Βήμα προς βήμα οδηγίες για την ανάπτυξη του Hailbytes VPN με το Firezone GUI παρέχονται εδώ.
Διαχείριση: Η ρύθμιση της παρουσίας διακομιστή σχετίζεται άμεσα με αυτό το τμήμα.
Οδηγοί χρήστη: Χρήσιμα έγγραφα που μπορούν να σας διδάξουν πώς να χρησιμοποιείτε το Firezone και να επιλύετε τυπικά προβλήματα. Μετά την επιτυχή ανάπτυξη του διακομιστή, ανατρέξτε σε αυτήν την ενότητα.
Split Tunneling: Χρησιμοποιήστε το VPN για να στείλετε κίνηση μόνο σε συγκεκριμένες περιοχές IP.
Λευκή λίστα: Ορίστε τη στατική διεύθυνση IP ενός διακομιστή VPN για να χρησιμοποιήσετε τη λίστα επιτρεπόμενων.
Αντίστροφες σήραγγες: Δημιουργήστε σήραγγες μεταξύ πολλών ομότιμων χρησιμοποιώντας αντίστροφα τούνελ.
Είμαστε στην ευχάριστη θέση να σας βοηθήσουμε εάν χρειάζεστε βοήθεια για την εγκατάσταση, την προσαρμογή ή τη χρήση του Hailbytes VPN.
Προτού οι χρήστες μπορούν να παράγουν ή να πραγματοποιήσουν λήψη αρχείων διαμόρφωσης συσκευής, το Firezone μπορεί να ρυθμιστεί ώστε να απαιτεί έλεγχο ταυτότητας. Οι χρήστες μπορεί επίσης να χρειαστεί να πραγματοποιούν περιοδικά εκ νέου έλεγχο ταυτότητας για να διατηρήσουν ενεργή τη σύνδεσή τους VPN.
Αν και η προεπιλεγμένη μέθοδος σύνδεσης του Firezone είναι το τοπικό email και ο κωδικός πρόσβασης, μπορεί επίσης να ενσωματωθεί με οποιονδήποτε τυποποιημένο πάροχο ταυτότητας OpenID Connect (OIDC). Οι χρήστες μπορούν πλέον να συνδεθούν στο Firezone χρησιμοποιώντας τα διαπιστευτήρια του παρόχου Okta, Google, Azure AD ή ιδιωτικής ταυτότητας.
Ενσωματώστε έναν γενικό πάροχο OIDC
Οι παράμετροι διαμόρφωσης που απαιτούνται από το Firezone για να επιτρέψει το SSO χρησιμοποιώντας έναν πάροχο OIDC φαίνονται στο παρακάτω παράδειγμα. Στο /etc/firezone/firezone.rb, μπορείτε να βρείτε το αρχείο διαμόρφωσης. Εκτελέστε εκ νέου τη ρύθμιση παραμέτρων του firezone-ctl και επανεκκινήστε το firezone-ctl για να ενημερώσετε την εφαρμογή και να εφαρμόσετε τις αλλαγές.
# Αυτό είναι ένα παράδειγμα που χρησιμοποιεί την Google και την Okta ως πάροχο ταυτότητας SSO.
# Πολλαπλές ρυθμίσεις παραμέτρων OIDC μπορούν να προστεθούν στην ίδια παρουσία Firezone.
# Το Firezone μπορεί να απενεργοποιήσει το VPN ενός χρήστη εάν εντοπιστεί κάποιο σφάλμα κατά την προσπάθεια
# για να ανανεώσετε το access_token τους. Αυτό έχει επαληθευτεί ότι λειτουργεί για τις Google, Okta και
# Azure SSO και χρησιμοποιείται για την αυτόματη αποσύνδεση του VPN ενός χρήστη εάν καταργηθεί
# από τον πάροχο OIDC. Αφήστε αυτό το απενεργοποιημένο εάν ο πάροχος OIDC σας
Το # έχει προβλήματα με την ανανέωση των διακριτικών πρόσβασης καθώς θα μπορούσε να διακόψει απροσδόκητα ένα
# περίοδος σύνδεσης VPN χρήστη.
προεπιλογή['firezone']['authentication']['disable_vpn_on_oidc_error'] = false
προεπιλογή['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
ταυτότητα πελάτη: " "
client_secret: " "
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
answer_type: "code",
εύρος: "ανοιχτό προφίλ email",
ετικέτα: "Google"
},
οκτα: {
discovery_document_uri: "https:// /.well-known/openid-configuration”,
ταυτότητα πελάτη: " "
client_secret: " "
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
answer_type: "code",
εύρος: "ανοιχτό προφίλ email offline_access",
Ετικέτα: "Okta"
}
}
Για την ενσωμάτωση απαιτούνται οι ακόλουθες ρυθμίσεις διαμόρφωσης:
Για κάθε πάροχο OIDC δημιουργείται μια αντίστοιχη όμορφη διεύθυνση URL για ανακατεύθυνση στη διεύθυνση URL σύνδεσης του διαμορφωμένου παρόχου. Για το παράδειγμα διαμόρφωσης OIDC παραπάνω, οι διευθύνσεις URL είναι:
Οι πάροχοι που έχουμε τεκμηρίωση για:
Εάν ο πάροχος ταυτότητάς σας διαθέτει γενική σύνδεση OIDC και δεν αναφέρεται παραπάνω, μεταβείτε στην τεκμηρίωσή του για πληροφορίες σχετικά με τον τρόπο ανάκτησης των απαραίτητων ρυθμίσεων διαμόρφωσης.
Η ρύθμιση στις ρυθμίσεις/ασφάλεια μπορεί να αλλάξει για να απαιτείται περιοδικός εκ νέου έλεγχος ταυτότητας. Αυτό μπορεί να χρησιμοποιηθεί για την επιβολή της απαίτησης οι χρήστες να εισέρχονται στο Firezone σε τακτική βάση προκειμένου να συνεχίσουν τη συνεδρία VPN τους.
Η διάρκεια της συνεδρίας μπορεί να ρυθμιστεί ώστε να είναι μεταξύ μίας ώρας και ενενήντα ημερών. Ορίζοντας το σε Ποτέ, μπορείτε να ενεργοποιήσετε τις συνεδρίες VPN ανά πάσα στιγμή. Αυτό είναι το πρότυπο.
Ένας χρήστης πρέπει να τερματίσει τη συνεδρία VPN του και να συνδεθεί στην πύλη Firezone για να ελέγξει εκ νέου μια περίοδο σύνδεσης VPN που έχει λήξει (διεύθυνση URL κατά την ανάπτυξη).
Μπορείτε να ελέγξετε εκ νέου την ταυτότητα της συνεδρίας σας ακολουθώντας τις ακριβείς οδηγίες πελάτη που βρίσκονται εδώ.
Κατάσταση σύνδεσης VPN
Η στήλη του πίνακα "Σύνδεση VPN" της σελίδας Χρήστες εμφανίζει την κατάσταση σύνδεσης ενός χρήστη. Αυτές είναι οι καταστάσεις σύνδεσης:
ΕΝΕΡΓΟΠΟΙΗΜΕΝΟ – Η σύνδεση είναι ενεργοποιημένη.
ΑΠΕΝΕΡΓΟΠΟΙΗΜΕΝΟ – Η σύνδεση απενεργοποιείται από διαχειριστή ή αποτυχία ανανέωσης OIDC.
ΛΗΞΕ – Η σύνδεση είναι απενεργοποιημένη λόγω λήξης ελέγχου ταυτότητας ή ο χρήστης δεν έχει συνδεθεί για πρώτη φορά.
Μέσω της γενικής σύνδεσης OIDC, το Firezone ενεργοποιεί την Ενιαία Σύνδεση (SSO) με Google Workspace και Cloud Identity. Αυτός ο οδηγός θα σας δείξει πώς να λάβετε τις παραμέτρους διαμόρφωσης που αναφέρονται παρακάτω, οι οποίες είναι απαραίτητες για την ενσωμάτωση:
1. Οθόνη διαμόρφωσης OAuth
Εάν αυτή είναι η πρώτη φορά που δημιουργείτε ένα νέο αναγνωριστικό πελάτη OAuth, θα σας ζητηθεί να διαμορφώσετε μια οθόνη συναίνεσης.
*Επιλέξτε Internal για τύπο χρήστη. Αυτό διασφαλίζει ότι μόνο οι λογαριασμοί που ανήκουν σε χρήστες στον οργανισμό σας στο Google Workspace μπορούν να δημιουργούν διαμορφώσεις συσκευών. ΜΗΝ επιλέξετε Εξωτερικό εκτός εάν θέλετε να επιτρέψετε σε οποιονδήποτε με έγκυρο Λογαριασμό Google να δημιουργήσει ρυθμίσεις παραμέτρων συσκευής.
Στην οθόνη πληροφοριών εφαρμογής:
2. Δημιουργήστε αναγνωριστικά πελάτη OAuth
Αυτή η ενότητα βασίζεται στην τεκμηρίωση της ίδιας της Google για ρύθμιση του OAuth 2.0.
Επισκεφτείτε την Κονσόλα Google Cloud Σελίδα διαπιστευτηρίων σελίδα, κάντε κλικ στο + Δημιουργία διαπιστευτηρίων και επιλέξτε Αναγνωριστικό πελάτη OAuth.
Στην οθόνη δημιουργίας αναγνωριστικού πελάτη OAuth:
Αφού δημιουργήσετε το αναγνωριστικό πελάτη OAuth, θα σας δοθεί ένα Client ID και Client Secret. Αυτά θα χρησιμοποιηθούν μαζί με το URI ανακατεύθυνσης στο επόμενο βήμα.
Αλλαγή /etc/firezone/firezone.rb για να συμπεριλάβετε τις παρακάτω επιλογές:
# Χρήση της Google ως πάροχου ταυτότητας SSO
προεπιλογή['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
ταυτότητα πελάτη: " "
client_secret: " "
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
answer_type: "code",
εύρος: "ανοιχτό προφίλ email",
ετικέτα: "Google"
}
}
Εκτελέστε το firezone-ctl reconfigure και κάντε επανεκκίνηση του firezone-ctl για να ενημερώσετε την εφαρμογή. Θα πρέπει τώρα να δείτε ένα κουμπί Σύνδεση με το Google στη διεύθυνση URL του ριζικού Firezone.
Το Firezone χρησιμοποιεί τη γενική υποδοχή OIDC για να διευκολύνει τη Single Sign-On (SSO) με το Okta. Αυτό το σεμινάριο θα σας δείξει πώς να λάβετε τις παραμέτρους διαμόρφωσης που αναφέρονται παρακάτω, οι οποίες είναι απαραίτητες για την ενσωμάτωση:
Αυτή η ενότητα του οδηγού βασίζεται σε Τα έγγραφα του Okta.
Στην Κονσόλα διαχειριστή, μεταβείτε στις Εφαρμογές > Εφαρμογές και κάντε κλικ στην επιλογή Δημιουργία ενσωμάτωσης εφαρμογών. Ορίστε τη μέθοδο εισόδου σε OICD – OpenID Connect και Τύπος εφαρμογής σε εφαρμογή Web.
Διαμορφώστε αυτές τις ρυθμίσεις:
Μόλις αποθηκευτούν οι ρυθμίσεις, θα σας δοθεί ένα Client ID, Client Secret και Okta Domain. Αυτές οι 3 τιμές θα χρησιμοποιηθούν στο Βήμα 2 για τη διαμόρφωση του Firezone.
Αλλαγή /etc/firezone/firezone.rb για να συμπεριλάβετε τις παρακάτω επιλογές. Τα δικα σου discovery_document_url θα είναι /.γνωστό/openid-configuration επισυνάπτεται στο τέλος του σας okta_domain.
# Χρησιμοποιώντας το Okta ως πάροχο ταυτότητας SSO
προεπιλογή['firezone']['authentication']['oidc'] = {
οκτα: {
discovery_document_uri: "https:// /.well-known/openid-configuration”,
ταυτότητα πελάτη: " "
client_secret: " "
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
answer_type: "code",
εύρος: "ανοιχτό προφίλ email offline_access",
Ετικέτα: "Okta"
}
}
Εκτελέστε το firezone-ctl reconfigure και κάντε επανεκκίνηση του firezone-ctl για να ενημερώσετε την εφαρμογή. Θα πρέπει τώρα να δείτε ένα κουμπί Είσοδος με Okta στη διεύθυνση URL του ριζικού Firezone.
Οι χρήστες που έχουν πρόσβαση στην εφαρμογή Firezone μπορούν να περιοριστούν από την Okta. Μεταβείτε στη σελίδα Εργασίες του Firezone App Integration της Κονσόλας διαχειριστή Okta για να το πραγματοποιήσετε.
Μέσω της γενικής υποδοχής OIDC, το Firezone ενεργοποιεί την Ενιαία Σύνδεση (SSO) με το Azure Active Directory. Αυτό το εγχειρίδιο θα σας δείξει πώς να λάβετε τις παραμέτρους διαμόρφωσης που αναφέρονται παρακάτω, οι οποίες είναι απαραίτητες για την ενσωμάτωση:
Αυτός ο οδηγός προέρχεται από το Έγγραφα καταλόγου Active Directory Azure.
Μεταβείτε στη σελίδα Azure Active Directory της πύλης Azure. Επιλέξτε την επιλογή του μενού Διαχείριση, επιλέξτε Νέα εγγραφή και, στη συνέχεια, εγγραφείτε παρέχοντας τις παρακάτω πληροφορίες:
Μετά την εγγραφή, ανοίξτε την προβολή λεπτομερειών της εφαρμογής και αντιγράψτε το Αναγνωριστικό εφαρμογής (πελάτη). Αυτή θα είναι η τιμή client_id. Στη συνέχεια, ανοίξτε το μενού τελικών σημείων για να ανακτήσετε το Έγγραφο μεταδεδομένων OpenID Connect. Αυτή θα είναι η τιμή discovery_document_uri.
