Мени
Чекор-по-чекор инструкции за распоредување на Hailbytes VPN со Firezone GUI се дадени овде.
Администрира: Поставувањето на примерот на серверот е директно поврзано со овој дел.
Упатства за користење: Корисни документи кои можат да ве научат како да користите Firezone и да решавате типични проблеми. Откако серверот е успешно распореден, погледнете го овој дел.
Сплит тунелирање: користете VPN за да испраќате сообраќај само до одредени опсези на IP.
Бела листа: Поставете ја статичната IP адреса на VPN серверот за да користите бела листа.
Обратни тунели: Создадете тунели помеѓу неколку врсници користејќи обратни тунели.
Задоволни сме да ви помогнеме ако ви треба помош при инсталирање, прилагодување или користење на Hailbytes VPN.
Пред корисниците да можат да произведуваат или преземаат датотеки за конфигурација на уредот, Firezone може да се конфигурира да бара автентикација. Корисниците можеби ќе треба периодично да се реавтентицираат за да ја задржат активна нивната VPN врска.
Иако стандардниот метод за најавување на Firezone е локална е-пошта и лозинка, тој исто така може да се интегрира со кој било стандардизиран OpenID Connect (OIDC) давател на идентитети. Корисниците сега можат да се логираат на Firezone користејќи ги нивните акредитиви на Okta, Google, Azure AD или приватен добавувач на идентитет.
Интегрирајте генерички OIDC провајдер
Конфигурациските параметри што му се потребни на Firezone за да дозволи SSO да користи OIDC провајдер се прикажани во примерот подолу. На /etc/firezone/firezone.rb, може да ја најдете конфигурациската датотека. Извршете го реконфигурирањето firezone-ctl и рестартирајте го firezone-ctl за да ја ажурирате апликацијата и да стапите во сила на промените.
# Ова е пример со користење на Google и Okta како давател на идентитет на ДЗС.
# Повеќекратни OIDC конфигурации може да се додадат на истиот примерок на Firezone.
# Firezone може да ја оневозможи VPN на корисникот ако се открие некоја грешка при обидот
# за да го освежи нивниот токен за пристап. Ова е потврдено дека работи за Google, Okta и
# Azure SSO и се користи за автоматско исклучување на VPN на корисникот доколку се отстранат
# од давателот на OIDC. Оставете го ова оневозможено ако вашиот OIDC провајдер
# има проблеми со освежување на токените за пристап бидејќи може неочекувано да го прекине a
VPN сесија на # корисник.
стандардно['firezone']['автентикација']['disable_vpn_on_oidc_error'] = неточно
стандардно['firezone']['автентикација']['oidc'] = {
google: {
discovery_document_uri: „https://accounts.google.com/.well-known/openid-configuration“,
клиент_ид: “
client_secret: “
redirect_uri: „https://instance-id.yourfirezone.com/auth/oidc/google/callback/“,
одговор_тип: „код“,
опсег: „отворен профил на е-пошта“,
етикета: „Гугл“
},
окта: {
Discovery_document_uri: „https:// /.добро позната/openid-configuration”,
клиент_ид: “
client_secret: “
redirect_uri: „https://instance-id.yourfirezone.com/auth/oidc/okta/callback/“,
одговор_тип: „код“,
опсег: „отворен профил на е-пошта offline_access“,
етикета: „Окта“
}
}
Следниве поставки за конфигурација се потребни за интеграција:
За секој OIDC провајдер се креира соодветна убава URL-адреса за пренасочување кон URL-адресата за најавување на конфигурираниот провајдер. За примерот OIDC конфигурација погоре, URL-адресите се:
Даватели имаме документација за:
Ако вашиот добавувач на идентитет има генерички OIDC конектор и не е наведен погоре, одете во нивната документација за информации за тоа како да ги вратите потребните поставки за конфигурација.
Поставката под поставки/безбедност може да се смени за да бара периодична повторна автентикација. Ова може да се користи за да се наметне барањето корисниците да влегуваат во Firezone на редовна основа за да ја продолжат својата VPN сесија.
Должината на сесијата може да се конфигурира да биде помеѓу еден час и деведесет дена. Со поставување на ова на Никогаш, можете да овозможите VPN сесии во секое време. Ова е стандардот.
Корисникот мора да ја прекине својата VPN сесија и да се најави на порталот Firezone за повторно да потврди автентичност на истечена VPN сесија (URL наведен за време на распоредувањето).
Можете повторно да ја потврдите вашата сесија следејќи ги прецизните инструкции на клиентот што се наоѓаат овде.
Статус на VPN конекција
Колоната на табелата со VPN Connection на страницата на корисници го прикажува статусот на конекција на корисникот. Ова се статусите на врската:
Овозможено – Врската е овозможена.
ОНЕСЕЧЕНО – Врската е оневозможена од администратор или неуспех на освежување на OIDC.
ИСТЕЧЕНО – Врската е оневозможена поради истекување на автентикацијата или корисникот не се најавил за прв пат.
Преку општиот OIDC конектор, Firezone овозможува еднократно најавување (SSO) со Google Workspace и Cloud Identity. Овој водич ќе ви покаже како да ги добиете параметрите за конфигурација наведени подолу, кои се неопходни за интеграција:
1. Екран за конфигурација на OAuth
Ако ова е прв пат да креирате нов ID на клиент на OAuth, ќе биде побарано да конфигурирате екран за согласност.
*Изберете Internal за тип на корисник. Ова осигурува дека само сметките што им припаѓаат на корисниците во вашата организација на Google Workspace може да создаваат конфигурации на уредот. НЕ избирајте Надворешно освен ако не сакате да му овозможите на некој со валидна сметка на Google да создава конфигурации на уредот.
На екранот со информации за апликацијата:
2. Креирајте ИД на клиенти на OAuth
Овој дел се заснова на сопствената документација на Google за поставување на OAuth 2.0.
Посетете ја Google Cloud Console Страница со ингеренциите страница, кликнете + Креирај акредитиви и изберете ИД на клиентот OAuth.
На екранот за креирање ИД на клиент OAuth:
Откако ќе го креирате ИД на клиентот OAuth, ќе ви биде даден клиент ID и Тајна на клиентот. Овие ќе се користат заедно со URI за пренасочување во следниот чекор.
Измени /etc/firezone/firezone.rb да ги вклучите опциите подолу:
# Користење на Google како давател на идентитет на ДЗС
стандардно['firezone']['автентикација']['oidc'] = {
google: {
discovery_document_uri: „https://accounts.google.com/.well-known/openid-configuration“,
клиент_ид: “
client_secret: “
redirect_uri: „https://instance-id.yourfirezone.com/auth/oidc/google/callback/“,
одговор_тип: „код“,
опсег: „отворен профил на е-пошта“,
етикета: „Гугл“
}
}
Извршете реконфигурирање на firezone-ctl и рестартирајте го firezone-ctl за да ја ажурирате апликацијата. Сега треба да видите копче Пријавете се со Google на root URL-то на Firezone.
Firezone го користи генеричкиот OIDC конектор за да го олесни еднократното најавување (SSO) со Okta. Овој туторијал ќе ви покаже како да ги добиете параметрите за конфигурација наведени подолу, кои се неопходни за интеграција:
Овој дел од водичот се заснова на Документација на Окта.
Во административната конзола, одете до Апликации > Апликации и кликнете Креирај интеграција на апликации. Поставете го методот за најавување на OICD – OpenID Connect и Тип на апликација на веб-апликација.
Конфигурирајте ги овие поставки:
Откако ќе се зачуваат поставките, ќе ви биде даден клиент ID, Тајна на клиентот и домен Okta. Овие 3 вредности ќе се користат во чекор 2 за конфигурирање на Firezone.
Измени /etc/firezone/firezone.rb да ги вклучите опциите подолу. Вашиот Discovery_document_url ќе биде /.добро позната/openid-configuration додаден на крајот на вашиот okta_domain.
# Користење на Okta како давател на идентитет на ДЗС
стандардно['firezone']['автентикација']['oidc'] = {
окта: {
Discovery_document_uri: „https:// /.добро позната/openid-configuration”,
клиент_ид: “
client_secret: “
redirect_uri: „https://instance-id.yourfirezone.com/auth/oidc/okta/callback/“,
одговор_тип: „код“,
опсег: „отворен профил на е-пошта offline_access“,
етикета: „Окта“
}
}
Извршете реконфигурирање на firezone-ctl и рестартирајте го firezone-ctl за да ја ажурирате апликацијата. Сега треба да видите копче Пријавете се со Okta на root URL-то на Firezone.
Корисниците кои можат да пристапат до апликацијата Firezone може да бидат ограничени од Okta. Одете на страницата за задачи на Firezone App Integration на вашата конзола за администратор Okta за да го постигнете ова.
Преку генеричкиот OIDC конектор, Firezone овозможува еднократно најавување (SSO) со Azure Active Directory. Овој прирачник ќе ви покаже како да ги добиете параметрите за конфигурација наведени подолу, кои се неопходни за интеграција:
Овој водич е извлечен од Azure Active Directory Docs.
Одете на страницата Azure Active Directory на порталот Azure. Изберете ја опцијата Управување со менито, изберете Нова регистрација, а потоа регистрирајте се со обезбедување на информациите подолу:
Откако ќе се регистрирате, отворете го приказот за детали на апликацијата и копирајте ја ID на апликација (клиент). Ова ќе биде вредноста на клиентот. Следно, отворете го менито со крајни точки за да го вратите OpenID Connect метаподатоци документ. Ова ќе биде вредноста discovery_document_uri.
Создадете нова клиентска тајна со кликнување на опцијата Сертификати и тајни во менито Управување. Копирајте ја тајната на клиентот; тајната вредност на клиентот ќе биде оваа.
На крајот, изберете ја врската за дозволи на API под менито Управување, кликнете Додадете дозвола, и одберете Мајкрософт график, Додај е-маил, Опендид, офлајн_пристап профил до потребните дозволи.
