A Firezone grafikus felhasználói felülettel rendelkező Hailbytes VPN telepítéséhez lépésről lépésre vonatkozó utasításokat itt talál.
Adminisztrálás: A kiszolgálópéldány beállítása közvetlenül kapcsolódik ehhez a részhez.
Felhasználói útmutatók: Hasznos dokumentumok, amelyek megtanítják a Firezone használatára és a tipikus problémák megoldására. A kiszolgáló sikeres telepítése után tekintse meg ezt a részt.
Osztott alagút: Használja a VPN-t, hogy csak meghatározott IP-tartományokra küldjön forgalmat.
Engedélyezőlista: Állítsa be a VPN-kiszolgáló statikus IP-címét az engedélyezési listázás használatához.
Fordított alagutak: Alagutakat hozhat létre több társ között fordított alagutak használatával.
Szívesen segítünk Önnek, ha segítségre van szüksége a Hailbytes VPN telepítéséhez, testreszabásához vagy használatához.
Mielőtt a felhasználók létrehozhatnák vagy letölthetnék az eszközkonfigurációs fájlokat, a Firezone beállítható úgy, hogy hitelesítést igényeljen. Előfordulhat, hogy a felhasználóknak időnként újra kell hitelesíteniük, hogy VPN-kapcsolatuk aktív maradhasson.
Bár a Firezone alapértelmezett bejelentkezési módja a helyi e-mail-cím és jelszó, bármely szabványos OpenID Connect (OIDC) identitásszolgáltatóval is integrálható. A felhasználók most már be tudnak jelentkezni a Firezone-ba az Okta, a Google, az Azure AD vagy a privát identitásszolgáltató hitelesítő adataival.
Integráljon egy általános OIDC-szolgáltatót
Az alábbi példában láthatók azok a konfigurációs paraméterek, amelyekre a Firezone-nak szüksége van ahhoz, hogy lehetővé tegye az egyszeri bejelentkezést egy OIDC-szolgáltató használatával. Az /etc/firezone/firezone.rb oldalon megtalálhatja a konfigurációs fájlt. Futtassa a firezone-ctl újrakonfigurálását és a firezone-ctl újraindítását az alkalmazás frissítéséhez és a változtatások érvénybe léptetéséhez.
# Ez egy példa arra, hogy a Google és az Okta SSO identitásszolgáltatóként használható.
# Több OIDC-konfiguráció is hozzáadható ugyanahhoz a Firezone-példányhoz.
# A Firezone letilthatja a felhasználó VPN-jét, ha a próbálkozás során hibát észlel
# a hozzáférési_token frissítéséhez. Ez igazoltan működik a Google, az Okta és a
# Azure SSO, és a felhasználó VPN-kapcsolatának automatikus leválasztására szolgál, ha eltávolítják őket
# az OIDC szolgáltatótól. Hagyja ezt letiltva, ha az Ön OIDC-szolgáltatója
# problémái vannak a hozzáférési jogkivonatok frissítésével, mivel ez váratlanul megszakíthatja a
# felhasználó VPN-munkamenete.
default['firezone']['hitelesítés']['disable_vpn_on_oidc_error'] = false
default['firezone']['authentication']['oidc'] = {
Google: {
discovery_document_uri: „https://accounts.google.com/.well-known/openid-configuration”,
Ügyfélazonosító: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
válasz_típus: "kód",
hatókör: "nyitott e-mail profil",
címke: "Google"
},
rendben: {
Discovery_document_uri: "https:// /.well-known/openid-configuration”,
Ügyfélazonosító: " ”,
client_secret: " ”,
redirect_uri: „https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
válasz_típus: "kód",
hatókör: "nyitott e-mail profil offline_access",
címke: "Okta"
}
}
Az integrációhoz a következő konfigurációs beállítások szükségesek:
Minden OIDC-szolgáltatóhoz létrejön egy megfelelő szép URL, amely átirányítja a konfigurált szolgáltató bejelentkezési URL-címére. A fenti példa OIDC konfigurációhoz az URL-ek a következők:
Dokumentációval rendelkező szolgáltatók:
Ha az identitásszolgáltatója általános OIDC-csatlakozóval rendelkezik, és nem szerepel a fenti listán, kérjük, keresse fel a dokumentációját a szükséges konfigurációs beállítások lekérésével kapcsolatos információkért.
A beállítások/biztonság alatti beállítás módosítható, hogy rendszeres újrahitelesítést igényeljen. Ez felhasználható annak a követelménynek a kikényszerítésére, hogy a felhasználók rendszeresen lépjenek be a Firezone szolgáltatásba a VPN-munkamenet folytatásához.
A munkamenet hossza egy óra és kilencven nap között állítható be. Ha ezt a Soha értékre állítja, bármikor engedélyezheti a VPN-munkameneteket. Ez a szabvány.
A felhasználónak be kell fejeznie VPN-munkamenetét, és be kell jelentkeznie a Firezone-portálra, hogy újra hitelesítsen egy lejárt VPN-munkamenetet (az URL-t a telepítés során adták meg).
A munkamenet újbóli hitelesítéséhez kövesse az itt található pontos ügyfél-utasításokat.
VPN-kapcsolat állapota
A Felhasználók oldal VPN-kapcsolat táblázat oszlopa egy felhasználó kapcsolati állapotát jeleníti meg. Ezek a csatlakozási állapotok:
ENGEDÉLYEZVE – A kapcsolat engedélyezve van.
LETILTVA – A kapcsolatot rendszergazda vagy OIDC frissítési hiba tiltotta le.
LEJÁRT – A kapcsolat le van tiltva a hitelesítés lejárta miatt, vagy a felhasználó nem jelentkezett be először.
Az általános OIDC-csatlakozón keresztül a Firezone lehetővé teszi az egyszeri bejelentkezést (SSO) a Google Workspace és a Cloud Identity segítségével. Ez az útmutató megmutatja, hogyan szerezheti be az alább felsorolt konfigurációs paramétereket, amelyek szükségesek az integrációhoz:
1. OAuth konfigurációs képernyő.
Ha ez az első alkalom, hogy új OAuth-ügyfélazonosítót hoz létre, a rendszer felkéri a hozzájárulási képernyő konfigurálására.
*A felhasználói típushoz válassza a Belső lehetőséget. Ez biztosítja, hogy csak a Google Workspace-szervezet felhasználóihoz tartozó fiókok hozhatnak létre eszközkonfigurációkat. NE válassza a Külső lehetőséget, hacsak nem szeretné engedélyezni bárkinek, akinek érvényes Google Fiókja van eszközkonfigurációk létrehozására.
Az Alkalmazásinformációk képernyőn:
2. Hozzon létre OAuth-ügyfélazonosítókat.
Ez a szakasz a Google saját dokumentációján alapul az OAuth 2.0 beállítása.
Keresse fel a Google Cloud Console-t Hitelesítő adatok oldal oldalon kattintson a + Hitelesítési adatok létrehozása elemre, és válassza az OAuth-ügyfélazonosítót.
Az OAuth-ügyfélazonosító-létrehozó képernyőn:
Az OAuth-ügyfélazonosító létrehozása után megkapja az ügyfél-azonosítót és az ügyféltitkot. Ezeket a következő lépésben az átirányítási URI-vel együtt fogja használni.
szerkesztése /etc/firezone/firezone.rb hogy tartalmazza az alábbi lehetőségeket:
# A Google használata SSO identitásszolgáltatóként
default['firezone']['authentication']['oidc'] = {
Google: {
discovery_document_uri: „https://accounts.google.com/.well-known/openid-configuration”,
Ügyfélazonosító: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
válasz_típus: "kód",
hatókör: "nyitott e-mail profil",
címke: "Google"
}
}
Az alkalmazás frissítéséhez futtassa a firezone-ctl újrakonfigurálását és a firezone-ctl újraindítását. Most látnia kell egy Bejelentkezés a Google-lal gombot a Firezone gyökér URL-címén.
A Firezone az általános OIDC-csatlakozót használja az egyszeri bejelentkezés (SSO) megkönnyítésére az Oktával. Ez az oktatóanyag megmutatja, hogyan szerezheti be az alábbiakban felsorolt, az integrációhoz szükséges konfigurációs paramétereket:
Az útmutató ezen része azon alapul Okta dokumentációja.
A Felügyeleti konzolban lépjen az Alkalmazások > Alkalmazások menüpontra, és kattintson az Alkalmazásintegráció létrehozása lehetőségre. Állítsa be a Bejelentkezési módot OICD – OpenID Connect értékre és az Alkalmazás típusát a Webalkalmazás értékre.
Konfigurálja ezeket a beállításokat:
A beállítások mentése után megkapja az ügyfél-azonosítót, az ügyféltitkot és az Okta tartományt. Ezt a 3 értéket fogja használni a 2. lépésben a Firezone konfigurálásához.
szerkesztése /etc/firezone/firezone.rb hogy tartalmazza az alábbi lehetőségeket. A te Discovery_document_url lesz /.well-known/openid-configuration a végéhez csatolva okta_domain.
# Okta használata SSO identitásszolgáltatóként
default['firezone']['authentication']['oidc'] = {
rendben: {
Discovery_document_uri: "https:// /.well-known/openid-configuration”,
Ügyfélazonosító: " ”,
client_secret: " ”,
redirect_uri: „https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
válasz_típus: "kód",
hatókör: "nyitott e-mail profil offline_access",
címke: "Okta"
}
}
Az alkalmazás frissítéséhez futtassa a firezone-ctl újrakonfigurálását és a firezone-ctl újraindítását. Most látnia kell egy Bejelentkezés Okta-val gombot a Firezone gyökér URL-címén.
A Firezone alkalmazáshoz hozzáférő felhasználókat az Okta korlátozhatja. Ehhez nyissa meg az Okta felügyeleti konzol Firezone App Integration Hozzárendelések oldalát.
Az általános OIDC-összekötőn keresztül a Firezone lehetővé teszi az egyszeri bejelentkezést (SSO) az Azure Active Directoryval. Ez a kézikönyv megmutatja, hogyan szerezheti be az alábbiakban felsorolt, az integrációhoz szükséges konfigurációs paramétereket:
Ez az útmutató a Azure Active Directory Docs.
Nyissa meg az Azure portál Azure Active Directory oldalát. Válassza a Kezelés menüpontot, válassza az Új regisztráció lehetőséget, majd regisztráljon az alábbi adatok megadásával:
A regisztráció után nyissa meg az alkalmazás részletes nézetét, és másolja ki a Alkalmazás (kliens) azonosító. Ez lesz a client_id érték. Ezután nyissa meg a végpontok menüt a lekéréséhez OpenID Connect metaadat dokumentum. Ez a discovery_document_uri érték lesz.
Hozzon létre egy új ügyféltitkot a Tanúsítványok és titkok lehetőségre kattintva a Kezelés menüben. Másolja ki az ügyfél titkát; az ügyfél titkos értéke ez lesz.
