Hailbytes VPN με Τεκμηρίωση Firezone Firewall

Ξεκινήστε Τώρα

Βήμα προς βήμα οδηγίες για την ανάπτυξη του Hailbytes VPN με το Firezone GUI παρέχονται εδώ.

Διαχείριση: Η ρύθμιση της παρουσίας διακομιστή σχετίζεται άμεσα με αυτό το τμήμα.

Οδηγοί χρήστη: Χρήσιμα έγγραφα που μπορούν να σας διδάξουν πώς να χρησιμοποιείτε το Firezone και να επιλύετε τυπικά προβλήματα. Μετά την επιτυχή ανάπτυξη του διακομιστή, ανατρέξτε σε αυτήν την ενότητα.

Οδηγοί για κοινές διαμορφώσεις

Split Tunneling: Χρησιμοποιήστε το VPN για να στείλετε κίνηση μόνο σε συγκεκριμένες περιοχές IP.

Λευκή λίστα: Ορίστε τη στατική διεύθυνση IP ενός διακομιστή VPN για να χρησιμοποιήσετε τη λίστα επιτρεπόμενων.

Αντίστροφες σήραγγες: Δημιουργήστε σήραγγες μεταξύ πολλών ομότιμων χρησιμοποιώντας αντίστροφα τούνελ.

Πάρτε Υποστήριξη

Είμαστε στην ευχάριστη θέση να σας βοηθήσουμε εάν χρειάζεστε βοήθεια για την εγκατάσταση, την προσαρμογή ή τη χρήση του Hailbytes VPN.

Πιστοποίηση

Προτού οι χρήστες μπορούν να παράγουν ή να πραγματοποιήσουν λήψη αρχείων διαμόρφωσης συσκευής, το Firezone μπορεί να ρυθμιστεί ώστε να απαιτεί έλεγχο ταυτότητας. Οι χρήστες μπορεί επίσης να χρειαστεί να πραγματοποιούν περιοδικά εκ νέου έλεγχο ταυτότητας για να διατηρήσουν ενεργή τη σύνδεσή τους VPN.

Αν και η προεπιλεγμένη μέθοδος σύνδεσης του Firezone είναι το τοπικό email και ο κωδικός πρόσβασης, μπορεί επίσης να ενσωματωθεί με οποιονδήποτε τυποποιημένο πάροχο ταυτότητας OpenID Connect (OIDC). Οι χρήστες μπορούν πλέον να συνδεθούν στο Firezone χρησιμοποιώντας τα διαπιστευτήρια του παρόχου Okta, Google, Azure AD ή ιδιωτικής ταυτότητας.

Ενσωματώστε έναν γενικό πάροχο OIDC

Οι παράμετροι διαμόρφωσης που απαιτούνται από το Firezone για να επιτρέψει το SSO χρησιμοποιώντας έναν πάροχο OIDC φαίνονται στο παρακάτω παράδειγμα. Στο /etc/firezone/firezone.rb, μπορείτε να βρείτε το αρχείο διαμόρφωσης. Εκτελέστε εκ νέου τη ρύθμιση παραμέτρων του firezone-ctl και επανεκκινήστε το firezone-ctl για να ενημερώσετε την εφαρμογή και να εφαρμόσετε τις αλλαγές.

# Αυτό είναι ένα παράδειγμα που χρησιμοποιεί την Google και την Okta ως πάροχο ταυτότητας SSO.

# Πολλαπλές ρυθμίσεις παραμέτρων OIDC μπορούν να προστεθούν στην ίδια παρουσία Firezone.

# Το Firezone μπορεί να απενεργοποιήσει το VPN ενός χρήστη εάν εντοπιστεί κάποιο σφάλμα κατά την προσπάθεια

# για να ανανεώσετε το access_token τους. Αυτό έχει επαληθευτεί ότι λειτουργεί για τις Google, Okta και

# Azure SSO και χρησιμοποιείται για την αυτόματη αποσύνδεση του VPN ενός χρήστη εάν καταργηθεί

# από τον πάροχο OIDC. Αφήστε αυτό το απενεργοποιημένο εάν ο πάροχος OIDC σας

Το # έχει προβλήματα με την ανανέωση των διακριτικών πρόσβασης καθώς θα μπορούσε να διακόψει απροσδόκητα ένα

# περίοδος σύνδεσης VPN χρήστη.

προεπιλογή['firezone']['authentication']['disable_vpn_on_oidc_error'] = false

προεπιλογή['firezone']['authentication']['oidc'] = {

google: {

discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",

ταυτότητα πελάτη: " "

client_secret: " "

redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,

answer_type: "code",

εύρος: "ανοιχτό προφίλ email",

ετικέτα: "Google"

οκτα: {

discovery_document_uri: "https:// /.well-known/openid-configuration”,

ταυτότητα πελάτη: " "

client_secret: " "

redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,

answer_type: "code",

εύρος: "ανοιχτό προφίλ email offline_access",

Ετικέτα: "Okta"

}

Για την ενσωμάτωση απαιτούνται οι ακόλουθες ρυθμίσεις διαμόρφωσης:

discovery_document_uri: Το URI διαμόρφωσης παρόχου OpenID Connect που επιστρέφει ένα έγγραφο JSON που χρησιμοποιείται για τη δημιουργία επακόλουθων αιτημάτων σε αυτόν τον πάροχο OIDC.
client_id: Το αναγνωριστικό πελάτη της εφαρμογής.
client_secret: Το μυστικό πελάτη της εφαρμογής.
redirect_uri: Καθοδηγεί τον πάροχο OIDC πού να ανακατευθύνει μετά τον έλεγχο ταυτότητας. Αυτό θα πρέπει να είναι το Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (π.χ. https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
answer_type: Ορισμός κωδικοποίησης.
πεδίο εφαρμογής: Πεδίο εφαρμογής OIDC να λάβετε από τον πάροχο OIDC. Αυτό θα πρέπει να ρυθμιστεί σε openid προφίλ email ή openid email profile offline_access ανάλογα με τον πάροχο.
ετικέτα: Το κείμενο της ετικέτας του κουμπιού που εμφανίζεται στην οθόνη σύνδεσής σας στο Firezone.

Όμορφες διευθύνσεις URL

Για κάθε πάροχο OIDC δημιουργείται μια αντίστοιχη όμορφη διεύθυνση URL για ανακατεύθυνση στη διεύθυνση URL σύνδεσης του διαμορφωμένου παρόχου. Για το παράδειγμα διαμόρφωσης OIDC παραπάνω, οι διευθύνσεις URL είναι:

https://instance-id.yourfirezone.com/auth/oidc/google
https://instance-id.yourfirezone.com/auth/oidc/okta

Οδηγίες για τη ρύθμιση του Firezone με δημοφιλείς παρόχους ταυτότητας

Οι πάροχοι που έχουμε τεκμηρίωση για:

Google
ΟΚΤΑ
Azure Active Directory
Onelogin
Τοπικός έλεγχος ταυτότητας

Εάν ο πάροχος ταυτότητάς σας διαθέτει γενική σύνδεση OIDC και δεν αναφέρεται παραπάνω, μεταβείτε στην τεκμηρίωσή του για πληροφορίες σχετικά με τον τρόπο ανάκτησης των απαραίτητων ρυθμίσεων διαμόρφωσης.

Διατηρήστε τακτικό επαναληπτικό έλεγχο ταυτότητας

Η ρύθμιση στις ρυθμίσεις/ασφάλεια μπορεί να αλλάξει για να απαιτείται περιοδικός εκ νέου έλεγχος ταυτότητας. Αυτό μπορεί να χρησιμοποιηθεί για την επιβολή της απαίτησης οι χρήστες να εισέρχονται στο Firezone σε τακτική βάση προκειμένου να συνεχίσουν τη συνεδρία VPN τους.

Η διάρκεια της συνεδρίας μπορεί να ρυθμιστεί ώστε να είναι μεταξύ μίας ώρας και ενενήντα ημερών. Ορίζοντας το σε Ποτέ, μπορείτε να ενεργοποιήσετε τις συνεδρίες VPN ανά πάσα στιγμή. Αυτό είναι το πρότυπο.

Εκ νέου έλεγχος ταυτότητας

Ένας χρήστης πρέπει να τερματίσει τη συνεδρία VPN του και να συνδεθεί στην πύλη Firezone για να ελέγξει εκ νέου μια περίοδο σύνδεσης VPN που έχει λήξει (διεύθυνση URL κατά την ανάπτυξη).

Μπορείτε να ελέγξετε εκ νέου την ταυτότητα της συνεδρίας σας ακολουθώντας τις ακριβείς οδηγίες πελάτη που βρίσκονται εδώ.

Κατάσταση σύνδεσης VPN

Η στήλη του πίνακα "Σύνδεση VPN" της σελίδας Χρήστες εμφανίζει την κατάσταση σύνδεσης ενός χρήστη. Αυτές είναι οι καταστάσεις σύνδεσης:

ΕΝΕΡΓΟΠΟΙΗΜΕΝΟ – Η σύνδεση είναι ενεργοποιημένη.

ΑΠΕΝΕΡΓΟΠΟΙΗΜΕΝΟ – Η σύνδεση απενεργοποιείται από διαχειριστή ή αποτυχία ανανέωσης OIDC.

ΛΗΞΕ – Η σύνδεση είναι απενεργοποιημένη λόγω λήξης ελέγχου ταυτότητας ή ο χρήστης δεν έχει συνδεθεί για πρώτη φορά.

Google

Μέσω της γενικής σύνδεσης OIDC, το Firezone ενεργοποιεί την Ενιαία Σύνδεση (SSO) με Google Workspace και Cloud Identity. Αυτός ο οδηγός θα σας δείξει πώς να λάβετε τις παραμέτρους διαμόρφωσης που αναφέρονται παρακάτω, οι οποίες είναι απαραίτητες για την ενσωμάτωση:

discovery_document_uri: Το URI διαμόρφωσης παρόχου OpenID Connect που επιστρέφει ένα έγγραφο JSON που χρησιμοποιείται για τη δημιουργία επακόλουθων αιτημάτων σε αυτόν τον πάροχο OIDC.
client_id: Το αναγνωριστικό πελάτη της εφαρμογής.
client_secret: Το μυστικό πελάτη της εφαρμογής.
redirect_uri: Καθοδηγεί τον πάροχο OIDC πού να ανακατευθύνει μετά τον έλεγχο ταυτότητας. Αυτό θα πρέπει να είναι το Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (π.χ. https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
answer_type: Ορισμός κωδικοποίησης.
πεδίο εφαρμογής: Πεδίο εφαρμογής OIDC να λάβετε από τον πάροχο OIDC. Αυτό θα πρέπει να ρυθμιστεί σε openid προφίλ email για να παρέχει στο Firezone το email του χρήστη στις επιστρεφόμενες αξιώσεις.
ετικέτα: Το κείμενο της ετικέτας του κουμπιού που εμφανίζεται στην οθόνη σύνδεσής σας στο Firezone.

Λήψη ρυθμίσεων διαμόρφωσης

1. Οθόνη διαμόρφωσης OAuth

Εάν αυτή είναι η πρώτη φορά που δημιουργείτε ένα νέο αναγνωριστικό πελάτη OAuth, θα σας ζητηθεί να διαμορφώσετε μια οθόνη συναίνεσης.

*Επιλέξτε Internal για τύπο χρήστη. Αυτό διασφαλίζει ότι μόνο οι λογαριασμοί που ανήκουν σε χρήστες στον οργανισμό σας στο Google Workspace μπορούν να δημιουργούν διαμορφώσεις συσκευών. ΜΗΝ επιλέξετε Εξωτερικό εκτός εάν θέλετε να επιτρέψετε σε οποιονδήποτε με έγκυρο Λογαριασμό Google να δημιουργήσει ρυθμίσεις παραμέτρων συσκευής.

Στην οθόνη πληροφοριών εφαρμογής:

Όνομα εφαρμογής: Firezone
Λογότυπο εφαρμογής: Λογότυπο Firezone (αποθήκευση συνδέσμου ως).
Αρχική σελίδα εφαρμογής: η διεύθυνση URL της παρουσίας Firezone.
Εξουσιοδοτημένοι τομείς: ο τομέας ανώτατου επιπέδου της παρουσίας Firezone.

2. Δημιουργήστε αναγνωριστικά πελάτη OAuth

Αυτή η ενότητα βασίζεται στην τεκμηρίωση της ίδιας της Google για ρύθμιση του OAuth 2.0.

Επισκεφτείτε την Κονσόλα Google Cloud Σελίδα διαπιστευτηρίων σελίδα, κάντε κλικ στο + Δημιουργία διαπιστευτηρίων και επιλέξτε Αναγνωριστικό πελάτη OAuth.

Στην οθόνη δημιουργίας αναγνωριστικού πελάτη OAuth:

Ορίστε τον Τύπο εφαρμογής σε εφαρμογή Web
Προσθέστε την EXTERNAL_URL του Firezone + /auth/oidc/google/callback/ (π.χ. https://instance-id.yourfirezone.com/auth/oidc/google/callback/) ως καταχώριση στα Εξουσιοδοτημένα URI ανακατεύθυνσης.

Αφού δημιουργήσετε το αναγνωριστικό πελάτη OAuth, θα σας δοθεί ένα Client ID και Client Secret. Αυτά θα χρησιμοποιηθούν μαζί με το URI ανακατεύθυνσης στο επόμενο βήμα.

Ενσωμάτωση Firezone

Αλλαγή /etc/firezone/firezone.rb για να συμπεριλάβετε τις παρακάτω επιλογές:

# Χρήση της Google ως πάροχου ταυτότητας SSO

προεπιλογή['firezone']['authentication']['oidc'] = {

google: {

discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",

ταυτότητα πελάτη: " "

client_secret: " "

redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,

answer_type: "code",

εύρος: "ανοιχτό προφίλ email",

ετικέτα: "Google"

}

Εκτελέστε το firezone-ctl reconfigure και κάντε επανεκκίνηση του firezone-ctl για να ενημερώσετε την εφαρμογή. Θα πρέπει τώρα να δείτε ένα κουμπί Σύνδεση με το Google στη διεύθυνση URL του ριζικού Firezone.

ΟΚΤΑ

Το Firezone χρησιμοποιεί τη γενική υποδοχή OIDC για να διευκολύνει τη Single Sign-On (SSO) με το Okta. Αυτό το σεμινάριο θα σας δείξει πώς να λάβετε τις παραμέτρους διαμόρφωσης που αναφέρονται παρακάτω, οι οποίες είναι απαραίτητες για την ενσωμάτωση:

discovery_document_uri: Το URI διαμόρφωσης παρόχου OpenID Connect που επιστρέφει ένα έγγραφο JSON που χρησιμοποιείται για τη δημιουργία επακόλουθων αιτημάτων σε αυτόν τον πάροχο OIDC.
client_id: Το αναγνωριστικό πελάτη της εφαρμογής.
client_secret: Το μυστικό πελάτη της εφαρμογής.
redirect_uri: Καθοδηγεί τον πάροχο OIDC πού να ανακατευθύνει μετά τον έλεγχο ταυτότητας. Αυτό θα πρέπει να είναι το Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (π.χ. https://instance-id.yourfirezone.com/auth/oidc/okta/callback/).
answer_type: Ορισμός κωδικοποίησης.
πεδίο εφαρμογής: Πεδίο εφαρμογής OIDC να λάβετε από τον πάροχο OIDC. Αυτό θα πρέπει να οριστεί σε openid προφίλ email offline_access για να παρέχει στο Firezone το email του χρήστη στις αξιώσεις που επιστρέφονται.
ετικέτα: Το κείμενο της ετικέτας του κουμπιού που εμφανίζεται στην οθόνη σύνδεσής σας στο Firezone.

Ενσωματώστε την εφαρμογή Okta

Αυτή η ενότητα του οδηγού βασίζεται σε Τα έγγραφα του Okta.

Στην Κονσόλα διαχειριστή, μεταβείτε στις Εφαρμογές > Εφαρμογές και κάντε κλικ στην επιλογή Δημιουργία ενσωμάτωσης εφαρμογών. Ορίστε τη μέθοδο εισόδου σε OICD – OpenID Connect και Τύπος εφαρμογής σε εφαρμογή Web.