Измени /etc/firezone/firezone.rb да ги вклучите опциите подолу:
# Користење на Azure Active Directory како давател на идентитет на ДЗС
стандардно['firezone']['автентикација']['oidc'] = {
лазур: {
Discovery_document_uri: „https://login.microsoftonline.com/ /v2.0/.добро познат/openid-configuration”,
клиент_ид: “
client_secret: “
redirect_uri: „https://instance-id.yourfirezone.com/auth/oidc/azure/callback/“,
одговор_тип: „код“,
опсег: „отворен профил на е-пошта offline_access“,
етикета: „Азур“
}
}
Извршете реконфигурирање на firezone-ctl и рестартирајте го firezone-ctl за да ја ажурирате апликацијата. Сега треба да видите копче Пријавете се со Azure на root URL-то на Firezone.
Azure AD им овозможува на администраторите да го ограничат пристапот до апликациите на одредена група корисници во вашата компанија. Повеќе информации за тоа како да го направите ова може да најдете во документацијата на Microsoft.
Шеф Омнибус се користи од Firezone за управување со задачи, вклучително и пакување за ослободување, надзор на процесот, управување со дневници и многу повеќе.
Руби кодот ја сочинува примарната конфигурациска датотека, која се наоѓа на /etc/firezone/firezone.rb. Рестартирањето на sudo firezone-ctl повторно конфигурирање по правењето модификации на оваа датотека предизвикува готвачот да ги препознае промените и да ги примени на тековниот оперативен систем.
Погледнете ја референцата за конфигурациската датотека за целосна листа на конфигурациски променливи и нивните описи.
Со вашиот примерок на Firezone може да се управува преку firezone-ctl команда, како што е прикажано подолу. Повеќето подкоманди бараат префикс со sudo.
root@demo:~# firezone-ctl
omnibus-ctl: команда (подкоманда)
Општи команди:
очисти
Избришете ги *сите* податоци за огнената зона и почнете од нула.
креирај-или-ресетирање-администратор
Ја ресетира лозинката за администраторот со стандардно наведена е-пошта['firezone']['admin_email'] или создава нов администратор ако таа е-пошта не постои.
помогне
Испечатете ја оваа порака за помош.
реконфигурирај
Повторно конфигурирајте ја апликацијата.
ресетирање-мрежа
Ги ресетира nftables, WireGuard интерфејсот и рутирачката табела на стандардните вредности на Firezone.
шоу-конфигурација
Покажете ја конфигурацијата што ќе се генерира со реконфигурирање.
рушење-мрежа
Ги отстранува WireGuard интерфејсот и табелата со nftables на огнената зона.
сила-потврда-обновување
Присилете го обновувањето на сертификатот сега дури и ако тој не е истечен.
стоп-серт-обновување
Го отстранува cronjob што ги обновува сертификатите.
деинсталирате
Убијте ги сите процеси и деинсталирајте го супервизорот на процесот (податоците ќе бидат зачувани).
верзија
Прикажете ја тековната верзија на Firezone
Команди за управување со услуги:
грациозно-убие
Обидете се добро да застанете, а потоа SIGKILL на целата процесна група.
шутнат
Испратете ги услугите HUP.
int
Испратете ги услугите на ИНТ.
убие
Испратете ги услугите УБИЕ.
еднаш
Започнете ги услугите ако се неискористени. Не ги рестартирајте ако престанат.
рестартирајте
Прекинете ги услугите ако работат, а потоа стартувајте ги повторно.
сервис-листа
Наведете ги сите услуги (овозможените услуги се појавуваат со *.)
Почеток
Стартувајте ги услугите ако се неискористени и рестартирајте ги ако престанат.
статус
Прикажи го статусот на сите услуги.
запре
Прекинете ги услугите и не ги рестартирајте.
опашка
Гледајте ги дневниците за услуги на сите овозможени услуги.
Терминот
Испратете ги услугите ТЕРМИН.
usr1
Испратете ги услугите USR1.
usr2
Испратете ги услугите USR2.
Сите сесии на VPN мора да се прекинат пред да се надгради Firezone, што исто така повикува на исклучување на веб-интерфејсот. Во случај нешто да тргне наопаку за време на надградбата, советуваме да одвоите еден час за одржување.
За да го подобрите Firezone, преземете ги следниве активности:
Ако се појават какви било проблеми, ве молиме известете ни до поднесување билет за поддршка.
Има неколку прекини промени и модификации на конфигурацијата во 0.5.0 кои мора да се решат. Дознајте повеќе подолу.
Nginx повеќе не ги поддржува присилните параметри на SSL и не-SSL портите од верзијата 0.5.0. Бидејќи на Firezone му треба SSL за да работи, ве советуваме да ја отстраните услугата Nginx на пакетот со поставување стандардно['firezone']['nginx']['enabled'] = неточно и наместо тоа да го насочите вашиот обратен прокси кон апликацијата Phoenix на портата 13000 (стандардно ).
0.5.0 воведува поддршка за протоколот ACME за автоматско обновување на SSL сертификатите со комплетната услуга Nginx. За да се овозможи,
Можноста за додавање правила со дупликат дестинации ја нема во Firezone 0.5.0. Нашата скрипта за миграција автоматски ќе ги препознае овие ситуации при надградба на 0.5.0 и ќе ги задржи само правилата чија дестинација го вклучува другото правило. Нема ништо што треба да направите ако ова е во ред.
Во спротивно, пред да го надградите, советуваме да го промените вашиот сет на правила за да се ослободите од овие ситуации.
Firezone 0.5.0 ја отстранува поддршката за старата конфигурација на Okta и Google SSO во корист на новата, пофлексибилна конфигурација базирана на OIDC.
Ако имате каква било конфигурација под стандардните['firezone']['authentication']['okta'] или стандардните ['firezone']['authentication']['google'] клучеви, треба да ги префрлите во нашиот OIDC -базирана конфигурација користејќи го водичот подолу.
Постоечка конфигурација на Google OAuth
Отстранете ги овие линии што ги содржат старите конфигурации на Google OAuth од вашата конфигурациска датотека лоцирана на /etc/firezone/firezone.rb
стандардно['firezone']['автентикација']['google']['овозможено']
стандардно['firezone']['автентикација']['google']['client_id']
стандардно['firezone']['автентикација']['google']['client_secret']
стандардно['firezone']['автентикација']['google']['redirect_uri']
Потоа, конфигурирајте го Google како давател на OIDC следејќи ги процедурите овде.
(Обезбедете инструкции за врската)<<<<<<<<<<<<<<<<<
Конфигурирајте го постоечкиот Google OAuth
Отстранете ги овие линии што ги содржат старите конфигурации на Okta OAuth од вашата конфигурациска датотека лоцирана на /etc/firezone/firezone.rb
стандардно['firezone']['автентикација']['окта']['овозможено']
стандардно['firezone']['автентикација']['okta']['client_id']
стандардно['firezone']['автентикација']['okta']['client_secret']
Стандардно['firezone']['автентикација']['окта']['страница']
Потоа, конфигурирајте ја Okta како давател на OIDC следејќи ги процедурите овде.
Во зависност од тековното поставување и верзија, придржувајте се до упатствата подолу:
Ако веќе имате интеграција на OIDC:
За некои провајдери на OIDC, надградбата на >= 0.3.16 бара да се добие токен за освежување за опсегот на офлајн пристап. Со тоа, се осигурува дека Firezone се ажурира со давателот на идентитетот и дека VPN-врската е исклучена по бришењето на корисникот. На претходните повторувања на Firezone им недостасуваше оваа карактеристика. Во некои случаи, корисниците што се избришани од вашиот давател на идентитет може сè уште да се поврзани со VPN.
Неопходно е да вклучите офлајн пристап во параметарот на опсегот на вашата конфигурација OIDC за провајдери на OIDC кои го поддржуваат опсегот за офлајн пристап. Реконфигурацијата на Firezone-ctl мора да се изврши за да се применат промени во конфигурациската датотека на Firezone, која се наоѓа на /etc/firezone/firezone.rb.
За корисниците кои биле автентицирани од вашиот OIDC провајдер, ќе го видите насловот OIDC Connections на страницата со детали за корисникот на веб-интерфејсот ако Firezone може успешно да го врати токенот за освежување.
Ако ова не функционира, ќе треба да ја избришете постоечката апликација OAuth и да ги повторите чекорите за поставување OIDC до креирајте нова интеграција на апликации .
Имам постоечка интеграција на OAuth
Пред 0.3.11, Firezone користеше претходно конфигурирани OAuth2 провајдери.
Следете ги упатствата овде да мигрираат во OIDC.
Немам интегрирано давател на идентитет
Не е потребна акција.
Можете да ги следите упатствата овде за да се овозможи ДЗС преку провајдер OIDC.
На негово место, стандардниот['firezone']['надворешен URL'] ја замени стандардната опција за конфигурација['firezone']['fqdn'].
Поставете го ова на URL-то на вашиот онлајн портал Firezone што е достапен за пошироката јавност. Стандардно ќе биде https:// плус FQDN на вашиот сервер ако остане недефиниран.
Конфигурациската датотека се наоѓа на /etc/firezone/firezone.rb. Погледнете ја референцата за конфигурациската датотека за целосна листа на конфигурациски променливи и нивните описи.
Firezone веќе не ги чува приватните клучеви на уредот на серверот Firezone од верзијата 0.3.0.
Firezone Web UI нема да ви дозволи повторно да ги преземате или видите овие конфигурации, но сите постоечки уреди треба да продолжат да работат како што се.
Ако надградувате од Firezone 0.1.x, има неколку промени во конфигурациската датотека што мора да се решат рачно.
