مینو
فائر زون GUI کے ساتھ Hailbytes VPN کی تعیناتی کے لیے مرحلہ وار ہدایات یہاں فراہم کی گئی ہیں۔
ایڈمنسٹر: سرور مثال قائم کرنا براہ راست اس حصے سے متعلق ہے۔
صارف کے رہنما: مددگار دستاویزات جو آپ کو فائر زون کو استعمال کرنے اور عام مسائل کو حل کرنے کا طریقہ سکھا سکتی ہیں۔ سرور کے کامیابی کے ساتھ تعینات ہونے کے بعد، اس سیکشن کا حوالہ دیں۔
سپلٹ ٹنلنگ: صرف مخصوص IP رینجز پر ٹریفک بھیجنے کے لیے VPN استعمال کریں۔
وائٹ لسٹنگ: وائٹ لسٹنگ استعمال کرنے کے لیے ایک VPN سرور کا جامد IP پتہ سیٹ کریں۔
معکوس سرنگیں: معکوس سرنگوں کا استعمال کرتے ہوئے کئی ساتھیوں کے درمیان سرنگیں بنائیں۔
اگر آپ کو Hailbytes VPN کو انسٹال کرنے، حسب ضرورت بنانے یا استعمال کرنے میں مدد کی ضرورت ہو تو ہمیں آپ کی مدد کرنے پر خوشی ہے۔
اس سے پہلے کہ صارفین ڈیوائس کنفیگریشن فائلیں تیار یا ڈاؤن لوڈ کر سکیں، فائر زون کو تصدیق کی ضرورت کے لیے کنفیگر کیا جا سکتا ہے۔ صارفین کو اپنے VPN کنکشن کو فعال رکھنے کے لیے وقتاً فوقتاً دوبارہ تصدیق کرنے کی ضرورت پڑ سکتی ہے۔
اگرچہ فائر زون کا ڈیفالٹ لاگ ان طریقہ مقامی ای میل اور پاس ورڈ ہے، لیکن اسے کسی بھی معیاری OpenID کنیکٹ (OIDC) شناخت فراہم کنندہ کے ساتھ بھی مربوط کیا جا سکتا ہے۔ صارفین اب اپنے Okta، Google، Azure AD، یا نجی شناخت فراہم کرنے والے کی اسناد کا استعمال کرتے ہوئے Firezone میں لاگ ان کرنے کے قابل ہیں۔
ایک عام OIDC فراہم کنندہ کو مربوط کریں۔
OIDC فراہم کنندہ کا استعمال کرتے ہوئے SSO کو اجازت دینے کے لیے Firezone کو مطلوبہ کنفیگریشن پیرامیٹرز ذیل کی مثال میں دکھائے گئے ہیں۔ /etc/firezone/firezone.rb پر، آپ کو کنفیگریشن فائل مل سکتی ہے۔ ایپلیکیشن کو اپ ڈیٹ کرنے اور تبدیلیوں کا اثر لینے کے لیے firezone-ctl reconfigure اور firezone-ctl دوبارہ شروع کریں۔
# یہ Google اور Okta کو SSO شناخت فراہم کرنے والے کے طور پر استعمال کرنے کی ایک مثال ہے۔
# ایک سے زیادہ OIDC کنفیگرز کو ایک ہی فائر زون مثال میں شامل کیا جا سکتا ہے۔
# فائر زون کسی صارف کے VPN کو غیر فعال کر سکتا ہے اگر کوشش کرنے میں کوئی غلطی پائی جاتی ہے۔
# ان کے رسائی_ٹوکن کو ریفریش کرنے کے لیے۔ یہ گوگل، اوکٹا، اور کے لیے کام کرنے کے لیے تصدیق شدہ ہے۔
# Azure SSO اور صارف کے VPN کو ہٹانے کی صورت میں اسے خود بخود منقطع کرنے کے لیے استعمال کیا جاتا ہے۔
# OIDC فراہم کنندہ سے۔ اگر آپ کا OIDC فراہم کنندہ ہے تو اسے غیر فعال رہنے دیں۔
# میں رسائی ٹوکن کو تازہ کرنے میں مسائل ہیں کیونکہ یہ غیر متوقع طور پر a میں خلل ڈال سکتا ہے۔
# صارف کا VPN سیشن۔
ڈیفالٹ['firezone']['authentication']['disable_vpn_on_oidc_error'] = غلط
ڈیفالٹ['firezone']['authentication']['oidc'] = {
گوگل: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration"،
client_id: " ”،
client_secret: " ”،
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/"،
جواب_قسم: "کوڈ"،
دائرہ کار: "اوپنیڈ ای میل پروفائل"،
لیبل: "گوگل"
},
اوکٹا: {
Discovery_document_uri: "https:// /.well-known/openid-configuration"،
client_id: " ”،
client_secret: " ”،
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/"،
جواب_قسم: "کوڈ"،
دائرہ کار: "اوپنیڈ ای میل پروفائل آف لائن_ رسائی"،
لیبل: "Okta"
}
}
انضمام کے لیے درج ذیل ترتیب کی ترتیبات درکار ہیں:
ہر OIDC فراہم کنندہ کے لیے ترتیب شدہ فراہم کنندہ کے سائن ان یو آر ایل پر ری ڈائریکٹ کرنے کے لیے ایک متعلقہ خوبصورت یو آر ایل بنایا جاتا ہے۔ مثال کے طور پر اوپر OIDC تشکیل، URLs یہ ہیں:
فراہم کنندگان کے پاس ہمارے پاس دستاویزات ہیں:
اگر آپ کے شناخت فراہم کنندہ کے پاس عمومی OIDC کنیکٹر ہے اور وہ اوپر درج نہیں ہے، تو براہ کرم ضروری کنفیگریشن سیٹنگز کو بازیافت کرنے کے بارے میں معلومات کے لیے ان کے دستاویزات پر جائیں۔
سیٹنگز/سیکیورٹی کے تحت ترتیب کو متواتر دوبارہ تصدیق کی ضرورت کے لیے تبدیل کیا جا سکتا ہے۔ اس کا استعمال اس ضرورت کو نافذ کرنے کے لیے کیا جا سکتا ہے کہ صارفین اپنا VPN سیشن جاری رکھنے کے لیے مستقل بنیادوں پر فائر زون میں داخل ہوں۔
سیشن کی طوالت کو ایک گھنٹہ اور نوے دن کے درمیان ترتیب دیا جا سکتا ہے۔ اسے کبھی نہیں پر سیٹ کر کے، آپ کسی بھی وقت VPN سیشنز کو فعال کر سکتے ہیں۔ یہ معیار ہے۔
ایک صارف کو اپنا VPN سیشن ختم کرنا چاہیے اور فائر زون پورٹل میں لاگ ان کرنا چاہیے تاکہ ایک ختم شدہ VPN سیشن (تعیناتی کے دوران مخصوص کردہ URL) کی دوبارہ تصدیق کی جا سکے۔
آپ یہاں موجود کلائنٹ کی درست ہدایات پر عمل کرکے اپنے سیشن کی دوبارہ تصدیق کر سکتے ہیں۔
وی پی این کنکشن کی حیثیت
صارفین کے صفحہ کا VPN کنکشن ٹیبل کالم صارف کے کنکشن کی حیثیت کو ظاہر کرتا ہے۔ یہ کنکشن کی حیثیتیں ہیں:
فعال - کنکشن فعال ہے۔
غیر فعال - منتظم یا OIDC ریفریش ناکامی کے ذریعہ کنکشن کو غیر فعال کردیا گیا ہے۔
میعاد ختم - تصدیق کی میعاد ختم ہونے یا کسی صارف نے پہلی بار سائن ان نہ ہونے کی وجہ سے کنکشن غیر فعال ہے۔
عمومی OIDC کنیکٹر کے ذریعے، Firezone Google Workspace اور Cloud Identity کے ساتھ سنگل سائن آن (SSO) کو فعال کرتا ہے۔ یہ گائیڈ آپ کو دکھائے گا کہ ذیل میں درج کنفیگریشن پیرامیٹرز کیسے حاصل کیے جائیں، جو انضمام کے لیے ضروری ہیں:
1. OAuth کنفیگ اسکرین
اگر یہ پہلی بار ہے کہ آپ نئی OAuth کلائنٹ ID بنا رہے ہیں، تو آپ سے رضامندی کی اسکرین کو کنفیگر کرنے کو کہا جائے گا۔
*یوزر کی قسم کے لیے اندرونی کو منتخب کریں۔ یہ یقینی بناتا ہے کہ صرف آپ کی Google Workspace تنظیم کے صارفین کے اکاؤنٹس ہی ڈیوائس کی تشکیلات بنا سکتے ہیں۔ بیرونی کو منتخب نہ کریں جب تک کہ آپ کسی درست گوگل اکاؤنٹ والے کو ڈیوائس کنفیگس بنانے کے لیے اہل نہیں بنانا چاہتے۔
ایپ کی معلومات کی سکرین پر:
2. OAuth کلائنٹ IDs بنائیں
یہ سیکشن گوگل کی اپنی دستاویزات پر مبنی ہے۔ OAuth 2.0 ترتیب دینا.
گوگل کلاؤڈ کنسول پر جائیں۔ اسناد کا صفحہ صفحہ پر کلک کریں + اسناد بنائیں اور OAuth کلائنٹ ID کو منتخب کریں۔
OAuth کلائنٹ ID تخلیق اسکرین پر:
OAuth کلائنٹ ID بنانے کے بعد، آپ کو کلائنٹ ID اور کلائنٹ سیکریٹ دیا جائے گا۔ یہ اگلے مرحلے میں ری ڈائریکٹ URI کے ساتھ استعمال کیے جائیں گے۔
ترمیم کریں /etc/firezone/firezone.rb درج ذیل اختیارات کو شامل کرنے کے لیے:
# Google کو SSO شناخت فراہم کنندہ کے طور پر استعمال کرنا
ڈیفالٹ['firezone']['authentication']['oidc'] = {
گوگل: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration"،
client_id: " ”،
client_secret: " ”،
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/"،
جواب_قسم: "کوڈ"،
دائرہ کار: "اوپنیڈ ای میل پروفائل"،
لیبل: "گوگل"
}
}
ایپلیکیشن کو اپ ڈیٹ کرنے کے لیے firezone-ctl reconfigure اور firezone-ctl دوبارہ شروع کریں۔ اب آپ کو روٹ فائر زون یو آر ایل پر گوگل کے ساتھ سائن ان بٹن نظر آنا چاہیے۔
فائر زون Okta کے ساتھ سنگل سائن آن (SSO) کی سہولت کے لیے عام OIDC کنیکٹر کا استعمال کرتا ہے۔ یہ ٹیوٹوریل آپ کو دکھائے گا کہ ذیل میں درج کنفیگریشن پیرامیٹرز کیسے حاصل کیے جائیں، جو انضمام کے لیے ضروری ہیں:
گائیڈ کا یہ حصہ اس پر مبنی ہے۔ اوکٹا کی دستاویزات.
Admin Console میں، Applications > Applications پر جائیں اور Create App Integration پر کلک کریں۔ سائن ان کا طریقہ OICD - OpenID کنیکٹ اور ویب ایپلیکیشن کے لیے ایپلیکیشن کی قسم پر سیٹ کریں۔
ان ترتیبات کو ترتیب دیں:
سیٹنگز محفوظ ہونے کے بعد، آپ کو کلائنٹ آئی ڈی، کلائنٹ سیکریٹ، اور اوکٹا ڈومین دیا جائے گا۔ یہ 3 اقدار فائر زون کو ترتیب دینے کے لیے مرحلہ 2 میں استعمال ہوں گی۔
ترمیم کریں /etc/firezone/firezone.rb ذیل کے اختیارات کو شامل کرنے کے لیے۔ آپ کا دریافت_دستاویز_url ہو جائے گا /.well-known/openid-configuration آپ کے آخر میں شامل کیا گیا ہے۔ okta_domain.
# Okta کو SSO شناخت فراہم کنندہ کے طور پر استعمال کرنا
ڈیفالٹ['firezone']['authentication']['oidc'] = {
اوکٹا: {
Discovery_document_uri: "https:// /.well-known/openid-configuration"،
client_id: " ”،
client_secret: " ”،
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/"،
جواب_قسم: "کوڈ"،
دائرہ کار: "اوپنیڈ ای میل پروفائل آف لائن_ رسائی"،
لیبل: "Okta"
}
}
ایپلیکیشن کو اپ ڈیٹ کرنے کے لیے firezone-ctl reconfigure اور firezone-ctl دوبارہ شروع کریں۔ اب آپ کو روٹ فائر زون یو آر ایل پر اوکٹا بٹن کے ساتھ سائن ان نظر آنا چاہیے۔
فائر زون ایپ تک رسائی حاصل کرنے والے صارفین کو اوکٹا کے ذریعہ محدود کیا جاسکتا ہے۔ اسے پورا کرنے کے لیے اپنے Okta Admin Console کے Firezone App Integration کے Assignments صفحہ پر جائیں۔
عام OIDC کنیکٹر کے ذریعے، Firezone Azure ایکٹو ڈائریکٹری کے ساتھ سنگل سائن آن (SSO) کو قابل بناتا ہے۔ یہ دستی آپ کو دکھائے گا کہ ذیل میں درج کنفیگریشن پیرامیٹرز کیسے حاصل کیے جائیں، جو انضمام کے لیے ضروری ہیں:
یہ ہدایت نامہ سے تیار کیا گیا ہے۔ Azure Active Directory Docs.
