Siin on toodud samm-sammult juhised Firezone'i GUI-ga Hailbytes VPN-i juurutamiseks.
Administreerimine: serveri eksemplari seadistamine on selle osaga otseselt seotud.
Kasutusjuhendid: kasulikud dokumendid, mis õpetavad Firezone'i kasutama ja tüüpilisi probleeme lahendama. Pärast serveri edukat juurutamist vaadake seda jaotist.
Tükeldatud tunneldamine: kasutage VPN-i liikluse saatmiseks ainult kindlatesse IP-vahemikesse.
Lubatud loendisse lisamine: määrake VPN-serveri staatiline IP-aadress, et kasutada lubatud loendit.
Pöördtunnelid: looge tunneleid mitme kaaslase vahel, kasutades pöördtunneleid.
Aitame teid hea meelega, kui vajate abi Hailbytes VPN-i installimisel, kohandamisel või kasutamisel.
Enne kui kasutajad saavad seadme konfiguratsioonifaile luua või alla laadida, saab Firezone'i konfigureerida autentimist nõudma. Samuti võivad kasutajad VPN-ühenduse aktiivsena hoidmiseks perioodiliselt uuesti autentida.
Kuigi Firezone'i vaikimisi sisselogimismeetod on kohalik e-post ja parool, saab seda integreerida ka mis tahes standardse OpenID Connecti (OIDC) identiteedipakkujaga. Kasutajad saavad nüüd Firezone'i sisse logida, kasutades oma Okta, Google'i, Azure AD või privaatse identiteedi pakkuja mandaate.
Integreerige üldine OIDC pakkuja
Konfiguratsiooniparameetrid, mida Firezone vajab SSO lubamiseks OIDC pakkuja abil, on näidatud allolevas näites. Aadressil /etc/firezone/firezone.rb võite leida konfiguratsioonifaili. Rakenduse värskendamiseks ja muudatuste jõustumiseks käivitage firezone-ctl uuesti seadistamine ja firezone-ctl taaskäivitamine.
# See on näide Google'i ja Okta kasutamisest SSO identiteedi pakkujana.
# Ühele Firezone'i eksemplarile saab lisada mitu OIDC konfiguratsiooni.
# Firezone võib kasutaja VPN-i keelata, kui proovimisel tuvastatakse viga
# oma access_tokeni värskendamiseks. See on kinnitatud, et see töötab Google'i, Okta ja
# Azure SSO ja seda kasutatakse kasutaja VPN-i automaatseks katkestamiseks, kui need eemaldatakse
# OIDC pakkujalt. Jätke see keelatuks, kui teie OIDC pakkuja
# on probleeme juurdepääsulubade värskendamisega, kuna see võib ootamatult katkestada a
# kasutaja VPN-i seanss.
default['firezone']['autentimine']['disable_vpn_on_oidc_error'] = vale
default['firezone']['autentimine']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
kliendi_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
vastuse_tüüp: "kood",
ulatus: "avatud e-posti profiil",
silt: "Google"
},
okta: {
discovery_document_uri: "https:// /.well-known/openid-configuration”,
kliendi_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
vastuse_tüüp: "kood",
ulatus: "avatud meiliprofiil offline_access",
silt: "Okta"
}
}
Integreerimiseks on vaja järgmisi konfiguratsioonisätteid:
Iga OIDC pakkuja jaoks luuakse vastav ilus URL, mis suunab ümber konfigureeritud pakkuja sisselogimise URL-ile. Ülaltoodud OIDC konfiguratsiooni näite puhul on URL-id järgmised:
Pakkujad, kellel on meil dokumentatsioon:
Kui teie identiteedi pakkujal on üldine OIDC-pistik ja see pole ülaltoodud loendis, vaadake vajalike konfiguratsiooniseadete hankimise kohta teavet nende dokumentatsioonist.
Seadete/turvalisuse all olevat seadet saab muuta nii, et see nõuab perioodilist uuesti autentimist. Seda saab kasutada nõude jõustamiseks, et kasutajad peavad VPN-seansi jätkamiseks regulaarselt Firezone'i sisenema.
Seansi pikkuse saab konfigureerida vahemikus üks tund kuni üheksakümmend päeva. Kui määrate selle väärtuseks Mitte kunagi, saate VPN-seansid igal ajal lubada. See on standard.
Aegunud VPN-seansi uuesti autentimiseks peab kasutaja VPN-i seansi lõpetama ja Firezone'i portaali sisse logima (juurutamise ajal määratud URL).
Saate oma seansi uuesti autentida, järgides täpseid kliendi juhiseid, mis leiate siit.
VPN-ühenduse olek
Kasutajate lehe VPN-ühenduse tabeli veerus kuvatakse kasutaja ühenduse olek. Need on ühenduse olekud:
LUBATUD – ühendus on lubatud.
KEelatud – ühendus on keelatud administraatori või OIDC värskendustõrge tõttu.
AEGUNUD – ühendus on keelatud autentimise aegumise tõttu või kasutaja ei ole esimest korda sisse loginud.
Üldise OIDC-pistiku kaudu võimaldab Firezone ühekordset sisselogimist (SSO) Google Workspace'i ja Cloud Identity'iga. See juhend näitab teile, kuidas hankida allpool loetletud konfiguratsiooniparameetrid, mis on integreerimiseks vajalikud:
1. OAuthi konfiguratsiooniekraan
Kui loote uut OAuthi kliendi ID-d esimest korda, palutakse teil konfigureerida nõusolekukuva.
*Kasutaja tüübiks valige Sisemine. See tagab, et seadme konfiguratsioone saavad luua ainult teie Google Workspace'i organisatsiooni kasutajatele kuuluvad kontod. ÄRGE valige Väline, kui te ei soovi lubada kõigil kehtiva Google'i kontoga seadme konfiguratsioone luua.
Rakenduse teabe ekraanil:
2. Looge OAuthi kliendi ID-d
See jaotis põhineb Google'i enda dokumentatsioonil OAuth 2.0 seadistamine.
Külastage Google Cloud Console'i Mandaatide leht lehel, klõpsake nuppu + Loo mandaadid ja valige OAuthi kliendi ID.
OAuthi kliendi ID loomise ekraanil tehke järgmist.
Pärast OAuthi kliendi ID loomist antakse teile kliendi ID ja kliendi saladus. Neid kasutatakse koos ümbersuunamise URI-ga järgmises etapis.
Edit /etc/firezone/firezone.rb et lisada järgmised valikud:
# Google'i kasutamine SSO identiteedi pakkujana
default['firezone']['autentimine']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
kliendi_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
vastuse_tüüp: "kood",
ulatus: "avatud e-posti profiil",
silt: "Google"
}
}
Rakenduse värskendamiseks käivitage firezone-ctl uuesti seadistamine ja taaskäivitage firezone-ctl. Nüüd peaksite Firezone'i juur-URL-i juures nägema nuppu Logi sisse Google'iga.
Firezone kasutab üldist OIDC-pistikut, et hõlbustada ühekordset sisselogimist (SSO) Oktaga. See õpetus näitab teile, kuidas hankida allpool loetletud konfiguratsiooniparameetrid, mis on integreerimiseks vajalikud:
See juhendi osa põhineb Okta dokumentatsioon.
Avage administraatorikonsoolis Rakendused > Rakendused ja klõpsake nuppu Loo rakenduse integratsioon. Määrake sisselogimismeetodiks OICD – OpenID Connect ja rakenduse tüüp väärtusele Veebirakendus.
Konfigureerige need seaded:
Kui seaded on salvestatud, antakse teile kliendi ID, kliendi saladus ja Okta domeen. Neid kolme väärtust kasutatakse 3. sammus Firezone'i konfigureerimiseks.
Edit /etc/firezone/firezone.rb allolevate valikute lisamiseks. Sinu discovery_document_url on /.well-known/openid-configuration lisatud teie lõppu okta_domeen.
# Okta kasutamine SSO identiteedi pakkujana
default['firezone']['autentimine']['oidc'] = {
okta: {
discovery_document_uri: "https:// /.well-known/openid-configuration”,
kliendi_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
vastuse_tüüp: "kood",
ulatus: "avatud meiliprofiil offline_access",
silt: "Okta"
}
}
Rakenduse värskendamiseks käivitage firezone-ctl uuesti seadistamine ja taaskäivitage firezone-ctl. Nüüd peaksite Firezone'i juur-URL-is nägema nuppu Logi sisse Oktaga.
Okta saab piirata kasutajaid, kellel on juurdepääs Firezone'i rakendusele. Selle tegemiseks minge oma Okta administraatorikonsooli Firezone'i rakenduste integreerimise lehele Assignments.
Üldise OIDC-pistiku kaudu võimaldab Firezone Azure Active Directoryga ühekordset sisselogimist (SSO). See juhend näitab teile, kuidas hankida allpool loetletud konfiguratsiooniparameetrid, mis on integreerimiseks vajalikud:
See juhend on koostatud Azure Active Directory dokumendid.
Minge Azure'i portaali lehele Azure Active Directory. Valige menüükäsk Halda, valige Uus registreerimine, seejärel registreeruge, esitades alloleva teabe:
Pärast registreerimist avage rakenduse üksikasjade vaade ja kopeerige Rakenduse (kliendi) ID. See on kliendi_id väärtus. Järgmisena avage lõpp-punktide menüü, et hankida OpenID Connecti metaandmete dokument. See on discovery_document_uri väärtus.
Looge uus kliendisaladus, klõpsates menüüs Halda suvandil Sertifikaadid ja saladused. Kopeerige kliendi saladus; kliendi salajane väärtus on see.
Lõpuks valige menüüst Halda link API õigused ja klõpsake nuppu Lisage lubaja valige Microsofti graafik, lisama e-mail, avatud, offline_access ja profiil nõutavatele lubadele.
Edit /etc/firezone/firezone.rb et lisada järgmised valikud:
# Azure Active Directory kasutamine SSO identiteedi pakkujana
default['firezone']['autentimine']['oidc'] = {
taevasinine: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
kliendi_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
vastuse_tüüp: "kood",
ulatus: "avatud meiliprofiil offline_access",
silt: "Azure"
}
}
Rakenduse värskendamiseks käivitage firezone-ctl uuesti seadistamine ja taaskäivitage firezone-ctl. Nüüd peaksite Firezone'i juur-URL-is nägema nuppu Logi sisse Azure'iga.