Διαμορφώστε αυτές τις ρυθμίσεις:

Όνομα εφαρμογής: Firezone
Λογότυπο εφαρμογής: Λογότυπο Firezone (αποθήκευση συνδέσμου ως).
Τύπος επιχορήγησης: Επιλέξτε το πλαίσιο Ανανέωση διακριτικού. Αυτό διασφαλίζει ότι το Firezone συγχρονίζεται με τον πάροχο ταυτότητας και η πρόσβαση VPN τερματίζεται μόλις αφαιρεθεί ο χρήστης.
URI ανακατεύθυνσης σύνδεσης: Προσθέστε το EXTERNAL_URL του Firezone + /auth/oidc/okta/callback/ (π.χ. https://instance-id.yourfirezone.com/auth/oidc/okta/callback/) ως καταχώριση στα Εξουσιοδοτημένα URI ανακατεύθυνσης .
Εργασίες: Περιορίστε τις ομάδες στις οποίες θέλετε να παρέχετε πρόσβαση στην παρουσία σας στο Firezone.

Μόλις αποθηκευτούν οι ρυθμίσεις, θα σας δοθεί ένα Client ID, Client Secret και Okta Domain. Αυτές οι 3 τιμές θα χρησιμοποιηθούν στο Βήμα 2 για τη διαμόρφωση του Firezone.

Ενσωματώστε το Firezone

Αλλαγή /etc/firezone/firezone.rb για να συμπεριλάβετε τις παρακάτω επιλογές. Τα δικα σου discovery_document_url θα είναι /.γνωστό/openid-configuration επισυνάπτεται στο τέλος του σας okta_domain.

# Χρησιμοποιώντας το Okta ως πάροχο ταυτότητας SSO

προεπιλογή['firezone']['authentication']['oidc'] = {

οκτα: {

discovery_document_uri: "https:// /.well-known/openid-configuration”,

ταυτότητα πελάτη: " "

client_secret: " "

redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,

answer_type: "code",

εύρος: "ανοιχτό προφίλ email offline_access",

Ετικέτα: "Okta"

}

Εκτελέστε το firezone-ctl reconfigure και κάντε επανεκκίνηση του firezone-ctl για να ενημερώσετε την εφαρμογή. Θα πρέπει τώρα να δείτε ένα κουμπί Είσοδος με Okta στη διεύθυνση URL του ριζικού Firezone.

Περιορίστε την πρόσβαση σε ορισμένους χρήστες

Οι χρήστες που έχουν πρόσβαση στην εφαρμογή Firezone μπορούν να περιοριστούν από την Okta. Μεταβείτε στη σελίδα Εργασίες του Firezone App Integration της Κονσόλας διαχειριστή Okta για να το πραγματοποιήσετε.

Azure Active Directory

Μέσω της γενικής υποδοχής OIDC, το Firezone ενεργοποιεί την Ενιαία Σύνδεση (SSO) με το Azure Active Directory. Αυτό το εγχειρίδιο θα σας δείξει πώς να λάβετε τις παραμέτρους διαμόρφωσης που αναφέρονται παρακάτω, οι οποίες είναι απαραίτητες για την ενσωμάτωση:

discovery_document_uri: Το URI διαμόρφωσης παρόχου OpenID Connect που επιστρέφει ένα έγγραφο JSON που χρησιμοποιείται για τη δημιουργία επακόλουθων αιτημάτων σε αυτόν τον πάροχο OIDC.
client_id: Το αναγνωριστικό πελάτη της εφαρμογής.
client_secret: Το μυστικό πελάτη της εφαρμογής.
redirect_uri: Καθοδηγεί τον πάροχο OIDC πού να ανακατευθύνει μετά τον έλεγχο ταυτότητας. Αυτό θα πρέπει να είναι το Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (π.χ. https://instance-id.yourfirezone.com/auth/oidc/azure/callback/).
answer_type: Ορισμός κωδικοποίησης.
πεδίο εφαρμογής: Πεδίο εφαρμογής OIDC να λάβετε από τον πάροχο OIDC. Αυτό θα πρέπει να οριστεί σε openid προφίλ email offline_access για να παρέχει στο Firezone το email του χρήστη στις αξιώσεις που επιστρέφονται.
ετικέτα: Το κείμενο της ετικέτας του κουμπιού που εμφανίζεται στην οθόνη σύνδεσής σας στο Firezone.

Λήψη ρυθμίσεων διαμόρφωσης

Αυτός ο οδηγός προέρχεται από το Έγγραφα καταλόγου Active Directory Azure.

Μεταβείτε στη σελίδα Azure Active Directory της πύλης Azure. Επιλέξτε την επιλογή του μενού Διαχείριση, επιλέξτε Νέα εγγραφή και, στη συνέχεια, εγγραφείτε παρέχοντας τις παρακάτω πληροφορίες:

Όνομα: Firezone
Υποστηριζόμενοι τύποι λογαριασμών: (Μόνο προεπιλεγμένος κατάλογος – Μεμονωμένος μισθωτής)
URI ανακατεύθυνσης: Αυτό θα πρέπει να είναι η ζώνη πυρός σας EXTERNAL_URL + /auth/oidc/azure/callback/ (π.χ. https://instance-id.yourfirezone.com/auth/oidc/azure/callback/). Βεβαιωθείτε ότι έχετε συμπεριλάβει την τελική κάθετο. Αυτή θα είναι η τιμή redirect_uri.

Μετά την εγγραφή, ανοίξτε την προβολή λεπτομερειών της εφαρμογής και αντιγράψτε το Αναγνωριστικό εφαρμογής (πελάτη). Αυτή θα είναι η τιμή client_id. Στη συνέχεια, ανοίξτε το μενού τελικών σημείων για να ανακτήσετε το Έγγραφο μεταδεδομένων OpenID Connect. Αυτή θα είναι η τιμή discovery_document_uri.

Δημιουργήστε ένα νέο μυστικό πελάτη κάνοντας κλικ στην επιλογή Πιστοποιητικά & μυστικά κάτω από το μενού Διαχείριση. Αντιγράψτε το μυστικό του πελάτη. η μυστική τιμή πελάτη θα είναι αυτή.

Τέλος, επιλέξτε το σύνδεσμο δικαιώματα API κάτω από το μενού Διαχείριση, κάντε κλικ Προσθέστε μια άδεια, και επιλέξτε Microsoft Graph. Προσθέστε ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ, OpenID, offline_access και λογαριασμό σας στις απαιτούμενες άδειες.

Ενσωμάτωση Firezone

Αλλαγή /etc/firezone/firezone.rb για να συμπεριλάβετε τις παρακάτω επιλογές:

# Χρήση του Azure Active Directory ως παρόχου ταυτότητας SSO

προεπιλογή['firezone']['authentication']['oidc'] = {

γαλάζιο: {

discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,

ταυτότητα πελάτη: " "

client_secret: " "

redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,

answer_type: "code",

εύρος: "ανοιχτό προφίλ email offline_access",

Ετικέτα: "Azure"

}

Εκτελέστε το firezone-ctl reconfigure και κάντε επανεκκίνηση του firezone-ctl για να ενημερώσετε την εφαρμογή. Θα πρέπει τώρα να δείτε ένα κουμπί Είσοδος με το Azure στη διεύθυνση URL του ριζικού Firezone.

Πώς να: Περιορίστε την πρόσβαση σε ορισμένα μέλη

Το Azure AD επιτρέπει στους διαχειριστές να περιορίζουν την πρόσβαση εφαρμογών σε μια συγκεκριμένη ομάδα χρηστών εντός της εταιρείας σας. Περισσότερες πληροφορίες σχετικά με το πώς να το κάνετε αυτό μπορείτε να βρείτε στην τεκμηρίωση της Microsoft.

Διαχειρίζομαι

Διαμορφώστε
Διαχείριση εγκατάστασης
αναβάθμιση
Αντιμετώπιση προβλημάτων
Ζητήματα ασφάλειας
Εκτέλεση ερωτημάτων SQL

Διαμορφώστε

Το Chef Omnibus χρησιμοποιείται από τη Firezone για τη διαχείριση εργασιών, όπως η συσκευασία αποδέσμευσης, η επίβλεψη διαδικασιών, η διαχείριση αρχείων καταγραφής και πολλά άλλα.

Ο κώδικας Ruby αποτελεί το κύριο αρχείο διαμόρφωσης, το οποίο βρίσκεται στο /etc/firezone/firezone.rb. Η επανεκκίνηση της επαναδιαμόρφωσης του sudo firezone-ctl μετά την πραγματοποίηση τροποποιήσεων σε αυτό το αρχείο κάνει τον Chef να αναγνωρίσει τις αλλαγές και να τις εφαρμόσει στο τρέχον λειτουργικό σύστημα.

Δείτε την αναφορά του αρχείου διαμόρφωσης για μια πλήρη λίστα με τις μεταβλητές διαμόρφωσης και τις περιγραφές τους.

Διαχείριση εγκατάστασης

Μπορείτε να διαχειριστείτε την παρουσία σας Firezone μέσω του firezone-ctl εντολή, όπως φαίνεται παρακάτω. Οι περισσότερες υποεντολές απαιτούν πρόθεμα με sudo.

root@demo:~# firezone-ctl

omnibus-ctl: εντολή (υποεντολή)

Γενικές εντολές:

καθαρίσει

Διαγράψτε *όλα* τα δεδομένα firezone και ξεκινήστε από την αρχή.

δημιουργία-ή-επαναφορά-διαχειριστής

Επαναφέρει τον κωδικό πρόσβασης για τον διαχειριστή με τη διεύθυνση ηλεκτρονικού ταχυδρομείου που έχει καθοριστεί από προεπιλογή['firezone']['admin_email'] ή δημιουργεί έναν νέο διαχειριστή εάν δεν υπάρχει αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου.

βοήθεια

Εκτυπώστε αυτό το μήνυμα βοήθειας.

αναδιαμόρφωση

Ρυθμίστε ξανά τις παραμέτρους της εφαρμογής.

επαναφορά δικτύου

Επαναφέρει τα nftables, τη διεπαφή WireGuard και τον πίνακα δρομολόγησης στις προεπιλογές του Firezone.

show-config

Εμφάνιση της διαμόρφωσης που θα δημιουργηθεί με την επαναδιαμόρφωση.

Teardown-Network

Καταργεί τη διεπαφή WireGuard και τον πίνακα nftables firezone.

αναγκαστική-πιστοποίηση-ανανέωση

Επιβολή ανανέωσης πιστοποιητικού τώρα, ακόμα κι αν δεν έχει λήξει.

διακοπή-πιστοποίηση-ανανέωση

Καταργεί το cronjob που ανανεώνει τα πιστοποιητικά.

απεγκατάσταση

Σκοτώστε όλες τις διεργασίες και απεγκαταστήστε τον επόπτη διαδικασίας (τα δεδομένα θα διατηρηθούν).

εκδοχή

Εμφάνιση της τρέχουσας έκδοσης του Firezone

Εντολές διαχείρισης υπηρεσιών:

χαριτωμένος-σκοτώνει

Προσπαθήστε μια χαριτωμένη διακοπή και, στη συνέχεια, SIGKILL ολόκληρη την ομάδα διαδικασίας.

hup

Στείλτε τις υπηρεσίες ένα HUP.

int

Στείλτε τις υπηρεσίες ένα INT.

σκοτώνουν

Στείλτε στις υπηρεσίες ένα KILL.

μια φορά

Ξεκινήστε τις υπηρεσίες εάν είναι εκτός λειτουργίας. Μην τα επανεκκινήσετε εάν σταματήσουν.

επανεκκίνηση

Διακόψτε τις υπηρεσίες εάν εκτελούνται και μετά ξεκινήστε τις ξανά.

κατάλογος υπηρεσιών

Καταχωρίστε όλες τις υπηρεσίες (οι ενεργοποιημένες υπηρεσίες εμφανίζονται με *.)

Εκκίνηση

Ξεκινήστε τις υπηρεσίες εάν είναι απενεργοποιημένες και επανεκκινήστε τις εάν σταματήσουν.

κατάσταση

Εμφάνιση της κατάστασης όλων των υπηρεσιών.

στάση

Διακόψτε τις υπηρεσίες και μην τις επανεκκινήσετε.

ουρά

Παρακολουθήστε τα αρχεία καταγραφής υπηρεσιών όλων των ενεργοποιημένων υπηρεσιών.

όρος

Στείλτε τις υπηρεσίες ΟΡΟΥΣ.

usr1

Στείλτε τις υπηρεσίες USR1.

usr2

Στείλτε τις υπηρεσίες USR2.

αναβάθμιση

Όλες οι περίοδοι λειτουργίας VPN πρέπει να τερματιστούν πριν από την αναβάθμιση του Firezone, η οποία απαιτεί επίσης τον τερματισμό της διεπαφής χρήστη Web. Σε περίπτωση που κάτι πάει στραβά κατά την αναβάθμιση, σας συμβουλεύουμε να αφιερώσετε μια ώρα για συντήρηση.

Για να βελτιώσετε το Firezone, πραγματοποιήστε τις ακόλουθες ενέργειες:

Αναβαθμίστε το πακέτο firezone χρησιμοποιώντας την εγκατάσταση με μία εντολή: sudo -E bash -c “$(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh)”
Εκτελέστε εκ νέου το firezone-ctl για να λάβετε τις νέες αλλαγές.
Εκτελέστε firezone-ctl restart για επανεκκίνηση των υπηρεσιών.

Εάν προκύψουν προβλήματα, ενημερώστε μας μέχρι υποβολή δελτίου υποστήριξης.

Αναβάθμιση από <0.5.0 σε >=0.5.0

Υπάρχουν μερικές σημαντικές αλλαγές και τροποποιήσεις διαμόρφωσης στο 0.5.0 που πρέπει να αντιμετωπιστούν. Μάθετε περισσότερα παρακάτω.

Τα ομαδικά αιτήματα Nginx non_ssl_port (HTTP) καταργήθηκαν

Το Nginx δεν υποστηρίζει πλέον τις υποχρεωτικές παραμέτρους θύρας SSL και non-SSL από την έκδοση 0.5.0. Επειδή το Firezone χρειάζεται SSL για να λειτουργήσει, σας συμβουλεύουμε να αφαιρέσετε την υπηρεσία Nginx πακέτου ορίζοντας προεπιλογή['firezone']['nginx']['enabled'] = false και κατευθύνοντας τον αντίστροφο διακομιστή μεσολάβησης στην εφαρμογή Phoenix στη θύρα 13000 (από προεπιλογή ).

Υποστήριξη πρωτοκόλλου ACME

Το 0.5.0 εισάγει την υποστήριξη πρωτοκόλλου ACME για αυτόματη ανανέωση πιστοποιητικών SSL με την ομαδοποιημένη υπηρεσία Nginx. Να επιτρέψει,

Βεβαιωθείτε ότι η προεπιλογή ['firezone']['external_url'] περιέχει ένα έγκυρο FQDN που επιλύεται στη δημόσια διεύθυνση IP του διακομιστή σας.
Βεβαιωθείτε ότι η θύρα 80/tcp είναι προσβάσιμη
Ενεργοποιήστε την υποστήριξη πρωτοκόλλου ACME με προεπιλογή['firezone']['ssl']['acme']['enabled'] = true στο αρχείο διαμόρφωσης σας.

Επικαλυπτόμενοι προορισμοί κανόνα εξόδου

Η δυνατότητα προσθήκης κανόνων με διπλότυπους προορισμούς έχει χαθεί στο Firezone 0.5.0. Το σενάριο μετεγκατάστασης θα αναγνωρίσει αυτόματα αυτές τις καταστάσεις κατά τη διάρκεια μιας αναβάθμισης σε 0.5.0 και θα διατηρήσει μόνο τους κανόνες των οποίων ο προορισμός περιλαμβάνει τον άλλο κανόνα. Δεν χρειάζεται να κάνετε τίποτα εάν αυτό είναι εντάξει.

Διαφορετικά, πριν από την αναβάθμιση, σας συμβουλεύουμε να αλλάξετε το σύνολο κανόνων σας για να απαλλαγείτε από αυτές τις καταστάσεις.

Προδιαμόρφωση του Okta και του Google SSO

Το Firezone 0.5.0 καταργεί την υποστήριξη της παλαιού τύπου διαμόρφωσης Okta και Google SSO υπέρ της νέας, πιο ευέλικτης διαμόρφωσης που βασίζεται σε OIDC.

