Istruzzjonijiet pass pass għall-iskjerament ta’ Hailbytes VPN b’Firezone GUI huma pprovduti hawn.
Amministra: It-twaqqif tal-istanza tas-server huwa direttament relatat ma 'din il-parti.
Gwidi għall-Utent: Dokumenti utli li jistgħu jgħallmu kif tuża Firezone u ssolvi problemi tipiċi. Wara li s-server ikun ġie skjerat b'suċċess, irreferi għal din it-taqsima.
Split Tunneling: Uża l-VPN biex tibgħat biss it-traffiku għal firxiet ta 'IP speċifiċi.
Whitelisting: Issettja l-indirizz IP statiku ta’ server VPN sabiex tuża whitelisting.
Mini Reverse: Oħloq mini bejn diversi sħabhom billi tuża mini inversi.
Għandna pjaċir ngħinuk jekk għandek bżonn għajnuna biex tinstalla, tippersonalizza jew tuża Hailbytes VPN.
Qabel ma l-utenti jkunu jistgħu jipproduċu jew iniżżlu fajls tal-konfigurazzjoni tal-apparat, Firezone jista 'jiġi kkonfigurat biex jeħtieġ awtentikazzjoni. L-utenti jistgħu jeħtieġu wkoll li perjodikament jerġgħu jawtentikaw sabiex iżommu l-konnessjoni VPN tagħhom attiva.
Għalkemm il-metodu ta' login default ta' Firezone huwa email u password lokali, jista' wkoll jiġi integrat ma' kwalunkwe fornitur ta' identità standardizzat OpenID Connect (OIDC). L-utenti issa jistgħu jidħlu f'Firezone billi jużaw il-kredenzjali Okta, Google, Azure AD, jew tal-fornitur tal-identità privat tagħhom.
Integra Fornitur OIDC Ġeneriku
Il-parametri tal-konfigurazzjoni meħtieġa minn Firezone biex jippermetti SSO li juża fornitur OIDC huma murija fl-eżempju hawn taħt. F'/etc/firezone/firezone.rb, tista' ssib il-fajl tal-konfigurazzjoni. Mexxi firezone-ctl mill-ġdid u firezone-ctl jerġa 'jibda biex taġġorna l-applikazzjoni u tieħu effett tal-bidliet.
# Dan huwa eżempju bl-użu ta' Google u Okta bħala fornitur tal-identità SSO.
# Konfigurazzjonijiet OIDC multipli jistgħu jiġu miżjuda mal-istess istanza ta 'Firezone.
# Firezone jista' jiskonnettja l-VPN ta' utent jekk jinstab xi żball waqt li qed tipprova
# biex jġedded l-access_token tagħhom. Dan huwa vverifikat li jaħdem għal Google, Okta, u
# Azure SSO u jintuża biex skonnettja awtomatikament il-VPN tal-utent jekk dawn jitneħħew
# mill-fornitur OIDC. Ħalli din diżattivata jekk il-fornitur tal-OIDC tiegħek
# għandu kwistjonijiet li jġedded it-tokens tal-aċċess peress li jista' jinterrompi bla mistenni a
# sessjoni VPN tal-utent.
default['firezone']['awtentikazzjoni']['disable_vpn_on_oidc_error'] = falza
default['firezone']['awtentikazzjoni']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ ",
client_secret: “ ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: "kodiċi",
ambitu: "profil tal-email openid",
tikketta: "Google"
},
okta: {
discovery_document_uri: “https:// /.magħruf/konfigurazzjoni-openid”,
client_id: “ ",
client_secret: “ ",
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: "kodiċi",
ambitu: "profil tal-email openid offline_access",
tikketta: "Okta"
}
}
Is-settings tal-konfigurazzjoni li ġejjin huma meħtieġa għall-integrazzjoni:
Għal kull fornitur OIDC tinħoloq URL pjuttost korrispondenti għar-ridirezzjoni għall-URL ta' dħul tal-fornitur konfigurat. Għall-eżempju tal-konfigurazzjoni OIDC hawn fuq, l-URLs huma:
Fornituri għandna dokumentazzjoni għal:
Jekk il-fornitur tal-identità tiegħek għandu konnettur OIDC ġeneriku u mhux elenkat hawn fuq, jekk jogħġbok mur fid-dokumentazzjoni tiegħu għal informazzjoni dwar kif tirkupra s-settings tal-konfigurazzjoni meħtieġa.
L-issettjar taħt is-settings/sigurtà jista' jinbidel biex jirrikjedi awtentikazzjoni mill-ġdid perjodika. Dan jista' jintuża biex jinforza r-rekwiżit li l-utenti jidħlu f'Firezone fuq bażi regolari sabiex ikomplu s-sessjoni VPN tagħhom.
It-tul tas-sessjoni jista 'jiġi kkonfigurat biex ikun bejn siegħa u disgħin jum. Billi tistabbilixxi dan għal Qatt, tista 'tippermetti sessjonijiet VPN fi kwalunkwe ħin. Dan huwa l-istandard.
Utent għandu jtemm is-sessjoni VPN tiegħu u jidħol fil-portal Firezone sabiex jerġa’ jawtentika sessjoni VPN skaduta (URL speċifikat waqt l-iskjerament).
Tista’ terġa’ tivverifika s-sessjoni tiegħek billi ssegwi l-istruzzjonijiet preċiżi tal-klijent li jinsabu hawn.
Status tal-Konnessjoni VPN
Il-kolonna tat-tabella tal-Konnessjoni VPN tal-paġna Utenti turi l-istatus tal-konnessjoni tal-utent. Dawn huma l-istatus tal-konnessjoni:
ENABLED - Il-konnessjoni hija attivata.
DISABLED – Il-konnessjoni hija diżattivata minn amministratur jew nuqqas ta 'aġġornament OIDC.
SKADUTA – Il-konnessjoni hija diżattivata minħabba l-iskadenza tal-awtentikazzjoni jew utent ma ddaħħalx għall-ewwel darba.
Permezz tal-konnettur ġenerali OIDC, Firezone jippermetti Single Sign-On (SSO) ma' Google Workspace u Cloud Identity. Din il-gwida turik kif tikseb il-parametri tal-konfigurazzjoni elenkati hawn taħt, li huma meħtieġa għall-integrazzjoni:
1. Skrin tal-Konfigurazzjoni OAuth
Jekk din hija l-ewwel darba li qed toħloq ID tal-klijent OAuth ġdid, inti tintalab tikkonfigura skrin tal-kunsens.
*Agħżel Intern għat-tip ta' utent. Dan jiżgura li l-kontijiet biss li jappartjenu għall-utenti fl-Organizzazzjoni tal-Workspace Google tiegħek jistgħu joħolqu konfigurazzjonijiet tal-apparat. TAGĦŻILX Esterni sakemm ma tkunx trid tippermetti lil xi ħadd b'Kont Google validu biex joħloq konfigurazzjonijiet tat-tagħmir.
Fuq l-iskrin tal-informazzjoni tal-App:
2. Oħloq IDs tal-Klijent OAuth
Din it-taqsima hija bbażata fuq id-dokumentazzjoni tal-Google stess fuq twaqqaf OAuth 2.0.
Żur il-Google Cloud Console Il-paġna tal-kredenzjali paġna, ikklikkja + Oħloq Kredenzjali u agħżel ID tal-klijent OAuth.
Fuq l-iskrin tal-ħolqien tal-ID tal-klijent OAuth:
Wara li toħloq l-ID tal-klijent OAuth, tingħata ID tal-Klijent u Sigriet tal-Klijent. Dawn se jintużaw flimkien mal-URI ta' direzzjoni mill-ġdid fil-pass li jmiss.
Edit /etc/firezone/firezone.rb biex tinkludi l-għażliet hawn taħt:
# L-użu ta' Google bħala l-fornitur tal-identità SSO
default['firezone']['awtentikazzjoni']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ ",
client_secret: “ ",
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: "kodiċi",
ambitu: "profil tal-email openid",
tikketta: "Google"
}
}
Mexxi firezone-ctl mill-ġdid u firezone-ctl jerġa 'jibda biex taġġorna l-applikazzjoni. Issa għandek tara buttuna Sign in with Google fl-għeruq Firezone URL.
Firezone juża l-konnettur OIDC ġeneriku biex jiffaċilita Single Sign-On (SSO) ma' Okta. Dan it-tutorja jurik kif tikseb il-parametri tal-konfigurazzjoni elenkati hawn taħt, li huma meħtieġa għall-integrazzjoni:
Din it-taqsima tal-gwida hija bbażata fuq Dokumentazzjoni ta' Okta.
Fl-Admin Console, mur Applikazzjonijiet > Applikazzjonijiet u kklikkja Oħloq Integrazzjoni tal-App. Issettja l-metodu ta’ Sign-in għal OICD – OpenID Connect u t-tip ta’ Applikazzjoni għall-applikazzjoni tal-Web.
Ikkonfigura dawn is-settings:
Ladarba l-issettjar jiġu ssejvjati, inti tingħata ID tal-Klijent, Sigriet tal-Klijent, u Dominju Okta. Dawn it-3 valuri se jintużaw fil-Pass 2 biex jiġi kkonfigurat Firezone.
Edit /etc/firezone/firezone.rb biex tinkludi l-għażliet hawn taħt. Tiegħek discovery_document_url se jkun /.magħruf/openid-configuration mehmuża fl-aħħar ta tiegħek okta_domain.
# L-użu ta' Okta bħala l-fornitur tal-identità SSO
default['firezone']['awtentikazzjoni']['oidc'] = {
okta: {
discovery_document_uri: “https:// /.magħruf/konfigurazzjoni-openid”,
client_id: “ ",
client_secret: “ ",
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: "kodiċi",
ambitu: "profil tal-email openid offline_access",
tikketta: "Okta"
}
}
Mexxi firezone-ctl mill-ġdid u firezone-ctl jerġa 'jibda biex taġġorna l-applikazzjoni. Issa għandek tara buttuna Sign in with Okta fl-għerq Firezone URL.
L-utenti li jistgħu jaċċessaw l-app Firezone jistgħu jiġu ristretti minn Okta. Mur fil-paġna tal-Assenjamenti tal-Integrazzjoni tal-App Firezone tal-Okta Admin Console tiegħek biex twettaq dan.
Permezz tal-konnettur OIDC ġeneriku, Firezone jippermetti Single Sign-On (SSO) ma' Azure Active Directory. Dan il-manwal jurik kif tikseb il-parametri tal-konfigurazzjoni elenkati hawn taħt, li huma meħtieġa għall-integrazzjoni:
Din il-gwida hija mfassla mill- Azure Active Directory Docs.
Mur fil-paġna Azure Active Directory tal-portal Azure. Agħżel l-għażla tal-menu Immaniġġja, agħżel Reġistrazzjoni Ġdida, imbagħad irreġistra billi tipprovdi l-informazzjoni hawn taħt:
Wara li tirreġistra, iftaħ il-veduta tad-dettalji tal-applikazzjoni u kkopja l- Applikazzjoni (klijent) ID. Dan se jkun il-valur client_id. Sussegwentement, tiftaħ il-menu endpoints biex tirkupra l- Dokument tal-metadata OpenID Connect. Dan se jkun il-valur discovery_document_uri.