Azure AD võimaldab administraatoritel piirata rakenduse juurdepääsu konkreetsele teie ettevõtte kasutajarühmale. Lisateavet selle kohta, kuidas seda teha, leiate Microsofti dokumentatsioonist.
Firezone kasutab Chef Omnibusi selliste ülesannete haldamiseks nagu vabastamise pakendamine, protsesside järelevalve, logide haldamine ja palju muud.
Ruby kood moodustab esmase konfiguratsioonifaili, mis asub aadressil /etc/firezone/firezone.rb. Rakenduse sudo firezone-ctl reconfigure taaskäivitamine pärast selles failis muudatuste tegemist paneb Chef muudatused ära tundma ja rakendab need praeguses operatsioonisüsteemis.
Konfiguratsioonimuutujate täieliku loendi ja nende kirjelduste saamiseks vaadake konfiguratsioonifaili viidet.
Teie Firezone'i eksemplari saab hallata rakenduse kaudu firezone-ctl käsk, nagu allpool näidatud. Enamik alamkäske nõuab eesliidet sudo.
root@demo:~# firezone-ctl
omnibus-ctl: käsk (alamkäsk)
Üldised käsud:
puhastama
Kustutage *kõik* firezone'i andmed ja alustage nullist.
loo-or-reset-admin
Lähtestab administraatori parooli vaikimisi määratud e-posti aadressiga['firezone']['admin_email'] või loob uue administraatori, kui seda e-posti aadressi pole.
aitama
Printige see abiteade.
ümber seadistada
Seadistage rakendus uuesti.
lähtestamine-võrk
Lähtestab nftables, WireGuardi liidese ja marsruutimistabeli Firezone'i vaikeseadetele.
show-config
Näita konfiguratsiooni, mis loodaks ümberkonfigureerimisel.
teardown-võrk
Eemaldab WireGuardi liidese ja firezone nftables tabeli.
jõu-sertifikaadi uuendamine
Sunni sertifikaadi uuendamine kohe, isegi kui see pole aegunud.
stop-sertifikaadi uuendamine
Eemaldab cronjobi, mis uuendab sertifikaate.
uninstall
Lõpetage kõik protsessid ja desinstallige protsessi juhendaja (andmed säilitatakse).
versioon
Kuva Firezone'i praegune versioon
Teenuse halduse käsud:
graatsiline-tappa
Proovige graatsilist peatust, seejärel SIGKILL kogu protsessigrupp.
hup
Saatke teenustele HUP.
int
Saatke teenustele INT.
tapma
Saatke teenustele KILL.
kunagi
Käivitage teenused, kui need ei tööta. Ärge taaskäivitage neid, kui nad peatuvad.
restart
Peatage teenused, kui need töötavad, ja käivitage need uuesti.
teenuste loend
Loetlege kõik teenused (lubatud teenused kuvatakse tähega *.)
algus
Käivitage teenused, kui need ei tööta, ja taaskäivitage need, kui need peatuvad.
staatus
Näita kõigi teenuste olekut.
peatus
Peatage teenused ja ärge taaskäivitage neid.
saba
Vaadake kõigi lubatud teenuste teenuseloge.
termin
Saatke teenustele TERM.
1 usr
Saatke teenustele USR1.
2 usr
Saatke teenustele USR2.
Kõik VPN-i seansid tuleb enne Firezone'i täiendamist lõpetada, mis nõuab ka veebiliidese sulgemist. Kui uuendamise ajal läheb midagi valesti, soovitame varuda hoolduseks tund aega.
Firezone'i täiustamiseks tehke järgmist.
Probleemide ilmnemisel andke meile teada toetuspileti esitamine.
Versioonis 0.5.0 on mõned purunevad muudatused ja konfiguratsioonimuudatused, millega tuleb tegeleda. Lisateavet leiate allpool.
Nginx ei toeta enam sunnitud SSL-i ja mitte-SSL-pordi parameetreid alates versioonist 0.5.0. Kuna Firezone vajab töötamiseks SSL-i, soovitame eemaldada Nginxi teenuse komplekt, määrates vaikimisi ['firezone']['nginx']['enabled'] = false ja suunates pöördpuhverserveri selle asemel Phoenixi rakendusele pordis 13000 (vaikimisi). ).
0.5.0 tutvustab ACME protokolli tuge SSL-sertifikaatide automaatseks uuendamiseks koos komplekteeritud Nginxi teenusega. Võimaldada,
Võimalus lisada reegleid dubleerivate sihtkohtadega on Firezone 0.5.0-s kadunud. Meie migratsiooniskript tuvastab need olukorrad automaatselt versioonile 0.5.0 uuendamisel ja säilitab ainult need reeglid, mille sihtkoht sisaldab teist reeglit. Kui see on korras, ei pea te midagi tegema.
Vastasel juhul soovitame nendest olukordadest vabanemiseks enne täiendamist oma reeglistikku muuta.
Firezone 0.5.0 eemaldab vanastiili Okta ja Google SSO konfiguratsiooni toe uue, paindlikuma OIDC-põhise konfiguratsiooni kasuks.
Kui teil on vaike['firezone']['autentimine'][okta'] või vaikeklahvide ['firezone']['autentimine']['google'] konfiguratsioon, peate need üle viima meie OIDC-sse -põhine konfiguratsioon, kasutades allolevat juhendit.
Olemasolev Google OAuthi konfiguratsioon
Eemaldage need vanu Google OAuthi konfiguratsioone sisaldavad read oma konfiguratsioonifailist, mis asub aadressil /etc/firezone/firezone.rb
vaikimisi['firezone']['autentimine']['google']['lubatud']
vaikimisi['firezone']['autentimine']['google']['kliendi_id']
vaikimisi['firezone']['autentimine']['google']['client_secret']
vaikimisi['firezone']['autentimine']['google']['redirect_uri']
Seejärel konfigureerige Google OIDC pakkujaks, järgides siin toodud protseduure.
(Esita lingijuhised)<<<<<<<<<<<<<<<<
Olemasoleva Google OAuthi seadistamine
Eemaldage need vanad Okta OAuthi konfiguratsioonid sisaldavad read oma konfiguratsioonifailist, mis asub aadressil /etc/firezone/firezone.rb
vaike['firezone']['autentimine']['okta']['lubatud']
vaikimisi ['firezone']['autentimine']['okta']['kliendi_id']
vaikimisi['firezone']['autentimine']['okta']['kliendi_saladus']
Vaike['firezone']['autentimine']['okta']['sait']
Seejärel konfigureerige Okta OIDC pakkujaks, järgides siin toodud protseduure.
Sõltuvalt teie praegusest seadistusest ja versioonist järgige allolevaid juhiseid.
Kui teil on juba OIDC integratsioon:
Mõne OIDC pakkuja puhul nõuab versioonile >= 0.3.16 uuendamine võrguühenduseta juurdepääsu ulatuse jaoks värskendusluba hankimist. Seda tehes on tagatud, et Firezone värskendab identiteedipakkujaga ja VPN-ühendus lülitatakse pärast kasutaja kustutamist välja. Firezone'i varasematel iteratsioonidel see funktsioon puudus. Mõnel juhul võivad teie identiteedipakkujast kustutatud kasutajad siiski VPN-iga ühendatud olla.
Võrguühenduseta juurdepääsu ulatust toetavate OIDC pakkujate OIDC konfiguratsiooni ulatuse parameetrisse on vaja lisada võrguühenduseta juurdepääs. Firezone-ctl reconfigure tuleb käivitada, et rakendada muudatusi Firezone'i konfiguratsioonifailis, mis asub aadressil /etc/firezone/firezone.rb.
Kui Firezone suudab värskendusloa edukalt hankida, näete nende kasutajate puhul, kelle on autentinud teie OIDC pakkuja, veebiliidese kasutajateabe lehel pealkirja OIDC ühendused.
Kui see ei aita, peate kustutama olemasoleva OAuthi rakenduse ja kordama OIDC seadistamise samme, et luua uus rakenduse integratsioon .
Mul on olemasolev OAuthi integratsioon
Enne versiooni 0.3.11 kasutas Firezone eelkonfigureeritud OAuth2 pakkujaid.
Järgi juhiseid siin OIDC-sse migreerumiseks.
Ma ei ole integreerinud identiteedipakkujat
Tegevust pole vaja.
Saate järgida juhiseid siin SSO lubamiseks OIDC pakkuja kaudu.
Selle asemel on vaike['firezone']['external url'] asendanud konfiguratsioonivaliku default['firezone']['fqdn'].
Määrake selle oma Firezone'i veebiportaali URL, mis on üldsusele juurdepääsetav. Vaikimisi on see https:// pluss teie serveri FQDN, kui see on määramata.
Konfiguratsioonifail asub aadressil /etc/firezone/firezone.rb. Konfiguratsioonimuutujate täieliku loendi ja nende kirjelduste saamiseks vaadake konfiguratsioonifaili viidet.
Alates versioonist 0.3.0 ei hoia Firezone enam Firezone'i serveris seadme privaatvõtmeid.
Firezone'i veebikasutajaliides ei võimalda teil neid konfiguratsioone uuesti alla laadida ega vaadata, kuid kõik olemasolevad seadmed peaksid jätkama töötamist endisel kujul.
Kui uuendate versioonilt Firezone 0.1.x, tuleb teha mõned konfiguratsioonifaili muudatused, mis tuleb käsitsi lahendada.
Failis /etc/firezone/firezone.rb vajalike muudatuste tegemiseks käivitage alltoodud käsud administraatorina.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl uuesti seadistada
firezone-ctl taaskäivitamine
Firezone'i logide kontrollimine on võimalike probleemide lahendamiseks mõistlik esimene samm.
Firezone'i logide vaatamiseks käivitage sudo firezone-ctl saba.