Εάν έχετε οποιαδήποτε διαμόρφωση κάτω από τα προεπιλεγμένα κλειδιά ['firezone']['authentication']['okta'] ή τα προεπιλεγμένα κλειδιά ['firezone']['authentication']['google'], θα πρέπει να τα μετεγκαταστήσετε στο OIDC μας -βασισμένη διαμόρφωση χρησιμοποιώντας τον παρακάτω οδηγό.

Υπάρχουσα διαμόρφωση Google OAuth

Καταργήστε αυτές τις γραμμές που περιέχουν τις παλιές διαμορφώσεις Google OAuth από το αρχείο διαμόρφωσης που βρίσκεται στη διεύθυνση /etc/firezone/firezone.rb

προεπιλογή['firezone']['authentication']['google']['enabled']

προεπιλογή['firezone']['authentication']['google']['client_id']

προεπιλογή['firezone']['authentication']['google']['client_secret']

προεπιλογή['firezone']['authentication']['google']['redirect_uri']

Στη συνέχεια, διαμορφώστε την Google ως πάροχο OIDC ακολουθώντας τις διαδικασίες εδώ.

(Παρέχετε οδηγίες συνδέσμου)<<<<<<<<<<<<<<<<

Διαμόρφωση υπάρχοντος Google OAuth

Καταργήστε αυτές τις γραμμές που περιέχουν τις παλιές ρυθμίσεις παραμέτρων Okta OAuth από το αρχείο διαμόρφωσης που βρίσκεται στη διεύθυνση /etc/firezone/firezone.rb

προεπιλογή['firezone']['authentication']['okta']['enabled']

προεπιλογή['firezone']['authentication']['okta']['client_id']

προεπιλογή['firezone']['authentication']['okta']['client_secret']

Προεπιλογή['firezone']['authentication']['okta']['site']

Στη συνέχεια, διαμορφώστε την Okta ως πάροχο OIDC ακολουθώντας τις διαδικασίες εδώ.

Αναβάθμιση από 0.3.x σε >= 0.3.16

Ανάλογα με την τρέχουσα ρύθμιση και την έκδοση, ακολουθήστε τις παρακάτω οδηγίες:

Εάν έχετε ήδη ενσωμάτωση OIDC:

Για ορισμένους παρόχους OIDC, η αναβάθμιση σε >= 0.3.16 απαιτεί την απόκτηση ενός διακριτικού ανανέωσης για το εύρος πρόσβασης εκτός σύνδεσης. Με αυτόν τον τρόπο, διασφαλίζεται ότι το Firezone ενημερώνεται με τον πάροχο ταυτότητας και ότι η σύνδεση VPN διακόπτεται μετά τη διαγραφή ενός χρήστη. Οι προηγούμενες επαναλήψεις του Firezone δεν είχαν αυτό το χαρακτηριστικό. Σε ορισμένες περιπτώσεις, οι χρήστες που έχουν διαγραφεί από τον πάροχο ταυτότητάς σας ενδέχεται να εξακολουθούν να είναι συνδεδεμένοι σε ένα VPN.

Είναι απαραίτητο να συμπεριλάβετε την πρόσβαση εκτός σύνδεσης στην παράμετρο εμβέλειας της διαμόρφωσης OIDC για παρόχους OIDC που υποστηρίζουν το εύρος πρόσβασης εκτός σύνδεσης. Η επαναδιαμόρφωση του Firezone-ctl πρέπει να εκτελεστεί προκειμένου να εφαρμοστούν αλλαγές στο αρχείο διαμόρφωσης του Firezone, το οποίο βρίσκεται στο /etc/firezone/firezone.rb.

Για χρήστες που έχουν πιστοποιηθεί από τον πάροχο OIDC, θα δείτε την επικεφαλίδα Συνδέσεις OIDC στη σελίδα λεπτομερειών χρήστη της διεπαφής ιστού, εάν το Firezone είναι σε θέση να ανακτήσει με επιτυχία το διακριτικό ανανέωσης.

Εάν αυτό δεν λειτουργήσει, θα πρέπει να διαγράψετε την υπάρχουσα εφαρμογή OAuth και να επαναλάβετε τα βήματα ρύθμισης OIDC για να δημιουργήστε μια νέα ενσωμάτωση εφαρμογών .

Έχω μια υπάρχουσα ενσωμάτωση OAuth

Πριν από την 0.3.11, το Firezone χρησιμοποιούσε προδιαμορφωμένους παρόχους OAuth2.

Ακολουθήστε τις οδηγίες εδώ για μετεγκατάσταση στο OIDC.

Δεν έχω ενσωματώσει πάροχο ταυτότητας

Δεν χρειάζεται καμία ενέργεια.

Μπορείτε να ακολουθήσετε τις οδηγίες εδώ για να ενεργοποιήσετε το SSO μέσω ενός παρόχου OIDC.

Αναβάθμιση από 0.3.1 σε >= 0.3.2

Στη θέση του, η προεπιλογή['firezone']['external url'] αντικατέστησε την προεπιλεγμένη επιλογή διαμόρφωσης['firezone']['fqdn'].

Ρυθμίστε το στη διεύθυνση URL της διαδικτυακής πύλης Firezone που είναι προσβάσιμη στο ευρύ κοινό. Θα είναι από προεπιλογή https:// συν το FQDN του διακομιστή σας, εάν αφεθεί απροσδιόριστο.

Το αρχείο ρυθμίσεων βρίσκεται στο /etc/firezone/firezone.rb. Δείτε την αναφορά του αρχείου διαμόρφωσης για μια πλήρη λίστα με τις μεταβλητές διαμόρφωσης και τις περιγραφές τους.

Αναβάθμιση από 0.2.x σε 0.3.x

Το Firezone δεν διατηρεί πλέον τα ιδιωτικά κλειδιά της συσκευής στον διακομιστή Firezone από την έκδοση 0.3.0.

Η διεπαφή χρήστη Web του Firezone δεν θα σας επιτρέψει να κάνετε εκ νέου λήψη ή να δείτε αυτές τις διαμορφώσεις, αλλά όλες οι υπάρχουσες συσκευές θα πρέπει να συνεχίσουν να λειτουργούν ως έχουν.

Αναβάθμιση από 0.1.x σε 0.2.x

Εάν κάνετε αναβάθμιση από το Firezone 0.1.x, υπάρχουν μερικές αλλαγές στο αρχείο διαμόρφωσης που πρέπει να αντιμετωπιστούν με μη αυτόματο τρόπο.

Για να κάνετε τις απαραίτητες τροποποιήσεις στο αρχείο /etc/firezone/firezone.rb, εκτελέστε τις παρακάτω εντολές ως root.

cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak

sed -i “s/\['enable'\]/\['enabled'\]/" /etc/firezone/firezone.rb

echo "προεπιλογή['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb

echo "default['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb

αναδιαμόρφωση firezone-ctl

firezone-ctl επανεκκίνηση

Αντιμετώπιση προβλημάτων

Ο έλεγχος των αρχείων καταγραφής του Firezone είναι ένα σοφό πρώτο βήμα για τυχόν προβλήματα που μπορεί να προκύψουν.

Εκτελέστε το sudo firezone-ctl tail για να προβάλετε τα αρχεία καταγραφής του Firezone.

Αποσφαλμάτωση ζητημάτων συνδεσιμότητας

Τα περισσότερα προβλήματα συνδεσιμότητας με το Firezone προκαλούνται από μη συμβατούς κανόνες iptables ή nftables. Πρέπει να βεβαιωθείτε ότι τυχόν κανόνες που έχετε σε ισχύ δεν έρχονται σε σύγκρουση με τους κανόνες του Firezone.

Η συνδεσιμότητα στο Διαδίκτυο πέφτει όταν το Tunnel είναι ενεργό

Βεβαιωθείτε ότι η αλυσίδα FORWARD επιτρέπει πακέτα από τους πελάτες σας WireGuard στις τοποθεσίες που θέλετε να επιτρέψετε μέσω του Firezone, εάν η σύνδεσή σας στο Διαδίκτυο επιδεινώνεται κάθε φορά που ενεργοποιείτε τη σήραγγα WireGuard.

Αυτό μπορεί να επιτευχθεί εάν χρησιμοποιείτε το ufw διασφαλίζοντας ότι επιτρέπεται η προεπιλεγμένη πολιτική δρομολόγησης:

ubuntu@fz:~$ sudo ufw προεπιλεγμένη άδεια δρομολόγησης

Η προεπιλεγμένη πολιτική δρομολόγησης άλλαξε σε "να επιτρέπεται"

(φροντίστε να ενημερώσετε τους κανόνες σας ανάλογα)

A ufw η κατάσταση για έναν τυπικό διακομιστή Firezone μπορεί να μοιάζει με αυτό:

ubuntu@fz:~$ sudo ufw κατάσταση περιεκτική

Κατάσταση: ενεργό

Καταγραφή: ενεργή (χαμηλή)

Προεπιλογή: άρνηση (εισερχόμενη), άδεια (εξερχόμενη), άδεια (δρομολόγηση)

Νέα προφίλ: παράβλεψη

Προς Δράση Από

—————

22/tcp ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε

80/tcp ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε

443/tcp ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε

51820/udp ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε

22/tcp (v6) ALOW IN Anywhere (v6)

80/tcp (v6) ALOW IN Anywhere (v6)

443/tcp (v6) ΕΠΙΤΡΕΠΕΤΑΙ IN Anywhere (v6)

51820/udp (v6) ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε (v6)

Ζητήματα ασφάλειας

Συνιστούμε τον περιορισμό της πρόσβασης στη διεπαφή ιστού για εξαιρετικά ευαίσθητες και κρίσιμες για την αποστολή αναπτύξεις παραγωγής, όπως εξηγείται παρακάτω.

Υπηρεσίες & Λιμάνια

Υπηρεσία	Προεπιλεγμένη θύρα	Ακούστε Διεύθυνση	Περιγραφή
nginx	80, 443	όλοι	Δημόσια θύρα HTTP(S) για τη διαχείριση του Firezone και τη διευκόλυνση του ελέγχου ταυτότητας.
Wireguard	51820	όλοι	Δημόσια θύρα WireGuard που χρησιμοποιείται για συνεδρίες VPN. (UDP)
postgresql	15432	127.0.0.1	Τοπική θύρα μόνο που χρησιμοποιείται για ομαδοποιημένο διακομιστή Postgresql.
Φοίνιξ	13000	127.0.0.1	Τοπική θύρα μόνο που χρησιμοποιείται από διακομιστή εφαρμογών ανάντη elixir.

Αναπτύξεις παραγωγής

Σας συμβουλεύουμε να σκεφτείτε να περιορίσετε την πρόσβαση στη διεπαφή ιστού του Firezone που είναι εκτεθειμένη στο κοινό (από προεπιλογή θύρες 443/tcp και 80/tcp) και αντ 'αυτού να χρησιμοποιήσετε τη σήραγγα WireGuard για να διαχειριστείτε το Firezone για την παραγωγή και τις δημόσιες αναπτύξεις όπου θα είναι υπεύθυνος ένας μόνο διαχειριστής δημιουργίας και διανομής διαμορφώσεων συσκευών στους τελικούς χρήστες.

Για παράδειγμα, εάν ένας διαχειριστής δημιούργησε μια διαμόρφωση συσκευής και δημιούργησε μια σήραγγα με την τοπική διεύθυνση WireGuard 10.3.2.2, η ακόλουθη διαμόρφωση ufw θα επέτρεπε στον διαχειριστή να αποκτήσει πρόσβαση στη διεπαφή ιστού Firezone στη διεπαφή wg-firezone του διακομιστή χρησιμοποιώντας την προεπιλεγμένη 10.3.2.1 διεύθυνση σήραγγας:

root@demo:~# ufw κατάσταση περιεκτική

Κατάσταση: ενεργό

Καταγραφή: ενεργή (χαμηλή)

Προεπιλογή: άρνηση (εισερχόμενη), άδεια (εξερχόμενη), άδεια (δρομολόγηση)

Νέα προφίλ: παράβλεψη

Προς Δράση Από

—————

22/tcp ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε

51820/udp ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε

Οπουδήποτε ΕΠΙΤΡΕΠΕΤΑΙ ΣΤΟ 10.3.2.2

22/tcp (v6) ALOW IN Anywhere (v6)

51820/udp (v6) ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε (v6)

Αυτό θα έφευγε μόνο 22/tcp εκτίθενται για πρόσβαση SSH για τη διαχείριση του διακομιστή (προαιρετικό) και 51820/udp εκτίθενται προκειμένου να δημιουργηθούν σήραγγες WireGuard.

Εκτελέστε ερωτήματα SQL

Το Firezone ομαδοποιεί έναν διακομιστή Postgresql και αντιστοίχιση psql βοηθητικό πρόγραμμα που μπορεί να χρησιμοποιηθεί από το τοπικό κέλυφος όπως:

/opt/firezone/embedded/bin/psql \

-U firezone \

-d ζώνη πυρκαγιάς \

-h localhost \

-p 15432 \

-c "SQL_STATEMENT"

Αυτό μπορεί να είναι χρήσιμο για σκοπούς εντοπισμού σφαλμάτων.

Κοινές εργασίες:

Καταχώριση όλων των χρηστών
Καταχώριση όλων των συσκευών
Αλλαγή του ρόλου ενός χρήστη
Δημιουργία αντιγράφων ασφαλείας της βάσης δεδομένων

Καταχώριση όλων των χρηστών:

/opt/firezone/embedded/bin/psql \

-U firezone \

-d ζώνη πυρκαγιάς \

-h localhost \

-p 15432 \

-c "ΕΠΙΛΟΓΗ * ΑΠΟ χρήστες;"

Καταχώριση όλων των συσκευών:

/opt/firezone/embedded/bin/psql \

-U firezone \

-d ζώνη πυρκαγιάς \

-h localhost \

-p 15432 \

-c "ΕΠΙΛΟΓΗ * ΑΠΟ συσκευές;"

Αλλαγή ρόλου χρήστη:

Ορίστε τον ρόλο σε "διαχειριστής" ή "μη προνομιούχος":

/opt/firezone/embedded/bin/psql \

-U firezone \

-d ζώνη πυρκαγιάς \

-h localhost \

-p 15432 \

-c "ΕΝΗΜΕΡΩΣΗ ΡΟΛΩΝ ΣΕΤ χρηστών = 'διαχειριστής' ΟΠΟΥ email = 'user@example.com';"

Δημιουργία αντιγράφων ασφαλείας της βάσης δεδομένων:

Επιπλέον, περιλαμβάνεται το πρόγραμμα pg dump, το οποίο μπορεί να χρησιμοποιηθεί για τη λήψη τακτικών αντιγράφων ασφαλείας της βάσης δεδομένων. Εκτελέστε τον ακόλουθο κώδικα για να αποθέσετε ένα αντίγραφο της βάσης δεδομένων στην κοινή μορφή ερωτήματος SQL (αντικαταστήστε το /path/to/backup.sql με τη θέση όπου πρέπει να δημιουργηθεί το αρχείο SQL):

/opt/firezone/embedded/bin/pg_dump \

-U firezone \

-d ζώνη πυρκαγιάς \

-h localhost \

-p 15432 > /path/to/backup.sql

Οδηγοί χρήστη

Προσθήκη χρηστών
Προσθήκη συσκευών
Κανόνες εξόδου
Οδηγίες πελάτη
Split Tunnel VPN
Αντίστροφη σήραγγα
NAT Gateway

Προσθήκη χρηστών

Μετά την επιτυχή ανάπτυξη του Firezone, πρέπει να προσθέσετε χρήστες για να τους παρέχετε πρόσβαση στο δίκτυό σας. Το περιβάλλον εργασίας Web χρησιμοποιείται για να γίνει αυτό.

Web UI

Επιλέγοντας το κουμπί "Προσθήκη χρήστη" κάτω από το /users, μπορείτε να προσθέσετε έναν χρήστη. Θα σας ζητηθεί να δώσετε στον χρήστη μια διεύθυνση email και έναν κωδικό πρόσβασης. Προκειμένου να επιτρέπεται η αυτόματη πρόσβαση στους χρήστες στον οργανισμό σας, το Firezone μπορεί επίσης να διασυνδέεται και να συγχρονίζεται με έναν πάροχο ταυτότητας. Περισσότερες λεπτομέρειες είναι διαθέσιμες στο Πιστοποιώ την αυθεντικότητα. < Προσθήκη συνδέσμου για Έλεγχος ταυτότητας

Προσθήκη συσκευών

Σας συμβουλεύουμε να ζητήσετε από τους χρήστες να δημιουργήσουν τις δικές τους διαμορφώσεις συσκευών έτσι ώστε το ιδιωτικό κλειδί να είναι ορατό μόνο σε αυτούς. Οι χρήστες μπορούν να δημιουργήσουν τις δικές τους διαμορφώσεις συσκευών ακολουθώντας τις οδηγίες στο Οδηγίες πελάτη σελίδα.