Oħloq sigriet ġdid tal-klijent billi tikklikkja l-għażla Ċertifikati u sigrieti taħt il-menu Immaniġġja. Ikkopja s-sigriet tal-klijent; il-valur sigriet tal-klijent se jkun dan.
Fl-aħħar nett, agħżel il-link tal-permessi tal-API taħt il-menu Immaniġġja, ikklikkja Żid permess, u agħżel Microsoft Graph, Żid email, openid, aċċess_offline u, profil għall-permessi meħtieġa.
Edit /etc/firezone/firezone.rb biex tinkludi l-għażliet hawn taħt:
# L-użu ta' Azure Active Directory bħala l-fornitur tal-identità SSO
default['firezone']['awtentikazzjoni']['oidc'] = {
azur: {
discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.magħruf/openid-configuration”,
client_id: “ ",
client_secret: “ ",
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
response_type: "kodiċi",
ambitu: "profil tal-email openid offline_access",
tikketta: "Azure"
}
}
Mexxi firezone-ctl mill-ġdid u firezone-ctl jerġa 'jibda biex taġġorna l-applikazzjoni. Issa għandek tara buttuna Sign in with Azure fl-għeruq Firezone URL.
Azure AD jippermetti lill-amministraturi jillimitaw l-aċċess għall-app għal grupp speċifiku ta’ utenti ġewwa l-kumpanija tiegħek. Aktar informazzjoni dwar kif tagħmel dan tista' ssibha fid-dokumentazzjoni ta' Microsoft.
Chef Omnibus jintuża minn Firezone biex jimmaniġġja l-kompiti inklużi l-ippakkjar tar-rilaxx, is-superviżjoni tal-proċess, il-ġestjoni taz-zkuk, u aktar.
Kodiċi Ruby jagħmel il-fajl tal-konfigurazzjoni primarju, li jinsab f'/etc/firezone/firezone.rb. Il-bidu mill-ġdid ta' sudo firezone-ctl reconfigure wara li jagħmel modifiki f'dan il-fajl jikkawża li Chef jagħraf il-bidliet u japplikahom għas-sistema operattiva attwali.
Ara r-referenza tal-fajl tal-konfigurazzjoni għal lista kompleta tal-varjabbli tal-konfigurazzjoni u d-deskrizzjonijiet tagħhom.
L-istanza Firezone tiegħek tista' tiġi ġestita permezz tal- firezone-ctl kmand, kif muri hawn taħt. Il-biċċa l-kbira tas-sottokmandi jeħtieġu prefissing ma sudo.
root@demo:~# firezone-ctl
omnibus-ctl: kmand (sottokmand)
Kmandi Ġenerali:
tnaddaf
Ħassar * kollha * data firezone, u ibda mill-bidu.
toħloq-jew-reset-admin
Jissettja mill-ġdid il-password għall-amministratur bl-email speċifikata b'mod awtomatiku['firezone']['admin_email'] jew toħloq admin ġdid jekk dik l-email ma teżistix.
jgħinu
Stampa dan il-messaġġ ta' għajnuna.
ikkonfigura mill-ġdid
Ikkonfigura mill-ġdid l-applikazzjoni.
reset-network
Irrisettja nftables, l-interface WireGuard, u t-tabella tar-routing lura għal defaults ta' Firezone.
show-config
Uri l-konfigurazzjoni li tkun iġġenerata mill-konfigurazzjoni mill-ġdid.
teardown-network
Tneħħi l-interface WireGuard u nftables tabella firezone.
forza-cert-tiġdid
Ġiegħel it-tiġdid taċ-ċertifikat issa anke jekk ma jkunx skada.
stop-cert-tiġdid
Tneħħi cronjob li ġġedded iċ-ċertifikati.
uninstall
Oqtol il-proċessi kollha u ddiżinstalla s-superviżur tal-proċess (id-dejta tiġi ppreservata).
verżjoni
Uri l-verżjoni attwali ta' Firezone
Kmandi tal-Ġestjoni tas-Servizz:
graceful-qatla
Ipprova waqfien graceful, imbagħad SIGKILL-grupp tal-proċess kollu.
hup
Ibgħat is-servizzi HUP.
int
Ibgħat is-servizzi INT.
joqtlu
Ibgħat is-servizzi KILL.
ladarba
Ibda s-servizzi jekk ikunu stabbiliti. Terġax tibdahom jekk jieqfu.
erġa ibda
Waqqaf is-servizzi jekk ikunu qed jaħdmu, imbagħad ibdahom mill-ġdid.
lista tas-servizz
Elenka s-servizzi kollha (is-servizzi attivati jidhru b'*.)
Bidu
Ibda s-servizzi jekk ikunu mwaqqfa, u erġa ibdahom jekk jieqfu.
status
Uri l-istatus tas-servizzi kollha.
tieqaf
Waqqaf is-servizzi, u terġax tibdahom.
denb
Ara r-reġistri tas-servizz tas-servizzi kollha attivati.
tul
Ibgħat is-servizzi TERM.
usr1
Ibgħat is-servizzi a USR1.
usr2
Ibgħat is-servizzi a USR2.
Is-sessjonijiet VPN kollha għandhom jiġu mitmuma qabel ma jiġi aġġornat Firezone, li jitlob ukoll li tingħalaq il-Web UI. Fil-każ li xi ħaġa tmur ħażin waqt l-aġġornament, nagħtu parir li nwarrbu siegħa għall-manutenzjoni.
Biex ittejjeb Firezone, ħu l-azzjonijiet li ġejjin:
Jekk jinqalgħu xi problemi, jekk jogħġbok għarrafna minn tissottometti biljett ta’ appoġġ.
Hemm ftit bidliet ta 'tkissir u modifiki fil-konfigurazzjoni f'0.5.0 li jridu jiġu indirizzati. Sir af aktar hawn taħt.
Nginx m'għadux jappoġġja l-forza SSL u parametri tal-port mhux SSL mill-verżjoni 0.5.0. Minħabba li Firezone jeħtieġ SSL biex jaħdem, aħna nagħtu parir li tneħħi s-servizz Nginx tal-pakkett billi tissettja default['firezone']['nginx']['enabled'] = falza u tidderieġi l-prokura inversa tiegħek għall-app Phoenix fuq il-port 13000 minflok (b'mod awtomatiku ).
0.5.0 jintroduċi appoġġ għall-protokoll ACME għat-tiġdid awtomatiku taċ-ċertifikati SSL bis-servizz Nginx miġbur. Biex tippermetti,
Il-possibbiltà li jiżdiedu regoli b'destinazzjonijiet duplikati spiċċat f'Firezone 0.5.0. L-iskript tal-migrazzjoni tagħna awtomatikament jirrikonoxxi dawn is-sitwazzjonijiet waqt aġġornament għal 0.5.0 u jżomm biss ir-regoli li d-destinazzjoni tagħhom tinkludi r-regola l-oħra. M'hemm xejn li għandek bżonn tagħmel jekk dan huwa tajjeb.
Inkella, qabel ma taġġorna, nagħtu parir li tibdel ir-regoli tiegħek biex teħles minn dawn is-sitwazzjonijiet.
Firezone 0.5.0 ineħħi l-appoġġ għall-konfigurazzjoni Okta ta 'stil antik u Google SSO favur il-konfigurazzjoni ġdida, aktar flessibbli bbażata fuq OIDC.
Jekk għandek xi konfigurazzjoni taħt iċ-ċwievet default['firezone']['authentication']['okta'] jew default['firezone']['authentication']['google'], trid timmigrahom lejn l-OIDC tagħna konfigurazzjoni bbażata fuq l-użu tal-gwida hawn taħt.
Konfigurazzjoni Google OAuth eżistenti
Neħħi dawn il-linji li fihom il-konfigurazzjonijiet qodma tal-Google OAuth mill-fajl tal-konfigurazzjoni tiegħek li jinsab f'/etc/firezone/firezone.rb
default['firezone']['awtentikazzjoni']['google']['attivat']
default['firezone']['awtentikazzjoni']['google']['client_id']
default['firezone']['awtentikazzjoni']['google']['client_secret']
default['firezone']['awtentikazzjoni']['google']['redirect_uri']
Imbagħad, ikkonfigura Google bħala fornitur OIDC billi ssegwi l-proċeduri hawn.
(Ipprovdi struzzjonijiet tal-link)<<<<<<<<<<<<<<<<
Ikkonfigura Google OAuth Eżistenti
Neħħi dawn il-linji li fihom il-konfigurazzjonijiet Okta OAuth qodma mill-fajl tal-konfigurazzjoni tiegħek li jinsab fi /etc/firezone/firezone.rb
default['firezone']['awtentikazzjoni']['okta']['attivat']
default['firezone']['awtentikazzjoni']['okta']['client_id']
default['firezone']['awtentikazzjoni']['okta']['client_secret']
Default['firezone']['awtentikazzjoni']['okta']['sit']
Imbagħad, ikkonfigura Okta bħala fornitur OIDC billi ssegwi l-proċeduri hawn.
Skont is-setup u l-verżjoni attwali tiegħek, żomm id-direzzjonijiet hawn taħt:
Jekk diġà għandek integrazzjoni OIDC:
Għal xi fornituri tal-OIDC, l-aġġornament għal >= 0.3.16 jeħtieġ il-ksib ta 'token ta' aġġornament għall-ambitu tal-aċċess offline. Billi tagħmel dan, jiġi żgurat li Firezone jaġġorna mal-fornitur tal-identità u li l-konnessjoni VPN tintefa wara li utent jitħassar. L-iterazzjonijiet preċedenti ta' Firezone ma kellhomx din il-karatteristika. F'xi każijiet, utenti li jitħassru mill-fornitur tal-identità tiegħek xorta jistgħu jkunu konnessi ma' VPN.
Huwa meħtieġ li tinkludi aċċess offline fil-parametru tal-ambitu tal-konfigurazzjoni tal-OIDC tiegħek għall-fornituri tal-OIDC li jappoġġjaw l-ambitu tal-aċċess offline. Firezone-ctl rikonfigurazzjoni trid tiġi eżegwita sabiex jiġu applikati bidliet fil-fajl tal-konfigurazzjoni Firezone, li jinsab fuq /etc/firezone/firezone.rb.
Għall-utenti li ġew awtentikati mill-fornitur tal-OIDC tiegħek, se tara l-intestatura Konnessjonijiet OIDC fil-paġna tad-dettalji tal-utent tal-UI tal-web jekk Firezone kapaċi jirkupra b'suċċess it-token tal-aġġornament.
Jekk dan ma jaħdimx, ikollok bżonn tħassar l-app OAuth eżistenti tiegħek u rrepeti l-passi tas-setup tal-OIDC biex toħloq integrazzjoni ġdida tal-app .
Għandi integrazzjoni OAuth eżistenti
Qabel 0.3.11, Firezone uża fornituri OAuth2 konfigurati minn qabel.