Δημιουργήστε ένα νέο μυστικό πελάτη κάνοντας κλικ στην επιλογή Πιστοποιητικά & μυστικά κάτω από το μενού Διαχείριση. Αντιγράψτε το μυστικό του πελάτη. η μυστική τιμή πελάτη θα είναι αυτή.
Τέλος, επιλέξτε το σύνδεσμο δικαιώματα API κάτω από το μενού Διαχείριση, κάντε κλικ Προσθέστε μια άδεια, και επιλέξτε Microsoft Graph. Προσθέστε ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ, OpenID, offline_access και λογαριασμό σας στις απαιτούμενες άδειες.
Αλλαγή /etc/firezone/firezone.rb για να συμπεριλάβετε τις παρακάτω επιλογές:
# Χρήση του Azure Active Directory ως παρόχου ταυτότητας SSO
προεπιλογή['firezone']['authentication']['oidc'] = {
γαλάζιο: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
ταυτότητα πελάτη: " "
client_secret: " "
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
answer_type: "code",
εύρος: "ανοιχτό προφίλ email offline_access",
Ετικέτα: "Azure"
}
}
Εκτελέστε το firezone-ctl reconfigure και κάντε επανεκκίνηση του firezone-ctl για να ενημερώσετε την εφαρμογή. Θα πρέπει τώρα να δείτε ένα κουμπί Είσοδος με το Azure στη διεύθυνση URL του ριζικού Firezone.
Το Azure AD επιτρέπει στους διαχειριστές να περιορίζουν την πρόσβαση εφαρμογών σε μια συγκεκριμένη ομάδα χρηστών εντός της εταιρείας σας. Περισσότερες πληροφορίες σχετικά με το πώς να το κάνετε αυτό μπορείτε να βρείτε στην τεκμηρίωση της Microsoft.
Το Chef Omnibus χρησιμοποιείται από τη Firezone για τη διαχείριση εργασιών, όπως η συσκευασία αποδέσμευσης, η επίβλεψη διαδικασιών, η διαχείριση αρχείων καταγραφής και πολλά άλλα.
Ο κώδικας Ruby αποτελεί το κύριο αρχείο διαμόρφωσης, το οποίο βρίσκεται στο /etc/firezone/firezone.rb. Η επανεκκίνηση της επαναδιαμόρφωσης του sudo firezone-ctl μετά την πραγματοποίηση τροποποιήσεων σε αυτό το αρχείο κάνει τον Chef να αναγνωρίσει τις αλλαγές και να τις εφαρμόσει στο τρέχον λειτουργικό σύστημα.
Δείτε την αναφορά του αρχείου διαμόρφωσης για μια πλήρη λίστα με τις μεταβλητές διαμόρφωσης και τις περιγραφές τους.
Μπορείτε να διαχειριστείτε την παρουσία σας Firezone μέσω του firezone-ctl εντολή, όπως φαίνεται παρακάτω. Οι περισσότερες υποεντολές απαιτούν πρόθεμα με sudo.
root@demo:~# firezone-ctl
omnibus-ctl: εντολή (υποεντολή)
Γενικές εντολές:
καθαρίσει
Διαγράψτε *όλα* τα δεδομένα firezone και ξεκινήστε από την αρχή.
δημιουργία-ή-επαναφορά-διαχειριστής
Επαναφέρει τον κωδικό πρόσβασης για τον διαχειριστή με τη διεύθυνση ηλεκτρονικού ταχυδρομείου που έχει καθοριστεί από προεπιλογή['firezone']['admin_email'] ή δημιουργεί έναν νέο διαχειριστή εάν δεν υπάρχει αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου.
βοήθεια
Εκτυπώστε αυτό το μήνυμα βοήθειας.
αναδιαμόρφωση
Ρυθμίστε ξανά τις παραμέτρους της εφαρμογής.
επαναφορά δικτύου
Επαναφέρει τα nftables, τη διεπαφή WireGuard και τον πίνακα δρομολόγησης στις προεπιλογές του Firezone.
show-config
Εμφάνιση της διαμόρφωσης που θα δημιουργηθεί με την επαναδιαμόρφωση.
Teardown-Network
Καταργεί τη διεπαφή WireGuard και τον πίνακα nftables firezone.
αναγκαστική-πιστοποίηση-ανανέωση
Επιβολή ανανέωσης πιστοποιητικού τώρα, ακόμα κι αν δεν έχει λήξει.
διακοπή-πιστοποίηση-ανανέωση
Καταργεί το cronjob που ανανεώνει τα πιστοποιητικά.
απεγκατάσταση
Σκοτώστε όλες τις διεργασίες και απεγκαταστήστε τον επόπτη διαδικασίας (τα δεδομένα θα διατηρηθούν).
εκδοχή
Εμφάνιση της τρέχουσας έκδοσης του Firezone
Εντολές διαχείρισης υπηρεσιών:
χαριτωμένος-σκοτώνει
Προσπαθήστε μια χαριτωμένη διακοπή και, στη συνέχεια, SIGKILL ολόκληρη την ομάδα διαδικασίας.
hup
Στείλτε τις υπηρεσίες ένα HUP.
int
Στείλτε τις υπηρεσίες ένα INT.
σκοτώνουν
Στείλτε στις υπηρεσίες ένα KILL.
μια φορά
Ξεκινήστε τις υπηρεσίες εάν είναι εκτός λειτουργίας. Μην τα επανεκκινήσετε εάν σταματήσουν.
επανεκκίνηση
Διακόψτε τις υπηρεσίες εάν εκτελούνται και μετά ξεκινήστε τις ξανά.
κατάλογος υπηρεσιών
Καταχωρίστε όλες τις υπηρεσίες (οι ενεργοποιημένες υπηρεσίες εμφανίζονται με *.)
Εκκίνηση
Ξεκινήστε τις υπηρεσίες εάν είναι απενεργοποιημένες και επανεκκινήστε τις εάν σταματήσουν.
κατάσταση
Εμφάνιση της κατάστασης όλων των υπηρεσιών.
στάση
Διακόψτε τις υπηρεσίες και μην τις επανεκκινήσετε.
ουρά
Παρακολουθήστε τα αρχεία καταγραφής υπηρεσιών όλων των ενεργοποιημένων υπηρεσιών.
όρος
Στείλτε τις υπηρεσίες ΟΡΟΥΣ.
usr1
Στείλτε τις υπηρεσίες USR1.
usr2
Στείλτε τις υπηρεσίες USR2.
Όλες οι περίοδοι λειτουργίας VPN πρέπει να τερματιστούν πριν από την αναβάθμιση του Firezone, η οποία απαιτεί επίσης τον τερματισμό της διεπαφής χρήστη Web. Σε περίπτωση που κάτι πάει στραβά κατά την αναβάθμιση, σας συμβουλεύουμε να αφιερώσετε μια ώρα για συντήρηση.
Για να βελτιώσετε το Firezone, πραγματοποιήστε τις ακόλουθες ενέργειες:
Εάν προκύψουν προβλήματα, ενημερώστε μας μέχρι υποβολή δελτίου υποστήριξης.
Υπάρχουν μερικές σημαντικές αλλαγές και τροποποιήσεις διαμόρφωσης στο 0.5.0 που πρέπει να αντιμετωπιστούν. Μάθετε περισσότερα παρακάτω.
Το Nginx δεν υποστηρίζει πλέον τις υποχρεωτικές παραμέτρους θύρας SSL και non-SSL από την έκδοση 0.5.0. Επειδή το Firezone χρειάζεται SSL για να λειτουργήσει, σας συμβουλεύουμε να αφαιρέσετε την υπηρεσία Nginx πακέτου ορίζοντας προεπιλογή['firezone']['nginx']['enabled'] = false και κατευθύνοντας τον αντίστροφο διακομιστή μεσολάβησης στην εφαρμογή Phoenix στη θύρα 13000 (από προεπιλογή ).
Το 0.5.0 εισάγει την υποστήριξη πρωτοκόλλου ACME για αυτόματη ανανέωση πιστοποιητικών SSL με την ομαδοποιημένη υπηρεσία Nginx. Να επιτρέψει,
Η δυνατότητα προσθήκης κανόνων με διπλότυπους προορισμούς έχει χαθεί στο Firezone 0.5.0. Το σενάριο μετεγκατάστασης θα αναγνωρίσει αυτόματα αυτές τις καταστάσεις κατά τη διάρκεια μιας αναβάθμισης σε 0.5.0 και θα διατηρήσει μόνο τους κανόνες των οποίων ο προορισμός περιλαμβάνει τον άλλο κανόνα. Δεν χρειάζεται να κάνετε τίποτα εάν αυτό είναι εντάξει.
Διαφορετικά, πριν από την αναβάθμιση, σας συμβουλεύουμε να αλλάξετε το σύνολο κανόνων σας για να απαλλαγείτε από αυτές τις καταστάσεις.
Το Firezone 0.5.0 καταργεί την υποστήριξη της παλαιού τύπου διαμόρφωσης Okta και Google SSO υπέρ της νέας, πιο ευέλικτης διαμόρφωσης που βασίζεται σε OIDC.
Εάν έχετε οποιαδήποτε διαμόρφωση κάτω από τα προεπιλεγμένα κλειδιά ['firezone']['authentication']['okta'] ή τα προεπιλεγμένα κλειδιά ['firezone']['authentication']['google'], θα πρέπει να τα μετεγκαταστήσετε στο OIDC μας -βασισμένη διαμόρφωση χρησιμοποιώντας τον παρακάτω οδηγό.
Υπάρχουσα διαμόρφωση Google OAuth
Καταργήστε αυτές τις γραμμές που περιέχουν τις παλιές διαμορφώσεις Google OAuth από το αρχείο διαμόρφωσης που βρίσκεται στη διεύθυνση /etc/firezone/firezone.rb
προεπιλογή['firezone']['authentication']['google']['enabled']
προεπιλογή['firezone']['authentication']['google']['client_id']
προεπιλογή['firezone']['authentication']['google']['client_secret']
προεπιλογή['firezone']['authentication']['google']['redirect_uri']
Στη συνέχεια, διαμορφώστε την Google ως πάροχο OIDC ακολουθώντας τις διαδικασίες εδώ.
(Παρέχετε οδηγίες συνδέσμου)<<<<<<<<<<<<<<<<
Διαμόρφωση υπάρχοντος Google OAuth
Καταργήστε αυτές τις γραμμές που περιέχουν τις παλιές ρυθμίσεις παραμέτρων Okta OAuth από το αρχείο διαμόρφωσης που βρίσκεται στη διεύθυνση /etc/firezone/firezone.rb
προεπιλογή['firezone']['authentication']['okta']['enabled']
προεπιλογή['firezone']['authentication']['okta']['client_id']
προεπιλογή['firezone']['authentication']['okta']['client_secret']
Προεπιλογή['firezone']['authentication']['okta']['site']
Στη συνέχεια, διαμορφώστε την Okta ως πάροχο OIDC ακολουθώντας τις διαδικασίες εδώ.
Ανάλογα με την τρέχουσα ρύθμιση και την έκδοση, ακολουθήστε τις παρακάτω οδηγίες:
Εάν έχετε ήδη ενσωμάτωση OIDC:
Για ορισμένους παρόχους OIDC, η αναβάθμιση σε >= 0.3.16 απαιτεί την απόκτηση ενός διακριτικού ανανέωσης για το εύρος πρόσβασης εκτός σύνδεσης. Με αυτόν τον τρόπο, διασφαλίζεται ότι το Firezone ενημερώνεται με τον πάροχο ταυτότητας και ότι η σύνδεση VPN διακόπτεται μετά τη διαγραφή ενός χρήστη. Οι προηγούμενες επαναλήψεις του Firezone δεν είχαν αυτό το χαρακτηριστικό. Σε ορισμένες περιπτώσεις, οι χρήστες που έχουν διαγραφεί από τον πάροχο ταυτότητάς σας ενδέχεται να εξακολουθούν να είναι συνδεδεμένοι σε ένα VPN.
Είναι απαραίτητο να συμπεριλάβετε την πρόσβαση εκτός σύνδεσης στην παράμετρο εμβέλειας της διαμόρφωσης OIDC για παρόχους OIDC που υποστηρίζουν το εύρος πρόσβασης εκτός σύνδεσης. Η επαναδιαμόρφωση του Firezone-ctl πρέπει να εκτελεστεί προκειμένου να εφαρμοστούν αλλαγές στο αρχείο διαμόρφωσης του Firezone, το οποίο βρίσκεται στο /etc/firezone/firezone.rb.
Για χρήστες που έχουν πιστοποιηθεί από τον πάροχο OIDC, θα δείτε την επικεφαλίδα Συνδέσεις OIDC στη σελίδα λεπτομερειών χρήστη της διεπαφής ιστού, εάν το Firezone είναι σε θέση να ανακτήσει με επιτυχία το διακριτικό ανανέωσης.
Εάν αυτό δεν λειτουργήσει, θα πρέπει να διαγράψετε την υπάρχουσα εφαρμογή OAuth και να επαναλάβετε τα βήματα ρύθμισης OIDC για να δημιουργήστε μια νέα ενσωμάτωση εφαρμογών .
Έχω μια υπάρχουσα ενσωμάτωση OAuth
Πριν από την 0.3.11, το Firezone χρησιμοποιούσε προδιαμορφωμένους παρόχους OAuth2.
Ακολουθήστε τις οδηγίες εδώ για μετεγκατάσταση στο OIDC.
Δεν έχω ενσωματώσει πάροχο ταυτότητας
Δεν χρειάζεται καμία ενέργεια.
Μπορείτε να ακολουθήσετε τις οδηγίες εδώ για να ενεργοποιήσετε το SSO μέσω ενός παρόχου OIDC.
