мәзірі
Мұнда Firezone GUI бар Hailbytes VPN қолдану бойынша қадамдық нұсқаулар берілген.
Басқару: сервер данасын орнату осы бөлікке тікелей қатысты.
Пайдаланушы нұсқаулығы: Firezone пайдалануды және әдеттегі мәселелерді шешуді үйрететін пайдалы құжаттар. Сервер сәтті орналастырылғаннан кейін осы бөлімді қараңыз.
Бөлінген туннельдеу: трафикті тек белгілі бір IP ауқымдарына жіберу үшін VPN пайдаланыңыз.
Ақ тізім: ақ тізімді пайдалану үшін VPN серверінің статикалық IP мекенжайын орнатыңыз.
Кері туннельдер: кері туннельдер арқылы бірнеше құрдастардың арасында туннельдер жасаңыз.
Hailbytes VPN орнату, теңшеу немесе пайдалану кезінде көмек қажет болса, біз сізге көмектесуге қуаныштымыз.
Пайдаланушылар құрылғы конфигурация файлдарын жасау немесе жүктеп алу алдында Firezone аутентификацияны қажет ететіндей конфигурациялануы мүмкін. Сондай-ақ, пайдаланушылар VPN қосылымын белсенді ету үшін мерзімді түрде қайта аутентификациялау қажет болуы мүмкін.
Firezone әдепкі кіру әдісі жергілікті электрондық пошта және құпия сөз болса да, оны кез келген стандартталған OpenID Connect (OIDC) сәйкестендіру провайдерімен біріктіруге болады. Пайдаланушылар енді Firezone жүйесіне Okta, Google, Azure AD немесе жеке сәйкестендіру провайдерінің тіркелгі деректерін пайдаланып кіре алады.
Жалпы OIDC провайдерін біріктіру
OIDC провайдерін пайдаланып SSO-ға рұқсат беру үшін Firezone-ға қажет конфигурация параметрлері төмендегі мысалда көрсетілген. /etc/firezon/firezone.rb сайтында конфигурация файлын таба аласыз. Қолданбаны жаңарту және өзгертулердің күшіне енуі үшін firezone-ctl reconfigure және firezone-ctl қайта іске қосыңыз.
# Бұл Google және Okta қызметтерін SSO идентификациялық провайдері ретінде пайдалану үлгісі.
# Бір Firezone данасына бірнеше OIDC конфигурациясын қосуға болады.
# Firezone әрекетті орындау кезінде қате анықталса, пайдаланушының VPN қызметін өшіре алады
# олардың кіру_токенін жаңарту үшін. Бұл Google, Okta және үшін жұмыс істейтіні расталған
# Azure SSO және олар жойылған жағдайда пайдаланушының VPN желісіне автоматты түрде ажырату үшін пайдаланылады
# OIDC провайдерінен. Егер OIDC провайдеріңіз болса, мұны өшірулі қалдырыңыз
# қол жеткізу таңбалауыштарын жаңарту мәселелері бар, себебі ол күтпеген жерден a
# пайдаланушының VPN сеансы.
әдепкі['firezone']['authentication']['disable_vpn_on_oidc_error'] = жалған
әдепкі['firezone']['authentication']['oidc'] = {
google: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: « ”,
клиент_құпиясы: « ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
жауап_түрі: «код»,
ауқымы: «ашық электрондық пошта профилі»,
белгі: «Google»
},
окта: {
Discovery_document_uri: “https:// /.well-known/openid-configuration”,
client_id: « ”,
клиент_құпиясы: « ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
жауап_түрі: «код»,
ауқымы: «ашылған электрондық пошта профилі offline_access»,
белгі: «Окта»
}
}
Біріктіру үшін келесі конфигурация параметрлері қажет:
Әрбір OIDC провайдері үшін конфигурацияланған провайдердің кіру URL мекенжайына қайта бағыттау үшін сәйкес әдемі URL жасалады. Жоғарыдағы OIDC конфигурациясының мысалы үшін URL мекенжайлары:
Бізде құжаттама бар провайдерлер:
Сәйкестендіру провайдерінде жалпы OIDC қосқышы болса және жоғарыда тізімде жоқ болса, қажетті конфигурация параметрлерін алу жолы туралы ақпарат алу үшін олардың құжаттамасына өтіңіз.
Параметрлер/қауіпсіздік астындағы параметрді мерзімді қайта аутентификацияны қажет ету үшін өзгертуге болады. Бұл VPN сеансын жалғастыру үшін пайдаланушылардың Firezone жүйесіне тұрақты түрде кіруі туралы талапты орындау үшін пайдаланылуы мүмкін.
Сеанс ұзақтығын бір сағат пен тоқсан күн арасында теңшеуге болады. Мұны Ешқашан параметріне орнату арқылы VPN сеанстарын кез келген уақытта қосуға болады. Бұл стандарт.
Пайдаланушы мерзімі өткен VPN сеансын (орналастыру кезінде көрсетілген URL мекенжайы) қайта аутентификациялау үшін VPN сеансын аяқтап, Firezone порталына кіруі керек.
Мұнда табылған нақты клиент нұсқауларын орындау арқылы сеанстың түпнұсқалығын қайта растауға болады.
VPN қосылымының күйі
Пайдаланушылар бетіндегі VPN қосылымы кестесінің бағаны пайдаланушының қосылым күйін көрсетеді. Бұл қосылым күйлері:
ҚОСУ – қосылым қосылды.
ӨШІРІЛГЕН – қосылымды әкімші өшірген немесе OIDC жаңарту сәтсіздігі.
МЕРЗІМІ ӨТКЕН – қосылым аутентификация мерзімінің аяқталуына немесе пайдаланушы жүйеге бірінші рет кірмегеніне байланысты өшірілген.
Жалпы OIDC қосқышы арқылы Firezone Google Workspace және Cloud Identity көмегімен бір реттік кіруді (SSO) қосады. Бұл нұсқаулық интеграция үшін қажет төменде көрсетілген конфигурация параметрлерін алу жолын көрсетеді:
1. OAuth конфигурациялау экраныمور
Жаңа OAuth клиент идентификаторын бірінші рет жасап жатсаңыз, келісім экранын конфигурациялау сұралады.
*Пайдаланушы түрі үшін Ішкі опциясын таңдаңыз. Бұл Google Workspace ұйымындағы пайдаланушыларға тиесілі есептік жазбалар ғана құрылғы конфигурацияларын жасай алатынын қамтамасыз етеді. Жарамды Google тіркелгісі бар кез келген адамға құрылғы конфигурацияларын жасау үшін қосқыңыз келмейінше, Сыртқы параметрін ТАҢДАМАҢЫЗ.
Қолданба туралы ақпарат экранында:
2. OAuth клиент идентификаторларын жасаңызمور
Бұл бөлім Google-дың жеке құжаттамасына негізделген OAuth 2.0 орнату.
Google Cloud Console қолданбасына өтіңіз Тіркелгі деректері беті бетінде + Тіркелгі деректерін жасау түймешігін басып, OAuth клиент идентификаторын таңдаңыз.
OAuth клиент идентификаторын жасау экранында:
OAuth клиент идентификаторын жасағаннан кейін сізге Клиент идентификаторы және Клиент құпиясы беріледі. Олар келесі қадамда қайта бағыттау URI-мен бірге пайдаланылады.
редакциялау /etc/firezon/firezon.rb төмендегі опцияларды қосу үшін:
# Google-ды SSO сәйкестендіру провайдері ретінде пайдалану
әдепкі['firezone']['authentication']['oidc'] = {
google: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: « ”,
клиент_құпиясы: « ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
жауап_түрі: «код»,
ауқымы: «ашық электрондық пошта профилі»,
белгі: «Google»
}
}
Қолданбаны жаңарту үшін firezone-ctl қайта конфигурациялаңыз және firezone-ctl қайта іске қосыңыз. Енді Firezone URL түбірінде Google арқылы кіру түймешігін көруіңіз керек.
Firezone Октамен бір реттік кіруді (SSO) жеңілдету үшін жалпы OIDC қосқышын пайдаланады. Бұл оқулық интеграция үшін қажетті төменде көрсетілген конфигурация параметрлерін алу жолын көрсетеді:
Нұсқаулықтың бұл бөліміне негізделген Октаның құжаттары.
Әкімші консолінде Қолданбалар > Қолданбалар тармағына өтіп, Қолданба интеграциясын жасау түймесін басыңыз. Жүйеге кіру әдісін OICD – OpenID Connect және қолданба түрін веб-бағдарламаға орнатыңыз.
Мына параметрлерді конфигурациялаңыз:
Параметрлер сақталғаннан кейін сізге Клиент идентификаторы, Клиент құпиясы және Okta домені беріледі. Бұл 3 мән Firezone конфигурациялау үшін 2-қадамда пайдаланылады.
редакциялау /etc/firezon/firezon.rb төмендегі опцияларды қосу үшін. Сіздің Discovery_document_url болады /.жақсы белгілі/openid-конфигурация соңына қосылады окта_домен.
# Okta қолданбасын SSO сәйкестендіру провайдері ретінде пайдалану
әдепкі['firezone']['authentication']['oidc'] = {
окта: {
Discovery_document_uri: “https:// /.well-known/openid-configuration”,
client_id: « ”,
клиент_құпиясы: « ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
жауап_түрі: «код»,
ауқымы: «ашылған электрондық пошта профилі offline_access»,
белгі: «Окта»
}
}
Қолданбаны жаңарту үшін firezone-ctl қайта конфигурациялаңыз және firezone-ctl қайта іске қосыңыз. Енді Firezone URL түбірінде Okta арқылы кіру түймешігін көруіңіз керек.
Firezone қолданбасына кіре алатын пайдаланушыларды Окта шектей алады. Мұны орындау үшін Okta Admin Console Firezone App Integration's Assignments бетіне өтіңіз.
Жалпы OIDC қосқышы арқылы Firezone Azure Active Directory көмегімен бір реттік кіруді (SSO) қосады. Бұл нұсқаулық интеграция үшін қажетті төменде көрсетілген конфигурация параметрлерін алу жолын көрсетеді:
Бұл нұсқаулықтан алынған Azure Active Directory құжаттары.
Azure порталының Azure Active Directory бетіне өтіңіз. «Басқару» мәзірі опциясын таңдап, «Жаңа тіркеу» опциясын таңдаңыз, содан кейін төмендегі ақпаратты беру арқылы тіркеліңіз:
Тіркелгеннен кейін қолданбаның мәліметтер көрінісін ашыңыз және көшіріңіз Қолданбаның (клиенттің) идентификаторы. Бұл client_id мәні болады. Содан кейін шығарып алу үшін соңғы нүктелер мәзірін ашыңыз OpenID Connect метадеректер құжаты. Бұл Discovery_document_uri мәні болады.
Басқару мәзірінің астындағы Сертификаттар және құпиялар опциясын басу арқылы жаңа клиент құпиясын жасаңыз. Клиент құпиясын көшіріңіз; клиенттің құпия мәні осы болады.
Соңында, Басқару мәзірі астындағы API рұқсаттары сілтемесін таңдап, басыңыз Рұқсат қосыңызтаңдаңыз Microsoft графикасы. Қосу электрондық пошта, OpenID, offline_access және Профильді қажетті рұқсаттарға.