Segwi l-istruzzjonijiet hawn biex jemigraw lejn l-OIDC.
Jien ma integrajtx fornitur tal-identità
M’hemmx bżonn ta ’azzjoni.
Tista 'ssegwi l-istruzzjonijiet hawn biex tippermetti SSO permezz ta' fornitur OIDC.
Minflok, default['firezone']['external url'] issostitwixxa l-għażla ta' konfigurazzjoni default['firezone']['fqdn'].
Issettja dan għall-URL tal-portal online Firezone tiegħek li huwa aċċessibbli għall-pubbliku ġenerali. Se default għal https:// flimkien mal-FQDN tas-server tiegħek jekk jitħalla mhux definit.
Il-fajl tal-konfigurazzjoni jinsab f'/etc/firezone/firezone.rb. Ara r-referenza tal-fajl tal-konfigurazzjoni għal lista kompleta tal-varjabbli tal-konfigurazzjoni u d-deskrizzjonijiet tagħhom.
Firezone ma jibqax iżomm iċ-ċwievet privati tal-apparat fuq is-server Firezone mill-verżjoni 0.3.0.
Il-Firezone Web UI mhux se jippermettilek terġa' tniżżel jew tara dawn il-konfigurazzjonijiet, iżda kwalunkwe apparat eżistenti għandu jkompli jaħdem kif inhu.
Jekk qed taġġorna minn Firezone 0.1.x, hemm ftit bidliet fil-fajl tal-konfigurazzjoni li jridu jiġu indirizzati manwalment.
Biex tagħmel il-modifiki meħtieġa għall-fajl tiegħek /etc/firezone/firezone.rb, mexxi l-kmandi hawn taħt bħala root.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl rikonfigura
restart firezone-ctl
L-iċċekkjar tar-zkuk Firezone huwa l-ewwel pass għaqli għal kwalunkwe kwistjoni li tista 'sseħħ.
Mexxi sudo firezone-ctl tail biex tara r-zkuk Firezone.
Il-maġġoranza tal-problemi ta 'konnettività ma' Firezone huma miġjuba minn regoli iptables jew nftables inkompatibbli. Trid taċċerta ruħek li kwalunkwe regola li għandek fis-seħħ ma tikkonflittax mar-regoli ta' Firezone.
Kun żgur li l-katina FORWARD tippermetti pakketti mill-klijenti tal-WireGuard tiegħek għall-postijiet li trid tħalli permezz ta' Firezone jekk il-konnettività tal-Internet tiegħek tiddeterjora kull darba li tattiva l-mina tal-WireGuard tiegħek.
Dan jista' jinkiseb jekk qed tuża ufw billi tiżgura li l-politika default tar-rotot hija permessa:
ubuntu@fz:~$ sudo ufw default allow routed
Politika ta' rotta awtomatika mibdula għal 'jippermetti'
(kun żgur li taġġorna r-regoli tiegħek kif xieraq)
A naqra status għal server Firezone tipiku jista' jidher bħal dan:
ubuntu@fz:~$ sudo ufw status verbose
Status: attiv
Logging: mixgħul (baxx)
Default: iċħad (dieħla), ippermetti (ħerġin), ippermetti (ir-rotta)
Profili ġodda: skip
Biex Azzjoni Minn
— —— —-
22/tcp ALLOW IN Kullimkien
80/tcp ALLOW IN Kullimkien
443/tcp ALLOW IN Kullimkien
51820/udp ALLOW IN Kullimkien
22/tcp (v6) ALLOW IN Kullimkien (v6)
80/tcp (v6) ALLOW IN Kullimkien (v6)
443/tcp (v6) ALLOW IN Kullimkien (v6)
51820/udp (v6) ALLOW IN Kullimkien (v6)
Aħna nagħtu parir li nillimitaw l-aċċess għall-interface tal-web għal skjeramenti tal-produzzjoni estremament sensittivi u kritiċi għall-missjoni, kif spjegat hawn taħt.
servizz | Port Default | Isma l-Indirizz | deskrizzjoni |
Nginx | 80, 443 | kollha | Port HTTP(S) pubbliku biex jamministra Firezone u jiffaċilita l-awtentikazzjoni. |
gwardja tal-wajer | 51820 | kollha | Port WireGuard pubbliku użat għal sessjonijiet VPN. (UDP) |
postgresql | 15432 | 127.0.0.1 | Port lokali biss użat għal server Postgresql miġbur. |
Phoenix | 13000 | 127.0.0.1 | Port lokali biss użat mis-server tal-app elixir upstream. |
Aħna nagħtuk parir biex taħseb biex tirrestrinġi l-aċċess għall-UI tal-web esposta pubblikament ta' Firezone (bil-portijiet awtomatiċi 443/tcp u 80/tcp) u minflok tuża l-mina WireGuard biex tmexxi Firezone għall-produzzjoni u skjeramenti li jiffaċċjaw il-pubbliku fejn amministratur wieħed ikun inkarigat tal-ħolqien u d-distribuzzjoni tal-konfigurazzjonijiet tal-apparat lill-utenti finali.
Pereżempju, jekk amministratur ħoloq konfigurazzjoni ta' apparat u ħoloq mina bl-indirizz lokali tal-WireGuard 10.3.2.2, il-konfigurazzjoni ufw li ġejja tippermetti lill-amministratur jaċċessa l-UI tal-web Firezone fuq l-interface wg-firezone tas-server billi juża l-10.3.2.1 default. indirizz tal-mina:
root@demo:~# ufw status verbose
Status: attiv
Logging: mixgħul (baxx)
Default: iċħad (dieħla), ippermetti (ħerġin), ippermetti (ir-rotta)
Profili ġodda: skip
Biex Azzjoni Minn
— —— —-
22/tcp ALLOW IN Kullimkien
51820/udp ALLOW IN Kullimkien
Kullimkien ALLOW IN 10.3.2.2
22/tcp (v6) ALLOW IN Kullimkien (v6)
51820/udp (v6) ALLOW IN Kullimkien (v6)
Dan iħalli biss 22/tcp esposti għal aċċess SSH biex jimmaniġġjaw is-server (mhux obbligatorju), u 51820/udp esposti sabiex jiġu stabbiliti mini WireGuard.
Firezone jgħaqqad server Postgresql u tqabbil psql utilità li tista 'tintuża mill-qoxra lokali bħal dan:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
Dan jista 'jkun utli għal skopijiet ta' debugging.
Kompiti Komuni:
Lista tal-utenti kollha:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "AGĦŻEL * MILL-utenti;"
Elenkar tal-apparati kollha:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "AGĦŻEL * MINN apparati;"
Ibdel ir-rwol tal-utent:
Issettja r-rwol għal 'admin' jew 'mhux privileġġjat':
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “UPDATE users SET role = 'admin' WHERE email = 'user@example.com';”
Backup tad-database:
Barra minn hekk, inkluż huwa l-programm pg dump, li jista 'jintuża biex jieħu backups regolari tad-database. Eżegwixxi l-kodiċi li ġej biex titfa 'kopja tad-database fil-format komuni ta' mistoqsija SQL (issostitwixxi /path/to/backup.sql bil-post fejn għandu jinħoloq il-fajl SQL):
/opt/firezone/embedded/bin/pg_dump \
-U firezone \
-d firezone \
-h localhost \
-p 15432 > /path/to/backup.sql
Wara li Firezone ġie skjerat b'suċċess, trid iżżid utenti biex tipprovdilhom aċċess għan-netwerk tiegħek. Il-Web UI tintuża biex tagħmel dan.
Billi tagħżel il-buttuna "Żid Utent" taħt / utenti, tista 'żżid utent. Int tkun mitlub li tipprovdi lill-utent b'indirizz elettroniku u password. Sabiex jippermetti l-aċċess għall-utenti fl-organizzazzjoni tiegħek awtomatikament, Firezone jista 'wkoll jagħmel interface u jissinkronizza ma' fornitur tal-identità. Aktar dettalji huma disponibbli fi Jawtentika. < Żid link għal Awtentika
Aħna nagħtu parir li nitolbu li l-utenti joħolqu l-konfigurazzjonijiet tat-tagħmir tagħhom stess sabiex iċ-ċavetta privata tkun viżibbli biss għalihom. L-utenti jistgħu jiġġeneraw il-konfigurazzjonijiet tat-tagħmir tagħhom stess billi jsegwu d-direzzjonijiet fuq il- Istruzzjonijiet tal-Klijent paġna.
Il-konfigurazzjonijiet kollha tat-tagħmir tal-utent jistgħu jinħolqu mill-amministraturi ta’ Firezone. Fuq il-paġna tal-profil tal-utent li tinsab f'/utenti, agħżel l-għażla "Żid Apparat" biex twettaq dan.
[Daħħal screenshot]
Tista 'email lill-utent il-fajl tal-konfigurazzjoni WireGuard wara li toħloq il-profil tat-tagħmir.
L-utenti u l-apparati huma konnessi. Għal aktar dettalji dwar kif iżżid utent, ara Żid Utenti.
Permezz tal-użu tas-sistema netfilter tal-qalba, Firezone jippermetti kapaċitajiet ta 'filtrazzjoni ta' ħruġ biex jispeċifikaw pakketti DROP jew ACCCEPT. It-traffiku kollu huwa normalment permess.
IPv4 u IPv6 CIDRs u indirizzi IP huma appoġġjati permezz tal-Allowlist u Denylist, rispettivament. Tista' tagħżel li tiskopri regola għal utent meta żżidha, li tapplika r-regola għall-apparati kollha ta' dak l-utent.
Installa u kkonfigura
Biex tistabbilixxi konnessjoni VPN billi tuża l-klijent WireGuard nattiv, irreferi għal din il-gwida.
Il-klijenti Uffiċjali tal-WireGuard li jinsabu hawn huma kompatibbli ma' Firezone:
Żur il-websajt uffiċjali tal-WireGuard fuq https://www.wireguard.com/install/ għal sistemi OS mhux imsemmija hawn fuq.
Jew l-amministratur Firezone tiegħek jew lilek innifsek jistgħu jiġġeneraw il-fajl tal-konfigurazzjoni tal-apparat billi tuża l-portal Firezone.
Żur il-URL li l-amministratur Firezone tiegħek ipprovda biex tiġġenera fajl tal-konfigurazzjoni tal-apparat. Id-ditta tiegħek se jkollha URL uniku għal dan; f'dan il-każ, huwa https://instance-id.yourfirezone.com.
Idħol f'Firezone Okta SSO
[Daħħal Screenshot]
Importa l-fajl.conf fil-klijent WireGuard billi tiftaħha. Billi taqleb is-swiċċ Attiva, tista 'tibda sessjoni VPN.
[Daħħal Screenshot]
Segwi l-istruzzjonijiet hawn taħt jekk l-amministratur tan-netwerk tiegħek ordna awtentikazzjoni rikorrenti biex iżżomm il-konnessjoni VPN tiegħek attiva.
Għandek bżonn:
URL tal-portal Firezone: Staqsi lill-amministratur tan-netwerk tiegħek għall-konnessjoni.