За да ги направите потребните модификации на вашата датотека /etc/firezone/firezone.rb, извршете ги командите подолу како root.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i „s/\['овозможи'\]/\['овозможено'\]/“ /etc/firezone/firezone.rb
ехо „стандардно['firezone']['connectivity_checks']['овозможено'] = точно“ >> /etc/firezone/firezone.rb
ехо „стандардно['firezone']['connectivity_checks']['interval'] = 3_600“ >> /etc/firezone/firezone.rb
реконфигурирање на firezone-ctl
рестартирање на firezone-ctl
Проверката на логовите на Firezone е мудар прв чекор за какви било проблеми што може да се појават.
Стартувај sudo firezone-ctl tail за да ги прегледаш логовите на Firezone.
Поголемиот дел од проблемите со поврзувањето со Firezone се предизвикани од некомпатибилни правила за iptables или nftables. Мора да бидете сигурни дека сите правила што ги имате на сила не се во судир со правилата на Firezone.
Осигурајте се дека ланецот FORWARD дозволува пакети од вашите WireGuard клиенти до локациите што сакате да ги пуштите низ Firezone доколку вашата интернет конекција се влошува секогаш кога ќе го активирате вашиот тунел WireGuard.
Ова може да се постигне ако користите ufw со тоа што ќе се осигурате дека стандардната политика за рутирање е дозволена:
ubuntu@fz:~$ sudo ufw стандардно дозволува рутирање
Стандардна рутирана политика е променета во „дозволи“
(не заборавајте да ги ажурирате вашите правила соодветно)
A Леле статусот за типичен сервер Firezone може да изгледа вака:
ubuntu@fz:~$ sudo ufw статус опширен
Статус: активен
Пријавување: вклучено (ниско)
Стандардно: одбие (дојдовни), дозволи (појдовни), дозволи (рутирано)
Нови профили: прескокнете
До акција од
—————
22/tcp ДОЗВОЛИ ВО насекаде
80/tcp ДОЗВОЛИ ВО насекаде
443/tcp ДОЗВОЛИ ВО насекаде
51820/udp ДОЗВОЛИ ВО насекаде
22/tcp (v6) ДОЗВОЛИ ВО насекаде (v6)
80/tcp (v6) ДОЗВОЛИ ВО насекаде (v6)
443/tcp (v6) ДОЗВОЛИ ВО насекаде (v6)
51820/udp (v6) ДОЗВОЛИ ВО насекаде (v6)
Препорачуваме ограничување на пристапот до веб-интерфејсот за екстремно чувствителни и критични за мисијата распоредувања на производство, како што е објаснето подолу.
Сервис | Стандардна порта | Слушајте адреса | Опис |
Nginx | 80, 443 | сите | Јавна HTTP(S) порта за администрирање на Firezone и олеснување на автентикацијата. |
Wireичар | 51820 | сите | Јавна WireGuard порта што се користи за VPN сесии. (UDP) |
Постгрескл | 15432 | 127.0.0.1 | Само локална порта што се користи за комплет сервер Postgresql. |
Феникс | 13000 | 127.0.0.1 | Само локална порта што се користи од серверот за апликации за еликсир нагоре. |
Ве советуваме да размислите да го ограничите пристапот до јавно изложениот веб-интерфејс на Firezone (стандардно порти 443/tcp и 80/tcp) и наместо тоа да го користите тунелот WireGuard за да управувате со Firezone за производство и распоредувања за јавност каде што ќе биде одговорен еден администратор создавање и дистрибуција на конфигурации на уреди до крајните корисници.
На пример, ако администраторот создаде конфигурација на уред и создаде тунел со локалната адреса WireGuard 10.3.2.2, следнава ufw конфигурација ќе му овозможи на администраторот пристап до веб-адаптерискиот интерфејс на Firezone на wg-firezone интерфејсот на серверот користејќи ја стандардната 10.3.2.1 адреса на тунелот:
root@demo:~# ufw статус опширен
Статус: активен
Пријавување: вклучено (ниско)
Стандардно: одбие (дојдовни), дозволи (појдовни), дозволи (рутирано)
Нови профили: прескокнете
До акција од
—————
22/tcp ДОЗВОЛИ ВО насекаде
51820/udp ДОЗВОЛИ ВО насекаде
Секаде ДОЗВОЛИ ВО 10.3.2.2
22/tcp (v6) ДОЗВОЛИ ВО насекаде (v6)
51820/udp (v6) ДОЗВОЛИ ВО насекаде (v6)
Ова би оставило само 22/тцп изложени за SSH пристап за управување со серверот (опционално), и 51820/udp изложени со цел да се воспостават WireGuard тунели.
Firezone собира сервер Postgresql и одговара psql алатка што може да се користи од локалната школка како вака:
/opt/firezone/embedded/bin/psql \
-U огнена зона \
-d огнена зона \
-h локален домаќин \
-p 15432 \
-c „SQL_STATEMENT“
Ова може да биде корисно за цели на дебагирање.
Заеднички задачи:
Наведување на сите корисници:
/opt/firezone/embedded/bin/psql \
-U огнена зона \
-d огнена зона \
-h локален домаќин \
-p 15432 \
-в „ИЗБЕРИ * ОД корисници;“
Наведување на сите уреди:
/opt/firezone/embedded/bin/psql \
-U огнена зона \
-d огнена зона \
-h локален домаќин \
-p 15432 \
-в „ИЗБЕРИ * ОД уреди;“
Променете ја улогата на корисникот:
Поставете ја улогата на „администратор“ или „непривилегирана“:
/opt/firezone/embedded/bin/psql \
-U огнена зона \
-d огнена зона \
-h локален домаќин \
-p 15432 \
-c „АЖУРИРАЈТЕ ПОСТАВЕТЕ ја улогата на корисниците = „администратор“ КАДЕ е-пошта = „user@example.com“;“
Правење резервна копија од базата на податоци:
Понатаму, вклучена е и pg dump програмата, која може да се користи за правење редовни резервни копии на базата на податоци. Извршете го следниов код за да исфрлите копија од базата на податоци во заеднички SQL формат на барање (заменете го /path/to/backup.sql со локацијата каде што треба да се креира SQL-датотеката):
/opt/firezone/embedded/bin/pg_dump \
-U огнена зона \
-d огнена зона \
-h локален домаќин \
-p 15432 > /path/to/backup.sql
Откако Firezone ќе биде успешно распореден, мора да додадете корисници за да им овозможите пристап до вашата мрежа. Веб интерфејсот се користи за ова.
Со избирање на копчето „Додај корисник“ под /users, можете да додадете корисник. Ќе треба да му дадете на корисникот адреса за е-пошта и лозинка. Со цел автоматски да се дозволи пристап до корисниците во вашата организација, Firezone може да интерфејс и да се синхронизира со давател на идентитет. Повеќе детали се достапни во Автентикација. < Додадете врска до автентикација
Препорачуваме да побарате од корисниците да креираат свои конфигурации на уредот, така што приватниот клуч е видлив само за нив. Корисниците можат да генерираат свои сопствени конфигурации на уреди следејќи ги упатствата на Инструкции за клиентот страница.
Сите конфигурации на кориснички уреди може да ги креираат администраторите на Firezone. На страницата со кориснички профил лоцирана на /users, изберете ја опцијата „Додај уред“ за да го постигнете ова.
[Вметни слика од екранот]
Можете да му испратите е-пошта на корисникот конфигурациската датотека WireGuard откако ќе го креирате профилот на уредот.
Корисниците и уредите се поврзани. За повеќе детали за тоа како да додадете корисник, видете Додадете корисници.
Преку употребата на системот за нетофилтер на кернелот, Firezone овозможува можности за филтрирање на излезот за да се наведат DROP или ACCEPT пакети. Целиот сообраќај е вообичаено дозволен.
IPv4 и IPv6 CIDR-адресите и IP-адресите се поддржани преку Allowlist и Denylist, соодветно. Можете да изберете опфат на правило за корисник кога го додавате, што го применува правилото на сите уреди на тој корисник.
Инсталирајте и конфигурирајте
За да воспоставите VPN конекција користејќи го домашниот клиент WireGuard, погледнете го ова упатство.
Официјалните клиенти на WireGuard лоцирани овде се компатибилни со Firezone:
Посетете ја официјалната веб-страница на WireGuard на https://www.wireguard.com/install/ за оперативните системи што не се споменати погоре.
Или вашиот администратор на Firezone или вие можете да ја генерирате датотеката за конфигурација на уредот користејќи го порталот Firezone.
Посетете ја URL-адресата што ја дал администраторот на Firezone за самостојно да генерирате датотека за конфигурација на уредот. Вашата фирма ќе има единствена URL адреса за ова; во овој случај, тоа е https://instance-id.yourfirezone.com.
Најавете се на Firezone Okta SSO
[Вметни слика од екранот]
Увезете ја датотеката.conf во клиентот WireGuard со тоа што ќе ја отворите. Со превртување на прекинувачот Активирај, можете да започнете VPN сесија.
[Вметни слика од екранот]
Следете ги упатствата подолу ако вашиот мрежен администратор наложил повторлива автентикација за да ја задржи вашата VPN конекција активна.
Потребно ви е:
URL на порталот Firezone: прашајте го вашиот мрежен администратор за врската.
Вашиот мрежен администратор треба да може да ги понуди вашето најавување и лозинка. Сајтот Firezone ќе ве поттикне да се најавите користејќи ја услугата за еднократно најавување што ја користи вашиот работодавец (како Google или Okta).
[Вметни слика од екранот]
Одете на URL-то на порталот Firezone и најавете се користејќи ги ингеренциите што ги дал вашиот мрежен администратор. Ако веќе сте најавени, кликнете на копчето Повторно автентикација пред повторно да се најавите.
[Вметни слика од екранот]
[Вметни слика од екранот]
За да го увезете конфигурацискиот профил на WireGuard користејќи Network Manager CLI на уредите со Linux, следете ги овие упатства (nmcli).
