက် “မယှဉ်နိုင်သော လမ်းကြောင်းများကို ရေတွက်ပါ”
}
# အထွက်လမ်းကြောင်းအတွက် စည်းကမ်းများ
ကွင်းဆက်အထွက် {
အမျိုးအစား filter ချိတ် output ဦးစားပေး filter; မူဝါဒကျဆင်းခြင်း။
## အထွက်အသွားအလာကို loopback interface သို့ခွင့်ပြုပါ။
oif lo \
လက်ခံ\
မှတ်ချက် "အသွားအလာအားလုံးကို loopback interface သို့ထွက်ခွင့်ပြုပါ"
## ခွင့်ပြုမိန့်နှင့် ဆက်စပ်ချိတ်ဆက်မှုများ
ct ပြည်နယ်တည်ထောင်၊ ဆက်စပ် \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "တည်ထောင်/ဆက်စပ်ချိတ်ဆက်မှုများကို ခွင့်ပြုပါ"
## မကောင်းသောအခြေအနေဖြင့် ချိတ်ဆက်မှုများကို မချမီ အပြင်ထွက် WireGuard အသွားအလာကို ခွင့်ပြုပါ။
oif $DEV_WAN udp အားကစား $WIREGUARD_PORT \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "WireGuard အပြင်ထွက်လမ်းကြောင်းကိုခွင့်ပြုပါ"
## မမှန်ကန်သောချိတ်ဆက်မှုအခြေအနေဖြင့် အသွားအလာကို ချလိုက်ပါ။
ct ပြည်နယ် မမှန်ကန်ပါ \
ကန့်သတ်နှုန်း 100/ မိနစ်ပေါက်ကွဲ 150 အထုပ်များ \
log အလံများ ရှေ့ဆက်အားလုံး “ထွက် – မမှန်ကန်ပါ-” \
မှတ်ချက် "မမှန်ကန်သော ချိတ်ဆက်မှုအခြေအနေဖြင့် လမ်းကြောင်းအတွက် ကန့်သတ်နှုန်းထား"
ct ပြည်နယ် မမှန်ကန်ပါ \
တန်ပြန် \
ချလိုက် \
မှတ်ချက် "မမှန်ကန်သောချိတ်ဆက်မှုအခြေအနေဖြင့် အသွားအလာကို ချပေးသည်"
## အခြားအပြင်ထွက် IPv4 ICMP အားလုံးကို ခွင့်ပြုပါ။
ip ပရိုတိုကော icmp \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "IPv4 ICMP အမျိုးအစားအားလုံးကို ခွင့်ပြုပါ"
## အခြားအပြင်ထွက် IPv6 ICMP အားလုံးကို ခွင့်ပြုပါ။
meta l4proto { icmpv6 } \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "IPv6 ICMP အမျိုးအစားအားလုံးကို ခွင့်ပြုပါ"
## ပြင်ပ traceroute UDP ဆိပ်ကမ်းများကို ခွင့်ပြုသော်လည်း 500 PPS ကန့်သတ်ထားသည်။
udp dport 33434စာ-၃၃၅၂၄\
ကန့်သတ်နှုန်း 500/စက္ကန့် \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "အထွက် UDP traceroute ကို 500 PPS အထိ ကန့်သတ်ခွင့်ပြုပါ"
## ပြင်ပ HTTP နှင့် HTTPS ချိတ်ဆက်မှုများကို ခွင့်ပြုပါ။
tcp dport { http, https } ct state new \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "အထွက် HTTP နှင့် HTTPS ချိတ်ဆက်မှုများကို ခွင့်ပြုပါ"
## ပြင်ပ SMTP တင်ပြမှုကို ခွင့်ပြုပါ။
tcp dport တင်ပြချက် ct state အသစ် \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "ပြင်ပ SMTP တင်ပြမှုကို ခွင့်ပြုပါ"
## ပြင်ပ DNS တောင်းဆိုမှုများကို ခွင့်ပြုပါ။
udp dport 53 \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "ပြည်တွင်း UDP DNS တောင်းဆိုမှုများကို ခွင့်ပြုပါ"
tcp dport 53 \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "ပြင်ပ TCP DNS တောင်းဆိုမှုများကို ခွင့်ပြုပါ"