Enamiku Firezone'i ühenduvusprobleemidest põhjustavad ühildumatud iptablesi või nftablesi reeglid. Peate tagama, et teie kehtivad reeglid ei oleks Firezone'i reeglitega vastuolus.
Veenduge, et FORWARD-kett lubaks teie WireGuardi klientidelt pakette asukohtadesse, mille soovite Firezone'ist läbi lasta, kui teie Interneti-ühendus halveneb iga kord, kui oma WireGuardi tunneli aktiveerite.
Seda saab saavutada, kui kasutate ufw-d, tagades, et vaikemarsruutimispoliitika on lubatud:
ubuntu@fz:~$ sudo ufw vaikimisi lubab suunata
Marsruutimise vaikereegliks määrati „lubamine”
(värskendage kindlasti oma reegleid vastavalt)
A vau tüüpilise Firezone'i serveri olek võib välja näha järgmine:
ubuntu@fz:~$ sudo ufw olek paljusõnaline
Olek: aktiivne
Logimine: sisse (madal)
Vaikimisi: keela (sissetulev), luba (väljaminev), luba (marsruutitud)
Uued profiilid: jäta vahele
Tegevuseni alates
—----
22/tcp LUBA SISSE kõikjal
80/tcp LUBA SISSE kõikjal
443/tcp LUBA SISSE kõikjal
51820/udp LUBA SISSE kõikjal
22/tcp (v6) LUBA kõikjal (v6)
80/tcp (v6) LUBA kõikjal (v6)
443/tcp (v6) LUBA kõikjal (v6)
51820/udp (v6) LUBA kõikjal (v6)
Soovitame piirata juurdepääsu veebiliidesele äärmiselt tundlike ja missioonikriitiliste tootmisrakenduste puhul, nagu allpool selgitatud.
Teenus | Vaikimisi port | Kuula aadress | Kirjeldus |
nginx | 80, 443 | kõik | Avalik HTTP(S) port Firezone'i haldamiseks ja autentimise hõlbustamiseks. |
Trossikaitse | 51820 | kõik | VPN-i seansside jaoks kasutatav avalik WireGuardi port. (UDP) |
Postgresql | 15432 | 127.0.0.1 | Ainult kohalik port, mida kasutatakse komplekteeritud Postgresql-serveri jaoks. |
fööniks | 13000 | 127.0.0.1 | Ainult kohalik port, mida kasutab ülesvoolu eliksiirirakenduse server. |
Soovitame mõelda juurdepääsu piiramisele Firezone'i avalikult avaldatud veebiliidesele (vaikimisi pordid 443/tcp ja 80/tcp) ning selle asemel kasutada Firezone'i haldamiseks WireGuardi tunnelit tootmise ja avalike juurutuste jaoks, kus vastutab üks administraator. seadmete konfiguratsioonide loomine ja levitamine lõppkasutajatele.
Näiteks kui administraator lõi seadme konfiguratsiooni ja lõi tunneli kohaliku WireGuardi aadressiga 10.3.2.2, võimaldaks järgmine ufw konfiguratsioon administraatoril pääseda juurde Firezone'i veebiliidesele serveri wg-firezone'i liideses, kasutades vaikeväärtust 10.3.2.1. tunneli aadress:
root@demo:~# ufw olek paljusõnaline
Olek: aktiivne
Logimine: sisse (madal)
Vaikimisi: keela (sissetulev), luba (väljaminev), luba (marsruutitud)
Uued profiilid: jäta vahele
Tegevuseni alates
—----
22/tcp LUBA SISSE kõikjal
51820/udp LUBA SISSE kõikjal
Kõikjal LUBA SISSE 10.3.2.2
22/tcp (v6) LUBA kõikjal (v6)
51820/udp (v6) LUBA kõikjal (v6)
See jätaks ainult 22/tcp avatud SSH-juurdepääsu jaoks serveri haldamiseks (valikuline) ja 51820/udp WireGuardi tunnelite rajamiseks.
Firezone koondab Postgresql-serveri ja sobitamise psql utiliit, mida saab kohalikust kestast kasutada, näiteks:
/opt/firezone/embedded/bin/psql \
-U tuletsoon \
-d firezone \
-h kohalik host \
-p 15432 \
-c "SQL_STATEMENT"
See võib olla abiks silumise eesmärgil.
Levinud ülesanded:
Kõigi kasutajate loend:
/opt/firezone/embedded/bin/psql \
-U tuletsoon \
-d firezone \
-h kohalik host \
-p 15432 \
-c "SELECT * FROM kasutajatest;"
Kõigi seadmete loend:
/opt/firezone/embedded/bin/psql \
-U tuletsoon \
-d firezone \
-h kohalik host \
-p 15432 \
-c "SELECT * FROM FROM;"
Kasutajarolli muutmine:
Määrake rolliks "administraator" või "privilegeerimata":
/opt/firezone/embedded/bin/psql \
-U tuletsoon \
-d firezone \
-h kohalik host \
-p 15432 \
-c "Uuenda kasutajad SET rolli = 'administraator' WHERE email = 'kasutaja@näide.ee';"
Andmebaasi varundamine:
Lisaks on kaasas pg dump programm, mida saab kasutada andmebaasi regulaarsete varukoopiate tegemiseks. Käivitage järgmine kood, et kustutada andmebaasi koopia tavalises SQL-päringuvormingus (asendage /path/to/backup.sql asukohaga, kuhu tuleks SQL-fail luua):
/opt/firezone/embedded/bin/pg_dump \
-U tuletsoon \
-d firezone \
-h kohalik host \
-p 15432 > /path/to/backup.sql
Pärast Firezone'i edukat juurutamist peate lisama kasutajad, et anda neile juurdepääs teie võrgule. Selleks kasutatakse veebi kasutajaliidest.
Valides /users alt nupu “Lisa kasutaja”, saate kasutaja lisada. Peate andma kasutajale e-posti aadressi ja parooli. Teie organisatsiooni kasutajatele automaatse juurdepääsu võimaldamiseks saab Firezone ka liidestada ja sünkroonida identiteedipakkujaga. Rohkem üksikasju on saadaval aadressil autentida. < Lisa link autentimiseks
Soovitame paluda kasutajatel luua oma seadme konfiguratsioonid, et privaatvõti oleks nähtav ainult neile. Kasutajad saavad luua oma seadme konfiguratsioonid, järgides juhiseid Kliendi juhised lehel.
Firezone'i administraatorid saavad luua kõik kasutaja seadmete konfiguratsioonid. Kasutajaprofiili lehel, mis asub aadressil /users, valige selle tegemiseks suvand "Lisa seade".
[Sisesta ekraanipilt]
Pärast seadme profiili loomist saate kasutajale meiliga saata WireGuardi konfiguratsioonifaili.
Kasutajad ja seadmed on lingitud. Lisateavet kasutaja lisamise kohta leiate siit Kasutajate lisamine.
Kerneli võrgufiltrisüsteemi kasutamise kaudu võimaldab Firezone väljapääsu filtreerimise võimalusi määrata DROP või ACCEPT paketid. Tavaliselt on kogu liiklus lubatud.
IPv4 ja IPv6 CIDR-e ja IP-aadresse toetatakse vastavalt lubamisloendi ja keelamisloendi kaudu. Saate reegli lisamisel kasutajale kohaldada, mis rakendab reeglit selle kasutaja kõikidele seadmetele.
Paigaldage ja konfigureerige
VPN-ühenduse loomiseks oma WireGuardi kliendi abil vaadake seda juhendit.
Siin asuvad ametlikud WireGuardi kliendid ühilduvad Firezone'iga:
Ülalmainimata OS-süsteemide jaoks külastage ametlikku WireGuardi veebisaiti aadressil https://www.wireguard.com/install/.
Firezone'i administraator või ise saate Firezone'i portaali kasutades luua seadme konfiguratsioonifaili.
Seadme konfiguratsioonifaili iseloomiseks külastage Firezone'i administraatori antud URL-i. Teie ettevõttel on selleks kordumatu URL; antud juhul on see https://instance-id.yourfirezone.com.
Logige sisse Firezone Okta SSO-sse
[Sisesta ekraanipilt]
Importige fail.conf WireGuardi klienti, avades selle. Lülitades aktiveerimislülitit, saate alustada VPN-i seanssi.
[Sisesta ekraanipilt]
Järgige allolevaid juhiseid, kui teie võrguadministraator on VPN-ühenduse aktiivsena hoidmiseks lubanud korduva autentimise.
Sa vajad:
Firezone'i portaali URL: küsige ühendust võrguadministraatorilt.
Teie võrguadministraator peaks saama pakkuda teie sisselogimist ja parooli. Firezone'i sait palub teil sisse logida, kasutades ühtse sisselogimise teenust, mida teie tööandja kasutab (nt Google või Okta).
[Sisesta ekraanipilt]
Minge Firezone'i portaali URL-ile ja logige sisse, kasutades võrguadministraatori antud mandaate. Kui olete juba sisse logitud, klõpsake enne uuesti sisselogimist nuppu Autentige uuesti.
[Sisesta ekraanipilt]
[Sisesta ekraanipilt]
WireGuardi konfiguratsiooniprofiili importimiseks Linuxi seadmetes Network Manager CLI abil järgige neid juhiseid (nmcli).
Kui profiilil on lubatud IPv6 tugi, võib konfiguratsioonifaili importimine võrguhalduri GUI abil ebaõnnestuda ja ilmneda järgmine tõrketeade:
ipv6.method: meetodit "auto" ei toetata WireGuardi jaoks
On vaja installida WireGuardi kasutajaruumi utiliidid. See on Linuxi distributsioonide jaoks mõeldud pakett nimega wireguard või wireguard-tools.
Ubuntu/Debiani jaoks:
sudo apt install wireguard
Fedora kasutamiseks:
sudo dnf installige wireguard-tööriistad
Arch Linux:
sudo pacman -S wireguard-tööriistad
Eespool nimetamata distributsioonide jaoks külastage ametlikku WireGuardi veebisaiti aadressil https://www.wireguard.com/install/.
Teie Firezone'i administraator või isegeneraator saavad Firezone'i portaali kasutades seadme konfiguratsioonifaili luua.
