Stap-vir-stap instruksies vir die implementering van Hailbytes VPN met Firezone GUI word hier verskaf.
Administreer: Die opstel van die bedienerinstansie hou direk verband met hierdie deel.
Gebruikersgidse: Handige dokumente wat jou kan leer hoe om Firezone te gebruik en tipiese probleme op te los. Nadat die bediener suksesvol ontplooi is, verwys na hierdie afdeling.
Gesplete tonnel: Gebruik die VPN om slegs verkeer na spesifieke IP-reekse te stuur.
Witlys: Stel 'n VPN-bediener se statiese IP-adres in om witlys te gebruik.
Omgekeerde tonnels: Skep tonnels tussen verskeie eweknieë deur omgekeerde tonnels te gebruik.
Ons help u graag as u hulp nodig het met die installering, pasmaak of gebruik van Hailbytes VPN.
Voordat gebruikers toestelkonfigurasielêers kan produseer of aflaai, kan Firezone gekonfigureer word om stawing te vereis. Gebruikers sal dalk ook periodiek moet herverifieer om hul VPN-verbinding aktief te hou.
Alhoewel Firezone se verstek aanmeldmetode plaaslike e-pos en wagwoord is, kan dit ook geïntegreer word met enige gestandaardiseerde OpenID Connect (OIDC) identiteitsverskaffer. Gebruikers kan nou by Firezone aanmeld met hul Okta-, Google-, Azure AD- of private identiteitsverskaffer-bewyse.
Integreer 'n Generiese OIDC-verskaffer
Die konfigurasieparameters wat Firezone benodig om SSO toe te laat met 'n OIDC-verskaffer, word in die voorbeeld hieronder getoon. By /etc/firezone/firezone.rb, kan jy die konfigurasielêer vind. Begin firezone-ctl reconfigure en firezone-ctl restart om die toepassing op te dateer en veranderinge in werking te stel.
# Dit is 'n voorbeeld wat Google en Okta as 'n SSO-identiteitverskaffer gebruik.
# Veelvuldige OIDC-konfigurasies kan by dieselfde Firezone-instansie gevoeg word.
# Firezone kan 'n gebruiker se Skynprivaatnetwerk deaktiveer as daar enige fout bespeur word tydens probeer
# om hul toegangsteken te verfris. Dit is geverifieer om vir Google, Okta en
# Azure SSO en word gebruik om outomaties 'n gebruiker se VPN te ontkoppel as dit verwyder word
# van die OIDC-verskaffer. Laat dit gedeaktiveer as jou OIDC-verskaffer
# het probleme om toegangstekens te verfris aangesien dit onverwags 'n kan onderbreek
# gebruiker se VPN-sessie.
verstek['firezone']['authentication']['disable_vpn_on_oidc_error'] = vals
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
kliënt_id: " ",
kliënt_geheim: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "kode",
omvang: "openid e-pos profiel",
etiket: "Google"
},
okta: {
discovery_document_uri: "https:// /.well-known/openid-configuration”,
kliënt_id: " ",
kliënt_geheim: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "kode",
omvang: "openid e-pos profiel offline_access",
etiket: "Okta"
}
}
Die volgende konfigurasie-instellings word benodig vir die integrasie:
Vir elke OIDC-verskaffer word 'n ooreenstemmende mooi URL geskep om na die gekonfigureerde verskaffer se aanmeld-URL te herlei. Vir die voorbeeld OIDC-konfigurasie hierbo is die URL's:
Verskaffers vir wie ons dokumentasie het:
As jou identiteitsverskaffer 'n generiese OIDC-koppelaar het en nie hierbo gelys is nie, gaan asseblief na hul dokumentasie vir inligting oor hoe om die nodige konfigurasie-instellings te herwin.
Die instelling onder instellings/sekuriteit kan verander word om periodieke her-verifikasie te vereis. Dit kan gebruik word om die vereiste af te dwing dat gebruikers gereeld by Firezone ingaan om hul VPN-sessie voort te sit.
Die sessielengte kan gekonfigureer word om tussen een uur en negentig dae te wees. Deur dit op Nooit te stel, kan jy VPN-sessies enige tyd aktiveer. Dit is die standaard.