Azure پورٹل کے Azure Active Directory صفحہ پر جائیں۔ مینیج مینو کا آپشن منتخب کریں، نئی رجسٹریشن کو منتخب کریں، پھر نیچے دی گئی معلومات فراہم کر کے رجسٹر کریں:
رجسٹر کرنے کے بعد، درخواست کی تفصیلات کا منظر کھولیں اور کاپی کریں۔ درخواست (مؤکل) کی شناخت. یہ کلائنٹ_آئی ڈی کی قدر ہوگی۔ اگلا، دوبارہ حاصل کرنے کے لیے اینڈ پوائنٹس مینو کو کھولیں۔ اوپن آئی ڈی کنیکٹ میٹا ڈیٹا دستاویز. یہ Discovery_document_uri قدر ہوگی۔
مینیج مینو کے تحت سرٹیفکیٹس اور راز کے آپشن پر کلک کرکے کلائنٹ کا نیا راز بنائیں۔ کلائنٹ کے راز کو کاپی کریں؛ کلائنٹ کی خفیہ قیمت یہ ہوگی۔
آخر میں، مینیج مینو کے تحت API اجازتوں کا لنک منتخب کریں، کلک کریں۔ ایک اجازت شامل کریں۔، اور منتخب کریں مائیکروسافٹ گراف۔، شامل کریں ای میل, اوپنڈ, آف لائن_رسائی اور پروفائل مطلوبہ اجازتوں تک۔
ترمیم کریں /etc/firezone/firezone.rb درج ذیل اختیارات کو شامل کرنے کے لیے:
# ایس ایس او شناخت فراہم کنندہ کے طور پر Azure ایکٹو ڈائریکٹری کا استعمال
ڈیفالٹ['firezone']['authentication']['oidc'] = {
azure: {
Discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration"،
client_id: " ”،
client_secret: " ”،
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/"،
جواب_قسم: "کوڈ"،
دائرہ کار: "اوپنیڈ ای میل پروفائل آف لائن_ رسائی"،
لیبل: "آزور"
}
}
ایپلیکیشن کو اپ ڈیٹ کرنے کے لیے firezone-ctl reconfigure اور firezone-ctl دوبارہ شروع کریں۔ اب آپ کو روٹ فائر زون یو آر ایل پر Azure بٹن کے ساتھ سائن ان نظر آنا چاہیے۔
Azure AD منتظمین کو آپ کی کمپنی کے اندر صارفین کے مخصوص گروپ تک ایپ کی رسائی کو محدود کرنے کے قابل بناتا ہے۔ ایسا کرنے کے طریقے کے بارے میں مزید معلومات مائیکروسافٹ کی دستاویزات میں مل سکتی ہیں۔
شیف اومنیبس کا استعمال فائر زون کے ذریعے کاموں کو منظم کرنے کے لیے کیا جاتا ہے جس میں ریلیز پیکیجنگ، عمل کی نگرانی، لاگ مینجمنٹ اور مزید بہت کچھ شامل ہے۔
روبی کوڈ بنیادی کنفیگریشن فائل بناتا ہے، جو /etc/firezone/firezone.rb پر واقع ہے۔ اس فائل میں ترمیم کرنے کے بعد sudo firezone-ctl reconfigure کو دوبارہ شروع کرنے سے شیف تبدیلیوں کو پہچانتا ہے اور انہیں موجودہ آپریٹنگ سسٹم پر لاگو کرتا ہے۔
کنفیگریشن متغیرات اور ان کی تفصیل کی مکمل فہرست کے لیے کنفیگریشن فائل کا حوالہ دیکھیں۔
آپ کے فائر زون کی مثال کو کے ذریعے منظم کیا جا سکتا ہے۔ firezone-ctl کمانڈ، جیسا کہ ذیل میں دکھایا گیا ہے۔ زیادہ تر ذیلی کمانڈ کے ساتھ سابقہ لگانے کی ضرورت ہوتی ہے۔ سودو.
root@demo:~# firezone-ctl
omnibus-ctl: کمانڈ (سب کمانڈ)
جنرل کمانڈز:
صاف کریں
*تمام* فائر زون ڈیٹا کو حذف کریں، اور شروع سے شروع کریں۔
منتظم بنائیں یا دوبارہ ترتیب دیں۔
ایڈمن کا پاس ورڈ بطور ڈیفالٹ مخصوص کردہ ای میل کے ساتھ دوبارہ سیٹ کرتا ہے['firezone']['admin_email'] یا اگر وہ ای میل موجود نہیں ہے تو نیا ایڈمن بناتا ہے۔
مدد
اس مدد کے پیغام کو پرنٹ کریں۔
تشکیل نو
درخواست کو دوبارہ ترتیب دیں۔
ری سیٹ نیٹ ورک
nftables، WireGuard انٹرفیس، اور روٹنگ ٹیبل کو Firezone ڈیفالٹس پر دوبارہ سیٹ کرتا ہے۔
show-config
وہ کنفیگریشن دکھائیں جو ری کنفیگر کے ذریعہ تیار کی جائے گی۔
ٹیرڈاون نیٹ ورک
وائر گارڈ انٹرفیس اور فائر زون این ایف ٹیبل ٹیبل کو ہٹاتا ہے۔
force-cert- تجدید
ابھی سرٹیفکیٹ کی تجدید پر مجبور کریں چاہے اس کی میعاد ختم نہ ہوئی ہو۔
سٹاپ سرٹیفکیٹ کی تجدید
cronjob کو ہٹاتا ہے جو سرٹیفکیٹس کی تجدید کرتا ہے۔
انسٹال
تمام عمل کو ختم کریں اور عمل کے نگران کو ان انسٹال کریں (ڈیٹا محفوظ رہے گا)۔
ورژن
فائر زون کا موجودہ ورژن دکھائیں۔
سروس مینجمنٹ کمانڈز:
مکرم قتل
ایک خوبصورت اسٹاپ کی کوشش کریں، پھر پورے عمل گروپ کو SIGKILL کریں۔
hup
خدمات کو HUP بھیجیں۔
int
خدمات کو ایک INT بھیجیں۔
مار
خدمات کو ایک قتل بھیجیں۔
ایک بار
اگر خدمات بند ہیں تو شروع کریں۔ اگر وہ رک جائیں تو انہیں دوبارہ شروع نہ کریں۔
دوبارہ شروع کریں
اگر وہ چل رہی ہیں تو خدمات کو روکیں، پھر انہیں دوبارہ شروع کریں۔
سروس کی فہرست
تمام خدمات کی فہرست بنائیں (فعال خدمات * کے ساتھ ظاہر ہوتی ہیں۔)
شروع کریں
اگر وہ بند ہیں تو خدمات شروع کریں، اور اگر وہ رک جائیں تو انہیں دوبارہ شروع کریں۔
محبت کا درجہ
تمام خدمات کی حیثیت دکھائیں۔
روک
خدمات کو روکیں، اور انہیں دوبارہ شروع نہ کریں۔
پونچھ
تمام فعال خدمات کے سروس لاگز دیکھیں۔
اصطلاح
خدمات کو TERM بھیجیں۔
usr1۔
خدمات کو USR1 بھیجیں۔
usr2۔
خدمات کو USR2 بھیجیں۔
فائر زون کو اپ گریڈ کرنے سے پہلے تمام VPN سیشنز کو ختم کر دینا چاہیے، جس میں ویب UI کو بند کرنے کا مطالبہ بھی کیا جاتا ہے۔ اپ گریڈ کے دوران کچھ غلط ہونے کی صورت میں، ہم دیکھ بھال کے لیے ایک گھنٹہ مختص کرنے کا مشورہ دیتے ہیں۔
فائر زون کو بڑھانے کے لیے، درج ذیل اقدامات کریں:
اگر کوئی مسئلہ پیدا ہوتا ہے، تو براہ کرم ہمیں بتائیں سپورٹ ٹکٹ جمع کروانا۔
0.5.0 میں چند بریکنگ تبدیلیاں اور کنفیگریشن ترمیمات ہیں جن پر توجہ دینا ضروری ہے۔ ذیل میں مزید معلومات حاصل کریں۔
Nginx اب ورژن 0.5.0 کے مطابق فورس SSL اور غیر SSL پورٹ پیرامیٹرز کو سپورٹ نہیں کرتا ہے۔ چونکہ فائر زون کو کام کرنے کے لیے SSL کی ضرورت ہے، اس لیے ہم Nginx سروس کو ڈیفالٹ ['firezone']['nginx']['enabled'] = غلط ترتیب دے کر ہٹانے کا مشورہ دیتے ہیں اور اس کے بجائے آپ کی ریورس پراکسی کو پورٹ 13000 پر Phoenix ایپ پر بھیجتے ہیں (بطور ڈیفالٹ )۔
0.5.0 بنڈل Nginx سروس کے ساتھ SSL سرٹیفکیٹس کی خود بخود تجدید کے لیے ACME پروٹوکول سپورٹ متعارف کراتا ہے۔ چالو کرنے کے لئے،
فائر زون 0.5.0 میں ڈپلیکیٹ منزلوں کے ساتھ قواعد شامل کرنے کا امکان ختم ہو گیا ہے۔ ہمارا مائیگریشن اسکرپٹ خود بخود ان حالات کو 0.5.0 میں اپ گریڈ کرنے کے دوران پہچان لے گا اور صرف ان اصولوں کو برقرار رکھے گا جن کی منزل میں دوسرا اصول شامل ہے۔ اگر یہ ٹھیک ہے تو آپ کو کچھ کرنے کی ضرورت نہیں ہے۔
بصورت دیگر، اپ گریڈ کرنے سے پہلے، ہم ان حالات سے چھٹکارا پانے کے لیے اپنے اصولوں کو تبدیل کرنے کا مشورہ دیتے ہیں۔
Firezone 0.5.0 نئی، زیادہ لچکدار OIDC پر مبنی ترتیب کے حق میں پرانے طرز کے Okta اور Google SSO کنفیگریشن کے لیے سپورٹ کو ہٹاتا ہے۔
اگر آپ کے پاس ڈیفالٹ['firezone']['authentication']['okta'] یا ڈیفالٹ['firezone']['authentication']['google'] کیز کے تحت کوئی کنفیگریشن ہے تو آپ کو انہیں ہمارے OIDC میں منتقل کرنے کی ضرورت ہے۔ -بیسڈ کنفیگریشن نیچے دی گئی گائیڈ کا استعمال کرتے ہوئے۔
موجودہ Google OAuth کنفیگریشن
/etc/firezone/firezone.rb پر واقع اپنی کنفیگریشن فائل سے پرانی Google OAuth کنفیگرز پر مشتمل ان لائنوں کو ہٹا دیں۔
پہلے سے طے شدہ['firezone']['authentication']['google']['enabled']
ڈیفالٹ['firezone']['authentication']['google']['client_id']
ڈیفالٹ['firezone']['authentication']['google']['client_secret']
ڈیفالٹ['firezone']['authentication']['google']['redirect_uri']
پھر، یہاں کے طریقہ کار پر عمل کر کے گوگل کو بطور OIDC فراہم کنندہ کنفیگر کریں۔
(لنک ہدایات فراہم کریں)<<<<<<<<<<<<<<<<
موجودہ Google OAuth کو ترتیب دیں۔
ان لائنوں کو ہٹا دیں جن میں پرانی Okta OAuth کنفیگریشنز موجود ہیں اپنی کنفیگریشن فائل سے /etc/firezone/firezone.rb
پہلے سے طے شدہ['firezone']['authentication']['okta']['enabled']
ڈیفالٹ['firezone']['authentication']['okta']['client_id']
ڈیفالٹ['firezone']['authentication']['okta']['client_secret']
ڈیفالٹ['firezone']['authentication']['okta']['site']
پھر، یہاں کے طریقہ کار پر عمل کرتے ہوئے Okta کو OIDC فراہم کنندہ کے طور پر ترتیب دیں۔
آپ کے موجودہ سیٹ اپ اور ورژن پر منحصر ہے، نیچے دی گئی ہدایات پر عمل کریں:
اگر آپ کے پاس پہلے سے ہی OIDC انضمام ہے:
کچھ OIDC فراہم کنندگان کے لیے، >= 0.3.16 میں اپ گریڈ کرنے سے آف لائن رسائی کے دائرہ کار کے لیے ریفریش ٹوکن حاصل کرنا ضروری ہے۔ ایسا کرنے سے، اس بات کو یقینی بنایا جاتا ہے کہ شناخت فراہم کرنے والے کے ساتھ Firezone اپ ڈیٹ ہو جائے اور صارف کے حذف ہونے کے بعد VPN کنکشن بند ہو جائے۔ فائر زون کے پہلے تکرار میں اس خصوصیت کی کمی تھی۔ کچھ مثالوں میں، وہ صارفین جو آپ کے شناخت فراہم کنندہ سے حذف کر دیے گئے ہیں وہ اب بھی VPN سے منسلک ہو سکتے ہیں۔
آپ کے OIDC کنفیگریشن کے اسکوپ پیرامیٹر میں OIDC فراہم کنندگان کے لیے آف لائن رسائی کو شامل کرنا ضروری ہے جو آف لائن رسائی کے دائرہ کار کو سپورٹ کرتے ہیں۔ Firezone-ctl reconfigure کو فائر زون کنفیگریشن فائل میں تبدیلیاں لاگو کرنے کے لیے عمل میں لانا چاہیے، جو /etc/firezone/firezone.rb پر واقع ہے۔
آپ کے OIDC فراہم کنندہ کے ذریعہ تصدیق شدہ صارفین کے لیے، اگر Firezone ریفریش ٹوکن کو کامیابی کے ساتھ بازیافت کرنے کے قابل ہے تو آپ کو ویب UI کے صارف کی تفصیلات کے صفحہ میں OIDC کنکشنز کی سرخی نظر آئے گی۔
اگر یہ کام نہیں کرتا ہے، تو آپ کو اپنی موجودہ OAuth ایپ کو حذف کرنے اور OIDC سیٹ اپ کے اقدامات کو دہرانے کی ضرورت ہوگی۔ ایک نیا ایپ انٹیگریشن بنائیں .