Στη θέση του, η προεπιλογή['firezone']['external url'] αντικατέστησε την προεπιλεγμένη επιλογή διαμόρφωσης['firezone']['fqdn'].
Ρυθμίστε το στη διεύθυνση URL της διαδικτυακής πύλης Firezone που είναι προσβάσιμη στο ευρύ κοινό. Θα είναι από προεπιλογή https:// συν το FQDN του διακομιστή σας, εάν αφεθεί απροσδιόριστο.
Το αρχείο ρυθμίσεων βρίσκεται στο /etc/firezone/firezone.rb. Δείτε την αναφορά του αρχείου διαμόρφωσης για μια πλήρη λίστα με τις μεταβλητές διαμόρφωσης και τις περιγραφές τους.
Το Firezone δεν διατηρεί πλέον τα ιδιωτικά κλειδιά της συσκευής στον διακομιστή Firezone από την έκδοση 0.3.0.
Η διεπαφή χρήστη Web του Firezone δεν θα σας επιτρέψει να κάνετε εκ νέου λήψη ή να δείτε αυτές τις διαμορφώσεις, αλλά όλες οι υπάρχουσες συσκευές θα πρέπει να συνεχίσουν να λειτουργούν ως έχουν.
Εάν κάνετε αναβάθμιση από το Firezone 0.1.x, υπάρχουν μερικές αλλαγές στο αρχείο διαμόρφωσης που πρέπει να αντιμετωπιστούν με μη αυτόματο τρόπο.
Για να κάνετε τις απαραίτητες τροποποιήσεις στο αρχείο /etc/firezone/firezone.rb, εκτελέστε τις παρακάτω εντολές ως root.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/" /etc/firezone/firezone.rb
echo "προεπιλογή['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
αναδιαμόρφωση firezone-ctl
firezone-ctl επανεκκίνηση
Ο έλεγχος των αρχείων καταγραφής του Firezone είναι ένα σοφό πρώτο βήμα για τυχόν προβλήματα που μπορεί να προκύψουν.
Εκτελέστε το sudo firezone-ctl tail για να προβάλετε τα αρχεία καταγραφής του Firezone.
Τα περισσότερα προβλήματα συνδεσιμότητας με το Firezone προκαλούνται από μη συμβατούς κανόνες iptables ή nftables. Πρέπει να βεβαιωθείτε ότι τυχόν κανόνες που έχετε σε ισχύ δεν έρχονται σε σύγκρουση με τους κανόνες του Firezone.
Βεβαιωθείτε ότι η αλυσίδα FORWARD επιτρέπει πακέτα από τους πελάτες σας WireGuard στις τοποθεσίες που θέλετε να επιτρέψετε μέσω του Firezone, εάν η σύνδεσή σας στο Διαδίκτυο επιδεινώνεται κάθε φορά που ενεργοποιείτε τη σήραγγα WireGuard.
Αυτό μπορεί να επιτευχθεί εάν χρησιμοποιείτε το ufw διασφαλίζοντας ότι επιτρέπεται η προεπιλεγμένη πολιτική δρομολόγησης:
ubuntu@fz:~$ sudo ufw προεπιλεγμένη άδεια δρομολόγησης
Η προεπιλεγμένη πολιτική δρομολόγησης άλλαξε σε "να επιτρέπεται"
(φροντίστε να ενημερώσετε τους κανόνες σας ανάλογα)
A ufw η κατάσταση για έναν τυπικό διακομιστή Firezone μπορεί να μοιάζει με αυτό:
ubuntu@fz:~$ sudo ufw κατάσταση περιεκτική
Κατάσταση: ενεργό
Καταγραφή: ενεργή (χαμηλή)
Προεπιλογή: άρνηση (εισερχόμενη), άδεια (εξερχόμενη), άδεια (δρομολόγηση)
Νέα προφίλ: παράβλεψη
Προς Δράση Από
—————
22/tcp ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε
80/tcp ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε
443/tcp ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε
51820/udp ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε
22/tcp (v6) ALOW IN Anywhere (v6)
80/tcp (v6) ALOW IN Anywhere (v6)
443/tcp (v6) ΕΠΙΤΡΕΠΕΤΑΙ IN Anywhere (v6)
51820/udp (v6) ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε (v6)
Συνιστούμε τον περιορισμό της πρόσβασης στη διεπαφή ιστού για εξαιρετικά ευαίσθητες και κρίσιμες για την αποστολή αναπτύξεις παραγωγής, όπως εξηγείται παρακάτω.
Υπηρεσία | Προεπιλεγμένη θύρα | Ακούστε Διεύθυνση | Περιγραφή |
nginx | 80, 443 | όλοι | Δημόσια θύρα HTTP(S) για τη διαχείριση του Firezone και τη διευκόλυνση του ελέγχου ταυτότητας. |
Wireguard | 51820 | όλοι | Δημόσια θύρα WireGuard που χρησιμοποιείται για συνεδρίες VPN. (UDP) |
postgresql | 15432 | 127.0.0.1 | Τοπική θύρα μόνο που χρησιμοποιείται για ομαδοποιημένο διακομιστή Postgresql. |
Φοίνιξ | 13000 | 127.0.0.1 | Τοπική θύρα μόνο που χρησιμοποιείται από διακομιστή εφαρμογών ανάντη elixir. |
Σας συμβουλεύουμε να σκεφτείτε να περιορίσετε την πρόσβαση στη διεπαφή ιστού του Firezone που είναι εκτεθειμένη στο κοινό (από προεπιλογή θύρες 443/tcp και 80/tcp) και αντ 'αυτού να χρησιμοποιήσετε τη σήραγγα WireGuard για να διαχειριστείτε το Firezone για την παραγωγή και τις δημόσιες αναπτύξεις όπου θα είναι υπεύθυνος ένας μόνο διαχειριστής δημιουργίας και διανομής διαμορφώσεων συσκευών στους τελικούς χρήστες.
Για παράδειγμα, εάν ένας διαχειριστής δημιούργησε μια διαμόρφωση συσκευής και δημιούργησε μια σήραγγα με την τοπική διεύθυνση WireGuard 10.3.2.2, η ακόλουθη διαμόρφωση ufw θα επέτρεπε στον διαχειριστή να αποκτήσει πρόσβαση στη διεπαφή ιστού Firezone στη διεπαφή wg-firezone του διακομιστή χρησιμοποιώντας την προεπιλεγμένη 10.3.2.1 διεύθυνση σήραγγας:
root@demo:~# ufw κατάσταση περιεκτική
Κατάσταση: ενεργό
Καταγραφή: ενεργή (χαμηλή)
Προεπιλογή: άρνηση (εισερχόμενη), άδεια (εξερχόμενη), άδεια (δρομολόγηση)
Νέα προφίλ: παράβλεψη
Προς Δράση Από
—————
22/tcp ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε
51820/udp ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε
Οπουδήποτε ΕΠΙΤΡΕΠΕΤΑΙ ΣΤΟ 10.3.2.2
22/tcp (v6) ALOW IN Anywhere (v6)
51820/udp (v6) ΕΠΙΤΡΕΠΕΤΑΙ ΕΙΣΟΔΟΣ Οπουδήποτε (v6)
Αυτό θα έφευγε μόνο 22/tcp εκτίθενται για πρόσβαση SSH για τη διαχείριση του διακομιστή (προαιρετικό) και 51820/udp εκτίθενται προκειμένου να δημιουργηθούν σήραγγες WireGuard.
Το Firezone ομαδοποιεί έναν διακομιστή Postgresql και αντιστοίχιση psql βοηθητικό πρόγραμμα που μπορεί να χρησιμοποιηθεί από το τοπικό κέλυφος όπως:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d ζώνη πυρκαγιάς \
-h localhost \
-p 15432 \
-c "SQL_STATEMENT"
Αυτό μπορεί να είναι χρήσιμο για σκοπούς εντοπισμού σφαλμάτων.
Κοινές εργασίες:
Καταχώριση όλων των χρηστών:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d ζώνη πυρκαγιάς \
-h localhost \
-p 15432 \
-c "ΕΠΙΛΟΓΗ * ΑΠΟ χρήστες;"
Καταχώριση όλων των συσκευών:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d ζώνη πυρκαγιάς \
-h localhost \
-p 15432 \
-c "ΕΠΙΛΟΓΗ * ΑΠΟ συσκευές;"
Αλλαγή ρόλου χρήστη:
Ορίστε τον ρόλο σε "διαχειριστής" ή "μη προνομιούχος":
/opt/firezone/embedded/bin/psql \
-U firezone \
-d ζώνη πυρκαγιάς \
-h localhost \
-p 15432 \
-c "ΕΝΗΜΕΡΩΣΗ ΡΟΛΩΝ ΣΕΤ χρηστών = 'διαχειριστής' ΟΠΟΥ email = 'user@example.com';"
Δημιουργία αντιγράφων ασφαλείας της βάσης δεδομένων:
Επιπλέον, περιλαμβάνεται το πρόγραμμα pg dump, το οποίο μπορεί να χρησιμοποιηθεί για τη λήψη τακτικών αντιγράφων ασφαλείας της βάσης δεδομένων. Εκτελέστε τον ακόλουθο κώδικα για να αποθέσετε ένα αντίγραφο της βάσης δεδομένων στην κοινή μορφή ερωτήματος SQL (αντικαταστήστε το /path/to/backup.sql με τη θέση όπου πρέπει να δημιουργηθεί το αρχείο SQL):
/opt/firezone/embedded/bin/pg_dump \
-U firezone \
-d ζώνη πυρκαγιάς \
-h localhost \
-p 15432 > /path/to/backup.sql
Μετά την επιτυχή ανάπτυξη του Firezone, πρέπει να προσθέσετε χρήστες για να τους παρέχετε πρόσβαση στο δίκτυό σας. Το περιβάλλον εργασίας Web χρησιμοποιείται για να γίνει αυτό.
Επιλέγοντας το κουμπί "Προσθήκη χρήστη" κάτω από το /users, μπορείτε να προσθέσετε έναν χρήστη. Θα σας ζητηθεί να δώσετε στον χρήστη μια διεύθυνση email και έναν κωδικό πρόσβασης. Προκειμένου να επιτρέπεται η αυτόματη πρόσβαση στους χρήστες στον οργανισμό σας, το Firezone μπορεί επίσης να διασυνδέεται και να συγχρονίζεται με έναν πάροχο ταυτότητας. Περισσότερες λεπτομέρειες είναι διαθέσιμες στο Πιστοποιώ την αυθεντικότητα. < Προσθήκη συνδέσμου για Έλεγχος ταυτότητας
Σας συμβουλεύουμε να ζητήσετε από τους χρήστες να δημιουργήσουν τις δικές τους διαμορφώσεις συσκευών έτσι ώστε το ιδιωτικό κλειδί να είναι ορατό μόνο σε αυτούς. Οι χρήστες μπορούν να δημιουργήσουν τις δικές τους διαμορφώσεις συσκευών ακολουθώντας τις οδηγίες στο Οδηγίες πελάτη σελίδα.
Όλες οι διαμορφώσεις συσκευών χρήστη μπορούν να δημιουργηθούν από διαχειριστές Firezone. Στη σελίδα προφίλ χρήστη που βρίσκεται στο /users, επιλέξτε την επιλογή "Προσθήκη συσκευής" για να το πετύχετε.
[Εισαγωγή στιγμιότυπου οθόνης]
Μπορείτε να στείλετε email στον χρήστη το αρχείο διαμόρφωσης WireGuard μετά τη δημιουργία του προφίλ της συσκευής.
Οι χρήστες και οι συσκευές είναι συνδεδεμένοι. Για περισσότερες λεπτομέρειες σχετικά με τον τρόπο προσθήκης ενός χρήστη, βλ Προσθήκη χρηστών.
Μέσω της χρήσης του συστήματος netfilter του πυρήνα, το Firezone επιτρέπει τις δυνατότητες φιλτραρίσματος εξόδου για τον καθορισμό πακέτων DROP ή ACCEPT. Κανονικά επιτρέπεται όλη η κυκλοφορία.
Τα IPv4 και IPv6 CIDR και οι διευθύνσεις IP υποστηρίζονται μέσω της λίστας επιτρεπόμενων και της λίστας άρνησης, αντίστοιχα. Μπορείτε να επιλέξετε την εμβέλεια ενός κανόνα σε έναν χρήστη κατά την προσθήκη του, πράγμα που εφαρμόζει τον κανόνα σε όλες τις συσκευές αυτού του χρήστη.
Εγκατάσταση και διαμόρφωση
Για να δημιουργήσετε μια σύνδεση VPN χρησιμοποιώντας τον εγγενή πελάτη WireGuard, ανατρέξτε σε αυτόν τον οδηγό.
Οι Επίσημοι πελάτες WireGuard που βρίσκονται εδώ είναι συμβατοί με το Firezone:
Επισκεφτείτε τον επίσημο ιστότοπο του WireGuard στη διεύθυνση https://www.wireguard.com/install/ για συστήματα λειτουργικού συστήματος που δεν αναφέρονται παραπάνω.
Είτε ο διαχειριστής του Firezone είτε εσείς μπορείτε να δημιουργήσετε το αρχείο διαμόρφωσης της συσκευής χρησιμοποιώντας την πύλη Firezone.
Επισκεφτείτε τη διεύθυνση URL που έχει παράσχει ο διαχειριστής του Firezone για να δημιουργήσετε μόνοι σας ένα αρχείο διαμόρφωσης συσκευής. Η εταιρεία σας θα έχει μια μοναδική διεύθυνση URL για αυτό. σε αυτήν την περίπτωση, είναι https://instance-id.yourfirezone.com.