'n Gebruiker moet hul VPN-sessie beëindig en by die Firezone-portaal aanmeld om 'n verstreke VPN-sessie te herverifieer (URL gespesifiseer tydens ontplooiing).
Jy kan jou sessie herverifieer deur die presiese kliëntinstruksies wat hier gevind word, te volg.
Status van VPN-verbinding
Die gebruikersbladsy se VPN-verbindingstabelkolom wys 'n gebruiker se verbindingstatus. Dit is die verbindingstatusse:
GEAKTIVEER – Die verbinding is geaktiveer.
GEDEAKTIVEER – Die verbinding word gedeaktiveer deur 'n administrateur of OIDC-verversingsfout.
VERVAL – Die verbinding is gedeaktiveer as gevolg van stawingverval of 'n gebruiker het nie vir die eerste keer aangemeld nie.
Deur die algemene OIDC-koppelaar maak Firezone enkelaanmelding (SSO) moontlik met Google Workspace en Cloud Identity. Hierdie gids sal jou wys hoe om die konfigurasieparameters hieronder gelys te kry, wat nodig is vir die integrasie:
1. OAuth Config-skermâ € <
As dit die eerste keer is dat jy 'n nuwe OAuth-kliënt-ID skep, sal jy gevra word om 'n toestemmingskerm op te stel.
*Kies Intern vir gebruikertipe. Dit verseker dat slegs rekeninge wat aan gebruikers in jou Google Workspace-organisasie behoort, toestelkonfigurasies kan skep. MOENIE Ekstern kies nie, tensy jy enigiemand met 'n geldige Google-rekening in staat wil stel om toestelkonfigurasies te skep.
Op die App-inligtingskerm:
2. Skep OAuth-kliënt-ID'sâ € <
Hierdie afdeling is gebaseer op Google se eie dokumentasie oor die opstel van OAuth 2.0.
Besoek die Google Wolkkonsole Geloofsbriewe bladsy bladsy, klik + Skep geloofsbriewe en kies OAuth-kliënt-ID.
Op die OAuth-kliënt-ID-skeppingskerm:
Nadat u die OAuth-kliënt-ID geskep het, sal u 'n kliënt-ID en kliëntgeheim gegee word. Dit sal saam met die herleiding-URI in die volgende stap gebruik word.
Wysig /etc/firezone/firezone.rb om die opsies hieronder in te sluit:
# Gebruik Google as die SSO-identiteitverskaffer
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
kliënt_id: " ",
kliënt_geheim: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "kode",
omvang: "openid e-pos profiel",
etiket: "Google"
}
}
Begin firezone-ctl reconfigure en firezone-ctl restart om die toepassing op te dateer. Jy behoort nou 'n Meld aan met Google-knoppie by die wortel Firezone-URL te sien.
Firezone gebruik die generiese OIDC-koppelaar om Single Sign-On (SSO) met Okta te fasiliteer. Hierdie handleiding sal jou wys hoe om die konfigurasieparameters hieronder gelys te kry, wat nodig is vir die integrasie:
Hierdie afdeling van die gids is gebaseer op Okta se dokumentasie.
In die Admin Console, gaan na Toepassings > Toepassings en klik Skep App-integrasie. Stel aanmeldmetode op OICD – OpenID Connect en toepassingstipe na webtoepassing.
Stel hierdie instellings op:
Sodra instellings gestoor is, sal jy 'n kliënt-ID, kliëntgeheim en Okta-domein kry. Hierdie 3 waardes sal in Stap 2 gebruik word om Firezone op te stel.
Wysig /etc/firezone/firezone.rb om die opsies hieronder in te sluit. Jou ontdekking_dokument_url sal /.welbekende/openid-konfigurasie aan die einde van jou aangeheg okta_domein.
# Gebruik Okta as die SSO-identiteitverskaffer
default['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri: "https:// /.well-known/openid-configuration”,
kliënt_id: " ",
kliënt_geheim: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "kode",
omvang: "openid e-pos profiel offline_access",
etiket: "Okta"
}
}
Begin firezone-ctl reconfigure en firezone-ctl restart om die toepassing op te dateer. Jy behoort nou 'n Teken in met Okta-knoppie by die wortel Firezone-URL te sien.
