Šeit ir sniegti detalizēti norādījumi par Hailbytes VPN izvietošanu ar Firezone GUI.
Administrēt: servera instances iestatīšana ir tieši saistīta ar šo daļu.
Lietotāja rokasgrāmatas: noderīgi dokumenti, kas var iemācīt lietot Firezone un atrisināt tipiskas problēmas. Kad serveris ir veiksmīgi izvietots, skatiet šo sadaļu.
Sadalītā tunelēšana: izmantojiet VPN, lai nosūtītu trafiku tikai uz noteiktiem IP diapazoniem.
Baltā saraksta iekļaušana: iestatiet VPN servera statisko IP adresi, lai izmantotu balto sarakstu.
Reversie tuneļi: izveidojiet tuneļus starp vairākiem vienaudžiem, izmantojot reversos tuneļus.
Mēs esam priecīgi jums palīdzēt, ja jums nepieciešama palīdzība Hailbytes VPN instalēšanā, pielāgošanā vai izmantošanā.
Pirms lietotāji var izveidot vai lejupielādēt ierīces konfigurācijas failus, Firezone var konfigurēt, lai pieprasītu autentifikāciju. Lietotājiem var būt arī periodiski jāveic atkārtota autentifikācija, lai viņu VPN savienojums būtu aktīvs.
Lai gan Firezone noklusējuma pieteikšanās metode ir vietējais e-pasts un parole, to var integrēt arī ar jebkuru standartizētu OpenID Connect (OIDC) identitātes nodrošinātāju. Lietotāji tagad var pieteikties Firezone, izmantojot savus Okta, Google, Azure AD vai privātā identitātes nodrošinātāja akreditācijas datus.
Integrējiet vispārējo OIDC nodrošinātāju
Konfigurācijas parametri, kas nepieciešami Firezone, lai atļautu SSO, izmantojot OIDC nodrošinātāju, ir parādīti tālāk esošajā piemērā. Vietnē /etc/firezone/firezone.rb varat atrast konfigurācijas failu. Palaidiet firezone-ctl pārkonfigurēšanu un firezone-ctl restartējiet, lai atjauninātu lietojumprogrammu un stātos spēkā izmaiņas.
# Šis ir piemērs, kurā Google un Okta tiek izmantoti kā SSO identitātes nodrošinātājs.
# Vienai Firezone instancei var pievienot vairākas OIDC konfigurācijas.
# Firezone var atspējot lietotāja VPN, ja mēģinot tiek konstatēta kļūda
#, lai atsvaidzinātu savu access_token. Tas ir pārbaudīts, lai tas darbotos Google, Okta un
# Azure SSO un tiek izmantots, lai automātiski atvienotu lietotāja VPN, ja tie tiek noņemti
# no OIDC nodrošinātāja. Atstājiet šo atspējotu, ja jūsu OIDC nodrošinātājs
# ir problēmas ar piekļuves pilnvaru atsvaidzināšanu, jo tas var negaidīti pārtraukt a
# lietotāja VPN sesija.
noklusējuma ['firezone']['autentifikācija']['disable_vpn_on_oidc_error'] = false
noklusējuma ['firezone']['autentifikācija']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
klienta_id: " ”,
client_secret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
atbildes_veids: "kods",
darbības joma: "atvērts e-pasta profils",
etiķete: “Google”
},
labi: {
discovery_document_uri: “https:// /.labi zināma/openid-configuration”,
klienta_id: " ”,
client_secret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
atbildes_veids: "kods",
darbības joma: “atvērtais e-pasta profils offline_access”,
etiķete: "Okta"
}
}
Integrācijai ir nepieciešami šādi konfigurācijas iestatījumi:
Katram OIDC nodrošinātājam tiek izveidots atbilstošs skaists URL, lai novirzītu uz konfigurētā pakalpojumu sniedzēja pierakstīšanās URL. Iepriekš redzamajam OIDC konfigurācijas piemēram vietrāži URL ir šādi:
Pakalpojumu sniedzēji, kuriem mums ir dokumentācija:
Ja jūsu identitātes nodrošinātājam ir vispārējs OIDC savienotājs un tas nav norādīts iepriekš, lūdzu, skatiet tā dokumentāciju, lai iegūtu informāciju par nepieciešamo konfigurācijas iestatījumu izgūšanu.
Iestatījumu sadaļā Iestatījumi/drošība var mainīt, lai pieprasītu periodisku atkārtotu autentifikāciju. To var izmantot, lai ieviestu prasību lietotājiem regulāri ievadīt Firezone, lai turpinātu VPN sesiju.
Sesijas ilgumu var konfigurēt no vienas stundas līdz deviņdesmit dienām. Iestatot šo vērtību uz Nekad, jūs jebkurā laikā varat iespējot VPN sesijas. Šis ir standarts.
Lietotājam ir jāpārtrauc VPN sesija un jāpiesakās Firezone portālā, lai atkārtoti autentificētu VPN sesiju, kurai beidzies derīguma termiņš (URL norādīts izvietošanas laikā).
Varat atkārtoti autentificēt savu sesiju, izpildot precīzas klienta instrukcijas, kas atrodamas šeit.
VPN savienojuma statuss
Lapas Lietotāji VPN savienojuma tabulas kolonnā tiek parādīts lietotāja savienojuma statuss. Šie ir savienojuma statusi:
IESPĒJOTS — savienojums ir iespējots.
ATSPĒJOTS — savienojumu ir atspējojis administrators vai OIDC atsvaidzināšanas kļūme.
TERMIŅŠ — savienojums ir atspējots autentifikācijas termiņa beigu dēļ vai lietotājs nav pierakstījies pirmo reizi.
Izmantojot vispārējo OIDC savienotāju, Firezone iespējo vienreizējo pierakstīšanos (SSO) ar Google Workspace un Cloud Identity. Šī rokasgrāmata parādīs, kā iegūt tālāk uzskaitītos konfigurācijas parametrus, kas nepieciešami integrācijai:
1. OAuth konfigurācijas ekrāns
Ja šī ir pirmā reize, kad veidojat jaunu OAuth klienta ID, jums tiks lūgts konfigurēt piekrišanas ekrānu.
*Lietotāja veidam atlasiet Iekšējais. Tas nodrošina, ka tikai konti, kas pieder lietotājiem jūsu Google Workspace organizācijā, var izveidot ierīces konfigurācijas. NEATlasiet Ārējais, ja vien nevēlaties ļaut ikvienam, kam ir derīgs Google konts, izveidot ierīces konfigurācijas.
Programmas informācijas ekrānā:
2. Izveidojiet OAuth klientu ID
Šī sadaļa ir balstīta uz paša Google dokumentāciju par OAuth 2.0 iestatīšana.
Apmeklējiet Google Cloud Console Akreditācijas datu lapa lapā noklikšķiniet uz + Izveidot akreditācijas datus un atlasiet OAuth klienta ID.
OAuth klienta ID izveides ekrānā:
Pēc OAuth klienta ID izveides jums tiks piešķirts klienta ID un klienta noslēpums. Nākamajā darbībā tie tiks izmantoti kopā ar novirzīšanas URI.
rediģēt /etc/firezone/firezone.rb lai iekļautu tālāk norādītās opcijas:
# Google kā SSO identitātes nodrošinātāja izmantošana
noklusējuma ['firezone']['autentifikācija']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
klienta_id: " ”,
client_secret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
atbildes_veids: "kods",
darbības joma: "atvērts e-pasta profils",
etiķete: “Google”
}
}
Palaidiet firezone-ctl pārkonfigurēšanu un firezone-ctl restartējiet, lai atjauninātu lietojumprogrammu. Tagad Firezone saknes vietrādī URL vajadzētu redzēt pogu Pierakstīties ar Google.
Firezone izmanto vispārējo OIDC savienotāju, lai atvieglotu vienreizējo pierakstīšanos (SSO) ar Okta. Šī apmācība parādīs, kā iegūt tālāk uzskaitītos konfigurācijas parametrus, kas nepieciešami integrācijai:
Šī rokasgrāmatas sadaļa ir balstīta uz Oktas dokumentācija.
Administratora konsolē dodieties uz Lietojumprogrammas > Lietojumprogrammas un noklikšķiniet uz Izveidot lietotņu integrāciju. Iestatiet pierakstīšanās metodi uz OICD — OpenID savienojums un lietojumprogrammas veidu uz Web lietojumprogramma.
Konfigurējiet šos iestatījumus:
Kad iestatījumi ir saglabāti, jums tiks piešķirts klienta ID, klienta noslēpums un Okta domēns. Šīs 3 vērtības tiks izmantotas 2. darbībā, lai konfigurētu Firezone.
rediģēt /etc/firezone/firezone.rb lai iekļautu tālāk norādītās opcijas. Jūsu Discovery_document_url būs /.labi zināma/openid-configuration pievienots jūsu beigās okta_domain.
# Izmantojot Okta kā SSO identitātes nodrošinātāju
noklusējuma ['firezone']['autentifikācija']['oidc'] = {
labi: {
discovery_document_uri: “https:// /.labi zināma/openid-configuration”,
klienta_id: " ”,
client_secret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
atbildes_veids: "kods",
darbības joma: “atvērtais e-pasta profils offline_access”,
etiķete: "Okta"
}
}
Palaidiet firezone-ctl pārkonfigurēšanu un firezone-ctl restartējiet, lai atjauninātu lietojumprogrammu. Tagad Firezone saknes vietrādī URL vajadzētu redzēt pogu Pierakstīties ar Okta.
Lietotājus, kuri var piekļūt Firezone lietotnei, var ierobežot Okta. Lai to paveiktu, atveriet savas Okta Admin Console Firezone App integrācijas uzdevumu lapu.
Izmantojot vispārējo OIDC savienotāju, Firezone iespējo vienoto pierakstīšanos (SSO) ar Azure Active Directory. Šī rokasgrāmata parādīs, kā iegūt tālāk uzskaitītos konfigurācijas parametrus, kas nepieciešami integrācijai:
Šī rokasgrāmata ir iegūta no Azure Active Directory dokumenti.
Dodieties uz Azure portāla lapu Azure Active Directory. Izvēlieties izvēlnes opciju Pārvaldīt, atlasiet Jauna reģistrācija, pēc tam reģistrējieties, sniedzot tālāk norādīto informāciju.
Pēc reģistrācijas atveriet lietojumprogrammas detalizēto skatu un kopējiet Lietojumprogrammas (klienta) ID. Tā būs klienta_id vērtība. Pēc tam atveriet galapunktu izvēlni, lai izgūtu OpenID Connect metadatu dokuments. Tā būs Discovery_document_uri vērtība.
Izveidojiet jaunu klienta noslēpumu, izvēlnē Pārvaldīt noklikšķinot uz opcijas Sertifikāti un noslēpumi. nokopējiet klienta noslēpumu; klienta slepenā vērtība būs šī.