Συνδεθείτε στο Firezone Okta SSO
[Εισαγωγή στιγμιότυπου οθόνης]
Εισαγάγετε το αρχείο.conf στον πελάτη WireGuard ανοίγοντάς το. Γυρίζοντας το διακόπτη Ενεργοποίηση, μπορείτε να ξεκινήσετε μια περίοδο λειτουργίας VPN.
[Εισαγωγή στιγμιότυπου οθόνης]
Ακολουθήστε τις παρακάτω οδηγίες εάν ο διαχειριστής του δικτύου σας έχει επιβάλει επαναλαμβανόμενο έλεγχο ταυτότητας για να διατηρήσει τη σύνδεσή σας VPN ενεργή.
Χρειάζεστε:
Διεύθυνση URL της πύλης Firezone: Ζητήστε τη σύνδεση από τον διαχειριστή του δικτύου σας.
Ο διαχειριστής του δικτύου σας θα πρέπει να μπορεί να προσφέρει τα στοιχεία σύνδεσης και τον κωδικό πρόσβασής σας. Ο ιστότοπος Firezone θα σας ζητήσει να συνδεθείτε χρησιμοποιώντας την υπηρεσία ενιαίας σύνδεσης που χρησιμοποιεί ο εργοδότης σας (όπως η Google ή η Okta).
[Εισαγωγή στιγμιότυπου οθόνης]
Μεταβείτε στη διεύθυνση URL της πύλης Firezone και συνδεθείτε χρησιμοποιώντας τα διαπιστευτήρια που έχει δώσει ο διαχειριστής του δικτύου σας. Εάν είστε ήδη συνδεδεμένοι, κάντε κλικ στο κουμπί Επαναληπτικός έλεγχος προτού συνδεθείτε ξανά.
[Εισαγωγή στιγμιότυπου οθόνης]
[Εισαγωγή στιγμιότυπου οθόνης]
Για να εισαγάγετε το προφίλ διαμόρφωσης WireGuard χρησιμοποιώντας το Network Manager CLI σε συσκευές Linux, ακολουθήστε αυτές τις οδηγίες (nmcli).
Εάν το προφίλ έχει ενεργοποιημένη την υποστήριξη IPv6, η προσπάθεια εισαγωγής του αρχείου διαμόρφωσης χρησιμοποιώντας το γραφικό περιβάλλον χρήστη του Network Manager ενδέχεται να αποτύχει με το ακόλουθο σφάλμα:
ipv6.method: η μέθοδος "auto" δεν υποστηρίζεται για το WireGuard
Είναι απαραίτητο να εγκαταστήσετε τα βοηθητικά προγράμματα χώρου χρηστών WireGuard. Αυτό θα είναι ένα πακέτο που ονομάζεται wireguard ή wireguard-tools για διανομές Linux.
Για Ubuntu/Debian:
sudo apt εγκατάσταση Wireguard
Για να χρησιμοποιήσετε το Fedora:
sudo dnf εγκατάσταση Wireguard-Tools
Arch Linux:
sudo pacman -S wireguard-εργαλεία
Επισκεφτείτε τον επίσημο ιστότοπο του WireGuard στη διεύθυνση https://www.wireguard.com/install/ για διανομές που δεν αναφέρονται παραπάνω.
Είτε ο διαχειριστής του Firezone είτε η δική σας παραγωγή μπορεί να δημιουργήσει το αρχείο διαμόρφωσης της συσκευής χρησιμοποιώντας την πύλη Firezone.
Επισκεφτείτε τη διεύθυνση URL που έχει παράσχει ο διαχειριστής του Firezone για να δημιουργήσετε μόνοι σας ένα αρχείο διαμόρφωσης συσκευής. Η εταιρεία σας θα έχει μια μοναδική διεύθυνση URL για αυτό. σε αυτήν την περίπτωση, είναι https://instance-id.yourfirezone.com.
[Εισαγωγή στιγμιότυπου οθόνης]
Εισαγάγετε το παρεχόμενο αρχείο διαμόρφωσης χρησιμοποιώντας το nmcli:
sudo nmcli σύνδεση τύπου εισαγωγής αρχείο wireguard /path/to/configuration.conf
Το όνομα του αρχείου διαμόρφωσης θα αντιστοιχεί στη σύνδεση/διεπαφή WireGuard. Μετά την εισαγωγή, η σύνδεση μπορεί να μετονομαστεί εάν είναι απαραίτητο:
nmcli σύνδεση τροποποίηση [παλιό όνομα] σύνδεση.id [νέο όνομα]
Μέσω της γραμμής εντολών, συνδεθείτε στο VPN ως εξής:
Σύνδεση nmcli [όνομα vpn]
Για αποσύνδεση:
σύνδεση nmcli κάτω [όνομα vpn]
Η ισχύουσα μικροεφαρμογή Διαχείρισης Δικτύου μπορεί επίσης να χρησιμοποιηθεί για τη διαχείριση της σύνδεσης εάν χρησιμοποιείτε GUI.
Επιλέγοντας "ναι" για την επιλογή αυτόματης σύνδεσης, η σύνδεση VPN μπορεί να διαμορφωθεί ώστε να συνδέεται αυτόματα:
Η σύνδεση nmcli τροποποιεί τη σύνδεση [όνομα vpn]. <<<<<<<<<<<<<<<<<<<<<<<
αυτόματη σύνδεση ναι
Για να απενεργοποιήσετε την αυτόματη σύνδεση, ορίστε την ξανά στο no:
Η σύνδεση nmcli τροποποιεί τη σύνδεση [όνομα vpn].
αυτόματη σύνδεση αρ
Για να ενεργοποιήσετε το MFA Μεταβείτε στη σελίδα /user account/register mfa της πύλης Firezone. Χρησιμοποιήστε την εφαρμογή ελέγχου ταυτότητας για να σαρώσετε τον κωδικό QR μετά τη δημιουργία του και, στη συνέχεια, εισαγάγετε τον εξαψήφιο κωδικό.
Επικοινωνήστε με τον διαχειριστή σας για να επαναφέρετε τις πληροφορίες πρόσβασης του λογαριασμού σας, εάν τοποθετήσετε λάθος την εφαρμογή ελέγχου ταυτότητας.
Αυτό το σεμινάριο θα σας καθοδηγήσει στη διαδικασία ρύθμισης της δυνατότητας διαίρεσης σήραγγας του WireGuard με το Firezone, έτσι ώστε μόνο η κίνηση σε συγκεκριμένες περιοχές IP να προωθείται μέσω του διακομιστή VPN.
Οι περιοχές IP για τις οποίες ο πελάτης θα δρομολογήσει την κυκλοφορία δικτύου ορίζονται στο πεδίο Επιτρεπόμενες IP που βρίσκεται στη σελίδα /settings/default. Μόνο οι πρόσφατα δημιουργημένες διαμορφώσεις σήραγγας WireGuard που παράγονται από τη Firezone θα επηρεαστούν από αλλαγές σε αυτό το πεδίο.
[Εισαγωγή στιγμιότυπου οθόνης]
Η προεπιλεγμένη τιμή είναι 0.0.0.0/0, ::/0, η οποία δρομολογεί όλη την κίνηση δικτύου από τον πελάτη στον διακομιστή VPN.
Παραδείγματα τιμών σε αυτό το πεδίο περιλαμβάνουν:
0.0.0.0/0, ::/0 – όλη η κίνηση δικτύου θα δρομολογηθεί στον διακομιστή VPN.
192.0.2.3/32 – μόνο η κίνηση σε μία διεύθυνση IP θα δρομολογείται στον διακομιστή VPN.
3.5.140.0/22 – μόνο η κίνηση σε IP της περιοχής 3.5.140.1 – 3.5.143.254 θα δρομολογείται στον διακομιστή VPN. Σε αυτό το παράδειγμα, χρησιμοποιήθηκε το εύρος CIDR για την περιοχή ap-northeast-2 AWS.
Το Firezone επιλέγει πρώτα τη διεπαφή εξόδου που σχετίζεται με την πιο ακριβή διαδρομή όταν καθορίζει πού θα δρομολογηθεί ένα πακέτο.
Οι χρήστες πρέπει να αναδημιουργήσουν τα αρχεία διαμόρφωσης και να τα προσθέσουν στο εγγενές πρόγραμμα-πελάτη WireGuard για να ενημερώσουν τις υπάρχουσες συσκευές χρήστη με τη νέα διαμόρφωση διαίρεσης σήραγγας.
Για οδηγίες, δείτε Προσθέστε ΣΥΣΚΕΥΗ. <<<<<<<<<<< Προσθήκη συνδέσμου
Αυτό το εγχειρίδιο θα δείξει πώς να συνδέσετε δύο συσκευές χρησιμοποιώντας το Firezone ως ρελέ. Μια τυπική περίπτωση χρήσης είναι να επιτραπεί σε έναν διαχειριστή να αποκτήσει πρόσβαση σε διακομιστή, κοντέινερ ή μηχανή που προστατεύεται από NAT ή τείχος προστασίας.
Αυτή η εικόνα δείχνει ένα απλό σενάριο στο οποίο οι συσκευές Α και Β κατασκευάζουν μια σήραγγα.
[Εισαγωγή αρχιτεκτονικής εικόνας firezone]
Ξεκινήστε δημιουργώντας τη Συσκευή Α και τη Συσκευή Β μεταβαίνοντας στο /users/[user_id]/new_device. Στις ρυθμίσεις για κάθε συσκευή, βεβαιωθείτε ότι οι ακόλουθες παράμετροι έχουν οριστεί στις τιμές που αναφέρονται παρακάτω. Μπορείτε να ορίσετε τις ρυθμίσεις της συσκευής κατά τη δημιουργία της διαμόρφωσης της συσκευής (δείτε Προσθήκη συσκευών). Εάν χρειάζεται να ενημερώσετε τις ρυθμίσεις σε μια υπάρχουσα συσκευή, μπορείτε να το κάνετε δημιουργώντας μια νέα διαμόρφωση συσκευής.
Σημειώστε ότι όλες οι συσκευές έχουν μια σελίδα /settings/defaults όπου μπορεί να διαμορφωθεί το PersistentKeepalive.
AllowedIPs = 10.3.2.2/32
Αυτή είναι η IP ή το εύρος των IP της συσκευής Β
PersistentKeepalive = 25
Εάν η συσκευή βρίσκεται πίσω από ένα NAT, αυτό διασφαλίζει ότι η συσκευή είναι σε θέση να διατηρήσει τη σήραγγα ζωντανή και να συνεχίσει να λαμβάνει πακέτα από τη διεπαφή WireGuard. Συνήθως αρκεί η τιμή 25, αλλά μπορεί να χρειαστεί να μειώσετε αυτήν την τιμή ανάλογα με το περιβάλλον σας.
AllowedIPs = 10.3.2.3/32
Αυτή είναι η IP ή το εύρος των IP της Συσκευής Α
PersistentKeepalive = 25
Αυτό το παράδειγμα δείχνει μια κατάσταση στην οποία η Συσκευή Α μπορεί να επικοινωνεί με τις Συσκευές Β έως Δ και προς τις δύο κατευθύνσεις. Αυτή η ρύθμιση μπορεί να αντιπροσωπεύει έναν μηχανικό ή έναν διαχειριστή που έχει πρόσβαση σε πολλούς πόρους (διακομιστές, κοντέινερ ή μηχανήματα) σε διάφορα δίκτυα.
[Αρχιτεκτονικό Διάγραμμα]<<<<<<<<<<<<<<<<<<<<<<<<<
Βεβαιωθείτε ότι οι ακόλουθες ρυθμίσεις έχουν γίνει στις ρυθμίσεις κάθε συσκευής στις αντίστοιχες τιμές. Κατά τη δημιουργία της διαμόρφωσης της συσκευής, μπορείτε να καθορίσετε τις ρυθμίσεις της συσκευής (δείτε Προσθήκη συσκευών). Μια νέα διαμόρφωση συσκευής μπορεί να δημιουργηθεί εάν πρέπει να ενημερωθούν οι ρυθμίσεις σε μια υπάρχουσα συσκευή.
Επιτρεπόμενα IP = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Αυτή είναι η IP των συσκευών B έως D. Οι IP των συσκευών B έως D πρέπει να περιλαμβάνονται σε οποιοδήποτε εύρος IP που θα επιλέξετε να ορίσετε.
PersistentKeepalive = 25
Αυτό εγγυάται ότι η συσκευή μπορεί να διατηρήσει τη σήραγγα και να συνεχίσει να λαμβάνει πακέτα από τη διεπαφή WireGuard ακόμα κι αν προστατεύεται από NAT. Στις περισσότερες περιπτώσεις, η τιμή 25 είναι επαρκής, ωστόσο, ανάλογα με το περιβάλλον σας, ίσως χρειαστεί να μειώσετε αυτόν τον αριθμό.
Για να προσφέρετε μια ενιαία, στατική διεύθυνση IP εξόδου από την οποία θα ρέει όλη η κίνηση της ομάδας σας, το Firezone μπορεί να χρησιμοποιηθεί ως πύλη NAT. Αυτές οι καταστάσεις περιλαμβάνουν τη συχνή χρήση του:
Συμβουλευτικές δεσμεύσεις: Ζητήστε από τον πελάτη σας στη λίστα επιτρεπόμενων μιας στατικής διεύθυνσης IP αντί για τη μοναδική IP συσκευής κάθε υπαλλήλου.
Χρήση διακομιστή μεσολάβησης ή απόκρυψη της IP πηγής σας για λόγους ασφαλείας ή απορρήτου.
Σε αυτήν την ανάρτηση θα παρουσιαστεί ένα απλό παράδειγμα περιορισμού της πρόσβασης σε μια αυτο-φιλοξενούμενη εφαρμογή Ιστού σε μια μεμονωμένη στατική IP στη λίστα επιτρεπόμενων που εκτελεί το Firezone. Σε αυτήν την εικόνα, το Firezone και ο προστατευμένος πόρος βρίσκονται σε διαφορετικές περιοχές VPC.