Seadme konfiguratsioonifaili iseloomiseks külastage Firezone'i administraatori antud URL-i. Teie ettevõttel on selleks kordumatu URL; antud juhul on see https://instance-id.yourfirezone.com.
[Sisesta ekraanipilt]
Importige kaasas olev konfiguratsioonifail nmcli abil:
sudo nmcli ühenduse impordi tüüp wireguard fail /path/to/configuration.conf
Konfiguratsioonifaili nimi vastab WireGuardi ühendusele/liidesele. Pärast importimist saab ühenduse vajadusel ümber nimetada:
nmcli ühenduse muutmine [vana nimi] connect.id [uus nimi]
Ühendage VPN-iga käsurea kaudu järgmiselt:
nmcli ühendus üles [vpn nimi]
Ühenduse katkestamiseks tehke järgmist.
nmcli ühendus katkes [vpn nimi]
GUI kasutamisel saab ühenduse haldamiseks kasutada ka kohaldatavat võrguhalduri apletti.
Kui valite automaatse ühendamise valikuks "jah", saab VPN-ühenduse konfigureerida automaatselt ühendama:
nmcli ühendus muutke [vpn nimi] ühendust. <<<<<<<<<<<<<<<<<<<<<<
automaatne ühendamine jah
Automaatse ühenduse keelamiseks seadke see tagasi väärtusele ei:
nmcli ühendus muutke [vpn nimi] ühendust.
automaatne ühendus nr
MFA aktiveerimiseks Minge Firezone'i portaali /kasutajakonto/registreeri mfa lehele. Kasutage oma autentimisrakendust QR-koodi skannimiseks pärast selle genereerimist, seejärel sisestage kuuekohaline kood.
Kui olete autentimisrakenduse valesti paigutanud, võtke ühendust oma administraatoriga, et lähtestada oma konto juurdepääsuteave.
See õpetus juhendab teid Firezone'iga WireGuardi jagatud tunneldamise funktsiooni seadistamise protsessis, nii et VPN-serveri kaudu edastatakse liiklus ainult teatud IP-vahemikele.
IP-vahemikud, mille jaoks klient võrguliiklust suunab, on määratud lehel /settings/default väljal Lubatud IP-d. Sellel väljal tehtavad muudatused mõjutavad ainult Firezone'i loodud äsja loodud WireGuardi tunnelikonfiguratsioone.
[Sisesta ekraanipilt]
Vaikeväärtus on 0.0.0.0/0, ::/0, mis suunab kogu võrguliikluse kliendilt VPN-serverisse.
Selle välja väärtuste näited on järgmised:
0.0.0.0/0, ::/0 – kogu võrguliiklus suunatakse VPN-serverisse.
192.0.2.3/32 – VPN-serverisse suunatakse ainult liiklus ühele IP-aadressile.
3.5.140.0/22 – VPN-serverisse suunatakse ainult liiklus IP-dele vahemikus 3.5.140.1 – 3.5.143.254. Selles näites kasutati ap-northeast-2 AWS piirkonna CIDR-i vahemikku.
Firezone valib esmalt kõige täpsema marsruudiga seotud väljumisliidese, kui otsustab, kuhu pakett suunata.
Kasutajad peavad konfiguratsioonifailid uuesti looma ja lisama need oma algsele WireGuardi kliendile, et värskendada olemasolevaid kasutajaseadmeid uue jagatud tunneli konfiguratsiooniga.
Juhiseid vt lisage seade. <<<<<<<<<<< Lisa link
See juhend näitab, kuidas ühendada kaks seadet Firezone'i releena. Üks tüüpiline kasutusjuhtum on võimaldada administraatoril juurdepääs serverile, konteinerile või masinale, mis on kaitstud NAT-i või tulemüüriga.
See illustratsioon näitab lihtsat stsenaariumi, mille kohaselt seadmed A ja B ehitavad tunneli.
[Sisesta firezone'i arhitektuuripilt]
Alustage seadme A ja seadme B loomisega, liikudes aadressile /users/[kasutaja_id]/uus_seade. Iga seadme seadetes veenduge, et järgmised parameetrid on seatud allpool loetletud väärtustele. Seadme sätteid saate määrata seadme konfiguratsiooni loomisel (vt Lisa seadmed). Kui teil on vaja olemasoleva seadme sätteid värskendada, saate seda teha uue seadme konfiguratsiooni loomisega.
Pange tähele, et kõigil seadmetel on lehekülg /settings/defaults, kus saab konfigureerida funktsiooni PersistentKeepalive.
Lubatud IP-d = 10.3.2.2/32
See on seadme B IP või IP-de vahemik
PüsivKeepalive = 25
Kui seade on NAT-i taga, tagab see, et seade suudab tunnelit elus hoida ja jätkata pakettide vastuvõtmist WireGuardi liidesest. Tavaliselt piisab väärtusest 25, kuid sõltuvalt keskkonnast võib tekkida vajadus seda väärtust vähendada.
Lubatud IP-d = 10.3.2.3/32
See on seadme A IP või IP-de vahemik
PüsivKeepalive = 25
See näide näitab olukorda, kus seade A saab suhelda seadmetega B kuni D mõlemas suunas. See seadistus võib kujutada endast inseneri või administraatorit, kes pääseb juurde paljudele ressurssidele (serverid, konteinerid või masinad) erinevates võrkudes.
[Arhitektuurne skeem]<<<<<<<<<<<<<<<<<<<<<<<
Veenduge, et iga seadme seadetes on vastavatele väärtustele tehtud järgmised sätted. Seadme konfiguratsiooni loomisel saate määrata seadme sätted (vt Lisa seadmed). Kui olemasoleva seadme sätteid on vaja värskendada, saab luua uue seadme konfiguratsiooni.
Lubatud IP-d = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
See on seadmete B–D IP-aadress. Seadmete B–D IP-d peavad sisalduma teie valitud IP-vahemikus.
PüsivKeepalive = 25
See tagab, et seade suudab tunnelit säilitada ja jätkata pakettide vastuvõtmist WireGuardi liidesest isegi siis, kui see on kaitstud NAT-iga. Enamikul juhtudel on piisav väärtus 25, kuid olenevalt teie ümbrusest peate võib-olla seda arvu vähendama.
Firezone'i saab kasutada NAT-lüüsina, et pakkuda ühtse staatilise väljapääsu IP-aadressi kogu oma meeskonna liiklusele. Need olukorrad hõlmavad selle sagedast kasutamist:
Konsultatsioonitöö: taotlege, et teie klient lisataks lubatud loendisse üksainus staatiline IP-aadress, mitte iga töötaja kordumatu seadme IP-aadress.
Puhverserveri kasutamine või lähte-IP maskeerimine turvalisuse või privaatsuse eesmärgil.
Selles postituses näidatakse lihtsat näidet, kuidas piirata juurdepääsu isehostitavale veebirakendusele ühe valge nimekirja kantud staatilise IP-ga, kus töötab Firezone. Sellel joonisel asuvad Firezone ja kaitstud ressurss erinevates VPC piirkondades.
Seda lahendust kasutatakse sageli paljude lõppkasutajate IP valgete nimekirjade haldamise asemel, mis võib juurdepääsuloendi laienedes aeganõudev olla.
Meie eesmärk on seadistada EC2 eksemplaris Firezone'i server, et suunata VPN-liiklus piiratud ressurssi. Sel juhul toimib Firezone võrgupuhverserverina või NAT-lüüsina, et anda igale ühendatud seadmele ainulaadne avaliku väljapääsu IP.
Sel juhul on EC2 eksemplarile nimega tc2.micro installitud Firezone'i eksemplar. Firezone'i juurutamise kohta teabe saamiseks vaadake juurutamisjuhendit. Seoses AWS-iga tehke järgmist.
Firezone EC2 eksemplari turberühm lubab väljaminevat liiklust kaitstud ressursi IP-aadressile.
Firezone'i eksemplaril on elastne IP. Firezone'i eksemplari kaudu välistesse sihtkohtadesse edastatud liiklusel on see lähte-IP-aadress. Kõnealune IP-aadress on 52.202.88.54.
[Sisesta ekraanipilt]<<<<<<<<<<<<<<<<<<<<<<<<
Sel juhul on kaitstud ressursina isehostitav veebirakendus. Veebirakendusele pääseb juurde ainult päringutega, mis tulevad IP-aadressilt 52.202.88.54. Olenevalt ressursist võib olla vajalik lubada sissetulevat liiklust erinevates sadamates ja liiklustüüpides. Selles juhendis seda ei käsitleta.
[Sisesta ekraanipilt]<<<<<<<<<<<<<<<<<<<<<<<<
Öelge kaitstud ressursi eest vastutavale kolmandale osapoolele, et 1. sammus määratletud staatilisest IP-st pärit liiklus peab olema lubatud (antud juhul 52.202.88.54).
Vaikimisi läbib kogu kasutajaliiklus VPN-serverit ja pärineb staatilisest IP-st, mis konfigureeriti sammus 1 (antud juhul 52.202.88.54). Kui aga poolitatud tunneldamine on lubatud, võivad olla vajalikud seadistused tagamaks, et kaitstud ressursi sihtkoha IP on lubatud IP-de hulgas loetletud.