Visbeidzot izvēlnē Pārvaldīt atlasiet saiti API atļaujas un noklikšķiniet uz Pievienojiet atļaujuun izvēlieties Microsoft Graph. Pievienot e-pasts, atvērts, offline_access un profils nepieciešamajām atļaujām.
rediģēt /etc/firezone/firezone.rb lai iekļautu tālāk norādītās opcijas:
# Azure Active Directory izmantošana kā SSO identitātes nodrošinātājs
noklusējuma ['firezone']['autentifikācija']['oidc'] = {
debeszils: {
discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
klienta_id: " ”,
client_secret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
atbildes_veids: "kods",
darbības joma: “atvērtais e-pasta profils offline_access”,
etiķete: "Azure"
}
}
Palaidiet firezone-ctl pārkonfigurēšanu un firezone-ctl restartējiet, lai atjauninātu lietojumprogrammu. Tagad Firezone saknes vietrādī URL vajadzētu redzēt pogu Pierakstīties, izmantojot Azure.
Azure AD ļauj administratoriem ierobežot lietotņu piekļuvi noteiktai lietotāju grupai jūsu uzņēmumā. Plašāku informāciju par to, kā to izdarīt, var atrast Microsoft dokumentācijā.
Firezone izmanto Chef Omnibus, lai pārvaldītu uzdevumus, tostarp izlaišanas iepakojumu, procesa uzraudzību, žurnālu pārvaldību un daudz ko citu.
Rubīna kods veido primāro konfigurācijas failu, kas atrodas /etc/firezone/firezone.rb. Restartējot sudo firezone-ctl reconfigure pēc modifikāciju veikšanas šajā failā, Chef atpazīst izmaiņas un lieto tās pašreizējā operētājsistēmā.
Pilnu konfigurācijas mainīgo sarakstu un to aprakstus skatiet konfigurācijas faila atsaucē.
Firezone instanci var pārvaldīt, izmantojot firezone-ctl komandu, kā parādīts zemāk. Lielākajai daļai apakškomandu ir nepieciešams prefikss ar sudo.
root@demo: ~# firezone-ctl
omnibus-ctl: komanda (apakškomanda)
Vispārējās komandas:
tīrīt
Izdzēsiet *visus* firezone datus un sāciet no nulles.
izveidot-vai-atiestatīt-admin
Atiestata administratora paroli ar e-pasta adresi, kas norādīta pēc noklusējuma ['firezone']['admin_email'], vai izveido jaunu administratoru, ja šī e-pasta adrese nepastāv.
palīdzēt
Izdrukājiet šo palīdzības ziņojumu.
pārkonfigurēt
Pārkonfigurējiet lietojumprogrammu.
atiestatīšanas tīkls
Atiestata nftables, WireGuard interfeisu un maršrutēšanas tabulu atpakaļ uz Firezone noklusējuma iestatījumiem.
parādīt konfigurāciju
Parādiet konfigurāciju, kas tiktu ģenerēta, pārkonfigurējot.
nojaukšanas tīkls
Noņem WireGuard interfeisu un firezone nftables tabulu.
force-cert-renewal
Piespiediet sertifikāta atjaunošanu tagad, pat ja tā derīguma termiņš nav beidzies.
stop-cert-renewal
Noņem cronjob, kas atjauno sertifikātus.
atinstalēt
Iznīciniet visus procesus un atinstalējiet procesa vadītāju (dati tiks saglabāti).
versija
Rādīt pašreizējo Firezone versiju
Pakalpojuma pārvaldības komandas:
graciozs-nogalināt
Mēģiniet graciozi apstāties, pēc tam SIGKILL visu procesa grupu.
hup
Nosūtiet pakalpojumiem HUP.
int
Nosūtiet pakalpojumiem INT.
nogalināt
Nosūtiet pakalpojumiem KILL.
vienreiz
Sāciet pakalpojumus, ja tie nedarbojas. Nepārstartējiet tos, ja tie apstājas.
restart
Apturiet pakalpojumus, ja tie darbojas, un pēc tam sāciet tos vēlreiz.
pakalpojumu saraksts
Uzskaitiet visus pakalpojumus (iespējotie pakalpojumi tiek parādīti ar *.)
sākums
Sāciet pakalpojumus, ja tie nedarbojas, un restartējiet tos, ja tie apstājas.
stāvoklis
Parādiet visu pakalpojumu statusu.
apstāties
Apturiet pakalpojumus un nerestartējiet tos.
aste
Skatieties visu iespējoto pakalpojumu pakalpojumu žurnālus.
termiņš
Nosūtiet pakalpojumiem TERM.
usr1
Nosūtiet pakalpojumiem USR1.
usr2
Nosūtiet pakalpojumiem USR2.
Visas VPN sesijas ir jāpārtrauc pirms Firezone jaunināšanas, kas prasa arī tīmekļa lietotāja interfeisa izslēgšanu. Gadījumā, ja jaunināšanas laikā kaut kas noiet greizi, iesakām apkopei atlicināt stundu.
Lai uzlabotu Firezone, veiciet tālāk norādītās darbības.
Ja rodas kādas problēmas, lūdzu, informējiet mūs līdz plkst iesniedzot atbalsta biļeti.
0.5.0 ir dažas bojātas izmaiņas un konfigurācijas modifikācijas, kas ir jārisina. Uzziniet vairāk zemāk.
Sākot ar versiju 0.5.0, Nginx vairs neatbalsta piespiedu SSL un ne-SSL porta parametrus. Tā kā Firezone ir nepieciešams SSL, lai darbotos, mēs iesakām noņemt Nginx pakalpojuma komplektu, iestatot noklusējuma ['firezone']['nginx']['enabled'] = false un tā vietā novirzot apgriezto starpniekserveri uz Phoenix lietotni portā 13000 (pēc noklusējuma). ).
0.5.0 ievieš ACME protokola atbalstu SSL sertifikātu automātiskai atjaunošanai ar komplektā iekļauto Nginx pakalpojumu. Lai iespējotu,
Firezone 0.5.0 vairs nav iespējams pievienot noteikumus ar dublētiem galamērķiem. Mūsu migrācijas skripts automātiski atpazīs šīs situācijas jaunināšanas laikā uz 0.5.0 un saglabās tikai tās kārtulas, kuru galamērķī ir ietverta cita kārtula. Jums nekas nav jādara, ja viss ir kārtībā.
Pretējā gadījumā pirms jaunināšanas iesakām mainīt kārtulu kopu, lai izvairītos no šādām situācijām.
Firezone 0.5.0 noņem atbalstu vecā stila Okta un Google SSO konfigurācijai par labu jaunajai, elastīgākai uz OIDC balstītai konfigurācijai.
Ja jums ir kāda konfigurācija ar noklusējuma ['firezone']['autentifikācija']['okta'] vai noklusējuma ['firezone']['autentifikācija']['google'] atslēgām, jums tās ir jāmigrē uz mūsu OIDC. - balstīta konfigurācija, izmantojot tālāk sniegto ceļvedi.
Esošā Google OAuth konfigurācija
No konfigurācijas faila, kas atrodas vietnē /etc/firezone/firezone.rb, noņemiet šīs rindas, kurās ir ietvertas vecās Google OAuth konfigurācijas.
noklusējuma ['firezone']['autentifikācija']['google']['iespējots']
noklusējuma ['firezone']['autentifikācija']['google']['klienta_id']
noklusējuma ['firezone']['autentifikācija']['google']['client_secret']
noklusējuma ['firezone']['autentifikācija']['google']['redirect_uri']
Pēc tam konfigurējiet Google kā OIDC nodrošinātāju, izpildot šeit norādītās procedūras.
(Sniedziet saites norādījumus)<<<<<<<<<<<<<<<<
Konfigurēt esošo Google OAuth
Noņemiet šīs rindas, kurās ir vecās Okta OAuth konfigurācijas, no konfigurācijas faila, kas atrodas vietnē /etc/firezone/firezone.rb
noklusējuma ['firezone']['autentifikācija']['okta']['iespējots']
noklusējuma ['firezone']['autentifikācija']['okta']['klienta_id']
noklusējuma ['firezone']['autentifikācija']['okta']['client_secret']
Noklusējums ['firezone']['autentifikācija']['okta']['vietne']
Pēc tam konfigurējiet Okta kā OIDC nodrošinātāju, izpildot šeit norādītās procedūras.
Atkarībā no pašreizējās iestatīšanas un versijas ievērojiet tālāk sniegtos norādījumus.
Ja jums jau ir OIDC integrācija:
Dažiem OIDC nodrošinātājiem, jauninot uz >= 0.3.16, ir jāiegūst bezsaistes piekļuves tvēruma atsvaidzināšanas pilnvara. To darot, tiek nodrošināts, ka Firezone atjaunina identitātes nodrošinātāju un VPN savienojums tiek izslēgts pēc lietotāja dzēšanas. Firezone iepriekšējām iterācijām šīs funkcijas trūka. Dažos gadījumos lietotāji, kas ir izdzēsti no jūsu identitātes nodrošinātāja, joprojām var būt savienoti ar VPN.
Jūsu OIDC konfigurācijas tvēruma parametrā ir jāiekļauj bezsaistes piekļuve OIDC nodrošinātājiem, kas atbalsta bezsaistes piekļuves tvērumu. Firezone-ctl pārkonfigurēšana ir jāizpilda, lai piemērotu izmaiņas Firezone konfigurācijas failā, kas atrodas /etc/firezone/firezone.rb.
Ja Firezone varēs veiksmīgi izgūt atsvaidzināšanas pilnvaru, lietotājiem, kurus ir autentificējis jūsu OIDC nodrošinātājs, tīmekļa lietotāja interfeisa lietotāja informācijas lapā būs redzams virsraksts OIDC savienojumi.
Ja tas nedarbojas, jums būs jāizdzēš esošā OAuth lietotne un jāatkārto OIDC iestatīšanas darbības, lai izveidot jaunu lietotņu integrāciju .
Man ir OAuth integrācija
Pirms versijas 0.3.11 Firezone izmantoja iepriekš konfigurētus OAuth2 nodrošinātājus.
Izpildiet norādījumus šeit migrēt uz OIDC.
Es neesmu integrējis identitātes nodrošinātāju
Darbība nav nepieciešama.
Jūs varat sekot norādījumiem šeit lai iespējotu SSO, izmantojot OIDC nodrošinātāju.
Tā vietā noklusējuma ['firezone']['ārējais url'] ir aizstājis konfigurācijas opciju default['firezone']['fqdn'].
Iestatiet to uz sava Firezone tiešsaistes portāla URL, kas ir pieejams plašai sabiedrībai. Ja tas nebūs definēts, tas pēc noklusējuma būs https:// un jūsu servera FQDN.
Konfigurācijas fails atrodas /etc/firezone/firezone.rb. Pilnu konfigurācijas mainīgo sarakstu un to aprakstus skatiet konfigurācijas faila atsaucē.
Firezone vairs nesaglabā ierīces privātās atslēgas Firezone serverī no versijas 0.3.0.
Firezone Web UI neļaus atkārtoti lejupielādēt vai skatīt šīs konfigurācijas, taču visām esošajām ierīcēm jāturpina darboties, kā tas ir.