Ако профилот има овозможена поддршка за IPv6, обидот за увезување на конфигурациската датотека со помош на GUI на мрежниот менаџер може да не успее со следнава грешка:
ipv6.method: методот „auto“ не е поддржан за WireGuard
Неопходно е да се инсталираат алатките за кориснички простор на WireGuard. Ова ќе биде пакет наречен wireguard или wireguard-tools за Linux дистрибуции.
За Ubuntu/Debian:
sudo apt инсталирај Wireguard
За да користите Fedora:
sudo dnf инсталирање wireguard-tools
Arch Linux:
sudo pacman -S wireguard-tools
Посетете ја официјалната веб-страница на WireGuard на https://www.wireguard.com/install/ за дистрибуции што не се споменати погоре.
Или вашиот администратор на Firezone или само-генерацијата може да ја генерира датотеката за конфигурација на уредот користејќи го порталот Firezone.
Посетете ја URL-адресата што ја дал администраторот на Firezone за самостојно да генерирате датотека за конфигурација на уредот. Вашата фирма ќе има единствена URL адреса за ова; во овој случај, тоа е https://instance-id.yourfirezone.com.
[Вметни слика од екранот]
Увезете ја испорачаната конфигурациска датотека користејќи nmcli:
sudo nmcli конекција увоз на типот wireguard датотека /path/to/configuration.conf
Името на конфигурациската датотека ќе одговара на конекцијата/интерфејсот на WireGuard. По увозот, врската може да се преименува доколку е потребно:
nmcli конекција изменете ја [старото име] конекција.id [ново име]
Преку командната линија, поврзете се со VPN на следниов начин:
nmcli поврзување [име на vpn]
Да се исклучи:
nmcli врската е намалена [име на vpn]
Применливиот аплет Network Manager може да се користи и за управување со конекцијата ако користите GUI.
Со избирање „да“ за опцијата за автоматско поврзување, VPN-врската може да се конфигурира да се поврзува автоматски:
nmcli конекцијата изменете ја врската [vpn name]. <<<<<<<<<<<<<<<<<<<<<<<
автоматско поврзување да
За да го исклучите автоматското поврзување, поставете го на не:
nmcli конекцијата изменете ја врската [vpn name].
автоматско поврзување бр
За да го активирате MFA Одете на страницата /user account/register mfa на порталот Firezone. Користете ја вашата апликација за автентикатор за да го скенирате QR-кодот откако ќе се генерира, а потоа внесете го шестцифрениот код.
Контактирајте со вашиот администратор за да ги ресетирате информациите за пристап на вашата сметка ако погрешно ја поставите апликацијата за автентикатор.
Овој туторијал ќе ве води низ процесот на поставување на функцијата за поделено тунелирање на WireGuard со Firezone, така што само сообраќајот до одредени опсези на IP се препраќа преку серверот VPN.
Опсегот на IP за кој клиентот ќе го насочува мрежниот сообраќај се наведени во полето Дозволени IP-адреси што се наоѓа на страницата /settings/default. Само новосоздадените конфигурации на тунелот WireGuard произведени од Firezone ќе бидат засегнати од промените на ова поле.
[Вметни слика од екранот]
Стандардната вредност е 0.0.0.0/0, ::/0, која го насочува целиот мрежен сообраќај од клиентот до серверот VPN.
Примери на вредности во ова поле вклучуваат:
0.0.0.0/0, ::/0 – целиот мрежен сообраќај ќе биде насочен кон VPN серверот.
192.0.2.3/32 – само сообраќајот до една IP адреса ќе биде насочен кон VPN серверот.
3.5.140.0/22 – само сообраќајот кон IP-адреси во опсегот 3.5.140.1 – 3.5.143.254 ќе се пренасочува до серверот VPN. Во овој пример, се користеше опсегот CIDR за регионот ap-североисток-2 AWS.
Firezone прво го избира излезниот интерфејс поврзан со најпрецизната рута кога одредува каде да се насочи пакетот.
Корисниците мора да ги регенерираат конфигурациските датотеки и да ги додадат на нивниот мајчин WireGuard клиент за да ги ажурираат постоечките кориснички уреди со новата конфигурација на тунелот за поделба.
За упатства, видете додадете уред. <<<<<<<<<<< Додај врска
Овој прирачник ќе покаже како да поврзете два уреди користејќи Firezone како реле. Еден типичен случај на употреба е да му се овозможи на администраторот да пристапи до сервер, контејнер или машина што е заштитена со NAT или заштитен ѕид.
Оваа илустрација покажува едноставно сценарио во кое уредите А и Б градат тунел.
[Вметни архитектонска слика на огнената зона]
Започнете со креирање Уред А и Уред Б со навигација до /users/[user_id]/new_device. Во поставките за секој уред, проверете дали следните параметри се поставени на вредностите наведени подолу. Можете да ги поставите поставките на уредот кога ја креирате конфигурацијата на уредот (видете Додај уреди). Ако треба да ги ажурирате поставките на постоечки уред, можете да го направите тоа со генерирање на нова конфигурација на уредот.
Имајте предвид дека сите уреди имаат страница /settings/defaults каде што може да се конфигурира PersistentKeepalive.
AllowedIPs = 10.3.2.2/32
Ова е IP или опсегот на IP-адреси на уредот Б
PersistentKeepalive = 25
Ако уредот е зад NAT, ова осигурува дека уредот може да го одржува тунелот жив и да продолжи да прима пакети од интерфејсот WireGuard. Обично вредноста од 25 е доволна, но можеби ќе треба да ја намалите оваа вредност во зависност од вашата околина.
AllowedIPs = 10.3.2.3/32
Ова е IP или опсегот на IP-адреси на уредот А
PersistentKeepalive = 25
Овој пример покажува ситуација во која уредот А може да комуницира со уредите Б преку D во двете насоки. Ова поставување може да претставува инженер или администратор кој пристапува до бројни ресурси (сервери, контејнери или машини) низ различни мрежи.
[Архитектонски дијаграм]<<<<<<<<<<<<<<<<<<<<<<<<<
Проверете дали следните поставки се направени во поставките на секој уред до соодветните вредности. Кога ја креирате конфигурацијата на уредот, можете да ги наведете поставките на уредот (видете Додај уреди). Може да се креира нова конфигурација на уред доколку треба да се ажурираат поставките на постоечки уред.
AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Ова е IP на уредите B до D. IP-адресите на уредите B до D мора да бидат вклучени во кој било опсег на IP што ќе изберете да го поставите.
PersistentKeepalive = 25
Ова гарантира дека уредот може да го одржува тунелот и да продолжи да прима пакети од интерфејсот WireGuard дури и ако е заштитен со NAT. Во повеќето случаи, вредноста од 25 е соодветна, но во зависност од вашата околина, можеби ќе треба да ја намалите оваа бројка.
За да понудите единствена, статична излезна IP IP за излез од целиот сообраќај на вашиот тим, Firezone може да се користи како NAT порта. Овие ситуации вклучуваат негова честа употреба:
Консултантски ангажмани: побарајте од вашиот клиент на белата листа на една статична IP адреса, наместо уникатната IP на уредот на секој вработен.
Користење на прокси или маскирање на вашата изворна IP адреса за цели на безбедност или приватност.
Во оваа објава ќе биде прикажан едноставен пример за ограничување на пристапот до веб-апликација која е поставена само-домаќин на единствена статична IP адреса на белата листа што работи Firezone. Во оваа илустрација, Firezone и заштитениот ресурс се во различни VPC области.
Ова решение често се користи наместо управување со бела листа на IP за бројни крајни корисници, што може да одземе време додека се шири списокот за пристап.
Нашата цел е да поставиме сервер Firezone на пример EC2 за да го пренасочиме сообраќајот на VPN кон ограничениот ресурс. Во овој пример, Firezone служи како мрежен прокси или NAT порта за да му даде на секој поврзан уред единствена IP-а за јавен излез.
Во овој случај, примерот на EC2 со име tc2.micro има инсталиран примерок Firezone на него. За информации за распоредувањето на Firezone, одете во Водичот за распоредување. Во однос на AWS, бидете сигурни:
Безбедносната група на примерот на Firezone EC2 дозволува излезен сообраќај до IP адресата на заштитениот ресурс.
На пример Firezone доаѓа со еластична IP адреса. Сообраќајот што се препраќа преку примерот на Firezone до надворешни дестинации ќе ја има оваа како изворна IP адреса. IP адресата за која станува збор е 52.202.88.54.
[Вметни слика од екранот]<<<<<<<<<<<<<<<<<<<<<<<<<<
Како заштитен ресурс во овој случај служи веб-апликација која е поставена самостојно. До веб-апликацијата може да се пристапи само со барања кои доаѓаат од IP адресата 52.202.88.54. Во зависност од ресурсот, може да биде неопходно да се дозволи влезен сообраќај на различни пристаништа и видови сообраќај. Ова не е опфатено во овој прирачник.
[Вметни слика од екранот]<<<<<<<<<<<<<<<<<<<<<<<<<<
Ве молиме кажете му на третото лице кое е одговорно за заштитениот ресурс дека мора да се дозволи сообраќај од статичката IP адреса дефинирана во Чекор 1 (во овој случај 52.202.88.54).
Стандардно, целиот кориснички сообраќај ќе оди преку серверот VPN и доаѓа од статичката IP адреса што беше конфигурирана во чекор 1 (во овој случај 52.202.88.54). Меѓутоа, ако е овозможено поделено тунелирање, може да бидат потребни поставки за да се увериме дека дестинационата IP адреса на заштитениот ресурс е наведена меѓу Дозволените IP-адреси.
Подолу е прикажан целосен список на опциите за конфигурација достапни во /etc/firezone/firezone.rb.