Δημιουργία διαμόρφωσης συσκευής διαχειριστή

Όλες οι διαμορφώσεις συσκευών χρήστη μπορούν να δημιουργηθούν από διαχειριστές Firezone. Στη σελίδα προφίλ χρήστη που βρίσκεται στο /users, επιλέξτε την επιλογή "Προσθήκη συσκευής" για να το πετύχετε.

[Εισαγωγή στιγμιότυπου οθόνης]

Μπορείτε να στείλετε email στον χρήστη το αρχείο διαμόρφωσης WireGuard μετά τη δημιουργία του προφίλ της συσκευής.

Οι χρήστες και οι συσκευές είναι συνδεδεμένοι. Για περισσότερες λεπτομέρειες σχετικά με τον τρόπο προσθήκης ενός χρήστη, βλ Προσθήκη χρηστών.

Κανόνες εξόδου

Μέσω της χρήσης του συστήματος netfilter του πυρήνα, το Firezone επιτρέπει τις δυνατότητες φιλτραρίσματος εξόδου για τον καθορισμό πακέτων DROP ή ACCEPT. Κανονικά επιτρέπεται όλη η κυκλοφορία.

Τα IPv4 και IPv6 CIDR και οι διευθύνσεις IP υποστηρίζονται μέσω της λίστας επιτρεπόμενων και της λίστας άρνησης, αντίστοιχα. Μπορείτε να επιλέξετε την εμβέλεια ενός κανόνα σε έναν χρήστη κατά την προσθήκη του, πράγμα που εφαρμόζει τον κανόνα σε όλες τις συσκευές αυτού του χρήστη.

Οδηγίες πελάτη

Εγκατάσταση και διαμόρφωση

Για να δημιουργήσετε μια σύνδεση VPN χρησιμοποιώντας τον εγγενή πελάτη WireGuard, ανατρέξτε σε αυτόν τον οδηγό.

1. Εγκαταστήστε το εγγενές πρόγραμμα-πελάτη WireGuard

Οι Επίσημοι πελάτες WireGuard που βρίσκονται εδώ είναι συμβατοί με το Firezone:

Επισκεφτείτε τον επίσημο ιστότοπο του WireGuard στη διεύθυνση https://www.wireguard.com/install/ για συστήματα λειτουργικού συστήματος που δεν αναφέρονται παραπάνω.

2. Κάντε λήψη του αρχείου διαμόρφωσης της συσκευής

Είτε ο διαχειριστής του Firezone είτε εσείς μπορείτε να δημιουργήσετε το αρχείο διαμόρφωσης της συσκευής χρησιμοποιώντας την πύλη Firezone.

Επισκεφτείτε τη διεύθυνση URL που έχει παράσχει ο διαχειριστής του Firezone για να δημιουργήσετε μόνοι σας ένα αρχείο διαμόρφωσης συσκευής. Η εταιρεία σας θα έχει μια μοναδική διεύθυνση URL για αυτό. σε αυτήν την περίπτωση, είναι https://instance-id.yourfirezone.com.

Συνδεθείτε στο Firezone Okta SSO

[Εισαγωγή στιγμιότυπου οθόνης]

3. Προσθέστε τη διαμόρφωση του πελάτη

Εισαγάγετε το αρχείο.conf στον πελάτη WireGuard ανοίγοντάς το. Γυρίζοντας το διακόπτη Ενεργοποίηση, μπορείτε να ξεκινήσετε μια περίοδο λειτουργίας VPN.

[Εισαγωγή στιγμιότυπου οθόνης]

Επαναληπτικός έλεγχος ταυτότητας συνεδρίας

Ακολουθήστε τις παρακάτω οδηγίες εάν ο διαχειριστής του δικτύου σας έχει επιβάλει επαναλαμβανόμενο έλεγχο ταυτότητας για να διατηρήσει τη σύνδεσή σας VPN ενεργή.

Χρειάζεστε:

Διεύθυνση URL της πύλης Firezone: Ζητήστε τη σύνδεση από τον διαχειριστή του δικτύου σας.

Ο διαχειριστής του δικτύου σας θα πρέπει να μπορεί να προσφέρει τα στοιχεία σύνδεσης και τον κωδικό πρόσβασής σας. Ο ιστότοπος Firezone θα σας ζητήσει να συνδεθείτε χρησιμοποιώντας την υπηρεσία ενιαίας σύνδεσης που χρησιμοποιεί ο εργοδότης σας (όπως η Google ή η Okta).

1. Απενεργοποιήστε τη σύνδεση VPN

[Εισαγωγή στιγμιότυπου οθόνης]

2. Πραγματοποιήστε ξανά έλεγχο ταυτότητας

Μεταβείτε στη διεύθυνση URL της πύλης Firezone και συνδεθείτε χρησιμοποιώντας τα διαπιστευτήρια που έχει δώσει ο διαχειριστής του δικτύου σας. Εάν είστε ήδη συνδεδεμένοι, κάντε κλικ στο κουμπί Επαναληπτικός έλεγχος προτού συνδεθείτε ξανά.

[Εισαγωγή στιγμιότυπου οθόνης]

Βήμα 3: Εκκινήστε μια περίοδο λειτουργίας VPN

[Εισαγωγή στιγμιότυπου οθόνης]

Διαχείριση δικτύου για Linux

Για να εισαγάγετε το προφίλ διαμόρφωσης WireGuard χρησιμοποιώντας το Network Manager CLI σε συσκευές Linux, ακολουθήστε αυτές τις οδηγίες (nmcli).

ΣΗΜΕΊΩΣΗ

Εάν το προφίλ έχει ενεργοποιημένη την υποστήριξη IPv6, η προσπάθεια εισαγωγής του αρχείου διαμόρφωσης χρησιμοποιώντας το γραφικό περιβάλλον χρήστη του Network Manager ενδέχεται να αποτύχει με το ακόλουθο σφάλμα:

ipv6.method: η μέθοδος "auto" δεν υποστηρίζεται για το WireGuard

1. Εγκαταστήστε τα εργαλεία WireGuard

Είναι απαραίτητο να εγκαταστήσετε τα βοηθητικά προγράμματα χώρου χρηστών WireGuard. Αυτό θα είναι ένα πακέτο που ονομάζεται wireguard ή wireguard-tools για διανομές Linux.

Για Ubuntu/Debian:

sudo apt εγκατάσταση Wireguard

Για να χρησιμοποιήσετε το Fedora:

sudo dnf εγκατάσταση Wireguard-Tools

Arch Linux:

sudo pacman -S wireguard-εργαλεία

Επισκεφτείτε τον επίσημο ιστότοπο του WireGuard στη διεύθυνση https://www.wireguard.com/install/ για διανομές που δεν αναφέρονται παραπάνω.

2. Λήψη διαμόρφωσης

Είτε ο διαχειριστής του Firezone είτε η δική σας παραγωγή μπορεί να δημιουργήσει το αρχείο διαμόρφωσης της συσκευής χρησιμοποιώντας την πύλη Firezone.

[Εισαγωγή στιγμιότυπου οθόνης]

3. Ρυθμίσεις εισαγωγής

Εισαγάγετε το παρεχόμενο αρχείο διαμόρφωσης χρησιμοποιώντας το nmcli:

sudo nmcli σύνδεση τύπου εισαγωγής αρχείο wireguard /path/to/configuration.conf

ΣΗΜΕΊΩΣΗ

Το όνομα του αρχείου διαμόρφωσης θα αντιστοιχεί στη σύνδεση/διεπαφή WireGuard. Μετά την εισαγωγή, η σύνδεση μπορεί να μετονομαστεί εάν είναι απαραίτητο:

nmcli σύνδεση τροποποίηση [παλιό όνομα] σύνδεση.id [νέο όνομα]

4. Συνδέστε ή αποσυνδέστε

Μέσω της γραμμής εντολών, συνδεθείτε στο VPN ως εξής:

Σύνδεση nmcli [όνομα vpn]

Για αποσύνδεση:

σύνδεση nmcli κάτω [όνομα vpn]

Η ισχύουσα μικροεφαρμογή Διαχείρισης Δικτύου μπορεί επίσης να χρησιμοποιηθεί για τη διαχείριση της σύνδεσης εάν χρησιμοποιείτε GUI.

Αυτόματη σύνδεση

Επιλέγοντας "ναι" για την επιλογή αυτόματης σύνδεσης, η σύνδεση VPN μπορεί να διαμορφωθεί ώστε να συνδέεται αυτόματα:

Η σύνδεση nmcli τροποποιεί τη σύνδεση [όνομα vpn]. <<<<<<<<<<<<<<<<<<<<<<<

αυτόματη σύνδεση ναι

Για να απενεργοποιήσετε την αυτόματη σύνδεση, ορίστε την ξανά στο no:

Η σύνδεση nmcli τροποποιεί τη σύνδεση [όνομα vpn].

αυτόματη σύνδεση αρ

Κάντε διαθέσιμο τον έλεγχο ταυτότητας πολλαπλών παραγόντων

Για να ενεργοποιήσετε το MFA Μεταβείτε στη σελίδα /user account/register mfa της πύλης Firezone. Χρησιμοποιήστε την εφαρμογή ελέγχου ταυτότητας για να σαρώσετε τον κωδικό QR μετά τη δημιουργία του και, στη συνέχεια, εισαγάγετε τον εξαψήφιο κωδικό.

Επικοινωνήστε με τον διαχειριστή σας για να επαναφέρετε τις πληροφορίες πρόσβασης του λογαριασμού σας, εάν τοποθετήσετε λάθος την εφαρμογή ελέγχου ταυτότητας.

Split Tunnel VPN

Αυτό το σεμινάριο θα σας καθοδηγήσει στη διαδικασία ρύθμισης της δυνατότητας διαίρεσης σήραγγας του WireGuard με το Firezone, έτσι ώστε μόνο η κίνηση σε συγκεκριμένες περιοχές IP να προωθείται μέσω του διακομιστή VPN.

1. Διαμορφώστε τις επιτρεπόμενες IP

Οι περιοχές IP για τις οποίες ο πελάτης θα δρομολογήσει την κυκλοφορία δικτύου ορίζονται στο πεδίο Επιτρεπόμενες IP που βρίσκεται στη σελίδα /settings/default. Μόνο οι πρόσφατα δημιουργημένες διαμορφώσεις σήραγγας WireGuard που παράγονται από τη Firezone θα επηρεαστούν από αλλαγές σε αυτό το πεδίο.

[Εισαγωγή στιγμιότυπου οθόνης]

Η προεπιλεγμένη τιμή είναι 0.0.0.0/0, ::/0, η οποία δρομολογεί όλη την κίνηση δικτύου από τον πελάτη στον διακομιστή VPN.

Παραδείγματα τιμών σε αυτό το πεδίο περιλαμβάνουν:

0.0.0.0/0, ::/0 – όλη η κίνηση δικτύου θα δρομολογηθεί στον διακομιστή VPN.

192.0.2.3/32 – μόνο η κίνηση σε μία διεύθυνση IP θα δρομολογείται στον διακομιστή VPN.

3.5.140.0/22 – μόνο η κίνηση σε IP της περιοχής 3.5.140.1 – 3.5.143.254 θα δρομολογείται στον διακομιστή VPN. Σε αυτό το παράδειγμα, χρησιμοποιήθηκε το εύρος CIDR για την περιοχή ap-northeast-2 AWS.

ΣΗΜΕΊΩΣΗ

Το Firezone επιλέγει πρώτα τη διεπαφή εξόδου που σχετίζεται με την πιο ακριβή διαδρομή όταν καθορίζει πού θα δρομολογηθεί ένα πακέτο.

2. Αναδημιουργήστε τις διαμορφώσεις του WireGuard

Οι χρήστες πρέπει να αναδημιουργήσουν τα αρχεία διαμόρφωσης και να τα προσθέσουν στο εγγενές πρόγραμμα-πελάτη WireGuard για να ενημερώσουν τις υπάρχουσες συσκευές χρήστη με τη νέα διαμόρφωση διαίρεσης σήραγγας.

Για οδηγίες, δείτε Προσθέστε ΣΥΣΚΕΥΗ. <<<<<<<<<<< Προσθήκη συνδέσμου

Αντίστροφη σήραγγα

Αυτό το εγχειρίδιο θα δείξει πώς να συνδέσετε δύο συσκευές χρησιμοποιώντας το Firezone ως ρελέ. Μια τυπική περίπτωση χρήσης είναι να επιτραπεί σε έναν διαχειριστή να αποκτήσει πρόσβαση σε διακομιστή, κοντέινερ ή μηχανή που προστατεύεται από NAT ή τείχος προστασίας.

Κόμβος σε κόμβο

Αυτή η εικόνα δείχνει ένα απλό σενάριο στο οποίο οι συσκευές Α και Β κατασκευάζουν μια σήραγγα.

[Εισαγωγή αρχιτεκτονικής εικόνας firezone]

Ξεκινήστε δημιουργώντας τη Συσκευή Α και τη Συσκευή Β μεταβαίνοντας στο /users/[user_id]/new_device. Στις ρυθμίσεις για κάθε συσκευή, βεβαιωθείτε ότι οι ακόλουθες παράμετροι έχουν οριστεί στις τιμές που αναφέρονται παρακάτω. Μπορείτε να ορίσετε τις ρυθμίσεις της συσκευής κατά τη δημιουργία της διαμόρφωσης της συσκευής (δείτε Προσθήκη συσκευών). Εάν χρειάζεται να ενημερώσετε τις ρυθμίσεις σε μια υπάρχουσα συσκευή, μπορείτε να το κάνετε δημιουργώντας μια νέα διαμόρφωση συσκευής.

Σημειώστε ότι όλες οι συσκευές έχουν μια σελίδα /settings/defaults όπου μπορεί να διαμορφωθεί το PersistentKeepalive.

Συσκευή Α

AllowedIPs = 10.3.2.2/32

Αυτή είναι η IP ή το εύρος των IP της συσκευής Β

PersistentKeepalive = 25

Εάν η συσκευή βρίσκεται πίσω από ένα NAT, αυτό διασφαλίζει ότι η συσκευή είναι σε θέση να διατηρήσει τη σήραγγα ζωντανή και να συνεχίσει να λαμβάνει πακέτα από τη διεπαφή WireGuard. Συνήθως αρκεί η τιμή 25, αλλά μπορεί να χρειαστεί να μειώσετε αυτήν την τιμή ανάλογα με το περιβάλλον σας.

Β συσκευή

AllowedIPs = 10.3.2.3/32

Αυτή είναι η IP ή το εύρος των IP της Συσκευής Α

PersistentKeepalive = 25

Περίπτωση διαχειριστή - Ένας προς πολλούς κόμβους

Αυτό το παράδειγμα δείχνει μια κατάσταση στην οποία η Συσκευή Α μπορεί να επικοινωνεί με τις Συσκευές Β έως Δ και προς τις δύο κατευθύνσεις. Αυτή η ρύθμιση μπορεί να αντιπροσωπεύει έναν μηχανικό ή έναν διαχειριστή που έχει πρόσβαση σε πολλούς πόρους (διακομιστές, κοντέινερ ή μηχανήματα) σε διάφορα δίκτυα.

[Αρχιτεκτονικό Διάγραμμα]<<<<<<<<<<<<<<<<<<<<<<<<<

Βεβαιωθείτε ότι οι ακόλουθες ρυθμίσεις έχουν γίνει στις ρυθμίσεις κάθε συσκευής στις αντίστοιχες τιμές. Κατά τη δημιουργία της διαμόρφωσης της συσκευής, μπορείτε να καθορίσετε τις ρυθμίσεις της συσκευής (δείτε Προσθήκη συσκευών). Μια νέα διαμόρφωση συσκευής μπορεί να δημιουργηθεί εάν πρέπει να ενημερωθούν οι ρυθμίσεις σε μια υπάρχουσα συσκευή.