L-amministratur tan-netwerk tiegħek għandu jkun jista' joffri l-login u l-password tiegħek. Is-sit ta’ Firezone iqanqlek biex tidħol billi tuża s-servizz ta’ single sign-on li juża min iħaddmek (bħal Google jew Okta).
[Daħħal Screenshot]
Mur fil-URL tal-portal Firezone u idħol billi tuża l-kredenzjali li pprovda l-amministratur tan-netwerk tiegħek. Jekk diġà dħalt, ikklikkja l-buttuna Awtentika mill-ġdid qabel ma terġa' tidħol.
[Daħħal Screenshot]
[Daħħal Screenshot]
Biex timporta l-profil tal-konfigurazzjoni WireGuard billi tuża Network Manager CLI fuq apparat Linux, segwi dawn l-istruzzjonijiet (nmcli).
Jekk il-profil għandu l-appoġġ IPv6 attivat, jekk tipprova timporta l-fajl tal-konfigurazzjoni billi tuża l-GUI tal-Maniġer tan-Netwerk tista 'tfalli bl-iżball li ġej:
ipv6.method: il-metodu "auto" mhuwiex appoġġjat għal WireGuard
Huwa meħtieġ li jiġu installati l-utilitajiet tal-ispazju tal-utent tal-WireGuard. Dan se jkun pakkett imsejjaħ wireguard jew wireguard-tools għal distribuzzjonijiet tal-Linux.
Għal Ubuntu/Debian:
sudo apt install wireguard
Biex tuża Fedora:
sudo dnf jinstallaw wireguard-tools
Arch Linux:
sudo pacman -S wireguard-għodod
Żur il-websajt uffiċjali tal-WireGuard fuq https://www.wireguard.com/install/ għal distribuzzjonijiet li mhumiex imsemmija hawn fuq.
Jew l-amministratur Firezone tiegħek jew l-awtoġenerazzjoni jistgħu jiġġeneraw il-fajl tal-konfigurazzjoni tal-apparat billi juża l-portal Firezone.
Żur il-URL li l-amministratur Firezone tiegħek ipprovda biex tiġġenera fajl tal-konfigurazzjoni tal-apparat. Id-ditta tiegħek se jkollha URL uniku għal dan; f'dan il-każ, huwa https://instance-id.yourfirezone.com.
[Daħħal Screenshot]
Importa l-fajl tal-konfigurazzjoni fornut billi tuża nmcli:
sudo nmcli konnessjoni importazzjoni tip wireguard file /path/to/configuration.conf
L-isem tal-fajl tal-konfigurazzjoni se jikkorrispondi għall-konnessjoni/interface WireGuard. Wara l-importazzjoni, il-konnessjoni tista' tingħata isem ġdid jekk meħtieġ:
konnessjoni nmcli timmodifika [isem antik] connection.id [isem ġdid]
Permezz tal-linja tal-kmand, qabbad mal-VPN kif ġej:
konnessjoni nmcli up [isem vpn]
Biex tiskonnettja:
konnessjoni nmcli isfel [isem vpn]
L-applet tal-Maniġer tan-Netwerk applikabbli jista' jintuża wkoll biex jimmaniġġja l-konnessjoni jekk tuża GUI.
Billi tagħżel "iva" għall-għażla ta' konnessjoni awtomatika, il-konnessjoni VPN tista' tiġi kkonfigurata biex tikkonnettja awtomatikament:
konnessjoni nmcli timmodifika [isem vpn] konnessjoni. <<<<<<<<<<<<<<<<<<<<<<
konnessjoni awtomatika iva
Biex tiddiżattiva l-konnessjoni awtomatika, issettjaha lura għal le:
konnessjoni nmcli timmodifika [isem vpn] konnessjoni.
awtoconnect Nru
Biex tattiva l-MFA Mur fil-paġna tal-portal Firezone / kont tal-utent/reġistra mfa. Uża l-app awtentikatur tiegħek biex tiskennja l-kodiċi QR wara li jkun ġie ġġenerat, imbagħad daħħal il-kodiċi b'sitt ċifri.
Ikkuntattja lill-Amministratur tiegħek biex tirrisettja l-informazzjoni tal-aċċess tal-kont tiegħek jekk tpoġġi ħażin l-app awtentikatur tiegħek.
Dan it-tutorja se jimxik permezz tal-proċess tat-twaqqif tal-karatteristika tal-mini maqsuma ta 'WireGuard ma' Firezone sabiex it-traffiku biss għal firxiet ta 'IP speċifiċi jintbagħat permezz tas-server VPN.
Il-firxiet tal-IP li għalihom il-klijent se jindirizza t-traffiku tan-netwerk huma stabbiliti fil-qasam tal-IPs Permessi li jinsab fuq il-paġna /settings/default. Il-konfigurazzjonijiet tal-mini WireGuard maħluqa ġodda biss prodotti minn Firezone se jkunu affettwati minn bidliet f'dan il-qasam.
[Daħħal Screenshot]
Il-valur default huwa 0.0.0.0/0, ::/0, li jmexxi t-traffiku kollu tan-netwerk mill-klijent għas-server VPN.
Eżempji ta' valuri f'dan il-qasam jinkludu:
0.0.0.0/0, ::/0 – it-traffiku kollu tan-netwerk se jiġi mgħoddi lejn is-server VPN.
192.0.2.3/32 – it-traffiku lejn indirizz IP wieħed biss se jiġi mgħoddi lejn is-server VPN.
3.5.140.0/22 – it-traffiku lejn l-IPs fil-medda 3.5.140.1 – 3.5.143.254 biss se jiġi mgħoddi lejn is-server VPN. F'dan l-eżempju, intużat il-firxa CIDR għar-reġjun AWS ap-grigal-2.
Firezone jagħżel l-interface tal-ħruġ assoċjati mal-aktar rotta preċiża l-ewwel meta jiddetermina fejn għandu jrotta pakkett.
L-utenti għandhom jirriġeneraw il-fajls tal-konfigurazzjoni u jżiduhom mal-klijent WireGuard nattiv tagħhom sabiex jaġġornaw it-tagħmir eżistenti tal-utent bil-konfigurazzjoni tal-mina maqsuma l-ġdida.
Għall-istruzzjonijiet, ara żid apparat. <<<<<<<<<<< Żid link
Dan il-manwal se juri kif tgħaqqad żewġ apparati billi tuża Firezone bħala relay. Każ ta' użu tipiku huwa li jippermetti lil amministratur jaċċessa server, kontenitur jew magna li hija protetta minn NAT jew firewall.
Din l-illustrazzjoni turi xenarju sempliċi li fih l-Apparati A u B jibnu mina.
[Daħħal stampa arkitettonika ta' firezone]
Ibda billi toħloq l-Apparat A u l-Apparat B billi nnaviga lejn /users/[user_id]/new_device. Fis-settings għal kull apparat, kun żgur li l-parametri li ġejjin huma ssettjati għall-valuri elenkati hawn taħt. Tista' tissettja s-settings tal-apparat meta toħloq il-konfigurazzjoni tal-apparat (ara Żid Apparat). Jekk għandek bżonn taġġorna s-settings fuq apparat eżistenti, tista 'tagħmel dan billi tiġġenera konfigurazzjoni ta' apparat ġdid.
Innota li l-apparati kollha għandhom paġna /settings/defaults fejn PersistentKeepalive jista’ jiġi kkonfigurat.
AllowedIPs = 10.3.2.2/32
Dan huwa l-IP jew il-firxa tal-IPs tal-Apparat B
PersistentKeepalive = 25
Jekk l-apparat ikun wara NAT, dan jiżgura li l-apparat ikun kapaċi jżomm il-mina ħajja u jkompli jirċievi pakketti mill-interface WireGuard. Normalment valur ta '25 huwa biżżejjed, iżda jista' jkollok bżonn tnaqqas dan il-valur skont l-ambjent tiegħek.
AllowedIPs = 10.3.2.3/32
Dan huwa l-IP jew il-firxa tal-IPs tal-Apparat A
PersistentKeepalive = 25
Dan l-eżempju juri sitwazzjoni li fiha l-Apparat A jista’ jikkomunika ma’ l-Apparat B sa D fiż-żewġ direzzjonijiet. Din is-setup tista' tirrappreżenta inġinier jew amministratur li jaċċessa bosta riżorsi (servers, kontenituri jew magni) f'diversi netwerks.
[Dijagramma arkitettoniku]<<<<<<<<<<<<<<<<<<<<<<
Kun żgur li s-settings li ġejjin isiru fis-settings ta 'kull apparat għall-valuri korrispondenti. Meta toħloq il-konfigurazzjoni tat-tagħmir, tista 'tispeċifika l-issettjar tal-apparat (ara Żid Apparat). Tista' tinħoloq konfigurazzjoni ġdida ta' apparat jekk is-settings fuq apparat eżistenti jeħtieġ li jiġu aġġornati.
AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Dan huwa l-IP tal-apparati B sa D. L-IPs tal-Apparat B sa D għandhom jiġu inklużi fi kwalunkwe firxa tal-IP li tagħżel li tissettja.
PersistentKeepalive = 25
Dan jiggarantixxi li l-apparat jista 'jżomm il-mina u jkompli jirċievi pakketti mill-interface WireGuard anki jekk ikun protett minn NAT. Fil-biċċa l-kbira tal-każijiet, valur ta '25 huwa adegwat, madankollu jiddependi fuq l-inħawi tiegħek, jista' jkollok bżonn tnaqqas din iċ-ċifra.
Biex toffri IP ta 'ħruġ wieħed u statiku għat-traffiku kollu tat-tim tiegħek biex joħroġ minnu, Firezone jista' jiġi utilizzat bħala gateway NAT. Dawn is-sitwazzjonijiet jinvolvu l-użu frekwenti tiegħu:
Ingaġġi ta' Konsulenza: Itlob li l-klijent tiegħek jelenka indirizz IP statiku wieħed aktar milli l-IP uniku tal-apparat ta' kull impjegat.
L-użu ta' prokura jew il-maskra tal-IP tas-sors tiegħek għal skopijiet ta' sigurtà jew privatezza.
Eżempju sempliċi tal-limitazzjoni tal-aċċess għal applikazzjoni tal-web ospitata waħedha għal IP statiku wieħed whitelisted li jħaddem Firezone se jintwera f'din il-kariga. F'din l-illustrazzjoni, Firezone u r-riżors protett huma f'żoni VPC differenti.
Din is-soluzzjoni tintuża ta 'spiss minflok il-ġestjoni ta' whitelist tal-IP għal bosta utenti finali, li tista' tieħu ħafna ħin hekk kif il-lista ta 'aċċess tespandi.
L-għan tagħna huwa li nwaqqfu server Firezone fuq istanza EC2 biex terġa 'tidderieġi t-traffiku VPN lejn ir-riżorsa ristretta. F'dan il-każ, Firezone qed iservi bħala prokura tan-netwerk jew gateway NAT biex tagħti lil kull apparat konness IP ta 'ħruġ pubbliku uniku.