опција | опис | стандардна вредност |
стандардно['firezone']['external_url'] | УРЛ што се користи за пристап до веб-порталот на овој примерок на Firezone. | „https://#{јазол['fqdn'] || јазол['име на домаќин']}“ |
стандардно['firezone']['config_directory'] | Директориум на највисоко ниво за конфигурација на Firezone. | /etc/firezone' |
стандардно['firezone']['install_directory'] | Директориум од највисоко ниво на кој треба да се инсталира Firezone. | /opt/firezone' |
стандардно['firezone']['app_directory'] | Директориум од највисоко ниво за инсталирање на веб-апликацијата Firezone. | „#{node['firezone']['install_directory']}/embedded/service/firezone“ |
стандардно['firezone']['log_directory'] | Директориум на највисоко ниво за логови на Firezone. | /var/log/firezone' |
стандардно['firezone']['var_directory'] | Директориум од највисоко ниво за фајлови за извршување на Firezone. | /var/opt/firezone' |
стандардно['firezone']['корисник'] | Име на непривилегираниот корисник на Линукс на кој ќе припаѓаат повеќето услуги и датотеки. | огнена зона |
стандардно['firezone']['група'] | Име на групата Линукс на која ќе припаѓаат повеќето услуги и датотеки. | огнена зона |
стандардно['firezone']['admin_email'] | Адреса на е-пошта за почетниот корисник на Firezone. | „firezone@localhost“ |
стандардно['firezone']['max_devices_per_user'] | Максимален број уреди што може да ги има корисникот. | 10 |
стандардно['firezone']['allow_unprivileged_device_management'] | Дозволува корисниците кои не се администратори да создаваат и бришат уреди. | ТОЧНО |
стандардно['firezone']['allow_unprivileged_device_configuration'] | Дозволува корисници кои не се администратори да ги менуваат конфигурациите на уредот. Кога е оневозможено, ги спречува непривилегираните корисници да ги менуваат сите полиња на уредот, освен името и описот. | ТОЧНО |
стандардно['firezone']['egress_interface'] | Име на интерфејс од каде ќе излегува тунелиран сообраќај. Ако е нула, ќе се користи стандардниот интерфејс на рутата. | нула |
стандардно['firezone']['fips_enabled'] | Овозможете или оневозможете го режимот OpenSSL FIPs. | нула |
стандардно['firezone']['логирање']['овозможено'] | Овозможете или оневозможете евиденција низ Firezone. Поставете на неточно за целосно да се оневозможи евиденцијата. | ТОЧНО |
стандардно['претпријатие']['име'] | Име што го користи готвачот „претпријатие“ на готвач. | огнена зона |
стандардно['firezone']['install_path'] | Инсталирајте патека што ја користи готвачот „претпријатие“ готвач. Треба да се постави на истото како install_directory погоре. | јазол['firezone']['install_directory'] |
стандардно['firezone']['sysvinit_id'] | Идентификатор што се користи во /etc/inittab. Мора да биде единствена низа од 1-4 знаци. | SUP' |
стандардно['firezone']['автентикација']['локално']['овозможено'] | Овозможете или оневозможете локална автентикација на е-пошта/лозинка. | ТОЧНО |
стандардно['firezone']['автентикација']['auto_create_oidc_users'] | Автоматски креирајте корисници кои се најавуваат од OIDC за прв пат. Оневозможете за да дозволите само постоечките корисници да се најавуваат преку OIDC. | ТОЧНО |
стандардно['firezone']['автентикација']['disable_vpn_on_oidc_error'] | Оневозможете ја VPN-то на корисникот ако се открие грешка при обидот да се освежи неговиот OIDC токен. | НЕТОЧНО |
стандардно['firezone']['автентикација']['oidc'] | Конфигурација на OpenID Connect, во формат на {“provider” => [config…]} – Видете Документација OpenIDConnect за примери за конфигурација. | {} |
стандардно['firezone']['nginx']['овозможено'] | Овозможете или оневозможете го пакетот nginx сервер. | ТОЧНО |
стандардно['firezone']['nginx']['ssl_port'] | Порта за слушање HTTPS. | 443 |
стандардно['firezone']['nginx']['директориум'] | Директориум за складирање на конфигурација на виртуелен домаќин nginx поврзана со Firezone. | „#{node['firezone']['var_directory']}/nginx/etc“ |
стандардно['firezone']['nginx']['log_directory'] | Директориум за складирање на датотеки за евиденција на nginx поврзани со Firezone. | „#{node['firezone']['log_directory']}/nginx“ |
стандардно['firezone']['nginx']['log_rotation']['file_maxbytes'] | Големина на датотека со која ќе се ротираат датотеките за евиденција на Nginx. | 104857600 |
стандардно['firezone']['nginx']['log_rotation']['num_to_keep'] | Број на датотеки за евиденција на Firezone nginx што треба да се чуваат пред да се отфрлат. | 10 |
стандардно['firezone']['nginx']['log_x_forwarded_for'] | Дали да се најавите на заглавието на Firezone nginx x-forwarded-for. | ТОЧНО |
стандардно['firezone']['nginx']['hsts_header']['овозможено'] | ТОЧНО | |
стандардно['firezone']['nginx']['hsts_header']['include_subdomains'] | Овозможи или оневозможи includeSubDomains за заглавието HSTS. | ТОЧНО |
стандардно['firezone']['nginx']['hsts_header']['max_age'] | Максимална возраст за заглавието HSTS. | 31536000 |
стандардно['firezone']['nginx']['redirect_to_canonical'] | Дали да се пренасочат URL-адресите на канонскиот FQDN наведен погоре | НЕТОЧНО |
стандардно['firezone']['nginx']['кеш']['овозможено'] | Овозможете или оневозможете го кешот на Firezone nginx. | НЕТОЧНО |
стандардно['firezone']['nginx']['кеш']['директориум'] | Директориум за кешот на Firezone nginx. | „#{node['firezone']['var_directory']}/nginx/cache“ |
стандардно['firezone']['nginx']['корисник'] | Корисник на Firezone nginx. | јазол['firezone']['корисник'] |
стандардно['firezone']['nginx']['група'] | Групата Firezone nginx. | јазол['firezone']['група'] |
стандардно['firezone']['nginx']['dir'] | Директориум за конфигурација nginx од највисоко ниво. | јазол['firezone']['nginx']['директориум'] |
стандардно['firezone']['nginx']['log_dir'] | Директориум за дневници на nginx од највисоко ниво. | јазол['firezone']['nginx']['log_directory'] |
стандардно['firezone']['nginx']['pid'] | Локација за датотеката nginx pid. | „#{node['firezone']['nginx']['directory']}/nginx.pid“ |
стандардно['firezone']['nginx']['daemon_disable'] | Оневозможете го nginx daemon режимот за да можеме да го следиме наместо тоа. | ТОЧНО |
стандардно['firezone']['nginx']['gzip'] | Вклучете или исклучете ја компресијата на nginx gzip. | на' |
стандардно['firezone']['nginx']['gzip_static'] | Вклучете или исклучете ја компресијата nginx gzip за статични датотеки. | исклучен |
стандардно['firezone']['nginx']['gzip_http_version'] | HTTP верзија за користење за опслужување статични датотеки. | 1.0 " |
стандардно['firezone']['nginx']['gzip_comp_level'] | Ниво на компресија nginx gzip. | 2 " |
стандардно['firezone']['nginx']['gzip_proxied'] | Овозможува или оневозможува gzipping на одговорите за прокси-барања во зависност од барањето и одговорот. | било кој |
стандардно['firezone']['nginx']['gzip_vary'] | Овозможува или оневозможува вметнување на заглавието на одговорот „Vary: Accept-Encoding“. | исклучен |
стандардно['firezone']['nginx']['gzip_buffers'] | Го поставува бројот и големината на баферите што се користат за компресирање на одговорот. Ако нула, се користи стандардно nginx. | нула |
стандардно['firezone']['nginx']['gzip_types'] | MIME типови за да се овозможи компресија на gzip. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' текст/јаваскрипт“, „апликација/јаваскрипт“, „апликација/json“] |
стандардно['firezone']['nginx']['gzip_min_length'] | Минимална должина на датотека за да се овозможи компресија на датотеката gzip. | 1000 |
стандардно['firezone']['nginx']['gzip_disable'] | Складирање на кориснички агент за оневозможување на компресија на gzip. | MSIE [1-6]\.' |
стандардно['firezone']['nginx']['keepalive'] | Активира кеш за поврзување со сервери нагоре. | на' |
стандардно['firezone']['nginx']['keepalive_timeout'] | Истече во секунди за постојано поврзување со серверите нагоре. | 65 |
стандардно['firezone']['nginx']['worker_processes'] | Број на nginx работни процеси. | јазол['cpu'] && јазол['cpu']['вкупно'] ? јазол['cpu']['вкупно'] : 1 |
стандардно['firezone']['nginx']['worker_connections'] | Максимален број на истовремени врски што може да се отворат со работник процес. | 1024 |
стандардно['firezone']['nginx']['worker_rlimit_nofile'] | Го менува лимитот на максималниот број на отворени датотеки за работните процеси. Користи стандардно nginx ако е нула. | нула |
стандардно['firezone']['nginx']['multi_accept'] | Дали работниците треба да прифатат една врска во исто време или повеќе. | ТОЧНО |
стандардно['firezone']['nginx']['настан'] | Го одредува методот за обработка на врската што треба да се користи во контекст на настани на nginx. | епол' |
стандардно['firezone']['nginx']['server_tokens'] | Овозможува или оневозможува емитување на верзијата nginx на страниците со грешки и во полето за заглавие на одговор „Сервер“. | нула |
стандардно['firezone']['nginx']['server_names_hash_bucket_size'] | Ја поставува големината на корпата за хаш табелите со имињата на серверот. | 64 |