редакциялау /etc/firezon/firezon.rb төмендегі опцияларды қосу үшін:
# Azure Active Directory қызметін SSO идентификациялық провайдері ретінде пайдалану
әдепкі['firezone']['authentication']['oidc'] = {
көгілдір: {
Discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-конфигурация”,
client_id: « ”,
клиент_құпиясы: « ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
жауап_түрі: «код»,
ауқымы: «ашылған электрондық пошта профилі offline_access»,
белгі: «Лурен»
}
}
Қолданбаны жаңарту үшін firezone-ctl қайта конфигурациялаңыз және firezone-ctl қайта іске қосыңыз. Енді Firezone URL түбірінде Azure арқылы кіру түймешігін көруіңіз керек.
Azure AD әкімшілерге компанияңыздағы пайдаланушылардың белгілі бір тобына қолданбаға кіруді шектеуге мүмкіндік береді. Мұны істеу жолы туралы қосымша ақпаратты Microsoft құжаттамасынан табуға болады.
Chef Omnibus бағдарламасын Firezone тапсырмаларды, соның ішінде шығарылымды орау, процесті қадағалау, журналды басқару және т.б. басқару үшін пайдаланады.
Ruby коды /etc/firezon/firezone.rb мекенжайында орналасқан негізгі конфигурация файлын құрайды. Осы файлға өзгертулер енгізгеннен кейін sudo firezone-ctl reconfigure қайта іске қосылуы Шефтің өзгерістерді тануына және оларды ағымдағы операциялық жүйеге қолдануға мүмкіндік береді.
Конфигурация айнымалыларының толық тізімін және олардың сипаттамаларын конфигурация файлының сілтемесін қараңыз.
Firezone данасын мына арқылы басқаруға болады firezone-ctl төменде көрсетілгендей пәрмен. Көптеген ішкі пәрмендер префиксті қажет етеді sudo.
root@demo:~# firezone-ctl
omnibus-ctl: пәрмен (ішкі пәрмен)
Жалпы командалар:
тазалаңыз
*барлық* өрт аймағы деректерін жойыңыз және нөлден бастаңыз.
жасау-немесе-қалпына келтіру-әкімші
Әдепкі бойынша['firezon']['admin_email'] көрсетілген электрондық поштасы бар әкімші құпия сөзін қалпына келтіреді немесе бұл электрондық пошта жоқ болса, жаңа әкімші жасайды.
Көмектесіңдер
Осы анықтама хабарын басып шығарыңыз.
қайта конфигурациялау
Қолданбаны қайта конфигурациялаңыз.
қалпына келтіру-желі
Nftables, WireGuard интерфейсі және бағыттау кестесін Firezone әдепкі параметрлеріне қайтарады.
көрсету-конфигурация
Қайта конфигурациялау арқылы жасалатын конфигурацияны көрсетіңіз.
бөлшектеу желісі
WireGuard интерфейсін және firezone nftables кестесін жояды.
күш-куәлік-жаңарту
Сертификат мерзімі аяқталмаса да, оны қазір күштеп жаңарту.
тоқтату-сертификат-жаңарту
Куәліктерді жаңартатын cronjob жояды.
Uninstall
Барлық процестерді жойып, процесс супервайзерін жойыңыз (деректер сақталады).
нұсқа
Firezone ағымдағы нұсқасын көрсету
Қызметті басқару командалары:
әсем өлтіру
Әдемі тоқтату әрекетін жасаңыз, содан кейін бүкіл процесс тобын SIGKILL.
хоп
Қызметтерге HUP жіберіңіз.
INT
Қызметтерге INT жіберіңіз.
өлтіру
Қызметтерге KILL жіберіңіз.
Бір рет
Қызметтер істен шыққан болса, оларды бастаңыз. Егер олар тоқтаса, оларды қайта іске қоспаңыз.
қайтадан қосу
Қызметтер жұмыс істеп тұрса, оларды тоқтатып, қайта іске қосыңыз.
қызмет тізімі
Барлық қызметтерді тізімдеңіз (қосылған қызметтер * белгісімен көрсетіледі).
бастау
Қызметтер жұмыс істемей қалса, бастаңыз, ал тоқтап қалса, қайта іске қосыңыз.
мәртебе
Барлық қызметтердің күйін көрсетіңіз.
Тоқта
Қызметтерді тоқтатыңыз және оларды қайта іске қоспаңыз.
құйрық
Барлық қосылған қызметтердің қызмет журналдарын қараңыз.
мерзім
Қызметтерге TERM жіберіңіз.
usr1
Қызметтерді USR1 жіберіңіз.
usr2
Қызметтерді USR2 жіберіңіз.
Firezone жаңарту алдында барлық VPN сеанстары тоқтатылуы керек, ол сонымен қатар Web UI өшіруді талап етеді. Жаңарту кезінде бірдеңе дұрыс болмаса, техникалық қызмет көрсетуге бір сағат уақыт бөлуге кеңес береміз.
Firezone мүмкіндігін жақсарту үшін келесі әрекеттерді орындаңыз:
Қандай да бір мәселелер туындаса, бізге хабарлаңыз қолдау билетін жіберу.
0.5.0-де бірнеше үзіліссіз өзгерістер мен конфигурация модификациялары бар, оларды шешу қажет. Төменде толығырақ біліңіз.
Nginx бұдан былай 0.5.0 нұсқасынан бастап күштеу SSL және SSL емес порт параметрлерін қолдамайды. Firezone жұмыс істеуі үшін SSL қажет болғандықтан, әдепкі['firezone']['nginx']['enabled'] = false параметрін орнату және оның орнына кері проксиді 13000 портындағы Phoenix қолданбасына бағыттау арқылы Nginx қызметін алып тастауды ұсынамыз (әдепкі бойынша). ).
0.5.0 жинақталған Nginx қызметімен SSL сертификаттарын автоматты түрде жаңарту үшін ACME протоколының қолдауын ұсынады. Қосу,
Қайталанатын тағайындаулары бар ережелерді қосу мүмкіндігі Firezone 0.5.0 нұсқасында жойылды. Біздің тасымалдау сценарийі 0.5.0 нұсқасына жаңарту кезінде бұл жағдайларды автоматты түрде таниды және тағайындалуы басқа ережені қамтитын ережелерді ғана сақтайды. Бұл дұрыс болса, сізге ештеңе істеудің қажеті жоқ.
Әйтпесе, жаңартудан бұрын осы жағдайлардан құтылу үшін ережелер жинағын өзгертуге кеңес береміз.
Firezone 0.5.0 жаңа, икемді OIDC негізіндегі конфигурацияның пайдасына ескі стильдегі Okta және Google SSO конфигурациясын қолдауды жояды.
Егер сізде әдепкі['firezone']['authentication']['okta'] немесе әдепкі['firezone']['authentication']['google'] кілттері бойынша қандай да бір конфигурация болса, оларды OIDC жүйесіне көшіру керек. -төмендегі нұсқаулықты пайдаланып конфигурациялау.
Бар Google OAuth конфигурациясы
Ескі Google OAuth конфигурациялары бар осы жолдарды /etc/firezone/firezone.rb мекенжайында орналасқан конфигурация файлынан алып тастаңыз.
әдепкі['firezone']['authentication']['google']['enabled']
әдепкі['firezone']['authentication']['google']['client_id']
әдепкі['firezone']['authentication']['google']['client_secret']
әдепкі['firezone']['authentication']['google']['redirect_uri']
Одан кейін осы жердегі процедураларды орындау арқылы Google-ды OIDC провайдері ретінде конфигурациялаңыз.
(Сілтеме нұсқауларын беріңіз)<<<<<<<<<<<<<<<<<
Бар Google OAuth параметрін конфигурациялаңыз
Ескі Okta OAuth конфигурациялары бар осы жолдарды мына мекенжайда орналасқан конфигурация файлынан алып тастаңыз /etc/firezon/firezon.rb
әдепкі['firezone']['authentication']['okta']['қосылған']
әдепкі['firezone']['authentication']['okta']['client_id']
әдепкі['firezone']['authentication']['okta']['client_secret']
Әдепкі['firezon']['authentication']['okta']['сайт']
Одан кейін осы жердегі процедураларды орындау арқылы Okta қызметін OIDC провайдері ретінде конфигурациялаңыз.
Ағымдағы орнатуыңызға және нұсқаңызға байланысты төмендегі нұсқауларды орындаңыз:
Егер сізде OIDC интеграциясы бар болса:
Кейбір OIDC провайдерлері үшін >= 0.3.16 нұсқасына дейін жаңарту офлайн қолжетімділік ауқымы үшін жаңарту таңбалауышын алуды қажет етеді. Бұл арқылы Firezone идентификациялық провайдермен жаңартылатынына және пайдаланушы жойылғаннан кейін VPN қосылымының өшірілетініне көз жеткізеді. Firezone бұрынғы итерацияларында бұл мүмкіндік жоқ еді. Кейбір жағдайларда жеке куәлік провайдеріңізден жойылған пайдаланушылар әлі де VPN желісіне қосылған болуы мүмкін.
Офлайн қол жеткізу ауқымын қолдайтын OIDC провайдерлері үшін OIDC конфигурациясының ауқым параметріне офлайн қатынасты қосу қажет. Firezone-ctl reconfigure /etc/firezone/firezone.rb мекенжайында орналасқан Firezone конфигурация файлына өзгертулерді қолдану үшін орындалуы керек.
OIDC провайдері аутентификациядан өткен пайдаланушылар үшін Firezone жаңарту таңбалауышын сәтті шығара алатын болса, веб UI пайдаланушы мәліметтері бетінде OIDC қосылымдары тақырыбын көресіз.
Бұл жұмыс істемесе, бұрыннан бар OAuth қолданбасын жойып, OIDC орнату қадамдарын қайталау керек. жаңа қолданба интеграциясын жасаңыз .
Менде бұрыннан бар OAuth интеграциясы бар
0.3.11 дейін Firezone алдын ала конфигурацияланған OAuth2 провайдерлерін пайдаланды.
Нұсқауларды орындаңыз Мұнда OIDC-ке көшу.
Мен сәйкестендіру провайдерін біріктірген жоқпын
Ешқандай әрекет қажет емес.
Нұсқауларды орындауға болады Мұнда OIDC провайдері арқылы SSO қосу үшін.
Оның орнына әдепкі['firezon']['external url'] әдепкі конфигурация опциясын ['firezon']['fqdn'] ауыстырды.
Мұны жалпыға қолжетімді Firezone онлайн порталының URL мекенжайына орнатыңыз. Анықталмаған болса, ол https:// плюс серверіңіздің FQDN мәніне әдепкі болады.
Конфигурация файлы /etc/firezon/firezone.rb мекенжайында орналасқан. Конфигурация айнымалыларының толық тізімін және олардың сипаттамаларын конфигурация файлының сілтемесін қараңыз.
Firezone бұдан былай құрылғының жеке кілттерін Firezone серверінде 0.3.0 нұсқасынан бастап сақтамайды.
Firezone Web UI бұл конфигурацияларды қайта жүктеп алуға немесе көруге мүмкіндік бермейді, бірақ кез келген бар құрылғылар бұрынғыдай жұмысын жалғастыруы керек.