Végül válassza ki az API-engedélyek hivatkozást a Kezelés menüben, majd kattintson a gombra Adjon hozzá engedélyt, és válassza ki Microsoft Graph, hozzáad email, nyitott, offline_access és a profilok a szükséges engedélyekhez.
szerkesztése /etc/firezone/firezone.rb hogy tartalmazza az alábbi lehetőségeket:
# Az Azure Active Directory használata SSO identitásszolgáltatóként
default['firezone']['authentication']['oidc'] = {
azúrkék: {
discovery_document_uri: „https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
Ügyfélazonosító: " ”,
client_secret: " ”,
redirect_uri: „https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
válasz_típus: "kód",
hatókör: "nyitott e-mail profil offline_access",
címke: „Azure”
}
}
Az alkalmazás frissítéséhez futtassa a firezone-ctl újrakonfigurálását és a firezone-ctl újraindítását. Most látnia kell egy Bejelentkezés az Azure használatával gombot a gyökér Firezone URL-címen.
Az Azure AD lehetővé teszi a rendszergazdák számára, hogy korlátozzák az alkalmazások hozzáférését a vállalaton belüli felhasználók meghatározott csoportjára. Ennek módjáról további információ a Microsoft dokumentációjában található.
A Chef Omnibust a Firezone használja olyan feladatok kezelésére, mint a kiadási csomagolás, a folyamatfelügyelet, a naplókezelés és egyebek.
A Ruby kód alkotja az elsődleges konfigurációs fájlt, amely a /etc/firezone/firezone.rb címen található. A sudo firezone-ctl reconfigure újraindítása a fájl módosításait követően azt eredményezi, hogy a Chef felismeri a változtatásokat, és alkalmazza azokat az aktuális operációs rendszerre.
Tekintse meg a konfigurációs fájl hivatkozását a konfigurációs változók teljes listájáért és leírásaiért.
Firezone-példánya a következőn keresztül kezelhető firezone-ctl parancsot, az alábbiak szerint. A legtöbb alparancs előtagot igényel sudo.
root@demo:~# firezone-ctl
omnibus-ctl: parancs (alparancs)
Általános parancsok:
tisztít
Törölje az *összes* firezone adatot, és kezdje elölről.
create-or-reset-admin
Visszaállítja az adminisztrátor jelszavát az alapértelmezett e-mail-címmel ['firezone']['admin_email'], vagy új adminisztrátort hoz létre, ha az e-mail cím nem létezik.
segít
Nyomtassa ki ezt a súgóüzenetet.
átkonfigurálni
Konfigurálja újra az alkalmazást.
reset-network
Visszaállítja az nftables-t, a WireGuard interfészt és az útválasztási táblát a Firezone alapértékeire.
show-config
Mutassa meg az újrakonfigurálással előállított konfigurációt.
teardown-hálózat
Eltávolítja a WireGuard interfészt és a Firezone nftables táblát.
erő-tanúsítvány-megújítás
Kényszerítse a tanúsítvány megújítását, még akkor is, ha még nem járt le.
stop-cert-renewal
Eltávolítja a tanúsítványokat megújító cronjobot.
eltávolítást
Állítsa le az összes folyamatot, és távolítsa el a folyamatfelügyelőt (az adatok megőrződnek).
változat
A Firezone aktuális verziójának megjelenítése
Szolgáltatáskezelési parancsok:
kecses-ölni
Kísérletezzen egy kecses leállítást, majd SIGKILL-elje meg az egész folyamatcsoportot.
gyí
Küldjön HUP-ot a szolgáltatásoknak.
int
Küldjön a szolgáltatásoknak egy INT.
megöl
Küldj egy KILL-et a szolgáltatásoknak.
egyszer
Indítsa el a szolgáltatásokat, ha leállnak. Ne indítsa újra őket, ha leállnak.
újraindítás
Állítsa le a szolgáltatásokat, ha futnak, majd indítsa újra őket.
szolgáltatáslista
Sorolja fel az összes szolgáltatást (az engedélyezett szolgáltatások *-gal jelennek meg.)
kezdet
Indítsa el a szolgáltatásokat, ha leállnak, és indítsa újra, ha leállnak.
állapot
Mutassa az összes szolgáltatás állapotát.
megáll
Állítsa le a szolgáltatásokat, és ne indítsa újra.
farok
Nézze meg az összes engedélyezett szolgáltatás szolgáltatásnaplóját.
kifejezés
Küldjön a szolgáltatásoknak egy TERM-et.
usr1
Küldjön a szolgáltatásoknak egy USR1-et.
usr2
Küldjön a szolgáltatásoknak egy USR2-et.
A Firezone frissítése előtt minden VPN-munkamenetet meg kell szakítani, ami a webes felhasználói felület leállítását is igényli. Abban az esetben, ha valami elromlik a frissítés során, javasoljuk, hogy szánjon egy órát a karbantartásra.
A Firezone fejlesztéséhez tegye a következőket:
Ha bármilyen probléma merül fel, kérjük, jelezze felénk támogatási jegy benyújtása.
A 0.5.0-ban néhány törést okozó változás és konfigurációmódosítás található, amelyeket kezelni kell. Tudjon meg többet lent.
Az Nginx a 0.5.0-s verziótól kezdve már nem támogatja a kényszerített SSL és nem SSL port paramétereket. Mivel a Firezone működéséhez SSL-re van szüksége, javasoljuk, hogy távolítsa el az Nginx szolgáltatáscsomagot a default ['firezone']['nginx']['enabled'] = false beállításával, és ehelyett irányítsa a fordított proxyt a Phoenix alkalmazásra a 13000-es porton (alapértelmezés szerint). ).
A 0.5.0 bevezeti az ACME protokoll támogatását az SSL-tanúsítványok automatikus megújításához a mellékelt Nginx szolgáltatással. Engedélyezni,
A Firezone 0.5.0 verziójában megszűnt a lehetőség, hogy szabályokat adjon hozzá ismétlődő célokkal. Az áttelepítési szkriptünk automatikusan felismeri ezeket a helyzeteket a 0.5.0-s verzióra való frissítés során, és csak azokat a szabályokat tartja meg, amelyek célhelye tartalmazza a másik szabályt. Nincs mit tennie, ha ez rendben van.
Ellenkező esetben a frissítés előtt javasoljuk, hogy módosítsa a szabályokat, hogy megszabaduljon ezektől a helyzetektől.
A Firezone 0.5.0 megszünteti a régi stílusú Okta és a Google SSO konfiguráció támogatását az új, rugalmasabb OIDC-alapú konfiguráció helyett.
Ha bármilyen konfigurációja van az alapértelmezett ['firezone']['authentication']['okta'] vagy alapértelmezett ['firezone']['autentication']['google'] kulcsok alatt, át kell helyeznie ezeket az OIDC-be. -alapú konfiguráció az alábbi útmutató segítségével.
Meglévő Google OAuth-konfiguráció
Távolítsa el ezeket a régi Google OAuth-konfigurációkat tartalmazó sorokat az /etc/firezone/firezone.rb címen található konfigurációs fájlból
alapértelmezett ['firezone']['hitelesítés']['google']['enabled']
alapértelmezett['firezone']['hitelesítés']['google']['client_id']
alapértelmezett['firezone']['hitelesítés']['google']['client_secret']
alapértelmezett['firezone']['hitelesítés']['google']['redirect_uri']
Ezután konfigurálja a Google-t OIDC-szolgáltatóként az itt leírt eljárásokat követve.
(Adja meg a hivatkozásra vonatkozó utasításokat)<<<<<<<<<<<<<<<<
Meglévő Google OAuth konfigurálása
Távolítsa el ezeket a régi Okta OAuth konfigurációkat tartalmazó sorokat a következő címen található konfigurációs fájlból /etc/firezone/firezone.rb
alapértelmezett['firezone']['hitelesítés']['okta']['enabled']
alapértelmezett['firezone']['hitelesítés']['okta']['client_id']
alapértelmezett['firezone']['hitelesítés']['okta']['client_secret']
Alapértelmezett ['firezone']['hitelesítés']['okta']['site']
Ezután konfigurálja az Oktát OIDC-szolgáltatóként az itt leírt eljárásokat követve.
Az aktuális beállítástól és verziótól függően kövesse az alábbi utasításokat:
Ha már rendelkezik OIDC-integrációval:
Egyes OIDC-szolgáltatók esetében a >= 0.3.16-ra való frissítéshez frissítési jogkivonatot kell beszerezni az offline hozzáférési hatókörhöz. Ezzel biztosítható, hogy a Firezone frissítse az identitásszolgáltatót, és hogy a VPN-kapcsolat leálljon a felhasználó törlése után. A Firezone korábbi iterációiból hiányzott ez a funkció. Egyes esetekben az identitásszolgáltatóból törölt felhasználók továbbra is csatlakozhatnak VPN-hez.
Az offline hozzáférést az offline hozzáférési hatókört támogató OIDC-szolgáltatók OIDC-konfigurációjának hatókörparaméterébe bele kell foglalni. A Firezone-ctl újrakonfigurálását végre kell hajtani a Firezone konfigurációs fájl módosításainak alkalmazásához, amely az /etc/firezone/firezone.rb címen található.
Az OIDC-szolgáltató által hitelesített felhasználók esetében az OIDC-kapcsolatok címsor jelenik meg a webes felhasználói felület felhasználói részleteinek oldalán, ha a Firezone sikeresen le tudja kérni a frissítési tokent.
Ha ez nem működik, törölnie kell a meglévő OAuth alkalmazást, és meg kell ismételnie az OIDC beállítási lépéseket. hozzon létre egy új alkalmazásintegrációt .
Van egy meglévő OAuth-integrációm
A 0.3.11 előtt a Firezone előre konfigurált OAuth2-szolgáltatókat használt.
Kövesse az utasításokat itt áttérni az OIDC-re.
Nem integráltam identitásszolgáltatót
Nincs szükség intézkedésre.
Kövesse az utasításokat itt hogy engedélyezze az egyszeri bejelentkezést egy OIDC-szolgáltatón keresztül.
Helyette a default['firezone']['external url'] felváltotta a default['firezone']['fqdn'] konfigurációs lehetőséget.
Állítsa be a Firezone online portál URL-jét, amely elérhető a nagyközönség számára. Alapértelmezés szerint a https:// és a kiszolgáló teljes tartománynevét fogja megadni, ha nincs meghatározva.
A konfigurációs fájl az /etc/firezone/firezone.rb címen található. Tekintse meg a konfigurációs fájl hivatkozását a konfigurációs változók teljes listájáért és leírásaiért.
A Firezone a 0.3.0-s verziótól kezdve már nem tartja meg az eszköz privát kulcsait a Firezone-kiszolgálón.