Αυτή η λύση χρησιμοποιείται συχνά αντί της διαχείρισης μιας λευκής λίστας IP για πολλούς τελικούς χρήστες, η οποία μπορεί να είναι χρονοβόρα καθώς επεκτείνεται η λίστα πρόσβασης.
Ο στόχος μας είναι να δημιουργήσουμε έναν διακομιστή Firezone σε μια παρουσία EC2 για να ανακατευθύνει την κυκλοφορία VPN στον περιορισμένο πόρο. Σε αυτήν την περίπτωση, το Firezone χρησιμεύει ως διακομιστής μεσολάβησης δικτύου ή πύλη NAT για να δώσει σε κάθε συνδεδεμένη συσκευή μια μοναδική δημόσια διεύθυνση IP εξόδου.
Σε αυτήν την περίπτωση, μια παρουσία EC2 με το όνομα tc2.micro έχει εγκατεστημένη μια παρουσία Firezone σε αυτήν. Για πληροφορίες σχετικά με την ανάπτυξη του Firezone, μεταβείτε στον Οδηγό ανάπτυξης. Σε σχέση με το AWS, βεβαιωθείτε ότι:
Η ομάδα ασφαλείας της παρουσίας Firezone EC2 επιτρέπει την εξερχόμενη κυκλοφορία στη διεύθυνση IP του προστατευμένου πόρου.
Το στιγμιότυπο Firezone συνοδεύεται από ελαστική IP. Η επισκεψιμότητα που προωθείται μέσω της παρουσίας του Firezone σε εξωτερικούς προορισμούς θα έχει αυτήν τη διεύθυνση IP πηγής. Η εν λόγω διεύθυνση IP είναι 52.202.88.54.
[Εισαγωγή στιγμιότυπου οθόνης]<<<<<<<<<<<<<<<<<<<<<<<<<
Μια αυτο-φιλοξενούμενη εφαρμογή Ιστού χρησιμεύει ως προστατευμένος πόρος σε αυτήν την περίπτωση. Η πρόσβαση στην εφαρμογή Ιστού είναι δυνατή μόνο από αιτήματα που προέρχονται από τη διεύθυνση IP 52.202.88.54. Ανάλογα με τον πόρο, μπορεί να είναι απαραίτητο να επιτραπεί η εισερχόμενη κίνηση σε διάφορες θύρες και τύπους κίνησης. Αυτό δεν καλύπτεται σε αυτό το εγχειρίδιο.
[Εισαγωγή στιγμιότυπου οθόνης]<<<<<<<<<<<<<<<<<<<<<<<<<
Ενημερώστε το τρίτο μέρος που είναι υπεύθυνο για τον προστατευμένο πόρο ότι πρέπει να επιτρέπεται η κυκλοφορία από τη στατική IP που ορίζεται στο Βήμα 1 (σε αυτήν την περίπτωση 52.202.88.54).
Από προεπιλογή, όλη η κίνηση των χρηστών θα περνά μέσω του διακομιστή VPN και θα προέρχεται από τη στατική IP που διαμορφώθηκε στο Βήμα 1 (σε αυτήν την περίπτωση 52.202.88.54). Ωστόσο, εάν έχει ενεργοποιηθεί η διαίρεση της σήραγγας, ενδέχεται να απαιτούνται ρυθμίσεις για να βεβαιωθείτε ότι η IP προορισμού του προστατευμένου πόρου περιλαμβάνεται στη λίστα των Επιτρεπόμενων IP.
Παρακάτω εμφανίζεται μια πλήρης λίστα με τις διαθέσιμες επιλογές διαμόρφωσης /etc/firezone/firezone.rb.
επιλογή | περιγραφή | Προεπιλεγμένη τιμή |
προεπιλογή['firezone']['external_url'] | URL που χρησιμοποιείται για την πρόσβαση στην πύλη ιστού αυτής της παρουσίας Firezone. | "https://#{node['fqdn'] || node['hostname']}” |
προεπιλογή['firezone']['config_directory'] | Κατάλογος ανώτατου επιπέδου για τη διαμόρφωση του Firezone. | /etc/firezone' |
προεπιλογή['firezone']['install_directory'] | Κατάλογος ανώτατου επιπέδου για εγκατάσταση του Firezone. | /opt/firezone' |
προεπιλογή['firezone']['app_directory'] | Κατάλογος ανώτατου επιπέδου για την εγκατάσταση της διαδικτυακής εφαρμογής Firezone. | "#{node['firezone']['install_directory']}/embedded/service/firezone" |
προεπιλογή['firezone']['log_directory'] | Κατάλογος ανώτατου επιπέδου για αρχεία καταγραφής Firezone. | /var/log/firezone' |
προεπιλογή['firezone']['var_directory'] | Κατάλογος ανώτατου επιπέδου για αρχεία χρόνου εκτέλεσης Firezone. | /var/opt/firezone' |
προεπιλογή['firezone']['χρήστης'] | Όνομα μη προνομιούχου χρήστη Linux στον οποίο θα ανήκουν οι περισσότερες υπηρεσίες και αρχεία. | ζώνη πυρκαγιάς' |
προεπιλογή['firezone']['group'] | Όνομα της ομάδας Linux στην οποία θα ανήκουν οι περισσότερες υπηρεσίες και αρχεία. | ζώνη πυρκαγιάς' |
προεπιλογή['firezone']['admin_email'] | Διεύθυνση ηλεκτρονικού ταχυδρομείου για τον αρχικό χρήστη Firezone. | “firezone@localhost” |
προεπιλογή['firezone']['max_devices_per_user'] | Μέγιστος αριθμός συσκευών που μπορεί να έχει ένας χρήστης. | 10 |
προεπιλογή['firezone']['allow_unprivileged_device_management'] | Επιτρέπει σε χρήστες που δεν είναι διαχειριστές να δημιουργούν και να διαγράφουν συσκευές. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['allow_unprivileged_device_configuration'] | Επιτρέπει σε χρήστες που δεν είναι διαχειριστές να τροποποιούν τις διαμορφώσεις συσκευών. Όταν είναι απενεργοποιημένο, εμποδίζει τους μη προνομιούχους χρήστες να αλλάζουν όλα τα πεδία της συσκευής εκτός από το όνομα και την περιγραφή. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['egress_interface'] | Όνομα διεπαφής από όπου θα εξέρχεται η κυκλοφορία με σήραγγα. Αν μηδενιστεί, θα χρησιμοποιηθεί η προεπιλεγμένη διεπαφή διαδρομής. | μηδέν |
προεπιλογή['firezone']['fips_enabled'] | Ενεργοποιήστε ή απενεργοποιήστε τη λειτουργία OpenSSL FIPs. | μηδέν |
προεπιλογή['firezone']['logging']['ενεργοποιημένο'] | Ενεργοποίηση ή απενεργοποίηση της καταγραφής στο Firezone. Ορίστε σε false για να απενεργοποιήσετε πλήρως την καταγραφή. | ΑΛΗΘΙΝΗ |
προεπιλογή['enterprise']['name'] | Όνομα που χρησιμοποιείται από το βιβλίο μαγειρικής του Chef 'enterprise'. | ζώνη πυρκαγιάς' |
προεπιλογή['firezone']['install_path'] | Διαδρομή εγκατάστασης που χρησιμοποιείται από το βιβλίο μαγειρικής Chef 'enterprise'. Θα πρέπει να οριστεί στο ίδιο με τον install_directory παραπάνω. | κόμβος['firezone']['install_directory'] |
προεπιλογή['firezone']['sysvinit_id'] | Ένα αναγνωριστικό που χρησιμοποιείται στο /etc/inittab. Πρέπει να είναι μια μοναδική ακολουθία 1-4 χαρακτήρων. | ΓΟΥΛΙΑ' |
προεπιλογή['firezone']['authentication']['local']['enabled'] | Ενεργοποιήστε ή απενεργοποιήστε τον τοπικό έλεγχο ταυτότητας email/κωδικού πρόσβασης. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['authentication']['auto_create_oidc_users'] | Δημιουργήστε αυτόματα χρήστες που συνδέονται από το OIDC για πρώτη φορά. Απενεργοποιήστε για να επιτρέπεται μόνο στους υπάρχοντες χρήστες να συνδέονται μέσω OIDC. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['authentication']['disable_vpn_on_oidc_error'] | Απενεργοποιήστε το VPN ενός χρήστη εάν εντοπιστεί σφάλμα κατά την ανανέωση του διακριτικού OIDC του. | ΨΕΥΔΗΣ |
προεπιλογή['firezone']['authentication']['oidc'] | OpenID Connect config, σε μορφή {“provider” => [config…]} – Βλ Τεκμηρίωση OpenIDConnect για παραδείγματα διαμόρφωσης. | {} |
προεπιλογή['firezone']['nginx']['ενεργοποιημένο'] | Ενεργοποιήστε ή απενεργοποιήστε τον ομαδοποιημένο διακομιστή nginx. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['nginx']['ssl_port'] | Θύρα ακρόασης HTTPS. | 443 |
προεπιλογή['firezone']['nginx']['κατάλογος'] | Κατάλογος για την αποθήκευση της διαμόρφωσης εικονικού κεντρικού υπολογιστή nginx που σχετίζεται με το Firezone. | "#{node['firezone']['var_directory']}/nginx/etc" |
προεπιλογή['firezone']['nginx']['log_directory'] | Κατάλογος για την αποθήκευση αρχείων καταγραφής nginx που σχετίζονται με το Firezone. | "#{node['firezone']['log_directory']}/nginx" |
προεπιλογή['firezone']['nginx']['log_rotation']['file_maxbytes'] | Μέγεθος αρχείου στο οποίο μπορείτε να περιστρέψετε τα αρχεία καταγραφής Nginx. | 104857600 |
προεπιλογή['firezone']['nginx']['log_rotation']['num_to_keep'] | Αριθμός αρχείων καταγραφής Firezone nginx που πρέπει να διατηρηθούν πριν από την απόρριψη. | 10 |
προεπιλογή['firezone']['nginx']['log_x_forwarded_for'] | Εάν θα καταγραφεί η κεφαλίδα Firezone nginx x-forwarded-for. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['nginx']['hsts_header']['enabled'] | ΑΛΗΘΙΝΗ | |
προεπιλογή['firezone']['nginx']['hsts_header']['include_subdomains'] | Ενεργοποίηση ή απενεργοποίηση του includeSubDomains για την κεφαλίδα HSTS. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['nginx']['hsts_header']['max_age'] | Μέγιστη ηλικία για την κεφαλίδα HSTS. | 31536000 |
προεπιλογή['firezone']['nginx']['redirect_to_canonical'] | Εάν θα ανακατευθύνονται οι διευθύνσεις URL στο κανονικό FQDN που καθορίζεται παραπάνω | ΨΕΥΔΗΣ |
προεπιλογή['firezone']['nginx']['cache']['ενεργοποιημένη'] | Ενεργοποιήστε ή απενεργοποιήστε την προσωρινή μνήμη Firezone nginx. | ΨΕΥΔΗΣ |
προεπιλογή['firezone']['nginx']['cache']['κατάλογος'] | Κατάλογος για την προσωρινή μνήμη Firezone nginx. | "#{node['firezone']['var_directory']}/nginx/cache" |
προεπιλογή['firezone']['nginx']['χρήστης'] | Χρήστης Firezone nginx. | κόμβος['firezone']['χρήστης'] |
προεπιλογή['firezone']['nginx']['group'] | Ομάδα Firezone nginx. | κόμβος['firezone']['group'] |
προεπιλογή['firezone']['nginx']['dir'] | Κατάλογος διαμόρφωσης nginx ανώτατου επιπέδου. | κόμβος['firezone']['nginx']['κατάλογος'] |
προεπιλογή['firezone']['nginx']['log_dir'] | Κατάλογος καταγραφής nginx ανώτατου επιπέδου. | κόμβος['firezone']['nginx']['log_directory'] |
προεπιλογή['firezone']['nginx']['pid'] | Θέση για το αρχείο nginx pid. | "#{node['firezone']['nginx']['directory']}/nginx.pid" |
προεπιλογή['firezone']['nginx']['daemon_disable'] | Απενεργοποιήστε τη λειτουργία nginx daemon για να μπορούμε να την παρακολουθούμε. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['nginx']['gzip'] | Ενεργοποιήστε ή απενεργοποιήστε τη συμπίεση nginx gzip. | επί' |
προεπιλογή['firezone']['nginx']['gzip_static'] | Ενεργοποιήστε ή απενεργοποιήστε τη συμπίεση nginx gzip για στατικά αρχεία. | μακριά από' |