## ပြင်ပ NTP တောင်းဆိုမှုများကို ခွင့်ပြုပါ။
udp dport 123 \
တန်ပြန် \
လက်ခံ\
မှတ်ချက် "ပြည်တွင်း NTP တောင်းဆိုမှုများကို ခွင့်ပြုပါ"
## လိုက်လျောညီထွေမရှိသောအသွားအလာမှန်သမျှကို မှတ်တမ်းမှတ်ထားသော်လည်း အများဆုံး 60 မက်ဆေ့ချ်/မိနစ်အထိ မှတ်တမ်းတင်နှုန်းကန့်သတ်ထားသည်။
## မူရင်းမူဝါဒကို လိုက်လျောညီထွေမရှိသော အသွားအလာအတွက် အသုံးပြုပါမည်။
ကန့်သတ်နှုန်း 60/ မိနစ်ပေါက်ကွဲ 100 အထုပ်များ \
မှတ်တမ်းအရှေ့ "ထွက်-လွှတ်-" \
မှတ်ချက် “မတူညီသော အသွားအလာမှန်သမျှကို မှတ်တမ်းတင်ပါ”
## လိုက်လျောညီထွေမရှိသောလမ်းကြောင်းကိုရေတွက်ပါ။
တန်ပြန် \
မှတ်ချက် “မယှဉ်နိုင်သော လမ်းကြောင်းများကို ရေတွက်ပါ”
}
}
# ပင်မ NAT စစ်ထုတ်ခြင်းဇယား
inet nat { စားပွဲ၊
# NAT အသွားအလာ ကြိုတင်လမ်းကြောင်းတင်ခြင်းအတွက် စည်းကမ်းများ
ကွင်းဆက်ကို ကြိုတင်ကာကွယ်ခြင်း {
အမျိုးအစား nat ချိတ် prerouting ဦးစားပေး dstnat; မူဝါဒလက်ခံသည်။
}
# NAT အသွားအလာ လမ်းကြောင်းတင်ခြင်းအတွက် စည်းကမ်းများ
# ဤဇယားကို Firezone post-routing chain မတိုင်မီ လုပ်ဆောင်သည်။
ကွင်းဆက် postrouting {
nat hook postrouting ဦးစားပေး srcnat ကို ရိုက်ပါ – 5; မူဝါဒလက်ခံသည်။
}
}
လည်ပတ်နေသော Linux ဖြန့်ဖြူးမှုအတွက် firewall ကို သက်ဆိုင်ရာတည်နေရာတွင် သိမ်းဆည်းထားသင့်သည်။ Debian/Ubuntu အတွက် ဒါက /etc/nftables.conf ဖြစ်ပြီး RHEL အတွက် ဒါက /etc/sysconfig/nftables.conf ဖြစ်ပါတယ်။
nftables.service ကို boot တွင်စတင်ရန် (မပြီးသေးပါက) သတ်မှတ်သတ်မှတ်ရန် လိုအပ်သည်-
systemctl nftables.service ကိုဖွင့်ပါ။
firewall template တွင် ပြောင်းလဲမှုတစ်စုံတစ်ရာပြုလုပ်ပါက check command ကို run ခြင်းဖြင့် syntax ကိုအတည်ပြုနိုင်သည်-
nft -f /path/to/nftables.conf -c
ဆာဗာပေါ်တွင် လုပ်ဆောင်နေသည့် ဖြန့်ချိမှုပေါ်မူတည်၍ အချို့သော nftables အင်္ဂါရပ်များ မရရှိနိုင်သောကြောင့် firewall သည် မျှော်လင့်ထားသည့်အတိုင်း အလုပ်လုပ်ကြောင်း အတည်ပြုရန် သေချာပါစေ။
_______________________________________________________________
ဤစာတမ်းသည် သင့်ကိုယ်တိုင်ထည့်သွင်းထားသော စံနမူနာမှ စုဆောင်းထားသော တယ်လီမီတာကို Firezone ၏ ခြုံငုံသုံးသပ်ချက်နှင့် ၎င်းကို မည်သို့ပိတ်ရမည်ကို တင်ပြထားသည်။
မီးသတ်ဇုန် မှီခို ကျွန်ုပ်တို့၏ လမ်းပြမြေပုံကို ဦးစားပေး၍ Firezone ကို လူတိုင်းအတွက် ပိုကောင်းအောင် လုပ်ဆောင်ရန် လိုအပ်သော အင်ဂျင်နီယာအရင်းအမြစ်များကို အကောင်းဆုံးဖြစ်အောင် telemetry တွင် အသုံးပြုပါသည်။
ကျွန်ုပ်တို့စုဆောင်းထားသော တယ်လီမီတာသည် အောက်ပါမေးခွန်းများကို ဖြေဆိုရန် ရည်ရွယ်ပါသည်။
Firezone တွင် telemetry စုဆောင်းသည့် အဓိကနေရာ သုံးခုရှိသည်။
ဤအခြေအနေသုံးမျိုးအနက် တစ်ခုစီတွင်၊ အထက်ဖော်ပြပါကဏ္ဍရှိ မေးခွန်းများကိုဖြေဆိုရန် လိုအပ်သော အနည်းဆုံးဒေတာပမာဏကို ကျွန်ုပ်တို့ ဖမ်းယူပါသည်။