Allpool on täielik loend saadaolevatest konfiguratsioonivalikutest /etc/firezone/firezone.rb.
valik | kirjeldus | vaikeväärtus |
vaikimisi ['firezone']['external_url'] | URL, mida kasutatakse selle Firezone'i eksemplari veebiportaalile juurdepääsuks. | “https://#{node['fqdn'] || node['hostinimi']}” |
vaikimisi ['firezone']['config_directory'] | Firezone'i konfiguratsiooni tipptaseme kataloog. | /etc/firezone' |
vaikimisi ['firezone']['install_directory'] | Tipptasemel kataloog Firezone'i installimiseks. | /opt/firezone' |
vaikimisi ['firezone']['app_directory'] | Tipptasemel kataloog Firezone'i veebirakenduse installimiseks. | "#{node['firezone']['install_directory']}/embedded/service/firezone" |
vaikimisi ['firezone']['log_directory'] | Firezone'i logide tipptasemel kataloog. | /var/log/firezone' |
vaikimisi ['firezone']['var_directory'] | Firezone'i käitusaja failide tipptasemel kataloog. | /var/opt/firezone' |
vaike['firezone']['kasutaja'] | Privilegeeritud Linuxi kasutaja nimi, kellele enamik teenuseid ja faile kuuluvad. | firezone' |
vaikimisi ['firezone']['group'] | Linuxi grupi nimi, kuhu enamik teenuseid ja faile kuulub. | firezone' |
vaikimisi ['firezone']['admin_email'] | Esimese Firezone kasutaja e-posti aadress. | "firezone@localhost" |
vaikimisi ['firezone']['max_devices_per_user'] | Maksimaalne seadmete arv, mis kasutajal võib olla. | 10 |
default['firezone']['allow_unprivileged_device_management'] | Võimaldab mitteadministraatoritel seadmeid luua ja kustutada. | TRUE |
default['firezone']['allow_unprivileged_device_configuration'] | Võimaldab administraatorita kasutajatel seadme konfiguratsioone muuta. Kui see on keelatud, ei lase privilegeeritud kasutajatel muuta kõiki seadmevälju, välja arvatud nimi ja kirjeldus. | TRUE |
vaikimisi ['firezone']['egress_interface'] | Liidese nimi, kust tunnelitud liiklus väljub. Kui see on null, kasutatakse marsruudi vaikeliidest. | null |
vaikimisi ['firezone']['fips_enabled'] | OpenSSL FIP-i režiimi lubamine või keelamine. | null |
vaike['firezone']['logimine']['lubatud'] | Firezone'i logimise lubamine või keelamine. Logimise täielikuks keelamiseks määrake väärtusele Väär. | TRUE |
vaikimisi['ettevõte']['nimi'] | Peakoka kokaraamatus "ettevõte" kasutatud nimi. | firezone' |
vaikimisi ['firezone']['install_path'] | Installige Chef ettevõtte kokaraamatu kasutatav tee. Peaks olema sama, mis ülaltoodud install_kataloogis. | node['firezone']['install_directory'] |
vaikimisi ['firezone']['sysvinit_id'] | Identifikaator, mida kasutatakse failis /etc/inittab. Peab olema kordumatu 1–4 märgist koosnev jada. | SUP' |
vaikimisi['firezone']['autentimine']['kohalik']['lubatud'] | Kohaliku meili/parooli autentimise lubamine või keelamine. | TRUE |
vaikimisi['firezone']['autentimine']['auto_create_oidc_users'] | Looge OIDC-st esimest korda sisse logivad kasutajad automaatselt. Keela, et lubada ainult olemasolevatel kasutajatel OIDC kaudu sisse logida. | TRUE |
vaikimisi['firezone']['autentimine']['disable_vpn_on_oidc_error'] | Kui OIDC märgi värskendamisel tuvastatakse viga, keelake kasutaja VPN. | FALSE |
vaike['firezone']['autentimine']['oidc'] | OpenID Connecti konfiguratsioon vormingus {"provider" => [config…]} – vt OpenIDConnecti dokumentatsioon konfiguratsiooninäidete jaoks. | {} |
vaikimisi ['firezone']['nginx']['enabled'] | Lubage või keelake komplekteeritud nginxi server. | TRUE |
vaikimisi ['firezone']['nginx']['ssl_port'] | HTTPS-i kuulamisport. | 443 |
vaikimisi ['firezone']['nginx']['kataloog'] | Kataloog Firezone'iga seotud nginxi virtuaalse hosti konfiguratsiooni salvestamiseks. | "#{node['firezone']['var_directory']}/nginx/etc" |
vaikimisi ['firezone']['nginx']['log_directory'] | Firezone'iga seotud nginxi logifailide salvestamise kataloog. | "#{node['firezone']['log_directory']}/nginx" |
vaikimisi ['firezone']['nginx']['log_rotation']['file_maxbytes'] | Faili suurus, mille juures Nginxi logifaile pöörata. | 104857600 |
vaikimisi ['firezone']['nginx']['log_rotation']['num_to_keep'] | Firezone'i nginxi logifailide arv, mida enne äraviskamist säilitada. | 10 |
vaikimisi ['firezone']['nginx']['log_x_forwarded_for'] | Kas logida Firezone nginx x-forwarded-for päis. | TRUE |
vaikimisi ['firezone']['nginx']['hsts_header']['enabled'] | TRUE | |
vaikimisi ['firezone']['nginx']['hsts_header']['include_subdomains'] | Lubage või keelake HSTS-i päise includeSubDomains. | TRUE |
vaikimisi ['firezone']['nginx']['hsts_header']['max_age'] | HSTS-i päise maksimaalne vanus. | 31536000 |
vaike['firezone']['nginx']['redirect_to_canonical'] | Kas suunata URL-id ümber ülal määratud kanoonilisse FQDN-i | FALSE |
vaike['firezone']['nginx']['vahemälu']['lubatud'] | Firezone nginxi vahemälu lubamine või keelamine. | FALSE |
vaikimisi ['firezone']['nginx']['vahemälu']['kataloog'] | Firezone nginxi vahemälu kataloog. | "#{node['firezone']['var_directory']}/nginx/cache" |
vaikimisi ['firezone']['nginx']['kasutaja'] | Firezone nginxi kasutaja. | node['firezone']['kasutaja'] |
vaikimisi ['firezone']['nginx']['grupp'] | Firezone nginxi rühm. | node['firezone']['group'] |
vaikimisi ['firezone']['nginx']['kataloog] | Tipptasemel nginxi konfiguratsioonikataloog. | node['firezone']['nginx']['kataloog'] |
vaikimisi ['firezone']['nginx']['log_dir'] | Tipptasemel nginxi logikataloog. | node['firezone']['nginx']['log_directory'] |
vaikimisi ['firezone']['nginx']['pid'] | Nginx pid-faili asukoht. | "#{node['firezone']['nginx']['kataloog']}/nginx.pid" |
vaikimisi ['firezone']['nginx']['daemon_disable'] | Keelake nginxi deemoni režiim, et saaksime seda jälgida. | TRUE |
vaikimisi ['firezone']['nginx']['gzip'] | Lülitage nginxi gzip-tihendamine sisse või välja. | peal' |
vaikimisi ['firezone']['nginx']['gzip_static'] | Lülitage staatiliste failide jaoks sisse või välja nginx gzip-tihendamine. | väljas' |
vaikimisi ['firezone']['nginx']['gzip_http_version'] | Staatiliste failide teenindamiseks kasutatav HTTP-versioon. | 1.0 " |
vaikimisi ['firezone']['nginx']['gzip_comp_level'] | nginx gzip tihendamise tase. | 2 " |
vaikimisi ['firezone']['nginx']['gzip_proxyed'] | Lubab või keelab puhverserveri taotluste vastuste gzipimise, olenevalt päringust ja vastusest. | ükskõik' |
vaikimisi ['firezone']['nginx']['gzip_vary'] | Lubab või keelab vastuse päise „Vary: Accept-Encoding” sisestamise. | väljas' |
vaikimisi ['firezone']['nginx']['gzip_buffers'] | Määrab vastuse tihendamiseks kasutatavate puhvrite arvu ja suuruse. Kui see on null, kasutatakse vaikimisi nginxi. | null |
vaikimisi ['firezone']['nginx']['gzip_types'] | MIME tüübid gzip-tihendamise lubamiseks. | ["text/plain", "text/css", "rakendus/x-javascript", "text/xml", "rakendus/xml", "rakendus/rss+xml", "rakendus/atom+xml", " text/javascript', 'application/javascript', 'application/json'] |
vaikimisi ['firezone']['nginx']['gzip_min_length'] | Minimaalne failipikkus faili gzip-tihendamise lubamiseks. | 1000 |
vaikimisi ['firezone']['nginx']['gzip_disable'] | Kasutajaagendi sobitaja gzipi tihendamise keelamiseks. | MSIE [1-6]\.' |
vaikimisi ['firezone']['nginx']['keepalive'] | Aktiveerib vahemälu ülesvoolu serveritega ühenduse loomiseks. | peal' |
vaikimisi ['firezone']['nginx']['keepalive_timeout'] | Aegumine sekundites ülesvoolu serveritega ühenduse säilitamiseks. | 65 |
vaikimisi ['firezone']['nginx']['worker_processes'] | Nginxi töötaja protsesside arv. | node['cpu'] && node['cpu']['kokku'] ? node['cpu']['kokku'] : 1 |
vaikimisi ['firezone']['nginx']['worker_connections'] | Maksimaalne samaaegsete ühenduste arv, mida töötaja protsess saab avada. | 1024 |
vaikimisi ['firezone']['nginx']['worker_rlimit_nofile'] | Muudab tööprotsesside jaoks avatud failide maksimaalse arvu piirangut. Kasutab nginxi vaikeseadet, kui see on null. | null |
vaikimisi ['firezone']['nginx']['multi_accept'] | Kas töötajad peaksid aktsepteerima ühte ühendust korraga või mitut. | TRUE |
vaikimisi ['firezone']['nginx']['sündmus'] | Määrab ühenduse töötlemise meetodi, mida kasutatakse nginxi sündmuste kontekstis. | epoll' |
vaikimisi ['firezone']['nginx']['server_tokens'] | Lubab või keelab nginxi versiooni väljastamise vealehtedel ja vastuse päise väljal „Server”. | null |