Ja veicat jaunināšanu no Firezone 0.1.x, ir dažas konfigurācijas faila izmaiņas, kas jārisina manuāli.
Lai veiktu nepieciešamās izmaiņas failā /etc/firezone/firezone.rb, palaidiet tālāk norādītās komandas kā root.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl pārkonfigurēt
restartējiet firezone-ctl
Firezone žurnālu pārbaude ir gudrs pirmais solis, lai novērstu visas iespējamās problēmas.
Palaidiet sudo firezone-ctl asti, lai skatītu Firezone žurnālus.
Lielāko daļu Firezone savienojamības problēmu rada nesaderīgi iptables vai nftables noteikumi. Jums ir jāpārliecinās, ka jūsu spēkā esošie noteikumi nav pretrunā Firezone noteikumiem.
Pārliecinieties, vai FORWARD ķēde ļauj nosūtīt paketes no jūsu WireGuard klientiem uz vietām, kuras vēlaties izlaist caur Firezone, ja jūsu interneta savienojums pasliktinās katru reizi, kad aktivizējat savu WireGuard tuneli.
To var panākt, ja izmantojat ufw, nodrošinot, ka noklusējuma maršrutēšanas politika ir atļauta:
ubuntu@fz: ~$ sudo ufw noklusējuma atļaut maršrutēt
Noklusējuma maršrutēšanas politika ir mainīta uz “atļaut”
(noteikti attiecīgi atjauniniet savus noteikumus)
A ufw tipiska Firezone servera statuss varētu izskatīties šādi:
ubuntu@fz:~$ sudo ufw statuss, detalizēts
Statuss: aktīvs
Pieteikšanās: ieslēgts (zems)
Noklusējums: liegt (ienākošie), atļaut (izejošie), atļaut (maršrutēt)
Jauni profili: izlaist
Uz darbību No
—----
22/tcp ATĻAUTI jebkur
80/tcp ATĻAUTI jebkur
443/tcp ATĻAUJIET jebkurā vietā
51820/udp ATĻAUJIET jebkurā vietā
22/tcp (v6) ATĻAUT jebkurā vietā (v6)
80/tcp (v6) ATĻAUT jebkurā vietā (v6)
443/tcp (v6) ATĻAUJIET jebkurā vietā (v6)
51820/udp (v6) ATĻAUJIET jebkurā vietā (v6)
Mēs iesakām ierobežot piekļuvi tīmekļa saskarnei īpaši jutīgām un misijai kritiskām ražošanas izvietošanām, kā paskaidrots tālāk.
Serviss | Noklusējuma ports | Klausieties Adrese | Apraksts |
Nginx | 80, 443 | visi | Publisks HTTP(S) ports Firezone administrēšanai un autentifikācijas atvieglošanai. |
Stiepļu sargs | 51820 | visi | Publiskais WireGuard ports, ko izmanto VPN sesijām. (UDP) |
postgresql | 15432 | 127.0.0.1 | Tikai lokāls ports, kas tiek izmantots komplektētajam Postgresql serverim. |
Fēnikss | 13000 | 127.0.0.1 | Tikai lokālajam portam, ko izmanto augšējais eliksīra lietotņu serveris. |
Mēs iesakām padomāt par piekļuves ierobežošanu Firezone publiski pieejamajam tīmekļa lietotāja interfeisam (pēc noklusējuma porti 443/tcp un 80/tcp) un tā vietā izmantot WireGuard tuneli, lai pārvaldītu Firezone ražošanai un publiskai izvietošanai, kur būs atbildīgs viens administrators. ierīču konfigurāciju izveide un izplatīšana galalietotājiem.
Piemēram, ja administrators izveidoja ierīces konfigurāciju un izveidoja tuneli ar vietējo WireGuard adresi 10.3.2.2, tālāk norādītā ufw konfigurācija ļaus administratoram piekļūt Firezone tīmekļa lietotāja saskarnei servera wg-firezone saskarnē, izmantojot noklusējuma 10.3.2.1. tuneļa adrese:
root@demo:~# ufw statuss detalizēts
Statuss: aktīvs
Pieteikšanās: ieslēgts (zems)
Noklusējums: liegt (ienākošie), atļaut (izejošie), atļaut (maršrutēt)
Jauni profili: izlaist
Uz darbību No
—----
22/tcp ATĻAUTI jebkur
51820/udp ATĻAUJIET jebkurā vietā
Visur ATĻAUJIET 10.3.2.2
22/tcp (v6) ATĻAUT jebkurā vietā (v6)
51820/udp (v6) ATĻAUJIET jebkurā vietā (v6)
Tas atstātu tikai 22/tcp nodrošināta SSH piekļuvei, lai pārvaldītu serveri (neobligāti) un 51820/udp atklāti, lai izveidotu WireGuard tuneļus.
Firezone apvieno Postgresql serveri un saskaņošanu psql utilīta, ko var izmantot no vietējā čaula, piemēram:
/opt/firezone/embedded/bin/psql \
-U ugunszona \
-d firezone \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
Tas var būt noderīgi atkļūdošanas nolūkos.
Kopīgie uzdevumi:
Visu lietotāju saraksts:
/opt/firezone/embedded/bin/psql \
-U ugunszona \
-d firezone \
-h localhost \
-p 15432 \
-c "SELECT * FROM lietotājiem;"
Visu ierīču saraksts:
/opt/firezone/embedded/bin/psql \
-U ugunszona \
-d firezone \
-h localhost \
-p 15432 \
-c "ATLASĪT * NO ierīcēm;"
Mainiet lietotāja lomu:
Iestatiet lomu uz "admin" vai "nepriviliģēts":
/opt/firezone/embedded/bin/psql \
-U ugunszona \
-d firezone \
-h localhost \
-p 15432 \
-c “ATJAUNINĀT lietotājus SET role = 'admin' WHERE email = 'user@example.com';”
Datu bāzes dublēšana:
Turklāt ir iekļauta pg dump programma, ko var izmantot, lai regulāri izveidotu datu bāzes dublējumus. Izpildiet šo kodu, lai izmestu datu bāzes kopiju parastajā SQL vaicājuma formātā (aizstāt /path/to/backup.sql ar vietu, kur jāizveido SQL fails):
/opt/firezone/embedded/bin/pg_dump \
-U ugunszona \
-d firezone \
-h localhost \
-p 15432 > /ceļš/uz/backup.sql
Kad Firezone ir veiksmīgi izvietots, jums ir jāpievieno lietotāji, lai nodrošinātu viņiem piekļuvi jūsu tīklam. Šim nolūkam tiek izmantota tīmekļa saskarne.
Sadaļā /lietotāji atlasot pogu “Pievienot lietotāju”, varat pievienot lietotāju. Jums būs jānorāda lietotājam e-pasta adrese un parole. Lai lietotājiem jūsu organizācijā nodrošinātu piekļuvi automātiski, Firezone var arī saskarties un sinhronizēt ar identitātes nodrošinātāju. Sīkāka informācija ir pieejama Autentificēšana. < Pievienojiet saiti autentifikācijai
Mēs iesakām pieprasīt lietotājiem izveidot savas ierīces konfigurācijas, lai privātā atslēga būtu redzama tikai viņiem. Lietotāji var ģenerēt savas ierīces konfigurācijas, izpildot norādījumus Klienta instrukcijas lappuse.
Visas lietotāja ierīču konfigurācijas var izveidot Firezone administratori. Lai to paveiktu, lietotāja profila lapā, kas atrodas /lietotāji, atlasiet opciju “Pievienot ierīci”.
[Ievietot ekrānuzņēmumu]
Pēc ierīces profila izveides varat nosūtīt lietotājam e-pasta ziņojumu ar WireGuard konfigurācijas failu.
Lietotāji un ierīces ir saistītas. Papildinformāciju par to, kā pievienot lietotāju, skatiet sadaļā Pievienot lietotājus.
Izmantojot kodola tīkla filtru sistēmu, Firezone nodrošina izejas filtrēšanas iespējas, lai norādītu DROP vai ACCEPT paketes. Visa satiksme parasti ir atļauta.
IPv4 un IPv6 CIDR un IP adreses tiek atbalstītas, izmantojot attiecīgi atļauju sarakstu un aizliegumu sarakstu. Varat izvēlēties kārtulu attiecināt uz lietotāju, to pievienojot, un tas attiecas uz visām šī lietotāja ierīcēm.
Instalējiet un konfigurējiet
Lai izveidotu VPN savienojumu, izmantojot vietējo WireGuard klientu, skatiet šo rokasgrāmatu.
Oficiālie WireGuard klienti, kas atrodas šeit, ir saderīgi ar Firezone:
Apmeklējiet oficiālo WireGuard vietni https://www.wireguard.com/install/ OS sistēmām, kas nav minētas iepriekš.
Jūsu Firezone administrators vai jūs varat ģenerēt ierīces konfigurācijas failu, izmantojot Firezone portālu.
Apmeklējiet vietrādi URL, ko ir norādījis Firezone administrators, lai pašam ģenerētu ierīces konfigurācijas failu. Jūsu uzņēmumam šim nolūkam būs unikāls URL; šajā gadījumā tas ir https://instance-id.yourfirezone.com.
Piesakieties Firezone Okta SSO
[Ievietot ekrānuzņēmumu]
Importējiet .conf failu WireGuard klientā, atverot to. Pārvēršot slēdzi Aktivizēt, varat sākt VPN sesiju.
[Ievietot ekrānuzņēmumu]
Izpildiet tālāk sniegtos norādījumus, ja jūsu tīkla administrators ir noteicis atkārtotu autentifikāciju, lai jūsu VPN savienojums būtu aktīvs.
Tev vajag:
Firezone portāla URL: jautājiet savam tīkla administratoram par savienojumu.
Jūsu tīkla administratoram vajadzētu būt iespējai piedāvāt jūsu pieteikumvārdu un paroli. Firezone vietne liks jums pieteikties, izmantojot vienotās pierakstīšanās pakalpojumu, ko izmanto jūsu darba devējs (piemēram, Google vai Okta).
[Ievietot ekrānuzņēmumu]
Dodieties uz Firezone portāla URL un piesakieties, izmantojot tīkla administratora sniegtos akreditācijas datus. Ja esat jau pierakstījies, pirms atkārtotas pierakstīšanās noklikšķiniet uz pogas Atkārtoti autentificēt.
[Ievietot ekrānuzņēmumu]
[Ievietot ekrānuzņēmumu]
Lai importētu WireGuard konfigurācijas profilu, izmantojot Network Manager CLI Linux ierīcēs, izpildiet šos norādījumus (nmcli).
Ja profilam ir iespējots IPv6 atbalsts, mēģinājums importēt konfigurācijas failu, izmantojot tīkla pārvaldnieka GUI, var neizdoties ar šādu kļūdu:
ipv6.method: metode “auto” netiek atbalstīta WireGuard
Ir nepieciešams instalēt WireGuard userspace utilītas. Šī būs pakotne ar nosaukumu wireguard vai wireguard-tools Linux izplatīšanai.