Συσκευή Α (Κόμβος διαχειριστή)

Επιτρεπόμενα IP = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32

Αυτή είναι η IP των συσκευών B έως D. Οι IP των συσκευών B έως D πρέπει να περιλαμβάνονται σε οποιοδήποτε εύρος IP που θα επιλέξετε να ορίσετε.

PersistentKeepalive = 25

Αυτό εγγυάται ότι η συσκευή μπορεί να διατηρήσει τη σήραγγα και να συνεχίσει να λαμβάνει πακέτα από τη διεπαφή WireGuard ακόμα κι αν προστατεύεται από NAT. Στις περισσότερες περιπτώσεις, η τιμή 25 είναι επαρκής, ωστόσο, ανάλογα με το περιβάλλον σας, ίσως χρειαστεί να μειώσετε αυτόν τον αριθμό.

Συσκευή Β

AllowedIPs = 10.3.2.2/32: Αυτή είναι η IP ή το εύρος των IP της συσκευής Α
PersistentKeepalive = 25

Συσκευή Γ

AllowedIPs = 10.3.2.2/32: Αυτή είναι η IP ή το εύρος των IP της συσκευής Α
PersistentKeepalive = 25

Συσκευή Δ

AllowedIPs = 10.3.2.2/32: Αυτή είναι η IP ή το εύρος των IP της συσκευής Α
PersistentKeepalive = 25

NAT Gateway

Για να προσφέρετε μια ενιαία, στατική διεύθυνση IP εξόδου από την οποία θα ρέει όλη η κίνηση της ομάδας σας, το Firezone μπορεί να χρησιμοποιηθεί ως πύλη NAT. Αυτές οι καταστάσεις περιλαμβάνουν τη συχνή χρήση του:

Συμβουλευτικές δεσμεύσεις: Ζητήστε από τον πελάτη σας στη λίστα επιτρεπόμενων μιας στατικής διεύθυνσης IP αντί για τη μοναδική IP συσκευής κάθε υπαλλήλου.

Χρήση διακομιστή μεσολάβησης ή απόκρυψη της IP πηγής σας για λόγους ασφαλείας ή απορρήτου.

Σε αυτήν την ανάρτηση θα παρουσιαστεί ένα απλό παράδειγμα περιορισμού της πρόσβασης σε μια αυτο-φιλοξενούμενη εφαρμογή Ιστού σε μια μεμονωμένη στατική IP στη λίστα επιτρεπόμενων που εκτελεί το Firezone. Σε αυτήν την εικόνα, το Firezone και ο προστατευμένος πόρος βρίσκονται σε διαφορετικές περιοχές VPC.

Αυτή η λύση χρησιμοποιείται συχνά αντί της διαχείρισης μιας λευκής λίστας IP για πολλούς τελικούς χρήστες, η οποία μπορεί να είναι χρονοβόρα καθώς επεκτείνεται η λίστα πρόσβασης.

Παράδειγμα AWS

Ο στόχος μας είναι να δημιουργήσουμε έναν διακομιστή Firezone σε μια παρουσία EC2 για να ανακατευθύνει την κυκλοφορία VPN στον περιορισμένο πόρο. Σε αυτήν την περίπτωση, το Firezone χρησιμεύει ως διακομιστής μεσολάβησης δικτύου ή πύλη NAT για να δώσει σε κάθε συνδεδεμένη συσκευή μια μοναδική δημόσια διεύθυνση IP εξόδου.

1. Εγκαταστήστε τον διακομιστή Firezone

Σε αυτήν την περίπτωση, μια παρουσία EC2 με το όνομα tc2.micro έχει εγκατεστημένη μια παρουσία Firezone σε αυτήν. Για πληροφορίες σχετικά με την ανάπτυξη του Firezone, μεταβείτε στον Οδηγό ανάπτυξης. Σε σχέση με το AWS, βεβαιωθείτε ότι:

Η ομάδα ασφαλείας της παρουσίας Firezone EC2 επιτρέπει την εξερχόμενη κυκλοφορία στη διεύθυνση IP του προστατευμένου πόρου.

Το στιγμιότυπο Firezone συνοδεύεται από ελαστική IP. Η επισκεψιμότητα που προωθείται μέσω της παρουσίας του Firezone σε εξωτερικούς προορισμούς θα έχει αυτήν τη διεύθυνση IP πηγής. Η εν λόγω διεύθυνση IP είναι 52.202.88.54.

[Εισαγωγή στιγμιότυπου οθόνης]<<<<<<<<<<<<<<<<<<<<<<<<<

2. Περιορίστε την πρόσβαση στον πόρο που προστατεύεται

Μια αυτο-φιλοξενούμενη εφαρμογή Ιστού χρησιμεύει ως προστατευμένος πόρος σε αυτήν την περίπτωση. Η πρόσβαση στην εφαρμογή Ιστού είναι δυνατή μόνο από αιτήματα που προέρχονται από τη διεύθυνση IP 52.202.88.54. Ανάλογα με τον πόρο, μπορεί να είναι απαραίτητο να επιτραπεί η εισερχόμενη κίνηση σε διάφορες θύρες και τύπους κίνησης. Αυτό δεν καλύπτεται σε αυτό το εγχειρίδιο.

[Εισαγωγή στιγμιότυπου οθόνης]<<<<<<<<<<<<<<<<<<<<<<<<<

Ενημερώστε το τρίτο μέρος που είναι υπεύθυνο για τον προστατευμένο πόρο ότι πρέπει να επιτρέπεται η κυκλοφορία από τη στατική IP που ορίζεται στο Βήμα 1 (σε αυτήν την περίπτωση 52.202.88.54).

3. Χρησιμοποιήστε τον διακομιστή VPN για να κατευθύνετε την κυκλοφορία στον προστατευμένο πόρο

Από προεπιλογή, όλη η κίνηση των χρηστών θα περνά μέσω του διακομιστή VPN και θα προέρχεται από τη στατική IP που διαμορφώθηκε στο Βήμα 1 (σε αυτήν την περίπτωση 52.202.88.54). Ωστόσο, εάν έχει ενεργοποιηθεί η διαίρεση της σήραγγας, ενδέχεται να απαιτούνται ρυθμίσεις για να βεβαιωθείτε ότι η IP προορισμού του προστατευμένου πόρου περιλαμβάνεται στη λίστα των Επιτρεπόμενων IP.

Προσθέστε το κείμενο της επικεφαλίδας εδώ

Παρακάτω εμφανίζεται μια πλήρης λίστα με τις διαθέσιμες επιλογές διαμόρφωσης /etc/firezone/firezone.rb.