vaikimisi ['firezone']['nginx']['serveri_nimed_hash_bucket_size'] | Määrab serverinimede räsitabelite ämbri suuruse. | 64 |
vaikimisi ['firezone']['nginx']['sendfile'] | Lubab või keelab nginxi sendfile() kasutamise. | peal' |
vaikimisi ['firezone']['nginx']['access_log_options'] | Määrab nginxi juurdepääsulogi valikud. | null |
vaikimisi ['firezone']['nginx']['error_log_options'] | Määrab nginxi vealogi suvandid. | null |
vaikimisi ['firezone']['nginx']['disable_access_log'] | Keelab nginxi juurdepääsulogi. | FALSE |
vaikimisi ['firezone']['nginx']['types_hash_max_size'] | nginxi tüüpi räsi maksimaalne suurus. | 2048 |
vaikimisi ['firezone']['nginx']['types_hash_bucket_size'] | nginx tüüpi räsiämbri suurus. | 64 |
vaike['firezone']['nginx']['proxy_read_timeout'] | nginxi puhverserveri lugemise ajalõpp. Määrake nulliks, et kasutada nginxi vaikeseadet. | null |
vaikimisi ['firezone']['nginx']['client_body_buffer_size'] | nginxi kliendi kehapuhvri suurus. Määrake nulliks, et kasutada nginxi vaikeseadet. | null |
vaikimisi ['firezone']['nginx']['client_max_body_size'] | nginxi kliendi maksimaalne keha suurus. | 250 m |
vaike['firezone']['nginx']['default']['moodulid'] | Määrake täiendavad nginxi moodulid. | [] |
vaikimisi ['firezone']['nginx']['enable_rate_limiting'] | Lubage või keelake nginxi kiiruse piiramine. | TRUE |
vaikimisi ['firezone']['nginx']['rate_limiting_zone_name'] | Nginxi kiirust piirava tsooni nimi. | firezone' |
vaikimisi ['firezone']['nginx']['rate_limiting_backoff'] | Nginxi kiirust piirav tagasiminek. | 10 m |
vaikimisi ['firezone']['nginx']['rate_limit'] | Nginxi kiiruse piirang. | 10r/s' |
vaikimisi ['firezone']['nginx']['ipv6'] | Lubage nginxil kuulata lisaks IPv6-le ka IPv4 HTTP-päringuid. | TRUE |
vaikimisi ['firezone']['postgresql']['enabled'] | Lubage või keelake komplekteeritud Postgresql. Määrake väärtuseks Väär ja täitke allolevad andmebaasi suvandid, et kasutada oma Postgresql-i eksemplari. | TRUE |
vaikimisi ['firezone']['postgresql']['kasutajanimi'] | Postgresqli kasutajanimi. | node['firezone']['kasutaja'] |
vaikimisi ['firezone']['postgresql']['data_directory'] | Postgresql andmekataloog. | "#{node['firezone']['var_directory']}/postgresql/13.3/data" |
vaikimisi ['firezone']['postgresql']['log_directory'] | Postgresql logikataloog. | "#{node['firezone']['log_directory']}/postgresql" |
vaikimisi ['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql logifaili maksimaalne suurus enne selle pööramist. | 104857600 |
vaikimisi ['firezone']['postgresql']['log_rotation']['num_to_keep'] | Säilitatavate Postgresqli logifailide arv. | 10 |
vaikimisi ['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql kontrollpunkti lõpetamise sihtmärk. | 0.5 |
vaikimisi ['firezone']['postgresql']['checkpoint_segments'] | Postgresql kontrollpunkti segmentide arv. | 3 |
vaikimisi ['firezone']['postgresql']['checkpoint_timeout'] | Postgresql kontrollpunkti ajalõpp. | 5 min' |
vaikimisi ['firezone']['postgresql']['checkpoint_warning'] | Postgresql kontrollpunkti hoiatusaeg sekundites. | 30ndad |
vaikimisi ['firezone']['postgresql']['effective_cache_size'] | Postgresqli efektiivne vahemälu suurus. | 128 MB" |
vaikimisi ['firezone']['postgresql']['listen_address'] | Postgresql kuulamisaadress. | 127.0.0.1 " |
vaikimisi ['firezone']['postgresql']['max_connections'] | Postgresql max ühendused. | 350 |
vaikimisi ['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR-id, et võimaldada md5 autentimist. | ['127.0.0.1/32', '::1/128'] |
vaikimisi ['firezone']['postgresql']['port'] | Postgresql kuulamisport. | 15432 |
vaikimisi ['firezone']['postgresql']['shared_buffers'] | Postgresql jagatud puhvrite suurus. | "#{(node['mälu']['kokku'].to_i / 4) / 1024}MB" |
vaikimisi ['firezone']['postgresql']['shmmax'] | Postgresql shmmax baitides. | 17179869184 |
vaikimisi ['firezone']['postgresql']['shmal'] | Postgresql shmall baitides. | 4194304 |
vaikimisi ['firezone']['postgresql']['work_mem'] | Postgresqli töömälu suurus. | 8 MB" |
vaike['firezone']['andmebaas']['kasutaja'] | Määrab kasutajanime, mida Firezone kasutab andmebaasiga ühenduse loomiseks. | node['firezone']['postgresql']['kasutajanimi'] |
vaikimisi['firezone']['andmebaas']['password'] | Kui kasutate välist andmebaasi, määrab parooli, mida Firezone kasutab andmebaasiga ühenduse loomiseks. | muuda mind' |
vaike['firezone']['andmebaas']['nimi'] | Andmebaas, mida Firezone kasutab. Luuakse, kui seda pole olemas. | firezone' |
vaike['firezone']['andmebaas']['host'] | Andmebaasi host, millega Firezone ühenduse loob. | node['firezone']['postgresql']['kuulamisaadress'] |
vaike['firezone']['andmebaas']['port'] | Andmebaasi port, millega Firezone ühenduse loob. | node['firezone']['postgresql']['port'] |
vaikimisi['firezone']['andmebaas']['pool'] | Andmebaasi kogumi suurus, mida Firezone kasutab. | [10, Etc.nprocessors].max |
vaikimisi ['firezone']['andmebaas']['ssl'] | Kas luua ühendus andmebaasiga SSL-i kaudu. | FALSE |
vaikimisi['firezone']['andmebaas']['ssl_opts'] | {} | |
vaike['firezone']['andmebaas']['parameetrid'] | {} | |
vaike['firezone']['andmebaas']['laiendused'] | Andmebaasi laiendused lubamiseks. | { 'plpgsql' => tõsi, 'pg_trgm' => tõsi } |
vaikimisi ['firezone']['phoenix']['enabled'] | Firezone'i veebirakenduse lubamine või keelamine. | TRUE |
vaikimisi ['firezone']['phoenix']['listen_address'] | Firezone'i veebirakenduse kuulamisaadress. See on ülesvoolu kuulamisaadress, mida nginx kasutab. | 127.0.0.1 " |
vaikimisi ['firezone']['phoenix']['port'] | Firezone'i veebirakenduse kuulamisport. See on ülesvoolu port, mida nginx puhverservereid kasutab. | 13000 |
vaikimisi ['firezone']['phoenix']['log_directory'] | Firezone'i veebirakenduste logikataloog. | "#{node['firezone']['log_directory']}/phoenix" |
vaikimisi ['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone'i veebirakenduse logifaili suurus. | 104857600 |
vaikimisi ['firezone']['phoenix']['log_rotation']['num_to_keep'] | Firezone'i veebirakenduste logifailide arv, mida säilitada. | 10 |
vaikimisi['firezone']['phoenix']['crash_detection']['enabled'] | Lubage või keelake Firezone'i veebirakenduse allatoomine krahhi tuvastamisel. | TRUE |
vaikimisi ['firezone']['phoenix']['external_trusted_proxies'] | Usaldusväärsete pöördpuhverserverite loend, mis on vormindatud IP-de ja/või CIDR-ide massiivina. | [] |
vaikimisi ['firezone']['phoenix']['private_clients'] | Privaatvõrgu HTTP-klientide loend, vormindatud IP-de ja/või CIDR-ide massiivina. | [] |
vaikimisi ['firezone']['wireguard']['enabled'] | WireGuardi komplekteeritud halduse lubamine või keelamine. | TRUE |
vaikimisi ['firezone']['wireguard']['log_directory'] | Logikataloog WireGuardi komplekteeritud haldamiseks. | "#{node['firezone']['log_directory']}/wireguard" |
vaikimisi ['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuardi logifaili maksimaalne suurus. | 104857600 |
vaikimisi['firezone']['wireguard']['log_rotation']['num_to_keep'] | Säilitatavate WireGuardi logifailide arv. | 10 |
vaikimisi ['firezone']['wireguard']['liidese_nimi'] | WireGuardi liidese nimi. Selle parameetri muutmine võib põhjustada ajutise VPN-ühenduse katkemise. | wg-firezone' |
vaikimisi ['firezone']['wireguard']['port'] | WireGuardi kuulamisport. | 51820 |
vaikimisi ['firezone']['wireguard']['mtu'] | WireGuard liides MTU selle serveri ja seadme konfiguratsioonide jaoks. | 1280 |
vaikimisi ['firezone']['wireguard']['endpoint'] | WireGuardi lõpp-punkt, mida kasutatakse seadme konfiguratsioonide loomiseks. Kui see on null, siis vaikimisi kasutatakse serveri avalikku IP-aadressi. | null |
vaikimisi ['firezone']['wireguard']['dns'] | WireGuard DNS, mida kasutatakse loodud seadme konfiguratsioonide jaoks. | 1.1.1.1, 1.0.0.1′ |
vaikimisi['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIP-sid, mida kasutatakse loodud seadme konfiguratsioonide jaoks. | 0.0.0.0/0, ::/0′ |
vaikimisi ['firezone']['wireguard']['persistent_keepalive'] | Loodud seadme konfiguratsioonide jaoks vaikesäte PersistentKeepalive. Väärtus 0 keelab. | 0 |
vaikimisi ['firezone']['wireguard']['ipv4']['enabled'] | Lubage või keelake IPv4 WireGuardi võrgu jaoks. | TRUE |