Ubuntu/Debian:
sudo apt install wireguard
Lai izmantotu Fedora:
sudo dnf instalējiet wireguard-tools
Arch Linux:
sudo pacman -S wireguard-tools
Apmeklējiet oficiālo WireGuard vietni https://www.wireguard.com/install/, lai iegūtu izplatīšanas veidus, kas nav minēti iepriekš.
Izmantojot Firezone portālu, ierīces konfigurācijas failu var ģenerēt jūsu Firezone administrators vai pašģenerētāja persona.
Apmeklējiet vietrādi URL, ko ir norādījis Firezone administrators, lai pašam ģenerētu ierīces konfigurācijas failu. Jūsu uzņēmumam šim nolūkam būs unikāls URL; šajā gadījumā tas ir https://instance-id.yourfirezone.com.
[Ievietot ekrānuzņēmumu]
Importējiet piegādāto konfigurācijas failu, izmantojot nmcli:
sudo nmcli savienojuma importēšanas veids Wireguard fails /path/to/configuration.conf
Konfigurācijas faila nosaukums atbildīs WireGuard savienojumam/interfeisam. Pēc importēšanas savienojumu var pārdēvēt, ja nepieciešams:
nmcli savienojums modificēt [vecais nosaukums] savienojums.id [jaunais nosaukums]
Izmantojot komandrindu, izveidojiet savienojumu ar VPN šādi:
nmcli savienojuma izveide [vpn nosaukums]
Lai atvienotu:
nmcli savienojums pārtraukts [vpn nosaukums]
Piemērojamo tīkla pārvaldnieka sīklietotni var izmantot arī, lai pārvaldītu savienojumu, ja tiek izmantots GUI.
Automātiskā savienojuma opcijai atlasot “jā”, VPN savienojumu var konfigurēt, lai izveidotu savienojumu automātiski:
nmcli savienojums modificēt [vpn nosaukums] savienojumu. <<<<<<<<<<<<<<<<<<<<<<
automātiskais savienojums jā
Lai atspējotu automātisko savienojumu, iestatiet to atpakaļ uz nē:
nmcli savienojums modificēt [vpn nosaukums] savienojumu.
automātiskais savienojums Nr
Lai aktivizētu MFA Dodieties uz Firezone portāla /lietotāja konta/reģistra mfa lapu. Izmantojiet savu autentifikācijas lietotni, lai skenētu QR kodu pēc tā ģenerēšanas, pēc tam ievadiet sešciparu kodu.
Sazinieties ar savu administratoru, lai atiestatītu konta piekļuves informāciju, ja esat nepareizi ievietojis autentifikācijas lietotni.
Šī apmācība palīdzēs jums izveidot WireGuard dalītās tunelēšanas funkciju ar Firezone, lai caur VPN serveri tiktu pārsūtīta tikai trafika uz noteiktiem IP diapazoniem.
IP diapazoni, kuriem klients maršrutēs tīkla trafiku, ir norādīti laukā Atļautie IP, kas atrodas lapā /settings/default. Izmaiņas šajā laukā ietekmēs tikai Firezone radītās jaunizveidotās WireGuard tuneļa konfigurācijas.
[Ievietot ekrānuzņēmumu]
Noklusējuma vērtība ir 0.0.0.0/0, ::/0, kas novirza visu tīkla trafiku no klienta uz VPN serveri.
Vērtību piemēri šajā laukā ir:
0.0.0.0/0, ::/0 – visa tīkla trafika tiks novirzīta uz VPN serveri.
192.0.2.3/32 — uz VPN serveri tiks novirzīts tikai trafiks uz vienu IP adresi.
3.5.140.0/22 — uz VPN serveri tiks novirzīta tikai trafika uz IP adresēm diapazonā 3.5.140.1–3.5.143.254. Šajā piemērā tika izmantots CIDR diapazons ap-northeast-2 AWS reģionam.
Firezone vispirms atlasa izejas saskarni, kas saistīta ar visprecīzāko maršrutu, nosakot, kur maršrutēt paketi.
Lietotājiem ir jāreģenerē konfigurācijas faili un jāpievieno tie savam vietējam WireGuard klientam, lai atjauninātu esošās lietotāja ierīces ar jauno dalītā tuneļa konfigurāciju.
Norādījumus skatiet pievienot ierīci. <<<<<<<<<<< Pievienot saiti
Šajā rokasgrāmatā tiks parādīts, kā savienot divas ierīces, izmantojot Firezone kā releju. Viens tipisks lietošanas gadījums ir ļaut administratoram piekļūt serverim, konteineram vai iekārtai, kas ir aizsargāta ar NAT vai ugunsmūri.
Šajā ilustrācijā ir parādīts vienkāršs scenārijs, kurā ierīces A un B būvē tuneli.
[Ievietot firezone arhitektūras attēlu]
Sāciet, izveidojot ierīci A un ierīci B, dodoties uz /users/[lietotāja_id]/jaunā_ierīce. Katras ierīces iestatījumos pārliecinieties, vai tālāk norādītie parametri ir iestatīti uz tālāk norādītajām vērtībām. Ierīces iestatījumus var iestatīt, veidojot ierīces konfigurāciju (skatiet Ierīču pievienošana). Ja jums ir jāatjaunina iestatījumi esošajā ierīcē, varat to izdarīt, ģenerējot jaunu ierīces konfigurāciju.
Ņemiet vērā, ka visām ierīcēm ir /settings/defaults lapa, kurā var konfigurēt PersistentKeepalive.
Atļautie IP = 10.3.2.2/32
Šis ir ierīces B IP vai IP diapazons
PersistentKeepalive = 25
Ja ierīce atrodas aiz NAT, tas nodrošina, ka ierīce spēj uzturēt tuneli un turpināt saņemt paketes no WireGuard interfeisa. Parasti pietiek ar vērtību 25, taču, iespējams, šī vērtība ir jāsamazina atkarībā no vides.
Atļautie IP = 10.3.2.3/32
Šis ir ierīces A IP vai IP diapazons
PersistentKeepalive = 25
Šajā piemērā parādīta situācija, kurā ierīce A var sazināties ar ierīcēm B līdz D abos virzienos. Šī iestatīšana var attēlot inženieri vai administratoru, kurš piekļūst daudziem resursiem (serveriem, konteineriem vai iekārtām) dažādos tīklos.
[Arhitektūras diagramma]<<<<<<<<<<<<<<<<<<<<<<<
Pārliecinieties, vai katras ierīces iestatījumos ir veikti tālāk norādītie iestatījumi, kas atbilst attiecīgajām vērtībām. Veidojot ierīces konfigurāciju, varat norādīt ierīces iestatījumus (skatiet Ierīču pievienošana). Ja ir jāatjaunina esošās ierīces iestatījumi, var izveidot jaunu ierīces konfigurāciju.
Atļautās IP = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Šis ir ierīču B–D IP. Ierīču B–D IP ir jāiekļauj jebkurā IP diapazonā, kuru izvēlaties iestatīt.
PersistentKeepalive = 25
Tas garantē, ka ierīce var uzturēt tuneli un turpināt saņemt paketes no WireGuard interfeisa pat tad, ja tā ir aizsargāta ar NAT. Vairumā gadījumu vērtība 25 ir pietiekama, tomēr atkarībā no apkārtējās vides, iespējams, jums būs jāsamazina šis skaitlis.
Lai piedāvātu vienu statisku izejas IP visai jūsu komandas trafika izplūdei, Firezone var izmantot kā NAT vārteju. Šīs situācijas ir saistītas ar tā biežu lietošanu:
Konsultāciju uzdevumi: pieprasiet, lai jūsu klients baltajā sarakstā iekļauj vienu statisku IP adresi, nevis katra darbinieka unikālo ierīces IP.
Starpniekservera izmantošana vai avota IP maskēšana drošības vai privātuma nolūkos.
Šajā ziņojumā tiks parādīts vienkāršs piemērs, kā ierobežot piekļuvi pašam mitinātai tīmekļa lietojumprogrammai ar vienu baltajā sarakstā iekļautu statisku IP, kurā darbojas Firezone. Šajā ilustrācijā Firezone un aizsargātais resurss atrodas dažādās VPC zonās.
Šis risinājums bieži tiek izmantots IP baltā saraksta pārvaldības vietā daudziem galalietotājiem, kas var būt laikietilpīgs, jo piekļuves saraksts tiek paplašināts.
Mūsu mērķis ir iestatīt Firezone serveri EC2 instancē, lai novirzītu VPN trafiku uz ierobežoto resursu. Šajā gadījumā Firezone darbojas kā tīkla starpniekserveris vai NAT vārteja, lai katrai pievienotajai ierīcei piešķirtu unikālu publiskās izejas IP.
Šajā gadījumā EC2 instancē ar nosaukumu tc2.micro ir instalēta Firezone instance. Lai iegūtu informāciju par Firezone izvietošanu, skatiet izvietošanas rokasgrāmatu. Saistībā ar AWS pārliecinieties, ka:
Firezone EC2 instances drošības grupa atļauj izejošo trafiku uz aizsargātā resursa IP adresi.
Firezone instancei ir elastīgs IP. Datplūsmai, kas tiek pārsūtīta caur Firezone instanci uz ārējiem galamērķiem, šī būs avota IP adrese. Attiecīgā IP adrese ir 52.202.88.54.
[Ievietot ekrānuzņēmumu]<<<<<<<<<<<<<<<<<<<<<<<<
Šajā gadījumā kā aizsargātais resurss ir pašmitināta tīmekļa lietojumprogramma. Tīmekļa lietotnei var piekļūt tikai ar pieprasījumiem no IP adreses 52.202.88.54. Atkarībā no resursa var būt nepieciešams atļaut ienākošo trafiku dažādās ostās un satiksmes veidos. Šajā rokasgrāmatā tas nav apskatīts.
[Ievietot ekrānuzņēmumu]<<<<<<<<<<<<<<<<<<<<<<<<
Lūdzu, pastāstiet trešajai pusei, kas ir atbildīga par aizsargāto resursu, ka ir jāatļauj datplūsma no statiskā IP, kas definēts 1. darbībā (šajā gadījumā — 52.202.88.54).
Pēc noklusējuma visa lietotāja trafika tiks veikta caur VPN serveri un nāk no statiskā IP, kas tika konfigurēts 1. darbībā (šajā gadījumā 52.202.88.54). Tomēr, ja ir iespējota dalītā tunelēšana, var būt nepieciešami iestatījumi, lai pārliecinātos, ka aizsargātā resursa galamērķa IP ir norādīta atļauto IP sarakstā.