стандардно['firezone']['nginx']['sendfile'] | Овозможува или оневозможува користење на nginx's sendfile(). | на' |
стандардно['firezone']['nginx']['access_log_options'] | Поставува опции за дневник за пристап до nginx. | нула |
стандардно['firezone']['nginx']['error_log_options'] | Поставува опции за дневник за грешки на nginx. | нула |
стандардно['firezone']['nginx']['disable_access_log'] | Го оневозможува дневникот за пристап до nginx. | НЕТОЧНО |
стандардно['firezone']['nginx']['types_hash_max_size'] | nginx типови хаш максимална големина. | 2048 |
стандардно['firezone']['nginx']['types_hash_bucket_size'] | nginx типови хаш кофа големина. | 64 |
стандардно['firezone']['nginx']['proxy_read_timeout'] | nginx прокси време за читање. Поставете на нула за да користите стандардно nginx. | нула |
стандардно['firezone']['nginx']['client_body_buffer_size'] | Големина на телото на тампон на клиентот nginx. Поставете на нула за да користите стандардно nginx. | нула |
стандардно['firezone']['nginx']['client_max_body_size'] | nginx клиентот максимална големина на телото. | 250 m' |
стандардно['firezone']['nginx']['стандардно']['модули'] | Наведете дополнителни nginx модули. | [] |
стандардно['firezone']['nginx']['enable_rate_limiting'] | Овозможете или оневозможете ограничување на стапката на nginx. | ТОЧНО |
стандардно['firezone']['nginx']['rate_limiting_zone_name'] | Име на зона за ограничување на стапката Nginx. | огнена зона |
стандардно['firezone']['nginx']['rate_limiting_backoff'] | Nginx ограничување на стапката на враќање назад. | 10 m' |
стандардно['firezone']['nginx']['rate_limit'] | Ограничување на стапката на Nginx. | 10r/s' |
стандардно['firezone']['nginx']['ipv6'] | Дозволете nginx да слуша HTTP барања за IPv6 покрај IPv4. | ТОЧНО |
стандардно['firezone']['postgresql']['овозможено'] | Овозможете или оневозможете го пакетот Postgresql. Поставете неточно и пополнете ги опциите за базата на податоци подолу за да го користите вашиот сопствен примерок Postgresql. | ТОЧНО |
стандардно['firezone']['postgresql']['корисничко име'] | Корисничко име за Postgresql. | јазол['firezone']['корисник'] |
стандардно['firezone']['postgresql']['data_directory'] | Директориум за податоци на Postgresql. | „#{node['firezone']['var_directory']}/postgresql/13.3/data“ |
стандардно['firezone']['postgresql']['log_directory'] | Директориум за дневници на Postgresql. | „#{node['firezone']['log_directory']}/postgresql“ |
стандардно['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Максимална големина на датотеката за евиденција Postgresql пред да се ротира. | 104857600 |
стандардно['firezone']['postgresql']['log_rotation']['num_to_keep'] | Број на датотеки за евиденција на Postgresql што треба да се чуваат. | 10 |
стандардно['firezone']['postgresql']['checkpoint_completion_target'] | Цел на завршување на контролниот пункт Postgresql. | 0.5 |
стандардно['firezone']['postgresql']['checkpoint_segments'] | Број на сегменти на контролната точка Postgresql. | 3 |
стандардно['firezone']['postgresql']['checkpoint_timeout'] | Истекување на контролната точка на Postgresql. | 5 мин. |
стандардно['firezone']['postgresql']['checkpoint_warning'] | Време на предупредување за контролната точка Postgresql во секунди. | 30-ти |
стандардно['firezone']['postgresql']['effective_cache_size'] | Ефективна големина на кешот на Postgresql. | 128 MB' |
стандардно['firezone']['postgresql']['listen_address'] | Postgresql адреса за слушање. | 127.0.0.1 " |
стандардно['firezone']['postgresql']['max_connections'] | Postgresql max врски. | 350 |
стандардно['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR за да се овозможи md5 авт. | ['127.0.0.1/32', '::1/128'] |
стандардно['firezone']['postgresql']['порта'] | Порта за слушање Postgresql. | 15432 |
стандардно['firezone']['postgresql']['shared_buffers'] | Postgresql заедничка големина на бафери. | „#{(јазол['меморија']['вкупно'].to_i / 4) / 1024}MB“ |
стандардно['firezone']['postgresql']['shmax'] | Postgresql shmmax во бајти. | 17179869184 |
стандардно['firezone']['postgresql']['shmall'] | Postgresql е мал во бајти. | 4194304 |
стандардно['firezone']['postgresql']['work_mem'] | Големина на работната меморија Postgresql. | 8 MB' |
стандардно['firezone']['база на податоци']['корисник'] | Го одредува корисничкото име што Firezone ќе го користи за поврзување со DB. | јазол['firezone']['postgresql']['корисничко име'] |
стандардно['firezone']['база на податоци']['лозинка'] | Ако користите надворешен DB, ја одредува лозинката што ќе ја користи Firezone за да се поврзе со DB. | промени Ме' |
стандардно['firezone']['база на податоци']['име'] | База на податоци што ќе ја користи Firezone. Ќе се создаде ако не постои. | огнена зона |
стандардно['firezone']['база на податоци']['домаќин'] | Домаќин на базата на податоци со кој ќе се поврзе Firezone. | јазол['firezone']['postgresql']['listen_address'] |
стандардно['firezone']['база на податоци']['порта'] | Порта за база на податоци на која ќе се поврзе Firezone. | јазол['firezone']['postgresql']['порта'] |
стандардно['firezone']['база на податоци']['базен'] | Големина на базенот на базата на податоци ќе ја користи Firezone. | [10, итн.nпроцесори].макс |
стандардно['firezone']['база на податоци']['ssl'] | Дали да се поврзете со базата на податоци преку SSL. | НЕТОЧНО |
стандардно['firezone']['база на податоци']['ssl_opts'] | {} | |
стандардно['firezone']['база на податоци']['параметри'] | {} | |
стандардно['firezone']['база на податоци']['екстензии'] | Екстензии на базата на податоци за да се овозможи. | { 'plpgsql' => точно, 'pg_trgm' => точно } |
стандардно['firezone']['phoenix']['овозможено'] | Овозможете или оневозможете ја веб-апликацијата Firezone. | ТОЧНО |
стандардно['firezone']['phoenix']['listen_address'] | Адреса за слушање на веб апликацијата Firezone. Ова ќе биде адресата за слушање возводно што nginx се прокси. | 127.0.0.1 " |
стандардно['firezone']['phoenix']['port'] | Порта за слушање на веб апликацијата Firezone. Ова ќе биде портата нагоре што nginx ја прокси. | 13000 |
стандардно['firezone']['phoenix']['log_directory'] | Директориум за евиденција на веб-апликации на Firezone. | „#{node['firezone']['log_directory']}/phoenix“ |
стандардно['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Големина на датотеката за евиденција на веб апликацијата Firezone. | 104857600 |
стандардно['firezone']['phoenix']['log_rotation']['num_to_keep'] | Број на датотеки за евиденција на веб-апликации на Firezone што треба да се чуваат. | 10 |
стандардно['firezone']['phoenix']['crash_detection']['овозможено'] | Овозможете или оневозможете симнување на веб-апликацијата Firezone кога ќе се открие пад. | ТОЧНО |
стандардно['firezone']['phoenix']['external_trusted_proxies'] | Список на доверливи обратни прокси форматирани како Низа од IP и/или CIDR. | [] |
стандардно['firezone']['phoenix']['private_clients'] | Список на HTTP клиенти на приватна мрежа, форматирана низа од IP и/или CIDR. | [] |
стандардно['firezone']['wireguard']['овозможено'] | Овозможете или оневозможете управување со пакетот WireGuard. | ТОЧНО |
стандардно['firezone']['wireguard']['log_directory'] | Директориум за евиденција за комплетно управување со WireGuard. | „#{node['firezone']['log_directory']}/wireguard“ |
стандардно['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Максимална големина на датотеката за евиденција WireGuard. | 104857600 |
стандардно['firezone']['wireguard']['log_rotation']['num_to_keep'] | Број на датотеки за евиденција на WireGuard што треба да се чуваат. | 10 |
стандардно['firezone']['wireguard']['interface_name'] | Име на интерфејс WireGuard. Промената на овој параметар може да предизвика привремена загуба во VPN конекцијата. | wg-firezone' |
стандардно['firezone']['wireguard']['port'] | Пристаниште за слушање WireGuard. | 51820 |
стандардно['firezone']['wireguard']['mtu'] | WireGuard интерфејс MTU за овој сервер и за конфигурации на уреди. | 1280 |
стандардно['firezone']['wireguard']['крајна точка'] | WireGuard Endpoint што ќе се користи за генерирање на конфигурации на уреди. Ако е нула, стандардно е јавната IP адреса на серверот. | нула |
стандардно['firezone']['wireguard']['dns'] | WireGuard DNS за користење за генерирани конфигурации на уреди. | 1.1.1.1, 1.0.0.1′ |
стандардно['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs да се користат за генерирани конфигурации на уреди. | 0.0.0.0/0, ::/0′ |
стандардно['firezone']['wireguard']['persistent_keepalive'] | Стандардна поставка PersistentKeepalive за генерирани конфигурации на уреди. Вредноста од 0 се оневозможува. | 0 |
стандардно['firezone']['wireguard']['ipv4']['овозможено'] | Овозможете или оневозможете IPv4 за мрежата WireGuard. | ТОЧНО |
стандардно['firezone']['wireguard']['ipv4']['masquerade'] | Овозможете или оневозможете маскенбал за пакети што го напуштаат тунелот IPv4. | ТОЧНО |