میرے پاس ایک موجودہ OAuth انضمام ہے۔
0.3.11 سے پہلے، فائر زون نے پہلے سے ترتیب شدہ OAuth2 فراہم کنندگان کا استعمال کیا۔
ہدایات پر عمل کریں یہاں OIDC میں منتقل کرنے کے لیے۔
میں نے شناخت فراہم کرنے والے کو مربوط نہیں کیا ہے۔
کسی کارروائی کی ضرورت نہیں۔
آپ ہدایات پر عمل کر سکتے ہیں۔ یہاں OIDC فراہم کنندہ کے ذریعے SSO کو فعال کرنے کے لیے۔
اس کی جگہ ڈیفالٹ['firezone']['external url'] نے کنفیگریشن آپشن ڈیفالٹ['firezone']['fqdn'] کو بدل دیا ہے۔
اسے اپنے فائر زون آن لائن پورٹل کے URL پر سیٹ کریں جو عام لوگوں کے لیے قابل رسائی ہے۔ اگر غیر متعینہ چھوڑ دیا جائے تو یہ https:// کے علاوہ آپ کے سرور کے FQDN پر ڈیفالٹ ہو جائے گا۔
کنفیگریشن فائل /etc/firezone/firezone.rb پر واقع ہے۔ کنفیگریشن متغیرات اور ان کی تفصیل کی مکمل فہرست کے لیے کنفیگریشن فائل کا حوالہ دیکھیں۔
Firezone ورژن 0.3.0 کے مطابق Firezone سرور پر ڈیوائس کی نجی کلیدوں کو مزید نہیں رکھتا ہے۔
Firezone Web UI آپ کو ان کنفیگریشنز کو دوبارہ ڈاؤن لوڈ کرنے یا دیکھنے کی اجازت نہیں دے گا، لیکن کسی بھی موجودہ ڈیوائس کو اسی طرح کام کرنا جاری رکھنا چاہیے۔
اگر آپ Firezone 0.1.x سے اپ گریڈ کر رہے ہیں، تو کنفیگریشن فائل میں کچھ تبدیلیاں ہیں جن کو دستی طور پر حل کیا جانا چاہیے۔
اپنی /etc/firezone/firezone.rb فائل میں ضروری ترمیم کرنے کے لیے، نیچے دی گئی کمانڈ کو روٹ کے طور پر چلائیں۔
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
firezone-ctl دوبارہ ترتیب دیں۔
فائر زون سی ٹی ایل دوبارہ شروع کریں۔
فائر زون لاگز کو چیک کرنا کسی بھی مسئلے کے لیے ایک دانشمندانہ پہلا قدم ہے۔
فائر زون لاگز دیکھنے کے لیے sudo firezone-ctl ٹیل چلائیں۔
Firezone کے ساتھ کنیکٹیویٹی کے مسائل کی اکثریت غیر مطابقت پذیر iptables یا nftables کے قواعد کے ذریعہ سامنے آتی ہے۔ آپ کو یہ یقینی بنانا چاہیے کہ آپ کے زیر اثر کوئی بھی اصول فائر زون کے قوانین سے متصادم نہیں ہیں۔
اس بات کو یقینی بنائیں کہ فارورڈ چین آپ کے وائر گارڈ کلائنٹس کے پیکٹوں کو ان جگہوں پر جانے کی اجازت دیتا ہے جہاں آپ فائر زون کے ذریعے جانا چاہتے ہیں اگر آپ کی وائر گارڈ سرنگ کو چالو کرنے پر آپ کا انٹرنیٹ کنیکٹوٹی خراب ہو جاتی ہے۔
یہ حاصل کیا جا سکتا ہے اگر آپ ufw استعمال کر رہے ہیں اس بات کو یقینی بنا کر کہ ڈیفالٹ روٹنگ پالیسی کی اجازت ہے:
ubuntu@fz:~$ sudo ufw پہلے سے طے شدہ اجازت دیتا ہے۔
پہلے سے طے شدہ روٹ پالیسی کو 'اجازت دیں' میں تبدیل کر دیا گیا
(اس کے مطابق اپنے قواعد کو اپ ڈیٹ کرنا یقینی بنائیں)
A ufw ایک عام فائر زون سرور کی حیثیت اس طرح نظر آسکتی ہے:
ubuntu@fz:~$ sudo ufw اسٹیٹس وربوز
حیثیت: فعال
لاگنگ: آن (کم)
ڈیفالٹ: انکار (آنے والا)، اجازت (آؤٹ گوئنگ)، اجازت (روٹڈ)
نئے پروفائلز: چھوڑیں۔
سے ایکشن تک
————-
22/tcp کہیں بھی اجازت دیں۔
80/tcp کہیں بھی اجازت دیں۔
443/tcp کہیں بھی اجازت دیں۔
51820/udp کہیں بھی اجازت دیں۔
22/tcp (v6) کہیں بھی اجازت دیں (v6)
80/tcp (v6) کہیں بھی اجازت دیں (v6)
443/tcp (v6) کہیں بھی اجازت دیں (v6)
51820/udp (v6) کہیں بھی اجازت دیں (v6)
ہم انتہائی حساس اور مشن کے لیے اہم پروڈکشن تعیناتیوں کے لیے ویب انٹرفیس تک رسائی کو محدود کرنے کا مشورہ دیتے ہیں، جیسا کہ ذیل میں وضاحت کی گئی ہے۔
سروس | ڈیفالٹ پورٹ | ایڈریس سنیں۔ | Description |
نگنکس | 80، 443 | تمام | فائر زون کے انتظام اور تصدیق کی سہولت کے لیے عوامی HTTP(S) پورٹ۔ |
وائر گارڈ | 51820 | تمام | پبلک وائر گارڈ پورٹ VPN سیشنز کے لیے استعمال ہوتا ہے۔ (UDP) |
پوسٹگریسقیل | 15432 | 127.0.0.1 | بنڈل شدہ Postgresql سرور کے لیے صرف مقامی بندرگاہ استعمال کی جاتی ہے۔ |
فینکس | 13000 | 127.0.0.1 | اپ اسٹریم ایلکسیر ایپ سرور کے ذریعہ استعمال کردہ صرف مقامی بندرگاہ۔ |
ہم آپ کو مشورہ دیتے ہیں کہ فائر زون کے عوامی طور پر سامنے آنے والے ویب UI تک رسائی کو محدود کرنے کے بارے میں سوچیں (بذریعہ ڈیفالٹ پورٹس 443/tcp اور 80/tcp) اور اس کے بجائے پروڈکشن اور عوامی سطح پر تعیناتیوں کے لیے فائر زون کا انتظام کرنے کے لیے WireGuard سرنگ کا استعمال کریں جہاں ایک ہی منتظم انچارج ہوگا۔ اختتامی صارفین کے لیے ڈیوائس کنفیگریشنز بنانے اور تقسیم کرنے کا۔
مثال کے طور پر، اگر ایڈمنسٹریٹر نے ڈیوائس کنفیگریشن بنائی اور مقامی WireGuard ایڈریس 10.3.2.2 کے ساتھ ایک سرنگ بنائی، تو درج ذیل ufw کنفیگریشن ایڈمنسٹریٹر کو ڈیفالٹ 10.3.2.1 کا استعمال کرتے ہوئے سرور کے wg-firezone انٹرفیس پر Firezone ویب UI تک رسائی حاصل کرنے کے قابل بنائے گی۔ سرنگ کا پتہ:
root@demo:~# ufw اسٹیٹس وربوز
حیثیت: فعال
لاگنگ: آن (کم)
ڈیفالٹ: انکار (آنے والا)، اجازت (آؤٹ گوئنگ)، اجازت (روٹڈ)
نئے پروفائلز: چھوڑیں۔
سے ایکشن تک
————-
22/tcp کہیں بھی اجازت دیں۔
51820/udp کہیں بھی اجازت دیں۔
10.3.2.2 میں کہیں بھی اجازت دیں۔
22/tcp (v6) کہیں بھی اجازت دیں (v6)
51820/udp (v6) کہیں بھی اجازت دیں (v6)
یہ صرف چھوڑ جائے گا 22/ٹی سی پی سرور کے انتظام کے لیے SSH رسائی کے لیے بے نقاب (اختیاری)، اور 51820/udp WireGuard سرنگیں قائم کرنے کے لیے بے نقاب۔
فائر زون ایک Postgresql سرور اور مماثلت کو بنڈل کرتا ہے۔ psql افادیت جو مقامی شیل سے اس طرح استعمال کی جاسکتی ہے:
/opt/firezone/embedded/bin/psql \
-یو فائر زون \
-d فائر زون \
-h لوکل ہوسٹ \
-ص 15432\
-c "SQL_STATEMENT"
یہ ڈیبگنگ کے مقاصد کے لیے مددگار ثابت ہو سکتا ہے۔
عام کام:
تمام صارفین کی فہرست:
/opt/firezone/embedded/bin/psql \
-یو فائر زون \
-d فائر زون \
-h لوکل ہوسٹ \
-ص 15432\
-c "صارفین سے منتخب کریں؛"
تمام آلات کی فہرست:
/opt/firezone/embedded/bin/psql \
-یو فائر زون \
-d فائر زون \
-h لوکل ہوسٹ \
-ص 15432\
-c "آلات سے منتخب کریں؛"
صارف کا کردار تبدیل کریں:
کردار کو 'ایڈمن' یا 'غیر مراعات یافتہ' پر سیٹ کریں:
/opt/firezone/embedded/bin/psql \
-یو فائر زون \
-d فائر زون \
-h لوکل ہوسٹ \
-ص 15432\
-c "صارفین کو اپ ڈیٹ کریں SET رول = 'ایڈمن' جہاں ای میل = 'user@example.com'؛"
ڈیٹا بیس کا بیک اپ لینا:
مزید برآں، پی جی ڈمپ پروگرام شامل ہے، جو ڈیٹا بیس کا باقاعدہ بیک اپ لینے کے لیے استعمال کیا جا سکتا ہے۔ عام SQL استفسار کی شکل میں ڈیٹابیس کی ایک کاپی ڈمپ کرنے کے لیے درج ذیل کوڈ پر عمل کریں (/path/to/backup.sql کو اس جگہ سے بدلیں جہاں SQL فائل بنائی جانی چاہیے):
/opt/firezone/embedded/bin/pg_dump \
-یو فائر زون \
-d فائر زون \
-h لوکل ہوسٹ \
-p 15432 > /path/to/backup.sql
فائر زون کے کامیابی سے تعینات ہونے کے بعد، آپ کو صارفین کو اپنے نیٹ ورک تک رسائی فراہم کرنے کے لیے شامل کرنا چاہیے۔ ایسا کرنے کے لیے ویب UI استعمال کیا جاتا ہے۔
/users کے تحت "Add User" بٹن کو منتخب کرکے، آپ صارف کو شامل کرسکتے ہیں۔ آپ کو صارف کو ایک ای میل پتہ اور پاس ورڈ فراہم کرنے کی ضرورت ہوگی۔ آپ کی تنظیم کے صارفین تک خود بخود رسائی کی اجازت دینے کے لیے، Firezone شناخت فراہم کرنے والے کے ساتھ انٹرفیس اور مطابقت پذیری بھی کر سکتا ہے۔ مزید تفصیلات میں دستیاب ہیں۔ توثیق. < تصدیق میں ایک لنک شامل کریں۔
ہم یہ درخواست کرنے کا مشورہ دیتے ہیں کہ صارفین اپنی ڈیوائس کنفیگریشنز خود بنائیں تاکہ پرائیویٹ کلید صرف ان کو نظر آئے۔ صارفین پر دی گئی ہدایات پر عمل کر کے اپنی ڈیوائس کنفیگریشن تیار کر سکتے ہیں۔ کلائنٹ کی ہدایات صفحہ
فائر زون کے منتظمین کے ذریعے صارف کے آلے کی تمام کنفیگریشنز بنائی جا سکتی ہیں۔ /users پر موجود صارف پروفائل صفحہ پر، اسے پورا کرنے کے لیے "Add Device" کا اختیار منتخب کریں۔
[اسکرین شاٹ داخل کریں]
آپ ڈیوائس پروفائل بنانے کے بعد صارف کو WireGuard کنفیگریشن فائل ای میل کر سکتے ہیں۔
صارفین اور آلات منسلک ہیں۔ صارف کو شامل کرنے کے طریقے کے بارے میں مزید تفصیلات کے لیے، دیکھیں صارفین کو شامل کریں.