ထုတ်ကုန်အပ်ဒိတ်များကို သင် ပြတ်သားစွာရွေးချယ်မှသာ စီမံခန့်ခွဲသူအီးမေးလ်များကို စုဆောင်းပါသည်။ မဟုတ်ပါက၊ ပုဂ္ဂိုလ်ရေးအရ ခွဲခြားသိမြင်နိုင်သော အချက်အလက်ဖြစ်သည်။ ဘယ်တော့မှ စုဆောင်းခဲ့သည်။
Firezone အဖွဲ့မှသာလျှင် ဝင်ရောက်နိုင်သော သီးသန့် Kubernetes အစုအဝေးတွင် အလုပ်လုပ်သော PostHog ၏ ကိုယ်တိုင်လက်ခံထားသော ဥပမာတွင် တယ်လီမီတာကို သိမ်းဆည်းထားသည်။ ဤသည်မှာ သင်၏ Firezone ၏ ဥပမာမှ ကျွန်ုပ်တို့၏ တယ်လီမီတာဆာဗာသို့ ပေးပို့သည့် တယ်လီမီတာ ဖြစ်ရပ်တစ်ခု၏ ဥပမာတစ်ခုဖြစ်သည်။
{
သွား: “0182272d-0b88-0000-d419-7b9a413713f1”,
"အချိန်တံဆိပ်": “2022-07-22T18:30:39.748000+00:00”,
"ဖြစ်ရပ်": “fz_http_started”,
“ထူးခြား_id”: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"ပိုင်ဆိုင်မှု":{
“$geoip_city_name”: "Ashburn",
“$geoip_continent_code”: “NA”,
“$geoip_continent_name”: "မြောက်အမေရိက",
“$geoip_country_code”: "အမေရိကန်",
“$geoip_country_name”: "အမေရိကန်ပြည်ထောင်စု",
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
“$geoip_subdivision_1_code”: “VA”,
“$geoip_subdivision_1_name”: “ဗာဂျီးနီးယား”,
“$geoip_time_zone”: “အမေရိက/နယူးယော့ခ်”,
“$ip”: "52.200.241.107",
“$plugins_deferred”:[]၊
“$plugins_failed”:[]၊
“$plugins_succeeded”: [
“GeoIP (3)”
],
“ထူးခြား_id”: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": “awsdemo.firezone.dev”,
“kernel_version”: “linux 5.13.0”,
"ဗားရှင်း": "0.4.6"
},
"ဒြပ်စင်_ကွင်းဆက်": ""
}
မှတ်စု
Firezone ဖွံ့ဖြိုးတိုးတက်ရေးအဖွဲ့ မှီခို Firezone သည် လူတိုင်းအတွက် ပိုကောင်းစေရန် ထုတ်ကုန်ပိုင်းခြားစိတ်ဖြာချက်တွင်။ တယ်လီမီတာကို ဖွင့်ထားခြင်းသည် Firezone ၏ ဖွံ့ဖြိုးတိုးတက်မှုအတွက် သင်လုပ်ဆောင်နိုင်သည့် တန်ဖိုးအရှိဆုံး ပံ့ပိုးမှုတစ်ခုဖြစ်သည်။ ဆိုလိုသည်မှာ၊ အချို့သောအသုံးပြုသူများသည် ပိုမိုမြင့်မားသောကိုယ်ရေးကိုယ်တာ သို့မဟုတ် လုံခြုံရေးလိုအပ်ချက်များရှိသည်ကို ကျွန်ုပ်တို့နားလည်ပြီး telemetry ကို လုံးဝပိတ်ရန် နှစ်သက်ကြသည်။ အဲဒါ မင်းရှိရင် ဆက်ဖတ်ပါ။
ပုံသေအားဖြင့် Telemetry ကို ဖွင့်ထားသည်။ ထုတ်ကုန်တယ်လီမီတာကို လုံးဝပိတ်ရန်၊ အောက်ပါဖွဲ့စည်းပုံရွေးချယ်ခွင့်ကို /etc/firezone/firezone.rb တွင် false ဟု သတ်မှတ်ပြီး အပြောင်းအလဲများကို ကောက်ယူရန်အတွက် sudo firezone-ctl ပြန်လည်ပြင်ဆင်မှုကို လုပ်ဆောင်ပါ။
မူရင်း['မီးဇုန်']['တယ်လီမီတာ']['ဖွင့်ထားသည်']= မမှန်သော
၎င်းသည် ထုတ်ကုန် telemetry အားလုံးကို လုံးဝပိတ်ပစ်မည်ဖြစ်သည်။
ဟိုင်ဘိုက်များ
9511 Queens Guard Ct.
Laurel, MD 20723
ဖုန်းနံပါတ်: (732) 771-9995
အီးမေးလ်- info@hailbytes.com