A Firezone webes felhasználói felülete nem teszi lehetővé ezen konfigurációk újbóli letöltését vagy megtekintését, de a meglévő eszközöknek továbbra is a jelenlegi állapotukban kell működniük.
Ha Firezone 0.1.x verzióról frissít, van néhány konfigurációs fájl módosítás, amelyet manuálisan kell megoldani.
Az /etc/firezone/firezone.rb fájl szükséges módosításainak elvégzéséhez futtassa az alábbi parancsokat root felhasználóként.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl újrakonfigurálása
firezone-ctl újraindítás
A Firezone naplóinak ellenőrzése bölcs első lépés az esetleges problémák megoldásában.
Futtassa a sudo firezone-ctl tail programot a Firezone naplók megtekintéséhez.
A Firezone csatlakozási problémáinak többségét az inkompatibilis iptables vagy nftables szabályok okozzák. Győződjön meg arról, hogy az Ön által érvényben lévő szabályok nem ütköznek a Firezone szabályaival.
Győződjön meg arról, hogy a FORWARD lánc engedélyezi a WireGuard kliensektől érkező csomagokat azokra a helyekre, amelyeket át szeretne engedni a Firezone-on, ha az internetkapcsolat minden alkalommal megromlik, amikor aktiválja a WireGuard alagútját.
Ez akkor érhető el, ha ufw-t használ, ha gondoskodik arról, hogy az alapértelmezett útválasztási házirend engedélyezve legyen:
ubuntu@fz:~$ sudo ufw default enable routed
Az alapértelmezett átirányítási irányelv „engedélyezésre” módosult
(feltétlenül frissítse szabályait ennek megfelelően)
A Azta egy tipikus Firezone-kiszolgáló állapota így nézhet ki:
ubuntu@fz:~$ sudo ufw állapot bőbeszédű
Állapot: aktív
Bejelentkezés: be (alacsony)
Alapértelmezett: deny (bejövő), engedélyezés (kimenő), engedélyezés (irányított)
Új profilok: kihagyás
To Action From
------
22/tcp BEengedés bárhol
80/tcp BEengedés bárhol
443/tcp ALOW IN Bárhol
51820/udp BEengedés bárhol
22/tcp (v6) ALOW IN bárhol (v6)
80/tcp (v6) ALOW IN bárhol (v6)
443/tcp (v6) ALOW IN bárhol (v6)
51820/udp (v6) ALOW IN bárhol (v6)
Javasoljuk, hogy korlátozza a webes felülethez való hozzáférést a rendkívül érzékeny és kritikus fontosságú éles telepítések esetén, az alábbiak szerint.
szolgáltatás | Alapértelmezett port | Hallgassa meg a címet | Leírás |
nginx | 80, 443 | minden | Nyilvános HTTP(S) port a Firezone adminisztrálására és a hitelesítés megkönnyítésére. |
Banki Guard | 51820 | minden | Nyilvános WireGuard port a VPN-munkamenetekhez. (UDP) |
postgresql | 15432 | 127.0.0.1 | Csak helyi port a csomagban lévő Postgresql-kiszolgálóhoz. |
főnix | 13000 | 127.0.0.1 | Csak helyi port, amelyet az upstream elixir alkalmazásszerver használ. |
Azt tanácsoljuk, hogy fontolja meg a Firezone nyilvánosan elérhető webes felhasználói felületéhez (alapértelmezés szerint 443/tcp és 80/tcp portok) való hozzáférés korlátozását, és ehelyett használja a WireGuard alagutat a Firezone kezeléséhez az éles és nyilvános telepítésekhez, ahol egyetlen rendszergazda lesz a felelős. eszközkonfigurációk létrehozása és elosztása a végfelhasználók számára.
Például, ha egy rendszergazda eszközkonfigurációt hozott létre, és alagutat hozott létre a 10.3.2.2-es helyi WireGuard-címmel, a következő ufw-konfiguráció lehetővé teszi a rendszergazda számára, hogy az alapértelmezett 10.3.2.1-es verzióval hozzáférjen a Firezone webes felhasználói felületéhez a szerver wg-firezone felületén. alagút címe:
root@demo:~# ufw állapot bőbeszédű
Állapot: aktív
Bejelentkezés: be (alacsony)
Alapértelmezett: deny (bejövő), engedélyezés (kimenő), engedélyezés (irányított)
Új profilok: kihagyás
To Action From
------
22/tcp BEengedés bárhol
51820/udp BEengedés bárhol
Bárhol ENGEDÉLYEZD BE 10.3.2.2
22/tcp (v6) ALOW IN bárhol (v6)
51820/udp (v6) ALOW IN bárhol (v6)
Ez csak így maradna 22/tcp ki van téve az SSH-hozzáféréshez a kiszolgáló kezeléséhez (opcionális), és 51820/udp WireGuard alagutak létesítése érdekében.
A Firezone egy Postgresql-kiszolgálót és egyezést köt össze -jét segédprogram, amely a helyi shellből használható, például:
/opt/firezone/embedded/bin/psql \
-U tűzzóna \
-d tűzzóna \
-h localhost \
-p 15432 \
-c „SQL_STATEMENT”
Ez hasznos lehet hibakeresési célokra.
Gyakori feladatok:
Az összes felhasználó felsorolása:
/opt/firezone/embedded/bin/psql \
-U tűzzóna \
-d tűzzóna \
-h localhost \
-p 15432 \
-c "SELECT * FROM felhasználók;"
Az összes eszköz listája:
/opt/firezone/embedded/bin/psql \
-U tűzzóna \
-d tűzzóna \
-h localhost \
-p 15432 \
-c „SELECT * FROM FROM;”
Felhasználói szerepkör módosítása:
Állítsa be a szerepkört "admin" vagy "nem privileged"-re:
/opt/firezone/embedded/bin/psql \
-U tűzzóna \
-d tűzzóna \
-h localhost \
-p 15432 \
-c "FELHASZNÁLÓK FRISSÍTÉSE SET role = 'admin' WHERE email = 'user@example.com';"
Az adatbázis biztonsági mentése:
Ezen túlmenően a pg dump program is megtalálható, amely az adatbázis rendszeres biztonsági másolatainak készítésére használható. Hajtsa végre a következő kódot az adatbázis egy másolatának kiírásához az általános SQL lekérdezési formátumban (cserélje ki a /path/to/backup.sql fájlt arra a helyre, ahol az SQL fájlt létre kell hozni):
/opt/firezone/embedded/bin/pg_dump \
-U tűzzóna \
-d tűzzóna \
-h localhost \
-p 15432 > /út/útvonal/backup.sql
A Firezone sikeres telepítése után felhasználókat kell hozzáadnia ahhoz, hogy hozzáférést biztosítson számukra a hálózathoz. A webes felhasználói felületet használják erre.
A /users alatti „Felhasználó hozzáadása” gomb kiválasztásával felvehet egy felhasználót. A felhasználónak meg kell adnia egy e-mail címet és egy jelszót. Annak érdekében, hogy a Firezone automatikusan hozzáférhessen a szervezet felhasználóihoz, az identitásszolgáltatóval is kapcsolódhat és szinkronizálhat. További részletek a címen érhetők el hitelesít. < Hivatkozás hozzáadása a hitelesítéshez
Azt tanácsoljuk, hogy kérje meg a felhasználókat, hogy saját eszközkonfigurációkat hozzanak létre, hogy a privát kulcsot csak ők láthassák. A felhasználók létrehozhatják saját eszközkonfigurációikat, ha követik az oldalon található utasításokat Ügyfélutasítások oldalon.
A Firezone rendszergazdái minden felhasználói eszköz konfigurációt létrehozhatnak. A /users címen található felhasználói profil oldalon válassza az „Eszköz hozzáadása” opciót ennek végrehajtásához.
[Képernyőkép beszúrása]
Az eszközprofil létrehozása után e-mailben elküldheti a felhasználónak a WireGuard konfigurációs fájlt.
A felhasználók és az eszközök össze vannak kapcsolva. A felhasználó hozzáadásával kapcsolatos további részletekért lásd: Felhasználók hozzáadása.
A kernel netfilter rendszerének használatával a Firezone lehetővé teszi a kilépési szűrési képességeket a DROP vagy ACCEPT csomagok megadásához. Általában minden forgalom engedélyezett.
Az IPv4 és IPv6 CIDR-ek és IP-címek az engedélyezési listán, illetve a tiltólistán keresztül támogatottak. Dönthet úgy, hogy egy szabályt egy felhasználóra vonatkoztat, amikor hozzáadja azt, ami a szabályt a felhasználó összes eszközére alkalmazza.
Telepítse és konfigurálja
A natív WireGuard kliens használatával VPN-kapcsolat létrehozásához tekintse meg ezt az útmutatót.
Az itt található hivatalos WireGuard kliensek Firezone kompatibilisek:
Látogassa meg a hivatalos WireGuard webhelyet a https://www.wireguard.com/install/ címen a fent nem említett operációs rendszerekhez.
A Firezone-rendszergazdája vagy saját maga is létrehozhatja az eszközkonfigurációs fájlt a Firezone portálon keresztül.
Látogasson el a Firezone-rendszergazdája által megadott URL-címre az eszközkonfigurációs fájl önálló generálásához. Cégének ehhez egyedi URL-címe lesz; ebben az esetben ez a https://instance-id.yourfirezone.com.
Jelentkezzen be a Firezone Okta SSO-ba
[Képernyőkép beszúrása]
Importálja a.conf fájlt a WireGuard kliensbe a megnyitásával. Az Aktiválás kapcsoló megfordításával VPN-munkamenetet indíthat.
[Képernyőkép beszúrása]
Kövesse az alábbi utasításokat, ha hálózati rendszergazdája ismétlődő hitelesítést írt elő a VPN-kapcsolat aktív megőrzéséhez.
Szüksége van:
A Firezone portál URL-je: Kérje a hálózati rendszergazdától a kapcsolatot.
A hálózati rendszergazdának fel kell tudnia ajánlani bejelentkezési nevét és jelszavát. A Firezone webhely felkéri, hogy jelentkezzen be a munkáltatója által használt egyszeri bejelentkezési szolgáltatással (például Google vagy Okta).
[Képernyőkép beszúrása]
Nyissa meg a Firezone portál URL-jét, és jelentkezzen be a hálózati rendszergazdája által megadott hitelesítési adatokkal. Ha már bejelentkezett, az újbóli bejelentkezés előtt kattintson az Újrahitelesítés gombra.
[Képernyőkép beszúrása]
[Képernyőkép beszúrása]
A WireGuard konfigurációs profil importálásához a Network Manager parancssori felülettel Linux-eszközökön, kövesse ezeket az utasításokat (nmcli).
Ha a profilban engedélyezve van az IPv6-támogatás, a konfigurációs fájl Network Manager grafikus felhasználói felülettel történő importálása meghiúsulhat a következő hibával:
ipv6.method: az „auto” metódust nem támogatja a WireGuard
Telepíteni kell a WireGuard userspace segédprogramokat. Ez egy wireguard vagy wireguard-tools nevű csomag lesz a Linux disztribúciókhoz.