Firezone 0.1.x нұсқасынан жаңартып жатсаңыз, қолмен өңделуі керек бірнеше конфигурация файлы өзгерістері бар.
/etc/firezon/firezone.rb файлына қажетті өзгертулерді енгізу үшін төмендегі пәрмендерді түбір ретінде іске қосыңыз.
cp /etc/firezone/firezone.rb /etc/firezon/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezon/firezone.rb
echo “әдепкі['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “әдепкі['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl қайта конфигурациялаңыз
firezone-ctl қайта іске қосыңыз
Firezone журналдарын тексеру орын алуы мүмкін кез келген мәселелердің алғашқы қадамы болып табылады.
Firezone журналдарын көру үшін sudo firezone-ctl tail іске қосыңыз.
Firezone байланысы мәселелерінің көпшілігі үйлеспейтін iptables немесе nftables ережелерімен туындайды. Сіз қолданатын кез келген ережелер Firezone ережелеріне қайшы келмейтініне көз жеткізуіңіз керек.
FORWARD тізбегі WireGuard клиенттерінен Firezone арқылы жібергіңіз келетін орындарға пакеттерге рұқсат беретініне көз жеткізіңіз, егер WireGuard туннелін іске қосқан сайын Интернет байланысыңыз нашарласа.
Бұған әдепкі бағыттау саясатының рұқсат етілгенін қамтамасыз ету арқылы ufw пайдалансаңыз, қол жеткізуге болады:
ubuntu@fz:~$ sudo ufw әдепкі рұқсат маршрутизациясы
Әдепкі бағыттау саясаты "рұқсат ету" күйіне өзгертілді
(ережелеріңізді сәйкесінше жаңартуды ұмытпаңыз)
A ufw әдеттегі Firezone серверінің күйі келесідей болуы мүмкін:
ubuntu@fz:~$ sudo ufw күйі толық
Мәртебесі: белсенді
Жүйеге кіру: қосулы (төмен)
Әдепкі: бас тарту (кіріс), рұқсат ету (шығу), рұқсат ету (бағытталған)
Жаңа профильдер: өткізіп жіберу
Әрекетке дейін
— —— —-
22/tcp Кез келген жерде КІРУ
80/tcp Кез келген жерде КІРУ
443/tcp Кез келген жерде КІРУ
51820/udp Кез келген жерде КІРУ
22/tcp (v6) Кез келген жерде КІРУ (v6)
80/tcp (v6) Кез келген жерде КІРУ (v6)
443/tcp (v6) Кез келген жерде КІРУ (v6)
51820/udp (v6) Кез келген жерде КІРУ (v6)
Төменде түсіндірілгендей, өте сезімтал және маңызды өндірістік орналастырулар үшін веб-интерфейске кіруді шектеуге кеңес береміз.
қызмет көрсету | Әдепкі порт | Тыңдау мекенжайы | сипаттамасы |
Nginx | 80, 443 | барлық | Firezone басқаруға және аутентификацияны жеңілдетуге арналған жалпыға қолжетімді HTTP(S) порты. |
Сымды қорғау | 51820 | барлық | VPN сеанстары үшін пайдаланылатын Public WireGuard порты. (UDP) |
postgresql | 15432 | 127.0.0.1 | Топтастырылған Postgresql сервері үшін пайдаланылатын тек жергілікті порт. |
Phoenix | 13000 | 127.0.0.1 | Жоғары ағынды эликсир қолданбасы сервері пайдаланатын тек жергілікті порт. |
Сізге Firezone жалпыға қолжетімді веб-UI интерфейсіне (әдепкі бойынша 443/tcp және 80/tcp порттары) кіруді шектеу туралы ойлануға кеңес береміз және оның орнына бір әкімші жауапты болатын өндіріс пен жалпыға арналған орналастырулар үшін Firezone басқару үшін WireGuard туннелін пайдалануға кеңес береміз. түпкі пайдаланушыларға құрылғы конфигурацияларын жасау және тарату.
Мысалы, егер әкімші құрылғы конфигурациясын жасап, жергілікті WireGuard мекенжайы 10.3.2.2 бар туннель жасаған болса, келесі ufw конфигурациясы әкімшіге әдепкі 10.3.2.1 арқылы сервердің wg-firezon интерфейсіндегі Firezone веб UI қол жеткізуге мүмкіндік береді. туннель мекенжайы:
root@demo:~# ufw күйі толық
Мәртебесі: белсенді
Жүйеге кіру: қосулы (төмен)
Әдепкі: бас тарту (кіріс), рұқсат ету (шығу), рұқсат ету (бағытталған)
Жаңа профильдер: өткізіп жіберу
Әрекетке дейін
— —— —-
22/tcp Кез келген жерде КІРУ
51820/udp Кез келген жерде КІРУ
10.3.2.2-де кез келген жерде РҰҚСАТ БЕРЕДІ
22/tcp (v6) Кез келген жерде КІРУ (v6)
51820/udp (v6) Кез келген жерде КІРУ (v6)
Бұл тек қалдырады 22/тцп серверді басқару үшін SSH қатынасы үшін ашық (міндетті емес) және 51820/udp WireGuard туннельдерін орнату үшін ашылды.
Firezone Postgresql серверін және сәйкестендіруді жинақтайды psql жергілікті қабықтан пайдалануға болатын утилита:
/opt/firezon/embedded/bin/psql \
-U өрт аймағы \
-d өрт аймағы \
-h localhost \
-б 15432 \
-c “SQL_STATEMENT”
Бұл жөндеу мақсаттары үшін пайдалы болуы мүмкін.
Жалпы тапсырмалар:
Барлық пайдаланушыларды тізімдеу:
/opt/firezon/embedded/bin/psql \
-U өрт аймағы \
-d өрт аймағы \
-h localhost \
-б 15432 \
-c «Пайдаланушылардан * ТАҢДАУ;»
Барлық құрылғылардың тізімі:
/opt/firezon/embedded/bin/psql \
-U өрт аймағы \
-d өрт аймағы \
-h localhost \
-б 15432 \
-c «Құрылғылардан * ТАҢДАУ;»
Пайдаланушы рөлін өзгерту:
Рөлді «әкімші» немесе «артықшылықсыз» етіп орнатыңыз:
/opt/firezon/embedded/bin/psql \
-U өрт аймағы \
-d өрт аймағы \
-h localhost \
-б 15432 \
-c «Пайдаланушыларды ЖАҢАРТУ Рөлін орнату = 'әкімші' ҚАЙДА электрондық пошта = 'user@example.com';”
Мәліметтер қорының сақтық көшірмесін жасау:
Бұдан басқа, деректер қорының тұрақты сақтық көшірмелерін алу үшін пайдаланылуы мүмкін pg dump бағдарламасы кіреді. Жалпы SQL сұрау пішімінде дерекқордың көшірмесін шығару үшін келесі кодты орындаңыз (/path/to/backup.sql файлын SQL файлы жасалатын орынмен ауыстырыңыз):
/opt/firezon/embedded/bin/pg_dump \
-U өрт аймағы \
-d өрт аймағы \
-h localhost \
-p 15432 > /path/to/backup.sql
Firezone сәтті орналастырылғаннан кейін, желіге кіруді қамтамасыз ету үшін пайдаланушыларды қосу керек. Бұл әрекетті орындау үшін Web UI пайдаланылады.
/users астындағы «Пайдаланушы қосу» түймесін таңдау арқылы пайдаланушыны қосуға болады. Сізден пайдаланушыға электрондық пошта мекенжайы мен құпия сөзді беру қажет. Ұйымыңыздағы пайдаланушыларға автоматты түрде кіруге рұқсат беру үшін Firezone сонымен қатар сәйкестендіру провайдерімен интерфейс және синхрондауға болады. Толығырақ ақпаратты мына жерден алуға болады Аутентификация. < Аутентификацияға сілтеме қосыңыз
Пайдаланушыларға жеке кілт тек оларға көрінетіндей етіп өз құрылғы конфигурацияларын жасауды сұрауға кеңес береміз. Пайдаланушылар бетіндегі нұсқауларды орындау арқылы өздерінің құрылғы конфигурацияларын жасай алады Клиент нұсқаулары бет.
Барлық пайдаланушы құрылғысының конфигурацияларын Firezone әкімшілері жасай алады. Бұл әрекетті орындау үшін /users мекенжайында орналасқан пайдаланушы профилі бетінде «Құрылғы қосу» опциясын таңдаңыз.
[Скриншотты енгізу]
Құрылғы профилін жасағаннан кейін пайдаланушыға WireGuard конфигурация файлын электрондық пошта арқылы жіберуге болады.
Пайдаланушылар мен құрылғылар байланыстырылған. Пайдаланушыны қосу жолы туралы қосымша мәліметтерді қараңыз Пайдаланушылар қосу.
Ядроның желілік сүзгі жүйесін пайдалану арқылы Firezone DROP немесе ACCEPT пакеттерін көрсету үшін шығуды сүзу мүмкіндіктерін береді. Әдетте барлық трафикке рұқсат етіледі.
IPv4 және IPv6 CIDR және IP мекенжайларына сәйкесінше Рұқсат етілген тізім және Қабылданбау тізімі арқылы қолдау көрсетіледі. Ережені пайдаланушының барлық құрылғыларына қолданатын ережені қосқан кезде пайдаланушыға ауқымды таңдауға болады.
Орнату және конфигурациялау
Жергілікті WireGuard клиенті арқылы VPN қосылымын орнату үшін осы нұсқаулықты қараңыз.
Мұнда орналасқан ресми WireGuard клиенттері Firezone жүйесімен үйлесімді:
Жоғарыда айтылмаған ОЖ жүйелері үшін https://www.wireguard.com/install/ мекенжайындағы ресми WireGuard веб-сайтына кіріңіз.
Firezone әкімшісі немесе өзіңіз Firezone порталы арқылы құрылғы конфигурация файлын жасай алады.
Құрылғы конфигурация файлын өздігінен жасау үшін Firezone әкімшісі берген URL мекенжайына кіріңіз. Сіздің фирмаңыздың бұл үшін бірегей URL мекенжайы болады; бұл жағдайда бұл https://instance-id.yourfirezone.com.
Firezone Okta SSO жүйесіне кіріңіз
[Скриншотты енгізу]
.conf файлын ашу арқылы WireGuard клиентіне импорттаңыз. Белсендіру қосқышын аудару арқылы VPN сеансын бастауға болады.
[Скриншотты енгізу]
Егер желі әкімшісі VPN қосылымын белсенді ұстау үшін қайталанатын аутентификацияны тапсырса, төмендегі нұсқауларды орындаңыз.
Сізге қажет:
Firezone порталының URL мекенжайы: қосылым үшін желі әкімшісінен сұраңыз.
Желі әкімшісі логин мен құпия сөзді ұсына алуы керек. Firezone сайты жұмыс беруші пайдаланатын бір реттік кіру қызметін (Google немесе Okta сияқты) пайдаланып жүйеге кіруді ұсынады.
[Скриншотты енгізу]
Firezone порталының URL мекенжайына өтіп, желі әкімшісі берген тіркелгі деректерін пайдаланып жүйеге кіріңіз. Жүйеге әлдеқашан кірген болсаңыз, қайта кірмес бұрын "Қайта аутентификация" түймесін басыңыз.