Die gebruikers wat toegang tot die Firezone-toepassing het, kan deur Okta beperk word. Gaan na jou Okta Admin Console se Firezone App Integration se Assignments-bladsy om dit te bereik.
Deur die generiese OIDC-koppelaar maak Firezone Single Sign-On (SSO) moontlik met Azure Active Directory. Hierdie handleiding sal jou wys hoe om die konfigurasieparameters hieronder gelys te kry, wat nodig is vir die integrasie:
Hierdie gids is getrek uit die Azure Active Directory Docs.
Gaan na die Azure-portaal se Azure Active Directory-bladsy. Kies die Bestuur kieslys opsie, kies Nuwe Registrasie, en registreer dan deur die inligting hieronder te verskaf:
Nadat u geregistreer het, maak die besonderhede-aansig van die toepassing oop en kopieer die Aansoek (kliënt) ID. Dit sal die client_id-waarde wees. Maak dan die eindpunte-kieslys oop om die te herwin OpenID Connect-metadatadokument. Dit sal die discovery_document_uri-waarde wees.
Skep 'n nuwe kliëntgeheim deur op die Sertifikate en geheime-opsie onder die Bestuur-kieslys te klik. Kopieer die kliëntgeheim; die kliënt geheime waarde sal dit wees.
Laastens, kies die API-toestemmings-skakel onder die Bestuur-kieslys, klik Voeg 'n toestemming by, en kies Microsoft-grafiek, Voeg e-pos, oopid, vanlyn_toegang en Profiel na die vereiste toestemmings.
Wysig /etc/firezone/firezone.rb om die opsies hieronder in te sluit:
# Gebruik Azure Active Directory as die SSO-identiteitverskaffer
default['firezone']['authentication']['oidc'] = {
blou: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
kliënt_id: " ",
kliënt_geheim: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
response_type: "kode",
omvang: "openid e-pos profiel offline_access",
etiket: "Azure"
}
}
Begin firezone-ctl reconfigure en firezone-ctl restart om die toepassing op te dateer. Jy behoort nou 'n Teken in met Azure-knoppie by die wortel Firezone-URL te sien.
Azure AD stel administrateurs in staat om toepassingstoegang tot 'n spesifieke groep gebruikers binne jou maatskappy te beperk. Meer inligting oor hoe om dit te doen kan gevind word in Microsoft se dokumentasie.
Chef Omnibus word deur Firezone gebruik om take te bestuur, insluitend vrystellingverpakking, prosestoesig, logbestuur, en meer.
Ruby-kode maak die primêre konfigurasielêer uit, wat by /etc/firezone/firezone.rb geleë is. Die herbegin van sudo firezone-ctl herkonfigurasie nadat veranderinge aan hierdie lêer gemaak is, veroorsaak dat Chef die veranderinge herken en op die huidige bedryfstelsel toepas.
Sien die konfigurasielêerverwysing vir 'n volledige lys van konfigurasieveranderlikes en hul beskrywings.
Jou Firezone-instansie kan bestuur word via die brandsone-ctl opdrag, soos hieronder getoon. Die meeste subopdragte vereis voorvoegsel met sudo.
root@demo:~# firezone-ctl
omnibus-ctl: opdrag (subopdrag)
Algemene opdragte:
reinig
Vee *alle* brandsonedata uit en begin van voor af.
skep-of-terugstel-admin
Stel die wagwoord vir die administrateur terug met e-pos wat by verstek gespesifiseer is ['firezone']['admin_email'] of skep 'n nuwe admin as daardie e-pos nie bestaan nie.
help
Druk hierdie hulpboodskap.
instel
Herkonfigureer die toepassing.
herstel-netwerk
Stel nftables, WireGuard-koppelvlak en roetetabel terug na Firezone-standaarde.
wys-konfigurasie
Wys die konfigurasie wat deur herkonfigurasie gegenereer sal word.
afbreek-netwerk
Verwyder WireGuard-koppelvlak en firezone nftables-tabel.
dwing-sertifikaat-hernuwing
Dwing sertifikaathernuwing nou af, selfs al het dit nie verval nie.
stop-sert-hernuwing
Verwyder cronjob wat sertifikate hernu.