Ubuntu/Debian esetén:
sudo apt install wireguard
A Fedora használatához:
sudo dnf vezetékvédő eszközök telepítése
Arch Linux:
sudo pacman -S wireguard-tools
Látogassa meg a hivatalos WireGuard webhelyet a https://www.wireguard.com/install/ címen a fent nem említett disztribúciókért.
Akár a Firezone-rendszergazdája, akár a saját generátora generálhatja az eszközkonfigurációs fájlt a Firezone portálon.
Látogasson el a Firezone-rendszergazdája által megadott URL-címre az eszközkonfigurációs fájl önálló generálásához. Cégének ehhez egyedi URL-címe lesz; ebben az esetben ez a https://instance-id.yourfirezone.com.
[Képernyőkép beszúrása]
Importálja a mellékelt konfigurációs fájlt az nmcli segítségével:
sudo nmcli kapcsolat importálási típusa vezetékvédő fájl /path/to/configuration.conf
A konfigurációs fájl neve megfelel a WireGuard kapcsolatnak/interfésznek. Az importálás után a kapcsolat szükség esetén átnevezhető:
nmcli kapcsolat módosítása [régi név] connect.id [új név]
A parancssoron keresztül csatlakozzon a VPN-hez az alábbiak szerint:
nmcli csatlakozás [vpn név]
A kapcsolat bontása:
nmcli kapcsolat megszakad [vpn név]
A megfelelő Network Manager kisalkalmazás is használható a kapcsolat kezelésére, ha grafikus felhasználói felületet használ.
Az „igen” kiválasztásával az automatikus csatlakozási lehetőségnél a VPN-kapcsolat beállítható úgy, hogy automatikusan csatlakozzon:
nmcli kapcsolat módosítása [vpn név] kapcsolat. <<<<<<<<<<<<<<<<<<<<<<<
automatikus csatlakozás igen
Az automatikus kapcsolat letiltásához állítsa vissza nem értékre:
nmcli kapcsolat módosítása [vpn név] kapcsolat.
automatikus csatlakozás sz
Az MFA aktiválása Nyissa meg a Firezone portál /user account/register mfa oldalát. Használja a hitelesítő alkalmazást a QR-kód beolvasásához a generálás után, majd írja be a hatjegyű kódot.
Forduljon a rendszergazdához a fiók hozzáférési adatainak visszaállításához, ha eltéveszti a hitelesítő alkalmazást.
Ez az oktatóanyag végigvezeti Önt a WireGuard osztott alagútvonal-szolgáltatásának Firezone-nal történő beállításának folyamatán, hogy a VPN-kiszolgálón keresztül csak bizonyos IP-tartományokba kerüljön a forgalom.
Azok az IP-tartományok, amelyekre az ügyfél a hálózati forgalmat irányítja, a /settings/default oldalon található Engedélyezett IP-címek mezőben vannak megadva. Csak a Firezone által készített újonnan létrehozott WireGuard alagútkonfigurációkat érintik a mező módosításai.
[Képernyőkép beszúrása]
Az alapértelmezett érték a 0.0.0.0/0, ::/0, amely az összes hálózati forgalmat a klienstől a VPN-kiszolgálóhoz irányítja.
Példák az ebben a mezőben található értékekre:
0.0.0.0/0, ::/0 – minden hálózati forgalom a VPN-kiszolgálóra lesz irányítva.
192.0.2.3/32 – csak egyetlen IP-címre irányuló forgalom lesz irányítva a VPN-kiszolgálóra.
3.5.140.0/22 – csak a 3.5.140.1 – 3.5.143.254 tartományba eső IP-címekre irányuló forgalom lesz irányítva a VPN-kiszolgálóra. Ebben a példában az ap-northeast-2 AWS régió CIDR-tartományát használtuk.
A Firezone először a legpontosabb útvonalhoz társított kilépési interfészt választja ki, amikor meghatározza, hogy hová irányítsa a csomagot.
A felhasználóknak újra kell generálniuk a konfigurációs fájlokat, és hozzá kell adniuk őket natív WireGuard-kliensükhöz, hogy frissíthessék a meglévő felhasználói eszközöket az új osztott alagútkonfigurációval.
Az utasításokat lásd Eszköz hozzáadása. <<<<<<<<<<< Link hozzáadása
Ez a kézikönyv bemutatja, hogyan kapcsolhat össze két eszközt Firezone reléként. Az egyik tipikus felhasználási eset az, hogy engedélyezzük a rendszergazdának, hogy hozzáférjen egy NAT-tal vagy tűzfallal védett kiszolgálóhoz, tárolóhoz vagy géphez.
Ez az ábra egy egyszerű forgatókönyvet mutat be, amelyben az A és B eszközök alagutat építenek.
[Insert Firezone építészeti kép]
Kezdje az A és a B eszköz létrehozásával a /users/[felhasználói_azonosító]/új_eszköz megnyitásával. Az egyes eszközök beállításainál győződjön meg arról, hogy a következő paraméterek az alább felsorolt értékekre vannak állítva. Az eszközbeállításokat megadhatja az eszközkonfiguráció létrehozásakor (lásd: Eszközök hozzáadása). Ha frissítenie kell a beállításokat egy meglévő eszközön, ezt egy új eszközkonfiguráció létrehozásával teheti meg.
Vegye figyelembe, hogy minden eszköz rendelkezik egy /settings/defaults oldallal, ahol a PersistentKeepalive konfigurálható.
Engedélyezett IP-k = 10.3.2.2/32
Ez a B eszköz IP-címe vagy IP-címeinek tartománya
PersistentKeepalive = 25
Ha az eszköz NAT mögött van, ez biztosítja, hogy az eszköz képes életben tartani az alagutat, és továbbra is fogadni tudja a csomagokat a WireGuard interfészről. Általában elegendő a 25-ös érték, de előfordulhat, hogy a környezettől függően csökkentenie kell ezt az értéket.
Engedélyezett IP-k = 10.3.2.3/32
Ez az A eszköz IP-címe vagy IP-címeinek tartománya
PersistentKeepalive = 25
Ez a példa egy olyan helyzetet mutat be, amelyben az A eszköz mindkét irányban képes kommunikálni a B és D eszközökkel. Ez a beállítás jelenthet egy mérnököt vagy rendszergazdát, aki számos erőforráshoz (kiszolgálókhoz, tárolókhoz vagy gépekhez) fér hozzá különböző hálózatokon.
[Építészeti diagram]<<<<<<<<<<<<<<<<<<<<<<<<
Győződjön meg arról, hogy a következő beállítások minden eszköz beállításaiban a megfelelő értékekre vannak beállítva. Az eszközkonfiguráció létrehozásakor megadhatja az eszközbeállításokat (lásd: Eszközök hozzáadása). Új eszközkonfiguráció hozható létre, ha egy meglévő eszköz beállításait frissíteni kell.
Engedélyezett IP-k = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Ez a B–D eszközök IP-címe. A B–D eszközök IP-címét bele kell foglalni bármely beállítani kívánt IP-tartományba.
PersistentKeepalive = 25
Ez garantálja, hogy az eszköz képes fenntartani az alagutat, és továbbra is fogadni tudja a csomagokat a WireGuard interfészről még akkor is, ha NAT védi. A legtöbb esetben a 25-ös érték megfelelő, azonban a környezettől függően előfordulhat, hogy csökkentenie kell ezt az értéket.
A Firezone NAT-átjáróként használható, hogy egyetlen statikus kimenő IP-címet biztosítson csapata teljes forgalmának kiáramlásához. Ezek a helyzetek a gyakori használattal járnak:
Tanácsadói megbízások: Kérje meg ügyfelét, hogy az egyes alkalmazottak egyedi IP-címe helyett egyetlen statikus IP-címet tegyen engedélyezőlistára.
Proxy használata vagy a forrás IP-címének maszkolása biztonsági vagy adatvédelmi okokból.
Ebben a bejegyzésben bemutatunk egy egyszerű példát arra vonatkozóan, hogyan lehet korlátozni a hozzáférést a saját üzemeltetésű webalkalmazásokhoz egyetlen engedélyezőlistán szereplő, Firezone-t futtató statikus IP-címre. Ezen az ábrán a Firezone és a védett erőforrás különböző VPC-területeken található.
Ezt a megoldást gyakran használják számos végfelhasználó IP-engedélyezőlistájának kezelése helyett, ami időigényes lehet, mivel a hozzáférési lista bővül.
Célunk egy Firezone-kiszolgáló létrehozása egy EC2-példányon, amely a VPN-forgalmat a korlátozott erőforráshoz irányítja át. Ebben az esetben a Firezone hálózati proxyként vagy NAT-átjáróként szolgál, hogy minden csatlakoztatott eszköznek egyedi nyilvános kilépési IP-címet biztosítson.
Ebben az esetben a tc2.micro nevű EC2-példányon Firezone-példány van telepítve. A Firezone üzembe helyezésével kapcsolatos információkért tekintse meg a Telepítési útmutatót. Az AWS-sel kapcsolatban ügyeljen a következőkre:
A Firezone EC2 példány biztonsági csoportja engedélyezi a kimenő forgalmat a védett erőforrás IP-címére.
A Firezone példány rugalmas IP-címmel érkezik. A Firezone-példányon keresztül külső célállomásokra továbbított forgalom ez lesz a forrás IP-címe. A kérdéses IP-cím 52.202.88.54.
[Képernyőkép beszúrása]<<<<<<<<<<<<<<<<<<<<<<<<<
Ebben az esetben egy saját üzemeltetésű webalkalmazás szolgál védett erőforrásként. A webalkalmazás csak az 52.202.88.54 IP-címről érkező kérések által érhető el. Az erőforrástól függően szükség lehet a bejövő forgalom engedélyezésére különböző portokon és forgalomtípusokon. Ez a kézikönyv nem tárgyalja ezt.
[Képernyőkép beszúrása]<<<<<<<<<<<<<<<<<<<<<<<<<
Kérjük, tájékoztassa a védett erőforrásért felelős harmadik felet, hogy az 1. lépésben meghatározott statikus IP-címről érkező forgalmat engedélyezni kell (jelen esetben 52.202.88.54).
Alapértelmezés szerint az összes felhasználói forgalom a VPN-kiszolgálón megy keresztül, és az 1. lépésben konfigurált statikus IP-címről érkezik (jelen esetben 52.202.88.54). Ha azonban az osztott alagút engedélyezve van, akkor szükség lehet olyan beállításokra, amelyek megbizonyosodhatnak arról, hogy a védett erőforrás cél IP-je szerepel az Engedélyezett IP-címek között.