[Скриншотты енгізу]
[Скриншотты енгізу]
Linux құрылғыларында Network Manager CLI көмегімен WireGuard конфигурация профилін импорттау үшін мына нұсқауларды орындаңыз (nmcli).
Профильде IPv6 қолдауы қосылған болса, Network Manager GUI арқылы конфигурация файлын импорттау әрекеті келесі қатемен орындалмауы мүмкін:
ipv6.method: WireGuard үшін «авто» әдісіне қолдау көрсетілмейді
WireGuard пайдаланушы кеңістігінің утилиталарын орнату қажет. Бұл Linux дистрибутивтеріне арналған wireguard немесе wireguard-tools деп аталатын пакет болады.
Ubuntu/Debian үшін:
sudo apt сым қорғанысын орнату
Fedora пайдалану үшін:
sudo dnf сым қорғау құралдарын орнатыңыз
Arch Linux:
sudo pacman -S сым қорғау құралдары
Жоғарыда аталмаған таратулар үшін https://www.wireguard.com/install/ мекенжайындағы ресми WireGuard веб-сайтына кіріңіз.
Firezone әкімшісі немесе өзін-өзі генерациялау Firezone порталын пайдаланып құрылғы конфигурация файлын жасай алады.
Құрылғы конфигурация файлын өздігінен жасау үшін Firezone әкімшісі берген URL мекенжайына кіріңіз. Сіздің фирмаңыздың бұл үшін бірегей URL мекенжайы болады; бұл жағдайда бұл https://instance-id.yourfirezone.com.
[Скриншотты енгізу]
nmcli арқылы берілген конфигурация файлын импорттаңыз:
sudo nmcli қосылымын импорттау түріндегі wireguard файлы /path/to/configuration.conf
Конфигурация файлының атауы WireGuard қосылымына/интерфейсіне сәйкес келеді. Импорттаудан кейін қажет болған жағдайда қосылымның атын өзгертуге болады:
nmcli қосылымын өзгерту [ескі атау] connection.id [жаңа атау]
Пәрмен жолы арқылы VPN желісіне келесідей қосылыңыз:
nmcli қосылымы [vpn атауы]
Ажырату үшін:
nmcli қосылымы төмен [vpn атауы]
Қолданылатын Network Manager апплетін GUI пайдаланған кезде қосылымды басқару үшін де пайдалануға болады.
Автоматты қосылу опциясы үшін «иә» опциясын таңдау арқылы VPN қосылымын автоматты түрде қосылу үшін конфигурациялауға болады:
nmcli қосылымы [vpn атауы] қосылымын өзгерту. <<<<<<<<<<<<<<<<<<<<<<<
автоқосылу иә
Автоматты қосылымды өшіру үшін оны «жоқ» күйіне қайтарыңыз:
nmcli қосылымы [vpn атауы] қосылымын өзгерту.
автоқосылу №
СІМ белсендіру үшін Firezone порталының /пайдаланушы тіркелгісі/мфа тіркелімі бетіне өтіңіз. QR кодын жасалғаннан кейін сканерлеу үшін аутентификация қолданбасын пайдаланыңыз, содан кейін алты таңбалы кодты енгізіңіз.
Аутентификация қолданбасын қате орналастырсаңыз, есептік жазбаға кіру ақпаратын қалпына келтіру үшін әкімшіге хабарласыңыз.
Бұл оқулық сізге VPN сервері арқылы белгілі бір IP диапазондарына трафик жіберілетіндей етіп Firezone көмегімен WireGuard-тың бөлінген туннельдеу мүмкіндігін орнату үдерісі арқылы көрсетеді.
Клиент желі трафигін бағыттайтын IP диапазондары /параметрлер/әдепкі бетінде орналасқан Рұқсат етілген IP мекенжайлары өрісінде көрсетілген. Firezone шығарған жаңадан жасалған WireGuard туннель конфигурацияларына ғана осы өрістегі өзгерістер әсер етеді.
[Скриншотты енгізу]
Әдепкі мән – 0.0.0.0/0, ::/0, ол барлық желілік трафикті клиенттен VPN серверіне бағыттайды.
Бұл өрістегі мәндердің мысалдары мыналарды қамтиды:
0.0.0.0/0, ::/0 – барлық желілік трафик VPN серверіне бағытталады.
192.0.2.3/32 – VPN серверіне тек бір IP мекенжайына трафик бағытталады.
3.5.140.0/22 – VPN серверіне тек 3.5.140.1 – 3.5.143.254 ауқымындағы IP мекенжайларына трафик бағытталады. Бұл мысалда ap-солтүстік-шығыс-2 AWS аймағы үшін CIDR ауқымы пайдаланылды.
Firezone пакетті қайда бағыттау керектігін анықтау кезінде ең дәл маршрутпен байланысты шығыс интерфейсін таңдайды.
Қолданыстағы пайдаланушы құрылғыларын жаңа бөлінген туннель конфигурациясымен жаңарту үшін пайдаланушылар конфигурация файлдарын қайта жасап, оларды өздерінің WireGuard клиентіне қосуы керек.
Нұсқауларды мына жерден қараңыз құрылғыны қосу. <<<<<<<<<<< Сілтеме қосу
Бұл нұсқаулық екі құрылғыны Firezone арқылы реле ретінде байланыстыру жолын көрсетеді. Әдеттегі пайдалану жағдайларының бірі әкімшіге NAT немесе брандмауэр арқылы қорғалған серверге, контейнерге немесе құрылғыға қол жеткізуге мүмкіндік береді.
Бұл суретте А және В құрылғылары туннель жасайтын қарапайым сценарий көрсетілген.
[Өрт аймағының архитектуралық суретін енгізу]
/users/[user_id]/new_device тармағына өту арқылы А және В құрылғысын жасау арқылы бастаңыз. Әрбір құрылғының параметрлерінде төмендегі параметрлер төменде тізімделген мәндерге орнатылғанына көз жеткізіңіз. Құрылғы конфигурациясын жасау кезінде құрылғы параметрлерін орнатуға болады (Құрылғыларды қосу бөлімін қараңыз). Бар құрылғыдағы параметрлерді жаңарту қажет болса, оны жаңа құрылғы конфигурациясын жасау арқылы жасауға болады.
Барлық құрылғыларда PersistentKeepalive теңшеуге болатын /settings/defaults беті бар екенін ескеріңіз.
Рұқсат етілгенIPs = 10.3.2.2/32
Бұл В құрылғысының IP немесе IP мекенжайларының ауқымы
PersistentKeepalive = 25
Құрылғы NAT артында болса, бұл құрылғының туннельді тірі қалдыру және WireGuard интерфейсінен пакеттерді қабылдауды жалғастыру мүмкіндігін қамтамасыз етеді. Әдетте 25 мәні жеткілікті, бірақ ортаңызға байланысты бұл мәнді азайту қажет болуы мүмкін.
Рұқсат етілгенIPs = 10.3.2.3/32
Бұл А құрылғысының IP немесе IP мекенжайларының ауқымы
PersistentKeepalive = 25
Бұл мысалда А құрылғысы В және D құрылғыларымен екі бағытта байланыса алатын жағдайды көрсетеді. Бұл орнату әртүрлі желілер арқылы көптеген ресурстарға (серверлер, контейнерлер немесе машиналар) қатынасатын инженерді немесе әкімшіні көрсете алады.
[Архитектуралық диаграмма]<<<<<<<<<<<<<<<<<<<<<<<
Әрбір құрылғының параметрлерінде сәйкес мәндерге келесі параметрлердің жасалғанын тексеріңіз. Құрылғы конфигурациясын жасау кезінде құрылғы параметрлерін көрсетуге болады (Құрылғыларды қосу бөлімін қараңыз). Бар құрылғыдағы параметрлерді жаңарту қажет болса, жаңа құрылғы конфигурациясын жасауға болады.
Рұқсат етілгенIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Бұл B және D құрылғыларының IP мекенжайы. B және D құрылғыларының IP мекенжайлары сіз орнатуды таңдаған кез келген IP ауқымына қосылуы керек.
PersistentKeepalive = 25
Бұл құрылғы NAT арқылы қорғалған болса да, туннельді ұстап тұруға және WireGuard интерфейсінен пакеттерді қабылдауды жалғастыруға кепілдік береді. Көп жағдайда 25 мәні жеткілікті, дегенмен айналаңызға байланысты бұл көрсеткішті төмендету қажет болуы мүмкін.
Сіздің командаңыздың барлық трафигі сыртқа шығуы үшін жалғыз, статикалық шығу IP ұсыну үшін Firezone NAT шлюзі ретінде пайдаланылуы мүмкін. Бұл жағдайлар оның жиі қолданылуын қамтиды:
Consulting Engagements: Тұтынушыдан әрбір қызметкердің бірегей құрылғы IP мекенжайын емес, бір статикалық IP мекенжайын ақ тізімге енгізуді сұраңыз.
Қауіпсіздік немесе құпиялылық мақсатында проксиді пайдалану немесе бастапқы IP мекенжайын бүркемелеу.
Өздігінен орналастырылған веб-бағдарламаға кіруді Firezone іске қосатын ақ тізімдегі жалғыз статикалық IP-ге шектеудің қарапайым мысалы осы постта көрсетіледі. Бұл суретте Firezone және қорғалған ресурс әртүрлі VPC аймақтарында орналасқан.
Бұл шешім көптеген соңғы пайдаланушылар үшін IP ақ тізімін басқару орнына жиі пайдаланылады, бұл кіру тізімі кеңейген сайын уақытты қажет етуі мүмкін.
Біздің мақсатымыз - VPN трафигін шектеулі ресурсқа қайта бағыттау үшін EC2 данасында Firezone серверін орнату. Бұл жағдайда Firezone желілік прокси немесе NAT шлюзі ретінде әрбір қосылған құрылғыға бірегей жалпы шығу IP-ін береді.
Бұл жағдайда tc2.micro деп аталатын EC2 данасында Firezone данасы орнатылған. Firezone қолданбасын қолдану туралы ақпарат алу үшін Орналастыру нұсқаулығына өтіңіз. AWS-ке қатысты мынаны тексеріңіз:
Firezone EC2 данасының қауіпсіздік тобы қорғалған ресурстың IP мекенжайына шығатын трафикке рұқсат береді.
Firezone данасы серпімді IP-мен бірге келеді. Firezone данасы арқылы сыртқы бағыттарға жіберілетін трафикте оның бастапқы IP мекенжайы болады. Қарастырылып отырған IP мекенжайы 52.202.88.54.
[Скриншотты енгізу]<<<<<<<<<<<<<<<<<<<<<<<<<
Өздігінен орналастырылған веб-бағдарлама бұл жағдайда қорғалған ресурс ретінде қызмет етеді. Веб қолданбаға тек 52.202.88.54 IP мекенжайынан келетін сұраулар арқылы қол жеткізуге болады. Ресурсқа байланысты әртүрлі порттар мен трафик түрлерінде кіріс трафикке рұқсат беру қажет болуы мүмкін. Бұл нұсқаулықта қарастырылмаған.