Tālāk ir parādīts pilns pieejamo konfigurācijas opciju saraksts /etc/firezone/firezone.rb.
izvēle | Detalizēta informācija: | noklusējuma vērtība |
noklusējuma ['firezone']['external_url'] | URL, ko izmanto, lai piekļūtu šīs Firezone instances tīmekļa portālam. | “https://#{node['fqdn'] || mezgls['hostname']}” |
noklusējuma ['firezone']['config_directory'] | Firezone konfigurācijas augstākā līmeņa direktorijs. | /etc/firezone' |
noklusējuma ['firezone']['install_directory'] | Augstākā līmeņa direktorijs, kurā instalēt Firezone. | /opt/firezone' |
noklusējuma ['firezone']['app_directory'] | Augstākā līmeņa direktorijs Firezone tīmekļa lietojumprogrammas instalēšanai. | “#{node['firezone']['install_directory']}/embedded/service/firezone” |
noklusējuma ['firezone']['log_directory'] | Firezone žurnālu augstākā līmeņa direktorijs. | /var/log/firezone' |
noklusējuma ['firezone']['var_directory'] | Firezone izpildlaika failu augstākā līmeņa direktorijs. | /var/opt/firezone' |
noklusējuma ['firezone']['lietotājs'] | Nepriviliģēta Linux lietotāja vārds, kuram piederēs lielākā daļa pakalpojumu un failu. | firezone' |
noklusējuma ['firezone']['group'] | Linux grupas nosaukums, kurai piederēs lielākā daļa pakalpojumu un failu. | firezone' |
noklusējuma ['firezone']['admin_email'] | E-pasta adrese sākotnējam Firezone lietotājam. | “firezone@localhost” |
noklusējuma ['firezone']['max_devices_per_user'] | Maksimālais ierīču skaits, kas var būt lietotājam. | 10 |
noklusējuma ['firezone']['allow_unprivileged_device_management'] | Ļauj lietotājiem, kas nav administratori, izveidot un dzēst ierīces. | TRUE |
noklusējuma ['firezone']['allow_unprivileged_device_configuration'] | Ļauj lietotājiem, kas nav administratori, mainīt ierīces konfigurācijas. Ja tas ir atspējots, nepiešķirti lietotāji nevar mainīt visus ierīces laukus, izņemot nosaukumu un aprakstu. | TRUE |
noklusējuma ['firezone']['egress_interface'] | Saskarnes nosaukums, kurā iziet tuneli satiksme. Ja nulle, tiks izmantots noklusējuma maršruta interfeiss. | nulle |
noklusējuma ['firezone']['fips_enabled'] | Iespējot vai atspējot OpenSSL FIP režīmu. | nulle |
noklusējuma ['firezone']['logging']['enabled'] | Iespējojiet vai atspējojiet reģistrēšanu Firezone. Iestatiet uz false, lai pilnībā atspējotu reģistrēšanu. | TRUE |
noklusējuma ['uzņēmums']['nosaukums'] | Nosaukums, ko izmanto šefpavāra “uzņēmuma” pavārgrāmatā. | firezone' |
noklusējuma ['firezone']['install_path'] | Instalējiet ceļu, ko izmanto šefpavāra “uzņēmuma” pavārgrāmata. Ir jāiestata tāds pats kā iepriekš norādītajā instalēšanas_direktorijā. | mezgls ['firezone']['install_directory'] |
noklusējuma ['firezone']['sysvinit_id'] | Identifikators, ko izmanto mapē /etc/inittab. Jābūt unikālai 1–4 rakstzīmju secībai. | SUP' |
noklusējuma ['firezone']['autentifikācija']['lokāls']['iespēts'] | Iespējojiet vai atspējojiet vietējo e-pasta/paroles autentifikāciju. | TRUE |
noklusējuma ['firezone']['autentifikācija']['auto_create_oidc_users'] | Automātiski izveidojiet lietotājus, kuri pirmo reizi pierakstās no OIDC. Atspējot, lai tikai esošie lietotāji varētu pierakstīties, izmantojot OIDC. | TRUE |
noklusējuma ['firezone']['autentifikācija']['disable_vpn_on_oidc_error'] | Atspējojiet lietotāja VPN, ja tiek konstatēta kļūda, mēģinot atsvaidzināt viņa OIDC pilnvaru. | FALSE |
noklusējuma ['firezone']['autentifikācija']['oidc'] | OpenID Connect konfigurācija formātā {“provider” => [config…]} — sk. OpenIDConnect dokumentācija konfigurācijas piemēriem. | {} |
noklusējuma ['firezone']['nginx']['iespējots'] | Iespējojiet vai atspējojiet komplektā iekļauto nginx serveri. | TRUE |
noklusējuma ['firezone']['nginx']['ssl_port'] | HTTPS klausīšanās ports. | 443 |
noklusējuma ['firezone']['nginx']['direktorijs'] | Ar Firezone saistītās nginx virtuālās resursdatora konfigurācijas glabāšanas direktorijs. | “#{node['firezone']['var_directory']}/nginx/etc” |
noklusējuma ['firezone']['nginx']['log_directory'] | Ar Firezone saistīto nginx žurnālfailu glabāšanas direktorijs. | “#{node['firezone']['log_directory']}/nginx” |
noklusējuma ['firezone']['nginx']['log_rotation']['file_maxbytes'] | Faila lielums, kurā jāgriež Nginx žurnālfaili. | 104857600 |
noklusējuma ['firezone']['nginx']['log_rotation']['num_to_keep'] | Firezone nginx žurnālfailu skaits, kas jāsaglabā pirms izmešanas. | 10 |
noklusējuma ['firezone']['nginx']['log_x_forwarded_for'] | Vai reģistrēt Firezone nginx x-forwarded-for galveni. | TRUE |
noklusējuma ['firezone']['nginx']['hsts_header']['enabled'] | TRUE | |
noklusējuma ['firezone']['nginx']['hsts_header']['include_subdomains'] | Iespējot vai atspējot includeSubDomains HSTS galvenē. | TRUE |
noklusējuma ['firezone']['nginx']['hsts_header']['max_age'] | Maksimālais vecums HSTS galvenei. | 31536000 |
noklusējuma ['firezone']['nginx']['redirect_to_canonical'] | Vai novirzīt vietrāžus URL uz iepriekš norādīto kanonisko FQDN | FALSE |
noklusējuma ['firezone']['nginx']['kešatmiņa']['iespējots'] | Iespējojiet vai atspējojiet Firezone nginx kešatmiņu. | FALSE |
noklusējuma ['firezone']['nginx']['kešatmiņa']['direktorijs'] | Firezone nginx kešatmiņas direktorijs. | “#{node['firezone']['var_directory']}/nginx/cache” |
noklusējuma ['firezone']['nginx']['lietotājs'] | Firezone nginx lietotājs. | mezgls ['firezone']['lietotājs'] |
noklusējuma ['firezone']['nginx']['grupa'] | Firezone nginx grupa. | mezgls ['firezone']['group'] |
noklusējuma ['firezone']['nginx']['dir'] | Augstākā līmeņa nginx konfigurācijas direktorijs. | mezgls ['firezone']['nginx']['direktorijs'] |
noklusējuma ['firezone']['nginx']['log_dir'] | Augstākā līmeņa nginx žurnālu direktorijs. | mezgls ['firezone']['nginx']['log_directory'] |
noklusējuma ['firezone']['nginx']['pid'] | Nginx pid faila atrašanās vieta. | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
noklusējuma ['firezone']['nginx']['daemon_disable'] | Atspējojiet nginx dēmonu režīmu, lai mēs varētu to uzraudzīt. | TRUE |
noklusējuma ['firezone']['nginx']['gzip'] | Ieslēdziet vai izslēdziet nginx gzip saspiešanu. | uz |
noklusējuma ['firezone']['nginx']['gzip_static'] | Ieslēdziet vai izslēdziet nginx gzip saspiešanu statiskajiem failiem. | off' |
noklusējuma ['firezone']['nginx']['gzip_http_version'] | HTTP versija, ko izmantot statisku failu apkalpošanai. | 1.0 " |
noklusējuma ['firezone']['nginx']['gzip_comp_level'] | nginx gzip saspiešanas līmenis. | 2 " |
noklusējuma ['firezone']['nginx']['gzip_proxyed'] | Iespējo vai atspējo atbilžu gzipping starpniekservera pieprasījumiem atkarībā no pieprasījuma un atbildes. | jebkurš' |
noklusējuma ['firezone']['nginx']['gzip_vary'] | Iespējo vai atspējo atbildes galvenes “Vary: Accept-Encoding” ievietošanu. | off' |
noklusējuma ['firezone']['nginx']['gzip_buffers'] | Iestata atbildes saspiešanai izmantoto buferu skaitu un lielumu. Ja nulle, tiek izmantots nginx noklusējuma iestatījums. | nulle |
noklusējuma ['firezone']['nginx']['gzip_types'] | MIME veidi, lai iespējotu gzip saspiešanu. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', "application/xml", "application/rss+xml", "application/atom+xml", " text/javascript', 'application/javascript', 'application/json'] |
noklusējuma ['firezone']['nginx']['gzip_min_length'] | Minimālais faila garums, lai iespējotu faila gzip saspiešanu. | 1000 |
noklusējuma ['firezone']['nginx']['gzip_disable'] | Lietotāja aģenta saskaņotājs, lai atspējotu gzip saspiešanu. | MSIE [1-6]\.' |
noklusējuma ['firezone']['nginx']['keepalive'] | Aktivizē kešatmiņu savienojumam ar augšupējiem serveriem. | uz |
noklusējuma ['firezone']['nginx']['keepalive_timeout'] | Taimauts sekundēs, lai uzturētu savienojumu ar augšupējiem serveriem. | 65 |
noklusējuma ['firezone']['nginx']['worker_processes'] | Nginx darbinieku procesu skaits. | mezgls['cpu'] && node['cpu']['kopā'] ? mezgls ['cpu']['kopā']: 1 |
noklusējuma ['firezone']['nginx']['worker_connections'] | Maksimālais vienlaicīgo savienojumu skaits, ko var atvērt darbinieka process. | 1024 |
noklusējuma ['firezone']['nginx']['worker_rlimit_nofile'] | Maina maksimālo atvērto failu skaita ierobežojumu darbinieka procesiem. Izmanto nginx noklusējuma iestatījumu, ja tā vērtība ir nulle. | nulle |
noklusējuma ['firezone']['nginx']['multi_accept'] | Vai darbiniekiem ir jāpieņem viens savienojums vienlaikus vai vairāki. | TRUE |
noklusējuma ['firezone']['nginx']['notikums'] | Norāda savienojuma apstrādes metodi, kas jāizmanto nginx notikumu kontekstā. | epoll' |
noklusējuma ['firezone']['nginx']['server_tokens'] | Iespējo vai atspējo nginx versijas izstarošanu kļūdu lapās un atbildes galvenes laukā “Serveris”. | nulle |