Az alábbiakban a rendelkezésre álló konfigurációs lehetőségek teljes listája látható /etc/firezone/firezone.rb.
lehetőségek | leírás | alapértelmezett érték |
alapértelmezett ['firezone']['external_url'] | A Firezone-példány webportáljának eléréséhez használt URL. | „https://#{node['fqdn'] || node['hostname']}” |
alapértelmezett ['firezone']['config_directory'] | Legfelső szintű könyvtár a Firezone konfigurációjához. | /etc/firezone' |
alapértelmezett ['firezone']['telepítési_könyvtár'] | Legfelső szintű könyvtár a Firezone telepítéséhez. | /opt/firezone' |
alapértelmezett ['firezone']['app_directory'] | Legfelső szintű könyvtár a Firezone webalkalmazás telepítéséhez. | „#{node['firezone']['telepítési_könyvtár']}/embedded/service/firezone” |
alapértelmezett ['firezone']['log_directory'] | A Firezone naplók legfelső szintű könyvtára. | /var/log/firezone' |
alapértelmezett ['firezone']['var_directory'] | A Firezone futásidejű fájlok legfelső szintű könyvtára. | /var/opt/firezone' |
alapértelmezett['firezone']['felhasználó'] | A jogosulatlan Linux-felhasználó neve a legtöbb szolgáltatás és fájl tartozik majd. | tűzzóna' |
alapértelmezett ['firezone']['group'] | A Linux-csoport neve a legtöbb szolgáltatáshoz és fájlhoz fog tartozni. | tűzzóna' |
alapértelmezett ['firezone']['admin_email'] | Az első Firezone-felhasználó e-mail címe. | „firezone@localhost” |
alapértelmezett ['firezone']['max_devices_per_user'] | Egy felhasználó számára elérhető eszközök maximális száma. | 10 |
default['firezone']['allow_unprivileged_device_management'] | Lehetővé teszi a nem rendszergazdai felhasználók számára eszközök létrehozását és törlését. | TRUE |
alapértelmezett['firezone']['allow_unprivileged_device_configuration'] | Lehetővé teszi a nem rendszergazdai felhasználók számára az eszközkonfigurációk módosítását. Ha le van tiltva, megakadályozza, hogy a jogosulatlan felhasználók az összes eszközmezőt módosítsák, kivéve a nevet és a leírást. | TRUE |
alapértelmezett ['firezone']['egress_interface'] | Az interfész neve, ahol az alagút forgalom kilép. Ha nulla, akkor az alapértelmezett útvonalfelület kerül felhasználásra. | nulla |
alapértelmezett ['firezone']['fips_enabled'] | Az OpenSSL FIPs mód engedélyezése vagy letiltása. | nulla |
alapértelmezett ['firezone']['logging']['enabled'] | A Firezone naplózás engedélyezése vagy letiltása. A naplózás teljes letiltásához állítsa false értékre. | TRUE |
alapértelmezett['vállalkozás']['név'] | A Chef „enterprise” szakácskönyvében használt név. | tűzzóna' |
alapértelmezett ['firezone']['telepítési_útvonal'] | Telepítse a Chef „vállalati” szakácskönyve által használt útvonalat. Ugyanarra kell állítani, mint a fenti telepítési_könyvtárat. | node['firezone']['telepítési_könyvtár'] |
alapértelmezett ['firezone']['sysvinit_id'] | Az /etc/inittab fájlban használt azonosító. Egyedi, 1–4 karakterből álló sorozatnak kell lennie. | SUP' |
alapértelmezett['firezone']['hitelesítés']['local']['enabled'] | Helyi e-mail/jelszó hitelesítés engedélyezése vagy letiltása. | TRUE |
alapértelmezett['firezone']['hitelesítés']['auto_create_oidc_users'] | Az OIDC-ből első alkalommal bejelentkező felhasználók automatikus létrehozása. Letiltása esetén csak a meglévő felhasználók jelentkezhetnek be az OIDC-n keresztül. | TRUE |
alapértelmezett['firezone']['hitelesítés']['disable_vpn_on_oidc_error'] | Tiltsa le a felhasználó VPN-jét, ha hibát észlel az OIDC-tokenjének frissítése során. | HAMIS |
alapértelmezett['firezone']['hitelesítés']['oidc'] | OpenID Connect konfiguráció, {"szolgáltató" => [config…]} formátumban – Lásd OpenIDConnect dokumentáció konfigurációs példákért. | {} |
alapértelmezett ['firezone']['nginx']['enabled'] | Engedélyezze vagy tiltsa le a mellékelt nginx-kiszolgálót. | TRUE |
alapértelmezett ['firezone']['nginx']['ssl_port'] | HTTPS figyelő port. | 443 |
alapértelmezett ['firezone']['nginx']['könyvtár'] | A Firezone-hoz kapcsolódó nginx virtuális gazdagép-konfiguráció tárolására szolgáló könyvtár. | "#{node['firezone']['var_directory']}/nginx/etc" |
alapértelmezett ['firezone']['nginx']['log_directory'] | A Firezone-hoz kapcsolódó nginx naplófájlok tárolására szolgáló könyvtár. | "#{node['firezone']['log_directory']}/nginx" |
alapértelmezett ['firezone']['nginx']['log_rotation']['file_maxbytes'] | Fájlméret, amellyel az Nginx naplófájlokat elforgathatja. | 104857600 |
alapértelmezett ['firezone']['nginx']['log_rotation']['num_to_keep'] | Az eldobás előtt megőrizendő Firezone nginx naplófájlok száma. | 10 |
alapértelmezett ['firezone']['nginx']['log_x_forwarded_for'] | A Firezone nginx x-forwarded-for fejléc naplózása. | TRUE |
alapértelmezett ['firezone']['nginx']['hsts_header']['enabled'] | TRUE | |
alapértelmezett ['firezone']['nginx']['hsts_header']['include_subdomains'] | Az includeSubDomains engedélyezése vagy letiltása a HSTS-fejléchez. | TRUE |
alapértelmezett ['firezone']['nginx']['hsts_header']['max_age'] | A HSTS fejléc maximális kora. | 31536000 |
alapértelmezett ['firezone']['nginx']['redirect_to_canonical'] | Az URL-ek átirányítása a fent megadott kanonikus FQDN-re | HAMIS |
alapértelmezett ['firezone']['nginx']['cache']['enabled'] | Engedélyezze vagy tiltsa le a Firezone nginx gyorsítótárat. | HAMIS |
alapértelmezett ['firezone']['nginx']['cache']['könyvtár'] | A Firezone nginx gyorsítótárának könyvtára. | "#{node['firezone']['var_directory']}/nginx/cache" |
alapértelmezett ['firezone']['nginx']['felhasználó'] | Firezone nginx felhasználó. | csomópont['firezone']['felhasználó'] |
alapértelmezett ['firezone']['nginx']['group'] | Firezone nginx csoport. | csomópont['tűzzóna']['csoport'] |
alapértelmezett ['firezone']['nginx']['könyvtár'] | Legfelső szintű nginx konfigurációs könyvtár. | csomópont['firezone']['nginx']['könyvtár'] |
alapértelmezett ['firezone']['nginx']['log_dir'] | Legfelső szintű nginx naplókönyvtár. | node['firezone']['nginx']['log_directory'] |
alapértelmezett ['firezone']['nginx']['pid'] | Az nginx pid fájl helye. | "#{node['firezone']['nginx']['könyvtár']}/nginx.pid" |
alapértelmezett ['firezone']['nginx']['daemon_disable'] | Tiltsa le az nginx démon módot, hogy inkább figyelhessük. | TRUE |
alapértelmezett ['firezone']['nginx']['gzip'] | Kapcsolja be vagy ki az nginx gzip tömörítést. | tovább' |
alapértelmezett ['firezone']['nginx']['gzip_static'] | Az nginx gzip tömörítés be- és kikapcsolása statikus fájlok esetén. | ki' |
alapértelmezett ['firezone']['nginx']['gzip_http_version'] | A statikus fájlok kiszolgálásához használt HTTP-verzió. | 1.0 " |
alapértelmezett ['firezone']['nginx']['gzip_comp_level'] | nginx gzip tömörítési szint. | 2 " |
alapértelmezett ['firezone']['nginx']['gzip_proxyed'] | A kéréstől és választól függően engedélyezi vagy letiltja a válaszok gzip-csomagolását a proxy kérésekhez. | Bármi' |
alapértelmezett ['firezone']['nginx']['gzip_vary'] | Engedélyezi vagy letiltja a „Vary: Accept-Encoding” válaszfejléc beszúrását. | ki' |
alapértelmezett ['firezone']['nginx']['gzip_buffers'] | Beállítja a válasz tömörítéséhez használt pufferek számát és méretét. Ha nulla, akkor az nginx alapértelmezett értéket használja. | nulla |
alapértelmezett ['firezone']['nginx']['gzip_types'] | MIME típusok a gzip tömörítés engedélyezéséhez. | ["text/plain", "text/css", "alkalmazás/x-javascript", "text/xml", "alkalmazás/xml", "alkalmazás/rss+xml", "alkalmazás/atom+xml", " text/javascript', 'application/javascript', 'application/json'] |
alapértelmezett ['firezone']['nginx']['gzip_min_length'] | Minimális fájlhossz a fájl gzip tömörítésének engedélyezéséhez. | 1000 |
alapértelmezett ['firezone']['nginx']['gzip_disable'] | User-agent matcher a gzip tömörítés letiltásához. | MSIE [1-6]\.' |
alapértelmezett ['firezone']['nginx']['keepalive'] | Aktiválja a gyorsítótárat az upstream szerverekhez való csatlakozáshoz. | tovább' |
alapértelmezett ['firezone']['nginx']['keepalive_timeout'] | Időtúllépés másodpercekben az upstream szerverekkel való kapcsolattartáshoz. | 65 |
alapértelmezett ['firezone']['nginx']['worker_processes'] | Az nginx dolgozói folyamatok száma. | node['cpu'] && node['cpu']['összesen'] ? csomópont['cpu']['összesen'] : 1 |
alapértelmezett ['firezone']['nginx']['worker_connections'] | Egy munkafolyamat által megnyitható egyidejű kapcsolatok maximális száma. | 1024 |
alapértelmezett ['firezone']['nginx']['worker_rlimit_nofile'] | Módosítja a munkafolyamatok megnyitott fájlok maximális számának korlátját. Az nginx alapértelmezett értéket használja, ha nulla. | nulla |
alapértelmezett ['firezone']['nginx']['multi_accept'] | A dolgozóknak egyszerre egy vagy több kapcsolatot kell elfogadniuk. | TRUE |
alapértelmezett ['firezone']['nginx']['esemény'] | Meghatározza az nginx események környezetében használandó kapcsolatfeldolgozási módszert. | epoll' |
alapértelmezett ['firezone']['nginx']['server_tokens'] | Engedélyezi vagy letiltja az nginx verzió kibocsátását a hibaoldalakon és a „Server” válaszfejlécben. | nulla |