[Скриншотты енгізу]<<<<<<<<<<<<<<<<<<<<<<<<<
Қорғалған ресурсқа жауапты үшінші тарапқа 1-қадамда анықталған статикалық IP-ден трафикке рұқсат етілуі керек екенін айтыңыз (бұл жағдайда 52.202.88.54).
Әдепкі бойынша, барлық пайдаланушы трафигі VPN сервері арқылы өтеді және 1-қадамда конфигурацияланған статикалық IP-ден келеді (бұл жағдайда 52.202.88.54). Дегенмен, бөлінген туннельдеу қосылған болса, қорғалған ресурстың тағайындалған IP мекенжайы Рұқсат етілген IP мекенжайлары арасында көрсетілгеніне көз жеткізу үшін параметрлер қажет болуы мүмкін.
Төменде қол жетімді конфигурация опцияларының толық тізімі көрсетілген /etc/firezon/firezon.rb.
таңдау | сипаттамасы | әдепкі мән |
әдепкі['firezon']['external_url'] | URL мекенжайы осы Firezone данасы веб-порталына кіру үшін пайдаланылады. | “https://#{түйін['fqdn'] || түйін['хост атауы']}» |
әдепкі['firezon']['config_directory'] | Firezone конфигурациясына арналған жоғарғы деңгейлі каталог. | /etc/firezon' |
әдепкі['firezon']['install_directory'] | Firezone орнату үшін жоғарғы деңгейлі каталог. | /opt/firezon' |
әдепкі['firezon']['app_directory'] | Firezone веб қолданбасын орнатуға арналған жоғарғы деңгейлі каталог. | “#{түйін['firezon']['install_directory']}/embedded/service/firezon” |
әдепкі['firezon']['log_directory'] | Firezone журналдарына арналған жоғарғы деңгейлі каталог. | /var/log/firezon' |
әдепкі['firezon']['var_directory'] | Firezone жұмыс уақыты файлдарына арналған жоғарғы деңгейлі каталог. | /var/opt/firezon' |
әдепкі['firezon']['user'] | Артықшылықсыз Linux пайдаланушысының аты көптеген қызметтер мен файлдарға тиесілі болады. | өрт аймағы' |
әдепкі['firezon']['group'] | Көптеген қызметтер мен файлдарға тиесілі Linux тобының атауы. | өрт аймағы' |
әдепкі['firezon']['admin_email'] | Firezone бастапқы пайдаланушысының электрондық пошта мекенжайы. | "firezone@localhost" |
әдепкі['firezon']['max_devices_per_user'] | Пайдаланушыда болуы мүмкін құрылғылардың максималды саны. | 10 |
әдепкі['firezon']['allow_unprivileged_device_management'] | Әкімші емес пайдаланушыларға құрылғыларды жасауға және жоюға мүмкіндік береді. | TRUE |
әдепкі['firezon']['allow_unprivileged_device_configuration'] | Әкімші емес пайдаланушыларға құрылғы конфигурацияларын өзгертуге мүмкіндік береді. Өшірілген кезде артықшылығы жоқ пайдаланушылардың аты мен сипаттамасынан басқа барлық құрылғы өрістерін өзгертуіне жол бермейді. | TRUE |
әдепкі['firezon']['egress_interface'] | Туннельдік трафик шығатын интерфейс атауы. Егер нөл болса, әдепкі маршрут интерфейсі пайдаланылады. | нөл |
әдепкі['firezone']['fips_enabled'] | OpenSSL FIPs режимін қосыңыз немесе өшіріңіз. | нөл |
әдепкі['firezon']['logging']['қосылған'] | Firezone арқылы тіркеуді қосыңыз немесе өшіріңіз. Журнал жүргізуді толығымен өшіру үшін "false" мәнін орнатыңыз. | TRUE |
әдепкі['enterprise']['name'] | «Кәсіпорын» аспазының аспаздық кітабында қолданылған атау. | өрт аймағы' |
әдепкі['firezon']['install_path'] | Chef 'Enterprise' аспаздық кітабы пайдаланатын орнату жолын. Жоғарыдағы install_каталогымен бірдей етіп орнату керек. | түйін['firezon']['install_directory'] |
әдепкі['firezon']['sysvinit_id'] | /etc/inittab ішінде қолданылатын идентификатор. 1-4 таңбадан тұратын бірегей реттілік болуы керек. | SUP' |
әдепкі['firezone']['authentication']['local']['enabled'] | Жергілікті электрондық пошта/құпия сөз аутентификациясын қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezone']['authentication']['auto_create_oidc_users'] | OIDC жүйесінен бірінші рет кіретін пайдаланушыларды автоматты түрде жасаңыз. Тек бар пайдаланушыларға OIDC арқылы кіруге рұқсат беру үшін өшіріңіз. | TRUE |
әдепкі['firezone']['authentication']['disable_vpn_on_oidc_error'] | OIDC таңбалауышын жаңарту әрекетінде қате анықталса, пайдаланушының VPN қызметін өшіріңіз. | FALSE |
әдепкі['firezone']['authentication']['oidc'] | OpenID Connect конфигурациясы, {“провайдер” => [config…]} пішімінде – қараңыз OpenIDConnect құжаттамасы конфигурациялау мысалдары үшін. | {} |
әдепкі['firezon']['nginx']['қосылған'] | Жиынтық nginx серверін қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezon']['nginx']['ssl_port'] | HTTPS тыңдау порты. | 443 |
әдепкі['firezon']['nginx']['каталог'] | Firezone-қа қатысты nginx виртуалды хост конфигурациясын сақтауға арналған каталог. | “#{түйін['firezon']['var_directory']}/nginx/etc” |
әдепкі['firezon']['nginx']['log_directory'] | Firezone-қа қатысты nginx журнал файлдарын сақтауға арналған каталог. | “#{түйін['firezon']['log_directory']}/nginx” |
әдепкі['firezon']['nginx']['log_rotation']['file_maxbytes'] | Nginx журнал файлдары бұрылатын файл өлшемі. | 104857600 |
әдепкі['firezone']['nginx']['log_rotation']['сақтау_саны'] | Жоюға дейін сақталатын Firezone nginx журнал файлдарының саны. | 10 |
әдепкі['firezon']['nginx']['log_x_forwarded_for'] | Firezone nginx x-forwarded-for тақырыбын тіркеу керек пе. | TRUE |
әдепкі['firezone']['nginx']['hsts_header']['қосылған'] | TRUE | |
әдепкі['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS тақырыбы үшін includeSubDomains қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezone']['nginx']['hsts_header']['max_age'] | HSTS тақырыбының максималды жасы. | 31536000 |
әдепкі['firezone']['nginx']['redirect_to_canonical'] | URL мекенжайларын жоғарыда көрсетілген канондық FQDN-ге қайта бағыттау керек пе | FALSE |
әдепкі['firezone']['nginx']['cache']['enabled'] | Firezone nginx кэшін қосыңыз немесе өшіріңіз. | FALSE |
әдепкі['firezone']['nginx']['cache']['каталог'] | Firezone nginx кэшіне арналған каталог. | “#{түйін['firezon']['var_directory']}/nginx/cache” |
әдепкі['firezon']['nginx']['user'] | Firezone nginx пайдаланушысы. | түйін['firezon']['user'] |
әдепкі['firezon']['nginx']['group'] | Firezone nginx тобы. | түйін['firezon']['group'] |
әдепкі['firezon']['nginx']['dir'] | Жоғарғы деңгейлі nginx конфигурация каталогы. | түйін['firezon']['nginx']['каталог'] |
әдепкі['firezon']['nginx']['log_dir'] | Жоғарғы деңгейдегі nginx журнал каталогы. | түйін['firezon']['nginx']['log_directory'] |
әдепкі['firezon']['nginx']['pid'] | Nginx pid файлының орны. | “#{түйін['firezone']['nginx']['каталог]}/nginx.pid” |
әдепкі['firezone']['nginx']['daemon_disable'] | Оның орнына біз оны бақылай алатындай етіп nginx демон режимін өшіріңіз. | TRUE |
әдепкі['firezon']['nginx']['gzip'] | Nginx gzip қысуын қосыңыз немесе өшіріңіз. | ' |
әдепкі['firezone']['nginx']['gzip_static'] | Статикалық файлдар үшін nginx gzip қысу мүмкіндігін қосыңыз немесе өшіріңіз. | өшірулі' |
әдепкі['firezone']['nginx']['gzip_http_version'] | Статикалық файлдарға қызмет көрсету үшін пайдаланылатын HTTP нұсқасы. | 1.0 « |
әдепкі['firezone']['nginx']['gzip_comp_level'] | nginx gzip қысу деңгейі. | 2 « |
әдепкі['firezon']['nginx']['gzip_proxied'] | Сұраныс пен жауапқа байланысты проксилік сұраулар үшін жауаптардың gzipping мүмкіндігін қосады немесе өшіреді. | кез келген' |
әдепкі['firezone']['nginx']['gzip_vary'] | «Өзгерту: қабылдау-кодтау» жауап тақырыбын енгізуді қосады немесе өшіреді. | өшірулі' |
әдепкі['firezone']['nginx']['gzip_buffers'] | Жауапты қысу үшін пайдаланылатын буферлердің саны мен өлшемін орнатады. Егер нөл болса, nginx әдепкі мәні пайдаланылады. | нөл |
әдепкі['firezone']['nginx']['gzip_types'] | Gzip қысуын қосу үшін MIME түрлері. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
әдепкі['firezone']['nginx']['gzip_min_length'] | Файлдың gzip қысуын қосу үшін ең аз файл ұзындығы. | 1000 |
әдепкі['firezone']['nginx']['gzip_disable'] | Gzip қысуын өшіру үшін пайдаланушы-агент сәйкестігі. | MSIE [1-6]\.' |
әдепкі['firezon']['nginx']['өмірді сақтау'] | Жоғарғы серверлерге қосылу үшін кэшті белсендіреді. | ' |
әдепкі['firezone']['nginx']['keepalive_timeout'] | Жоғары ағындық серверлерге үздіксіз қосылу үшін секундтарда күту уақыты. | 65 |
әдепкі['firezone']['nginx']['worker_processes'] | Nginx жұмысшы процестерінің саны. | түйін['cpu'] && түйін['cpu']['total'] ? түйін['cpu']['total'] : 1 |
әдепкі['firezone']['nginx']['worker_connections'] | Жұмысшы процесі арқылы ашылатын бір уақыттағы қосылымдардың максималды саны. | 1024 |
әдепкі['firezone']['nginx']['worker_rlimit_nofile'] | Жұмысшы процестері үшін ашық файлдардың максималды санына шектеуді өзгертеді. Егер нөл болса, nginx әдепкі мәнін пайдаланады. | нөл |
әдепкі['firezon']['nginx']['multi_accept'] | Жұмысшылар бір уақытта немесе бірнеше қосылымды қабылдау керек пе. | TRUE |
әдепкі['firezon']['nginx']['event'] | Nginx оқиғалар контекстінде пайдалану үшін қосылымды өңдеу әдісін көрсетеді. | epoll' |