vaikimisi ['firezone']['wireguard']['ipv4']['masquerade'] | Lubage või keelake IPv4 tunnelist väljuvate pakettide maskeering. | TRUE |
vaikimisi ['firezone']['wireguard']['ipv4']['võrk'] | WireGuard võrgu IPv4 aadressikogum. | 10.3.2.0/24 ′ |
vaike['firezone']['wireguard']['ipv4']['aadress'] | WireGuard liidese IPv4 aadress. Peab olema WireGuardi aadressikogumis. | 10.3.2.1 " |
vaikimisi ['firezone']['wireguard']['ipv6']['enabled'] | Lubage või keelake IPv6 WireGuardi võrgu jaoks. | TRUE |
vaikimisi ['firezone']['wireguard']['ipv6']['masquerade'] | Lubage või keelake IPv6 tunnelist väljuvate pakettide maskeering. | TRUE |
vaikimisi ['firezone']['wireguard']['ipv6']['võrk'] | WireGuard võrgu IPv6 aadressikogum. | fd00::3:2:0/120′ |
vaike['firezone']['wireguard']['ipv6']['aadress'] | WireGuard liidese IPv6 aadress. Peab olema IPv6 aadressikogumis. | fd00::3:2:1′ |
vaikimisi ['firezone']['runit']['svlogd_bin'] | Käivitage svlogd prügikasti asukoht. | "#{node['firezone']['install_directory']}/embedded/bin/svlogd" |
vaikimisi ['firezone']['ssl']['kataloog'] | SSL-kataloog loodud sertifikaatide salvestamiseks. | /var/opt/firezone/ssl' |
vaikimisi ['firezone']['ssl']['email_address'] | Iseallkirjastatud sertifikaatide ja ACME protokolli uuendamise teatiste jaoks kasutatav e-posti aadress. | sina@example.com' |
vaikimisi ['firezone']['ssl']['acme']['enabled'] | Lubage ACME automaatseks SSL-sertifikaadi ettevalmistamiseks. Keela see, et takistada Nginxil pordis 80 kuulamist. Vt siin rohkem juhiseid. | FALSE |
vaikimisi ['firezone']['ssl']['acme']['server'] | laseb krüptida | |
vaikimisi ['firezone']['ssl']['acme']['keylength'] | Ec-256 | |
vaike['firezone']['ssl']['sertifikaat'] | Teie FQDN-i sertifikaadifaili tee. Alistab ülaltoodud ACME sätte, kui see on määratud. Kui nii ACME kui ka see on null, luuakse iseallkirjastatud sertifikaat. | null |
vaikimisi ['firezone']['ssl']['certificate_key'] | Sertifikaadi faili tee. | null |
vaikimisi ['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | null |
vaikimisi ['firezone']['ssl']['country_name'] | Iseallkirjastatud sertifikaadi riigi nimi. | USA |
vaikimisi ['firezone']['ssl']['state_name'] | Iseallkirjastatud sertifikaadi osariigi nimi. | CA ' |
vaikimisi ['firezone']['ssl']['locality_name'] | Iseallkirjastatud sertifikaadi asukoha nimi. | San Francisco' |
vaikimisi ['firezone']['ssl']['ettevõtte_nimi'] | Ettevõtte nime ise allkirjastatud sertifikaat. | Minu kompanii' |
vaikimisi ['firezone']['ssl']['organisatsiooni_üksuse_nimi'] | Organisatsiooniüksuse nimi iseallkirjastatud sertifikaadi jaoks. | operatsioonid |
vaikimisi ['firezone']['ssl']['šifrid'] | SSL-i šifrid nginxi jaoks kasutamiseks. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
vaikimisi ['firezone']['ssl']['fips_ciphers'] | SSL-šifrid FIP-režiimi jaoks. | FIPS@TUGUS:!aNULL:!eNULL' |
vaikimisi ['firezone']['ssl']['protocols'] | Kasutatavad TLS-protokollid. | TLSv1 TLSv1.1 TLSv1.2′ |
vaikimisi ['firezone']['ssl']['session_cache'] | SSL-i seansi vahemälu. | jagatud:SSL:4m' |
vaikimisi ['firezone']['ssl']['session_timeout'] | SSL-i seansi ajalõpp. | 5 m |
vaikimisi ['firezone']['robots_allow'] | nginxi robotid lubavad. | /' |
vaikimisi ['firezone']['robots_disallow'] | nginx robotid ei luba. | null |
vaike['firezone']['outbound_email']['from'] | Väljaminev meil aadressilt. | null |
vaikimisi['firezone']['outbound_email']['provider'] | Väljamineva meiliteenuse pakkuja. | null |
vaikimisi ['firezone']['outbound_email']['configs'] | Väljamineva meiliteenuse pakkuja konfiguratsioonid. | vt omnibus/cookbooks/firezone/attributes/default.rb |
vaike['firezone']['telemeetria']['lubatud'] | Lubage või keelake toote anonüümne telemeetria. | TRUE |
vaikimisi ['firezone']['connectivity_checks']['enabled'] | Firezone'i ühenduvuse kontrollimise teenuse lubamine või keelamine. | TRUE |
vaikimisi ['firezone']['connectivity_checks']['interval'] | Ühenduvuskontrollide vaheline intervall sekundites. | 3_600 |
________________________________________________________________
Siit leiate tüüpilise Firezone'i installiga seotud failide ja kataloogide loendi. Need võivad muutuda sõltuvalt teie konfiguratsioonifailis tehtud muudatustest.
tee | kirjeldus |
/var/opt/firezone | Tipptasemel kataloog, mis sisaldab Firezone'i komplektteenuste andmeid ja loodud konfiguratsiooni. |
/opt/firezone | Tipptasemel kataloog, mis sisaldab Firezone'i jaoks vajalikke ehitatud teeke, binaarfaile ja käitusfaile. |
/usr/bin/firezone-ctl | Firezone-ctl utiliit Firezone'i installi haldamiseks. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd unit fail Firezone runsvdir järelevalveprotsessi käivitamiseks. |
/etc/firezone | Firezone'i konfiguratsioonifailid. |
__________________________________________________________
See leht oli dokumentides tühi
_____________________________________________________________
Firezone'i töötava serveri kaitsmiseks saab kasutada järgmist nftablesi tulemüüri malli. Mall teeb mõned eeldused; peate võib-olla kohandama reegleid vastavalt oma kasutusjuhtumile:
Firezone konfigureerib oma nftables-reeglid, et lubada/keelduda liiklust veebiliideses konfigureeritud sihtkohtadesse ja käsitleda kliendiliikluse väljaminevat NAT-i.
Alloleva tulemüürimalli rakendamine juba töötavale serverile (mitte alglaadimise ajal) toob kaasa Firezone'i reeglite kustutamise. Sellel võib olla tagajärjed turvalisusele.
Selle lahendamiseks taaskäivitage phoenixi teenus:
firezone-ctl taaskäivitage phoenix
#!/usr/sbin/nft -f
## Tühjenda / loputage kõik olemasolevad reeglid
loputusreeglid
############################### MUUTUJAD ################# ################
## Interneti/WAN-liidese nimi
määrake DEV_WAN = eth0
## WireGuardi liidese nimi
defineerige DEV_WIREGUARD = wg-firezone
## WireGuardi kuulamisport
määrake WIREGUARD_PORT = 51820
############################# MUUTUJATE LÕPP ################## ############
# Peamine ineti perekonna filtreerimistabel
tabeli inet filter {
# Edastatud liikluse reeglid
# Seda ahelat töödeldakse enne Firezone'i edasiliikumist
kett edasi {
tüüpi filter konks ettepoole prioriteediga filter – 5; poliitika aktsepteerima
}
# Sisendliikluse reeglid
ahelsisend {
tüüp filter konks sisendprioriteediga filter; poliitika langus
## Luba sissetulev liiklus tagasisilmusliidesele
kui jah \
aktsepteeri \
kommentaar "Luba kogu liiklus tagasisilmusliidesest"
## Luba loodud ja seotud ühendused
ct olek asutatud, seotud \
aktsepteeri \
kommentaar "Luba loodud/seotud ühendused"
## Luba sissetulev WireGuardi liiklus
iif $DEV_WAN udp dport $WIREGUARD_PORT \
loendur \
aktsepteeri \
kommentaar "Luba sissetulev WireGuardi liiklus"
## Logige sisse ja kukutage uued TCP mitte-SYN-i paketid
tcp lipud != syn ct state new \
piirmäär 100/minuti pauk 150 paketid \
logi eesliide “IN – uus !SYN: “ \
kommentaar "Uute ühenduste kiiruspiirangu logimine, millel pole SYN TCP lippu seatud"
tcp lipud != syn ct state new \
loendur \
tilk \
kommentaar "Katkesta uued ühendused, millel pole SYN TCP lippu seatud"
## Logige sisse ja kukutage kehtetu fin/syn lipuga määratud TCP-pakette
tcp lipud & (fin|syn) == (fin|syn) \
piirmäär 100/minuti pauk 150 paketid \
logi eesliide "IN – TCP FIN | SIN: " \
kommentaar „Kinnipiirangu logimine TCP-pakettidele, mille fin/syn lipp on määratud”
tcp lipud & (fin|syn) == (fin|syn) \
loendur \
tilk \
kommentaar "Drop TCP paketid kehtetu fin/syn lipuga"
## Logige ja kukutage TCP-paketid kehtetu syn/esimese lipuga
tcp lipud & (syn|rst) == (syn|rst) \
piirmäär 100/minuti pauk 150 paketid \
logi eesliide "IN – TCP SYN|RST:" \
kommentaar "Kinnipiirangu logimine TCP-pakettidele, mille sünkroniseerimine/esimene lipp on määratud"
tcp lipud & (syn|rst) == (syn|rst) \
loendur \
tilk \
kommentaar "Drop TCP paketid kehtetu syn/esimese lipuga"
## Logige sisse ja kukutage kehtetud TCP lipud
tcp lipud & (fin|syn|rst|psh|ack|urg) < (fin) \
piirmäär 100/minuti pauk 150 paketid \
logi eesliide "IN – FIN:" \
kommentaar "Kindlate piirangute logimine kehtetute TCP-lippude jaoks (fin|syn|rst|psh|ack|urg) < (fin)"
tcp lipud & (fin|syn|rst|psh|ack|urg) < (fin) \
loendur \
tilk \
kommentaar "TCP-pakettide kukutamine lippudega (fin|syn|rst|psh|ack|urg) < (fin)"
## Logige sisse ja kukutage kehtetud TCP lipud
tcp lipud & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