alapértelmezett ['firezone']['nginx']['server_names_hash_bucket_size'] | Beállítja a kiszolgálónevek hash tábláinak vödör méretét. | 64 |
alapértelmezett ['firezone']['nginx']['sendfile'] | Engedélyezi vagy letiltja az nginx sendfile() használatát. | tovább' |
alapértelmezett ['firezone']['nginx']['access_log_options'] | Beállítja az nginx hozzáférési napló beállításait. | nulla |
alapértelmezett ['firezone']['nginx']['error_log_options'] | Beállítja az nginx hibanapló beállításait. | nulla |
alapértelmezett ['firezone']['nginx']['disable_access_log'] | Letiltja az nginx hozzáférési naplót. | HAMIS |
alapértelmezett ['firezone']['nginx']['types_hash_max_size'] | nginx típusú hash max mérete. | 2048 |
alapértelmezett ['firezone']['nginx']['types_hash_bucket_size'] | nginx típusú hash vödör mérete. | 64 |
alapértelmezett ['firezone']['nginx']['proxy_read_timeout'] | nginx proxy olvasási időtúllépés. Állítsa nullára az nginx alapértelmezett használatához. | nulla |
alapértelmezett ['firezone']['nginx']['client_body_buffer_size'] | nginx kliens törzspuffer mérete. Állítsa nullára az nginx alapértelmezett használatához. | nulla |
alapértelmezett ['firezone']['nginx']['client_max_body_size'] | nginx kliens maximális testmérete. | 250 m |
alapértelmezett ['firezone']['nginx']['default']['modules'] | Adjon meg további nginx modulokat. | [] |
alapértelmezett ['firezone']['nginx']['enable_rate_limiting'] | Az nginx sebességkorlátozás engedélyezése vagy letiltása. | TRUE |
alapértelmezett ['firezone']['nginx']['rate_limiting_zone_name'] | Nginx sebességkorlátozó zóna neve. | tűzzóna' |
alapértelmezett ['firezone']['nginx']['rate_limiting_backoff'] | Nginx sebességkorlátozó visszalépés. | 10 m |
alapértelmezett ['firezone']['nginx']['rate_limit'] | Nginx sebességkorlát. | 10r/s' |
alapértelmezett ['firezone']['nginx']['ipv6'] | Engedélyezze az nginx számára, hogy az IPv6 mellett az IPv4 HTTP-kérelmeit is figyelje. | TRUE |
alapértelmezett ['firezone']['postgresql']['enabled'] | A csomagban lévő Postgresql engedélyezése vagy letiltása. Állítsa false értékre, és adja meg az alábbi adatbázis-beállításokat a saját Postgresql-példány használatához. | TRUE |
alapértelmezett ['firezone']['postgresql']['felhasználónév'] | Felhasználónév a Postgresql-hez. | csomópont['firezone']['felhasználó'] |
alapértelmezett ['firezone']['postgresql']['data_directory'] | Postgresql adatkönyvtár. | "#{node['firezone']['var_directory']}/postgresql/13.3/data" |
alapértelmezett ['firezone']['postgresql']['log_directory'] | Postgresql naplókönyvtár. | "#{node['firezone']['log_directory']}/postgresql" |
alapértelmezett ['firezone']['postgresql']['log_rotation']['file_maxbytes'] | A Postgresql naplófájl maximális mérete az elforgatás előtt. | 104857600 |
default['firezone']['postgresql']['log_rotation']['num_to_keep'] | A megtartandó Postgresql naplófájlok száma. | 10 |
alapértelmezett ['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql ellenőrzőpont befejezési cél. | 0.5 |
alapértelmezett ['firezone']['postgresql']['checkpoint_segments'] | Postgresql ellenőrzőpont szegmensek száma. | 3 |
alapértelmezett ['firezone']['postgresql']['checkpoint_timeout'] | Postgresql ellenőrzési pont időtúllépés. | 5 perc' |
alapértelmezett ['firezone']['postgresql']['checkpoint_warning'] | Postgresql ellenőrzőpont figyelmeztetési idő másodpercben. | 30-as évek |
alapértelmezett ['firezone']['postgresql']['effective_cache_size'] | Postgresql effektív gyorsítótár mérete. | 128 MB" |
alapértelmezett ['firezone']['postgresql']['listen_address'] | Postgresql figyelési cím. | 127.0.0.1 " |
alapértelmezett ['firezone']['postgresql']['max_connections'] | Postgresql max kapcsolatok. | 350 |
alapértelmezett ['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR-ek, amelyek lehetővé teszik az md5 hitelesítést. | ['127.0.0.1/32', '::1/128'] |
alapértelmezett ['firezone']['postgresql']['port'] | Postgresql figyelő port. | 15432 |
alapértelmezett ['firezone']['postgresql']['shared_buffers'] | Postgresql megosztott pufferek mérete. | "#{(csomópont['memória']['összesen'].to_i / 4) / 1024}MB" |
alapértelmezett ['firezone']['postgresql']['shmmax'] | Postgresql shmmax bájtban. | 17179869184 |
alapértelmezett ['firezone']['postgresql']['shmal'] | Postgresql shmall bájtban. | 4194304 |
alapértelmezett ['firezone']['postgresql']['work_mem'] | Postgresql munkamemória mérete. | 8 MB" |
alapértelmezett ['firezone']['adatbázis']['felhasználó'] | Megadja a Firezone felhasználónevet a DB-hez való csatlakozáshoz. | node['firezone']['postgresql']['felhasználónév'] |
alapértelmezett ['firezone']['adatbázis']['jelszó'] | Ha külső adatbázist használ, adja meg a Firezone által a DB-hez való csatlakozáshoz használt jelszót. | változtass meg' |
alapértelmezett ['firezone']['adatbázis']['név'] | A Firezone által használt adatbázis. Létrejön, ha nem létezik. | tűzzóna' |
alapértelmezett ['firezone']['adatbázis']['host'] | Adatbázis gazdagép, amelyhez a Firezone csatlakozni fog. | node['firezone']['postgresql']['listen_address'] |
alapértelmezett ['firezone']['adatbázis']['port'] | Adatbázis port, amelyhez a Firezone csatlakozni fog. | node['firezone']['postgresql']['port'] |
alapértelmezett ['firezone']['adatbázis']['pool'] | A Firezone által használt adatbázis-készlet mérete. | [10, Stb.nprocesszorok].max |
alapértelmezett ['firezone']['adatbázis']['ssl'] | SSL-en keresztül kell-e csatlakozni az adatbázishoz. | HAMIS |
alapértelmezett ['firezone']['adatbázis']['ssl_opts'] | {} | |
alapértelmezett ['firezone']['adatbázis']['paraméterek'] | {} | |
alapértelmezett ['firezone']['adatbázis']['bővítmények'] | Adatbázis-bővítmények az engedélyezéshez. | { 'plpgsql' => true, 'pg_trgm' => true } |
alapértelmezett ['firezone']['phoenix']['enabled'] | Engedélyezze vagy tiltsa le a Firezone webalkalmazást. | TRUE |
alapértelmezett ['firezone']['phoenix']['listen_address'] | Firezone webalkalmazás figyelési címe. Ez lesz az nginx-proxy által használt felfelé irányuló figyelési cím. | 127.0.0.1 " |
alapértelmezett ['firezone']['phoenix']['port'] | Firezone webalkalmazás figyelő port. Ez lesz az nginx proxyja által használt upstream port. | 13000 |
alapértelmezett ['firezone']['phoenix']['log_directory'] | Firezone webalkalmazások naplókönyvtára. | "#{node['firezone']['log_directory']}/phoenix" |
alapértelmezett ['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone webalkalmazás naplófájl mérete. | 104857600 |
alapértelmezett ['firezone']['phoenix']['log_rotation']['num_to_keep'] | A megőrizendő Firezone webalkalmazás-naplófájlok száma. | 10 |
alapértelmezett ['firezone']['phoenix']['crash_detection']['enabled'] | A Firezone webalkalmazás leállításának engedélyezése vagy letiltása összeomlás észlelésekor. | TRUE |
alapértelmezett ['firezone']['phoenix']['external_trusted_proxyes'] | Megbízható fordított proxyk listája IP-címek és/vagy CIDR-ek tömbjeként formázott. | [] |
alapértelmezett ['firezone']['phoenix']['private_clients'] | A magánhálózati HTTP-kliensek listája, IP-címek és/vagy CIDR-ek tömbjeként formázott. | [] |
alapértelmezett ['firezone']['wireguard']['enabled'] | Kapcsolt WireGuard-kezelés engedélyezése vagy letiltása. | TRUE |
alapértelmezett ['firezone']['wireguard']['log_directory'] | Naplókönyvtár a WireGuard csomagban történő kezeléséhez. | "#{node['firezone']['log_directory']}/wireguard" |
alapértelmezett ['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard naplófájl maximális mérete. | 104857600 |
alapértelmezett ['firezone']['wireguard']['log_rotation']['num_to_keep'] | A megtartandó WireGuard naplófájlok száma. | 10 |
alapértelmezett ['firezone']['wireguard']['interface_name'] | WireGuard interfész neve. Ennek a paraméternek a módosítása átmenetileg megszakadhat a VPN-kapcsolatban. | wg-firezone' |
alapértelmezett ['firezone']['wireguard']['port'] | WireGuard figyelő port. | 51820 |
alapértelmezett ['firezone']['wireguard']['mtu'] | WireGuard interfész MTU ehhez a szerverhez és az eszközkonfigurációkhoz. | 1280 |
alapértelmezett ['firezone']['wireguard']['endpoint'] | Az eszközkonfigurációk generálásához használható WireGuard végpont. Ha nulla, akkor alapértelmezés szerint a szerver nyilvános IP-címe lesz. | nulla |
alapértelmezett ['firezone']['wireguard']['dns'] | WireGuard DNS a generált eszközkonfigurációkhoz. | 1.1.1.1, 1.0.0.1′ |
alapértelmezett ['firezone']['wireguard']['allowed_ips'] | A generált eszközkonfigurációkhoz használható WireGuard AllowedIP-k. | 0.0.0.0/0, ::/0′ |
alapértelmezett ['firezone']['wireguard']['persistent_keepalive'] | Alapértelmezett PersistentKeepalive beállítás a generált eszközkonfigurációkhoz. A 0 érték letiltja. | 0 |
alapértelmezett ['firezone']['wireguard']['ipv4']['enabled'] | Az IPv4 engedélyezése vagy letiltása a WireGuard hálózathoz. | TRUE |