noklusējuma ['firezone']['nginx']['server_names_hash_bucket_size'] | Iestata servera nosaukumu jaucējtabulu segmenta lielumu. | 64 |
noklusējuma ['firezone']['nginx']['sendfile'] | Iespējo vai atspējo nginx faila sendfile() izmantošanu. | uz |
noklusējuma ['firezone']['nginx']['access_log_options'] | Iestata nginx piekļuves žurnāla opcijas. | nulle |
noklusējuma ['firezone']['nginx']['error_log_options'] | Iestata nginx kļūdu žurnāla opcijas. | nulle |
noklusējuma ['firezone']['nginx']['disable_access_log'] | Atspējo nginx piekļuves žurnālu. | FALSE |
noklusējuma ['firezone']['nginx']['types_hash_max_size'] | nginx tipu hash max izmērs. | 2048 |
noklusējuma ['firezone']['nginx']['types_hash_bucket_size'] | nginx tipu hash kausa izmērs. | 64 |
noklusējuma ['firezone']['nginx']['proxy_read_timeout'] | nginx starpniekservera lasīšanas taimauts. Iestatiet uz nulli, lai izmantotu nginx noklusējuma iestatījumu. | nulle |
noklusējuma ['firezone']['nginx']['client_body_buffer_size'] | nginx klienta ķermeņa bufera lielums. Iestatiet uz nulli, lai izmantotu nginx noklusējuma iestatījumu. | nulle |
noklusējuma ['firezone']['nginx']['client_max_body_size'] | nginx klienta maksimālais ķermeņa izmērs. | 250 m |
noklusējuma ['firezone']['nginx']['default']['modules'] | Norādiet papildu nginx moduļus. | [] |
noklusējuma ['firezone']['nginx']['enable_rate_limiting'] | Iespējot vai atspējot nginx ātruma ierobežošanu. | TRUE |
noklusējuma ['firezone']['nginx']['rate_limiting_zone_name'] | Nginx ātruma ierobežošanas zonas nosaukums. | firezone' |
noklusējuma ['firezone']['nginx']['rate_limiting_backoff'] | Nginx ātruma ierobežošanas atkāpšanās. | 10 m |
noklusējuma ['firezone']['nginx']['rate_limit'] | Nginx ātruma ierobežojums. | 10r/s |
noklusējuma ['firezone']['nginx']['ipv6'] | Ļaujiet nginx klausīties HTTP pieprasījumus ne tikai IPv6, bet arī IPv4. | TRUE |
noklusējuma ['firezone']['postgresql']['enabled'] | Iespējot vai atspējot komplektēto Postgresql. Iestatiet uz false un aizpildiet tālāk norādītās datu bāzes opcijas, lai izmantotu savu Postgresql instanci. | TRUE |
noklusējuma ['firezone']['postgresql']['lietotājvārds'] | Postgresql lietotājvārds. | mezgls ['firezone']['lietotājs'] |
noklusējuma ['firezone']['postgresql']['data_direktorijs'] | Postgresql datu direktorijs. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
noklusējuma ['firezone']['postgresql']['log_directory'] | Postgresql žurnāla direktorijs. | “#{node['firezone']['log_directory']}/postgresql” |
noklusējuma ['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql žurnālfaila maksimālais lielums pirms tā pagriešanas. | 104857600 |
noklusējuma ['firezone']['postgresql']['log_rotation']['num_to_keep'] | Saglabājamo Postgresql žurnālfailu skaits. | 10 |
noklusējuma ['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql kontrolpunkta pabeigšanas mērķis. | 0.5 |
noklusējuma ['firezone']['postgresql']['checkpoint_segments'] | Postgresql kontrolpunktu segmentu skaits. | 3 |
noklusējuma ['firezone']['postgresql']['checkpoint_timeout'] | Postgresql kontrolpunkta taimauts. | 5 min' |
noklusējuma ['firezone']['postgresql']['checkpoint_warning'] | Postgresql kontrolpunkta brīdinājuma laiks sekundēs. | 30. gadi |
noklusējuma ['firezone']['postgresql']['effective_cache_size'] | Postgresql efektīvais kešatmiņas lielums. | 128 MB" |
noklusējuma ['firezone']['postgresql']['klausīšanās_adrese'] | Postgresql klausīšanās adrese. | 127.0.0.1 " |
noklusējuma ['firezone']['postgresql']['max_connections'] | Postgresql max savienojumi. | 350 |
noklusējuma ['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR, lai atļautu md5 autentifikāciju. | ['127.0.0.1/32', '::1/128'] |
noklusējuma ['firezone']['postgresql']['ports'] | Postgresql klausīšanās ports. | 15432 |
noklusējuma ['firezone']['postgresql']['shared_buffers'] | Postgresql koplietoto buferu lielums. | “#{(mezgls['atmiņa']['kopā'].to_i / 4) / 1024}MB” |
noklusējuma ['firezone']['postgresql']['shmmax'] | Postgresql shmmax baitos. | 17179869184 |
noklusējuma ['firezone']['postgresql']['shmal'] | Postgresql shmall baitos. | 4194304 |
noklusējuma ['firezone']['postgresql']['work_mem'] | Postgresql darba atmiņas lielums. | 8 MB" |
noklusējuma ['firezone']['datubase']['user'] | Norāda lietotājvārdu, ko Firezone izmantos, lai izveidotu savienojumu ar DB. | mezgls ['firezone']['postgresql']['lietotājvārds'] |
noklusējuma ['firezone']['datubase']['password'] | Ja izmantojat ārēju DB, norāda paroli, ko Firezone izmantos, lai izveidotu savienojumu ar DB. | Izmaini mani' |
noklusējuma ['firezone']['datubāze']['nosaukums'] | Datu bāze, ko Firezone izmantos. Tiks izveidots, ja tas neeksistē. | firezone' |
noklusējuma ['firezone']['datubase']['host'] | Datu bāzes resursdators, ar kuru Firezone izveidos savienojumu. | mezgls ['firezone']['postgresql']['klausīšanās_adrese'] |
noklusējuma ['firezone']['datubase']['port'] | Datu bāzes ports, ar kuru Firezone izveidos savienojumu. | mezgls ['firezone']['postgresql']['ports'] |
noklusējuma ['firezone']['datubase']['pool'] | Datu bāzes pūla lielums Firezone izmantos. | [10, Utt.nprocesori].maks |
noklusējuma ['firezone']['datubāze']['ssl'] | Vai izveidot savienojumu ar datu bāzi, izmantojot SSL. | FALSE |
noklusējuma ['firezone']['datubase']['ssl_opts'] | {} | |
noklusējuma ['firezone']['datubase']['parameters'] | {} | |
noklusējuma ['firezone']['datubase']['extensions'] | Datu bāzes paplašinājumi, kas jāiespējo. | { 'plpgsql' => true, 'pg_trgm' => true } |
noklusējuma ['firezone']['fēnikss']['iespējots'] | Iespējojiet vai atspējojiet Firezone tīmekļa lietojumprogrammu. | TRUE |
noklusējuma ['firezone']['fēnikss']['klausīšanās_adrese'] | Firezone tīmekļa lietojumprogrammas klausīšanās adrese. Šī būs augšupējā klausīšanās adrese, ko izmanto nginx starpniekserveri. | 127.0.0.1 " |
noklusējuma ['firezone']['phoenix']['port'] | Firezone tīmekļa lietojumprogrammu klausīšanās ports. Šis būs augšējais ports, ko izmanto nginx starpniekserveri. | 13000 |
noklusējuma ['firezone']['phoenix']['log_directory'] | Firezone tīmekļa lietojumprogrammu žurnālu direktorijs. | “#{node['firezone']['log_directory']}/phoenix” |
noklusējuma ['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone tīmekļa lietojumprogrammas žurnālfaila lielums. | 104857600 |
noklusējuma ['firezone']['phoenix']['log_rotation']['num_to_keep'] | Saglabājamo Firezone tīmekļa lietojumprogrammu žurnālfailu skaits. | 10 |
noklusējuma ['firezone']['phoenix']['crash_detection']['enabled'] | Iespējojiet vai atspējojiet Firezone tīmekļa lietojumprogrammas lejupielādi, kad tiek konstatēta avārija. | TRUE |
noklusējuma ['firezone']['phoenix']['external_trusted_proxyes'] | Uzticamo reverso starpniekserveru saraksts, kas formatēts kā IP un/vai CIDR masīvs. | [] |
noklusējuma ['firezone']['fēnikss']['private_clients'] | Privātā tīkla HTTP klientu saraksts, kas formatēts kā IP un/vai CIDR masīvs. | [] |
noklusējuma ['firezone']['wireguard']['enabled'] | Iespējojiet vai atspējojiet WireGuard komplektēto pārvaldību. | TRUE |
noklusējuma ['firezone']['wireguard']['log_directory'] | Žurnāla direktorijs kompleksai WireGuard pārvaldībai. | “#{node['firezone']['log_directory']}/wireguard” |
noklusējuma ['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard žurnālfaila maksimālais lielums. | 104857600 |
noklusējuma ['firezone']['wireguard']['log_rotation']['num_to_keep'] | Saglabājamo WireGuard žurnālfailu skaits. | 10 |
noklusējuma ['firezone']['wireguard']['interfeisa_nosaukums'] | WireGuard interfeisa nosaukums. Šī parametra maiņa var izraisīt īslaicīgu VPN savienojuma zudumu. | wg-firezone' |
noklusējuma ['firezone']['wireguard']['port'] | WireGuard klausīšanās ports. | 51820 |
noklusējuma ['firezone']['wireguard']['mtu'] | WireGuard interfeiss MTU šim serverim un ierīču konfigurācijām. | 1280 |
noklusējuma ['firezone']['wireguard']['endpoint'] | WireGuard galapunkts, ko izmantot ierīču konfigurāciju ģenerēšanai. Ja nulle, pēc noklusējuma tiek izmantota servera publiskā IP adrese. | nulle |
noklusējuma ['firezone']['wireguard']['dns'] | WireGuard DNS, ko izmantot ģenerētajām ierīču konfigurācijām. | 1.1.1.1, 1.0.0.1′ |
noklusējuma ['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs, ko izmantot ģenerētajām ierīču konfigurācijām. | 0.0.0.0/0, ::/0′ |
noklusējuma ['firezone']['wireguard']['persistent_keepalive'] | Noklusējuma PersistentKeepalive iestatījums ģenerētajām ierīču konfigurācijām. Vērtība 0 atspējo. | 0 |
noklusējuma ['firezone']['wireguard']['ipv4']['iespējots'] | Iespējojiet vai atspējojiet IPv4 WireGuard tīklam. | TRUE |
noklusējuma ['firezone']['wireguard']['ipv4']['masquerade'] | Iespējot vai atspējot maskēšanu paketēm, kas atstāj IPv4 tuneli. | TRUE |