επιλογή	περιγραφή	Προεπιλεγμένη τιμή
προεπιλογή['firezone']['external_url']	URL που χρησιμοποιείται για την πρόσβαση στην πύλη ιστού αυτής της παρουσίας Firezone.	"https://#{node['fqdn'] \|\| node['hostname']}”
προεπιλογή['firezone']['config_directory']	Κατάλογος ανώτατου επιπέδου για τη διαμόρφωση του Firezone.	/etc/firezone'
προεπιλογή['firezone']['install_directory']	Κατάλογος ανώτατου επιπέδου για εγκατάσταση του Firezone.	/opt/firezone'
προεπιλογή['firezone']['app_directory']	Κατάλογος ανώτατου επιπέδου για την εγκατάσταση της διαδικτυακής εφαρμογής Firezone.	"#{node['firezone']['install_directory']}/embedded/service/firezone"
προεπιλογή['firezone']['log_directory']	Κατάλογος ανώτατου επιπέδου για αρχεία καταγραφής Firezone.	/var/log/firezone'
προεπιλογή['firezone']['var_directory']	Κατάλογος ανώτατου επιπέδου για αρχεία χρόνου εκτέλεσης Firezone.	/var/opt/firezone'
προεπιλογή['firezone']['χρήστης']	Όνομα μη προνομιούχου χρήστη Linux στον οποίο θα ανήκουν οι περισσότερες υπηρεσίες και αρχεία.	ζώνη πυρκαγιάς'
προεπιλογή['firezone']['group']	Όνομα της ομάδας Linux στην οποία θα ανήκουν οι περισσότερες υπηρεσίες και αρχεία.	ζώνη πυρκαγιάς'
προεπιλογή['firezone']['admin_email']	Διεύθυνση ηλεκτρονικού ταχυδρομείου για τον αρχικό χρήστη Firezone.	“firezone@localhost”
προεπιλογή['firezone']['max_devices_per_user']	Μέγιστος αριθμός συσκευών που μπορεί να έχει ένας χρήστης.	10
προεπιλογή['firezone']['allow_unprivileged_device_management']	Επιτρέπει σε χρήστες που δεν είναι διαχειριστές να δημιουργούν και να διαγράφουν συσκευές.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['allow_unprivileged_device_configuration']	Επιτρέπει σε χρήστες που δεν είναι διαχειριστές να τροποποιούν τις διαμορφώσεις συσκευών. Όταν είναι απενεργοποιημένο, εμποδίζει τους μη προνομιούχους χρήστες να αλλάζουν όλα τα πεδία της συσκευής εκτός από το όνομα και την περιγραφή.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['egress_interface']	Όνομα διεπαφής από όπου θα εξέρχεται η κυκλοφορία με σήραγγα. Αν μηδενιστεί, θα χρησιμοποιηθεί η προεπιλεγμένη διεπαφή διαδρομής.	μηδέν
προεπιλογή['firezone']['fips_enabled']	Ενεργοποιήστε ή απενεργοποιήστε τη λειτουργία OpenSSL FIPs.	μηδέν
προεπιλογή['firezone']['logging']['ενεργοποιημένο']	Ενεργοποίηση ή απενεργοποίηση της καταγραφής στο Firezone. Ορίστε σε false για να απενεργοποιήσετε πλήρως την καταγραφή.	ΑΛΗΘΙΝΗ
προεπιλογή['enterprise']['name']	Όνομα που χρησιμοποιείται από το βιβλίο μαγειρικής του Chef 'enterprise'.	ζώνη πυρκαγιάς'
προεπιλογή['firezone']['install_path']	Διαδρομή εγκατάστασης που χρησιμοποιείται από το βιβλίο μαγειρικής Chef 'enterprise'. Θα πρέπει να οριστεί στο ίδιο με τον install_directory παραπάνω.	κόμβος['firezone']['install_directory']
προεπιλογή['firezone']['sysvinit_id']	Ένα αναγνωριστικό που χρησιμοποιείται στο /etc/inittab. Πρέπει να είναι μια μοναδική ακολουθία 1-4 χαρακτήρων.	ΓΟΥΛΙΑ'
προεπιλογή['firezone']['authentication']['local']['enabled']	Ενεργοποιήστε ή απενεργοποιήστε τον τοπικό έλεγχο ταυτότητας email/κωδικού πρόσβασης.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['authentication']['auto_create_oidc_users']	Δημιουργήστε αυτόματα χρήστες που συνδέονται από το OIDC για πρώτη φορά. Απενεργοποιήστε για να επιτρέπεται μόνο στους υπάρχοντες χρήστες να συνδέονται μέσω OIDC.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['authentication']['disable_vpn_on_oidc_error']	Απενεργοποιήστε το VPN ενός χρήστη εάν εντοπιστεί σφάλμα κατά την ανανέωση του διακριτικού OIDC του.	ΨΕΥΔΗΣ
προεπιλογή['firezone']['authentication']['oidc']	OpenID Connect config, σε μορφή {“provider” => [config…]} – Βλ Τεκμηρίωση OpenIDConnect για παραδείγματα διαμόρφωσης.	{}
προεπιλογή['firezone']['nginx']['ενεργοποιημένο']	Ενεργοποιήστε ή απενεργοποιήστε τον ομαδοποιημένο διακομιστή nginx.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['nginx']['ssl_port']	Θύρα ακρόασης HTTPS.	443
προεπιλογή['firezone']['nginx']['κατάλογος']	Κατάλογος για την αποθήκευση της διαμόρφωσης εικονικού κεντρικού υπολογιστή nginx που σχετίζεται με το Firezone.	"#{node['firezone']['var_directory']}/nginx/etc"
προεπιλογή['firezone']['nginx']['log_directory']	Κατάλογος για την αποθήκευση αρχείων καταγραφής nginx που σχετίζονται με το Firezone.	"#{node['firezone']['log_directory']}/nginx"
προεπιλογή['firezone']['nginx']['log_rotation']['file_maxbytes']	Μέγεθος αρχείου στο οποίο μπορείτε να περιστρέψετε τα αρχεία καταγραφής Nginx.	104857600
προεπιλογή['firezone']['nginx']['log_rotation']['num_to_keep']	Αριθμός αρχείων καταγραφής Firezone nginx που πρέπει να διατηρηθούν πριν από την απόρριψη.	10
προεπιλογή['firezone']['nginx']['log_x_forwarded_for']	Εάν θα καταγραφεί η κεφαλίδα Firezone nginx x-forwarded-for.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['nginx']['hsts_header']['enabled']	Ενεργοποίηση ή απενεργοποίηση HSTS.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['nginx']['hsts_header']['include_subdomains']	Ενεργοποίηση ή απενεργοποίηση του includeSubDomains για την κεφαλίδα HSTS.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['nginx']['hsts_header']['max_age']	Μέγιστη ηλικία για την κεφαλίδα HSTS.	31536000
προεπιλογή['firezone']['nginx']['redirect_to_canonical']	Εάν θα ανακατευθύνονται οι διευθύνσεις URL στο κανονικό FQDN που καθορίζεται παραπάνω	ΨΕΥΔΗΣ
προεπιλογή['firezone']['nginx']['cache']['ενεργοποιημένη']	Ενεργοποιήστε ή απενεργοποιήστε την προσωρινή μνήμη Firezone nginx.	ΨΕΥΔΗΣ
προεπιλογή['firezone']['nginx']['cache']['κατάλογος']	Κατάλογος για την προσωρινή μνήμη Firezone nginx.	"#{node['firezone']['var_directory']}/nginx/cache"
προεπιλογή['firezone']['nginx']['χρήστης']	Χρήστης Firezone nginx.	κόμβος['firezone']['χρήστης']
προεπιλογή['firezone']['nginx']['group']	Ομάδα Firezone nginx.	κόμβος['firezone']['group']
προεπιλογή['firezone']['nginx']['dir']	Κατάλογος διαμόρφωσης nginx ανώτατου επιπέδου.	κόμβος['firezone']['nginx']['κατάλογος']
προεπιλογή['firezone']['nginx']['log_dir']	Κατάλογος καταγραφής nginx ανώτατου επιπέδου.	κόμβος['firezone']['nginx']['log_directory']
προεπιλογή['firezone']['nginx']['pid']	Θέση για το αρχείο nginx pid.	"#{node['firezone']['nginx']['directory']}/nginx.pid"
προεπιλογή['firezone']['nginx']['daemon_disable']	Απενεργοποιήστε τη λειτουργία nginx daemon για να μπορούμε να την παρακολουθούμε.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['nginx']['gzip']	Ενεργοποιήστε ή απενεργοποιήστε τη συμπίεση nginx gzip.	επί'
προεπιλογή['firezone']['nginx']['gzip_static']	Ενεργοποιήστε ή απενεργοποιήστε τη συμπίεση nginx gzip για στατικά αρχεία.	μακριά από'
προεπιλογή['firezone']['nginx']['gzip_http_version']	Έκδοση HTTP για χρήση για την εξυπηρέτηση στατικών αρχείων.	1.0 "
προεπιλογή['firezone']['nginx']['gzip_comp_level']	Επίπεδο συμπίεσης nginx gzip.	2 "
προεπιλογή['firezone']['nginx']['gzip_proxied']	Ενεργοποιεί ή απενεργοποιεί το gzipping των απαντήσεων για αιτήματα μεσολάβησης ανάλογα με το αίτημα και την απάντηση.	όποιος'
προεπιλογή['firezone']['nginx']['gzip_vary']	Ενεργοποιεί ή απενεργοποιεί την εισαγωγή της κεφαλίδας απάντησης "Vary: Accept-Encoding".	μακριά από'
προεπιλογή['firezone']['nginx']['gzip_buffers']	Ορίζει τον αριθμό και το μέγεθος των buffer που χρησιμοποιούνται για τη συμπίεση μιας απόκρισης. Αν μηδέν, χρησιμοποιείται η προεπιλογή nginx.	μηδέν
προεπιλογή['firezone']['nginx']['gzip_types']	Τύποι MIME για την ενεργοποίηση της συμπίεσης gzip.	['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json']
προεπιλογή['firezone']['nginx']['gzip_min_length']	Ελάχιστο μήκος αρχείου για την ενεργοποίηση της συμπίεσης αρχείου gzip.	1000
προεπιλογή['firezone']['nginx']['gzip_disable']	Αντιστοίχιση χρήστη-πράκτορα για απενεργοποίηση συμπίεσης gzip.	MSIE [1-6]\.'
προεπιλογή['firezone']['nginx']['keepalive']	Ενεργοποιεί την προσωρινή μνήμη για σύνδεση με διακομιστές ανοδικής ροής.	επί'
προεπιλογή['firezone']['nginx']['keepalive_timeout']	Λήξη χρονικού ορίου σε δευτερόλεπτα για διατήρηση διατήρησης σύνδεσης με διακομιστές ανάντη.	65
προεπιλογή['firezone']['nginx']['worker_processes']	Αριθμός διαδικασιών nginx worker.	κόμβος['cpu'] && κόμβος['cpu']['σύνολο'] ? κόμβος['cpu']['σύνολο'] : 1
προεπιλογή['firezone']['nginx']['worker_connections']	Μέγιστος αριθμός ταυτόχρονων συνδέσεων που μπορούν να ανοίξουν από μια διαδικασία εργασίας.	1024
προεπιλογή['firezone']['nginx']['worker_rlimit_nofile']	Αλλάζει το όριο στον μέγιστο αριθμό ανοιχτών αρχείων για διεργασίες εργασίας. Χρησιμοποιεί το nginx προεπιλογή εάν μηδέν.	μηδέν
προεπιλογή['firezone']['nginx']['multi_accept']	Εάν οι εργαζόμενοι πρέπει να αποδέχονται μία σύνδεση τη φορά ή πολλαπλές.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['nginx']['event']	Καθορίζει τη μέθοδο επεξεργασίας σύνδεσης που θα χρησιμοποιηθεί στο πλαίσιο συμβάντων nginx.	epoll'
προεπιλογή['firezone']['nginx']['server_tokens']	Ενεργοποιεί ή απενεργοποιεί την έκδοση nginx που εκπέμπει σε σελίδες σφαλμάτων και στο πεδίο κεφαλίδας απόκρισης «Διακομιστής».	μηδέν
προεπιλογή['firezone']['nginx']['server_names_hash_bucket_size']	Ορίζει το μέγεθος του κάδου για τους πίνακες κατακερματισμού ονομάτων διακομιστή.	64
προεπιλογή['firezone']['nginx']['sendfile']	Ενεργοποιεί ή απενεργοποιεί τη χρήση του sendfile() του nginx.	επί'
προεπιλογή['firezone']['nginx']['access_log_options']	Ορίζει επιλογές καταγραφής πρόσβασης nginx.	μηδέν
προεπιλογή['firezone']['nginx']['error_log_options']	Ορίζει τις επιλογές καταγραφής σφαλμάτων nginx.	μηδέν
προεπιλογή['firezone']['nginx']['disable_access_log']	Απενεργοποιεί το αρχείο καταγραφής πρόσβασης nginx.	ΨΕΥΔΗΣ
προεπιλογή['firezone']['nginx']['types_hash_max_size']	nginx τύπους hash μέγιστο μέγεθος.	2048
προεπιλογή['firezone']['nginx']['types_hash_bucket_size']	nginx τύπους hash bucket size.	64
προεπιλογή['firezone']['nginx']['proxy_read_timeout']	Λήξη χρονικού ορίου ανάγνωσης διακομιστή μεσολάβησης nginx. Ορίστε στο μηδέν για να χρησιμοποιήσετε το nginx προεπιλογή.	μηδέν
προεπιλογή['firezone']['nginx']['client_body_buffer_size']	μέγεθος buffer σώματος πελάτη nginx. Ορίστε στο μηδέν για να χρησιμοποιήσετε το nginx προεπιλογή.	μηδέν
προεπιλογή['firezone']['nginx']['client_max_body_size']	Μέγιστο μέγεθος σώματος πελάτη nginx.	250 μ'
προεπιλογή['firezone']['nginx']['default']['modules']	Καθορίστε πρόσθετες μονάδες nginx.	[]
προεπιλογή['firezone']['nginx']['enable_rate_limiting']	Ενεργοποιήστε ή απενεργοποιήστε τον περιορισμό ρυθμού nginx.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['nginx']['rate_limiting_zone_name']	Όνομα ζώνης περιορισμού ρυθμού Nginx.	ζώνη πυρκαγιάς'
προεπιλογή['firezone']['nginx']['rate_limiting_backoff']	Ο περιορισμός του ρυθμού Nginx υποχωρεί.	10 μ'
προεπιλογή['firezone']['nginx']['rate_limit']	Όριο ποσοστού Nginx.	10 r/s'
προεπιλογή['firezone']['nginx']['ipv6']	Επιτρέψτε στο nginx να ακούει αιτήματα HTTP για IPv6 εκτός από το IPv4.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['postgresql']['ενεργοποιημένο']	Ενεργοποίηση ή απενεργοποίηση του πακέτου Postgresql. Ορίστε σε false και συμπληρώστε τις παρακάτω επιλογές βάσης δεδομένων για να χρησιμοποιήσετε τη δική σας παρουσία Postgresql.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['postgresql']['όνομα χρήστη']	Όνομα χρήστη για Postgresql.	κόμβος['firezone']['χρήστης']
προεπιλογή['firezone']['postgresql']['data_directory']	Κατάλογος δεδομένων Postgresql.	"#{node['firezone']['var_directory']}/postgresql/13.3/data"
προεπιλογή['firezone']['postgresql']['log_directory']	Κατάλογος καταγραφής Postgresql.	"#{node['firezone']['log_directory']}/postgresql"
προεπιλογή['firezone']['postgresql']['log_rotation']['file_maxbytes']	Μέγιστο μέγεθος αρχείου καταγραφής Postgresql πριν από την εναλλαγή του.	104857600
προεπιλογή['firezone']['postgresql']['log_rotation']['num_to_keep']	Αριθμός αρχείων καταγραφής Postgresql προς διατήρηση.	10
προεπιλογή['firezone']['postgresql']['checkpoint_completion_target']	Στόχος ολοκλήρωσης του σημείου ελέγχου Postgresql.	0.5
προεπιλογή['firezone']['postgresql']['checkpoint_segments']	Αριθμός τμημάτων σημείου ελέγχου Postgresql.	3
προεπιλογή['firezone']['postgresql']['checkpoint_timeout']	Χρονικό όριο του σημείου ελέγχου Postgresql.	5 λεπτά'
προεπιλογή['firezone']['postgresql']['checkpoint_warning']	Χρόνος προειδοποίησης σημείου ελέγχου Postgresql σε δευτερόλεπτα.	δεκαετία του 30
προεπιλογή['firezone']['postgresql']['effective_cache_size']	Αποτελεσματικό μέγεθος προσωρινής μνήμης Postgresql.	128MB'
προεπιλογή['firezone']['postgresql']['listen_address']	Διεύθυνση ακρόασης Postgresql.	127.0.0.1 "
προεπιλογή['firezone']['postgresql']['max_connections']	Συνδέσεις Postgresql max.	350
προεπιλογή['firezone']['postgresql']['md5_auth_cidr_addresses']	Postgresql CIDR για να επιτρέπεται η ταυτότητα md5.	['127.0.0.1/32', '::1/128']
προεπιλογή['firezone']['postgresql']['port']	Θύρα ακρόασης Postgresql.	15432
προεπιλογή['firezone']['postgresql']['shared_buffers']	Μέγεθος κοινόχρηστων buffer Postgresql.	"#{(node['memory']['total'].to_i / 4) / 1024}MB"
προεπιλογή['firezone']['postgresql']['shmmax']	Postgresql shmmax σε byte.	17179869184
προεπιλογή['firezone']['postgresql']['shmall']	Postgresql shmall σε byte.	4194304
προεπιλογή['firezone']['postgresql']['work_mem']	Μέγεθος μνήμης εργασίας Postgresql.	8MB'
προεπιλογή['firezone']['βάση δεδομένων']['χρήστης']	Καθορίζει το όνομα χρήστη που θα χρησιμοποιήσει το Firezone για να συνδεθεί στο DB.	κόμβος['firezone']['postgresql']['όνομα χρήστη']
προεπιλογή['firezone']['βάση δεδομένων']['κωδικός πρόσβασης']	Εάν χρησιμοποιείτε εξωτερικό DB, καθορίζει τον κωδικό πρόσβασης που θα χρησιμοποιήσει το Firezone για να συνδεθεί στο DB.	Άλλαξέ με'
προεπιλογή['firezone']['βάση δεδομένων']['όνομα']	Βάση δεδομένων που θα χρησιμοποιεί το Firezone. Θα δημιουργηθεί αν δεν υπάρχει.	ζώνη πυρκαγιάς'
προεπιλογή['firezone']['database']['host']	Κεντρικός υπολογιστής βάσης δεδομένων στον οποίο θα συνδεθεί το Firezone.	κόμβος['firezone']['postgresql']['listen_address']
προεπιλογή['firezone']['βάση δεδομένων']['θύρα']	Θύρα βάσης δεδομένων στην οποία θα συνδεθεί το Firezone.	κόμβος['firezone']['postgresql']['port']
προεπιλογή['firezone']['database']['pool']	Μέγεθος πισίνας βάσης δεδομένων που θα χρησιμοποιήσει το Firezone.	[10, Etc.nεπεξεργαστές].max
προεπιλογή['firezone']['βάση δεδομένων']['ssl']	Εάν θα συνδεθείτε στη βάση δεδομένων μέσω SSL.	ΨΕΥΔΗΣ
προεπιλογή['firezone']['database']['ssl_opts']	Κατακερματισμός επιλογών για αποστολή στην επιλογή :ssl_opts κατά τη σύνδεση μέσω SSL. Βλέπω Τεκμηρίωση Ecto.Adapters.Postgres.	{}
προεπιλογή['firezone']['βάση δεδομένων']['παράμετροι']	Κατακερματισμός παραμέτρων για αποστολή στην επιλογή :parameters κατά τη σύνδεση στη βάση δεδομένων. Βλέπω Τεκμηρίωση Ecto.Adapters.Postgres.	{}
προεπιλογή['firezone']['βάση δεδομένων']['επεκτάσεις']	Επεκτάσεις βάσης δεδομένων για ενεργοποίηση.	{ 'plpgsql' => true, 'pg_trgm' => true }
προεπιλογή['firezone']['phoenix']['ενεργοποιημένο']	Ενεργοποιήστε ή απενεργοποιήστε την εφαρμογή web Firezone.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['phoenix']['listen_address']	Διεύθυνση ακρόασης της εφαρμογής Ιστού Firezone. Αυτή θα είναι η ανάντη διεύθυνση ακρόασης που εκτελεί το nginx.	127.0.0.1 "
προεπιλογή['firezone']['phoenix']['port']	Θύρα ακρόασης εφαρμογής Ιστού Firezone. Αυτή θα είναι η upstream θύρα που το nginx διαμεσολαβεί.	13000
προεπιλογή['firezone']['phoenix']['log_directory']	Κατάλογος καταγραφής εφαρμογών Ιστού Firezone.	"#{node['firezone']['log_directory']}/phoenix"
προεπιλογή['firezone']['phoenix']['log_rotation']['file_maxbytes']	Μέγεθος αρχείου καταγραφής εφαρμογής Ιστού Firezone.	104857600
προεπιλογή['firezone']['phoenix']['log_rotation']['num_to_keep']	Αριθμός αρχείων καταγραφής εφαρμογών ιστού Firezone προς διατήρηση.	10
προεπιλογή['firezone']['phoenix']['crash_detection']['enabled']	Ενεργοποιήστε ή απενεργοποιήστε την κατάρριψη της εφαρμογής Ιστού Firezone όταν εντοπίζεται σφάλμα.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['phoenix']['external_trusted_proxies']	Λίστα αξιόπιστων αντίστροφων διακομιστών μεσολάβησης που έχουν μορφοποιηθεί ως Πίνακας IP ή/και CIDR.	[]
προεπιλογή['firezone']['phoenix']['private_clients']	Λίστα προγραμμάτων-πελατών HTTP ιδιωτικού δικτύου, με μορφοποίηση συστοιχίας IP ή/και CIDR.	[]
προεπιλογή['firezone']['wireguard']['ενεργοποιημένο']	Ενεργοποιήστε ή απενεργοποιήστε τη συνδυασμένη διαχείριση WireGuard.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['wireguard']['log_directory']	Κατάλογος καταγραφής για ομαδική διαχείριση WireGuard.	"#{node['firezone']['log_directory']}/wireguard"
προεπιλογή['firezone']['wireguard']['log_rotation']['file_maxbytes']	Μέγιστο μέγεθος αρχείου καταγραφής WireGuard.	104857600
προεπιλογή['firezone']['wireguard']['log_rotation']['num_to_keep']	Αριθμός αρχείων καταγραφής WireGuard προς διατήρηση.	10
προεπιλογή['firezone']['wireguard']['interface_name']	Όνομα διεπαφής WireGuard. Η αλλαγή αυτής της παραμέτρου μπορεί να προκαλέσει προσωρινή απώλεια της συνδεσιμότητας VPN.	wg-firezone'
προεπιλογή['firezone']['wireguard']['port']	Θύρα ακρόασης WireGuard.	51820
προεπιλογή['firezone']['wireguard']['mtu']	MTU διεπαφής WireGuard για αυτόν τον διακομιστή και για διαμορφώσεις συσκευών.	1280
προεπιλογή['firezone']['wireguard']['endpoint']	WireGuard Endpoint για χρήση για τη δημιουργία διαμορφώσεων συσκευών. Εάν είναι μηδενικό, ορίζεται από προεπιλογή η δημόσια διεύθυνση IP του διακομιστή.	μηδέν
προεπιλογή['firezone']['wireguard']['dns']	WireGuard DNS για χρήση για δημιουργούμενες διαμορφώσεις συσκευών.	1.1.1.1, 1.0.0.1′
προεπιλογή['firezone']['wireguard']['allowed_ips']	WireGuard AllowedIPs για χρήση για δημιουργούμενες διαμορφώσεις συσκευών.	0.0.0.0/0, ::/0′
προεπιλογή['firezone']['wireguard']['persistent_keepalive']	Προεπιλεγμένη ρύθμιση PersistentKeepalive για δημιουργούμενες διαμορφώσεις συσκευών. Η τιμή 0 απενεργοποιείται.	0
προεπιλογή['firezone']['wireguard']['ipv4']['ενεργοποιημένο']	Ενεργοποιήστε ή απενεργοποιήστε το IPv4 για το δίκτυο WireGuard.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['wireguard']['ipv4']['masquerade']	Ενεργοποιήστε ή απενεργοποιήστε το masquerade για πακέτα που εξέρχονται από τη σήραγγα IPv4.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['wireguard']['ipv4']['δίκτυο']	Δεξαμενή διευθύνσεων IPv4 δικτύου WireGuard.	10.3.2.0/24 ′
προεπιλογή['firezone']['wireguard']['ipv4']['address']	Διεύθυνση IPv4 διεπαφής WireGuard. Πρέπει να βρίσκεται εντός του χώρου συγκέντρωσης διευθύνσεων WireGuard.	10.3.2.1 "
προεπιλογή['firezone']['wireguard']['ipv6']['ενεργοποιημένο']	Ενεργοποιήστε ή απενεργοποιήστε το IPv6 για το δίκτυο WireGuard.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['wireguard']['ipv6']['masquerade']	Ενεργοποιήστε ή απενεργοποιήστε το masquerade για πακέτα που εξέρχονται από τη σήραγγα IPv6.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['wireguard']['ipv6']['δίκτυο']	Δεξαμενή διευθύνσεων IPv6 δικτύου WireGuard.	fd00::3:2:0/120′
προεπιλογή['firezone']['wireguard']['ipv6']['address']	Διεύθυνση IPv6 διεπαφής WireGuard. Πρέπει να βρίσκεται εντός του χώρου συγκέντρωσης διευθύνσεων IPv6.	fd00::3:2:1′
προεπιλογή['firezone']['runit']['svlogd_bin']	Εκτελέστε τη θέση του κάδου svlogd.	"#{node['firezone']['install_directory']}/embedded/bin/svlogd"
προεπιλογή['firezone']['ssl']['κατάλογος']	Κατάλογος SSL για την αποθήκευση πιστοποιητικών που δημιουργούνται.	/var/opt/firezone/ssl'
προεπιλογή['firezone']['ssl']['email_address']	Διεύθυνση ηλεκτρονικού ταχυδρομείου που θα χρησιμοποιηθεί για αυτο-υπογεγραμμένα πιστοποιητικά και ειδοποιήσεις ανανέωσης πρωτοκόλλου ACME.	you@example.com'
προεπιλογή['firezone']['ssl']['acme']['ενεργοποιημένο']	Ενεργοποιήστε το ACME για αυτόματη παροχή πιστοποιητικού SSL. Απενεργοποιήστε το για να αποτρέψετε την ακρόαση του Nginx στη θύρα 80. Δείτε εδώ για περισσότερες οδηγίες.	ΨΕΥΔΗΣ
προεπιλογή['firezone']['ssl']['acme']['server']	Διακομιστής ACME για χρήση για έκδοση/ανανέωση πιστοποιητικού. Μπορεί να είναι οποιοδήποτε έγκυρος διακομιστής acme.sh	letsencrypt
προεπιλογή['firezone']['ssl']['acme']['key length']	Καθορίστε τον τύπο και το μήκος του κλειδιού για τα πιστοποιητικά SSL. Βλέπω εδώ	εκ-256
προεπιλογή['firezone']['ssl']['πιστοποιητικό']	Διαδρομή προς το αρχείο πιστοποιητικού για το FQDN σας. Παρακάμπτει τη ρύθμιση ACME παραπάνω, εάν καθορίζεται. Εάν τόσο το ACME όσο και αυτό είναι μηδενικό, θα δημιουργηθεί ένα αυτο-υπογεγραμμένο πιστοποιητικό.	μηδέν
προεπιλογή['firezone']['ssl']['certificate_key']	Διαδρομή προς το αρχείο πιστοποιητικού.	μηδέν
προεπιλογή['firezone']['ssl']['ssl_dhparam']	nginx ssl dh_param.	μηδέν
προεπιλογή['firezone']['ssl']['country_name']	Όνομα χώρας για το αυτο-υπογεγραμμένο πιστοποιητικό.	ΜΑΣ'
προεπιλογή['firezone']['ssl']['state_name']	Το όνομα του κράτους για το αυτο-υπογεγραμμένο πιστοποιητικό.	ΑΣ
προεπιλογή['firezone']['ssl']['locality_name']	Τοπικό όνομα για το αυτο-υπογεγραμμένο πιστοποιητικό.	Σαν Φρανσίσκο'
προεπιλογή['firezone']['ssl']['company_name']	Πιστοποιητικό επωνυμίας εταιρείας αυτο-υπογεγραμμένο.	Η εταιρεία μου'
προεπιλογή['firezone']['ssl']['organizational_unit_name']	Όνομα οργανωτικής μονάδας για αυτο-υπογεγραμμένο πιστοποιητικό.	Λειτουργίες'
προεπιλογή['firezone']['ssl']['ciphers']	Κρυπτογράφηση SSL για χρήση nginx.	ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’
προεπιλογή['firezone']['ssl']['fips_ciphers']	Κρυπτογράφηση SSL για λειτουργία FIP.	FIPS@STRENGTH:!aNULL:!eNULL'
προεπιλογή['firezone']['ssl']['πρωτόκολλα']	Πρωτόκολλα TLS προς χρήση.	TLSv1 TLSv1.1 TLSv1.2′
προεπιλογή['firezone']['ssl']['session_cache']	Προσωρινή μνήμη περιόδου λειτουργίας SSL.	κοινόχρηστο:SSL:4m'
προεπιλογή['firezone']['ssl']['session_timeout']	Λήξη χρονικού ορίου περιόδου σύνδεσης SSL.	5 μ'
προεπιλογή['firezone']['robots_allow']	επιτρέπουν τα ρομπότ nginx.	/ '
προεπιλογή['firezone']['robots_disallow']	Τα ρομπότ nginx δεν επιτρέπουν.	μηδέν
προεπιλογή['firezone']['outbound_email']['from']	Εξερχόμενο email από τη διεύθυνση.	μηδέν
προεπιλογή['firezone']['outbound_email']['provider']	Πάροχος υπηρεσιών εξερχόμενων email.	μηδέν
προεπιλογή['firezone']['outbound_email']['configs']	Ρυθμίσεις παρόχου εξερχόμενων email.	βλέπε omnibus/cookbooks/firezone/attributes/default.rb
προεπιλογή['firezone']['τηλεμετρία']['ενεργοποιημένη']	Ενεργοποιήστε ή απενεργοποιήστε την ανώνυμη τηλεμετρία προϊόντος.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['connectivity_checks']['enabled']	Ενεργοποιήστε ή απενεργοποιήστε την υπηρεσία ελέγχων συνδεσιμότητας Firezone.	ΑΛΗΘΙΝΗ
προεπιλογή['firezone']['connectivity_checks']['interval']	Μεσοδιάστημα μεταξύ των ελέγχων συνδεσιμότητας σε δευτερόλεπτα.	3_600