alapértelmezett ['firezone']['wireguard']['ipv4']['masquerade'] | Engedélyezze vagy tiltsa le az IPv4 alagutat elhagyó csomagok maszkolását. | TRUE |
alapértelmezett ['firezone']['wireguard']['ipv4']['hálózat'] | WireGuard hálózati IPv4 címkészlet. | 10.3.2.0 / 24 ′ |
alapértelmezett ['firezone']['wireguard']['ipv4']['cím'] | WireGuard interfész IPv4 címe. A WireGuard címkészleten belül kell lennie. | 10.3.2.1 " |
alapértelmezett ['firezone']['wireguard']['ipv6']['enabled'] | Az IPv6 engedélyezése vagy letiltása a WireGuard hálózathoz. | TRUE |
alapértelmezett ['firezone']['wireguard']['ipv6']['masquerade'] | Engedélyezze vagy tiltsa le az IPv6 alagutat elhagyó csomagok maszkolását. | TRUE |
alapértelmezett ['firezone']['wireguard']['ipv6']['hálózat'] | WireGuard hálózati IPv6 címkészlet. | fd00::3:2:0/120′ |
alapértelmezett ['firezone']['wireguard']['ipv6']['cím'] | WireGuard interfész IPv6 címe. Az IPv6-címkészleten belül kell lennie. | fd00::3:2:1′ |
alapértelmezett ['firezone']['runit']['svlogd_bin'] | Futtassa az svlogd bin helyét. | "#{node['firezone']['telepítési_könyvtár']}/embedded/bin/svlogd" |
alapértelmezett ['firezone']['ssl']['könyvtár'] | SSL-könyvtár a generált tanúsítványok tárolására. | /var/opt/firezone/ssl' |
alapértelmezett ['firezone']['ssl']['email_address'] | Az önaláírt tanúsítványokhoz és az ACME protokoll megújításáról szóló értesítésekhez használandó e-mail cím. | te@example.com' |
alapértelmezett ['firezone']['ssl']['acme']['enabled'] | Az ACME engedélyezése az automatikus SSL-tanúsítvány-kiépítéshez. Tiltsa le ezt, hogy megakadályozza, hogy az Nginx figyeljen a 80-as porton. Lásd itt további utasításokért. | HAMIS |
alapértelmezett ['firezone']['ssl']['acme']['szerver'] | ACME-kiszolgáló a tanúsítvány kiadásához/megújításához. Bármilyen lehet érvényes acme.sh szerver | titkosít |
alapértelmezett ['firezone']['ssl']['acme']['keylength'] | Adja meg az SSL-tanúsítványok kulcstípusát és hosszát. Lát itt | ec-256 |
alapértelmezett['firezone']['ssl']['tanúsítvány'] | Az FQDN tanúsítványfájljának elérési útja. Ha meg van adva, felülbírálja a fenti ACME beállítást. Ha az ACME és ez is nulla, a rendszer önaláírt tanúsítványt generál. | nulla |
alapértelmezett ['firezone']['ssl']['certificate_key'] | A tanúsítványfájl elérési útja. | nulla |
alapértelmezett ['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nulla |
alapértelmezett ['firezone']['ssl']['ország_neve'] | Az önaláírt tanúsítvány országneve. | MINKET' |
alapértelmezett ['firezone']['ssl']['state_name'] | Állítsa be az önaláírt tanúsítvány nevét. | CA ” |
alapértelmezett ['firezone']['ssl']['locality_name'] | Helységnév az önaláírt tanúsítványhoz. | San Francisco' |
alapértelmezett ['firezone']['ssl']['company_name'] | Cégnév önaláírt tanúsítvány. | A cégem' |
alapértelmezett['firezone']['ssl']['szervezeti_egység_neve'] | Szervezeti egység neve az önaláírt tanúsítványhoz. | Tevékenységek' |
alapértelmezett ['firezone']['ssl']['ciphers'] | SSL titkosítások az nginx számára. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
alapértelmezett ['firezone']['ssl']['fips_ciphers'] | SSL titkosítások a FIP-módhoz. | FIPS@STRENGTH:!aNULL:!eNULL' |
alapértelmezett ['firezone']['ssl']['protocols'] | Használandó TLS protokollok. | TLSv1 TLSv1.1 TLSv1.2′ |
alapértelmezett ['firezone']['ssl']['session_cache'] | SSL munkamenet gyorsítótár. | megosztott:SSL:4m' |
alapértelmezett['firezone']['ssl']['session_timeout'] | SSL munkamenet időtúllépés. | 5 m |
alapértelmezett ['firezone']['robots_allow'] | Az nginx robotok lehetővé teszik. | /' |
alapértelmezett ['firezone']['robots_disallow'] | nginx robotok nem engedélyezik. | nulla |
alapértelmezett ['firezone']['outbound_email']['from'] | Kimenő e-mail a címről. | nulla |
alapértelmezett ['firezone']['outbound_email']['provider'] | Kimenő e-mail szolgáltató. | nulla |
alapértelmezett ['firezone']['outbound_email']['configs'] | Kimenő e-mail szolgáltató konfigurációi. | lásd: omnibus/cookbooks/firezone/attributes/default.rb |
alapértelmezett ['firezone']['telemetria']['enabled'] | Engedélyezze vagy tiltsa le a termék anonimizált telemetriáját. | TRUE |
alapértelmezett ['firezone']['connectivity_checks']['enabled'] | Engedélyezze vagy tiltsa le a Firezone kapcsolatellenőrzési szolgáltatást. | TRUE |
alapértelmezett ['firezone']['connectivity_checks']['interval'] | A kapcsolódási ellenőrzések közötti intervallum másodpercben. | 3_600 |
________________________________________________________________
Itt találja a Firezone tipikus telepítéséhez kapcsolódó fájlok és könyvtárak listáját. Ezek a konfigurációs fájl változásaitól függően változhatnak.
ösvény | leírás |
/var/opt/firezone | Legfelső szintű címtár, amely adatokat és generált konfigurációt tartalmaz a Firezone szolgáltatásaihoz. |
/opt/firezone | A Firezone számára szükséges beépített könyvtárakat, binárisokat és futásidejű fájlokat tartalmazó legfelső szintű könyvtár. |
/usr/bin/firezone-ctl | firezone-ctl segédprogram a Firezone telepítésének kezelésére. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd unit fájl a Firezone runsvdir felügyeleti folyamat elindításához. |
/etc/firezone | Firezone konfigurációs fájlok. |
__________________________________________________________
Ez az oldal üres volt a dokumentumokban
_____________________________________________________________
A következő nftables tűzfalsablon használható a Firezone-t futtató kiszolgáló védelmére. A sablon bizonyos feltételezéseket tartalmaz; előfordulhat, hogy a használati esetnek megfelelően módosítania kell a szabályokat:
A Firezone konfigurálja saját nftables szabályait, hogy engedélyezze/elutasítsa a webes felületen konfigurált célhelyekre irányuló forgalmat, és kezelje a kimenő NAT-ot az ügyfélforgalom számára.
Az alábbi tűzfalsablon alkalmazása egy már futó kiszolgálón (nem rendszerindításkor) a Firezone szabályok törlését eredményezi. Ennek biztonsági vonatkozásai lehetnek.
Ennek megkerüléséhez indítsa újra a phoenix szolgáltatást:
firezone-ctl indítsa újra a phoenixet
#!/usr/sbin/nft -f
## Törölje/ürítse ki az összes meglévő szabályt
flush szabálykészlet
############################### VÁLTOZÓK ################## ###############
## Internet/WAN interfész neve
definiálja a DEV_WAN = eth0
## WireGuard interfész neve
define DEV_WIREGUARD = wg-firezone
## WireGuard figyelő port
definiálja a WIREGUARD_PORT = 51820
############################# VÁLTOZÓK VÉGE ################## ############
# Fő inet család szűrőtábla
táblázat inet filter {
# A továbbított forgalom szabályai
# Ez a lánc a Firezone előremenő lánc előtt kerül feldolgozásra
lánc előre {
típusú szűrő hook forward priority szűrő – 5; politika elfogadja
}
# A bemeneti forgalom szabályai
lánc bemenet {
típusú szűrő horog bemeneti prioritás szűrő; politika csökkenése
## Engedélyezze a bejövő forgalmat a loopback felületre
ha igen \
elfogad \
megjegyzés „Minden forgalom engedélyezése a loopback felületről”
## Engedélyezze a létrehozott és kapcsolódó kapcsolatokat
ct állapot megállapított, kapcsolódó \
elfogad \
megjegyzés „Létrehozott/kapcsolódó kapcsolatok engedélyezése”
## Bejövő WireGuard forgalom engedélyezése
iif $DEV_WAN udp dport $WIREGUARD_PORT \
számláló \
elfogad \
megjegyzés „Bejövő WireGuard forgalom engedélyezése”
## Új TCP nem SYN csomagok naplózása és eldobása
tcp flags != syn ct state new \
határérték 100/perc sorozat 150 csomagok \
log előtag “IN – Új !SYN: “ \
megjegyzés „Sebességkorlát naplózása olyan új kapcsolatokhoz, amelyeknél nincs beállítva a SYN TCP jelző”
tcp flags != syn ct state new \
számláló \
csepp \
megjegyzés "Drop új kapcsolatok, amelyeknek nincs beállítva a SYN TCP jelzője"
## Érvénytelen fin/syn jelzővel rendelkező TCP-csomagok naplózása és eldobása
tcp flags & (fin|syn) == (fin|syn) \
határérték 100/perc sorozat 150 csomagok \
log előtag „IN – TCP FIN|SIN:” \
megjegyzés „Érvénytelen fin/syn jelzővel rendelkező TCP-csomagok sebességkorlátozásának naplózása”
tcp flags & (fin|syn) == (fin|syn) \
számláló \
csepp \
megjegyzés „Drop TCP-csomagok érvénytelen fin/syn jelző beállítva”
## Érvénytelen syn/rst jelzőt tartalmazó TCP-csomagok naplózása és eldobása
tcp flags & (syn|rst) == (syn|rst) \
határérték 100/perc sorozat 150 csomagok \
log előtag „IN – TCP SYN|RST:” \
megjegyzés „Érvénytelen szinkron/első jelzőbeállítással rendelkező TCP-csomagok sebességkorlátozásának naplózása”
tcp flags & (syn|rst) == (syn|rst) \
számláló \
csepp \
megjegyzés „TCP-csomagok eldobása érvénytelen szinkron/első jelzővel”
## Érvénytelen TCP-jelzők naplózása és eldobása
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
határérték 100/perc sorozat 150 csomagok \
log előtag „IN – FIN:” \
megjegyzés „Díjkorlát naplózása érvénytelen TCP-jelzők esetén (fin|syn|rst|psh|ack|urg) < (fin)"
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
számláló \
csepp \
megjegyzés "Drop TCP-csomagok zászlókkal (fin|syn|rst|psh|ack|urg) < (fin)"