F'dan il-każ, istanza EC2 bl-isem tc2.micro għandha istanza Firezone installata fuqha. Għal informazzjoni dwar l-iskjerament ta' Firezone, mur fil-Gwida tal-Iskjerament. Fir-rigward tal-AWS, kun żgur:
Il-grupp tas-sigurtà tal-istanza Firezone EC2 jippermetti traffiku 'l barra lejn l-indirizz IP tar-riżors protett.
L-istanza Firezone tiġi b'IP elastika. It-traffiku li jintbagħat permezz tal-istanza Firezone lejn destinazzjonijiet barra se jkollu dan bħala l-indirizz IP tas-sors tiegħu. L-indirizz IP inkwistjoni huwa 52.202.88.54.
[Daħħal Screenshot]<<<<<<<<<<<<<<<<<<<<<<<<
Applikazzjoni tal-web self-hosted isservi bħala r-riżors protett f'dan il-każ. L-app tal-web tista' tiġi aċċessata biss minn talbiet li ġejjin mill-indirizz IP 52.202.88.54. Skont ir-riżorsa, jista' jkun meħtieġ li jiġi permess traffiku deħlin f'diversi portijiet u tipi ta' traffiku. Dan mhuwiex kopert f'dan il-manwal.
[Daħħal screenshot]<<<<<<<<<<<<<<<<<<<<<<<<
Jekk jogħġbok għid lill-parti terza responsabbli mir-riżorsa protetta li t-traffiku mill-IP statiku definit fil-Pass 1 għandu jkun permess (f'dan il-każ 52.202.88.54).
B'mod awtomatiku, it-traffiku kollu tal-utent se jgħaddi mis-server VPN u jiġi mill-IP statiku li ġie kkonfigurat fil-Pass 1 (f'dan il-każ 52.202.88.54). Madankollu, jekk split tunneling ġie attivat, is-settings jistgħu jkunu meħtieġa biex jiġi żgurat li l-IP tad-destinazzjoni tar-riżors protett ikun elenkat fost l-IPs Permessi.
Hawn taħt tidher lista kompleta tal-għażliet ta’ konfigurazzjoni disponibbli fi /etc/firezone/firezone.rb.
Għażla | deskrizzjoni | valur awtomatiku |
default['firezone']['external_url'] | URL użat biex jaċċessa l-portal tal-web ta' din l-istanza ta' Firezone. | “https://#{node['fqdn'] || node['hostname']}” |
default['firezone']['config_directory'] | Direttorju tal-ogħla livell għall-konfigurazzjoni ta' Firezone. | /etc/firezone' |
default['firezone']['install_directory'] | Direttorju tal-ogħla livell biex jiġi installat Firezone. | / opt/firezone' |
default['firezone']['app_directory'] | Direttorju tal-ogħla livell biex tinstalla l-applikazzjoni tal-web Firezone. | “#{node['firezone']['install_directory']}/embedded/service/firezone” |
default['firezone']['log_directory'] | Direttorju tal-ogħla livell għal zkuk Firezone. | /var/log/firezone' |
default['firezone']['var_directory'] | Direttorju tal-ogħla livell għall-fajls tar-runtime Firezone. | /var/opt/firezone' |
default['firezone']['utent'] | Isem tal-utent mhux privileġġjat tal-Linux li l-biċċa l-kbira tas-servizzi u l-fajls se jappartjenu għalih. | firezone' |
default['firezone']['grupp'] | Isem tal-grupp Linux li l-biċċa l-kbira tas-servizzi u l-fajls se jappartjenu għalih. | firezone' |
default['firezone']['admin_email'] | Indirizz elettroniku għall-utent inizjali ta' Firezone. | “firezone@localhost” |
default['firezone']['max_devices_per_user'] | Numru massimu ta' apparat li jista' jkollu utent. | 10 |
default['firezone']['allow_unprivileged_device_management'] | Jippermetti lill-utenti mhux amministraturi joħolqu u jħassru apparati. | VERU |
default['firezone']['allow_unprivileged_device_configuration'] | Jippermetti lill-utenti mhux amministraturi jimmodifikaw il-konfigurazzjonijiet tal-apparat. Meta tkun diżattivata, tipprevjeni lill-utenti mhux privileġġjati milli jibdlu l-oqsma kollha tal-apparat ħlief għall-isem u d-deskrizzjoni. | VERU |
default['firezone']['egress_interface'] | Isem tal-interface minn fejn se joħroġ it-traffiku bil-mini. Jekk xejn, se tintuża l-interface default tar-rotta. | nil |
default['firezone']['fips_enabled'] | Ippermetti jew tiddiżattiva l-modalità OpenSSL FIPs. | nil |
default['firezone']['logging']['attivat'] | Ippermetti jew iddiżattiva l-illoggjar fuq Firezone. Issettja fuq falza biex tiskonnettja kompletament. | VERU |
default['intrapriża']['isem'] | Isem użat mill-ktieb tat-tisjir 'intrapriża' tax-Chef. | firezone' |
default['firezone']['install_path'] | Installa l-mogħdija użata mill-ktieb tat-tisjir ta' Chef 'intrapriża'. Għandu jkun issettjat għall-istess bħall-install_directory hawn fuq. | node['firezone']['install_directory'] |
default['firezone']['sysvinit_id'] | Identifikatur użat f'/etc/inittab. Trid tkun sekwenza unika ta' 1-4 karattri. | SUP' |
default['firezone']['awtentikazzjoni']['lokali']['attivat'] | Ippermetti jew tiddiżattiva l-awtentikazzjoni lokali tal-email/password. | VERU |
default['firezone']['awtentikazzjoni']['auto_create_oidc_users'] | Oħloq awtomatikament utenti li jiffirmaw mill-OIDC għall-ewwel darba. Iddiżattiva biex tippermetti lill-utenti eżistenti biss li jidħlu permezz tal-OIDC. | VERU |
default['firezone']['awtentikazzjoni']['disable_vpn_on_oidc_error'] | Iddiżattiva VPN ta' utent jekk jinstab żball waqt li qed jipprova jġedded it-token OIDC tiegħu. | FALZ |
default['firezone']['awtentikazzjoni']['oidc'] | OpenID Connect konfigurazzjoni, fil-format ta '{“fornitur” => [konfigurazzjoni…]} – Ara Dokumentazzjoni OpenIDConnect għal eżempji ta' konfigurazzjoni. | {} |
default['firezone']['nginx']['attivat'] | Ippermetti jew iddiżattiva s-server nginx miġbur. | VERU |
default['firezone']['nginx']['ssl_port'] | port ta' smigħ HTTPS. | 443 |
default['firezone']['nginx']['direttorju'] | Direttorju biex jaħżen il-konfigurazzjoni tal-host virtwali nginx relatata ma' Firezone. | “#{node['firezone']['var_directory']}/nginx/etc” |
default['firezone']['nginx']['log_directory'] | Direttorju biex jaħżen fajls log nginx relatati ma' Firezone. | “#{node['firezone']['log_directory']}/nginx” |
default['firezone']['nginx']['log_rotation']['file_maxbytes'] | Daqs tal-fajl li fih iddawwar il-fajls log Nginx. | 104857600 |
default['firezone']['nginx']['log_rotation']['num_to_keep'] | Numru ta' fajls ta' log nginx ta' Firezone li għandhom iżommu qabel ma jintrema. | 10 |
default['firezone']['nginx']['log_x_forwarded_for'] | Jekk tilloggjax Firezone nginx x-forwarded-for header. | VERU |
default['firezone']['nginx']['hsts_header']['attivat'] | VERU | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | Ippermetti jew tiddiżattiva includeSubDomains għall-header HSTS. | VERU |
default['firezone']['nginx']['hsts_header']['max_age'] | Età massima għall-header HSTS. | 31536000 |
default['firezone']['nginx']['redirect_to_canonical'] | Jekk tidderieġix mill-ġdid l-URLs għall-FQDN kanoniku speċifikat hawn fuq | FALZ |
default['firezone']['nginx']['cache']['attivat'] | Ippermetti jew tiddiżattiva l-cache nginx Firezone. | FALZ |
default['firezone']['nginx']['cache']['direttorju'] | Direttorju għal Firezone nginx cache. | “#{node['firezone']['var_directory']}/nginx/cache” |
default['firezone']['nginx']['utent'] | Utent Firezone nginx. | node['firezone']['utent'] |
default['firezone']['nginx']['grupp'] | Grupp Firezone nginx. | node['firezone']['grupp'] |
default['firezone']['nginx']['dir'] | Direttorju tal-konfigurazzjoni tal-ogħla livell nginx. | node['firezone']['nginx']['direttorju'] |
default['firezone']['nginx']['log_dir'] | Direttorju tal-log tal-ogħla livell nginx. | node['firezone']['nginx']['log_directory'] |
default['firezone']['nginx']['pid'] | Post għall-fajl pid nginx. | “#{node['firezone']['nginx']['direttorju']}/nginx.pid” |
default['firezone']['nginx']['daemon_disable'] | Iddiżattiva nginx daemon mode sabiex inkunu nistgħu nissorveljawha minflok. | VERU |
default['firezone']['nginx']['gzip'] | Ixgħel jew itfi l-kompressjoni nginx gzip. | fuq " |
default['firezone']['nginx']['gzip_static'] | Ixgħel jew itfi l-kompressjoni nginx gzip għal fajls statiċi. | mitfi' |
default['firezone']['nginx']['gzip_http_version'] | Verżjoni HTTP biex tuża biex isservi fajls statiċi. | 1.0 ′ |
default['firezone']['nginx']['gzip_comp_level'] | livell ta 'kompressjoni nginx gzip. | 2 ′ |
default['firezone']['nginx']['gzip_proxied'] | Jippermetti jew tiddiżattiva l-gzipping tat-tweġibiet għal talbiet ipprovduti skont it-talba u r-rispons. | kwalunkwe' |
default['firezone']['nginx']['gzip_vary'] | Jippermetti jew tiddiżattiva l-inserzjoni tal-header tar-rispons "Vary: Accept-Encoding". | mitfi' |
default['firezone']['nginx']['gzip_buffers'] | Issettja n-numru u d-daqs tal-buffers użati biex tikkompressa rispons. Jekk xejn, nginx default jintuża. | nil |
default['firezone']['nginx']['gzip_types'] | Tipi MIME biex jippermettu l-kompressjoni gzip għalihom. | ['test/sempliċi', 'test/css', 'applikazzjoni/x-javascript', 'test/xml', 'applikazzjoni/xml', 'applikazzjoni/rss+xml', 'applikazzjoni/atom+xml', ' test/javascript', 'applikazzjoni/javascript', 'applikazzjoni/json'] |
default['firezone']['nginx']['gzip_min_length'] | Tul minimu tal-fajl biex ikun hemm kompressjoni gzip tal-fajl. | 1000 |
default['firezone']['nginx']['gzip_disable'] | It-tqabbil tal-utent-aġent biex tiddiżattiva l-kompressjoni gzip għaliha. | MSIE [1-6]\.' |
default['firezone']['nginx']['keepalive'] | Jattiva l-cache għall-konnessjoni ma' servers upstream. | fuq " |