verwyder
Maak alle prosesse dood en verwyder die prosestoesighouer (data sal bewaar word).
weergawe
Vertoon huidige weergawe van Firezone
Diensbestuuropdragte:
grasieus-dood
Probeer 'n grasieuse stop, dan SIGKILL die hele prosesgroep.
toet
Stuur die dienste 'n HUP.
int
Stuur die dienste 'n INT.
dood
Stuur die dienste 'n DOOD.
keer
Begin die dienste as hulle af is. Moenie hulle weer begin as hulle stop nie.
herlaai
Stop die dienste as hulle loop, begin dit dan weer.
dienslys
Lys al die dienste (geaktiveerde dienste verskyn met 'n *.)
Begin
Begin dienste as hulle af is, en herbegin hulle as hulle stop.
status
Wys die status van al die dienste.
stop
Stop die dienste en moenie dit herbegin nie.
stert
Kyk na die dienslogboeke van alle geaktiveerde dienste.
termyn
Stuur die dienste 'n KWARTAAL.
usr1
Stuur vir die dienste 'n USR1.
usr2
Stuur vir die dienste 'n USR2.
Alle VPN-sessies moet beëindig word voordat Firezone opgegradeer word, wat ook vereis dat die web-UI afgeskakel word. In die geval dat iets verkeerd loop tydens die opgradering, raai ons aan om 'n uur opsy te sit vir instandhouding.
Om Firezone te verbeter, neem die volgende aksies:
Indien enige probleme opduik, laat weet ons asseblief deur die indiening van 'n ondersteuningskaartjie.
Daar is 'n paar breekveranderings en konfigurasiewysigings in 0.5.0 wat aangespreek moet word. Vind meer hieronder uit.
Nginx ondersteun nie meer die krag SSL- en nie-SSL-poortparameters vanaf weergawe 0.5.0 nie. Omdat Firezone SSL nodig het om te werk, raai ons aan om die bondel Nginx-diens te verwyder deur verstek['firezone']['nginx']['enabled'] = vals te stel en eerder jou omgekeerde instaanbediener na die Phoenix-toepassing op poort 13000 te rig (by verstek ).
0.5.0 stel ACME-protokolondersteuning bekend vir die outomatiese hernuwing van SSL-sertifikate met die gebundelde Nginx-diens. In staat te stel,
Die moontlikheid om reëls met duplikaatbestemmings by te voeg, is weg in Firezone 0.5.0. Ons migrasieskrif sal hierdie situasies outomaties herken tydens 'n opgradering na 0.5.0 en net die reëls hou waarvan die bestemming die ander reël insluit. Daar is niks wat jy hoef te doen as dit reg is nie.
Andersins, voor opgradering, raai ons aan om jou reëlstel te verander om van hierdie situasies ontslae te raak.
Firezone 0.5.0 verwyder ondersteuning vir die ou-styl Okta- en Google SSO-konfigurasie ten gunste van die nuwe, meer buigsame OIDC-gebaseerde konfigurasie.
As jy enige konfigurasie onder die verstek['firezone']['authentication']['okta'] of verstek['firezone']['authentication']['google'] sleutels het, moet jy dit na ons OIDC migreer -gebaseerde konfigurasie met behulp van die gids hieronder.
Bestaande Google OAuth-opstelling
Verwyder hierdie reëls wat die ou Google OAuth-konfigurasies bevat uit jou konfigurasielêer geleë by /etc/firezone/firezone.rb
verstek['firezone']['authentication']['google']['enabled']
verstek['firezone']['authentication']['google']['client_id']
verstek['firezone']['authentication']['google']['client_secret']
verstek['firezone']['authentication']['google']['redirect_uri']
Stel dan Google op as 'n OIDC-verskaffer deur die prosedures hier te volg.
(Verskaf skakelinstruksies)<<<<<<<<<<<<<<<<
Stel bestaande Google OAuth op
Verwyder hierdie reëls wat die ou Okta OAuth-konfigurasies bevat uit jou konfigurasielêer geleë by /etc/firezone/firezone.rb
verstek['firezone']['authentication']['okta']['enabled']
verstek['firezone']['authentication']['okta']['client_id']
verstek['firezone']['authentication']['okta']['client_secret']
Verstek['firezone']['authentication']['okta']['site']
Stel Okta dan op as 'n OIDC-verskaffer deur die prosedures hier te volg.