noklusējuma ['firezone']['wireguard']['ipv4']['tīkls'] | WireGuard tīkla IPv4 adrešu kopums. | 10.3.2.0 / 24 ′ |
noklusējuma ['firezone']['wireguard']['ipv4']['adrese'] | WireGuard interfeisa IPv4 adrese. Jābūt WireGuard adrešu pūlā. | 10.3.2.1 " |
noklusējuma ['firezone']['wireguard']['ipv6']['iespējots'] | Iespējojiet vai atspējojiet IPv6 WireGuard tīklam. | TRUE |
noklusējuma ['firezone']['wireguard']['ipv6']['masquerade'] | Iespējot vai atspējot maskēšanu paketēm, kas atstāj IPv6 tuneli. | TRUE |
noklusējuma ['firezone']['wireguard']['ipv6']['tīkls'] | WireGuard tīkla IPv6 adrešu kopums. | fd00::3:2:0/120′ |
noklusējuma ['firezone']['wireguard']['ipv6']['adrese'] | WireGuard interfeisa IPv6 adrese. Jābūt IPv6 adrešu pūlā. | fd00::3:2:1′ |
noklusējuma ['firezone']['runit']['svlogd_bin'] | Runit svlogd bin atrašanās vieta. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
noklusējuma ['firezone']['ssl']['direktorijs'] | SSL direktorijs ģenerēto sertifikātu glabāšanai. | /var/opt/firezone/ssl' |
noklusējuma ['firezone']['ssl']['email_address'] | E-pasta adrese, ko izmantot pašparakstītiem sertifikātiem un ACME protokola atjaunošanas paziņojumiem. | tu@example.com' |
noklusējuma ['firezone']['ssl']['acme']['enabled'] | Iespējot ACME automātiskai SSL sertifikātu nodrošināšanai. Atspējojiet šo, lai neļautu Nginx klausīties portā 80. Skat šeit lai iegūtu vairāk instrukciju. | FALSE |
noklusējuma ['firezone']['ssl']['acme']['serveris'] | letsencrypt | |
noklusējuma ['firezone']['ssl']['acme']['keylength'] | Norādiet SSL sertifikātu atslēgas veidu un garumu. Skat šeit | ec-256 |
noklusējuma ['firezone']['ssl']['certificate'] | Ceļš uz jūsu FQDN sertifikāta failu. Ignorē iepriekš minēto ACME iestatījumu, ja norādīts. Ja gan ACME, gan šī vērtība ir nulle, tiks ģenerēts pašparakstīts sertifikāts. | nulle |
noklusējuma ['firezone']['ssl']['certificate_key'] | Ceļš uz sertifikāta failu. | nulle |
noklusējuma ['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nulle |
noklusējuma ['firezone']['ssl']['country_name'] | Pašparakstīta sertifikāta valsts nosaukums. | ASV |
noklusējuma ['firezone']['ssl']['state_name'] | Pašparakstīta sertifikāta nosaukums. | CA ' |
noklusējuma ['firezone']['ssl']['locality_name'] | Pašparakstīta sertifikāta apgabala nosaukums. | Sanfrancisko' |
noklusējuma ['firezone']['ssl']['company_name'] | Uzņēmuma nosaukuma pašparakstīts sertifikāts. | Mans uzņēmums' |
noklusējuma ['firezone']['ssl']['organizational_unit_name'] | Pašparakstīta sertifikāta organizācijas vienības nosaukums. | operācijas |
noklusējuma ['firezone']['ssl']['ciphers'] | SSL šifri nginx lietošanai. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
noklusējuma ['firezone']['ssl']['fips_ciphers'] | SSL šifri FIP režīmam. | FIPS@STRENGTH:!aNULL:!eNULL' |
noklusējuma ['firezone']['ssl']['protocols'] | Izmantojamie TLS protokoli. | TLSv1 TLSv1.1 TLSv1.2′ |
noklusējuma ['firezone']['ssl']['session_cache'] | SSL sesijas kešatmiņa. | koplietots:SSL:4m' |
noklusējuma ['firezone']['ssl']['session_timeout'] | SSL sesijas taimauts. | 5 m |
noklusējuma ['firezone']['robots_allow'] | nginx roboti atļauj. | /' |
noklusējuma ['firezone']['robots_disallow'] | nginx roboti neatļauj. | nulle |
noklusējuma ['firezone']['outbound_email']['from'] | Izejošais e-pasts no adreses. | nulle |
noklusējuma ['firezone']['outbound_email']['provider'] | Izejošā e-pasta pakalpojumu sniedzējs. | nulle |
noklusējuma ['firezone']['outbound_email']['configs'] | Izejošā e-pasta pakalpojumu sniedzēja konfigurācijas. | skatiet omnibus/cookbooks/firezone/attributes/default.rb |
noklusējuma ['firezone']['telemetrija']['iespējots'] | Iespējot vai atspējot anonimizētu produktu telemetriju. | TRUE |
noklusējuma ['firezone']['connectivity_checks']['enabled'] | Iespējojiet vai atspējojiet Firezone savienojamības pārbaudes pakalpojumu. | TRUE |
noklusējuma ['firezone']['connectivity_checks']['interval'] | Intervāls starp savienojamības pārbaudēm sekundēs. | 3_600 |
________________________________________________________________
Šeit atradīsit ar tipisku Firezone instalāciju saistīto failu un direktoriju sarakstu. Tās var mainīties atkarībā no izmaiņām jūsu konfigurācijas failā.
taka | Detalizēta informācija: |
/var/opt/firezone | Augstākā līmeņa direktorijs, kurā ir dati un ģenerēta konfigurācija Firezone komplektētajiem pakalpojumiem. |
/opt/firezone | Augstākā līmeņa direktorijs, kurā ir iebūvētas bibliotēkas, binārie faili un izpildlaika faili, kas nepieciešami Firezone. |
/usr/bin/firezone-ctl | Firezone-ctl utilīta Firezone instalācijas pārvaldībai. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd vienības fails Firezone runsvdir pārraudzības procesa palaišanai. |
/etc/firezone | Firezone konfigurācijas faili. |
__________________________________________________________
Šī lapa dokumentos bija tukša
_____________________________________________________________
Tālāk norādīto nftables ugunsmūra veidni var izmantot, lai aizsargātu serveri, kurā darbojas Firezone. Veidnē ir daži pieņēmumi; jums var būt nepieciešams pielāgot noteikumus, lai tie atbilstu jūsu lietošanas gadījumam:
Firezone konfigurē savus nftables noteikumus, lai atļautu/noraidīt trafiku uz tīmekļa saskarnē konfigurētiem galamērķiem un apstrādātu izejošo NAT klienta trafikam.
Lietojot tālāk norādīto ugunsmūra veidni jau strādājošā serverī (nevis sāknēšanas laikā), Firezone noteikumi tiks notīrīti. Tas var ietekmēt drošību.
Lai to novērstu, restartējiet phoenix pakalpojumu:
firezone-ctl restartējiet phoenix
#!/usr/sbin/nft -f
## Notīrīt/izskalot visus esošos noteikumus
skalošanas noteikumu kopums
############################### MAINĪGIE ################## ###############
## Interneta/WAN interfeisa nosaukums
definējiet DEV_WAN = eth0
## WireGuard interfeisa nosaukums
definējiet DEV_WIREGUARD = wg-firezone
## WireGuard klausīšanās ports
definējiet WIREGUARD_PORT = 51820
############################# MAINĪGO BEIGAS ################## ############
# Galvenā inet saimes filtrēšanas tabula
tabula inet filtrs {
# Noteikumi par pārsūtīto trafiku
# Šī ķēde tiek apstrādāta pirms Firezone priekšējās ķēdes
ķēde uz priekšu {
tipa filtrs āķa priekšu prioritātes filtrs – 5; pieņemt politiku
}
# Ievades trafika noteikumi
ķēdes ievade {
tipa filtra āķis ievades prioritātes filtrs; politikas kritums
## Atļaut ienākošo trafiku atpakaļcilpas saskarnei
i ja lo \
pieņemt \
komentēt “Atļaut visu trafiku no atgriezeniskās saites interfeisa”
## Atļaut izveidotos un saistītos savienojumus
ct valsts izveidots, saistīts \
pieņemt \
komentēt “Atļaut izveidotos/saistītos savienojumus”
## Atļaut ienākošo WireGuard trafiku
iif $DEV_WAN udp dport $WIREGUARD_PORT \
skaitītājs \
pieņemt \
komentēt “Atļaut ienākošo WireGuard trafiku”
## Reģistrējiet un nometiet jaunas TCP paketes, kas nav SYN
tcp karogi != sinhronizācijas stāvoklis jauns \
limita likme 100/minūtes pārrāvums 150 paciņas \
žurnāla prefikss “IN — jauns !SYN: “ \
komentēt “Darbības ierobežojumu reģistrēšana jauniem savienojumiem, kuriem nav iestatīts SYN TCP karodziņš”
tcp karogi != sinhronizācijas stāvoklis jauns \
skaitītājs \
piliens \
komentēt “Atmest jaunus savienojumus, kuriem nav iestatīts SYN TCP karodziņš”
## Reģistrējieties un nometiet TCP paketes ar nederīgu fin/syn karodziņu
tcp karodziņi & (fin|syn) == (fin|syn) \
limita likme 100/minūtes pārrāvums 150 paciņas \
žurnāla prefikss “IN — TCP FIN|SIN:” \
komentēt “Likmes ierobežojumu reģistrēšana TCP paketēm ar nederīgu fin/syn karodziņu iestatītu”
tcp karodziņi & (fin|syn) == (fin|syn) \
skaitītājs \
piliens \
komentēt “Nomest TCP paketes ar nederīgu fin/syn karodziņu”
## Reģistrējiet un nometiet TCP paketes ar nederīgu sin/pirmo karodziņu
tcp karogi & (syn|rst) == (syn|rst) \
limita likme 100/minūtes pārrāvums 150 paciņas \
žurnāla prefikss “IN — TCP SYN|RST:” \
komentēt “Darbības ierobežojuma reģistrēšana TCP paketēm ar nederīgu sinhronizācijas/pirmā karoga iestatīšanu”
tcp karogi & (syn|rst) == (syn|rst) \
skaitītājs \
piliens \
komentēt “Nomest TCP paketes ar nederīgu sin/pirmo karogu”
## Reģistrējieties un nometiet nederīgos TCP karogus
tcp karodziņi & (fin|syn|rst|psh|ack|urg) < (fin) \
limita likme 100/minūtes pārrāvums 150 paciņas \
žurnāla prefikss “IN – FIN:” \
komentēt Likmes ierobežojumu reģistrēšana nederīgiem TCP karodziņiem (fin|syn|rst|psh|ack|urg) < (fin)"
tcp karodziņi & (fin|syn|rst|psh|ack|urg) < (fin) \
skaitītājs \
piliens \
komentēt “Nomest TCP paketes ar karodziņiem (fin|syn|rst|psh|ack|urg) < (fin)"
## Reģistrējieties un nometiet nederīgos TCP karogus
tcp karodziņi & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