әдепкі['firezone']['nginx']['server_tokens'] | Қате беттерінде және «Сервер» жауап тақырыбы өрісінде nginx нұсқасын шығаруды қосады немесе өшіреді. | нөл |
әдепкі['firezone']['nginx']['server_names_hash_bucket_size'] | Сервер атауларының хэш кестелері үшін шелек өлшемін орнатады. | 64 |
әдепкі['firezon']['nginx']['sendfile'] | Nginx-тің sendfile() файлын пайдалануды қосады немесе өшіреді. | ' |
әдепкі['firezon']['nginx']['access_log_options'] | Nginx кіру журналының опцияларын орнатады. | нөл |
әдепкі['firezon']['nginx']['error_log_options'] | Nginx қате журналының опцияларын орнатады. | нөл |
әдепкі['firezone']['nginx']['disable_access_log'] | Nginx кіру журналын өшіреді. | FALSE |
әдепкі['firezone']['nginx']['types_hash_max_size'] | nginx түрлері хэштің максималды өлшемі. | 2048 |
әдепкі['firezone']['nginx']['types_hash_bucket_size'] | nginx түрлері хэш шелек өлшемі. | 64 |
әдепкі['firezon']['nginx']['proxy_read_timeout'] | nginx проксиінің оқу күту уақыты. Nginx әдепкі мәнін пайдалану үшін нөлге орнатыңыз. | нөл |
әдепкі['firezone']['nginx']['client_body_buffer_size'] | nginx клиентінің буферінің өлшемі. Nginx әдепкісін пайдалану үшін нөлге орнатыңыз. | нөл |
әдепкі['firezone']['nginx']['client_max_body_size'] | nginx клиентінің максималды дене өлшемі. | 250 м' |
әдепкі['firezone']['nginx']['әдепкі']['модульдер'] | Қосымша nginx модульдерін көрсетіңіз. | [] |
әдепкі['firezon']['nginx']['enable_rate_limiting'] | Nginx жылдамдығын шектеуді қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezon']['nginx']['rate_limiting_zone_name'] | Nginx жылдамдығын шектейтін аймақ атауы. | өрт аймағы' |
әдепкі['firezon']['nginx']['rate_limiting_backoff'] | Nginx жылдамдығын шектейтін кері қайтару. | 10 м' |
әдепкі['firezon']['nginx']['rate_limit'] | Nginx жылдамдығының шегі. | 10р/с' |
әдепкі['firezon']['nginx']['ipv6'] | Nginx-ке IPv6-ке қосымша IPv4 үшін HTTP сұрауларын тыңдауға рұқсат беріңіз. | TRUE |
әдепкі['firezon']['postgresql']['қосылған'] | Топтастырылған Postgresql қосыңыз немесе өшіріңіз. False мәнін орнатыңыз және жеке Postgresql данасын пайдалану үшін төмендегі дерекқор опцияларын толтырыңыз. | TRUE |
әдепкі['firezone']['postgresql']['username'] | Postgresql пайдаланушы аты. | түйін['firezon']['user'] |
әдепкі['firezone']['postgresql']['data_directory'] | Postgresql деректер каталогы. | “#{түйін['firezon']['var_directory']}/postgresql/13.3/data” |
әдепкі['firezone']['postgresql']['log_directory'] | Postgresql журналдар каталогы. | “#{түйін['firezon']['log_directory']}/postgresql” |
әдепкі['firezon']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql журнал файлының айналу алдындағы ең үлкен өлшемі. | 104857600 |
әдепкі['firezone']['postgresql']['log_rotation']['сақтау_саны'] | Сақталатын Postgresql журнал файлдарының саны. | 10 |
әдепкі['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql бақылау нүктесін аяқтау мақсаты. | 0.5 |
әдепкі['firezone']['postgresql']['checkpoint_segments'] | Postgresql бақылау нүктесі сегменттерінің саны. | 3 |
әдепкі['firezon']['postgresql']['checkpoint_timeout'] | Postgresql бақылау нүктесінің күту уақыты. | 5 мин |
әдепкі['firezone']['postgresql']['checkpoint_warning'] | Postgresql бақылау нүктесінің ескерту уақыты секундтарда. | 30-шы жылдар |
әдепкі['firezone']['postgresql']['effective_cache_size'] | Postgresql тиімді кэш өлшемі. | 128 МБ' |
әдепкі['firezone']['postgresql']['listen_address'] | Postgresql тыңдау мекенжайы. | 127.0.0.1 « |
әдепкі['firezone']['postgresql']['max_connections'] | Postgresql макс қосылымдары. | 350 |
әдепкі['firezone']['postgresql']['md5_auth_cidr_addresses'] | Md5 аутентификациясына рұқсат беретін Postgresql CIDR. | ['127.0.0.1/32', '::1/128'] |
әдепкі['firezon']['postgresql']['port'] | Postgresql тыңдау порты. | 15432 |
әдепкі['firezone']['postgresql']['shared_buffers'] | Postgresql ортақ буфер өлшемі. | “#{(түйін['жад']['жалпы'].to_i / 4) / 1024}МБ” |
әдепкі['firezone']['postgresql']['shmmax'] | Postgresql shmmax байттағы. | 17179869184 |
әдепкі['firezone']['postgresql']['shmal'] | Байттардағы Postgresql shmal. | 4194304 |
әдепкі['firezone']['postgresql']['work_mem'] | Postgresql жұмыс жадысының өлшемі. | 8 МБ' |
әдепкі['firezone']['database']['user'] | Firezone DB-ге қосылу үшін пайдаланатын пайдаланушы атын көрсетеді. | node['firezone']['postgresql']['username'] |
әдепкі['firezone']['database']['password'] | Сыртқы ДҚ пайдаланылса, Firezone DB-ге қосылу үшін пайдаланатын құпия сөзді көрсетеді. | мені_өзгерту' |
әдепкі['firezon']['database']['name'] | Firezone пайдаланатын дерекқор. Ол жоқ болса жасалады. | өрт аймағы' |
әдепкі['firezon']['деректер базасы']['хост'] | Firezone қосылатын дерекқор хосты. | түйін['firezone']['postgresql']['listen_address'] |
әдепкі['firezon']['деректер базасы']['порт'] | Firezone қосылатын дерекқор порты. | түйін['firezon']['postgresql']['порт'] |
әдепкі['firezon']['деректер базасы']['пул'] | Firezone дерекқор пулының өлшемін пайдаланады. | [10, Etc.nprocessors].макс |
әдепкі['firezone']['деректер базасы']['ssl'] | SSL арқылы дерекқорға қосылу керек пе. | FALSE |
әдепкі['firezone']['database']['ssl_opts'] | {} | |
әдепкі['firezon']['деректер базасы']['параметрлер'] | {} | |
әдепкі['firezon']['деректер базасы']['кеңейтімдер'] | Қосылатын дерекқор кеңейтімдері. | { 'plpgsql' => шын, 'pg_trgm' => шын } |
әдепкі['firezone']['phoenix']['қосылған'] | Firezone веб қолданбасын қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezone']['phoenix']['listen_address'] | Firezone веб қолданбасының тыңдау мекенжайы. Бұл nginx прокси-серверлерінің жоғарғы ағынды тыңдау мекенжайы болады. | 127.0.0.1 « |
әдепкі['firezon']['феникс']['порт'] | Firezone веб қолданбасын тыңдау порты. Бұл nginx проксилері болатын жоғары ағын порты болады. | 13000 |
әдепкі['firezone']['phoenix']['log_directory'] | Firezone веб-бағдарламалар журналы каталогы. | “#{түйін['firezon']['log_directory']}/феникс” |
әдепкі['firezon']['phoenix']['log_rotation']['file_maxbytes'] | Firezone веб-бағдарламасының журнал файлының өлшемі. | 104857600 |
әдепкі['firezone']['phoenix']['log_rotation']['сақтау_саны'] | Сақталатын Firezone веб қолданбасының журнал файлдарының саны. | 10 |
әдепкі['firezone']['phoenix']['crash_detection']['қосылған'] | Бұзылу анықталған кезде Firezone веб қолданбасын өшіруді қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezone']['phoenix']['external_trusted_proxies'] | IP және/немесе CIDR массиві ретінде пішімделген сенімді кері проксилер тізімі. | [] |
әдепкі['firezone']['phoenix']['private_clients'] | IP және/немесе CIDR массиві пішімделген жеке желі HTTP клиенттерінің тізімі. | [] |
әдепкі['firezon']['wireguard']['қосылған'] | Жиынтық WireGuard басқаруын қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezon']['wireguard']['log_directory'] | Жиынтық WireGuard басқаруына арналған журнал каталогы. | “#{түйін['firezon']['log_directory']}/wireguard” |
әдепкі['firezon']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard журнал файлының максималды өлшемі. | 104857600 |
әдепкі['firezone']['wireguard']['log_rotation']['сақтау_саны'] | Сақталатын WireGuard журнал файлдарының саны. | 10 |
әдепкі['firezon']['wireguard']['interface_name'] | WireGuard интерфейс атауы. Бұл параметрді өзгерту VPN қосылымының уақытша жоғалуына әкелуі мүмкін. | wg-firezon' |
әдепкі['firezon']['wireguard']['port'] | WireGuard тыңдау порты. | 51820 |
әдепкі['firezon']['wireguard']['mtu'] | Осы серверге және құрылғы конфигурацияларына арналған WireGuard интерфейсі MTU. | 1280 |
әдепкі['firezon']['wireguard']['соңғы нүкте'] | Құрылғы конфигурацияларын жасау үшін пайдаланылатын WireGuard Endpoint. Егер нөл болса, әдепкі бойынша сервердің жалпы IP мекенжайы болады. | нөл |
әдепкі['firezon']['wireguard']['dns'] | Жасалған құрылғы конфигурациялары үшін пайдаланылатын WireGuard DNS. | 1.1.1.1, 1.0.0.1′ |
әдепкі['firezon']['wireguard']['allowed_ips'] | WireGuard AllowedIPs жасалған құрылғы конфигурациялары үшін пайдаланылады. | 0.0.0.0/0, ::/0′ |
әдепкі['firezon']['wireguard']['persistent_keepalive'] | Жасалған құрылғы конфигурациялары үшін әдепкі PersistentKeepalive параметрі. 0 мәні өшіреді. | 0 |
әдепкі['firezon']['wireguard']['ipv4']['қосылған'] | WireGuard желісі үшін IPv4 қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezone']['wireguard']['ipv4']['маскарад'] | IPv4 туннелінен шығатын пакеттер үшін маскарадты қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezon']['wireguard']['ipv4']['желілік'] | WireGuard желісі IPv4 мекенжай пулы. | 10.3.2.0 / 24 ′ |
әдепкі['firezon']['wireguard']['ipv4']['адрес'] | WireGuard интерфейсі IPv4 мекенжайы. WireGuard мекенжай пулында болуы керек. | 10.3.2.1 « |