стандардно['firezone']['wireguard']['ipv4']['мрежа'] | Адреси на IPv4 мрежа WireGuard. | 10.3.2.0 / 24 ′ |
стандардно['firezone']['wireguard']['ipv4']['адреса'] | IPv4 адреса на интерфејс WireGuard. Мора да биде во базенот за адреси на WireGuard. | 10.3.2.1 " |
стандардно['firezone']['wireguard']['ipv6']['овозможено'] | Овозможете или оневозможете IPv6 за мрежата WireGuard. | ТОЧНО |
стандардно['firezone']['wireguard']['ipv6']['masquerade'] | Овозможете или оневозможете маскенбал за пакети што го напуштаат тунелот IPv6. | ТОЧНО |
стандардно['firezone']['wireguard']['ipv6']['мрежа'] | Адреси на IPv6 мрежа WireGuard. | fd00::3:2:0/120′ |
стандардно['firezone']['wireguard']['ipv6']['адреса'] | IPv6 адреса на интерфејс WireGuard. Мора да биде во опсегот на IPv6 адреси. | fd00::3:2:1′ |
стандардно['firezone']['runit']['svlogd_bin'] | Извршете ја локацијата на корпата за отпадоци. | „#{node['firezone']['install_directory']}/embedded/bin/svlogd“ |
стандардно['firezone']['ssl']['директориум'] | SSL директориум за складирање на генерирани сертификати. | /var/opt/firezone/ssl' |
стандардно['firezone']['ssl']['email_address'] | Адреса на е-пошта што ќе се користи за самопотпишани сертификати и известувања за обновување на протоколот ACME. | you@example.com' |
стандардно['firezone']['ssl']['acme']['овозможено'] | Овозможете ACME за автоматско обезбедување на SSL сертификати. Оневозможете го ова за да спречите Nginx да слуша на портата 80. Видете овде за повеќе инструкции. | НЕТОЧНО |
стандардно['firezone']['ssl']['acme']['сервер'] | лесенкриптира | |
стандардно['firezone']['ssl']['acme']['должина на клучот'] | Наведете го типот и должината на клучот за SSL сертификатите. Види овде | ec-256 |
стандардно['firezone']['ssl']['сертификат'] | Патека до датотеката со сертификат за вашиот FQDN. Ја отфрла поставката ACME погоре ако е наведено. Ако и ACME и ова се нула, ќе се генерира самопотпишан сертификат. | нула |
стандардно['firezone']['ssl']['certificate_key'] | Патека до датотеката со сертификат. | нула |
стандардно['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | нула |
стандардно['firezone']['ssl']['country_name'] | Име на земја за самопотпишан сертификат. | САД' |
стандардно['firezone']['ssl']['state_name'] | Државно име за самопотпишан сертификат. | Калифорнија |
стандардно['firezone']['ssl']['locality_name'] | Име на локалитетот за самопотпишан сертификат. | Сан Франциско |
стандардно['firezone']['ssl']['company_name'] | Самопотпишан сертификат за името на компанијата. | Мојата компанија |
стандардно['firezone']['ssl']['organizational_unit_name'] | Име на организациска единица за самопотпишан сертификат. | операции |
стандардно['firezone']['ssl']['шифри'] | SSL шифри за употреба на nginx. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
стандардно['firezone']['ssl']['fips_ciphers'] | SSL шифри за режим на FIP. | FIPS@СИЛА:!aNULL:!eNULL' |
стандардно['firezone']['ssl']['протоколи'] | TLS протоколи за употреба. | TLSv1 TLSv1.1 TLSv1.2′ |
стандардно['firezone']['ssl']['session_cache'] | Кеш на SSL сесија. | споделено:SSL:4m' |
стандардно['firezone']['ssl']['session_timeout'] | Истекување на SSL сесијата. | 5 m' |
стандардно['firezone']['robots_allow'] | nginx роботите дозволуваат. | /' |
стандардно['firezone']['robots_disallow'] | nginx роботите не дозволуваат. | нула |
стандардно['firezone']['outbound_email']['од'] | Излезна е-пошта од адресата. | нула |
стандардно['firezone']['outbound_email']['провајдер'] | Давател на услуги за излезна е-пошта. | нула |
стандардно['firezone']['outbound_email']['configs'] | Конфигурации на давателот на излезна е-пошта. | види omnibus/cookbooks/firezone/attributes/default.rb |
стандардно['firezone']['телеметрија']['овозможено'] | Овозможете или оневозможете анонимизирана телеметрија на производот. | ТОЧНО |
стандардно['firezone']['connectivity_checks']['овозможено'] | Овозможете ја или оневозможете ја услугата за проверки на поврзување на Firezone. | ТОЧНО |
стандардно['firezone']['connectivity_checks']['interval'] | Интервал помеѓу проверките за поврзување во секунди. | 3_600 |
________________________________________________________________
Овде ќе најдете список на датотеки и директориуми поврзани со типична инсталација на Firezone. Овие може да се променат во зависност од промените во вашата конфигурациска датотека.
пат | опис |
/var/opt/firezone | Директориум од највисоко ниво што содржи податоци и генерирана конфигурација за услугите во пакет на Firezone. |
/opt/firezone | Директориум од највисоко ниво што содржи изградени библиотеки, бинарни датотеки и датотеки за време на траење кои му се потребни на Firezone. |
/usr/bin/firezone-ctl | Firezone-ctl алатка за управување со вашата инсталација Firezone. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd единица датотека за започнување на процесот на супервизор на Firezone runsvdir. |
/etc/firezone | Конфигурациските датотеки на Firezone. |
__________________________________________________________
Оваа страница беше празна во документите
_____________________________________________________________
Следниот шаблон за заштитен ѕид nftables може да се користи за да се обезбеди серверот што работи Firezone. Шаблонот прави некои претпоставки; можеби ќе треба да ги прилагодите правилата за да одговараат на вашиот случај на употреба:
Firezone ги конфигурира сопствените правила за nftables за да дозволи/отфрли сообраќај до дестинации конфигурирани во веб-интерфејсот и да управува со излезниот NAT за сообраќај на клиенти.
Примената на долунаведениот шаблон за заштитен ѕид на веќе работи сервер (не во моментот на подигање) ќе резултира со бришење на правилата на Firezone. Ова може да има безбедносни импликации.
За да го решите ова, рестартирајте ја услугата феникс:
firezone-ctl рестартирајте го феникс
#!/usr/sbin/nft -f
## Исчистете ги/исчистете ги сите постоечки правила
рамни правила
############################### ПРОМЕНЛИВИ ################# ###############
## Име на интерфејс за Интернет/WAN
дефинирајте DEV_WAN = eth0
## Име на интерфејс WireGuard
дефинирајте DEV_WIREGUARD = wg-firezone
## Пристаниште за слушање WireGuard
дефинира WIREGUARD_PORT = 51820
############################# ПРОМЕНЛИВИ КРАЈ ################### ############
# Главна табела за филтрирање на семејството inet
филтер за влез на табелата {
# Правила за проследен сообраќај
# Овој синџир се обработува пред синџирот напред Firezone
синџир напред {
тип приоритетен филтер за кука за филтер напред – 5; политика прифати
}
# Правила за влезен сообраќај
синџир влез {
тип приоритетен филтер за влезна кука за филтер; пад на политиката
## Дозволете влезен сообраќај до интерфејс со повратна врска
ако ете \
прифати \
коментира „Дозволете го целиот сообраќај од интерфејс со повратна врска“
## Воспоставена дозвола и поврзани врски
ct држава воспоставена, поврзана \
прифати \
коментира „Дозволи воспоставени/поврзани врски“
## Дозволете влезен сообраќај на WireGuard
ииф $DEV_WAN udp dport $WIREGUARD_PORT \
бројач \
прифати \
коментира „Дозволи влезен сообраќај на WireGuard“
## Најавете се и испуштете нови TCP пакети кои не се SYN
tcp знаменца != син ct состојба нова \
гранична стапка 100/минута рафал 150 пакети \
лог префикс „IN – Ново !SYN:“ \
коментира „Евиденција на ограничување на стапката за нови врски што немаат поставено знаменце SYN TCP“
tcp знаменца != син ct состојба нова \
бројач \
капка \
коментира „Отфрлете ги новите врски што немаат поставено знаменце SYN TCP“
## Најавете се и испуштете ги TCP пакетите со неважечки сет на знаменце за перки/син
tcp знаменца & (fin|syn) == (fin|syn) \
гранична стапка 100/минута рафал 150 пакети \
лог префикс „IN – TCP FIN|SIN:“ \
коментира „Евиденција на ограничување на стапката за TCP пакети со неважечки поставено знаменце за fin/syn“
tcp знаменца & (fin|syn) == (fin|syn) \
бројач \
капка \
коментира „Отфрлете ги TCP пакетите со неважечки сет знаменце за перки/син“
## Пријавете и испуштете ги TCP пакетите со неважечки сет на знаменце за син/прво
tcp знаменца & (syn|прво) == (syn|прво) \
гранична стапка 100/минута рафал 150 пакети \
лог префикс „IN – TCP SYN|RST:“ \
коментира „Евиденција на ограничување на стапката за TCP пакети со неважечки поставено знаменце за син/прво“
tcp знаменца & (syn|прво) == (syn|прво) \
бројач \
капка \
коментира „Отфрлете ги TCP пакетите со неважечки син/прв сет знаменце“
## Пријавете и испуштете неважечки TCP знаменца
tcp знаменца & (fin|syn|rst|psh|ack|urg) < (fin) \
гранична стапка 100/минута рафал 150 пакети \
лог префикс „IN – FIN:“ \
коментира „Најавување на ограничување на стапката за неважечки TCP знаменца (fin|syn|rst|psh|ack|urg) < (fin)“
tcp знаменца & (fin|syn|rst|psh|ack|urg) < (fin) \
бројач \
капка \
коментира „Отфрлете ги TCP пакетите со знаменца (fin|syn|rst|psh|ack|urg) < (fin)“