________________________________________________________________

Τοποθεσίες αρχείων και καταλόγου

Εδώ θα βρείτε μια λίστα αρχείων και καταλόγων που σχετίζονται με μια τυπική εγκατάσταση Firezone. Αυτά μπορεί να αλλάξουν ανάλογα με τις αλλαγές στο αρχείο διαμόρφωσής σας.

μονοπάτι	περιγραφή
/var/opt/firezone	Κατάλογος ανώτατου επιπέδου που περιέχει δεδομένα και δημιουργημένες ρυθμίσεις παραμέτρων για ομαδοποιημένες υπηρεσίες Firezone.
/opt/firezone	Κατάλογος ανώτατου επιπέδου που περιέχει ενσωματωμένες βιβλιοθήκες, δυαδικά αρχεία και αρχεία χρόνου εκτέλεσης που απαιτούνται από το Firezone.
/usr/bin/firezone-ctl	Βοηθητικό πρόγραμμα firezone-ctl για τη διαχείριση της εγκατάστασης Firezone.
/etc/systemd/system/firezone-runsvdir-start.service	systemd αρχείο μονάδας για την έναρξη της διαδικασίας επόπτη του Firezone runsvdir.
/etc/firezone	Αρχεία διαμόρφωσης Firezone.

__________________________________________________________

Πρότυπα τείχους προστασίας

Αυτή η σελίδα ήταν κενή στα έγγραφα

_____________________________________________________________

Πρότυπο τείχους προστασίας Nftables

Το παρακάτω πρότυπο τείχους προστασίας nftables μπορεί να χρησιμοποιηθεί για την ασφάλεια του διακομιστή που εκτελεί το Firezone. Το πρότυπο κάνει κάποιες υποθέσεις. μπορεί να χρειαστεί να προσαρμόσετε τους κανόνες ώστε να ταιριάζουν στην περίπτωση χρήσης σας:

Η διεπαφή WireGuard ονομάζεται wg-firezone. Εάν αυτό δεν είναι σωστό, αλλάξτε τη μεταβλητή DEV_WIREGUARD ώστε να ταιριάζει με την προεπιλεγμένη επιλογή διαμόρφωσης ['firezone']['wireguard']['interface_name'].
Η θύρα που ακούει το WireGuard είναι 51820. Εάν δεν χρησιμοποιείτε την προεπιλεγμένη θύρα, αλλάξτε τη μεταβλητή WIREGUARD_PORT.
Μόνο η ακόλουθη εισερχόμενη κίνηση θα επιτρέπεται στον διακομιστή:
- SSH (Θύρα TCP 22)
- HTTP (Θύρα TCP 80)
- HTTPS (θύρα TCP 443)
- WireGuard (θύρα UDP WIREGUARD_PORT)
- UDP traceroute (θύρα UDP 33434-33524, ρυθμός περιορισμένος στα 500/δευτερόλεπτο)
- ICMP και ICMPv6 (ο ρυθμός αποκρίσεων ping/ping περιορίζεται σε 2000/δευτερόλεπτο)
Μόνο η ακόλουθη εξερχόμενη κίνηση θα επιτρέπεται από τον διακομιστή:
- DNS (θύρα UDP και TCP 53)
- HTTP (Θύρα TCP 80)
- NTP (θύρα UDP 123)
- HTTPS (θύρα TCP 443)
- Υποβολή SMTP (θύρα TCP 587)
- UDP traceroute (θύρα UDP 33434-33524, ρυθμός περιορισμένος στα 500/δευτερόλεπτο)
Θα καταγράφεται η μη αντιστοιχισμένη κίνηση. Οι κανόνες που χρησιμοποιούνται για την καταγραφή διαχωρίζονται από τους κανόνες για τη μείωση της επισκεψιμότητας και έχουν περιορισμένη τιμή. Η κατάργηση των σχετικών κανόνων καταγραφής δεν θα επηρεάσει την κυκλοφορία.

Κανόνες διαχείρισης Firezone

Το Firezone διαμορφώνει τους δικούς του κανόνες nftables για να επιτρέπει/απορρίπτει την κυκλοφορία σε προορισμούς που έχουν διαμορφωθεί στη διεπαφή ιστού και να χειρίζεται το εξερχόμενο NAT για την κίνηση πελατών.

Η εφαρμογή του παρακάτω προτύπου τείχους προστασίας σε έναν διακομιστή που λειτουργεί ήδη (όχι κατά την εκκίνηση) θα έχει ως αποτέλεσμα τη διαγραφή των κανόνων του Firezone. Αυτό μπορεί να έχει επιπτώσεις στην ασφάλεια.

Για να επιλύσετε αυτό το πρόβλημα, επανεκκινήστε την υπηρεσία phoenix:

firezone-ctl επανεκκίνηση phoenix

Πρότυπο τείχους προστασίας βάσης

#!/usr/sbin/nft -f

## Εκκαθάριση/εκκαθάριση όλων των υπαρχόντων κανόνων

σύνολο κανόνων έκπλυσης

############################### ΜΕΤΑΒΛΗΤΕΣ ################# ###############

## Όνομα διεπαφής Internet/WAN

ορίστε DEV_WAN = eth0

## Όνομα διεπαφής WireGuard

ορίστε DEV_WIREGUARD = wg-firezone

## Θύρα ακρόασης WireGuard

ορίστε WIREGUARD_PORT = 51820

############################## ΜΕΤΑΒΛΗΤΕΣ ΤΕΛΟΣ ################## ############

# Κύριος πίνακας φιλτραρίσματος οικογένειας inet

φίλτρο πίνακα inet {

# Κανόνες για προωθημένη κίνηση

# Αυτή η αλυσίδα υποβάλλεται σε επεξεργασία πριν από την εμπρόσθια αλυσίδα Firezone

αλυσίδα προς τα εμπρός {

τύπος φίλτρου φίλτρου προς τα εμπρός προτεραιότητας – 5; πολιτική αποδοχή

}

# Κανόνες για κίνηση εισόδου

είσοδος αλυσίδας {

Τύπος φίλτρο προτεραιότητας εισόδου άγκιστρου φίλτρου. πτώση πολιτικής

## Επιτρέψτε την εισερχόμενη κυκλοφορία στη διεπαφή loopback

αν εδω \

αποδέχομαι \

σχόλιο "Επιτρέψτε όλη την επισκεψιμότητα από τη διεπαφή loopback"

## Άδεια δημιουργίας και σχετικών συνδέσεων

ct κατάσταση καθιερωμένη, σχετική \

αποδέχομαι \

σχόλιο «Άδεια δημιουργίας/σχετικών συνδέσεων»

## Επιτρέψτε την εισερχόμενη κίνηση WireGuard

iif $DEV_WAN udp dport $WIREGUARD_PORT \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέψτε την εισερχόμενη κίνηση WireGuard"

## Καταγράψτε και αποθέστε νέα πακέτα TCP που δεν είναι SYN

tcp flags != syn ct κατάσταση νέα \

οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \

πρόθεμα καταγραφής “IN – Νέο !ΣΥΝ:” \

σχόλιο "Καταγραφή ορίου ρυθμού για νέες συνδέσεις που δεν έχουν οριστεί η σημαία SYN TCP"

tcp flags != syn ct κατάσταση νέα \

μετρητής \

πτώση \

σχόλιο "Αποθέστε νέες συνδέσεις που δεν έχουν οριστεί η σημαία SYN TCP"

## Καταγραφή και απόθεση πακέτων TCP με μη έγκυρο σύνολο σημαιών fin/syn

tcp flags & (fin|syn) == (fin|syn) \

οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \

πρόθεμα καταγραφής "IN – TCP FIN|SIN:" \

σχόλιο "Καταγραφή ορίου ρυθμού για πακέτα TCP με μη έγκυρο σύνολο σημαιών fin/syn"

tcp flags & (fin|syn) == (fin|syn) \

μετρητής \

πτώση \

σχόλιο "Απόθεση πακέτων TCP με μη έγκυρο σύνολο σημαιών fin/syn"

## Καταγραφή και απόθεση πακέτων TCP με μη έγκυρο σύνολο σημαιών συγχρονισμού/πρώτης

tcp σημαίες & (syn|prst) == (syn|prst) \

οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \

πρόθεμα καταγραφής "IN – TCP SYN|RST:" \

σχόλιο "Καταγραφή ορίου ρυθμού για πακέτα TCP με μη έγκυρο σύνολο σημαιών συγχρονισμού/πρώτου"

tcp σημαίες & (syn|prst) == (syn|prst) \

μετρητής \

πτώση \

σχόλιο "Απόθεση πακέτων TCP με μη έγκυρο σύνολο σημαιών συγχρονισμού/πρώτου"

## Καταγραφή και απόθεση μη έγκυρων σημαιών TCP

tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \

οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \

πρόθεμα καταγραφής “IN – FIN:” \

σχόλιο "Καταγραφή ορίου ποσοστού για μη έγκυρες σημαίες TCP (fin|syn|rst|psh|ack|urg) < (fin)"

tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \

μετρητής \

πτώση \

σχόλιο "Απόθεση πακέτων TCP με σημαίες (fin|syn|rst|psh|ack|urg) < (fin)"

## Καταγραφή και απόθεση μη έγκυρων σημαιών TCP

tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \

οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \

πρόθεμα καταγραφής "IN – FIN|PSH|URG:" \

σχόλιο "Καταγραφή ορίου ποσοστού για μη έγκυρες σημαίες TCP (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"

tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \

μετρητής \

πτώση \

σχόλιο "Αποθέστε πακέτα TCP με σημαίες (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"

## Απόρριψη κίνησης με μη έγκυρη κατάσταση σύνδεσης

ct μη έγκυρη κατάσταση \

οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \

αρχείο καταγραφής σημαίες όλων των πρόθεμα "IN - Μη έγκυρο:" \

σχόλιο "Καταγραφή ορίου ποσοστού για κίνηση με μη έγκυρη κατάσταση σύνδεσης"

ct μη έγκυρη κατάσταση \

μετρητής \

πτώση \

σχόλιο "Αποβολή κυκλοφορίας με μη έγκυρη κατάσταση σύνδεσης"

## Επιτρέψτε τις αποκρίσεις ping/ping IPv4 αλλά όριο ρυθμού στα 2000 PPS

ip πρωτόκολλο icmp icmp type { echo-reply, echo-request } \

οριακό ποσοστό 2000/δεύτερο \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπει την εισερχόμενη ηχώ IPv4 (ping) περιορισμένη στα 2000 PPS"

## Επιτρέψτε όλα τα άλλα εισερχόμενα IPv4 ICMP

ip πρωτόκολλο icmp \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπει όλα τα άλλα IPv4 ICMP"

## Επιτρέψτε τις αποκρίσεις ping/ping IPv6 αλλά όριο ρυθμού στα 2000 PPS

icmpv6 type { echo-reply, echo-request } \

οριακό ποσοστό 2000/δεύτερο \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπει την εισερχόμενη ηχώ IPv6 (ping) περιορισμένη στα 2000 PPS"

## Επιτρέψτε όλα τα άλλα εισερχόμενα IPv6 ICMP

meta l4proto { icmpv6 } \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπει όλα τα άλλα IPv6 ICMP"

## Επιτρέψτε τις εισερχόμενες θύρες UDP traceroute αλλά περιορίστε τα 500 PPS

udp dport 33434-33524 \

οριακό ποσοστό 500/δεύτερο \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπει την εισερχόμενη ιχνηλάτηση UDP περιορισμένη στα 500 PPS"