کرنل کے نیٹ فلٹر سسٹم کے استعمال کے ذریعے، فائر زون DROP یا ACCEPT پیکٹوں کی وضاحت کرنے کے لیے ایگریس فلٹرنگ کی صلاحیتوں کو قابل بناتا ہے۔ تمام ٹریفک کی عام طور پر اجازت ہے۔
IPv4 اور IPv6 CIDRs اور IP پتے بالترتیب Allowlist اور Denylist کے ذریعے تعاون یافتہ ہیں۔ کسی صارف کو شامل کرتے وقت آپ اس کو دائرہ کار کا انتخاب کر سکتے ہیں، جو اس صارف کے تمام آلات پر اصول لاگو کرتا ہے۔
انسٹال اور ترتیب دیں
مقامی WireGuard کلائنٹ کا استعمال کرتے ہوئے VPN کنکشن قائم کرنے کے لیے، اس گائیڈ سے رجوع کریں۔
یہاں موجود آفیشل وائر گارڈ کلائنٹس فائر زون کے موافق ہیں:
اوپر ذکر نہ کیے گئے OS سسٹمز کے لیے WireGuard کی آفیشل ویب سائٹ https://www.wireguard.com/install/ پر جائیں۔
یا تو آپ کا فائر زون ایڈمنسٹریٹر یا آپ فائر زون پورٹل کا استعمال کرتے ہوئے ڈیوائس کنفیگریشن فائل تیار کر سکتے ہیں۔
وہ URL ملاحظہ کریں جو آپ کے فائر زون ایڈمنسٹریٹر نے ڈیوائس کنفیگریشن فائل کو خود تخلیق کرنے کے لیے فراہم کیا ہے۔ اس کے لیے آپ کی فرم کا ایک منفرد URL ہوگا۔ اس صورت میں، یہ https://instance-id.yourfirezone.com ہے۔
Firezone Okta SSO میں لاگ ان کریں۔
[اسکرین شاٹ داخل کریں]
conf فائل کو کھول کر WireGuard کلائنٹ میں درآمد کریں۔ ایکٹیویٹ سوئچ کو پلٹ کر، آپ VPN سیشن شروع کر سکتے ہیں۔
[اسکرین شاٹ داخل کریں]
ذیل میں دی گئی ہدایات پر عمل کریں اگر آپ کے نیٹ ورک کے منتظم نے آپ کے VPN کنکشن کو فعال رکھنے کے لیے بار بار ہونے والی تصدیق کو لازمی قرار دیا ہے۔
آپ کو ضرورت ہے:
فائر زون پورٹل کا یو آر ایل: اپنے نیٹ ورک ایڈمنسٹریٹر سے کنکشن کے لیے پوچھیں۔
آپ کے نیٹ ورک ایڈمنسٹریٹر کو آپ کا لاگ ان اور پاس ورڈ پیش کرنے کے قابل ہونا چاہیے۔ فائر زون سائٹ آپ کو واحد سائن آن سروس کا استعمال کرتے ہوئے لاگ ان کرنے کا اشارہ کرے گی جسے آپ کا آجر استعمال کرتا ہے (جیسے گوگل یا اوکٹا)۔
[اسکرین شاٹ داخل کریں]
فائر زون پورٹل کے یو آر ایل پر جائیں اور آپ کے نیٹ ورک ایڈمنسٹریٹر کے فراہم کردہ اسناد کا استعمال کرتے ہوئے لاگ ان کریں۔ اگر آپ پہلے ہی سائن ان ہیں تو دوبارہ سائن ان کرنے سے پہلے دوبارہ تصدیق کریں بٹن پر کلک کریں۔
[اسکرین شاٹ داخل کریں]
[اسکرین شاٹ داخل کریں]
لینکس ڈیوائسز پر نیٹ ورک مینیجر CLI کا استعمال کرتے ہوئے WireGuard کنفیگریشن پروفائل درآمد کرنے کے لیے، ان ہدایات (nmcli) پر عمل کریں۔
اگر پروفائل میں IPv6 سپورٹ فعال ہے، تو نیٹ ورک مینیجر GUI کا استعمال کرتے ہوئے کنفیگریشن فائل کو درآمد کرنے کی کوشش درج ذیل خرابی کے ساتھ ناکام ہو سکتی ہے۔
ipv6.method: طریقہ "آٹو" وائر گارڈ کے لیے تعاون یافتہ نہیں ہے۔
WireGuard یوزر اسپیس یوٹیلیٹیز کو انسٹال کرنا ضروری ہے۔ یہ لینکس کی تقسیم کے لیے وائر گارڈ یا وائر گارڈ ٹولز کہلانے والا ایک پیکیج ہوگا۔
Ubuntu/Debian کے لیے:
sudo apt وائر گارڈ انسٹال کریں۔
فیڈورا استعمال کرنے کے لیے:
sudo dnf install wireguard-tools
آرک لینکس:
sudo pacman -S وائر گارڈ ٹولز
ان تقسیموں کے لیے جن کا اوپر ذکر نہیں کیا گیا ہے کے لیے وائر گارڈ کی آفیشل ویب سائٹ https://www.wireguard.com/install/ پر جائیں۔
یا تو آپ کا فائر زون ایڈمنسٹریٹر یا سیلف جنریشن فائر زون پورٹل کا استعمال کرتے ہوئے ڈیوائس کنفیگریشن فائل بنا سکتا ہے۔
وہ URL ملاحظہ کریں جو آپ کے فائر زون ایڈمنسٹریٹر نے ڈیوائس کنفیگریشن فائل کو خود تخلیق کرنے کے لیے فراہم کیا ہے۔ اس کے لیے آپ کی فرم کا ایک منفرد URL ہوگا۔ اس صورت میں، یہ https://instance-id.yourfirezone.com ہے۔
[اسکرین شاٹ داخل کریں]
nmcli کا استعمال کرتے ہوئے فراہم کردہ کنفیگریشن فائل کو درآمد کریں:
sudo nmcli کنکشن امپورٹ ٹائپ وائر گارڈ فائل /path/to/configuration.conf
کنفیگریشن فائل کا نام وائر گارڈ کنکشن/انٹرفیس سے مطابقت رکھتا ہے۔ درآمد کے بعد، اگر ضروری ہو تو کنکشن کا نام تبدیل کیا جا سکتا ہے:
nmcli کنکشن میں ترمیم کریں [پرانا نام] connection.id [نیا نام]
کمانڈ لائن کے ذریعے، VPN سے اس طرح جڑیں:
nmcli کنکشن اپ [vpn name]
منقطع ہونے کے لئے:
nmcli کنکشن نیچے [vpn name]
قابل اطلاق نیٹ ورک مینیجر ایپلٹ بھی کنکشن کو منظم کرنے کے لیے استعمال کیا جا سکتا ہے اگر GUI استعمال کر رہے ہیں۔
آٹو کنیکٹ آپشن کے لیے "ہاں" کو منتخب کرنے سے، VPN کنکشن کو خود کار طریقے سے منسلک ہونے کے لیے کنفیگر کیا جا سکتا ہے:
nmcli کنکشن میں ترمیم کریں [vpn name] کنکشن۔ <<<<<<<<<<<<<<<<<<<<
خودکار جڑیں ہاں
خودکار کنکشن کو غیر فعال کرنے کے لیے اسے واپس نہیں پر سیٹ کریں:
nmcli کنکشن میں ترمیم کریں [vpn name] کنکشن۔
آٹو کنیکٹ نمبر
MFA کو فعال کرنے کے لیے Firezone پورٹل کے /user account/register mfa صفحہ پر جائیں۔ QR کوڈ تیار ہونے کے بعد اسے اسکین کرنے کے لیے اپنا مستند ایپ استعمال کریں، پھر چھ ہندسوں کا کوڈ درج کریں۔
اگر آپ اپنی تصدیق کنندہ ایپ کو غلط جگہ دیتے ہیں تو اپنے اکاؤنٹ کی رسائی کی معلومات کو دوبارہ ترتیب دینے کے لیے اپنے منتظم سے رابطہ کریں۔
یہ ٹیوٹوریل آپ کو فائر زون کے ساتھ WireGuard کی اسپلٹ ٹنلنگ فیچر کو ترتیب دینے کے عمل سے گزرے گا تاکہ صرف مخصوص IP رینجز تک ٹریفک کو VPN سرور کے ذریعے آگے بڑھایا جائے۔
وہ IP رینجز جن کے لیے کلائنٹ نیٹ ورک ٹریفک کو روٹ کرے گا وہ /settings/default صفحہ پر موجود اجازت یافتہ IPs فیلڈ میں بتائی گئی ہیں۔ اس فیلڈ میں ہونے والی تبدیلیوں سے صرف فائر زون کے ذریعہ تیار کردہ نئی تخلیق کردہ وائر گارڈ ٹنل کنفیگریشنز متاثر ہوں گی۔
[اسکرین شاٹ داخل کریں]
پہلے سے طے شدہ قدر 0.0.0.0/0، ::/0 ہے، جو کلائنٹ سے VPN سرور تک تمام نیٹ ورک ٹریفک کو روٹ کرتی ہے۔
اس فیلڈ میں اقدار کی مثالیں شامل ہیں:
0.0.0.0/0، ::/0 - تمام نیٹ ورک ٹریفک کو VPN سرور پر بھیج دیا جائے گا۔
192.0.2.3/32 - صرف ایک IP ایڈریس کی ٹریفک کو VPN سرور پر روٹ کیا جائے گا۔
3.5.140.0/22 - صرف 3.5.140.1 - 3.5.143.254 رینج میں IPs کی ٹریفک کو VPN سرور کی طرف روانہ کیا جائے گا۔ اس مثال میں، AP-northeast-2 AWS خطے کے لیے CIDR رینج استعمال کی گئی تھی۔
فائر زون پیکٹ کو کہاں روٹ کرنا ہے اس کا تعین کرتے وقت سب سے پہلے انتہائی درست راستے سے وابستہ ایگریس انٹرفیس کا انتخاب کرتا ہے۔
صارفین کو کنفیگریشن فائلوں کو دوبارہ تخلیق کرنا چاہیے اور انہیں اپنے مقامی WireGuard کلائنٹ میں شامل کرنا چاہیے تاکہ موجودہ صارف کے آلات کو نئی اسپلٹ ٹنل کنفیگریشن کے ساتھ اپ ڈیٹ کیا جا سکے۔
ہدایات کے لئے دیکھیں آلہ شامل کریں. <<<<<<<<<<<< لنک شامل کریں۔
یہ ہدایت نامہ دکھائے گا کہ فائر زون کو ریلے کے طور پر استعمال کرتے ہوئے دو آلات کو کیسے جوڑنا ہے۔ ایک عام استعمال کا معاملہ ایک منتظم کو سرور، کنٹینر، یا مشین تک رسائی کے قابل بنانا ہے جو NAT یا فائر وال سے محفوظ ہے۔
یہ مثال ایک سیدھا سادا منظر دکھاتی ہے جس میں آلات A اور B ایک سرنگ بناتے ہیں۔
[فائر زون آرکیٹیکچرل تصویر داخل کریں]
/users/[user_id]/new_device پر نیویگیٹ کرکے ڈیوائس A اور ڈیوائس B بنا کر شروع کریں۔ ہر ڈیوائس کی سیٹنگز میں، یقینی بنائیں کہ درج ذیل پیرامیٹرز نیچے دی گئی اقدار پر سیٹ ہیں۔ ڈیوائس کی تشکیل بناتے وقت آپ ڈیوائس کی سیٹنگز سیٹ کر سکتے ہیں (دیکھیں ڈیوائسز شامل کریں)۔ اگر آپ کو کسی موجودہ ڈیوائس پر سیٹنگز کو اپ ڈیٹ کرنے کی ضرورت ہے، تو آپ نیا ڈیوائس کنفیگریشن بنا کر ایسا کر سکتے ہیں۔
نوٹ کریں کہ تمام آلات میں ایک /settings/defaults صفحہ ہوتا ہے جہاں PersistentKeepalive کو کنفیگر کیا جا سکتا ہے۔
اجازت یافتہ آئی پیز = 10.3.2.2/32
یہ ڈیوائس B کے IPs کی IP یا رینج ہے۔
PersistentKeepalive = 25
اگر آلہ NAT کے پیچھے ہے، تو یہ یقینی بناتا ہے کہ آلہ سرنگ کو زندہ رکھنے کے قابل ہے اور WireGuard انٹرفیس سے پیکٹ وصول کرنا جاری رکھے گا۔ عام طور پر 25 کی قدر کافی ہوتی ہے، لیکن آپ کو اپنے ماحول کے لحاظ سے اس قدر کو کم کرنے کی ضرورت پڑ سکتی ہے۔
اجازت یافتہ آئی پیز = 10.3.2.3/32
یہ ڈیوائس A کے IPs کا IP یا رینج ہے۔
PersistentKeepalive = 25
یہ مثال ایسی صورت حال کو ظاہر کرتی ہے جس میں ڈیوائس A ڈیوائسز B کے ساتھ D کے ذریعے دونوں سمتوں میں بات چیت کر سکتی ہے۔ یہ سیٹ اپ مختلف نیٹ ورکس میں متعدد وسائل (سرور، کنٹینرز، یا مشینوں) تک رسائی حاصل کرنے والے انجینئر یا منتظم کی نمائندگی کر سکتا ہے۔
[آرکیٹیکچرل ڈایاگرام]<<<<<<<<<<<<<<<<<<<<<<
یقینی بنائیں کہ درج ذیل سیٹنگیں ہر ڈیوائس کی سیٹنگز میں متعلقہ اقدار کے مطابق بنائی گئی ہیں۔ ڈیوائس کنفیگریشن بناتے وقت، آپ ڈیوائس کی سیٹنگز بتا سکتے ہیں (دیکھیں ڈیوائسز شامل کریں)۔ اگر کسی موجودہ ڈیوائس پر سیٹنگز کو اپ ڈیٹ کرنے کی ضرورت ہو تو ایک نئی ڈیوائس کی تشکیل بنائی جا سکتی ہے۔
اجازت یافتہ آئی پیز = 10.3.2.3/32، 10.3.2.4/32، 10.3.2.5/32
یہ D کے ذریعے B ڈیوائسز کا IP ہے۔ B سے D تک ڈیوائسز کے IP کو کسی بھی IP رینج میں شامل کیا جانا چاہیے جسے آپ سیٹ کرنے کے لیے منتخب کرتے ہیں۔
PersistentKeepalive = 25
یہ اس بات کی ضمانت دیتا ہے کہ آلہ سرنگ کو برقرار رکھ سکتا ہے اور WireGuard انٹرفیس سے پیکٹ وصول کرنا جاری رکھ سکتا ہے چاہے یہ NAT کے ذریعے محفوظ ہو۔ زیادہ تر معاملات میں، 25 کی قدر کافی ہے، تاہم آپ کے ماحول کے لحاظ سے، آپ کو اس اعداد و شمار کو کم کرنے کی ضرورت پڑ سکتی ہے۔
آپ کی ٹیم کے تمام ٹریفک کے لیے ایک واحد، جامد ایگریس آئی پی پیش کرنے کے لیے، فائر زون کو NAT گیٹ وے کے طور پر استعمال کیا جا سکتا ہے۔ ان حالات میں اس کا کثرت سے استعمال شامل ہے:
مشورتی مصروفیات: درخواست کریں کہ آپ کا صارف ہر ملازم کے منفرد آلہ IP کے بجائے ایک واحد جامد IP ایڈریس کو وائٹ لسٹ کرے۔
سیکیورٹی یا رازداری کے مقاصد کے لیے پراکسی کا استعمال کرنا یا اپنے سورس آئی پی کو ماسک کرنا۔
فائر زون کو چلانے والے ایک وائٹ لسٹ شدہ جامد IP تک خود میزبان ویب ایپلیکیشن تک رسائی کو محدود کرنے کی ایک سادہ مثال اس پوسٹ میں دکھائی جائے گی۔ اس مثال میں، فائر زون اور محفوظ وسائل مختلف VPC علاقوں میں ہیں۔
یہ حل کثرت سے متعدد اختتامی صارفین کے لیے آئی پی وائٹ لسٹ کو منظم کرنے کی جگہ استعمال کیا جاتا ہے، جو کہ رسائی کی فہرست کے پھیلنے کے ساتھ وقت گزار سکتا ہے۔
ہمارا مقصد EC2 مثال پر فائر زون سرور قائم کرنا ہے تاکہ VPN ٹریفک کو محدود وسائل کی طرف ری ڈائریکٹ کیا جا سکے۔ اس مثال میں، فائر زون نیٹ ورک پراکسی یا NAT گیٹ وے کے طور پر کام کر رہا ہے تاکہ ہر منسلک ڈیوائس کو ایک منفرد پبلک ایگریس آئی پی دیا جا سکے۔
اس صورت میں، tc2.micro نامی EC2 مثال پر فائر زون کی مثال نصب ہے۔ فائر زون کی تعیناتی کے بارے میں معلومات کے لیے، تعیناتی گائیڈ پر جائیں۔ AWS کے سلسلے میں، یقینی بنائیں:
فائر زون EC2 مثال کا سیکیورٹی گروپ محفوظ وسائل کے IP پتے پر آؤٹ باؤنڈ ٹریفک کی اجازت دیتا ہے۔
فائر زون مثال ایک لچکدار IP کے ساتھ آتا ہے۔ فائر زون مثال کے ذریعے باہر کی منزلوں تک بھیجی جانے والی ٹریفک کا یہ ماخذ IP پتہ ہوگا۔ زیر بحث IP ایڈریس 52.202.88.54 ہے۔
[اسکرین شاٹ داخل کریں]<<<<<<<<<<<<<<<<<<<<<<
ایک خود میزبان ویب ایپلیکیشن اس معاملے میں محفوظ وسائل کے طور پر کام کرتی ہے۔ ویب ایپ تک رسائی صرف آئی پی ایڈریس 52.202.88.54 سے آنے والی درخواستوں کے ذریعے کی جا سکتی ہے۔ وسائل پر منحصر ہے، مختلف بندرگاہوں اور ٹریفک کی اقسام پر ان باؤنڈ ٹریفک کی اجازت دینا ضروری ہو سکتا ہے۔ اس کتابچہ میں اس کا احاطہ نہیں کیا گیا ہے۔
[اسکرین شاٹ داخل کریں]<<<<<<<<<<<<<<<<<<<<<<
براہ کرم محفوظ شدہ وسائل کے انچارج تیسرے فریق کو بتائیں کہ مرحلہ 1 میں بیان کردہ جامد IP سے ٹریفک کی اجازت ہونی چاہیے (اس معاملے میں 52.202.88.54)۔
پہلے سے طے شدہ طور پر، تمام صارف ٹریفک VPN سرور سے گزرے گا اور اس جامد IP سے آئے گا جسے مرحلہ 1 میں ترتیب دیا گیا تھا (اس صورت میں 52.202.88.54)۔ تاہم، اگر اسپلٹ ٹنلنگ کو فعال کر دیا گیا ہے، تو اس بات کو یقینی بنانے کے لیے سیٹنگز ضروری ہو سکتی ہیں کہ محفوظ وسائل کی منزل کا IP اجازت یافتہ IPs میں درج ہو۔
ذیل میں دستیاب ترتیب کے اختیارات کی مکمل فہرست دکھائی گئی ہے۔ /etc/firezone/firezone.rb.