default['firezone']['nginx']['keepalive_timeout'] | Timeout f'sekondi għal konnessjoni keepalive għal servers upstream. | 65 |
default['firezone']['nginx']['worker_processes'] | Numru ta 'proċessi ta' ħaddiem nginx. | node['cpu'] && node['cpu']['total'] ? node['cpu']['total'] : 1 |
default['firezone']['nginx']['worker_connections'] | Numru massimu ta' konnessjonijiet simultanji li jistgħu jinfetħu minn proċess ta' ħaddiem. | 1024 |
default['firezone']['nginx']['worker_rlimit_nofile'] | Tibdel il-limitu fuq in-numru massimu ta' fajls miftuħa għall-proċessi tal-ħaddiema. Juża nginx default jekk xejn. | nil |
default['firezone']['nginx']['multi_accept'] | Jekk il-ħaddiema għandhomx jaċċettaw konnessjoni waħda kull darba jew multipla. | VERU |
default['firezone']['nginx']['avveniment'] | Jispeċifika l-metodu tal-ipproċessar tal-konnessjoni li għandu jintuża fil-kuntest tal-avvenimenti nginx. | epoll' |
default['firezone']['nginx']['server_tokens'] | Jippermetti jew tiddiżattiva l-emissjoni tal-verżjoni nginx fuq paġni ta 'żbalji u fil-qasam tal-header tar-rispons "Server". | nil |
default['firezone']['nginx']['server_names_hash_bucket_size'] | Issettja d-daqs tal-barmil għat-tabelli tal-hash tal-ismijiet tas-server. | 64 |
default['firezone']['nginx']['sendfile'] | Jippermetti jew tiddiżattiva l-użu ta' sendfile() ta' nginx. | fuq " |
default['firezone']['nginx']['access_log_options'] | Issettja l-għażliet tal-log tal-aċċess nginx. | nil |
default['firezone']['nginx']['error_log_options'] | Issettja l-għażliet tal-log tal-iżbalji nginx. | nil |
default['firezone']['nginx']['disable_access_log'] | Jiddiżattiva log ta 'aċċess nginx. | FALZ |
default['firezone']['nginx']['types_hash_max_size'] | nginx tipi hash daqs massimu. | 2048 |
default['firezone']['nginx']['types_hash_bucket_size'] | nginx tipi hash barmil daqs. | 64 |
default['firezone']['nginx']['proxy_read_timeout'] | nginx proxy qari timeout. Issettja għal nil biex tuża nginx default. | nil |
default['firezone']['nginx']['client_body_buffer_size'] | Daqs tal-buffer tal-ġisem tal-klijent nginx. Issettja għal nil biex tuża nginx default. | nil |
default['firezone']['nginx']['client_max_body_size'] | Daqs massimu tal-ġisem tal-klijent nginx. | 250m' |
default['firezone']['nginx']['default']['moduli'] | Speċifika moduli nginx addizzjonali. | [] |
default['firezone']['nginx']['enable_rate_limiting'] | Attiva jew tiddiżattiva l-limitazzjoni tar-rata nginx. | VERU |
default['firezone']['nginx']['rate_limiting_zone_name'] | Isem taż-żona li tillimita r-rata Nginx. | firezone' |
default['firezone']['nginx']['rate_limiting_backoff'] | Ir-rata Nginx li tillimita l-backoff. | 10m' |
default['firezone']['nginx']['rate_limit'] | Limitu tar-rata Nginx. | 10r/s' |
default['firezone']['nginx']['ipv6'] | Ħalli nginx jisma' għal talbiet HTTP għall-IPv6 minbarra l-IPv4. | VERU |
default['firezone']['postgresql']['attivat'] | Ippermetti jew iddiżattiva Postgresql miġbur. Issettja għal falza u imla l-għażliet tad-database hawn taħt biex tuża l-istanza Postgresql tiegħek stess. | VERU |
default['firezone']['postgresql']['username'] | Isem tal-utent għal Postgresql. | node['firezone']['utent'] |
default['firezone']['postgresql']['data_directory'] | Direttorju tad-dejta Postgresql. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
default['firezone']['postgresql']['log_directory'] | Direttorju tal-log Postgresql. | “#{node['firezone']['log_directory']}/postgresql” |
default['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Id-daqs massimu tal-fajl tal-log Postgresql qabel ma jiddawwar. | 104857600 |
default['firezone']['postgresql']['log_rotation']['num_to_keep'] | Numru ta 'log files Postgresql li għandhom iżommu. | 10 |
default['firezone']['postgresql']['checkpoint_completion_target'] | Mira ta 'tlestija tal-punt ta' kontroll Postgresql. | 0.5 |
default['firezone']['postgresql']['checkpoint_segments'] | Numru ta 'segmenti ta' checkpoint Postgresql. | 3 |
default['firezone']['postgresql']['checkpoint_timeout'] | Postgresql checkpoint timeout. | 5min' |
default['firezone']['postgresql']['checkpoint_warning'] | Ħin ta' twissija tal-punt ta' kontroll ta' Postgresql f'sekondi. | 30s' |
default['firezone']['postgresql']['effective_cache_size'] | Daqs effettiv tal-cache Postgresql. | 128MB' |
default['firezone']['postgresql']['listen_address'] | Postgresql jisimgħu l-indirizz. | 127.0.0.1 ′ |
default['firezone']['postgresql']['max_connections'] | Konnessjonijiet Postgresql max. | 350 |
default['firezone']['postgresql']['md5_auth_cidr_addresses'] | CIDRs Postgresql biex jippermettu l-awtentikazzjoni md5. | ['127.0.0.1/32', '::1/128'] |
default['firezone']['postgresql']['port'] | Postgresql jisimgħu port. | 15432 |
default['firezone']['postgresql']['shared_buffers'] | Postgresql maqsuma buffers daqs. | “#{(node['memorja']['total'].to_i / 4) / 1024}MB” |
default['firezone']['postgresql']['shmmax'] | Postgresql shmmax f'bytes. | 17179869184 |
default['firezone']['postgresql']['shmall'] | Postgresql shmall f'bytes. | 4194304 |
default['firezone']['postgresql']['work_mem'] | Daqs tal-memorja tax-xogħol Postgresql. | 8MB' |
default['firezone']['database']['utent'] | Jispeċifika l-isem tal-utent Firezone se juża biex jgħaqqad mad-DB. | node['firezone']['postgresql']['username'] |
default['firezone']['database']['password'] | Jekk tuża DB estern, tispeċifika l-password li Firezone se juża biex jgħaqqad mad-DB. | biddilni' |
default['firezone']['database']['isem'] | Database li Firezone se juża. Se tinħoloq jekk ma teżistix. | firezone' |
default['firezone']['database']['host'] | Database host li Firezone se jgħaqqad miegħu. | node['firezone']['postgresql']['listen_address'] |
default['firezone']['database']['port'] | Port tad-database li Firezone se jgħaqqad miegħu. | node['firezone']['postgresql']['port'] |
default['firezone']['database']['pool'] | Daqs tal-ġabra tad-database Firezone se juża. | [10, Etc.nprocessors].max |
default['firezone']['database']['ssl'] | Jekk tikkonnettjax mad-database fuq SSL. | FALZ |
default['firezone']['database']['ssl_opts'] | {} | |
default['firezone']['database']['parametri'] | {} | |
default['firezone']['database']['estensjonijiet'] | Estensjonijiet tad-database biex jippermettu. | { 'plpgsql' => veru, 'pg_trgm' => veru } |
default['firezone']['phoenix']['attivat'] | Ippermetti jew tiddiżattiva l-applikazzjoni tal-web Firezone. | VERU |
default['firezone']['phoenix']['listen_address'] | Applikazzjoni tal-web Firezone jisimgħu l-indirizz. Dan se jkun l-indirizz upstream jisimgħu li nginx prokuri. | 127.0.0.1 ′ |
default['firezone']['phoenix']['port'] | Firezone web applikazzjoni jisimgħu port. Dan se jkun il-port upstream li nginx jipproduċi. | 13000 |
default['firezone']['phoenix']['log_directory'] | Direttorju tal-log tal-applikazzjoni tal-web Firezone. | “#{node['firezone']['log_directory']}/phoenix” |
default['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Daqs tal-fajl tal-log tal-applikazzjoni tal-web Firezone. | 104857600 |
default['firezone']['phoenix']['log_rotation']['num_to_keep'] | Numru ta' fajls log tal-applikazzjoni tal-web Firezone li għandhom iżommu. | 10 |
default['firezone']['phoenix']['crash_detection']['attivat'] | Ippermetti jew tiddiżattiva t-twaqqigħ tal-applikazzjoni tal-web Firezone meta tinstab ħabta. | VERU |
default['firezone']['phoenix']['external_trusted_proxies'] | Lista ta' reverse proxies fdati fformattjati bħala Array of IPs u/jew CIDRs. | [] |
default['firezone']['phoenix']['private_clients'] | Lista ta' klijenti HTTP tan-netwerk privat, ifformattjat Array ta' IPs u/jew CIDRs. | [] |
default['firezone']['wireguard']['attivat'] | Ippermetti jew tiddiżattiva l-ġestjoni WireGuard miġbura. | VERU |
default['firezone']['wireguard']['log_directory'] | Id-direttorju tal-log għall-ġestjoni tal-WireGuard miġbura. | “#{node['firezone']['log_directory']}/wireguard” |
default['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Daqs massimu tal-fajl tal-log WireGuard. | 104857600 |
default['firezone']['wireguard']['log_rotation']['num_to_keep'] | Numru ta 'log files WireGuard li għandhom iżommu. | 10 |
default['firezone']['wireguard']['interface_name'] | Isem tal-interface WireGuard. It-tibdil ta' dan il-parametru jista' jikkawża telf temporanju fil-konnettività VPN. | wg-firezone' |
default['firezone']['wireguard']['port'] | WireGuard jisimgħu port. | 51820 |
default['firezone']['wireguard']['mtu'] | WireGuard interface MTU għal dan is-server u għall-konfigurazzjonijiet tat-tagħmir. | 1280 |
default['firezone']['wireguard']['endpoint'] | WireGuard Endpoint li għandu jintuża għall-ġenerazzjoni ta' konfigurazzjonijiet tat-tagħmir. Jekk xejn, default għall-indirizz IP pubbliku tas-server. | nil |
default['firezone']['wireguard']['dns'] | WireGuard DNS għall-użu għall-konfigurazzjonijiet tal-apparat iġġenerat. | 1.1.1.1, 1.0.0.1′ |