әдепкі['firezon']['wireguard']['ipv6']['қосылған'] | WireGuard желісі үшін IPv6 қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezone']['wireguard']['ipv6']['маскарад'] | IPv6 туннелінен шығатын пакеттер үшін маскарадты қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezon']['wireguard']['ipv6']['желілік'] | WireGuard желісі IPv6 мекенжай пулы. | fd00::3:2:0/120′ |
әдепкі['firezon']['wireguard']['ipv6']['адрес'] | WireGuard интерфейсі IPv6 мекенжайы. IPv6 мекенжай пулында болуы керек. | fd00::3:2:1′ |
әдепкі['firezon']['runit']['svlogd_bin'] | Svlogd қалтасының орнын іске қосыңыз. | “#{түйін['firezon']['install_directory']}/embedded/bin/svlogd” |
әдепкі['firezon']['ssl']['каталог'] | Жасалған куәліктерді сақтауға арналған SSL каталогы. | /var/opt/firezon/ssl' |
әдепкі['firezone']['ssl']['email_address'] | Өздігінен қол қойылған куәліктер мен ACME протоколын жаңарту туралы хабарламалар үшін пайдаланылатын электрондық пошта мекенжайы. | you@example.com' |
әдепкі['firezone']['ssl']['acme']['қосылған'] | SSL сертификатын автоматты түрде дайындау үшін ACME қосыңыз. Nginx 80 портында тыңдауын болдырмау үшін мұны өшіріңіз. Қараңыз Мұнда қосымша нұсқаулар алу үшін. | FALSE |
әдепкі['firezone']['ssl']['acme']['сервер'] | letsencrypt | |
әдепкі['firezone']['ssl']['acme']['keylength'] | SSL сертификаттары үшін кілт түрі мен ұзындығын көрсетіңіз. Қараңыз Мұнда | ec-256 |
әдепкі['firezone']['ssl']['сертификат'] | FQDN үшін сертификат файлына жол. Көрсетілген болса, жоғарыдағы ACME параметрін қайта анықтайды. Егер ACME және оның екеуі де нөл болса, өздігінен қол қойылған сертификат жасалады. | нөл |
әдепкі['firezone']['ssl']['certificate_key'] | Куәлік файлына жол. | нөл |
әдепкі['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | нөл |
әдепкі['firezone']['ssl']['country_name'] | Өздігінен қол қойылған куәліктің ел атауы. | АҚШ' |
әдепкі['firezone']['ssl']['state_name'] | Өздігінен қол қойылған куәліктің мемлекеттік атауы. | CA ' |
әдепкі['firezon']['ssl']['locality_name'] | Өздігінен қол қойылған куәлікке арналған елді мекен атауы. | Сан-Франциско |
әдепкі['firezone']['ssl']['company_name'] | Компания атауының өзі қол қойылған куәлік. | Менің компаниям |
әдепкі['firezone']['ssl']['organizational_unit_name'] | Өздігінен қол қойылған куәлікке арналған ұйымдық бөлімше атауы. | Операциялар |
әдепкі['firezon']['ssl']['шифрлар'] | Nginx үшін SSL шифрлары. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
әдепкі['firezone']['ssl']['fips_ciphers'] | FIP режиміне арналған SSL шифрлары. | FIPS@STRENGTH:!aNULL:!eNULL' |
әдепкі['firezon']['ssl']['протоколдар'] | Қолданылатын TLS протоколдары. | TLSv1 TLSv1.1 TLSv1.2′ |
әдепкі['firezon']['ssl']['session_cache'] | SSL сеансының кэші. | ортақ:SSL:4мин' |
әдепкі['firezon']['ssl']['session_timeout'] | SSL сеансының күту уақыты. | 5 м' |
әдепкі['firezon']['robots_allow'] | nginx роботтары мүмкіндік береді. | / ' |
әдепкі['firezon']['robots_disallow'] | nginx роботтары рұқсат бермейді. | нөл |
әдепкі['firezon']['outbound_email']['кімнен'] | Мекенжайдан шығатын электрондық пошта. | нөл |
әдепкі['firezon']['outbound_email']['провайдер'] | Шығыс электрондық пошта қызметінің провайдері. | нөл |
әдепкі['firezon']['outbound_email']['configs'] | Шығыс электрондық пошта провайдерінің конфигурациялары. | omnibus/cookbooks/firezone/attributes/default.rb қараңыз |
әдепкі['firezon']['телеметрия']['қосылған'] | Анонимді өнім телеметриясын қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezone']['connectivity_checks']['қосылған'] | Firezone қосылымын тексеру қызметін қосыңыз немесе өшіріңіз. | TRUE |
әдепкі['firezone']['connectivity_checks']['interval'] | Қосылымды тексеру арасындағы аралық секундтарда. | 3_600 |
________________________________________________________________
Мұнда сіз әдеттегі Firezone орнатуына қатысты файлдар мен каталогтардың тізімін таба аласыз. Олар конфигурация файлындағы өзгерістерге байланысты өзгеруі мүмкін.
жолы | сипаттамасы |
/var/opt/firezon | Firezone жиынтық қызметтері үшін деректер мен жасалған конфигурациядан тұратын жоғарғы деңгейлі каталог. |
/opt/firezon | Firezone қажет ететін жинақталған кітапханалар, екілік файлдар және орындалу уақыты файлдары бар жоғары деңгейлі каталог. |
/usr/bin/firezon-ctl | Firezone орнатуыңызды басқаруға арналған firezone-ctl утилитасы. |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runsvdir супервайзер процесін бастауға арналған systemd бірлігі файлы. |
/etc/firezon | Firezone конфигурация файлдары. |
__________________________________________________________
Бұл бет құжаттарда бос болды
_____________________________________________________________
Келесі nftables брандмауэр үлгісін Firezone іске қосылған серверді қорғау үшін пайдалануға болады. Үлгі кейбір болжамдарды жасайды; ережелерді пайдалану жағдайыңызға сәйкес реттеу қажет болуы мүмкін:
Firezone веб-интерфейсте конфигурацияланған бағыттарға трафикке рұқсат беру/қабылдамау және клиент трафигі үшін шығыс NAT өңдеу үшін өзінің nftables ережелерін конфигурациялайды.
Төмендегі желіаралық қалқан үлгісін әлдеқашан жұмыс істеп тұрған серверде қолдану (жүктеу кезінде емес) Firezone ережелерінің жойылуына әкеледі. Бұл қауіпсіздікке әсер етуі мүмкін.
Бұл мәселені шешу үшін Phoenix қызметін қайта іске қосыңыз:
firezone-ctl Фениксті қайта іске қосыңыз
#!/usr/sbin/nft -f
## Бар ережелерді өшіру/тазарту
тазалау ережелер жинағы
###############################Айнымалылар ################ ###############
## Интернет/WAN интерфейсінің атауы
DEV_WAN = eth0 анықтаңыз
## WireGuard интерфейс атауы
DEV_WIREGUARD = wg-өрт аймағын анықтаңыз
## WireGuard тыңдау порты
WIREGUARD_PORT = анықтаңыз 51820
#############################Айнымалылар аяқталады ################# ############
# Негізгі inet жанұясының сүзу кестесі
кесте инет сүзгісі {
# Жіберілген трафик ережелері
# Бұл тізбек Firezone алға тізбегінен бұрын өңделеді
тізбек алға {
түрі сүзгі ілмек алға басымдылық сүзгі – 5; саясатын қабылдайды
}
# Кіріс трафигі ережелері
тізбекті енгізу {
типті сүзгі ілгегі кіріс басымдылық сүзгісі; саясаттың төмендеуі
## Кіріс трафикті кері интерфейске рұқсат ету
iif lo \
қабылдау \
қатынасқа «Кері байланыс интерфейсінен барлық трафикке рұқсат беру»
## Орнатылған және байланысты байланыстарға рұқсат
ct мемлекет құрылды, байланысты \
қабылдау \
қатынасқа «Орнатылған/байланысты байланыстарға рұқсат беру»
## Кіріс WireGuard трафигіне рұқсат беріңіз
егер $DEV_WAN udp dport $WIREGUARD_PORT \
есептегіш \
қабылдау \
қатынасқа «Кіріс WireGuard трафигіне рұқсат беру»
## Жаңа TCP SYN емес пакеттерін тіркеңіз және тастаңыз
tcp жалаулары != synct күйі жаңа \
шекті мөлшерлеме 100/минут жарылысы 150 пакеттер \
журнал префиксі “IN – Жаңа !SYN: “ \
қатынасқа «SYN TCP жалауы орнатылмаған жаңа қосылымдар үшін тарифтік шектеу журналы»
tcp жалаулары != synct күйі жаңа \
есептегіш \
тастау \
қатынасқа «SYN TCP жалауы орнатылмаған жаңа қосылымдарды тастаңыз»
## Жарамсыз fin/syn жалауы бар TCP пакеттерін тіркеу және тастау
tcp жалаулары & (fin|syn) == (fin|syn) \
шекті мөлшерлеме 100/минут жарылысы 150 пакеттер \
журнал префиксі “IN – TCP FIN|SIN:” \
қатынасқа «Жарамсыз fin/syn жалауы орнатылған TCP пакеттері үшін тарифтік шектеу журналы»
tcp жалаулары & (fin|syn) == (fin|syn) \
есептегіш \
тастау \
қатынасқа «Жарамсыз fin/syn жалауы бар TCP пакеттерін тастаңыз»
## Жарамсыз синхрондау/алғашқы жалау жиыны бар TCP пакеттерін тіркеу және тастау
tcp жалаулары & (syn|rst) == (syn|rst) \
шекті мөлшерлеме 100/минут жарылысы 150 пакеттер \
журнал префиксі “IN – TCP SYN|RST:” \
қатынасқа «Жарамсыз синхрондау/алғашқы жалау орнатылған TCP пакеттері үшін тарифтік шектеу журналы»
tcp жалаулары & (syn|rst) == (syn|rst) \
есептегіш \
тастау \
қатынасқа «Жарамсыз синхрондау/алғашқы жалау жиыны бар TCP пакеттерін тастаңыз»
## Жарамсыз TCP жалаушаларын тіркеу және тастау
tcp жалаулары & (fin|syn|rst|psh|ack|urg) < (fin) \
шекті мөлшерлеме 100/минут жарылысы 150 пакеттер \
журнал префиксі «IN – FIN:» \
қатынасқа «Жарамсыз TCP жалаулары үшін тарифтік шектеу журналы (fin|syn|rst|psh|ack|urg) < (fin)»
tcp жалаулары & (fin|syn|rst|psh|ack|urg) < (fin) \
есептегіш \
тастау \
қатынасқа «Жалаушалары бар TCP пакеттерін тастаңыз (fin|syn|rst|psh|ack|urg) < (fin)»
## Жарамсыз TCP жалаушаларын тіркеу және тастау
tcp жалаулары & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
шекті мөлшерлеме 100/минут жарылысы 150 пакеттер \
журнал префиксі “IN – FIN|PSH|URG:” \
қатынасқа «Жарамсыз TCP жалаулары үшін тарифтік шектеу журналы (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)»