آپشن | تفصیل | پہلے سے طے شدہ قیمت |
پہلے سے طے شدہ['firezone']['external_url'] | اس فائر زون مثال کے ویب پورٹل تک رسائی کے لیے استعمال ہونے والا URL۔ | "https://#{node['fqdn'] || نوڈ['میزبان نام']}" |
پہلے سے طے شدہ['firezone']['config_directory'] | فائر زون کنفیگریشن کے لیے ٹاپ لیول ڈائرکٹری۔ | /etc/firezone' |
پہلے سے طے شدہ['firezone']['install_directory'] | فائر زون کو انسٹال کرنے کے لیے ٹاپ لیول ڈائرکٹری۔ | /opt/firezone' |
پہلے سے طے شدہ['firezone']['app_directory'] | فائر زون ویب ایپلیکیشن انسٹال کرنے کے لیے ٹاپ لیول ڈائرکٹری۔ | "#{node['firezone']['install_directory']}/embedded/service/firezone" |
پہلے سے طے شدہ['firezone']['log_directory'] | فائر زون لاگز کے لیے ٹاپ لیول ڈائرکٹری۔ | /var/log/firezone' |
پہلے سے طے شدہ['firezone']['var_directory'] | فائر زون رن ٹائم فائلوں کے لیے ٹاپ لیول ڈائرکٹری۔ | /var/opt/firezone' |
پہلے سے طے شدہ['firezone']['user'] | غیر مراعات یافتہ لینکس صارف کے نام سے زیادہ تر خدمات اور فائلیں ہوں گی۔ | فائر زون' |
پہلے سے طے شدہ['firezone']['group'] | لینکس گروپ کے نام سے زیادہ تر سروسز اور فائلیں ہوں گی۔ | فائر زون' |
پہلے سے طے شدہ['firezone']['admin_email'] | ابتدائی فائر زون صارف کے لیے ای میل پتہ۔ | "firezone@localhost" |
پہلے سے طے شدہ['firezone']['max_devices_per_user'] | ایک صارف کے پاس ہونے والے آلات کی زیادہ سے زیادہ تعداد۔ | 10 |
پہلے سے طے شدہ['firezone']['allow_unprivileged_device_management'] | غیر منتظم صارفین کو آلات بنانے اور حذف کرنے کی اجازت دیتا ہے۔ | سچ |
پہلے سے طے شدہ['firezone']['allow_unprivileged_device_configuration'] | غیر منتظم صارفین کو آلہ کی ترتیب میں ترمیم کرنے کی اجازت دیتا ہے۔ غیر فعال ہونے پر، غیر مراعات یافتہ صارفین کو نام اور تفصیل کے علاوہ تمام ڈیوائس فیلڈز کو تبدیل کرنے سے روکتا ہے۔ | سچ |
پہلے سے طے شدہ['firezone']['egress_interface'] | انٹرفیس کا نام جہاں سے ٹنل شدہ ٹریفک نکل جائے گی۔ اگر صفر ہے تو، پہلے سے طے شدہ روٹ انٹرفیس استعمال کیا جائے گا۔ | صفر |
پہلے سے طے شدہ['firezone']['fips_enabled'] | OpenSSL FIPs وضع کو فعال یا غیر فعال کریں۔ | صفر |
پہلے سے طے شدہ['firezone']['logging']['enabled'] | فائر زون میں لاگنگ کو فعال یا غیر فعال کریں۔ لاگنگ کو مکمل طور پر غیر فعال کرنے کے لیے غلط پر سیٹ کریں۔ | سچ |
ڈیفالٹ['انٹرپرائز']['نام'] | شیف 'انٹرپرائز' کک بک کے ذریعہ استعمال کردہ نام۔ | فائر زون' |
پہلے سے طے شدہ['firezone']['install_path'] | شیف 'انٹرپرائز' کک بک کے ذریعہ استعمال کردہ راستہ انسٹال کریں۔ اوپر install_directory کی طرح سیٹ ہونا چاہیے۔ | نوڈ['firezone']['install_directory'] |
پہلے سے طے شدہ['firezone']['sysvinit_id'] | ایک شناخت کنندہ جو /etc/inittab میں استعمال ہوتا ہے۔ 1-4 حروف کی ایک منفرد ترتیب ہونی چاہیے۔ | سڑکنا' |
پہلے سے طے شدہ['firezone']['authentication']['local']['enabled'] | مقامی ای میل/ پاس ورڈ کی توثیق کو فعال یا غیر فعال کریں۔ | سچ |
پہلے سے طے شدہ['firezone']['authentication']['auto_create_oidc_users'] | OIDC سے پہلی بار سائن ان کرنے والے صارفین کو خودکار طور پر بنائیں۔ صرف موجودہ صارفین کو OIDC کے ذریعے سائن ان کرنے کی اجازت دینے کے لیے غیر فعال کریں۔ | سچ |
پہلے سے طے شدہ['firezone']['authentication']['disable_vpn_on_oidc_error'] | اگر کسی صارف کے OIDC ٹوکن کو ریفریش کرنے کی کوشش میں کوئی خرابی پائی جاتی ہے تو اس کے VPN کو غیر فعال کریں۔ | جھوٹے |
پہلے سے طے شدہ['firezone']['authentication']['oidc'] | OpenID Connect config، {“provider” => [config…]} کی شکل میں – دیکھیں OpenIDConnect دستاویزات تشکیل کی مثالوں کے لئے۔ | {} |
پہلے سے طے شدہ['firezone']['nginx']['enabled'] | بنڈل nginx سرور کو فعال یا غیر فعال کریں۔ | سچ |
پہلے سے طے شدہ['firezone']['nginx']['ssl_port'] | HTTPS سننے کا پورٹ۔ | 443 |
پہلے سے طے شدہ['firezone']['nginx']['directory'] | Firezone سے متعلقہ nginx ورچوئل ہوسٹ کنفیگریشن کو ذخیرہ کرنے کے لیے ڈائریکٹری۔ | "#{node['firezone']['var_directory']}/nginx/etc" |
پہلے سے طے شدہ['firezone']['nginx']['log_directory'] | فائر زون سے متعلقہ nginx لاگ فائلوں کو ذخیرہ کرنے کے لیے ڈائریکٹری۔ | "#{node['firezone']['log_directory']}/nginx" |
ڈیفالٹ['firezone']['nginx']['log_rotation']['file_maxbytes'] | فائل کا سائز جس پر Nginx لاگ فائلوں کو گھمانا ہے۔ | 104857600 |
ڈیفالٹ['firezone']['nginx']['log_rotation']['num_to_keep'] | فائر زون nginx لاگ فائلوں کی تعداد جو ضائع کرنے سے پہلے رکھی جائے۔ | 10 |
پہلے سے طے شدہ['firezone']['nginx']['log_x_forwarded_for'] | کیا ہیڈر کے لیے Firezone nginx x-forwarded-log کرنا ہے۔ | سچ |
ڈیفالٹ['firezone']['nginx']['hsts_header']['enabled'] | سچ | |
ڈیفالٹ['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS ہیڈر کے لیے شامل سب ڈومینز کو فعال یا غیر فعال کریں۔ | سچ |
ڈیفالٹ['firezone']['nginx']['hsts_header']['max_age'] | HSTS ہیڈر کے لیے زیادہ سے زیادہ عمر۔ | 31536000 |
پہلے سے طے شدہ['firezone']['nginx']['redirect_to_canonical'] | آیا URLs کو اوپر بیان کردہ کینونیکل FQDN پر ری ڈائریکٹ کرنا ہے۔ | جھوٹے |
ڈیفالٹ['firezone']['nginx']['cache']['enabled'] | Firezone nginx کیشے کو فعال یا غیر فعال کریں۔ | جھوٹے |
ڈیفالٹ['firezone']['nginx']['cache']['directory'] | Firezone nginx کیشے کے لیے ڈائریکٹری۔ | "#{node['firezone']['var_directory']}/nginx/cache" |
پہلے سے طے شدہ['firezone']['nginx']['user'] | فائر زون nginx صارف۔ | نوڈ['firezone']['user'] |
پہلے سے طے شدہ['firezone']['nginx']['group'] | فائر زون اینجینکس گروپ۔ | نوڈ['فائر زون']['گروپ'] |
پہلے سے طے شدہ['firezone']['nginx']['dir'] | ٹاپ لیول nginx کنفیگریشن ڈائرکٹری۔ | node['firezone']['nginx']['directory'] |
پہلے سے طے شدہ['firezone']['nginx']['log_dir'] | ٹاپ لیول nginx لاگ ڈائرکٹری۔ | نوڈ['firezone']['nginx']['log_directory'] |
پہلے سے طے شدہ['firezone']['nginx']['pid'] | nginx pid فائل کے لیے مقام۔ | "#{node['firezone']['nginx']['directory']}/nginx.pid" |
پہلے سے طے شدہ['firezone']['nginx']['daemon_disable'] | nginx ڈیمون موڈ کو غیر فعال کریں تاکہ ہم اس کی بجائے اس کی نگرانی کر سکیں۔ | سچ |
پہلے سے طے شدہ['firezone']['nginx']['gzip'] | nginx gzip کمپریشن کو آن یا آف کریں۔ | پر ' |
پہلے سے طے شدہ['firezone']['nginx']['gzip_static'] | جامد فائلوں کے لیے nginx gzip کمپریشن کو آن یا آف کریں۔ | بند' |
ڈیفالٹ['firezone']['nginx']['gzip_http_version'] | جامد فائلوں کو پیش کرنے کے لیے استعمال کرنے کے لیے HTTP ورژن۔ | 1.0 ' |
پہلے سے طے شدہ['firezone']['nginx']['gzip_comp_level'] | nginx gzip کمپریشن لیول۔ | 2 ' |
پہلے سے طے شدہ['firezone']['nginx']['gzip_proxied'] | درخواست اور جواب کے لحاظ سے پراکسی درخواستوں کے لیے جوابات کی gzipping کو فعال یا غیر فعال کرتا ہے۔ | کوئی' |
پہلے سے طے شدہ['firezone']['nginx']['gzip_vary'] | "Vary: Accept-Encoding" جوابی ہیڈر داخل کرنے کو فعال یا غیر فعال کرتا ہے۔ | بند' |
پہلے سے طے شدہ['firezone']['nginx']['gzip_buffers'] | جواب کو کمپریس کرنے کے لیے استعمال ہونے والے بفرز کی تعداد اور سائز سیٹ کرتا ہے۔ اگر صفر ہے تو، nginx ڈیفالٹ استعمال کیا جاتا ہے۔ | صفر |
پہلے سے طے شدہ['firezone']['nginx']['gzip_types'] | Gzip کمپریشن کو فعال کرنے کے لیے MIME اقسام۔ | ['text/plain', 'text/css', 'application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
پہلے سے طے شدہ['firezone']['nginx']['gzip_min_length'] | فائل جیزپ کمپریشن کو فعال کرنے کے لیے فائل کی کم از کم لمبائی۔ | 1000 |
پہلے سے طے شدہ['firezone']['nginx']['gzip_disable'] | Gzip کمپریشن کو غیر فعال کرنے کے لیے صارف ایجنٹ میچر۔ | MSIE [1-6]\.' |
پہلے سے طے شدہ['firezone']['nginx']['keepalive'] | اپ اسٹریم سرورز سے کنکشن کے لیے کیشے کو فعال کرتا ہے۔ | پر ' |
پہلے سے طے شدہ['firezone']['nginx']['keepalive_timeout'] | اپ اسٹریم سرورز کے ساتھ کنکشن کو زندہ رکھنے کے لیے سیکنڈوں میں ٹائم آؤٹ۔ | 65 |
پہلے سے طے شدہ['firezone']['nginx']['worker_processes'] | nginx کارکن کے عمل کی تعداد۔ | node['cpu'] && node['cpu']['total'] ? نوڈ['cpu']['total'] : 1 |
پہلے سے طے شدہ['firezone']['nginx']['worker_connections'] | بیک وقت کنکشنز کی زیادہ سے زیادہ تعداد جو کارکن کے عمل سے کھولی جا سکتی ہے۔ | 1024 |
پہلے سے طے شدہ['firezone']['nginx']['worker_rlimit_nofile'] | کارکن کے عمل کے لیے کھلی فائلوں کی زیادہ سے زیادہ تعداد کی حد کو تبدیل کرتا ہے۔ nginx ڈیفالٹ استعمال کرتا ہے اگر صفر۔ | صفر |
پہلے سے طے شدہ['firezone']['nginx']['multi_accept'] | آیا کارکنوں کو ایک وقت میں ایک کنکشن قبول کرنا چاہیے یا متعدد۔ | سچ |
پہلے سے طے شدہ['firezone']['nginx']['event'] | nginx واقعات کے سیاق و سباق کے اندر استعمال کرنے کے لیے کنکشن پروسیسنگ کا طریقہ بتاتا ہے۔ | epoll' |
پہلے سے طے شدہ['firezone']['nginx']['server_tokens'] | خامی والے صفحات پر اور "سرور" رسپانس ہیڈر فیلڈ میں ایمیٹنگ nginx ورژن کو فعال یا غیر فعال کرتا ہے۔ | صفر |