Afhangende van jou huidige opstelling en weergawe, volg die aanwysings hieronder:
As jy reeds 'n OIDC-integrasie het:
Vir sommige OIDC-verskaffers vereis die opgradering na >= 0.3.16 die verkryging van 'n herlaaiteken vir die vanlyn toegangsomvang. Deur dit te doen, word seker gemaak dat Firezone met die identiteitsverskaffer bywerk en dat VPN-verbinding afgeskakel word nadat 'n gebruiker uitgevee is. Firezone se vroeëre herhalings het nie hierdie kenmerk gehad nie. In sommige gevalle kan gebruikers wat van u identiteitsverskaffer uitgevee word, steeds aan 'n VPN gekoppel wees.
Dit is nodig om vanlyn toegang by die omvangparameter van jou OIDC-opstelling in te sluit vir OIDC-verskaffers wat die vanlyntoegangomvang ondersteun. Firezone-ctl herkonfigurasie moet uitgevoer word om veranderinge aan die Firezone-konfigurasielêer toe te pas, wat by /etc/firezone/firezone.rb geleë is.
Vir gebruikers wat deur jou OIDC-verskaffer geverifieer is, sal jy die OIDC Connections-opskrif in die gebruikersbesonderhedebladsy van die web-UI sien as Firezone die herlaaitoken suksesvol kan ophaal.
As dit nie werk nie, sal jy jou bestaande OAuth-toepassing moet uitvee en die OIDC-opstellingstappe moet herhaal om skep 'n nuwe toepassing-integrasie .
Ek het 'n bestaande OAuth-integrasie
Voor 0.3.11 het Firezone voorafgekonfigureerde OAuth2-verskaffers gebruik.
Volg die instruksies na hierdie skakel om na OIDC te migreer.
Ek het nie 'n identiteitsverskaffer geïntegreer nie
Geen aksie nodig nie.
Jy kan die instruksies volg na hierdie skakel om SSO deur 'n OIDC-verskaffer te aktiveer.
In die plek daarvan het verstek['firezone']['eksterne url'] die konfigurasie-opsie verstek['firezone']['fqdn'] vervang.
Stel dit op die URL van jou Firezone-aanlynportaal wat toeganklik is vir die algemene publiek. Dit sal verstek na https:// plus die FQDN van jou bediener as dit ongedefinieerd gelaat word.
Die konfigurasielêer is geleë by /etc/firezone/firezone.rb. Sien die konfigurasielêerverwysing vir 'n volledige lys van konfigurasieveranderlikes en hul beskrywings.
Firezone hou nie meer toestel privaat sleutels op die Firezone-bediener vanaf weergawe 0.3.0 nie.
Die Firezone Web UI sal jou nie toelaat om weer af te laai of hierdie konfigurasies te sien nie, maar enige bestaande toestelle moet voortgaan om te werk soos dit is.
As jy vanaf Firezone 0.1.x opgradeer, is daar 'n paar konfigurasielêerveranderings wat met die hand aangespreek moet word.
Om die nodige wysigings aan jou /etc/firezone/firezone.rb lêer te maak, voer die opdragte hieronder as root uit.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
eggo “default['firezone']['connectivity_checks']['enabled'] = waar” >> /etc/firezone/firezone.rb
eggo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl herkonfigureer
firezone-ctl herbegin
Om die Firezone-logboeke na te gaan is 'n verstandige eerste stap vir enige probleme wat kan voorkom.
Begin sudo firezone-ctl tail om die Firezone-logboeke te sien.
Die meeste verbindingsprobleme met Firezone word veroorsaak deur onversoenbare iptables of nftables-reëls. Jy moet seker maak dat enige reëls wat jy in werking het nie bots met die Firezone-reëls nie.
Maak seker dat die FORWARD-ketting pakkies vanaf jou WireGuard-kliënte toelaat na die liggings wat jy deur Firezone wil laat as jou internetverbinding agteruitgaan elke keer as jy jou WireGuard-tonnel aktiveer.