προεπιλογή['firezone']['nginx']['gzip_http_version'] | Έκδοση HTTP για χρήση για την εξυπηρέτηση στατικών αρχείων. | 1.0 " |
προεπιλογή['firezone']['nginx']['gzip_comp_level'] | Επίπεδο συμπίεσης nginx gzip. | 2 " |
προεπιλογή['firezone']['nginx']['gzip_proxied'] | Ενεργοποιεί ή απενεργοποιεί το gzipping των απαντήσεων για αιτήματα μεσολάβησης ανάλογα με το αίτημα και την απάντηση. | όποιος' |
προεπιλογή['firezone']['nginx']['gzip_vary'] | Ενεργοποιεί ή απενεργοποιεί την εισαγωγή της κεφαλίδας απάντησης "Vary: Accept-Encoding". | μακριά από' |
προεπιλογή['firezone']['nginx']['gzip_buffers'] | Ορίζει τον αριθμό και το μέγεθος των buffer που χρησιμοποιούνται για τη συμπίεση μιας απόκρισης. Αν μηδέν, χρησιμοποιείται η προεπιλογή nginx. | μηδέν |
προεπιλογή['firezone']['nginx']['gzip_types'] | Τύποι MIME για την ενεργοποίηση της συμπίεσης gzip. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
προεπιλογή['firezone']['nginx']['gzip_min_length'] | Ελάχιστο μήκος αρχείου για την ενεργοποίηση της συμπίεσης αρχείου gzip. | 1000 |
προεπιλογή['firezone']['nginx']['gzip_disable'] | Αντιστοίχιση χρήστη-πράκτορα για απενεργοποίηση συμπίεσης gzip. | MSIE [1-6]\.' |
προεπιλογή['firezone']['nginx']['keepalive'] | Ενεργοποιεί την προσωρινή μνήμη για σύνδεση με διακομιστές ανοδικής ροής. | επί' |
προεπιλογή['firezone']['nginx']['keepalive_timeout'] | Λήξη χρονικού ορίου σε δευτερόλεπτα για διατήρηση διατήρησης σύνδεσης με διακομιστές ανάντη. | 65 |
προεπιλογή['firezone']['nginx']['worker_processes'] | Αριθμός διαδικασιών nginx worker. | κόμβος['cpu'] && κόμβος['cpu']['σύνολο'] ? κόμβος['cpu']['σύνολο'] : 1 |
προεπιλογή['firezone']['nginx']['worker_connections'] | Μέγιστος αριθμός ταυτόχρονων συνδέσεων που μπορούν να ανοίξουν από μια διαδικασία εργασίας. | 1024 |
προεπιλογή['firezone']['nginx']['worker_rlimit_nofile'] | Αλλάζει το όριο στον μέγιστο αριθμό ανοιχτών αρχείων για διεργασίες εργασίας. Χρησιμοποιεί το nginx προεπιλογή εάν μηδέν. | μηδέν |
προεπιλογή['firezone']['nginx']['multi_accept'] | Εάν οι εργαζόμενοι πρέπει να αποδέχονται μία σύνδεση τη φορά ή πολλαπλές. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['nginx']['event'] | Καθορίζει τη μέθοδο επεξεργασίας σύνδεσης που θα χρησιμοποιηθεί στο πλαίσιο συμβάντων nginx. | epoll' |
προεπιλογή['firezone']['nginx']['server_tokens'] | Ενεργοποιεί ή απενεργοποιεί την έκδοση nginx που εκπέμπει σε σελίδες σφαλμάτων και στο πεδίο κεφαλίδας απόκρισης «Διακομιστής». | μηδέν |
προεπιλογή['firezone']['nginx']['server_names_hash_bucket_size'] | Ορίζει το μέγεθος του κάδου για τους πίνακες κατακερματισμού ονομάτων διακομιστή. | 64 |
προεπιλογή['firezone']['nginx']['sendfile'] | Ενεργοποιεί ή απενεργοποιεί τη χρήση του sendfile() του nginx. | επί' |
προεπιλογή['firezone']['nginx']['access_log_options'] | Ορίζει επιλογές καταγραφής πρόσβασης nginx. | μηδέν |
προεπιλογή['firezone']['nginx']['error_log_options'] | Ορίζει τις επιλογές καταγραφής σφαλμάτων nginx. | μηδέν |
προεπιλογή['firezone']['nginx']['disable_access_log'] | Απενεργοποιεί το αρχείο καταγραφής πρόσβασης nginx. | ΨΕΥΔΗΣ |
προεπιλογή['firezone']['nginx']['types_hash_max_size'] | nginx τύπους hash μέγιστο μέγεθος. | 2048 |
προεπιλογή['firezone']['nginx']['types_hash_bucket_size'] | nginx τύπους hash bucket size. | 64 |
προεπιλογή['firezone']['nginx']['proxy_read_timeout'] | Λήξη χρονικού ορίου ανάγνωσης διακομιστή μεσολάβησης nginx. Ορίστε στο μηδέν για να χρησιμοποιήσετε το nginx προεπιλογή. | μηδέν |
προεπιλογή['firezone']['nginx']['client_body_buffer_size'] | μέγεθος buffer σώματος πελάτη nginx. Ορίστε στο μηδέν για να χρησιμοποιήσετε το nginx προεπιλογή. | μηδέν |
προεπιλογή['firezone']['nginx']['client_max_body_size'] | Μέγιστο μέγεθος σώματος πελάτη nginx. | 250 μ' |
προεπιλογή['firezone']['nginx']['default']['modules'] | Καθορίστε πρόσθετες μονάδες nginx. | [] |
προεπιλογή['firezone']['nginx']['enable_rate_limiting'] | Ενεργοποιήστε ή απενεργοποιήστε τον περιορισμό ρυθμού nginx. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['nginx']['rate_limiting_zone_name'] | Όνομα ζώνης περιορισμού ρυθμού Nginx. | ζώνη πυρκαγιάς' |
προεπιλογή['firezone']['nginx']['rate_limiting_backoff'] | Ο περιορισμός του ρυθμού Nginx υποχωρεί. | 10 μ' |
προεπιλογή['firezone']['nginx']['rate_limit'] | Όριο ποσοστού Nginx. | 10 r/s' |
προεπιλογή['firezone']['nginx']['ipv6'] | Επιτρέψτε στο nginx να ακούει αιτήματα HTTP για IPv6 εκτός από το IPv4. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['postgresql']['ενεργοποιημένο'] | Ενεργοποίηση ή απενεργοποίηση του πακέτου Postgresql. Ορίστε σε false και συμπληρώστε τις παρακάτω επιλογές βάσης δεδομένων για να χρησιμοποιήσετε τη δική σας παρουσία Postgresql. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['postgresql']['όνομα χρήστη'] | Όνομα χρήστη για Postgresql. | κόμβος['firezone']['χρήστης'] |
προεπιλογή['firezone']['postgresql']['data_directory'] | Κατάλογος δεδομένων Postgresql. | "#{node['firezone']['var_directory']}/postgresql/13.3/data" |
προεπιλογή['firezone']['postgresql']['log_directory'] | Κατάλογος καταγραφής Postgresql. | "#{node['firezone']['log_directory']}/postgresql" |
προεπιλογή['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Μέγιστο μέγεθος αρχείου καταγραφής Postgresql πριν από την εναλλαγή του. | 104857600 |
προεπιλογή['firezone']['postgresql']['log_rotation']['num_to_keep'] | Αριθμός αρχείων καταγραφής Postgresql προς διατήρηση. | 10 |
προεπιλογή['firezone']['postgresql']['checkpoint_completion_target'] | Στόχος ολοκλήρωσης του σημείου ελέγχου Postgresql. | 0.5 |
προεπιλογή['firezone']['postgresql']['checkpoint_segments'] | Αριθμός τμημάτων σημείου ελέγχου Postgresql. | 3 |
προεπιλογή['firezone']['postgresql']['checkpoint_timeout'] | Χρονικό όριο του σημείου ελέγχου Postgresql. | 5 λεπτά' |
προεπιλογή['firezone']['postgresql']['checkpoint_warning'] | Χρόνος προειδοποίησης σημείου ελέγχου Postgresql σε δευτερόλεπτα. | δεκαετία του 30 |
προεπιλογή['firezone']['postgresql']['effective_cache_size'] | Αποτελεσματικό μέγεθος προσωρινής μνήμης Postgresql. | 128MB' |
προεπιλογή['firezone']['postgresql']['listen_address'] | Διεύθυνση ακρόασης Postgresql. | 127.0.0.1 " |
προεπιλογή['firezone']['postgresql']['max_connections'] | Συνδέσεις Postgresql max. | 350 |
προεπιλογή['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR για να επιτρέπεται η ταυτότητα md5. | ['127.0.0.1/32', '::1/128'] |
προεπιλογή['firezone']['postgresql']['port'] | Θύρα ακρόασης Postgresql. | 15432 |
προεπιλογή['firezone']['postgresql']['shared_buffers'] | Μέγεθος κοινόχρηστων buffer Postgresql. | "#{(node['memory']['total'].to_i / 4) / 1024}MB" |
προεπιλογή['firezone']['postgresql']['shmmax'] | Postgresql shmmax σε byte. | 17179869184 |
προεπιλογή['firezone']['postgresql']['shmall'] | Postgresql shmall σε byte. | 4194304 |
προεπιλογή['firezone']['postgresql']['work_mem'] | Μέγεθος μνήμης εργασίας Postgresql. | 8MB' |
προεπιλογή['firezone']['βάση δεδομένων']['χρήστης'] | Καθορίζει το όνομα χρήστη που θα χρησιμοποιήσει το Firezone για να συνδεθεί στο DB. | κόμβος['firezone']['postgresql']['όνομα χρήστη'] |
προεπιλογή['firezone']['βάση δεδομένων']['κωδικός πρόσβασης'] | Εάν χρησιμοποιείτε εξωτερικό DB, καθορίζει τον κωδικό πρόσβασης που θα χρησιμοποιήσει το Firezone για να συνδεθεί στο DB. | Άλλαξέ με' |
προεπιλογή['firezone']['βάση δεδομένων']['όνομα'] | Βάση δεδομένων που θα χρησιμοποιεί το Firezone. Θα δημιουργηθεί αν δεν υπάρχει. | ζώνη πυρκαγιάς' |
προεπιλογή['firezone']['database']['host'] | Κεντρικός υπολογιστής βάσης δεδομένων στον οποίο θα συνδεθεί το Firezone. | κόμβος['firezone']['postgresql']['listen_address'] |
προεπιλογή['firezone']['βάση δεδομένων']['θύρα'] | Θύρα βάσης δεδομένων στην οποία θα συνδεθεί το Firezone. | κόμβος['firezone']['postgresql']['port'] |
προεπιλογή['firezone']['database']['pool'] | Μέγεθος πισίνας βάσης δεδομένων που θα χρησιμοποιήσει το Firezone. | [10, Etc.nεπεξεργαστές].max |
προεπιλογή['firezone']['βάση δεδομένων']['ssl'] | Εάν θα συνδεθείτε στη βάση δεδομένων μέσω SSL. | ΨΕΥΔΗΣ |
προεπιλογή['firezone']['database']['ssl_opts'] | {} | |
προεπιλογή['firezone']['βάση δεδομένων']['παράμετροι'] | {} | |
προεπιλογή['firezone']['βάση δεδομένων']['επεκτάσεις'] | Επεκτάσεις βάσης δεδομένων για ενεργοποίηση. | { 'plpgsql' => true, 'pg_trgm' => true } |
προεπιλογή['firezone']['phoenix']['ενεργοποιημένο'] | Ενεργοποιήστε ή απενεργοποιήστε την εφαρμογή web Firezone. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['phoenix']['listen_address'] | Διεύθυνση ακρόασης της εφαρμογής Ιστού Firezone. Αυτή θα είναι η ανάντη διεύθυνση ακρόασης που εκτελεί το nginx. | 127.0.0.1 " |
προεπιλογή['firezone']['phoenix']['port'] | Θύρα ακρόασης εφαρμογής Ιστού Firezone. Αυτή θα είναι η upstream θύρα που το nginx διαμεσολαβεί. | 13000 |
προεπιλογή['firezone']['phoenix']['log_directory'] | Κατάλογος καταγραφής εφαρμογών Ιστού Firezone. | "#{node['firezone']['log_directory']}/phoenix" |