## Επιτρέψτε το εισερχόμενο SSH

tcp dport ssh ct κατάσταση νέο \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπονται εισερχόμενες συνδέσεις SSH"

## Επιτρέψτε εισερχόμενα HTTP και HTTPS

tcp dport { http, https } ct κατάσταση νέα \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπονται εισερχόμενες συνδέσεις HTTP και HTTPS"

## Καταγράψτε τυχόν ασύγκριτη κίνηση, αλλά ρυθμίστε την καταγραφή ορίου σε έως 60 μηνύματα/λεπτό

## Η προεπιλεγμένη πολιτική θα εφαρμοστεί σε μη αντιστοιχισμένη επισκεψιμότητα

οριακό ποσοστό 60/λεπτό έκρηξη 100 πακέτα \

πρόθεμα καταγραφής “IN – Drop:” \

σχόλιο "Καταγραφή τυχόν ασυμβίβαστης κίνησης"

## Μετρήστε την απαράμιλλη κίνηση

μετρητής \

σχόλιο "Μετρήστε τυχόν ασύγκριτη κίνηση"

}

# Κανόνες για κυκλοφορία εξόδου

έξοδος αλυσίδας {

Τύπος φίλτρο προτεραιότητας εξόδου γάντζου φίλτρου. πτώση πολιτικής

## Επιτρέψτε την εξερχόμενη κυκλοφορία στη διεπαφή loopback

oif lo \

αποδέχομαι \

σχόλιο "Επιτρέψτε όλη την κυκλοφορία έξω στη διεπαφή loopback"

## Άδεια δημιουργίας και σχετικών συνδέσεων

ct κατάσταση καθιερωμένη, σχετική \

μετρητής \

αποδέχομαι \

σχόλιο «Άδεια δημιουργίας/σχετικών συνδέσεων»

## Επιτρέψτε την εξερχόμενη κυκλοφορία WireGuard πριν διακόψετε τις συνδέσεις με κακή κατάσταση

oif $DEV_WAN udp sport $WIREGUARD_PORT \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπει την εξερχόμενη κυκλοφορία του WireGuard"

## Απόρριψη κίνησης με μη έγκυρη κατάσταση σύνδεσης

ct μη έγκυρη κατάσταση \

οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \

αρχείο καταγραφής σημαίες όλων των πρόθεμα "OUT - Μη έγκυρο:" \

σχόλιο "Καταγραφή ορίου ποσοστού για κίνηση με μη έγκυρη κατάσταση σύνδεσης"

ct μη έγκυρη κατάσταση \

μετρητής \

πτώση \

σχόλιο "Αποβολή κυκλοφορίας με μη έγκυρη κατάσταση σύνδεσης"

## Επιτρέψτε όλα τα άλλα εξερχόμενα IPv4 ICMP

ip πρωτόκολλο icmp \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπονται όλοι οι τύποι ICMP IPv4"

## Επιτρέψτε όλα τα άλλα εξερχόμενα IPv6 ICMP

meta l4proto { icmpv6 } \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπονται όλοι οι τύποι ICMP IPv6"

## Επιτρέψτε τις εξερχόμενες θύρες UDP traceroute αλλά περιορίστε τα 500 PPS

udp dport 33434-33524 \

οριακό ποσοστό 500/δεύτερο \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπει την εξερχόμενη ιχνηλάτηση UDP περιορισμένη στα 500 PPS"

## Επιτρέψτε εξερχόμενες συνδέσεις HTTP και HTTPS

tcp dport { http, https } ct κατάσταση νέα \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπονται εξερχόμενες συνδέσεις HTTP και HTTPS"

## Επιτρέπεται η εξερχόμενη υποβολή SMTP

tcp dport υποβολή ct κατάσταση νέα \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπεται η εξερχόμενη υποβολή SMTP"

## Επιτρέψτε τα εξερχόμενα αιτήματα DNS

udp dport 53 \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπονται εξερχόμενα αιτήματα UDP DNS"

tcp dport 53 \

μετρητής \

αποδέχομαι \

σχόλιο "Επιτρέπονται εξερχόμενα αιτήματα TCP DNS"

## Επιτρέψτε εξερχόμενα αιτήματα NTP

udp dport 123 \

μετρητής \

αποδέχομαι \

σχόλιο "Αδειοδότηση εξερχόμενων αιτημάτων NTP"

## Καταγράψτε τυχόν ασύγκριτη κίνηση, αλλά ρυθμίστε την καταγραφή ορίου σε έως 60 μηνύματα/λεπτό

## Η προεπιλεγμένη πολιτική θα εφαρμοστεί σε μη αντιστοιχισμένη επισκεψιμότητα

οριακό ποσοστό 60/λεπτό έκρηξη 100 πακέτα \

πρόθεμα καταγραφής "OUT - Drop:" \

σχόλιο "Καταγραφή τυχόν ασυμβίβαστης κίνησης"

## Μετρήστε την απαράμιλλη κίνηση

μετρητής \

σχόλιο "Μετρήστε τυχόν ασύγκριτη κίνηση"

}

# Κύριος πίνακας φιλτραρίσματος NAT

πίνακας inet nat {

# Κανόνες για την προδρομολόγηση της κυκλοφορίας NAT

προδρομολόγηση αλυσίδας {

πληκτρολογήστε nat hook prerouting priority dstnat? πολιτική αποδοχή

}

# Κανόνες για την κυκλοφορία NAT μετά τη δρομολόγηση

# Αυτός ο πίνακας υποβάλλεται σε επεξεργασία πριν από την αλυσίδα μετά τη δρομολόγηση Firezone

μεταδρομολόγηση αλυσίδας {

πληκτρολογήστε nat hook postrouting priority srcnat – 5; πολιτική αποδοχή

}

Χρήση

Το τείχος προστασίας θα πρέπει να αποθηκευτεί στη σχετική θέση για τη διανομή Linux που εκτελείται. Για το Debian/Ubuntu αυτό είναι το /etc/nftables.conf και για το RHEL αυτό είναι το /etc/sysconfig/nftables.conf.

Το nftables.service θα πρέπει να ρυθμιστεί ώστε να ξεκινά κατά την εκκίνηση (αν δεν είναι ήδη):

systemctl ενεργοποιήστε το nftables.service

Εάν κάνετε οποιεσδήποτε αλλαγές στο πρότυπο τείχους προστασίας, η σύνταξη μπορεί να επικυρωθεί εκτελώντας την εντολή check:

nft -f /path/to/nftables.conf -c

Βεβαιωθείτε ότι έχετε επικυρώσει ότι το τείχος προστασίας λειτουργεί όπως αναμένεται, καθώς ορισμένες δυνατότητες του nftables ενδέχεται να μην είναι διαθέσιμες ανάλογα με την έκδοση που εκτελείται στον διακομιστή.

_______________________________________________________________

Τηλεμετρία

Αυτό το έγγραφο παρουσιάζει μια επισκόπηση της τηλεμετρίας που συλλέγει το Firezone από την αυτο-φιλοξενούμενη παρουσία σας και πώς να την απενεργοποιήσετε.

Γιατί το Firezone συλλέγει τηλεμετρία

ζώνη φωτιάς στη συνέχεια συναρμολογούνται στην τηλεμετρία για να δώσουμε προτεραιότητα στον οδικό μας χάρτη και να βελτιστοποιήσουμε τους μηχανικούς πόρους που διαθέτουμε για να κάνουμε το Firezone καλύτερο για όλους.

Η τηλεμετρία που συλλέγουμε στοχεύει να απαντήσει στις ακόλουθες ερωτήσεις:

Πόσα άτομα εγκαθιστούν, χρησιμοποιούν και σταματούν να χρησιμοποιούν το Firezone;
Ποια χαρακτηριστικά είναι πιο πολύτιμα και ποια δεν βλέπουν καμία χρήση;
Ποια λειτουργικότητα χρειάζεται τη μεγαλύτερη βελτίωση;
Όταν κάτι σπάει, γιατί έσπασε και πώς μπορούμε να το αποτρέψουμε από το να συμβεί στο μέλλον;

Πώς συλλέγουμε την τηλεμετρία

Υπάρχουν τρία κύρια μέρη όπου συλλέγεται η τηλεμετρία στο Firezone:

Τηλεμετρία πακέτου. Περιλαμβάνει συμβάντα όπως εγκατάσταση, απεγκατάσταση και αναβάθμιση.
Τηλεμετρία CLI από εντολές firezone-ctl.
Τηλεμετρία προϊόντος που σχετίζεται με την πύλη Web.

Σε καθένα από αυτά τα τρία πλαίσια, συλλέγουμε τον ελάχιστο όγκο δεδομένων που είναι απαραίτητος για να απαντήσουμε στις ερωτήσεις της παραπάνω ενότητας.

Τα μηνύματα ηλεκτρονικού ταχυδρομείου του διαχειριστή συλλέγονται μόνο εάν δηλώνετε ρητά συμμετοχή στις ενημερώσεις προϊόντων. Διαφορετικά, τα στοιχεία προσωπικής ταυτοποίησης είναι ποτέ συγκεντρωμένος.

Το Firezone αποθηκεύει την τηλεμετρία σε μια αυτο-φιλοξενούμενη παρουσία του PostHog που εκτελείται σε ένα ιδιωτικό σύμπλεγμα Kubernetes, προσβάσιμο μόνο από την ομάδα του Firezone. Ακολουθεί ένα παράδειγμα συμβάντος τηλεμετρίας που αποστέλλεται από την παρουσία σας του Firezone στον διακομιστή τηλεμετρίας μας:

{

"ταυτότητα": “0182272d-0b88-0000-d419-7b9a413713f1”,

"χρονοσήμανση": “2022-07-22T18:30:39.748000+00:00”,

"Εκδήλωση": "fz_http_started",

"Distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,

"ιδιότητες"{

"$geoip_city_name": “Ashburn”,

"$geoip_continent_code": «ΝΑ»,

"$geoip_continent_name": "Βόρεια Αμερική",

"$geoip_country_code": "ΜΑΣ",

"$geoip_country_name": "Ηνωμένες Πολιτείες",

"$geoip_latitude": 39.0469,

"$geoip_longitude": -77.4903,

"$geoip_postal_code": "20149",

"$geoip_subdivision_1_code": "VA",

"$geoip_subdivision_1_name": "Βιργινία",

"$geoip_time_zone": “America/New_York”,

"$ip": "52.200.241.107",

"$plugins_deferred": []

"$plugins_failed": []

"$plugins_succeeded": [

“GeoIP (3)”

"Distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,

"fqdn": "awsdemo.firezone.dev",

"kernel_version": “linux 5.13.0”,

"εκδοχή": "0.4.6"

"στοιχεία_αλυσίδα": ""

}

Πώς να απενεργοποιήσετε την τηλεμετρία

ΣΗΜΕΊΩΣΗ

Η ομάδα ανάπτυξης Firezone στη συνέχεια συναρμολογούνται σχετικά με τα αναλυτικά στοιχεία προϊόντων για να γίνει το Firezone καλύτερο για όλους. Η ενεργοποίηση της τηλεμετρίας είναι η πιο πολύτιμη συνεισφορά που μπορείτε να κάνετε στην ανάπτυξη του Firezone. Τούτου λεχθέντος, κατανοούμε ότι ορισμένοι χρήστες έχουν υψηλότερες απαιτήσεις απορρήτου ή ασφάλειας και θα προτιμούσαν να απενεργοποιήσουν εντελώς την τηλεμετρία. Αν είσαι εσύ, συνέχισε να διαβάζεις.

Η τηλεμετρία είναι ενεργοποιημένη από προεπιλογή. Για να απενεργοποιήσετε πλήρως την τηλεμετρία του προϊόντος, ορίστε την ακόλουθη επιλογή διαμόρφωσης σε false στο /etc/firezone/firezone.rb και εκτελέστε το sudo firezone-ctl reconfigure για να λάβετε τις αλλαγές.

Προκαθορισμένο["firezone"]['τηλεμετρία']["ενεργοποιημένο"] = ψευδής

Αυτό θα απενεργοποιήσει εντελώς την τηλεμετρία όλων των προϊόντων.

Hailbytes VPN με Τεκμηρίωση Firezone Firewall

Πίνακας περιεχομένων

Ξεκινήστε Τώρα

Οδηγοί για κοινές διαμορφώσεις

Πάρτε Υποστήριξη

Πιστοποίηση

Όμορφες διευθύνσεις URL

Οδηγίες για τη ρύθμιση του Firezone με δημοφιλείς παρόχους ταυτότητας

Διατηρήστε τακτικό επαναληπτικό έλεγχο ταυτότητας

Εκ νέου έλεγχος ταυτότητας

Google

Λήψη ρυθμίσεων διαμόρφωσης

Ενσωμάτωση Firezone

ΟΚΤΑ

Ενσωματώστε την εφαρμογή Okta

Ενσωματώστε το Firezone

Περιορίστε την πρόσβαση σε ορισμένους χρήστες

Azure Active Directory

Λήψη ρυθμίσεων διαμόρφωσης

Ενσωμάτωση Firezone

Πώς να: Περιορίστε την πρόσβαση σε ορισμένα μέλη

Διαχειρίζομαι

Διαμορφώστε

Διαχείριση εγκατάστασης

αναβάθμιση

Αναβάθμιση από <0.5.0 σε >=0.5.0

Τα ομαδικά αιτήματα Nginx non_ssl_port (HTTP) καταργήθηκαν

Υποστήριξη πρωτοκόλλου ACME

Επικαλυπτόμενοι προορισμοί κανόνα εξόδου

Προδιαμόρφωση του Okta και του Google SSO

Αναβάθμιση από 0.3.x σε >= 0.3.16

Αναβάθμιση από 0.3.1 σε >= 0.3.2

Αναβάθμιση από 0.2.x σε 0.3.x

Αναβάθμιση από 0.1.x σε 0.2.x

Αντιμετώπιση προβλημάτων

Αποσφαλμάτωση ζητημάτων συνδεσιμότητας

Η συνδεσιμότητα στο Διαδίκτυο πέφτει όταν το Tunnel είναι ενεργό

Ζητήματα ασφάλειας

Υπηρεσίες & Λιμάνια

Αναπτύξεις παραγωγής

Εκτελέστε ερωτήματα SQL

Οδηγοί χρήστη

Προσθήκη χρηστών

Web UI

Προσθήκη συσκευών

Δημιουργία διαμόρφωσης συσκευής διαχειριστή

Κανόνες εξόδου

Οδηγίες πελάτη

1. Εγκαταστήστε το εγγενές πρόγραμμα-πελάτη WireGuard

2. Κάντε λήψη του αρχείου διαμόρφωσης της συσκευής

3. Προσθέστε τη διαμόρφωση του πελάτη

Επαναληπτικός έλεγχος ταυτότητας συνεδρίας

1. Απενεργοποιήστε τη σύνδεση VPN

2. Πραγματοποιήστε ξανά έλεγχο ταυτότητας

Βήμα 3: Εκκινήστε μια περίοδο λειτουργίας VPN

Διαχείριση δικτύου για Linux

ΣΗΜΕΊΩΣΗ

1. Εγκαταστήστε τα εργαλεία WireGuard

2. Λήψη διαμόρφωσης

3. Ρυθμίσεις εισαγωγής

ΣΗΜΕΊΩΣΗ

4. Συνδέστε ή αποσυνδέστε

Αυτόματη σύνδεση

Κάντε διαθέσιμο τον έλεγχο ταυτότητας πολλαπλών παραγόντων

Split Tunnel VPN

1. Διαμορφώστε τις επιτρεπόμενες IP

ΣΗΜΕΊΩΣΗ

2. Αναδημιουργήστε τις διαμορφώσεις του WireGuard

Αντίστροφη σήραγγα

Κόμβος σε κόμβο

Συσκευή Α

Β συσκευή

Περίπτωση διαχειριστή - Ένας προς πολλούς κόμβους

Συσκευή Α (Κόμβος διαχειριστή)

Συσκευή Β

Συσκευή Γ

Συσκευή Δ

NAT Gateway

Παράδειγμα AWS

1. Εγκαταστήστε τον διακομιστή Firezone

Κανόνες διαχείρισης Firezone

Πρότυπο τείχους προστασίας βάσης

Χρήση

Γιατί το Firezone συλλέγει τηλεμετρία

Πώς συλλέγουμε την τηλεμετρία

Πώς να απενεργοποιήσετε την τηλεμετρία