Dit kan bereik word as jy ufw gebruik deur te verseker dat die verstek roetebeleid toelaat:
ubuntu@fz:~$ sudo ufw verstek laat roeteer toe
Verstek gerouteerde beleid verander na "laat toe"
(maak seker dat u u reëls dienooreenkomstig bywerk)
A Sjoe status vir 'n tipiese Firezone-bediener kan soos volg lyk:
ubuntu@fz:~$ sudo ufw status verbose
Status: aktief
Teken aan: aan (laag)
Verstek: weier (inkomende), laat toe (uitgaande), laat toe (gelei)
Nuwe profiele: slaan oor
Tot Aksie Van
——— —-
22/tcp LAAT IN Enige plek toe
80/tcp LAAT IN Enige plek toe
443/tcp LAAT IN Enige plek toe
51820/udp LAAT IN Enige plek toe
22/tcp (v6) LAAT IN Enige plek toe (v6)
80/tcp (v6) LAAT IN Enige plek toe (v6)
443/tcp (v6) LAAT IN Enige plek toe (v6)
51820/udp (v6) LAAT IN Enige plek toe (v6)
Ons beveel aan om toegang tot die webkoppelvlak te beperk vir uiters sensitiewe en missiekritieke produksie-ontplooiings, soos hieronder verduidelik.
Diens | Verstekpoort | Luister Adres | Beskrywing |
Nginx | 80, 443 | almal | Openbare HTTP(S)-poort vir die administrasie van Firezone en fasilitering van verifikasie. |
Beveilig | 51820 | almal | Publieke WireGuard-poort wat vir VPN-sessies gebruik word. (UDP) |
Posgresql | 15432 | 127.0.0.1 | Slegs plaaslike poort wat gebruik word vir gebundelde Postgresql-bediener. |
Phoenix | 13000 | 127.0.0.1 | Slegs plaaslike poort wat deur stroomop-eliksir-toepassingbediener gebruik word. |
Ons raai jou aan om te dink oor die beperking van toegang tot Firezone se publiek-blootgestelde web-UI (by verstek poorte 443/tcp en 80/tcp) en eerder die WireGuard-tonnel te gebruik om Firezone te bestuur vir produksie en publieke ontplooiings waar 'n enkele administrateur in beheer sal wees van die skep en verspreiding van toestelkonfigurasies aan eindgebruikers.
Byvoorbeeld, as 'n administrateur 'n toestelkonfigurasie geskep het en 'n tonnel met die plaaslike WireGuard-adres 10.3.2.2 geskep het, sal die volgende ufw-konfigurasie die administrateur in staat stel om toegang tot die Firezone-web-UI op die bediener se wg-firezone-koppelvlak te gebruik deur die verstek 10.3.2.1 te gebruik. tonnel adres:
root@demo:~# ufw status verbose
Status: aktief
Teken aan: aan (laag)
Verstek: weier (inkomende), laat toe (uitgaande), laat toe (gelei)
Nuwe profiele: slaan oor
Tot Aksie Van
——— —-
22/tcp LAAT IN Enige plek toe
51820/udp LAAT IN Enige plek toe
Enige plek LAAT IN 10.3.2.2
22/tcp (v6) LAAT IN Enige plek toe (v6)
51820/udp (v6) LAAT IN Enige plek toe (v6)
Dit sou net verlaat 22/tcp blootgestel vir SSH-toegang om die bediener te bestuur (opsioneel), en 51820/udp blootgestel om WireGuard-tonnels te vestig.
Firezone bundel 'n Postgresql-bediener en bypassende psql nut wat gebruik kan word vanaf die plaaslike dop soos volg:
/opt/firezone/embedded/bin/psql \
-U brandsone \
-d vuursone \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
Dit kan nuttig wees vir ontfoutingsdoeleindes.