## Érvénytelen TCP-jelzők naplózása és eldobása
tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
határérték 100/perc sorozat 150 csomagok \
log előtag „IN – FIN|PSH|URG:” \
megjegyzés "Díszkorlát naplózása érvénytelen TCP-jelzők esetén (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
számláló \
csepp \
megjegyzés "Drop TCP-csomagok zászlókkal (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Forgalom csökkentése érvénytelen kapcsolati állapot esetén
ct állapot érvénytelen \
határérték 100/perc sorozat 150 csomagok \
napló megjelöli az összes előtagot "IN – Érvénytelen: " \
megjegyzés „Díjkorlát naplózása érvénytelen kapcsolatállapotú forgalom esetén”
ct állapot érvénytelen \
számláló \
csepp \
megjegyzés „Forgalom csökkentése érvénytelen kapcsolatállapot esetén”
## Engedélyezze az IPv4 ping/ping válaszokat, de a sebesség 2000 PPS-re korlátozódik
ip protokoll icmp icmp típus { echo-reply, echo-request } \
határérték 2000/másodperc \
számláló \
elfogad \
megjegyzés „Bejövő IPv4 visszhang (ping) engedélyezése 2000 PPS-re korlátozva”
## Minden más bejövő IPv4 ICMP engedélyezése
ip protokoll icmp \
számláló \
elfogad \
megjegyzés „Minden más IPv4 ICMP engedélyezése”
## Engedélyezze az IPv6 ping/ping válaszokat, de a sebesség 2000 PPS-re korlátozódik
icmpv6 type { echo-reply, echo-request } \
határérték 2000/másodperc \
számláló \
elfogad \
megjegyzés „Bejövő IPv6 visszhang (ping) engedélyezése 2000 PPS-re korlátozva”
## Minden más bejövő IPv6 ICMP engedélyezése
meta l4proto { icmpv6 } \
számláló \
elfogad \
megjegyzés „Minden más IPv6 ICMP engedélyezése”
## Engedélyezze a bejövő traceroute UDP portokat, de korlátozza 500 PPS-re
udp dport 33434-33524 \
határérték 500/másodperc \
számláló \
elfogad \
megjegyzés „Engedélyezze a bejövő UDP nyomkövetési útvonalat 500 PPS-re korlátozva”
## Bejövő SSH engedélyezése
tcp dport ssh ct állapot új \
számláló \
elfogad \
megjegyzés "Bejövő SSH-kapcsolatok engedélyezése"
## Bejövő HTTP és HTTPS engedélyezése
tcp dport { http, https } ct állapot új \
számláló \
elfogad \
megjegyzés „Bejövő HTTP és HTTPS kapcsolatok engedélyezése”
## Naplózzon minden páratlan forgalmat, de a sebességkorlátozás legfeljebb 60 üzenet/perc
## Az alapértelmezett házirend a páratlan forgalomra vonatkozik
határérték 60/perc sorozat 100 csomagok \
log előtag „IN – Drop:” \
megjegyzés „Jelölje be a páratlan forgalmat”
## Számolja meg a páratlan forgalmat
számláló \
megjegyzés „Számítsa meg a páratlan forgalmat”
}
# A kimeneti forgalom szabályai
lánc kimenet {
típusú szűrő horog kimeneti prioritás szűrő; politika csökkenése
## Engedélyezze a kimenő forgalmat a loopback felületen
jajj \
elfogad \
megjegyzés „Minden forgalom engedélyezése a loopback felületre”
## Engedélyezze a létrehozott és kapcsolódó kapcsolatokat
ct állapot megállapított, kapcsolódó \
számláló \
elfogad \
megjegyzés „Létrehozott/kapcsolódó kapcsolatok engedélyezése”
## Engedélyezze a kimenő WireGuard forgalmat, mielőtt megszakítaná a rossz állapotú kapcsolatokat
oif $DEV_WAN udp sport $WIREGUARD_PORT \
számláló \
elfogad \
megjegyzés „A WireGuard kimenő forgalom engedélyezése”
## Forgalom csökkentése érvénytelen kapcsolati állapot esetén
ct állapot érvénytelen \
határérték 100/perc sorozat 150 csomagok \
napló megjelöli az összes előtagot "OUT – Érvénytelen: " \
megjegyzés „Díjkorlát naplózása érvénytelen kapcsolatállapotú forgalom esetén”
ct állapot érvénytelen \
számláló \
csepp \
megjegyzés „Forgalom csökkentése érvénytelen kapcsolatállapot esetén”
## Minden más kimenő IPv4 ICMP engedélyezése
ip protokoll icmp \
számláló \
elfogad \
megjegyzés „Minden IPv4 ICMP-típus engedélyezése”
## Minden más kimenő IPv6 ICMP engedélyezése
meta l4proto { icmpv6 } \
számláló \
elfogad \
megjegyzés „Minden IPv6 ICMP-típus engedélyezése”
## Engedélyezze a kimenő traceroute UDP portokat, de korlátozza 500 PPS-re
udp dport 33434-33524 \
határérték 500/másodperc \
számláló \
elfogad \
megjegyzés „Kimenő UDP nyomkövetési útvonal engedélyezése 500 PPS-re korlátozva”
## Kimenő HTTP és HTTPS kapcsolatok engedélyezése
tcp dport { http, https } ct állapot új \
számláló \
elfogad \
megjegyzés „Kimenő HTTP és HTTPS kapcsolatok engedélyezése”
## Kimenő SMTP-küldés engedélyezése
tcp dport benyújtás ct állapot új \
számláló \
elfogad \
megjegyzés „Kimenő SMTP-beküldés engedélyezése”
## Kimenő DNS-kérések engedélyezése
udp dport 53 \
számláló \
elfogad \
megjegyzés „Kimenő UDP DNS-kérések engedélyezése”
tcp dport 53 \
számláló \
elfogad \
megjegyzés „Kimenő TCP DNS-kérések engedélyezése”
## Engedélyezze a kimenő NTP-kéréseket
udp dport 123 \
számláló \
elfogad \
megjegyzés „Kimenő NTP-kérés engedélyezése”
## Naplózzon minden páratlan forgalmat, de a sebességkorlátozás legfeljebb 60 üzenet/perc
## Az alapértelmezett házirend a páratlan forgalomra vonatkozik
határérték 60/perc sorozat 100 csomagok \
log előtag „KI – Dobd:” \
megjegyzés „Jelölje be a páratlan forgalmat”
## Számolja meg a páratlan forgalmat
számláló \
megjegyzés „Számítsa meg a páratlan forgalmat”
}
}
# Fő NAT szűrőtábla
táblázat inet nat {
# Szabályok a NAT forgalom előzetes útválasztásához
lánc előútvonal {
írja be: nat hook prerouting priority dstnat; politika elfogadja
}
# A NAT forgalom utólagos útválasztási szabályai
# Ezt a táblázatot a Firezone utóútválasztási lánc előtt dolgozza fel
lánc utáni útválasztás {
típus nat hook postrouting priority srcnat – 5; politika elfogadja
}
}
A tűzfalat a futó Linux disztribúció megfelelő helyen kell tárolni. Debian/Ubuntu esetén ez az /etc/nftables.conf, RHEL esetén pedig az /etc/sysconfig/nftables.conf.
Az nftables.service-t be kell állítani, hogy elinduljon a rendszerindításkor (ha még nem) beállítva:
systemctl enable nftables.service
Ha bármilyen változtatást végez a tűzfalsablonban, a szintaxis a check parancs futtatásával ellenőrizhető:
nft -f /elérési út/hoz/nftables.conf -c
Ügyeljen arra, hogy ellenőrizze, hogy a tűzfal a várt módon működik-e, mert előfordulhat, hogy bizonyos nftables funkciók nem érhetők el a kiszolgálón futó kiadástól függően.
_______________________________________________________________
Ez a dokumentum áttekintést nyújt a Firezone által a saját üzemeltetésű példányából gyűjtött telemetriáról, valamint arról, hogyan lehet letiltani azt.
tűz zóna támaszkodik telemetriával, hogy prioritást állíthassunk fel ütemtervünkben és optimalizáljuk a mérnöki erőforrásokat, hogy mindenki számára jobbá tegyük a Firezone-t.
Az általunk gyűjtött telemetria a következő kérdésekre kíván választ adni:
A Firezone-ban három fő helyen gyűjtik a telemetriát:
E három kontextus mindegyikében rögzítjük a minimális adatmennyiséget, amely a fenti szakasz kérdéseinek megválaszolásához szükséges.
Az adminisztrátori e-maileket csak akkor gyűjtjük, ha Ön kifejezetten feliratkozik a termékfrissítésekre. Ellenkező esetben a személyazonosításra alkalmas adatok soha összegyűjtött.
A Firezone a telemetriát a PostHog egy saját üzemeltetésű példányában tárolja, amely egy privát Kubernetes-fürtben fut, és csak a Firezone csapata érheti el. Íme egy példa egy telemetriai eseményre, amelyet a Firezone példánya küld a telemetriai szerverünknek:
{
megy: “0182272d-0b88-0000-d419-7b9a413713f1”,
"időbélyeg": “2022-07-22T18:30:39.748000+00:00”,
"esemény": "fz_http_started",
„dinct_id”: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"tulajdonságok"{
„$geoip_city_name”: “Ashburn”,
„$geoip_continent_code”: "NA",
„$geoip_continent_name”: "Észak Amerika",
„$geoip_country_code”: "MINKET",
„$geoip_country_name”: "Egyesült Államok",
„$geoip_latitude”: 39.0469,
„$geoip_longitude”: -77.4903,
„$geoip_postal_code”: "20149",
„$geoip_subdivision_1_code”: "VA",
„$geoip_subdivision_1_name”: "Virginia",
„$geoip_time_zone”: “Amerika/New_York”,
"$ip": "52.200.241.107",
„$plugins_deferred”:[],
„$plugins_failed”:[],
„$plugins_succeeded”: [
„GeoIP (3)”
],
„dinct_id”: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": „awsdemo.firezone.dev”,
"kernel_version": "Linux 5.13.0",
"változat": "0.4.6"
},
"elemek_lánc": ""
}
JEGYZET
A Firezone fejlesztőcsapata támaszkodik a termékelemzésről, hogy a Firezone mindenki számára jobb legyen. A telemetria engedélyezése a legértékesebb hozzájárulás a Firezone fejlesztéséhez. Ennek ellenére megértjük, hogy egyes felhasználók magasabb adatvédelmi vagy biztonsági követelményeket támasztanak, és inkább teljesen letiltják a telemetriát. Ha te vagy az, olvass tovább.
A telemetria alapértelmezés szerint engedélyezve van. A termék telemetriájának teljes letiltásához állítsa a következő konfigurációs beállítást false értékre az /etc/firezone/firezone.rb fájlban, és futtassa a sudo firezone-ctl reconfigure parancsot a módosítások fogadásához.
alapértelmezett["tűzzóna"]["telemetria"]['engedélyezve'] = hamis
Ezzel teljesen letiltja az összes termék telemetriáját.
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
E-mail: info@hailbytes.com