προεπιλογή['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Μέγεθος αρχείου καταγραφής εφαρμογής Ιστού Firezone. | 104857600 |
προεπιλογή['firezone']['phoenix']['log_rotation']['num_to_keep'] | Αριθμός αρχείων καταγραφής εφαρμογών ιστού Firezone προς διατήρηση. | 10 |
προεπιλογή['firezone']['phoenix']['crash_detection']['enabled'] | Ενεργοποιήστε ή απενεργοποιήστε την κατάρριψη της εφαρμογής Ιστού Firezone όταν εντοπίζεται σφάλμα. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['phoenix']['external_trusted_proxies'] | Λίστα αξιόπιστων αντίστροφων διακομιστών μεσολάβησης που έχουν μορφοποιηθεί ως Πίνακας IP ή/και CIDR. | [] |
προεπιλογή['firezone']['phoenix']['private_clients'] | Λίστα προγραμμάτων-πελατών HTTP ιδιωτικού δικτύου, με μορφοποίηση συστοιχίας IP ή/και CIDR. | [] |
προεπιλογή['firezone']['wireguard']['ενεργοποιημένο'] | Ενεργοποιήστε ή απενεργοποιήστε τη συνδυασμένη διαχείριση WireGuard. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['wireguard']['log_directory'] | Κατάλογος καταγραφής για ομαδική διαχείριση WireGuard. | "#{node['firezone']['log_directory']}/wireguard" |
προεπιλογή['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Μέγιστο μέγεθος αρχείου καταγραφής WireGuard. | 104857600 |
προεπιλογή['firezone']['wireguard']['log_rotation']['num_to_keep'] | Αριθμός αρχείων καταγραφής WireGuard προς διατήρηση. | 10 |
προεπιλογή['firezone']['wireguard']['interface_name'] | Όνομα διεπαφής WireGuard. Η αλλαγή αυτής της παραμέτρου μπορεί να προκαλέσει προσωρινή απώλεια της συνδεσιμότητας VPN. | wg-firezone' |
προεπιλογή['firezone']['wireguard']['port'] | Θύρα ακρόασης WireGuard. | 51820 |
προεπιλογή['firezone']['wireguard']['mtu'] | MTU διεπαφής WireGuard για αυτόν τον διακομιστή και για διαμορφώσεις συσκευών. | 1280 |
προεπιλογή['firezone']['wireguard']['endpoint'] | WireGuard Endpoint για χρήση για τη δημιουργία διαμορφώσεων συσκευών. Εάν είναι μηδενικό, ορίζεται από προεπιλογή η δημόσια διεύθυνση IP του διακομιστή. | μηδέν |
προεπιλογή['firezone']['wireguard']['dns'] | WireGuard DNS για χρήση για δημιουργούμενες διαμορφώσεις συσκευών. | 1.1.1.1, 1.0.0.1′ |
προεπιλογή['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs για χρήση για δημιουργούμενες διαμορφώσεις συσκευών. | 0.0.0.0/0, ::/0′ |
προεπιλογή['firezone']['wireguard']['persistent_keepalive'] | Προεπιλεγμένη ρύθμιση PersistentKeepalive για δημιουργούμενες διαμορφώσεις συσκευών. Η τιμή 0 απενεργοποιείται. | 0 |
προεπιλογή['firezone']['wireguard']['ipv4']['ενεργοποιημένο'] | Ενεργοποιήστε ή απενεργοποιήστε το IPv4 για το δίκτυο WireGuard. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['wireguard']['ipv4']['masquerade'] | Ενεργοποιήστε ή απενεργοποιήστε το masquerade για πακέτα που εξέρχονται από τη σήραγγα IPv4. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['wireguard']['ipv4']['δίκτυο'] | Δεξαμενή διευθύνσεων IPv4 δικτύου WireGuard. | 10.3.2.0/24 ′ |
προεπιλογή['firezone']['wireguard']['ipv4']['address'] | Διεύθυνση IPv4 διεπαφής WireGuard. Πρέπει να βρίσκεται εντός του χώρου συγκέντρωσης διευθύνσεων WireGuard. | 10.3.2.1 " |
προεπιλογή['firezone']['wireguard']['ipv6']['ενεργοποιημένο'] | Ενεργοποιήστε ή απενεργοποιήστε το IPv6 για το δίκτυο WireGuard. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['wireguard']['ipv6']['masquerade'] | Ενεργοποιήστε ή απενεργοποιήστε το masquerade για πακέτα που εξέρχονται από τη σήραγγα IPv6. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['wireguard']['ipv6']['δίκτυο'] | Δεξαμενή διευθύνσεων IPv6 δικτύου WireGuard. | fd00::3:2:0/120′ |
προεπιλογή['firezone']['wireguard']['ipv6']['address'] | Διεύθυνση IPv6 διεπαφής WireGuard. Πρέπει να βρίσκεται εντός του χώρου συγκέντρωσης διευθύνσεων IPv6. | fd00::3:2:1′ |
προεπιλογή['firezone']['runit']['svlogd_bin'] | Εκτελέστε τη θέση του κάδου svlogd. | "#{node['firezone']['install_directory']}/embedded/bin/svlogd" |
προεπιλογή['firezone']['ssl']['κατάλογος'] | Κατάλογος SSL για την αποθήκευση πιστοποιητικών που δημιουργούνται. | /var/opt/firezone/ssl' |
προεπιλογή['firezone']['ssl']['email_address'] | Διεύθυνση ηλεκτρονικού ταχυδρομείου που θα χρησιμοποιηθεί για αυτο-υπογεγραμμένα πιστοποιητικά και ειδοποιήσεις ανανέωσης πρωτοκόλλου ACME. | you@example.com' |
προεπιλογή['firezone']['ssl']['acme']['ενεργοποιημένο'] | Ενεργοποιήστε το ACME για αυτόματη παροχή πιστοποιητικού SSL. Απενεργοποιήστε το για να αποτρέψετε την ακρόαση του Nginx στη θύρα 80. Δείτε εδώ για περισσότερες οδηγίες. | ΨΕΥΔΗΣ |
προεπιλογή['firezone']['ssl']['acme']['server'] | letsencrypt | |
προεπιλογή['firezone']['ssl']['acme']['key length'] | Καθορίστε τον τύπο και το μήκος του κλειδιού για τα πιστοποιητικά SSL. Βλέπω εδώ | εκ-256 |
προεπιλογή['firezone']['ssl']['πιστοποιητικό'] | Διαδρομή προς το αρχείο πιστοποιητικού για το FQDN σας. Παρακάμπτει τη ρύθμιση ACME παραπάνω, εάν καθορίζεται. Εάν τόσο το ACME όσο και αυτό είναι μηδενικό, θα δημιουργηθεί ένα αυτο-υπογεγραμμένο πιστοποιητικό. | μηδέν |
προεπιλογή['firezone']['ssl']['certificate_key'] | Διαδρομή προς το αρχείο πιστοποιητικού. | μηδέν |
προεπιλογή['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | μηδέν |
προεπιλογή['firezone']['ssl']['country_name'] | Όνομα χώρας για το αυτο-υπογεγραμμένο πιστοποιητικό. | ΜΑΣ' |
προεπιλογή['firezone']['ssl']['state_name'] | Το όνομα του κράτους για το αυτο-υπογεγραμμένο πιστοποιητικό. | ΑΣ |
προεπιλογή['firezone']['ssl']['locality_name'] | Τοπικό όνομα για το αυτο-υπογεγραμμένο πιστοποιητικό. | Σαν Φρανσίσκο' |
προεπιλογή['firezone']['ssl']['company_name'] | Πιστοποιητικό επωνυμίας εταιρείας αυτο-υπογεγραμμένο. | Η εταιρεία μου' |
προεπιλογή['firezone']['ssl']['organizational_unit_name'] | Όνομα οργανωτικής μονάδας για αυτο-υπογεγραμμένο πιστοποιητικό. | Λειτουργίες' |
προεπιλογή['firezone']['ssl']['ciphers'] | Κρυπτογράφηση SSL για χρήση nginx. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
προεπιλογή['firezone']['ssl']['fips_ciphers'] | Κρυπτογράφηση SSL για λειτουργία FIP. | FIPS@STRENGTH:!aNULL:!eNULL' |
προεπιλογή['firezone']['ssl']['πρωτόκολλα'] | Πρωτόκολλα TLS προς χρήση. | TLSv1 TLSv1.1 TLSv1.2′ |
προεπιλογή['firezone']['ssl']['session_cache'] | Προσωρινή μνήμη περιόδου λειτουργίας SSL. | κοινόχρηστο:SSL:4m' |
προεπιλογή['firezone']['ssl']['session_timeout'] | Λήξη χρονικού ορίου περιόδου σύνδεσης SSL. | 5 μ' |
προεπιλογή['firezone']['robots_allow'] | επιτρέπουν τα ρομπότ nginx. | / ' |
προεπιλογή['firezone']['robots_disallow'] | Τα ρομπότ nginx δεν επιτρέπουν. | μηδέν |
προεπιλογή['firezone']['outbound_email']['from'] | Εξερχόμενο email από τη διεύθυνση. | μηδέν |
προεπιλογή['firezone']['outbound_email']['provider'] | Πάροχος υπηρεσιών εξερχόμενων email. | μηδέν |
προεπιλογή['firezone']['outbound_email']['configs'] | Ρυθμίσεις παρόχου εξερχόμενων email. | βλέπε omnibus/cookbooks/firezone/attributes/default.rb |
προεπιλογή['firezone']['τηλεμετρία']['ενεργοποιημένη'] | Ενεργοποιήστε ή απενεργοποιήστε την ανώνυμη τηλεμετρία προϊόντος. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['connectivity_checks']['enabled'] | Ενεργοποιήστε ή απενεργοποιήστε την υπηρεσία ελέγχων συνδεσιμότητας Firezone. | ΑΛΗΘΙΝΗ |
προεπιλογή['firezone']['connectivity_checks']['interval'] | Μεσοδιάστημα μεταξύ των ελέγχων συνδεσιμότητας σε δευτερόλεπτα. | 3_600 |
________________________________________________________________
Εδώ θα βρείτε μια λίστα αρχείων και καταλόγων που σχετίζονται με μια τυπική εγκατάσταση Firezone. Αυτά μπορεί να αλλάξουν ανάλογα με τις αλλαγές στο αρχείο διαμόρφωσής σας.
μονοπάτι | περιγραφή |
/var/opt/firezone | Κατάλογος ανώτατου επιπέδου που περιέχει δεδομένα και δημιουργημένες ρυθμίσεις παραμέτρων για ομαδοποιημένες υπηρεσίες Firezone. |
/opt/firezone | Κατάλογος ανώτατου επιπέδου που περιέχει ενσωματωμένες βιβλιοθήκες, δυαδικά αρχεία και αρχεία χρόνου εκτέλεσης που απαιτούνται από το Firezone. |
/usr/bin/firezone-ctl | Βοηθητικό πρόγραμμα firezone-ctl για τη διαχείριση της εγκατάστασης Firezone. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd αρχείο μονάδας για την έναρξη της διαδικασίας επόπτη του Firezone runsvdir. |
/etc/firezone | Αρχεία διαμόρφωσης Firezone. |
__________________________________________________________
Αυτή η σελίδα ήταν κενή στα έγγραφα
_____________________________________________________________
Το παρακάτω πρότυπο τείχους προστασίας nftables μπορεί να χρησιμοποιηθεί για την ασφάλεια του διακομιστή που εκτελεί το Firezone. Το πρότυπο κάνει κάποιες υποθέσεις. μπορεί να χρειαστεί να προσαρμόσετε τους κανόνες ώστε να ταιριάζουν στην περίπτωση χρήσης σας:
Το Firezone διαμορφώνει τους δικούς του κανόνες nftables για να επιτρέπει/απορρίπτει την κυκλοφορία σε προορισμούς που έχουν διαμορφωθεί στη διεπαφή ιστού και να χειρίζεται το εξερχόμενο NAT για την κίνηση πελατών.
Η εφαρμογή του παρακάτω προτύπου τείχους προστασίας σε έναν διακομιστή που λειτουργεί ήδη (όχι κατά την εκκίνηση) θα έχει ως αποτέλεσμα τη διαγραφή των κανόνων του Firezone. Αυτό μπορεί να έχει επιπτώσεις στην ασφάλεια.