limita likme 100/minūtes pārrāvums 150 paciņas \
žurnāla prefikss “IN – FIN|PSH|URG:” \
komentēt Likmes ierobežojumu reģistrēšana nederīgiem TCP karodziņiem (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)
tcp karodziņi & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
skaitītājs \
piliens \
komentēt "Nomest TCP paketes ar karodziņiem (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Atmest trafiku ar nederīgu savienojuma stāvokli
ct stāvoklis nederīgs \
limita likme 100/minūtes pārrāvums 150 paciņas \
žurnāla karodziņi visi prefiksi "IN — nederīgs: " \
komentēt “Likmes ierobežojumu reģistrēšana trafika ar nederīgu savienojuma stāvokli”
ct stāvoklis nederīgs \
skaitītājs \
piliens \
komentēt “Atmest trafiku ar nederīgu savienojuma stāvokli”
## Atļaut IPv4 ping/ping atbildes, bet ātruma ierobežojums līdz 2000 PPS
ip protokols icmp icmp tips { echo-reply, echo-request } \
limita likme 2000/sekunde \
skaitītājs \
pieņemt \
komentēt “Atļaut ienākošo IPv4 atbalsi (ping) ierobežota līdz 2000 PPS”
## Atļaut visu pārējo ienākošo IPv4 ICMP
ip protokols icmp \
skaitītājs \
pieņemt \
komentēt “Atļaut visus citus IPv4 ICMP”
## Atļaut IPv6 ping/ping atbildes, bet ātruma ierobežojums līdz 2000 PPS
icmpv6 tips { echo-reply, echo-request } \
limita likme 2000/sekunde \
skaitītājs \
pieņemt \
komentēt “Atļaut ienākošo IPv6 atbalsi (ping) ierobežota līdz 2000 PPS”
## Atļaut visu pārējo ienākošo IPv6 ICMP
meta l4proto { icmpv6 } \
skaitītājs \
pieņemt \
komentēt “Atļaut visus citus IPv6 ICMP”
## Atļaut ienākošos traceroute UDP portus, bet ierobežot līdz 500 PPS
udp dport 33434-33524 \
limita likme 500/sekunde \
skaitītājs \
pieņemt \
komentēt “Atļaut ienākošo UDP traceroute ierobežotu līdz 500 PPS”
## Atļaut ienākošo SSH
tcp dport ssh ct stāvoklis jauns \
skaitītājs \
pieņemt \
komentēt “Atļaut ienākošos SSH savienojumus”
## Atļaut ienākošo HTTP un HTTPS
tcp dport { http, https } ct stāvoklis jauns \
skaitītājs \
pieņemt \
komentēt “Atļaut ienākošos HTTP un HTTPS savienojumus”
## Reģistrējiet jebkuru nepārspējamu trafiku, bet ierobežojiet reģistrēšanas ātrumu līdz 60 ziņojumiem minūtē
## Neatbilstošai datplūsmai tiks piemērota noklusējuma politika
limita likme 60/minūtes pārrāvums 100 paciņas \
žurnāla prefikss "IN — nomest:" \
komentēt “Reģistrēt jebkuru nesaskaņotu trafiku”
## Saskaitiet nepārspējamo trafiku
skaitītājs \
komentēt “Uzskaitīt jebkuru nepārspējamu trafiku”
}
# Izvades trafika noteikumi
ķēdes izvade {
tipa filtra āķa izejas prioritātes filtrs; politikas kritums
## Atļaut izejošo trafiku atpakaļcilpas saskarnei
ak ak \
pieņemt \
komentēt “Atļaut visu trafiku iziet atpakaļcilpas saskarnei”
## Atļaut izveidotos un saistītos savienojumus
ct valsts izveidots, saistīts \
skaitītājs \
pieņemt \
komentēt “Atļaut izveidotos/saistītos savienojumus”
## Atļaujiet izejošo WireGuard trafiku, pirms pārtraucat savienojumus ar sliktu stāvokli
oif $DEV_WAN udp sports $WIREGUARD_PORT \
skaitītājs \
pieņemt \
komentēt “Atļaut WireGuard izejošo trafiku”
## Atmest trafiku ar nederīgu savienojuma stāvokli
ct stāvoklis nederīgs \
limita likme 100/minūtes pārrāvums 150 paciņas \
žurnāla karodziņi visi prefiksi “OUT – Invalid:” \
komentēt “Likmes ierobežojumu reģistrēšana trafika ar nederīgu savienojuma stāvokli”
ct stāvoklis nederīgs \
skaitītājs \
piliens \
komentēt “Atmest trafiku ar nederīgu savienojuma stāvokli”
## Atļaut visus citus izejošos IPv4 ICMP
ip protokols icmp \
skaitītājs \
pieņemt \
komentēt “Atļaut visus IPv4 ICMP veidus”
## Atļaut visus citus izejošos IPv6 ICMP
meta l4proto { icmpv6 } \
skaitītājs \
pieņemt \
komentēt “Atļaut visus IPv6 ICMP veidus”
## Atļaut izejošo traceroute UDP portus, bet ierobežot līdz 500 PPS
udp dport 33434-33524 \
limita likme 500/sekunde \
skaitītājs \
pieņemt \
komentēt “Atļaut izejošo UDP traceroute ierobežotu līdz 500 PPS”
## Atļaut izejošos HTTP un HTTPS savienojumus
tcp dport { http, https } ct stāvoklis jauns \
skaitītājs \
pieņemt \
komentēt “Atļaut izejošos HTTP un HTTPS savienojumus”
## Atļaut izejošo SMTP iesniegšanu
tcp dport iesniegšana ct stāvoklis jauns \
skaitītājs \
pieņemt \
komentēt “Atļaut izejošo SMTP iesniegšanu”
## Atļaut izejošos DNS pieprasījumus
udp dport 53 \
skaitītājs \
pieņemt \
komentēt “Atļaut izejošos UDP DNS pieprasījumus”
tcp dport 53 \
skaitītājs \
pieņemt \
komentēt “Atļaut izejošos TCP DNS pieprasījumus”
## Atļaut izejošos NTP pieprasījumus
udp dport 123 \
skaitītājs \
pieņemt \
komentēt “Atļaut izejošos NTP pieprasījumus”
## Reģistrējiet jebkuru nepārspējamu trafiku, bet ierobežojiet reģistrēšanas ātrumu līdz 60 ziņojumiem minūtē
## Neatbilstošai datplūsmai tiks piemērota noklusējuma politika
limita likme 60/minūtes pārrāvums 100 paciņas \
žurnāla prefikss “ĀRĀ – nomest:” \
komentēt “Reģistrēt jebkuru nesaskaņotu trafiku”
## Saskaitiet nepārspējamo trafiku
skaitītājs \
komentēt “Uzskaitīt jebkuru nepārspējamu trafiku”
}
}
# Galvenā NAT filtrēšanas tabula
tabula inet nat {
# Noteikumi NAT trafika iepriekšējai maršrutēšanai
ķēdes prerouting {
ierakstiet nat hook prerouting priority dstnat; pieņemt politiku
}
# Noteikumi par NAT trafiku pēc maršrutēšanas
# Šī tabula tiek apstrādāta pirms Firezone pēcmaršrutēšanas ķēdes
ķēdes postrouting {
tips nat hook postrouting priority srcnat – 5; pieņemt politiku
}
}
Ugunsmūris ir jāglabā attiecīgajā Linux izplatīšanas vietā, kas darbojas. Debian/Ubuntu gadījumā tas ir /etc/nftables.conf, bet RHEL gadījumā tas ir /etc/sysconfig/nftables.conf.
nftables.service būs jākonfigurē, lai palaistu sāknēšanas laikā (ja vēl nav) iestatīta:
systemctl enable nftables.service
Veicot izmaiņas ugunsmūra veidnē, sintaksi var apstiprināt, izpildot pārbaudes komandu:
nft -f /ceļš/uz/nftables.conf -c
Noteikti pārbaudiet, vai ugunsmūris darbojas, kā paredzēts, jo daži nftable līdzekļi var nebūt pieejami atkarībā no serverī palaistās laidiena.
_______________________________________________________________
Šajā dokumentā ir sniegts pārskats par telemetriju, ko Firezone apkopo no jūsu paša mitinātās instances, un to, kā to atspējot.
Uguns zona paļaujas telemetrijā, lai noteiktu prioritāti mūsu ceļvedim un optimizētu mums pieejamos inženiertehniskos resursus, lai padarītu Firezone labāku ikvienam.
Mūsu apkopotās telemetrijas mērķis ir atbildēt uz šādiem jautājumiem:
Firezone ir trīs galvenās telemetrijas datu vākšanas vietas:
Katrā no šiem trim kontekstiem mēs tveram minimālo datu apjomu, kas nepieciešams, lai atbildētu uz jautājumiem iepriekš minētajā sadaļā.
Administratora e-pasta ziņojumi tiek vākti tikai tad, ja esat skaidri pieteicies produktu atjauninājumiem. Pretējā gadījumā personu identificējoša informācija ir nekad savākti.
Firezone uzglabā telemetriju pašmitinātā PostHog instancē, kas darbojas privātā Kubernetes klasterī un kam var piekļūt tikai Firezone komanda. Šeit ir piemērs telemetrijas notikumam, kas tiek nosūtīts no jūsu Firezone instances uz mūsu telemetrijas serveri:
{
"Id": “0182272d-0b88-0000-d419-7b9a413713f1”,
“laikspiedols”: “2022-07-22T18:30:39.748000+00:00”,
"pasākums": “fz_http_started”,
“atšķirīgs_id”: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"īpašības":{
“$geoip_city_name”: "Ešburna",
“$geoip_continent_code”: “NA”,
“$geoip_continent_name”: "Ziemeļamerika",
“$geoip_country_code”: “ASV”,
“$geoip_country_name”: "Savienotās Valstis",
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
“$geoip_subdivision_1_code”: “VA”,
“$geoip_subdivision_1_name”: "Virdžīnija",
“$geoip_time_zone”: “Amerika/Ņujorka”,
“$ip”: "52.200.241.107",
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”: [
“ĢeoIP (3)”
],
“atšķirīgs_id”: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
“fqdn”: “awsdemo.firezone.dev”,
“kernel_version”: "Linux 5.13.0",
"versija": "0.4.6"
},
“elements_chain”: ""
}
PIEZĪME
Firezone izstrādes komanda paļaujas par produktu analīzi, lai padarītu Firezone labāku ikvienam. Telemetrijas iespējošana ir vienīgais vērtīgākais ieguldījums, ko varat sniegt Firezone attīstībā. Tomēr mēs saprotam, ka dažiem lietotājiem ir augstākas privātuma vai drošības prasības, un mēs vēlētos pilnībā atspējot telemetriju. Ja tas esat jūs, turpiniet lasīt.
Telemetrija ir iespējota pēc noklusējuma. Lai pilnībā atspējotu produkta telemetriju, iestatiet tālāk norādīto konfigurācijas opciju uz false /etc/firezone/firezone.rb un palaidiet sudo firezone-ctl reconfigure, lai uzņemtu izmaiņas.
noklusējuma['uguns zona']["telemetrija"]['iespējots'] = nepatiess
Tādējādi tiks pilnībā atspējota visa produkta telemetrija.
Hailbaiti
9511 Queens Guard Ct.
Laurel, MD 20723
Tālrunis: (732) 771-9995
E-pasts: info@hailbytes.com