piirmäär 100/minuti pauk 150 paketid \
logi eesliide "IN – FIN|PSH|URG:" \
kommentaar "Kindlate piirangute logimine kehtetute TCP-lippude jaoks (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp lipud & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
loendur \
tilk \
kommentaar "TCP-pakettide kukutamine lippudega (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Katkesta liiklus kehtetu ühenduse olekuga
ct olek vigane \
piirmäär 100/minuti pauk 150 paketid \
logi lipud kõik prefiksid "IN – Kehtetu: " \
kommentaar „Kerge ühenduse olekuga liikluse hinnapiirangu logimine”
ct olek vigane \
loendur \
tilk \
kommentaar "Katkesta liiklust kehtetu ühenduse olekuga"
## Lubage IPv4 ping/ping vastuseid, kuid kiiruspiirang 2000 PPS
ip protokoll icmp icmp tüüp { echo-reply, echo-request } \
piirmäär 2000/sekund \
loendur \
aktsepteeri \
kommentaar "Luba sissetulev IPv4 kaja (ping) piiratud kiirusega 2000 PPS"
## Luba kõik muud sissetulevad IPv4 ICMP-d
ip protokoll icmp \
loendur \
aktsepteeri \
kommentaar "Luba kõik muud IPv4 ICMP"
## Lubage IPv6 ping/ping vastuseid, kuid kiiruspiirang 2000 PPS
icmpv6 tüüp { echo-reply, echo-request } \
piirmäär 2000/sekund \
loendur \
aktsepteeri \
kommentaar "Luba sissetulev IPv6 kaja (ping) piiratud kiirusega 2000 PPS"
## Luba kõik muud sissetulevad IPv6 ICMP-d
meta l4proto { icmpv6 } \
loendur \
aktsepteeri \
kommentaar "Luba kõik muud IPv6 ICMP"
## Lubage sissetulevad traceroute UDP-pordid, kuid piirake 500 PPS-i
udp dport 33434-33524 \
piirmäär 500/sekund \
loendur \
aktsepteeri \
kommentaar "Luba sissetulev UDP traceroute kuni 500 PPS"
## Luba sissetulev SSH
tcp dport ssh ct olek uus \
loendur \
aktsepteeri \
kommentaar "Luba sissetulevad SSH-ühendused"
## Luba sissetulev HTTP ja HTTPS
tcp dport { http, https } ct olek uus \
loendur \
aktsepteeri \
kommentaar "Luba sissetulevad HTTP- ja HTTPS-ühendused"
## Logige kokku sobimatu liiklus, kuid logimise kiirus piirab maksimaalselt 60 sõnumit minutis
## Vaikepoliitikat rakendatakse sobimatule liiklusele
piirmäär 60/minuti pauk 100 paketid \
logi eesliide "IN – Drop:" \
kommentaar „Logi kõik tasakaalustamata liiklus”
## Loendage võrreldamatut liiklust
loendur \
kommentaar „Loendage võrreldamatut liiklust”
}
# Väljundliikluse reeglid
ahelväljund {
tüüp filter konks väljundi prioriteetfilter; poliitika langus
## Luba väljaminev liiklus tagasisilmusliidesele
oh oh \
aktsepteeri \
kommentaar „Luba kogu liiklus tagasisilmusliidesele”
## Luba loodud ja seotud ühendused
ct olek asutatud, seotud \
loendur \
aktsepteeri \
kommentaar "Luba loodud/seotud ühendused"
## Lubage väljaminev WireGuardi liiklus enne halva olekuga ühenduste katkestamist
oif $DEV_WAN udp sport $WIREGUARD_PORT \
loendur \
aktsepteeri \
kommentaar "Luba WireGuardi väljaminev liiklus"
## Katkesta liiklus kehtetu ühenduse olekuga
ct olek vigane \
piirmäär 100/minuti pauk 150 paketid \
logi lipud kõik prefiksid "OUT – Invalid:" \
kommentaar „Kerge ühenduse olekuga liikluse hinnapiirangu logimine”
ct olek vigane \
loendur \
tilk \
kommentaar "Katkesta liiklust kehtetu ühenduse olekuga"
## Luba kõik muud väljaminevad IPv4 ICMP-d
ip protokoll icmp \
loendur \
aktsepteeri \
kommentaar "Luba kõik IPv4 ICMP tüübid"
## Luba kõik muud väljaminevad IPv6 ICMP-d
meta l4proto { icmpv6 } \
loendur \
aktsepteeri \
kommentaar "Luba kõik IPv6 ICMP tüübid"
## Lubage väljamineva traceroute UDP-pordid, kuid piirake 500 PPS-i
udp dport 33434-33524 \
piirmäär 500/sekund \
loendur \
aktsepteeri \
kommentaar "Luba väljaminev UDP jälgimisrada piiratud 500 PPS-ga"
## Lubage väljaminevad HTTP- ja HTTPS-ühendused
tcp dport { http, https } ct olek uus \
loendur \
aktsepteeri \
kommentaar "Luba väljaminevad HTTP- ja HTTPS-ühendused"
## Luba väljaminev SMTP esitamine
tcp dport esitamise ct olek uus \
loendur \
aktsepteeri \
kommentaar „Luba väljaminev SMTP esitamine”
## Luba väljaminevaid DNS-päringuid
udp dport 53 \
loendur \
aktsepteeri \
kommentaar "Luba väljaminevad UDP DNS-i päringud"
tcp dport 53 \
loendur \
aktsepteeri \
kommentaar "Luba väljaminevad TCP DNS-i päringud"
## Luba väljaminevaid NTP-päringuid
udp dport 123 \
loendur \
aktsepteeri \
kommentaar "Luba väljaminevad NTP-päringud"
## Logige kokku sobimatu liiklus, kuid logimise kiirus piirab maksimaalselt 60 sõnumit minutis
## Vaikepoliitikat rakendatakse sobimatule liiklusele
piirmäär 60/minuti pauk 100 paketid \
logi eesliide "VÄLJA – kukutage maha:" \
kommentaar „Logi kõik tasakaalustamata liiklus”
## Loendage võrreldamatut liiklust
loendur \
kommentaar „Loendage võrreldamatut liiklust”
}
}
# Peamine NAT-i filtreerimistabel
tabel inet nat {
# NAT-liikluse eelmarsruutimise reeglid
ahela eelmarsruut {
tüüp nat hook premarsruutimise prioriteet dstnat; poliitika aktsepteerima
}
# NAT-liikluse marsruudijärgse liikluse reeglid
# Seda tabelit töödeldakse enne Firezone'i marsruutimisjärgset ahelat
kett postrouting {
tüüp nat konks postmarsruutimise prioriteet srcnat – 5; poliitika aktsepteerima
}
}
Tulemüür tuleks salvestada töötava Linuxi distributsiooni vastavas kohas. Debiani/Ubuntu jaoks on see /etc/nftables.conf ja RHEL-i jaoks /etc/sysconfig/nftables.conf.
nftables.service tuleb konfigureerida alglaadimisel käivitamiseks (kui seda pole veel tehtud):
systemctl enable nftables.service
Kui teete tulemüüri mallis muudatusi, saab süntaksi kinnitada, käivitades kontrolli käsu:
nft -f /tee/nftables.conf -c
Kontrollige kindlasti, et tulemüür töötab ootuspäraselt, kuna teatud nftablesi funktsioonid ei pruugi serveris töötavast versioonist olenevalt saadaval olla.
_______________________________________________________________
See dokument annab ülevaate telemeetriast, mida Firezone teie ise hostitud eksemplarilt kogub, ja selle keelamisest.
tulekahju tsoon toetub telemeetria abil, et seada prioriteediks meie tegevuskava ja optimeerida inseneriressursse, mida peame Firezone'i kõigi jaoks paremaks muutmiseks.
Kogutud telemeetria eesmärk on vastata järgmistele küsimustele:
Firezone'is on kolm peamist telemeetria kogumise kohta:
Kõigis neis kolmes kontekstis kogume ülaltoodud jaotises esitatud küsimustele vastamiseks vajalikku minimaalset andmemahtu.
Administraatori e-kirju kogutakse ainult siis, kui lubate tootevärskendused selgesõnaliselt. Vastasel juhul on isikut tuvastav teave mitte kunagi tasakaalukas.
Firezone salvestab telemeetria isehostitud PostHogi eksemplaris, mis töötab privaatses Kubernetese klastris ja millele pääseb juurde ainult Firezone'i meeskond. Siin on näide telemeetriasündmusest, mis saadetakse teie Firezone'i eksemplarist meie telemeetriaserverisse:
{
mine: “0182272d-0b88-0000-d419-7b9a413713f1”,
"ajatempel": “2022-07-22T18:30:39.748000+00:00”,
"sündmus": "fz_http_started",
"eristav_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"omadused": {
"$geoip_city_name": "Ashburn",
"$geoip_continent_code": "NA",
"$geoip_continent_name": "Põhja-Ameerika",
"$geoip_country_code": "USA",
"$geoip_country_name": "Ühendriigid",
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "Virginia",
"$geoip_time_zone": “Ameerika/New_York”,
"$ip": "52.200.241.107",
"$plugins_deferred":[],
"$plugins_failed":[],
"$plugins_succeeded": [
"GeoIP (3)"
],
"eristav_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "Linux 5.13.0",
"versioon": "0.4.6"
},
"elemendid_ahel": ""
}
MÄRKUSED
Firezone'i arendusmeeskond toetub tooteanalüütika kohta, et muuta Firezone kõigi jaoks paremaks. Telemeetria sisselülitamine on kõige väärtuslikum panus, mida saate Firezone'i arengusse anda. Sellest hoolimata mõistame, et mõnel kasutajal on kõrgemad privaatsus- või turvanõuded ja nad eelistaksid telemeetria täielikult keelata. Kui see oled sina, jätka lugemist.
Telemeetria on vaikimisi lubatud. Toote telemeetria täielikuks keelamiseks määrake failis /etc/firezone/firezone.rb järgmine seadistussuvand väärtusele false ja käivitage muudatuste tuvastamiseks sudo firezone-ctl reconfigure.
vaikimisi['tuletsoon']["telemeetria"]['lubatud'] = vale
See keelab täielikult toote telemeetria.
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
E-post: info@hailbytes.com
Saate viimaseid küberturvalisuse uudiseid otse oma postkasti.