tcp жалаулары & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
есептегіш \
тастау \
қатынасқа «Жалаушалары бар TCP пакеттерін тастаңыз (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)»
## Қосылым күйі жарамсыз трафикті тастаңыз
ct күйі жарамсыз \
шекті мөлшерлеме 100/минут жарылысы 150 пакеттер \
журнал барлық префиксті белгілейді “IN – жарамсыз:” \
қатынасқа «Байланыс күйі жарамсыз трафик үшін тарифтік шектеуді тіркеу»
ct күйі жарамсыз \
есептегіш \
тастау \
қатынасқа «Жарамсыз байланыс күйімен трафикті тоқтату»
## IPv4 пинг/пинг жауаптарына рұқсат етіңіз, бірақ жылдамдықты 2000 PPS дейін шектеңіз
ip хаттама icmp icmp түрі {жаңғырық-жауап, жаңғырық-сұрау } \
шекті мөлшерлеме 2000/секунд\
есептегіш \
қабылдау \
қатынасқа «4 PPS шектелген кіріс IPv2000 жаңғырығына (пинг) рұқсат ету»
## Барлық басқа кіріс IPv4 ICMP рұқсат етеді
ip icmp протоколы \
есептегіш \
қабылдау \
қатынасқа «Барлық басқа IPv4 ICMP рұқсат ету»
## IPv6 пинг/пинг жауаптарына рұқсат етіңіз, бірақ жылдамдықты 2000 PPS дейін шектеңіз
icmpv6 түрі {жаңғырық-жауап, жаңғырық-сұраныс} \
шекті мөлшерлеме 2000/секунд\
есептегіш \
қабылдау \
қатынасқа «6 PPS шектелген кіріс IPv2000 жаңғырығына (пинг) рұқсат ету»
## Барлық басқа кіріс IPv6 ICMP рұқсат етеді
meta l4proto {icmpv6} \
есептегіш \
қабылдау \
қатынасқа «Барлық басқа IPv6 ICMP рұқсат ету»
## Кіріс traceroute UDP порттарына рұқсат етіңіз, бірақ 500 PPS дейін шектеңіз
udp dport 33434-33524 \
шекті мөлшерлеме 500/секунд\
есептегіш \
қабылдау \
қатынасқа «500 PPS шектелген кіріс UDP traceroute рұқсат беру»
## Кіріс SSH рұқсаты
tcp dport SSH ct күйі жаңа \
есептегіш \
қабылдау \
қатынасқа «Кіріс SSH қосылымдарына рұқсат беру»
## Кіріс HTTP және HTTPS рұқсат беру
tcp dport { http, https } ct күйі жаңа \
есептегіш \
қабылдау \
қатынасқа «Кіріс HTTP және HTTPS қосылымдарына рұқсат ету»
## Кез келген сәйкес келмейтін трафикті тіркеңіз, бірақ тіркеу жылдамдығын ең көбі 60 хабарлама/минутқа дейін шектеңіз
## Әдепкі саясат сәйкес келмейтін трафикке қолданылады
шекті мөлшерлеме 60/минут жарылысы 100 пакеттер \
журнал префиксі «IN – Drop:» \
қатынасқа «Кез келген сәйкес келмейтін трафикті тіркеу»
## Теңдессіз трафикті санаңыз
есептегіш \
қатынасқа «Кез келген сәйкес келмейтін трафикті санау»
}
# Шығу трафигі ережелері
тізбек шығысы {
типті сүзгі ілгегі шығыс басымдылық сүзгісі; саясаттың төмендеуі
## Кері интерфейске шығыс трафикке рұқсат беріңіз
егер мынау \
қабылдау \
қатынасқа «Барлық трафикті кері интерфейске шығаруға рұқсат ету»
## Орнатылған және байланысты байланыстарға рұқсат
ct мемлекет құрылды, байланысты \
есептегіш \
қабылдау \
қатынасқа «Орнатылған/байланысты байланыстарға рұқсат беру»
## Жағдайы нашар байланыстарды үзбес бұрын шығыс WireGuard трафигіне рұқсат беріңіз
oif $DEV_WAN udp спорт $WIREGUARD_PORT \
есептегіш \
қабылдау \
қатынасқа «WireGuard шығыс трафигіне рұқсат беру»
## Қосылым күйі жарамсыз трафикті тастаңыз
ct күйі жарамсыз \
шекті мөлшерлеме 100/минут жарылысы 150 пакеттер \
журнал барлық префиксті белгілейді “OUT – жарамсыз:” \
қатынасқа «Байланыс күйі жарамсыз трафик үшін тарифтік шектеуді тіркеу»
ct күйі жарамсыз \
есептегіш \
тастау \
қатынасқа «Жарамсыз байланыс күйімен трафикті тоқтату»
## Барлық басқа шығыс IPv4 ICMP рұқсат береді
ip icmp протоколы \
есептегіш \
қабылдау \
қатынасқа «Барлық IPv4 ICMP түрлеріне рұқсат ету»
## Барлық басқа шығыс IPv6 ICMP рұқсат береді
meta l4proto {icmpv6} \
есептегіш \
қабылдау \
қатынасқа «Барлық IPv6 ICMP түрлеріне рұқсат ету»
## Шығыс traceroute UDP порттарына рұқсат етіңіз, бірақ 500 PPS дейін шектеңіз
udp dport 33434-33524 \
шекті мөлшерлеме 500/секунд\
есептегіш \
қабылдау \
қатынасқа «500 PPS шектелген шығыс UDP traceroute рұқсат ету»
## Шығыс HTTP және HTTPS қосылымдарына рұқсат беріңіз
tcp dport { http, https } ct күйі жаңа \
есептегіш \
қабылдау \
қатынасқа «Шығыс HTTP және HTTPS қосылымдарына рұқсат ету»
## Шығыс SMTP жіберуге рұқсат беру
tcp dport жіберу ct күйі жаңа \
есептегіш \
қабылдау \
қатынасқа «Шығыс SMTP жіберуге рұқсат беру»
## Шығыс DNS сұрауларына рұқсат беру
udp dport 53 \
есептегіш \
қабылдау \
қатынасқа «Шығыс UDP DNS сұрауларына рұқсат ету»
tcp dport 53 \
есептегіш \
қабылдау \
қатынасқа «Шығыс TCP DNS сұрауларына рұқсат ету»
## Шығыс NTP сұрауларына рұқсат беру
udp dport 123 \
есептегіш \
қабылдау \
қатынасқа «Шығыс NTP сұрауларына рұқсат беру»
## Кез келген сәйкес келмейтін трафикті тіркеңіз, бірақ тіркеу жылдамдығын ең көбі 60 хабарлама/минутқа дейін шектеңіз
## Әдепкі саясат сәйкес келмейтін трафикке қолданылады
шекті мөлшерлеме 60/минут жарылысы 100 пакеттер \
журнал префиксі «OUT – тастау:» \
қатынасқа «Кез келген сәйкес келмейтін трафикті тіркеу»
## Теңдессіз трафикті санаңыз
есептегіш \
қатынасқа «Кез келген сәйкес келмейтін трафикті санау»
}
}
# NAT сүзгісінің негізгі кестесі
кесте inet nat {
# NAT трафигін алдын ала бағыттау ережелері
тізбекті алдын ала бағыттау {
теріңіз nat hook алдын ала бағдарлау басымдылығы dstnat; саясатын қабылдайды
}
# NAT трафикті маршруттаудан кейінгі ережелер
# Бұл кесте Firezone кейінгі бағыттау тізбегінен бұрын өңделеді
тізбекті бағыттау {
nat hook postrouting priority srcnat теріңіз – 5; саясатын қабылдайды
}
}
Брандмауэр жұмыс істеп тұрған Linux дистрибутивінің тиісті орнында сақталуы керек. Debian/Ubuntu үшін бұл /etc/nftables.conf және RHEL үшін бұл /etc/sysconfig/nftables.conf.
nftables.service жүктелген кезде іске қосылу үшін конфигурациялануы керек (егер әлі жоқ болса):
systemctl nftables.service қосыңыз
Брандмауэр үлгісіне қандай да бір өзгерістер енгізілсе, тексеру пәрменін орындау арқылы синтаксисті тексеруге болады:
nft -f /path/to/nftables.conf -c
Брандмауэрдің күткендей жұмыс істейтінін растаңыз, себебі кейбір nftables мүмкіндіктері серверде іске қосылған шығарылымға байланысты қол жетімді болмауы мүмкін.
_______________________________________________________________
Бұл құжат Firezone дербес орналастырылған данадан жинайтын телеметрияға шолуды және оны өшіру жолын ұсынады.
Өрт аймағы сүйенеді телеметрия бойынша біздің жол картамызға басымдық беру және инженерлік ресурстарды оңтайландыру үшін Firezone-ті барлығына жақсарту керек.
Біз жинайтын телеметрия келесі сұрақтарға жауап беруге бағытталған:
Firezone-да телеметрия жиналатын үш негізгі орын бар:
Осы үш контексттің әрқайсысында біз жоғарыдағы бөлімдегі сұрақтарға жауап беру үшін қажетті деректердің ең аз көлемін аламыз.
Әкімші электрондық пошталары өнім жаңартуларына тікелей қосылған жағдайда ғана жиналады. Әйтпесе, жеке тұлғаны анықтауға болатын ақпарат ешқашан да жиналды.
Firezone телеметрияны жеке Kubernetes кластерінде жұмыс істейтін PostHog-дың дербес орналастырылған данасында сақтайды, тек Firezone командасы қол жеткізе алады. Мұнда Firezone данамыздан телеметрия серверіне жіберілетін телеметрия оқиғасының мысалы берілген:
{
«Идентификатор»: “0182272d-0b88-0000-d419-7b9a413713f1”,
«уақыт белгісі»: “2022-07-22T18:30:39.748000+00:00”,
«оқиға»: “fz_http_started”,
"айырықша_идентификатор": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
«қасиеттер»:{
“$geoip_city_name”: «Ашберн»,
«$geoip_continent_code»: «ЖҚ»,
“$geoip_continent_name”: «Солтүстік америка»,
«$geoip_country_code»: «АҚШ»,
“$geoip_country_name”: «АҚШ»,
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_post_code”: «20149»,
“$geoip_subdivision_1_code”: «VA»,
“$geoip_subdivision_1_name”: «Виргиния»,
“$geoip_time_zone”: «Америка/Нью_Йорк»,
«$ip»: «52.200.241.107»,
“$plugins_deferred”: [],
“$plugins_failed”: [],
«$plugins_succeeded»: [
«GeoIP (3)»
],
"айырықша_идентификатор": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
«fqdn»: “awsdemo.firezon.dev”,
«ядро_нұсқасы»: «linux 5.13.0»,
«нұсқа»: «0.4.6»
},
«элементтер_тізбегі»: «»
}
ЕСКЕРТУ
Firezone әзірлеу тобы сүйенеді Firezone барлығына жақсырақ ету үшін өнім талдауы туралы. Телеметрияны қосулы күйде қалдыру Firezone дамуына қоса алатын жалғыз ең құнды үлес болып табылады. Кейбір пайдаланушылардың құпиялылық немесе қауіпсіздік талаптары жоғары екенін және телеметрияны толығымен өшіруді қалайтынын түсінеміз. Егер бұл сіз болсаңыз, оқуды жалғастырыңыз.
Телеметрия әдепкі бойынша қосылады. Өнімнің телеметриясын толығымен өшіру үшін, /etc/firezone/firezone.rb ішінде келесі конфигурация опциясын жалған етіп орнатыңыз және өзгерістерді қабылдау үшін sudo firezone-ctl reconfigure іске қосыңыз.
әдепкі[«өрт аймағы»][«телеметрия»]['қосылған'] = жалған
Бұл өнімнің барлық телеметриясын толығымен өшіреді.
Hailbytes
9511 Queens Guard Ct.
Лорел, MD 20723
Телефон: (732) 771-9995
Электрондық пошта: info@hailbytes.com