پہلے سے طے شدہ['firezone']['nginx']['server_names_hash_bucket_size'] | سرور کے ناموں ہیش ٹیبلز کے لیے بالٹی کا سائز سیٹ کرتا ہے۔ | 64 |
پہلے سے طے شدہ['firezone']['nginx']['sendfile'] | nginx کی sendfile() کے استعمال کو فعال یا غیر فعال کرتا ہے۔ | پر ' |
پہلے سے طے شدہ['firezone']['nginx']['access_log_options'] | nginx رسائی لاگ آپشنز سیٹ کرتا ہے۔ | صفر |
پہلے سے طے شدہ['firezone']['nginx']['error_log_options'] | nginx ایرر لاگ آپشنز سیٹ کرتا ہے۔ | صفر |
پہلے سے طے شدہ['firezone']['nginx']['disable_access_log'] | nginx رسائی لاگ کو غیر فعال کرتا ہے۔ | جھوٹے |
پہلے سے طے شدہ['firezone']['nginx']['types_hash_max_size'] | nginx اقسام ہیش زیادہ سے زیادہ سائز. | 2048 |
پہلے سے طے شدہ['firezone']['nginx']['types_hash_bucket_size'] | nginx اقسام ہیش بالٹی سائز. | 64 |
پہلے سے طے شدہ['firezone']['nginx']['proxy_read_timeout'] | nginx پراکسی پڑھنے کا ٹائم آؤٹ۔ nginx ڈیفالٹ استعمال کرنے کے لیے صفر پر سیٹ کریں۔ | صفر |
پہلے سے طے شدہ['firezone']['nginx']['client_body_buffer_size'] | nginx کلائنٹ باڈی بفر سائز۔ nginx ڈیفالٹ استعمال کرنے کے لیے صفر پر سیٹ کریں۔ | صفر |
پہلے سے طے شدہ['firezone']['nginx']['client_max_body_size'] | nginx کلائنٹ کا زیادہ سے زیادہ جسمانی سائز۔ | 250m' |
ڈیفالٹ['firezone']['nginx']['default']['modules'] | اضافی nginx ماڈیولز کی وضاحت کریں۔ | [] |
پہلے سے طے شدہ['firezone']['nginx']['enable_rate_limiting'] | nginx کی شرح کو محدود کرنے کو فعال یا غیر فعال کریں۔ | سچ |
پہلے سے طے شدہ['firezone']['nginx']['rate_limiting_zone_name'] | Nginx شرح محدود کرنے والے زون کا نام۔ | فائر زون' |
پہلے سے طے شدہ['firezone']['nginx']['rate_limiting_backoff'] | بیک آف کو محدود کرنے والی Nginx کی شرح۔ | 10m' |
پہلے سے طے شدہ['firezone']['nginx']['rate_limit'] | Nginx شرح کی حد۔ | 10r/s' |
پہلے سے طے شدہ['firezone']['nginx']['ipv6'] | nginx کو IPv6 کے علاوہ IPv4 کے لیے HTTP درخواستیں سننے کی اجازت دیں۔ | سچ |
پہلے سے طے شدہ['firezone']['postgresql']['enabled'] | بنڈل Postgresql کو فعال یا غیر فعال کریں۔ غلط پر سیٹ کریں اور اپنی پوسٹگریس کی ایل مثال استعمال کرنے کے لیے نیچے ڈیٹا بیس کے اختیارات کو پُر کریں۔ | سچ |
پہلے سے طے شدہ['firezone']['postgresql']['username'] | Postgresql کے لیے صارف نام۔ | نوڈ['firezone']['user'] |
ڈیفالٹ['firezone']['postgresql']['data_directory'] | Postgresql ڈیٹا ڈائرکٹری۔ | "#{node['firezone']['var_directory']}/postgresql/13.3/data" |
ڈیفالٹ['firezone']['postgresql']['log_directory'] | Postgresql لاگ ڈائرکٹری۔ | "#{node['firezone']['log_directory']}/postgresql" |
ڈیفالٹ['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql لاگ فائل کو گھمائے جانے سے پہلے زیادہ سے زیادہ سائز۔ | 104857600 |
ڈیفالٹ['firezone']['postgresql']['log_rotation']['num_to_keep'] | رکھنے کے لیے Postgresql لاگ فائلوں کی تعداد۔ | 10 |
ڈیفالٹ['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql چیک پوائنٹ کی تکمیل کا ہدف۔ | 0.5 |
پہلے سے طے شدہ['firezone']['postgresql']['checkpoint_segments'] | Postgresql چیک پوائنٹ کے حصوں کی تعداد۔ | 3 |
پہلے سے طے شدہ['firezone']['postgresql']['checkpoint_timeout'] | Postgresql چیک پوائنٹ کا ٹائم آؤٹ۔ | 5 منٹ |
پہلے سے طے شدہ['firezone']['postgresql']['checkpoint_warning'] | سیکنڈ میں پوسٹگریس کی ایل چیک پوائنٹ وارننگ ٹائم۔ | 30s' |
ڈیفالٹ['firezone']['postgresql']['effective_cache_size'] | Postgresql مؤثر کیشے کا سائز۔ | 128MB' |
ڈیفالٹ['firezone']['postgresql']['listen_address'] | Postgresql سننے کا پتہ۔ | 127.0.0.1 ' |
پہلے سے طے شدہ['firezone']['postgresql']['max_connections'] | Postgresql زیادہ سے زیادہ کنکشن۔ | 350 |
ڈیفالٹ['firezone']['postgresql']['md5_auth_cidr_addresses'] | md5 auth کی اجازت دینے کے لیے Postgresql CIDRs۔ | ['127.0.0.1/32', '::1/128'] |
پہلے سے طے شدہ['firezone']['postgresql']['port'] | Postgresql سننے کا پورٹ۔ | 15432 |
پہلے سے طے شدہ['firezone']['postgresql']['shared_buffers'] | Postgresql مشترکہ بفر سائز۔ | "#{(node['memory']['total'].to_i / 4) / 1024}MB" |
پہلے سے طے شدہ['firezone']['postgresql']['shmmax'] | Postgresql shmmax بائٹس میں۔ | 17179869184 |
پہلے سے طے شدہ['firezone']['postgresql']['shmall'] | Postgresql shmall بائٹس میں۔ | 4194304 |
پہلے سے طے شدہ['firezone']['postgresql']['work_mem'] | Postgresql ورکنگ میموری کا سائز۔ | 8MB' |
پہلے سے طے شدہ['firezone']['database']['user'] | اس صارف نام کی وضاحت کرتا ہے جو فائر زون DB سے منسلک ہونے کے لیے استعمال کرے گا۔ | node['firezone']['postgresql']['username'] |
ڈیفالٹ['firezone']['database']['password'] | اگر بیرونی DB استعمال کر رہے ہیں تو، پاس ورڈ کی وضاحت کریں Firezone DB سے منسلک ہونے کے لیے استعمال کرے گا۔ | مجہے بدلیں' |
پہلے سے طے شدہ['firezone']['database']['name'] | ڈیٹا بیس جو فائر زون استعمال کرے گا۔ اگر یہ موجود نہیں ہے تو بنایا جائے گا۔ | فائر زون' |
پہلے سے طے شدہ['firezone']['database']['host'] | ڈیٹا بیس ہوسٹ جس سے Firezone جڑے گا۔ | node['firezone']['postgresql']['listen_address'] |
پہلے سے طے شدہ['firezone']['database']['port'] | ڈیٹا بیس پورٹ جس سے فائر زون جڑے گا۔ | نوڈ['firezone']['postgresql']['port'] |
پہلے سے طے شدہ['firezone']['database']['pool'] | ڈیٹا بیس پول سائز فائر زون استعمال کرے گا۔ | [10, Etc.nprocessors].زیادہ سے زیادہ |
پہلے سے طے شدہ['firezone']['database']['ssl'] | آیا SSL پر ڈیٹا بیس سے جڑنا ہے۔ | جھوٹے |
ڈیفالٹ['firezone']['database']['ssl_opts'] | {} | |
پہلے سے طے شدہ['firezone']['database']['parameters'] | {} | |
پہلے سے طے شدہ['firezone']['database']['extensions'] | فعال کرنے کے لیے ڈیٹا بیس کی توسیع۔ | {'plpgsql' => سچ، 'pg_trgm' => سچ } |
پہلے سے طے شدہ['firezone']['phoenix']['enabled'] | فائر زون ویب ایپلیکیشن کو فعال یا غیر فعال کریں۔ | سچ |
پہلے سے طے شدہ['firezone']['phoenix']['listen_address'] | فائر زون ویب ایپلیکیشن سننے کا پتہ۔ یہ اپ اسٹریم سننے کا پتہ ہوگا جو nginx پراکسی کرتا ہے۔ | 127.0.0.1 ' |
پہلے سے طے شدہ['firezone']['phoenix']['port'] | فائر زون ویب ایپلیکیشن سننے کا پورٹ۔ یہ اپ اسٹریم پورٹ ہوگی جو nginx پراکسی کرتی ہے۔ | 13000 |
پہلے سے طے شدہ['firezone']['phoenix']['log_directory'] | فائر زون ویب ایپلیکیشن لاگ ڈائرکٹری۔ | "#{node['firezone']['log_directory']}/phoenix" |
ڈیفالٹ['firezone']['phoenix']['log_rotation']['file_maxbytes'] | فائر زون ویب ایپلیکیشن لاگ فائل کا سائز۔ | 104857600 |
ڈیفالٹ['firezone']['phoenix']['log_rotation']['num_to_keep'] | رکھنے کے لیے Firezone ویب ایپلیکیشن لاگ فائلوں کی تعداد۔ | 10 |
ڈیفالٹ['firezone']['phoenix']['crash_detection']['enabled'] | کریش کا پتہ چلنے پر فائر زون ویب ایپلیکیشن کو نیچے لانے کو فعال یا غیر فعال کریں۔ | سچ |
پہلے سے طے شدہ['firezone']['phoenix']['external_trusted_proxies'] | IPs اور/یا CIDRs کی ایک صف کے طور پر فارمیٹ کردہ قابل اعتماد ریورس پراکسیوں کی فہرست۔ | [] |
پہلے سے طے شدہ['firezone']['phoenix']['private_clients'] | نجی نیٹ ورک HTTP کلائنٹس کی فہرست، IPs اور/یا CIDRs کی ایک صف کو فارمیٹ کیا۔ | [] |
پہلے سے طے شدہ['firezone']['wireguard']['enabled'] | بنڈل وائر گارڈ مینجمنٹ کو فعال یا غیر فعال کریں۔ | سچ |
پہلے سے طے شدہ['firezone']['wireguard']['log_directory'] | بنڈل وائر گارڈ مینجمنٹ کے لیے لاگ ڈائرکٹری۔ | "#{node['firezone']['log_directory']}/wireguard" |
ڈیفالٹ['firezone']['wireguard']['log_rotation']['file_maxbytes'] | وائر گارڈ لاگ فائل کا زیادہ سے زیادہ سائز۔ | 104857600 |
ڈیفالٹ['firezone']['wireguard']['log_rotation']['num_to_keep'] | رکھنے کے لیے WireGuard لاگ فائلوں کی تعداد۔ | 10 |
پہلے سے طے شدہ['firezone']['wireguard']['interface_name'] | وائر گارڈ انٹرفیس کا نام۔ اس پیرامیٹر کو تبدیل کرنے سے VPN کنیکٹیویٹی میں عارضی نقصان ہو سکتا ہے۔ | wg-firezone' |
پہلے سے طے شدہ['firezone']['wireguard']['port'] | وائر گارڈ سننے کا بندرگاہ۔ | 51820 |
پہلے سے طے شدہ['firezone']['wireguard']['mtu'] | WireGuard انٹرفیس MTU اس سرور اور ڈیوائس کنفیگریشنز کے لیے۔ | 1280 |
پہلے سے طے شدہ['firezone']['wireguard']['endpoint'] | WireGuard Endpoint آلہ کنفیگریشنز بنانے کے لیے استعمال کرنا۔ اگر صفر ہے تو، سرور کے عوامی IP ایڈریس پر ڈیفالٹ۔ | صفر |
پہلے سے طے شدہ['firezone']['wireguard']['dns'] | WireGuard DNS جنریٹڈ ڈیوائس کنفیگریشنز کے لیے استعمال کرنا ہے۔ | 1.1.1.1، 1.0.0.1′ |
پہلے سے طے شدہ['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs کو جنریٹڈ ڈیوائس کنفیگریشنز کے لیے استعمال کرنے کی اجازت ہے۔ | 0.0.0.0/0، ::/0′ |
پہلے سے طے شدہ['firezone']['wireguard']['persistent_keepalive'] | تیار کردہ ڈیوائس کنفیگریشنز کے لیے ڈیفالٹ PersistentKeepalive ترتیب۔ 0 کی قدر غیر فعال ہو جاتی ہے۔ | 0 |