default['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs biex jintuża għal konfigurazzjonijiet ta' apparat iġġenerat. | 0.0.0.0/0, ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | Setting default PersistentKeepalive għal konfigurazzjonijiet ta' apparat iġġenerat. Valur ta' 0 tiddiżattiva. | 0 |
default['firezone']['wireguard']['ipv4']['attivat'] | Ippermetti jew iddiżattiva IPv4 għan-netwerk WireGuard. | VERU |
default['firezone']['wireguard']['ipv4']['masquerade'] | Ippermetti jew iddiżattiva l-masquerade għal pakketti li joħorġu mill-mina IPv4. | VERU |
default['firezone']['wireguard']['ipv4']['network'] | WireGuard network IPv4 indirizz pool. | 10.3.2.0/24 ′ |
default['firezone']['wireguard']['ipv4']['indirizz'] | Indirizz IPv4 tal-interface WireGuard. Għandu jkun fil-grupp ta 'indirizzi WireGuard. | 10.3.2.1 ′ |
default['firezone']['wireguard']['ipv6']['attivat'] | Ippermetti jew iddiżattiva IPv6 għan-netwerk WireGuard. | VERU |
default['firezone']['wireguard']['ipv6']['masquerade'] | Ippermetti jew iddiżattiva l-masquerade għal pakketti li joħorġu mill-mina IPv6. | VERU |
default['firezone']['wireguard']['ipv6']['network'] | WireGuard network IPv6 indirizz pool. | fd00::3:2:0/120′ |
default['firezone']['wireguard']['ipv6']['indirizz'] | Indirizz IPv6 tal-interface WireGuard. Għandu jkun fil-grupp ta' indirizzi IPv6. | fd00::3:2:1′ |
default['firezone']['runit']['svlogd_bin'] | Runit svlogd bin post. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
default['firezone']['ssl']['direttorju'] | Direttorju SSL għall-ħażna taċ-ċertifikati ġġenerati. | /var/opt/firezone/ssl' |
default['firezone']['ssl']['email_address'] | Indirizz elettroniku li għandu jintuża għal ċertifikati ffirmati waħedhom u avviżi ta' tiġdid tal-protokoll ACME. | int@eżempju.com' |
default['firezone']['ssl']['acme']['attivat'] | Ippermetti ACME għall-forniment awtomatiku taċ-ċertifikati SSL. Iddiżattiva dan biex tipprevjeni lil Nginx milli jisma' fuq il-port 80. Ara hawn għal aktar struzzjonijiet. | FALZ |
default['firezone']['ssl']['acme']['server'] | letencrypt | |
default['firezone']['ssl']['acme']['keylength'] | Speċifika t-tip u t-tul taċ-ċavetta għaċ-ċertifikati SSL. Ara hawn | ec-256 |
default['firezone']['ssl']['ċertifikat'] | Mogħdija għall-fajl taċ-ċertifikat għall-FQDN tiegħek. Jegħleb is-setting ACME hawn fuq jekk speċifikat. Jekk kemm l-ACME kif ukoll dan huma xejn, jiġi ġġenerat ċertifikat awto-firmat. | nil |
default['firezone']['ssl']['certificate_key'] | Mogħdija għall-fajl taċ-ċertifikat. | nil |
default['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nil |
default['firezone']['ssl']['country_name'] | Isem tal-pajjiż għal ċertifikat iffirmat minnu nnifsu. | US' |
default['firezone']['ssl']['state_name'] | Isem tal-istat għal ċertifikat iffirmat minnu nnifsu. | CA ' |
default['firezone']['ssl']['locality_name'] | Isem tal-lokalità għal ċertifikat iffirmat minnu nnifsu. | San Francisco' |
default['firezone']['ssl']['company_name'] | Isem tal-kumpanija ċertifikat iffirmat minnu nnifsu. | Il-kumpanija tiegħi' |
default['firezone']['ssl']['organizational_unit_name'] | Isem tal-unità organizzattiva għal ċertifikat iffirmat minnu nnifsu. | Operazzjonijiet' |
default['firezone']['ssl']['ciphers'] | Ċifri SSL għall-użu minn nginx. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default['firezone']['ssl']['fips_ciphers'] | Ċifri SSL għall-modalità FIPs. | FIPS@STRENGTH:!aNULL:!eNULL' |
default['firezone']['ssl']['protokolli'] | Protokolli TLS li għandhom jintużaw. | TLSv1 TLSv1.1 TLSv1.2′ |
default['firezone']['ssl']['session_cache'] | Cache tas-sessjoni SSL. | maqsuma:SSL:4m' |
default['firezone']['ssl']['session_timeout'] | SSL sessjoni timeout. | 5m' |
default['firezone']['robots_allow'] | robots nginx jippermettu. | /' |
default['firezone']['robots_disallow'] | robots nginx ma jippermettux. | nil |
default['firezone']['outbound_email']['minn'] | Email barra mill-indirizz. | nil |
default['firezone']['outbound_email']['fornitur'] | Fornitur tas-servizz tal-email barra. | nil |
default['firezone']['outbound_email']['configs'] | Konfigurazzjonijiet tal-fornitur tal-email barra. | ara omnibus/cookbooks/firezone/attributes/default.rb |
default['firezone']['telemetrija']['attivat'] | Ippermetti jew tiddiżattiva t-telemetrija tal-prodott anonimizzata. | VERU |
default['firezone']['connectivity_checks']['enabled'] | Ippermetti jew iddiżattiva s-servizz tal-kontrolli tal-konnettività Firezone. | VERU |
default['firezone']['connectivity_checks']['interval'] | Intervall bejn il-kontrolli tal-konnettività f'sekondi. | 3_600 |
________________________________________________________________
Hawnhekk issib lista ta' fajls u direttorji relatati ma' installazzjoni tipika ta' Firezone. Dawn jistgħu jinbidlu skont il-bidliet fil-fajl tal-konfigurazzjoni tiegħek.
triq | deskrizzjoni |
/var/opt/firezone | Direttorju tal-ogħla livell li fih dejta u konfigurazzjoni ġġenerata għas-servizzi miġbura Firezone. |
/ opt / firezone | Direttorju tal-ogħla livell li fih libreriji mibnija, binarji u fajls tar-runtime meħtieġa minn Firezone. |
/usr/bin/firezone-ctl | utilità firezone-ctl għall-ġestjoni tal-installazzjoni Firezone tiegħek. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd unit file għall-bidu tal-proċess ta' superviżur runsvdir ta' Firezone. |
/etc/firezone | Fajls tal-konfigurazzjoni Firezone. |
__________________________________________________________
Din il-paġna kienet vojta fid-doks
_____________________________________________________________
Il-mudell tal-firewall nftables li ġej jista 'jintuża biex jiżgura s-server li jħaddem Firezone. Il-mudell jagħmel xi suppożizzjonijiet; jista' jkollok bżonn taġġusta r-regoli biex jaqbel mal-każ tal-użu tiegħek:
Firezone jikkonfigura r-regoli nftables tiegħu stess biex jippermetti/tiċħad it-traffiku lejn destinazzjonijiet konfigurati fl-interface tal-web u biex jimmaniġġa NAT barra għat-traffiku tal-klijenti.
L-applikazzjoni tal-mudell tal-firewall hawn taħt fuq server li diġà qed jaħdem (mhux fil-ħin tal-ibbutjar) se tirriżulta fir-regoli Firezone jitneħħew. Dan jista' jkollu implikazzjonijiet ta' sigurtà.
Biex taħdem madwar dan ibda mill-ġdid is-servizz Phoenix:
firezone-ctl jerġa 'jibda Phoenix
#!/usr/sbin/nft -f
## Ċara/laħlaħ ir-regoli eżistenti kollha
sett ta' regoli tal-flush
############################### VARJABBLI ################# ###############
## Isem tal-interface tal-Internet/WAN
iddefinixxi DEV_WAN = eth0
## Isem tal-interface WireGuard
iddefinixxi DEV_WIREGUARD = wg-firezone
## WireGuard isimgħu port
iddefinixxi WIREGUARD_PORT = 51820
############################# VARJABBLI TMIEM ################## ############
# Tabella tal-filtrazzjoni tal-familja inet prinċipali
filtru inet tal-mejda {
# Regoli għat-traffiku mibgħut
# Din il-katina tiġi pproċessata qabel il-katina 'l quddiem ta' Firezone
katina 'l quddiem {
filtru tat-tip ganċ 'il quddiem filtru prijoritarju - 5; politika taċċetta
}
# Regoli għat-traffiku tal-input
input tal-katina {
tip filtru ganċ input filtru prijoritarju; tnaqqis fil-politika
## Ippermetti traffiku deħlin għal interface loopback
jekk lo \
aċċetta \
kumment "Ippermetti t-traffiku kollu mill-interface loopback"
## Permess stabbiliti u konnessjonijiet relatati
ct stat stabbilit,relatat\
aċċetta \
kumment “Permess stabbilit/konnessjonijiet relatati”
## Ippermetti traffiku ta' WireGuard deħlin
iif $DEV_WAN udp dport $WIREGUARD_PORT \
counter \
aċċetta \
kumment "Ippermetti traffiku ta' WireGuard deħlin"
## Log u waqqa' pakketti TCP ġodda mhux SYN
tcp flags != syn ct state ġdid \
rata ta' limitu 100/minuta fqigħ 150 pakketti \
prefiss log “FI – Ġdid !SYN: “ \
kumment "Logging tal-limitu tar-rata għal konnessjonijiet ġodda li m'għandhomx issettjat il-marka SYN TCP"
tcp flags != syn ct state ġdid \
counter \
qatra \
kumment "Waqqa' konnessjonijiet ġodda li m'għandhomx issettjat il-bandiera SYN TCP"
## Log u waqqa' pakketti TCP b'sett ta' flag fin/syn invalidu
tcp flags & (fin|syn) == (fin|syn) \
rata ta' limitu 100/minuta fqigħ 150 pakketti \
prefiss log “IN – TCP FIN|SIN: “ \
kumment "Logging tal-limitu tar-rata għal pakketti TCP b'sett ta' bandiera fin/syn invalida"
tcp flags & (fin|syn) == (fin|syn) \
counter \
qatra \
kumment "Waqqa' pakketti TCP b'sett ta' bandiera fin/syn invalida"
## Iilloggja u waqqa' pakketti TCP b'sett ta' flag syn/rst invalidu
tcp flags & (syn|rst) == (syn|rst) \
rata ta' limitu 100/minuta fqigħ 150 pakketti \
prefiss log “IN – TCP SYN|RST: “ \
kumment "Logging tal-limitu tar-rata għal pakketti TCP b'sett ta' flag syn/rst invalidu"
tcp flags & (syn|rst) == (syn|rst) \
counter \
qatra \
kumment "Waqqa' pakketti TCP b'sett ta' flag syn/rst invalidu"
## Log u waqqa' bnadar TCP invalidi
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
rata ta' limitu 100/minuta fqigħ 150 pakketti \
prefiss log “FI – FIN:” \