## Пријавете и испуштете неважечки TCP знаменца
tcp знаменца & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
гранична стапка 100/минута рафал 150 пакети \
лог префикс „IN – FIN|PSH|URG:“ \
коментира „Најавување на ограничување на стапката за неважечки TCP знаменца (fin|syn|прво|psh|ack|urg) == (fin|psh|urg)“
tcp знаменца & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
бројач \
капка \
коментира „Отфрлете ги TCP пакетите со знаменца (fin|syn|прво|psh|ack|urg) == (fin|psh|urg)“
## Отфрлете го сообраќајот со неважечка состојба на поврзување
ct неважечка состојба \
гранична стапка 100/минута рафал 150 пакети \
дневник го означува целиот префикс „IN – Невалидно:“ \
коментира „Евиденција на ограничување на стапката за сообраќај со неважечка состојба на поврзување“
ct неважечка состојба \
бројач \
капка \
коментира „Отфрлете го сообраќајот со неважечка состојба на поврзување“
## Дозволете одговори на пинг/пинг IPv4, но ограничување на стапката до 2000 PPS
ip протокол icmp icmp тип { ехо-одговор, ехо-барање } \
гранична стапка 2000/втора \
бројач \
прифати \
коментира „Дозволи влезно IPv4 ехо (пинг) ограничено на 2000 PPS“
## Дозволете ги сите други влезни IPv4 ICMP
ip протокол icmp \
бројач \
прифати \
коментира „Дозволи ги сите други IPv4 ICMP“
## Дозволете одговори на пинг/пинг IPv6, но ограничување на стапката до 2000 PPS
icmpv6 тип { ехо-одговор, ехо-барање } \
гранична стапка 2000/втора \
бројач \
прифати \
коментира „Дозволи влезно IPv6 ехо (пинг) ограничено на 2000 PPS“
## Дозволете ги сите други влезни IPv6 ICMP
мета l4proto { icmpv6 } \
бројач \
прифати \
коментира „Дозволи ги сите други IPv6 ICMP“
## Дозволете влезни UDP порти за следење, но ограничете го на 500 PPS
udp dport 33434-33524 \
гранична стапка 500/втора \
бројач \
прифати \
коментира „Дозволи влезен UDP тракерут ограничен на 500 PPS“
## Дозволете влезен SSH
tcp dport SSH ct држава нова \
бројач \
прифати \
коментира „Дозволи влезни SSH врски“
## Дозволете влезен HTTP и HTTPS
tcp dport { http, https } ct држава нова \
бројач \
прифати \
коментира „Дозволи влезни HTTP и HTTPS врски“
## Пријавете го неспоредливиот сообраќај, но ограничете го евидентирањето на максимум 60 пораки/минута
## Стандардната политика ќе се примени на неспоредлив сообраќај
гранична стапка 60/минута рафал 100 пакети \
лог префикс „IN – Drop:“ \
коментира „Пријавете го неспоредливиот сообраќај“
## Пребројте го неспоредливиот сообраќај
бројач \
коментира „Преброј неспоредлив сообраќај“
}
# Правила за излезен сообраќај
синџир излез {
тип филтер кука излезниот приоритетен филтер; пад на политиката
## Дозволете излезен сообраќај до интерфејс со повратна врска
oif lo \
прифати \
коментира „Дозволете сиот сообраќај да излезе на интерфејс за повратна врска“
## Воспоставена дозвола и поврзани врски
ct држава воспоставена, поврзана \
бројач \
прифати \
коментира „Дозволи воспоставени/поврзани врски“
## Дозволете излезен сообраќај на WireGuard пред да ги прекинете врските со лоша состојба
оиф $DEV_WAN УДП спорт $WIREGUARD_PORT \
бројач \
прифати \
коментира „Дозволи излезниот сообраќај на WireGuard“
## Отфрлете го сообраќајот со неважечка состојба на поврзување
ct неважечка состојба \
гранична стапка 100/минута рафал 150 пакети \
дневник го означува целиот префикс „OUT – Невалидно:“ \
коментира „Евиденција на ограничување на стапката за сообраќај со неважечка состојба на поврзување“
ct неважечка состојба \
бројач \
капка \
коментира „Отфрлете го сообраќајот со неважечка состојба на поврзување“
## Дозволете ги сите други излезни IPv4 ICMP
ip протокол icmp \
бројач \
прифати \
коментира „Дозволи ги сите типови IPv4 ICMP“
## Дозволете ги сите други излезни IPv6 ICMP
мета l4proto { icmpv6 } \
бројач \
прифати \
коментира „Дозволи ги сите типови IPv6 ICMP“
## Дозволете излезни порти за следење на UDP, но ограничете се на 500 PPS
udp dport 33434-33524 \
гранична стапка 500/втора \
бројач \
прифати \
коментира „Дозволи излезна UDP тракерута ограничена на 500 PPS“
## Дозволете излезни HTTP и HTTPS врски
tcp dport { http, https } ct држава нова \
бројач \
прифати \
коментира „Дозволи излезни HTTP и HTTPS врски“
## Дозволи излезно поднесување SMTP
tcp dport поднесување ct држава нова \
бројач \
прифати \
коментира „Дозволи излезно поднесување SMTP“
## Дозволете излезни барања за DNS
udp dport 53 \
бројач \
прифати \
коментира „Дозволи излезни UDP DNS барања“
tcp dport 53 \
бројач \
прифати \
коментира „Дозволи излезни TCP DNS барања“
## Дозволи излезни NTP барања
udp dport 123 \
бројач \
прифати \
коментира „Дозволи излезни NTP барања“
## Пријавете го неспоредливиот сообраќај, но ограничете го евидентирањето на максимум 60 пораки/минута
## Стандардната политика ќе се примени на неспоредлив сообраќај
гранична стапка 60/минута рафал 100 пакети \
лог префикс „ИЗЛЕЗ – Спушти:“ \
коментира „Пријавете го неспоредливиот сообраќај“
## Пребројте го неспоредливиот сообраќај
бројач \
коментира „Преброј неспоредлив сообраќај“
}
}
# Главна табела за филтрирање NAT
табела inet nat {
# Правила за претходно насочување на сообраќајот NAT
прерутирање на синџирот {
тип nat hook prerouting приоритет dstnat; политика прифати
}
# Правила за NAT сообраќај по насочување
# Оваа табела се обработува пред синџирот по насочување на Firezone
синџир пострутирање {
тип nat hook postrouting приоритет srcnat – 5; политика прифати
}
}
Заштитниот ѕид треба да се складира на соодветната локација за дистрибуцијата на Linux што работи. За Debian/Ubuntu ова е /etc/nftables.conf и за RHEL ова е /etc/sysconfig/nftables.conf.
nftables.service ќе треба да се конфигурира за да започне при подигање (ако не е веќе) поставено:
systemctl овозможи nftables.service
Ако направите какви било промени во шаблонот на заштитниот ѕид, синтаксата може да се потврди со извршување на командата за проверка:
nft -f /path/to/nftables.conf -c
Погрижете се да потврдите дека заштитниот ѕид работи како што се очекуваше бидејќи одредени функции на nftables може да не се достапни во зависност од изданието што се извршува на серверот.
_______________________________________________________________
Овој документ претставува преглед на телеметријата што ја собира Firezone од вашиот сопствен хостиран пример и како да ја оневозможите.
пожарна зона се потпира на телеметријата за да се даде приоритет на нашиот патоказ и да се оптимизираат инженерските ресурси што ги имаме за да го направиме Firezone подобар за секого.
Телеметријата што ја собираме има за цел да одговори на следниве прашања:
Постојат три главни места каде што се собира телеметријата во Firezone:
Во секој од овие три контексти, го опфаќаме минималниот број на податоци потребни за да се одговори на прашањата во горниот дел.
Администраторските е-пошта се собираат само ако експлицитно се пријавите за ажурирања на производите. Во спротивно, информациите за лична идентификација се никогаш собрани.
Firezone ја складира телеметријата во самодомаќин пример на PostHog работи во приватен кластер Kubernetes, достапно само од тимот на Firezone. Еве пример за телеметриски настан што е испратен од вашиот пример на Firezone до нашиот телеметриски сервер:
{
оди: “0182272d-0b88-0000-d419-7b9a413713f1”,
„временски печат“: “2022-07-22T18:30:39.748000+00:00”,
„настан“: „fz_http_started“,
„distinct_id“: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
„својства“:{
„$geoip_city_name“: „Ешбурн“,
„$geoip_continent_code“: „НА“,
„$geoip_continent_name“: „Северна Америка“,
„$geoip_country_code“: „САД“,
„$geoip_country_name“: "Соединети Држави",
„$geoip_latitude“: 39.0469,
„$geoip_longitude“: -77.4903,
„$geoip_postal_code“: "20149",
„$geoip_subdivision_1_code“: „VA“,
„$geoip_subdivision_1_name“: „Вирџинија“,
„$geoip_time_zone“: „Америка/Њујорк“,
„$ip“: "52.200.241.107",
„$plugins_deferred“: [],
„$plugins_failed“: [],
„$plugins_succeeded“:[
„GeoIP (3)“
],
„distinct_id“: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
„fqdn“: „awsdemo.firezone.dev“,
„kernel_version“: Линукс 5.13.0,
„верзија“: "0.4.6"
},
„синџир_елементи“: ""
}
ЗАБЕЛЕШКА
Тимот за развој на Firezone се потпира на аналитика на производи за да го направи Firezone подобар за секого. Оставањето овозможена телеметријата е единствениот највредниот придонес што можете да го дадете за развојот на Firezone. Како што рече, разбираме дека некои корисници имаат повисоки барања за приватност или безбедност и би сакале целосно да ја оневозможат телеметријата. Ако сте вие, продолжете да читате.
Телеметријата е стандардно овозможена. За целосно да ја оневозможите телеметријата на производот, поставете ја следнава конфигурациска опција на неточно во /etc/firezone/firezone.rb и извршете ја reconfigure sudo firezone-ctl за да ги примените промените.
стандардно[„огнена зона“][„телеметрија“]['овозможено'] = лажни
Тоа целосно ќе ја оневозможи целата телеметрија на производот.
Hailbytes
9511 Queens Guard Ct.
Лорел, MD 20723
Телефон: (732) 771-9995
Е-пошта: info@hailbytes.com