ڈیفالٹ['firezone']['wireguard']['ipv4']['enabled'] | WireGuard نیٹ ورک کے لیے IPv4 کو فعال یا غیر فعال کریں۔ | سچ |
پہلے سے طے شدہ['firezone']['wireguard']['ipv4']['masquerade'] | IPv4 سرنگ سے نکلنے والے پیکٹوں کے لیے ماسکریڈ کو فعال یا غیر فعال کریں۔ | سچ |
ڈیفالٹ['firezone']['wireguard']['ipv4']['network'] | وائر گارڈ نیٹ ورک IPv4 ایڈریس پول۔ | 10.3.2.0/24 ′ |
ڈیفالٹ['firezone']['wireguard']['ipv4']['address'] | وائر گارڈ انٹرفیس IPv4 ایڈریس۔ WireGuard ایڈریس پول کے اندر ہونا ضروری ہے۔ | 10.3.2.1 ' |
ڈیفالٹ['firezone']['wireguard']['ipv6']['enabled'] | WireGuard نیٹ ورک کے لیے IPv6 کو فعال یا غیر فعال کریں۔ | سچ |
پہلے سے طے شدہ['firezone']['wireguard']['ipv6']['masquerade'] | IPv6 سرنگ سے نکلنے والے پیکٹوں کے لیے ماسکریڈ کو فعال یا غیر فعال کریں۔ | سچ |
ڈیفالٹ['firezone']['wireguard']['ipv6']['network'] | وائر گارڈ نیٹ ورک IPv6 ایڈریس پول۔ | fd00::3:2:0/120′ |
ڈیفالٹ['firezone']['wireguard']['ipv6']['address'] | وائر گارڈ انٹرفیس IPv6 ایڈریس۔ IPv6 ایڈریس پول کے اندر ہونا چاہیے۔ | fd00::3:2:1′ |
پہلے سے طے شدہ['firezone']['runit']['svlogd_bin'] | svlogd bin لوکیشن چلائیں۔ | "#{node['firezone']['install_directory']}/embedded/bin/svlogd" |
پہلے سے طے شدہ['firezone']['ssl']['directory'] | تیار کردہ سرٹیفکیٹس کو ذخیرہ کرنے کے لیے SSL ڈائریکٹری۔ | /var/opt/firezone/ssl' |
ڈیفالٹ['firezone']['ssl']['email_address'] | خود دستخط شدہ سرٹیفکیٹس اور ACME پروٹوکول کی تجدید نوٹسز کے لیے استعمال کرنے کے لیے ای میل پتہ۔ | you@example.com' |
پہلے سے طے شدہ['firezone']['ssl']['acme']['enabled'] | خودکار SSL سرٹیفکیٹ کی فراہمی کے لیے ACME کو فعال کریں۔ Nginx کو پورٹ 80 پر سننے سے روکنے کے لیے اسے غیر فعال کریں۔ دیکھیں یہاں مزید ہدایات کے لیے. | جھوٹے |
پہلے سے طے شدہ['firezone']['ssl']['acme']['server'] | اجازت دیتا ہے | |
پہلے سے طے شدہ['firezone']['ssl']['acme']['keylength'] | SSL سرٹیفکیٹس کے لیے کلیدی قسم اور لمبائی کی وضاحت کریں۔ دیکھیں یہاں | ec-256۔ |
پہلے سے طے شدہ['firezone']['ssl']['certificate'] | آپ کے FQDN کے لیے سرٹیفکیٹ فائل کا راستہ۔ اگر بیان کیا گیا ہو تو اوپر ACME ترتیب کو اوور رائیڈ کرتا ہے۔ اگر ACME اور یہ دونوں صفر ہیں تو خود دستخط شدہ سرٹیفکیٹ تیار کیا جائے گا۔ | صفر |
پہلے سے طے شدہ['firezone']['ssl']['certificate_key'] | سرٹیفکیٹ فائل کا راستہ۔ | صفر |
پہلے سے طے شدہ['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | صفر |
پہلے سے طے شدہ['firezone']['ssl']['country_name'] | خود دستخط شدہ سرٹیفکیٹ کے لیے ملک کا نام۔ | US' |
پہلے سے طے شدہ['firezone']['ssl']['state_name'] | خود دستخط شدہ سرٹیفکیٹ کے لیے ریاست کا نام۔ | CA ' |
پہلے سے طے شدہ['firezone']['ssl']['locality_name'] | خود دستخط شدہ سرٹیفکیٹ کے لیے علاقہ کا نام۔ | سان فرانسسکو' |
پہلے سے طے شدہ['firezone']['ssl']['company_name'] | کمپنی کا نام خود دستخط شدہ سرٹیفکیٹ۔ | میری کمپنی' |
پہلے سے طے شدہ['firezone']['ssl']['organizational_unit_name'] | خود دستخط شدہ سرٹیفکیٹ کے لیے تنظیمی یونٹ کا نام۔ | آپریشنز |
پہلے سے طے شدہ['firezone']['ssl']['ciphers'] | nginx کے استعمال کے لیے SSL سائفرز۔ | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
ڈیفالٹ['firezone']['ssl']['fips_ciphers'] | FIPs وضع کے لیے SSL سائفرز۔ | FIPS@STRENGTH:!aNULL:!eNULL' |
پہلے سے طے شدہ['firezone']['ssl']['protocols'] | استعمال کرنے کے لیے TLS پروٹوکول۔ | TLSv1 TLSv1.1 TLSv1.2′ |
پہلے سے طے شدہ['firezone']['ssl']['session_cache'] | SSL سیشن کیشے۔ | مشترکہ:SSL:4m' |
پہلے سے طے شدہ['firezone']['ssl']['session_timeout'] | SSL سیشن کا ٹائم آؤٹ۔ | 5m' |
پہلے سے طے شدہ['firezone']['robots_allow'] | nginx روبوٹ اجازت دیتے ہیں۔ | / ' |
پہلے سے طے شدہ['firezone']['robots_disallow'] | nginx روبوٹ اجازت نہیں دیتے۔ | صفر |
ڈیفالٹ['firezone']['outbound_email']['from'] | پتہ سے آؤٹ باؤنڈ ای میل۔ | صفر |
ڈیفالٹ['firezone']['outbound_email']['provider'] | آؤٹ باؤنڈ ای میل سروس فراہم کنندہ۔ | صفر |
پہلے سے طے شدہ['firezone']['outbound_email']['configs'] | آؤٹ باؤنڈ ای میل فراہم کنندہ کی تشکیلات۔ | omnibus/cookbooks/firezone/attributes/default.rb دیکھیں |
پہلے سے طے شدہ['firezone']['telemetry']['enabled'] | گمنام پروڈکٹ ٹیلی میٹری کو فعال یا غیر فعال کریں۔ | سچ |
پہلے سے طے شدہ['firezone']['connectivity_checks']['enabled'] | فائر زون کنیکٹیویٹی چیکس سروس کو فعال یا غیر فعال کریں۔ | سچ |
پہلے سے طے شدہ['firezone']['connectivity_checks']['interval'] | سیکنڈوں میں کنیکٹیویٹی چیک کے درمیان وقفہ۔ | 3_600 |
________________________________________________________________
یہاں آپ کو فائر زون کی ایک عام تنصیب سے متعلق فائلوں اور ڈائریکٹریوں کی فہرست مل جائے گی۔ یہ آپ کی کنفیگریشن فائل میں ہونے والی تبدیلیوں کے لحاظ سے تبدیل ہو سکتے ہیں۔
راستہ | تفصیل |
/var/opt/firezone | فائر زون بنڈل سروسز کے لیے ڈیٹا اور جنریٹڈ کنفیگریشن پر مشتمل ٹاپ لیول ڈائرکٹری۔ |
/opt/firezone | ٹاپ لیول ڈائرکٹری جس میں بلٹ لائبریریز، بائنریز اور رن ٹائم فائلیں ہیں جن کی Firezone کو ضرورت ہے۔ |
/usr/bin/firezone-ctl | آپ کے فائر زون کی تنصیب کو منظم کرنے کے لیے firezone-ctl یوٹیلیٹی۔ |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runvdir سپروائزر عمل شروع کرنے کے لیے systemd یونٹ فائل۔ |
/etc/firezone | فائر زون کنفیگریشن فائلز۔ |
__________________________________________________________
یہ صفحہ دستاویزات میں خالی تھا۔
_____________________________________________________________
درج ذیل nftables فائر وال ٹیمپلیٹ کو فائر زون چلانے والے سرور کو محفوظ بنانے کے لیے استعمال کیا جا سکتا ہے۔ ٹیمپلیٹ کچھ مفروضے کرتا ہے؛ آپ کو اپنے استعمال کے معاملے کے مطابق قواعد کو ایڈجسٹ کرنے کی ضرورت ہو سکتی ہے:
فائر زون ویب انٹرفیس میں کنفیگر کردہ منازل پر ٹریفک کی اجازت/مسترد کرنے اور کلائنٹ ٹریفک کے لیے آؤٹ باؤنڈ NAT کو ہینڈل کرنے کے لیے اپنے nftables کے قواعد ترتیب دیتا ہے۔
درج ذیل فائر وال ٹیمپلیٹ کو پہلے سے چل رہے سرور (بوٹ ٹائم پر نہیں) پر لاگو کرنے کے نتیجے میں فائر زون کے قوانین صاف ہو جائیں گے۔ اس سے سیکورٹی کے مضمرات ہو سکتے ہیں۔
اس کے ارد گرد کام کرنے کے لئے فینکس سروس کو دوبارہ شروع کریں:
فائر زون سی ٹی ایل فینکس کو دوبارہ شروع کریں۔
#!/usr/sbin/nft -f
## تمام موجودہ قواعد کو صاف/فلش کریں۔
فلش رولسیٹ
################################## متغیرات ###############
## انٹرنیٹ/وان انٹرفیس کا نام
DEV_WAN = eth0 کی وضاحت کریں۔
## وائر گارڈ انٹرفیس کا نام
DEV_WIREGUARD = wg-firezone کی وضاحت کریں۔
## وائر گارڈ سننے کا پورٹ
WIREGUARD_PORT = کی وضاحت کریں۔ 51820
############################## متغیرات کا اختتام ############# ############
# مین انیٹ فیملی فلٹرنگ ٹیبل
ٹیبل انیٹ فلٹر {
# فارورڈ ٹریفک کے اصول
# یہ سلسلہ فائر زون فارورڈ چین سے پہلے پروسیس کیا جاتا ہے۔
سلسلہ آگے {
ٹائپ فلٹر ہک فارورڈ ترجیحی فلٹر - 5; پالیسی قبول کرتے ہیں
}
# ان پٹ ٹریفک کے اصول
سلسلہ ان پٹ {
فلٹر ہک ان پٹ ترجیحی فلٹر ٹائپ کریں۔ پالیسی ڈراپ
## ان باؤنڈ ٹریفک کو لوپ بیک انٹرفیس کی اجازت دیں۔
اگر لو \
قبول کریں \
تبصرہ "لوپ بیک انٹرفیس سے تمام ٹریفک کی اجازت دیں"
## پرمٹ قائم اور متعلقہ کنکشن
ct ریاست قائم، متعلقہ \
قبول کریں \
تبصرہ "قائم / متعلقہ کنکشن کی اجازت"
## ان باؤنڈ وائر گارڈ ٹریفک کی اجازت دیں۔
iif $DEV_WAN udp dport $WIREGUARD_PORT \
کاؤنٹر \
قبول کریں \
تبصرہ "ان باؤنڈ وائر گارڈ ٹریفک کی اجازت دیں"
## لاگ ان کریں اور نئے TCP نان SYN پیکٹ چھوڑیں۔
tcp جھنڈے != syn ct state new \
حد کی شرح 100/ منٹ پھٹ 150 پیکٹ \
لاگ سابقہ "میں - نیا !SYN: " \
تبصرہ "نئے کنکشنز کے لیے لاگنگ کی شرح کی حد جن میں SYN TCP فلیگ سیٹ نہیں ہے"
tcp جھنڈے != syn ct state new \
کاؤنٹر \
ڈراپ \
تبصرہ "ایسے نئے کنکشن چھوڑ دیں جن میں SYN TCP فلیگ سیٹ نہیں ہے"
## TCP پیکٹ کو غلط fin/syn فلیگ سیٹ کے ساتھ لاگ اور ڈراپ کریں۔
tcp پرچم اور (fin|syn) == (fin|syn) \
حد کی شرح 100/ منٹ پھٹ 150 پیکٹ \
لاگ سابقہ "IN - TCP FIN|SIN:" \
تبصرہ "غلط fin/syn فلیگ سیٹ کے ساتھ TCP پیکٹ کے لیے لاگنگ کی شرح کی حد"
tcp پرچم اور (fin|syn) == (fin|syn) \
کاؤنٹر \
ڈراپ \
تبصرہ "غلط fin/syn فلیگ سیٹ کے ساتھ TCP پیکٹ گرائیں"
## TCP پیکٹ کو غلط syn/rst فلیگ سیٹ کے ساتھ لاگ اور ڈراپ کریں۔
tcp پرچم اور (syn|rst) == (syn|rst) \
حد کی شرح 100/ منٹ پھٹ 150 پیکٹ \
لاگ سابقہ "IN - TCP SYN|RST:" \
تبصرہ "غلط Syn/پہلے پرچم سیٹ کے ساتھ TCP پیکٹوں کے لیے لاگنگ کی شرح کی حد"
tcp پرچم اور (syn|rst) == (syn|rst) \
کاؤنٹر \
ڈراپ \
تبصرہ "غلط syn/rst فلیگ سیٹ کے ساتھ TCP پیکٹ گرائیں"
## غلط TCP جھنڈوں کو لاگ اور ڈراپ کریں۔
tcp پرچم اور (fin|syn|rst|psh|ack|urg) < (fin) \
حد کی شرح 100/ منٹ پھٹ 150 پیکٹ \
لاگ سابقہ "IN - FIN:" \
تبصرہ "غلط TCP جھنڈوں کے لئے لاگنگ کی شرح کی حد (fin|syn|rst|psh|ack|urg) < (fin)"
tcp پرچم اور (fin|syn|rst|psh|ack|urg) < (fin) \