kumment “Logging tal-limitu tar-rata għal bnadar TCP invalidi (fin|syn|rst|psh|ack|urg) < (fin)”
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
counter \
qatra \
kumment “Waqqa’ pakketti TCP b’bnadar (fin|syn|rst|psh|ack|urg) < (fin)”
## Log u waqqa' bnadar TCP invalidi
tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
rata ta' limitu 100/minuta fqigħ 150 pakketti \
prefiss log “IN – FIN|PSH|URG:” \
kumment “Logging tal-limitu tar-rata għal bnadar TCP invalidi (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
counter \
qatra \
kumment “Waqqa’ pakketti TCP b’bnadar (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
## Waqqa’ traffiku bi stat ta’ konnessjoni invalidu
stat ct invalidu \
rata ta' limitu 100/minuta fqigħ 150 pakketti \
log bnadar kollha prefiss “IN – Invalidu: “ \
kumment "Logging tal-limitu tar-rata għal traffiku bi stat ta' konnessjoni invalidu"
stat ct invalidu \
counter \
qatra \
kumment “Waqqa’ t-traffiku bi stat ta’ konnessjoni invalidu”
## Ippermetti tweġibiet ping/ping IPv4 iżda limitu tar-rata għal 2000 PPS
ip protokoll icmp icmp tip { echo-reply, echo-request } \
rata ta' limitu 2000/tieni \
counter \
aċċetta \
kumment "Permetti eku IPv4 deħlin (ping) limitat għal 2000 PPS"
## Ippermetti l-ICMP IPv4 deħlin l-ieħor kollu
ip protokoll icmp \
counter \
aċċetta \
kumment "Ippermetti l-ICMP IPv4 l-ieħor kollu"
## Ippermetti tweġibiet ping/ping IPv6 iżda limitu tar-rata għal 2000 PPS
icmpv6 tip { echo-reply, echo-request } \
rata ta' limitu 2000/tieni \
counter \
aċċetta \
kumment "Permetti eku IPv6 deħlin (ping) limitat għal 2000 PPS"
## Ippermetti l-ICMP IPv6 deħlin l-ieħor kollu
meta l4proto {icmpv6} \
counter \
aċċetta \
kumment "Ippermetti l-ICMP IPv6 l-ieħor kollu"
## Ippermetti portijiet UDP traceroute deħlin iżda tillimita għal 500 PPS
udp dport 33434-33524 \
rata ta' limitu 500/tieni \
counter \
aċċetta \
kumment "Permetti traceroute UDP deħlin limitat għal 500 PPS"
## Permess inbound SSH
tcp dport ssh ct stat ġdid \
counter \
aċċetta \
kumment "Ippermetti konnessjonijiet SSH deħlin"
## Ippermetti HTTP u HTTPS deħlin
tcp dport { http, https } stat ct ġdid \
counter \
aċċetta \
kumment "Ippermetti konnessjonijiet HTTP u HTTPS deħlin"
## Iilloggja kwalunkwe traffiku mhux imqabbel iżda tillimita r-rata tal-illoggjar għal massimu ta' 60 messaġġ/minuta
## Il-politika default se tiġi applikata għal traffiku mhux imqabbel
rata ta' limitu 60/minuta fqigħ 100 pakketti \
prefiss log “FI – Waqqa’: “ \
kumment “Illoggja kwalunkwe traffiku mhux imqabbel”
## Jgħodd it-traffiku mhux imqabbel
counter \
kumment “Għodda kwalunkwe traffiku mhux imqabbel”
}
# Regoli għat-traffiku tal-ħruġ
output tal-katina {
tip filtru ganċ output filtru prijorità; tnaqqis fil-politika
## Ippermetti traffiku 'l barra għal interface loopback
oif lo \
aċċetta \
kumment "Ħalli t-traffiku kollu joħroġ għal interface loopback"
## Permess stabbiliti u konnessjonijiet relatati
ct stat stabbilit,relatat\
counter \
aċċetta \
kumment “Permess stabbilit/konnessjonijiet relatati”
## Ippermetti t-traffiku 'l barra minn WireGuard qabel ma twaqqa' konnessjonijiet bi stat ħażin
iva $DEV_WAN sport udp $WIREGUARD_PORT \
counter \
aċċetta \
kumment "Ippermetti traffiku 'l barra minn WireGuard"
## Waqqa’ traffiku bi stat ta’ konnessjoni invalidu
stat ct invalidu \
rata ta' limitu 100/minuta fqigħ 150 pakketti \
log bnadar kollha prefiss “OUT – Invalidu: “ \
kumment "Logging tal-limitu tar-rata għal traffiku bi stat ta' konnessjoni invalidu"
stat ct invalidu \
counter \
qatra \
kumment “Waqqa’ t-traffiku bi stat ta’ konnessjoni invalidu”
## Ippermetti l-IPv4 ICMP barra l-ieħor kollu
ip protokoll icmp \
counter \
aċċetta \
kumment "Ippermetti t-tipi kollha ta' IPv4 ICMP"
## Ippermetti l-IPv6 ICMP barra l-ieħor kollu
meta l4proto {icmpv6} \
counter \
aċċetta \
kumment "Ippermetti t-tipi kollha ta' IPv6 ICMP"
## Ippermetti portijiet UDP traceroute ħerġin iżda tillimita għal 500 PPS
udp dport 33434-33524 \
rata ta' limitu 500/tieni \
counter \
aċċetta \
kumment "Permetti traceroute barra UDP limitat għal 500 PPS"
## Ippermetti konnessjonijiet HTTP u HTTPS ħerġin
tcp dport { http, https } stat ct ġdid \
counter \
aċċetta \
kumment "Ippermetti konnessjonijiet HTTP u HTTPS ħerġin"
## Ippermetti sottomissjoni SMTP barra
tcp dport sottomissjoni ct stat ġdid \
counter \
aċċetta \
kumment "Ippermetti sottomissjoni SMTP barra"
## Ippermetti talbiet DNS barra
udp dport 53 \
counter \
aċċetta \
kumment "Ippermetti talbiet DNS UDP ħerġin"
tcp dport 53 \
counter \
aċċetta \
kumment "Ippermetti talbiet TCP DNS ħerġin"
## Permess talbiet NTP barra
udp dport 123 \
counter \
aċċetta \
kumment "Ippermetti talbiet NTP barra"
## Iilloggja kwalunkwe traffiku mhux imqabbel iżda tillimita r-rata tal-illoggjar għal massimu ta' 60 messaġġ/minuta
## Il-politika default se tiġi applikata għal traffiku mhux imqabbel
rata ta' limitu 60/minuta fqigħ 100 pakketti \
prefiss log “OUT – Waqqa’: “ \
kumment “Illoggja kwalunkwe traffiku mhux imqabbel”
## Jgħodd it-traffiku mhux imqabbel
counter \
kumment “Għodda kwalunkwe traffiku mhux imqabbel”
}
}
# Tabella ewlenija tal-filtrazzjoni NAT
tabella inet nat {
# Regoli għall-pre-routing tat-traffiku NAT
katina prerouting {
tip nat hook prerouting prijorità dstnat; politika taċċetta
}
# Regoli għat-traffiku NAT wara r-rotot
# Din it-tabella hija pproċessata qabel il-katina ta' wara r-rotot ta' Firezone
katina postrouting {
tip nat hook postrouting prijorità srcnat – 5; politika taċċetta
}
}
Il-firewall għandu jinħażen fil-post rilevanti għad-distribuzzjoni Linux li tkun qed taħdem. Għal Debian/Ubuntu dan huwa /etc/nftables.conf u għal RHEL dan huwa /etc/sysconfig/nftables.conf.
nftables.service jeħtieġ li jiġi kkonfigurat biex jibda fuq il-boot (jekk mhux diġà) issettjat:
systemctl jippermetti nftables.service
Jekk tagħmel xi tibdil fil-mudell tal-firewall is-sintassi tista’ tiġi vvalidata billi tħaddem il-kmand tal-kontroll:
nft -f /path/to/nftables.conf -c
Kun żgur li tivvalida l-firewall jaħdem kif mistenni peress li ċerti karatteristiċi nftables jistgħu ma jkunux disponibbli skont ir-rilaxx li qed jaħdem fuq is-server.
_______________________________________________________________
Dan id-dokument jippreżenta ħarsa ġenerali lejn it-telemetrija li Firezone jiġbor mill-istanza awto-ospitata tiegħek u kif tiddiżattivaha.
Żona tan-nar tistrieħ fuq it-telemetrija biex nipprijoritizzaw il-pjan direzzjonali tagħna u nottimizzaw ir-riżorsi tal-inġinerija li għandna biex nagħmlu Firezone aħjar għal kulħadd.
It-telemetrija li niġbru għandha l-għan li twieġeb il-mistoqsijiet li ġejjin:
Hemm tliet postijiet ewlenin fejn tinġabar it-telemetrija f'Firezone:
F'kull wieħed minn dawn it-tliet kuntesti, aħna naqbdu l-ammont minimu ta 'dejta meħtieġa biex inwieġbu l-mistoqsijiet fit-taqsima ta' hawn fuq.
L-emails ta' l-amministraturi jinġabru biss jekk inti tagħżel espliċitament għall-aġġornamenti tal-prodott. Inkella, informazzjoni identifikabbli personalment hija qatt miġbura.
Firezone jaħżen it-telemetrija f'istanza awto-ospitata ta 'PostHog li taħdem fi cluster Kubernetes privat, aċċessibbli biss mit-tim ta' Firezone. Hawn hu eżempju ta’ avveniment tat-telemetrija li jintbagħat mill-istanza tiegħek ta’ Firezone lis-server tat-telemetrija tagħna:
{
"id": “0182272d-0b88-0000-d419-7b9a413713f1”,
"timestamp": “2022-07-22T18:30:39.748000+00:00”,
"avveniment": “fz_http_started”,
“id_distinct”: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"proprjetajiet":{
“$geoip_city_name”: "Ashburn",
“$geoip_continent_code”: “NA”,
“$geoip_continent_name”: "L-Amerka ta 'Fuq",
“$geoip_country_code”: “US”,
“$geoip_country_name”: "Stati Uniti",
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
“$geoip_subdivision_1_code”: “VA”,
“$geoip_subdivision_1_name”: "Virġinja",
“$geoip_time_zone”: “Amerika/New_York”,
“$ip”: "52.200.241.107",
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”: [
"GeoIP (3)"
],
“id_distinct”: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
“fqdn”: “awsdemo.firezone.dev”,
“kernel_version”: "linux 5.13.0",
"verżjoni": "0.4.6"
},
“katina_elementi”: ""
}
NOTI
It-tim ta 'żvilupp ta' Firezone tistrieħ fuq l-analiżi tal-prodott biex Firezone ikun aħjar għal kulħadd. Li tħalli t-telemetrija attivata hija l-aktar kontribut siewi li tista' tagħmel għall-iżvilupp ta' Firezone. Cela dit, nifhmu li xi utenti għandhom rekwiżiti ogħla ta 'privatezza jew sigurtà u jippreferu li jiskonnettjaw it-telemetrija għal kollox. Jekk dak int, kompli aqra.
It-telemetrija hija attivata awtomatikament. Biex tiddiżattiva kompletament it-telemetrija tal-prodott, issettja l-għażla ta 'konfigurazzjoni li ġejja għal falza f' /etc/firezone/firezone.rb u mexxi sudo firezone-ctl reconfigure biex ttella' l-bidliet.
default['firezone']['telemetrija']['attivat'] = falza
Dan se jiskonnettja kompletament it-telemetrija kollha tal-prodott.
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
Email: info@hailbytes.com