Για να επιλύσετε αυτό το πρόβλημα, επανεκκινήστε την υπηρεσία phoenix:
firezone-ctl επανεκκίνηση phoenix
#!/usr/sbin/nft -f
## Εκκαθάριση/εκκαθάριση όλων των υπαρχόντων κανόνων
σύνολο κανόνων έκπλυσης
############################### ΜΕΤΑΒΛΗΤΕΣ ################# ###############
## Όνομα διεπαφής Internet/WAN
ορίστε DEV_WAN = eth0
## Όνομα διεπαφής WireGuard
ορίστε DEV_WIREGUARD = wg-firezone
## Θύρα ακρόασης WireGuard
ορίστε WIREGUARD_PORT = 51820
############################## ΜΕΤΑΒΛΗΤΕΣ ΤΕΛΟΣ ################## ############
# Κύριος πίνακας φιλτραρίσματος οικογένειας inet
φίλτρο πίνακα inet {
# Κανόνες για προωθημένη κίνηση
# Αυτή η αλυσίδα υποβάλλεται σε επεξεργασία πριν από την εμπρόσθια αλυσίδα Firezone
αλυσίδα προς τα εμπρός {
τύπος φίλτρου φίλτρου προς τα εμπρός προτεραιότητας – 5; πολιτική αποδοχή
}
# Κανόνες για κίνηση εισόδου
είσοδος αλυσίδας {
Τύπος φίλτρο προτεραιότητας εισόδου άγκιστρου φίλτρου. πτώση πολιτικής
## Επιτρέψτε την εισερχόμενη κυκλοφορία στη διεπαφή loopback
αν εδω \
αποδέχομαι \
σχόλιο "Επιτρέψτε όλη την επισκεψιμότητα από τη διεπαφή loopback"
## Άδεια δημιουργίας και σχετικών συνδέσεων
ct κατάσταση καθιερωμένη, σχετική \
αποδέχομαι \
σχόλιο «Άδεια δημιουργίας/σχετικών συνδέσεων»
## Επιτρέψτε την εισερχόμενη κίνηση WireGuard
iif $DEV_WAN udp dport $WIREGUARD_PORT \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέψτε την εισερχόμενη κίνηση WireGuard"
## Καταγράψτε και αποθέστε νέα πακέτα TCP που δεν είναι SYN
tcp flags != syn ct κατάσταση νέα \
οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \
πρόθεμα καταγραφής “IN – Νέο !ΣΥΝ:” \
σχόλιο "Καταγραφή ορίου ρυθμού για νέες συνδέσεις που δεν έχουν οριστεί η σημαία SYN TCP"
tcp flags != syn ct κατάσταση νέα \
μετρητής \
πτώση \
σχόλιο "Αποθέστε νέες συνδέσεις που δεν έχουν οριστεί η σημαία SYN TCP"
## Καταγραφή και απόθεση πακέτων TCP με μη έγκυρο σύνολο σημαιών fin/syn
tcp flags & (fin|syn) == (fin|syn) \
οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \
πρόθεμα καταγραφής "IN – TCP FIN|SIN:" \
σχόλιο "Καταγραφή ορίου ρυθμού για πακέτα TCP με μη έγκυρο σύνολο σημαιών fin/syn"
tcp flags & (fin|syn) == (fin|syn) \
μετρητής \
πτώση \
σχόλιο "Απόθεση πακέτων TCP με μη έγκυρο σύνολο σημαιών fin/syn"
## Καταγραφή και απόθεση πακέτων TCP με μη έγκυρο σύνολο σημαιών συγχρονισμού/πρώτης
tcp σημαίες & (syn|prst) == (syn|prst) \
οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \
πρόθεμα καταγραφής "IN – TCP SYN|RST:" \
σχόλιο "Καταγραφή ορίου ρυθμού για πακέτα TCP με μη έγκυρο σύνολο σημαιών συγχρονισμού/πρώτου"
tcp σημαίες & (syn|prst) == (syn|prst) \
μετρητής \
πτώση \
σχόλιο "Απόθεση πακέτων TCP με μη έγκυρο σύνολο σημαιών συγχρονισμού/πρώτου"
## Καταγραφή και απόθεση μη έγκυρων σημαιών TCP
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \
πρόθεμα καταγραφής “IN – FIN:” \
σχόλιο "Καταγραφή ορίου ποσοστού για μη έγκυρες σημαίες TCP (fin|syn|rst|psh|ack|urg) < (fin)"
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
μετρητής \
πτώση \
σχόλιο "Απόθεση πακέτων TCP με σημαίες (fin|syn|rst|psh|ack|urg) < (fin)"
## Καταγραφή και απόθεση μη έγκυρων σημαιών TCP
tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \
πρόθεμα καταγραφής "IN – FIN|PSH|URG:" \
σχόλιο "Καταγραφή ορίου ποσοστού για μη έγκυρες σημαίες TCP (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
μετρητής \
πτώση \
σχόλιο "Αποθέστε πακέτα TCP με σημαίες (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Απόρριψη κίνησης με μη έγκυρη κατάσταση σύνδεσης
ct μη έγκυρη κατάσταση \
οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \
αρχείο καταγραφής σημαίες όλων των πρόθεμα "IN - Μη έγκυρο:" \
σχόλιο "Καταγραφή ορίου ποσοστού για κίνηση με μη έγκυρη κατάσταση σύνδεσης"
ct μη έγκυρη κατάσταση \
μετρητής \
πτώση \
σχόλιο "Αποβολή κυκλοφορίας με μη έγκυρη κατάσταση σύνδεσης"
## Επιτρέψτε τις αποκρίσεις ping/ping IPv4 αλλά όριο ρυθμού στα 2000 PPS
ip πρωτόκολλο icmp icmp type { echo-reply, echo-request } \
οριακό ποσοστό 2000/δεύτερο \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπει την εισερχόμενη ηχώ IPv4 (ping) περιορισμένη στα 2000 PPS"
## Επιτρέψτε όλα τα άλλα εισερχόμενα IPv4 ICMP
ip πρωτόκολλο icmp \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπει όλα τα άλλα IPv4 ICMP"
## Επιτρέψτε τις αποκρίσεις ping/ping IPv6 αλλά όριο ρυθμού στα 2000 PPS
icmpv6 type { echo-reply, echo-request } \
οριακό ποσοστό 2000/δεύτερο \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπει την εισερχόμενη ηχώ IPv6 (ping) περιορισμένη στα 2000 PPS"
## Επιτρέψτε όλα τα άλλα εισερχόμενα IPv6 ICMP
meta l4proto { icmpv6 } \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπει όλα τα άλλα IPv6 ICMP"
## Επιτρέψτε τις εισερχόμενες θύρες UDP traceroute αλλά περιορίστε τα 500 PPS
udp dport 33434-33524 \
οριακό ποσοστό 500/δεύτερο \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπει την εισερχόμενη ιχνηλάτηση UDP περιορισμένη στα 500 PPS"
## Επιτρέψτε το εισερχόμενο SSH
tcp dport ssh ct κατάσταση νέο \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπονται εισερχόμενες συνδέσεις SSH"
## Επιτρέψτε εισερχόμενα HTTP και HTTPS
tcp dport { http, https } ct κατάσταση νέα \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπονται εισερχόμενες συνδέσεις HTTP και HTTPS"
## Καταγράψτε τυχόν ασύγκριτη κίνηση, αλλά ρυθμίστε την καταγραφή ορίου σε έως 60 μηνύματα/λεπτό
## Η προεπιλεγμένη πολιτική θα εφαρμοστεί σε μη αντιστοιχισμένη επισκεψιμότητα
οριακό ποσοστό 60/λεπτό έκρηξη 100 πακέτα \
πρόθεμα καταγραφής “IN – Drop:” \
σχόλιο "Καταγραφή τυχόν ασυμβίβαστης κίνησης"
## Μετρήστε την απαράμιλλη κίνηση
μετρητής \
σχόλιο "Μετρήστε τυχόν ασύγκριτη κίνηση"
}
# Κανόνες για κυκλοφορία εξόδου
έξοδος αλυσίδας {
Τύπος φίλτρο προτεραιότητας εξόδου γάντζου φίλτρου. πτώση πολιτικής
## Επιτρέψτε την εξερχόμενη κυκλοφορία στη διεπαφή loopback
oif lo \
αποδέχομαι \
σχόλιο "Επιτρέψτε όλη την κυκλοφορία έξω στη διεπαφή loopback"
## Άδεια δημιουργίας και σχετικών συνδέσεων
ct κατάσταση καθιερωμένη, σχετική \
μετρητής \
αποδέχομαι \
σχόλιο «Άδεια δημιουργίας/σχετικών συνδέσεων»
## Επιτρέψτε την εξερχόμενη κυκλοφορία WireGuard πριν διακόψετε τις συνδέσεις με κακή κατάσταση
oif $DEV_WAN udp sport $WIREGUARD_PORT \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπει την εξερχόμενη κυκλοφορία του WireGuard"
## Απόρριψη κίνησης με μη έγκυρη κατάσταση σύνδεσης
ct μη έγκυρη κατάσταση \
οριακό ποσοστό 100/λεπτό έκρηξη 150 πακέτα \
αρχείο καταγραφής σημαίες όλων των πρόθεμα "OUT - Μη έγκυρο:" \
σχόλιο "Καταγραφή ορίου ποσοστού για κίνηση με μη έγκυρη κατάσταση σύνδεσης"
ct μη έγκυρη κατάσταση \
μετρητής \
πτώση \
σχόλιο "Αποβολή κυκλοφορίας με μη έγκυρη κατάσταση σύνδεσης"
## Επιτρέψτε όλα τα άλλα εξερχόμενα IPv4 ICMP
ip πρωτόκολλο icmp \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπονται όλοι οι τύποι ICMP IPv4"
## Επιτρέψτε όλα τα άλλα εξερχόμενα IPv6 ICMP
meta l4proto { icmpv6 } \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπονται όλοι οι τύποι ICMP IPv6"
## Επιτρέψτε τις εξερχόμενες θύρες UDP traceroute αλλά περιορίστε τα 500 PPS
udp dport 33434-33524 \
οριακό ποσοστό 500/δεύτερο \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπει την εξερχόμενη ιχνηλάτηση UDP περιορισμένη στα 500 PPS"
## Επιτρέψτε εξερχόμενες συνδέσεις HTTP και HTTPS
tcp dport { http, https } ct κατάσταση νέα \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπονται εξερχόμενες συνδέσεις HTTP και HTTPS"
## Επιτρέπεται η εξερχόμενη υποβολή SMTP
tcp dport υποβολή ct κατάσταση νέα \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπεται η εξερχόμενη υποβολή SMTP"
## Επιτρέψτε τα εξερχόμενα αιτήματα DNS
udp dport 53 \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπονται εξερχόμενα αιτήματα UDP DNS"
tcp dport 53 \
μετρητής \
αποδέχομαι \
σχόλιο "Επιτρέπονται εξερχόμενα αιτήματα TCP DNS"
## Επιτρέψτε εξερχόμενα αιτήματα NTP
udp dport 123 \
μετρητής \
αποδέχομαι \
σχόλιο "Αδειοδότηση εξερχόμενων αιτημάτων NTP"
## Καταγράψτε τυχόν ασύγκριτη κίνηση, αλλά ρυθμίστε την καταγραφή ορίου σε έως 60 μηνύματα/λεπτό
## Η προεπιλεγμένη πολιτική θα εφαρμοστεί σε μη αντιστοιχισμένη επισκεψιμότητα
οριακό ποσοστό 60/λεπτό έκρηξη 100 πακέτα \
πρόθεμα καταγραφής "OUT - Drop:" \
σχόλιο "Καταγραφή τυχόν ασυμβίβαστης κίνησης"
## Μετρήστε την απαράμιλλη κίνηση
μετρητής \
σχόλιο "Μετρήστε τυχόν ασύγκριτη κίνηση"
}
}
# Κύριος πίνακας φιλτραρίσματος NAT
πίνακας inet nat {
# Κανόνες για την προδρομολόγηση της κυκλοφορίας NAT
προδρομολόγηση αλυσίδας {
πληκτρολογήστε nat hook prerouting priority dstnat? πολιτική αποδοχή
}
# Κανόνες για την κυκλοφορία NAT μετά τη δρομολόγηση
# Αυτός ο πίνακας υποβάλλεται σε επεξεργασία πριν από την αλυσίδα μετά τη δρομολόγηση Firezone
μεταδρομολόγηση αλυσίδας {
πληκτρολογήστε nat hook postrouting priority srcnat – 5; πολιτική αποδοχή
}
}
Το τείχος προστασίας θα πρέπει να αποθηκευτεί στη σχετική θέση για τη διανομή Linux που εκτελείται. Για το Debian/Ubuntu αυτό είναι το /etc/nftables.conf και για το RHEL αυτό είναι το /etc/sysconfig/nftables.conf.
Το nftables.service θα πρέπει να ρυθμιστεί ώστε να ξεκινά κατά την εκκίνηση (αν δεν είναι ήδη):
systemctl ενεργοποιήστε το nftables.service
Εάν κάνετε οποιεσδήποτε αλλαγές στο πρότυπο τείχους προστασίας, η σύνταξη μπορεί να επικυρωθεί εκτελώντας την εντολή check:
nft -f /path/to/nftables.conf -c
Βεβαιωθείτε ότι έχετε επικυρώσει ότι το τείχος προστασίας λειτουργεί όπως αναμένεται, καθώς ορισμένες δυνατότητες του nftables ενδέχεται να μην είναι διαθέσιμες ανάλογα με την έκδοση που εκτελείται στον διακομιστή.
_______________________________________________________________
Αυτό το έγγραφο παρουσιάζει μια επισκόπηση της τηλεμετρίας που συλλέγει το Firezone από την αυτο-φιλοξενούμενη παρουσία σας και πώς να την απενεργοποιήσετε.
ζώνη φωτιάς στη συνέχεια συναρμολογούνται στην τηλεμετρία για να δώσουμε προτεραιότητα στον οδικό μας χάρτη και να βελτιστοποιήσουμε τους μηχανικούς πόρους που διαθέτουμε για να κάνουμε το Firezone καλύτερο για όλους.
Η τηλεμετρία που συλλέγουμε στοχεύει να απαντήσει στις ακόλουθες ερωτήσεις:
Υπάρχουν τρία κύρια μέρη όπου συλλέγεται η τηλεμετρία στο Firezone:
Σε καθένα από αυτά τα τρία πλαίσια, συλλέγουμε τον ελάχιστο όγκο δεδομένων που είναι απαραίτητος για να απαντήσουμε στις ερωτήσεις της παραπάνω ενότητας.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου του διαχειριστή συλλέγονται μόνο εάν δηλώνετε ρητά συμμετοχή στις ενημερώσεις προϊόντων. Διαφορετικά, τα στοιχεία προσωπικής ταυτοποίησης είναι ποτέ συγκεντρωμένος.
Το Firezone αποθηκεύει την τηλεμετρία σε μια αυτο-φιλοξενούμενη παρουσία του PostHog που εκτελείται σε ένα ιδιωτικό σύμπλεγμα Kubernetes, προσβάσιμο μόνο από την ομάδα του Firezone. Ακολουθεί ένα παράδειγμα συμβάντος τηλεμετρίας που αποστέλλεται από την παρουσία σας του Firezone στον διακομιστή τηλεμετρίας μας:
{
"ταυτότητα": “0182272d-0b88-0000-d419-7b9a413713f1”,
"χρονοσήμανση": “2022-07-22T18:30:39.748000+00:00”,
"Εκδήλωση": "fz_http_started",
"Distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"ιδιότητες"{
"$geoip_city_name": “Ashburn”,
"$geoip_continent_code": «ΝΑ»,
"$geoip_continent_name": "Βόρεια Αμερική",
"$geoip_country_code": "ΜΑΣ",
"$geoip_country_name": "Ηνωμένες Πολιτείες",
"$geoip_latitude": 39.0469,
"$geoip_longitude": -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "Βιργινία",
"$geoip_time_zone": “America/New_York”,
"$ip": "52.200.241.107",
"$plugins_deferred": []
"$plugins_failed": []
"$plugins_succeeded": [
“GeoIP (3)”
],
"Distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": “linux 5.13.0”,
"εκδοχή": "0.4.6"
},
"στοιχεία_αλυσίδα": ""
}
ΣΗΜΕΊΩΣΗ
Η ομάδα ανάπτυξης Firezone στη συνέχεια συναρμολογούνται σχετικά με τα αναλυτικά στοιχεία προϊόντων για να γίνει το Firezone καλύτερο για όλους. Η ενεργοποίηση της τηλεμετρίας είναι η πιο πολύτιμη συνεισφορά που μπορείτε να κάνετε στην ανάπτυξη του Firezone. Τούτου λεχθέντος, κατανοούμε ότι ορισμένοι χρήστες έχουν υψηλότερες απαιτήσεις απορρήτου ή ασφάλειας και θα προτιμούσαν να απενεργοποιήσουν εντελώς την τηλεμετρία. Αν είσαι εσύ, συνέχισε να διαβάζεις.
Η τηλεμετρία είναι ενεργοποιημένη από προεπιλογή. Για να απενεργοποιήσετε πλήρως την τηλεμετρία του προϊόντος, ορίστε την ακόλουθη επιλογή διαμόρφωσης σε false στο /etc/firezone/firezone.rb και εκτελέστε το sudo firezone-ctl reconfigure για να λάβετε τις αλλαγές.
Προκαθορισμένο["firezone"]['τηλεμετρία']["ενεργοποιημένο"] = ψευδής
Αυτό θα απενεργοποιήσει εντελώς την τηλεμετρία όλων των προϊόντων.
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Τηλέφωνο: (732) 771-9995
Email: info@hailbytes.com