کاؤنٹر \
ڈراپ \
تبصرہ "جھنڈوں کے ساتھ TCP پیکٹ گرائیں (fin|syn|rst|psh|ack|urg) < (fin)"
## غلط TCP جھنڈوں کو لاگ اور ڈراپ کریں۔
tcp پرچم اور (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
حد کی شرح 100/ منٹ پھٹ 150 پیکٹ \
لاگ سابقہ "IN - FIN|PSH|URG:" \
تبصرہ "غلط TCP جھنڈوں کے لئے لاگنگ کی شرح کی حد (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp پرچم اور (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
کاؤنٹر \
ڈراپ \
تبصرہ "جھنڈوں کے ساتھ TCP پیکٹ چھوڑیں (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## غلط کنکشن کی حالت کے ساتھ ٹریفک چھوڑ دیں۔
ct حالت غلط \
حد کی شرح 100/ منٹ پھٹ 150 پیکٹ \
لاگ جھنڈے تمام سابقہ "IN - غلط:" \
تبصرہ "غلط کنکشن کی حالت کے ساتھ ٹریفک کے لیے لاگنگ کی شرح کی حد"
ct حالت غلط \
کاؤنٹر \
ڈراپ \
تبصرہ "غلط کنکشن کی حالت کے ساتھ ٹریفک چھوڑ دیں"
## IPv4 پنگ/پنگ جوابات کی اجازت دیں لیکن شرح کی حد 2000 PPS تک
ip پروٹوکول icmp icmp قسم { echo-reply, echo-request } \
حد کی شرح 2000/سیکنڈ \
کاؤنٹر \
قبول کریں \
تبصرہ "پرمٹ ان باؤنڈ IPv4 ایکو (پنگ) 2000 پی پی ایس تک محدود"
## تمام دیگر ان باؤنڈ IPv4 ICMP کی اجازت دیں۔
ip پروٹوکول icmp \
کاؤنٹر \
قبول کریں \
تبصرہ "دیگر تمام IPv4 ICMP کی اجازت دیں"
## IPv6 پنگ/پنگ جوابات کی اجازت دیں لیکن شرح کی حد 2000 PPS تک
icmpv6 قسم { echo-reply, echo-request } \
حد کی شرح 2000/سیکنڈ \
کاؤنٹر \
قبول کریں \
تبصرہ "پرمٹ ان باؤنڈ IPv6 ایکو (پنگ) 2000 پی پی ایس تک محدود"
## تمام دیگر ان باؤنڈ IPv6 ICMP کی اجازت دیں۔
meta l4proto { icmpv6 } \
کاؤنٹر \
قبول کریں \
تبصرہ "دیگر تمام IPv6 ICMP کی اجازت دیں"
## ان باؤنڈ ٹریسروٹ UDP پورٹس کی اجازت دیں لیکن 500 PPS تک محدود کریں۔
udp dport 33434-33524\
حد کی شرح 500/سیکنڈ \
کاؤنٹر \
قبول کریں \
تبصرہ "ان باؤنڈ UDP ٹریسروٹ کی اجازت 500 PPS تک محدود ہے"
## ان باؤنڈ SSH کی اجازت دیں۔
tcp dport SSH ct ریاست نئی \
کاؤنٹر \
قبول کریں \
تبصرہ "ان باؤنڈ SSH کنکشن کی اجازت دیں"
## ان باؤنڈ HTTP اور HTTPS کی اجازت دیں۔
tcp dport { http, https } ct نئی حالت \
کاؤنٹر \
قبول کریں \
تبصرہ "ان باؤنڈ HTTP اور HTTPS کنکشن کی اجازت دیں"
## کسی بھی بے مثال ٹریفک کو لاگ کریں لیکن لاگنگ کی شرح کو زیادہ سے زیادہ 60 پیغامات فی منٹ تک لاگو کریں
## پہلے سے طے شدہ پالیسی بے مثال ٹریفک پر لاگو ہوگی۔
حد کی شرح 60/ منٹ پھٹ 100 پیکٹ \
لاگ سابقہ "ان - ڈراپ:" \
تبصرہ "کسی بھی بے مثال ٹریفک کو لاگ ان کریں"
## بے مثال ٹریفک کو شمار کریں۔
کاؤنٹر \
تبصرہ "کسی بھی بے مثال ٹریفک کو شمار کریں"
}
# آؤٹ پٹ ٹریفک کے قواعد
سلسلہ پیداوار {
قسم فلٹر ہک آؤٹ پٹ ترجیحی فلٹر؛ پالیسی ڈراپ
## آؤٹ باؤنڈ ٹریفک کو لوپ بیک انٹرفیس کی اجازت دیں۔
oif لو \
قبول کریں \
تبصرہ "تمام ٹریفک کو لوپ بیک انٹرفیس پر جانے کی اجازت دیں"
## پرمٹ قائم اور متعلقہ کنکشن
ct ریاست قائم، متعلقہ \
کاؤنٹر \
قبول کریں \
تبصرہ "قائم / متعلقہ کنکشن کی اجازت"
## خراب حالت کے ساتھ کنکشن چھوڑنے سے پہلے آؤٹ باؤنڈ وائر گارڈ ٹریفک کی اجازت دیں۔
oif $DEV_WAN udp کھیل $WIREGUARD_PORT \
کاؤنٹر \
قبول کریں \
تبصرہ "وائر گارڈ آؤٹ باؤنڈ ٹریفک کی اجازت دیں"
## غلط کنکشن کی حالت کے ساتھ ٹریفک چھوڑ دیں۔
ct حالت غلط \
حد کی شرح 100/ منٹ پھٹ 150 پیکٹ \
لاگ جھنڈے تمام سابقہ "باہر - غلط: " \
تبصرہ "غلط کنکشن کی حالت کے ساتھ ٹریفک کے لیے لاگنگ کی شرح کی حد"
ct حالت غلط \
کاؤنٹر \
ڈراپ \
تبصرہ "غلط کنکشن کی حالت کے ساتھ ٹریفک چھوڑ دیں"
## دیگر تمام آؤٹ باؤنڈ IPv4 ICMP کی اجازت دیں۔
ip پروٹوکول icmp \
کاؤنٹر \
قبول کریں \
تبصرہ "تمام IPv4 ICMP اقسام کی اجازت دیں"
## دیگر تمام آؤٹ باؤنڈ IPv6 ICMP کی اجازت دیں۔
meta l4proto { icmpv6 } \
کاؤنٹر \
قبول کریں \
تبصرہ "تمام IPv6 ICMP اقسام کی اجازت دیں"
## آؤٹ باؤنڈ ٹریسروٹ UDP پورٹس کی اجازت دیں لیکن 500 PPS تک محدود کریں۔
udp dport 33434-33524\
حد کی شرح 500/سیکنڈ \
کاؤنٹر \
قبول کریں \
تبصرہ "پرمٹ آؤٹ باؤنڈ UDP ٹریسروٹ 500 PPS تک محدود"
## آؤٹ باؤنڈ HTTP اور HTTPS کنکشن کی اجازت دیں۔
tcp dport { http, https } ct نئی حالت \
کاؤنٹر \
قبول کریں \
تبصرہ "آؤٹ باؤنڈ HTTP اور HTTPS کنکشن کی اجازت دیں"
## آؤٹ باؤنڈ SMTP جمع کرانے کی اجازت دیں۔
tcp dport جمع کرانے کی ct ریاست نئی \
کاؤنٹر \
قبول کریں \
تبصرہ "آؤٹ باؤنڈ SMTP جمع کرانے کی اجازت دیں"
## آؤٹ باؤنڈ DNS درخواستوں کی اجازت دیں۔
udp dport 53 \
کاؤنٹر \
قبول کریں \
تبصرہ "آؤٹ باؤنڈ UDP DNS درخواستوں کی اجازت دیں"
tcp dport 53 \
کاؤنٹر \
قبول کریں \
تبصرہ "آؤٹ باؤنڈ TCP DNS درخواستوں کی اجازت دیں"
## باہر جانے والی NTP درخواستوں کی اجازت دیں۔
udp dport 123 \
کاؤنٹر \
قبول کریں \
تبصرہ "آؤٹ باؤنڈ NTP درخواستوں کی اجازت دیں"
## کسی بھی بے مثال ٹریفک کو لاگ کریں لیکن لاگنگ کی شرح کو زیادہ سے زیادہ 60 پیغامات فی منٹ تک لاگو کریں
## پہلے سے طے شدہ پالیسی بے مثال ٹریفک پر لاگو ہوگی۔
حد کی شرح 60/ منٹ پھٹ 100 پیکٹ \
لاگ سابقہ "آؤٹ - ڈراپ:" \
تبصرہ "کسی بھی بے مثال ٹریفک کو لاگ ان کریں"
## بے مثال ٹریفک کو شمار کریں۔
کاؤنٹر \
تبصرہ "کسی بھی بے مثال ٹریفک کو شمار کریں"
}
}
# مین NAT فلٹرنگ ٹیبل
ٹیبل انیٹ نیٹ {
# NAT ٹریفک پری روٹنگ کے اصول
سلسلہ پریروٹنگ {
nat hook prerouting priority dstnat ٹائپ کریں۔ پالیسی قبول کرتے ہیں
}
# NAT ٹریفک کے بعد روٹنگ کے قواعد
# اس ٹیبل پر فائر زون پوسٹ روٹنگ چین سے پہلے کارروائی کی جاتی ہے۔
چین پوسٹ روٹنگ {
ٹائپ نیٹ ہک پوسٹ روٹنگ ترجیح srcnat - 5; پالیسی قبول کرتے ہیں
}
}
فائر وال کو لینکس کی تقسیم کے لیے متعلقہ جگہ پر ذخیرہ کیا جانا چاہیے جو چل رہی ہے۔ Debian/Ubuntu کے لیے یہ ہے /etc/nftables.conf اور RHEL کے لیے یہ ہے /etc/sysconfig/nftables.conf۔
nftables.service کو بوٹ پر شروع کرنے کے لیے ترتیب دینے کی ضرورت ہوگی (اگر پہلے سے نہیں ہے) سیٹ:
systemctl nftables.service کو فعال کریں۔
اگر فائر وال ٹیمپلیٹ میں کوئی تبدیلی کرتے ہیں تو چیک کمانڈ کو چلا کر نحو کی توثیق کی جا سکتی ہے:
nft -f /path/to/nftables.conf -c
توقع کے مطابق فائر وال کے کاموں کی توثیق کرنا یقینی بنائیں کیونکہ سرور پر چلنے والی ریلیز کے لحاظ سے کچھ nftables خصوصیات دستیاب نہیں ہوسکتی ہیں۔
_______________________________________________________________
یہ دستاویز ٹیلی میٹری فائر زون کا ایک جائزہ پیش کرتی ہے جو آپ کی خود میزبان مثال سے جمع ہوتی ہے اور اسے غیر فعال کرنے کا طریقہ۔
فائر زون۔ انحصار کرتا ہے ٹیلی میٹری پر اپنے روڈ میپ کو ترجیح دینے اور انجینئرنگ کے وسائل کو بہتر بنانے کے لیے فائر زون کو سب کے لیے بہتر بنانا ہے۔
ہم جو ٹیلی میٹری جمع کرتے ہیں اس کا مقصد درج ذیل سوالات کا جواب دینا ہے:
فائر زون میں تین اہم جگہیں ہیں جہاں ٹیلی میٹری جمع کی جاتی ہے:
ان تینوں سیاق و سباق میں سے ہر ایک میں، ہم اوپر دیے گئے سیکشن میں سوالات کے جوابات کے لیے ضروری ڈیٹا کی کم از کم مقدار حاصل کرتے ہیں۔
ایڈمن کی ای میلز صرف اس صورت میں جمع کی جاتی ہیں جب آپ واضح طور پر پروڈکٹ اپ ڈیٹس کے لیے آپٹ ان کرتے ہیں۔ بصورت دیگر، ذاتی طور پر قابل شناخت معلومات ہے۔ کبھی نہیں جمع.
فائر زون ٹیلی میٹری کو اسٹور کرتا ہے پوسٹ ہاگ کی خود میزبان مثال میں ایک نجی کبرنیٹس کلسٹر میں چل رہا ہے، صرف فائر زون ٹیم کے ذریعہ قابل رسائی۔ یہاں ایک ٹیلی میٹری ایونٹ کی ایک مثال ہے جو آپ کے فائر زون کی مثال سے ہمارے ٹیلی میٹری سرور کو بھیجی گئی ہے۔
{
"شناخت": “0182272d-0b88-0000-d419-7b9a413713f1”,
"ٹائم اسٹیمپ": “2022-07-22T18:30:39.748000+00:00”,
"تقریب": "fz_http_started",
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"خواص":
"$geoip_city_name": "ایش برن",
"$geoip_continent_code": "N / A",
"$geoip_continent_name": "شمالی امریکہ",
"$geoip_country_code": "امریکہ",
"$geoip_country_name": "ریاستہائے متحدہ",
"$geoip_latitude": 39.0469,
"$geoip_longitude": 77.4903-,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "ورجینیا",
"$geoip_time_zone": "امریکہ/نیویارک",
"$ip": "52.200.241.107",
"$plugins_deferred": []
"$plugins_failed": []
"$plugins_succeeded": [
"GeoIP (3)"
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "لینکس 5.13.0",
"ورژن": "0.4.6"
},
عناصر کا سلسلہ: ""
}
نوٹس
فائر زون ڈویلپمنٹ ٹیم انحصار کرتا ہے ہر کسی کے لیے فائر زون کو بہتر بنانے کے لیے مصنوعات کے تجزیات پر۔ ٹیلی میٹری کو فعال چھوڑنا واحد سب سے قیمتی شراکت ہے جو آپ فائر زون کی ترقی میں کر سکتے ہیں۔ اس نے کہا، ہم سمجھتے ہیں کہ کچھ صارفین کی رازداری یا حفاظتی تقاضے زیادہ ہیں اور وہ ٹیلی میٹری کو مکمل طور پر غیر فعال کرنے کو ترجیح دیں گے۔ اگر یہ آپ ہیں تو پڑھتے رہیں۔
ٹیلی میٹری بطور ڈیفالٹ فعال ہے۔ پروڈکٹ ٹیلی میٹری کو مکمل طور پر غیر فعال کرنے کے لیے، مندرجہ ذیل کنفیگریشن آپشن کو /etc/firezone/firezone.rb میں غلط پر سیٹ کریں اور تبدیلیوں کو لینے کے لیے sudo firezone-ctl ری کنفیگر چلائیں۔
طے شدہ['فائر زون']['ٹیلی میٹری']['فعال'] = جھوٹی
یہ تمام پروڈکٹ ٹیلی میٹری کو مکمل طور پر غیر فعال کر دے گا۔
ہیل بائٹس
9511 کوئنز گارڈ سی ٹی۔
لوریل، ایم ڈی 20723
فون: (732) 771-9995
ای میل: info@hailbytes.com