Algemene take:
Lys alle gebruikers:
/opt/firezone/embedded/bin/psql \
-U brandsone \
-d vuursone \
-h localhost \
-p 15432 \
-c "KIES * VAN gebruikers;"
Lys alle toestelle:
/opt/firezone/embedded/bin/psql \
-U brandsone \
-d vuursone \
-h localhost \
-p 15432 \
-c "KIES * VAN toestelle;"
Verander 'n gebruikerrol:
Stel die rol op 'admin' of 'unprivileged':
/opt/firezone/embedded/bin/psql \
-U brandsone \
-d vuursone \
-h localhost \
-p 15432 \
-c "DATEER gebruikers SET role = 'admin' WHERE email = 'user@example.com';"
Rugsteun die databasis:
Verder is die pg dump-program ingesluit, wat gebruik kan word om gereelde rugsteun van die databasis te neem. Voer die volgende kode uit om 'n kopie van die databasis in die algemene SQL-navraagformaat te stort (vervang /path/to/backup.sql met die plek waar die SQL-lêer geskep moet word):
/opt/firezone/embedded/bin/pg_dump \
-U brandsone \
-d vuursone \
-h localhost \
-p 15432 > /path/to/backup.sql
Nadat Firezone suksesvol ontplooi is, moet jy gebruikers byvoeg om hulle toegang tot jou netwerk te gee. Die web-UI word gebruik om dit te doen.
Deur die "Voeg gebruiker by"-knoppie onder /gebruikers te kies, kan jy 'n gebruiker byvoeg. Daar sal van jou verwag word om die gebruiker van 'n e-posadres en 'n wagwoord te voorsien. Om toegang tot gebruikers in jou organisasie outomaties toe te laat, kan Firezone ook met 'n identiteitsverskaffer koppel en sinkroniseer. Meer besonderhede is beskikbaar in authentic. < Voeg 'n skakel by Authenticate
Ons raai aan om te versoek dat gebruikers hul eie toestelkonfigurasies skep sodat die private sleutel net vir hulle sigbaar is. Gebruikers kan hul eie toestelkonfigurasies genereer deur die aanwysings op die Kliënt instruksies bladsy.
Alle gebruikertoestelkonfigurasies kan deur Firezone-administrateurs geskep word. Op die gebruikersprofielbladsy by /users, kies die opsie "Voeg toestel by" om dit te bereik.
[Voeg skermkiekie in]
U kan die WireGuard-konfigurasielêer aan die gebruiker e-pos nadat u die toestelprofiel geskep het.
Gebruikers en toestelle is gekoppel. Vir verdere besonderhede oor hoe om 'n gebruiker by te voeg, sien Voeg gebruikers by.
Deur die gebruik van die kern se netfilterstelsel, stel Firezone uitgangfiltreervermoëns in staat om DROP of ACCEPT pakkies te spesifiseer. Alle verkeer word normaalweg toegelaat.
IPv4- en IPv6-CIDR's en IP-adresse word onderskeidelik deur die Toelatingslys en Denielis ondersteun. Jy kan kies om 'n reël vir 'n gebruiker te bepaal wanneer jy dit byvoeg, wat die reël op al daardie gebruiker se toestelle toepas.
Installeer en konfigureer
Verwys na hierdie gids om 'n VPN-verbinding tot stand te bring met behulp van die inheemse WireGuard-kliënt.
Die amptelike WireGuard-kliënte wat hier geleë is, is Firezone-versoenbaar:
Besoek die amptelike WireGuard-webwerf by https://www.wireguard.com/install/ vir bedryfstelselstelsels wat nie hierbo genoem is nie.
U Firezone-administrateur of uself kan die toestelkonfigurasielêer genereer deur die Firezone-portaal te gebruik.
Besoek die URL wat jou Firezone-administrateur verskaf het om self 'n toestelkonfigurasielêer te genereer. Jou firma sal 'n unieke URL hiervoor hê; in hierdie geval is dit https://instance-id.yourfirezone.com.
Meld aan by Firezone Okta SSO
[Voeg skermkiekie in]
Voer die.conf-lêer in die WireGuard-kliënt in deur dit oop te maak. Deur die Aktiveer-skakelaar te draai, kan jy 'n VPN-sessie begin.
[Voeg skermkiekie in]
Volg die instruksies hieronder as jou netwerkadministrateur herhalende stawing opdrag gegee het om jou VPN-verbinding aktief te hou.
Jy benodig:
Firezone-portaal se URL: Vra jou netwerkadministrateur vir die verbinding.
Jou netwerkadministrateur behoort jou aanmelding en wagwoord te kan aanbied. Die Firezone-werf sal jou vra om aan te meld met die enkelaanmelding-diens wat jou werkgewer gebruik (soos Google of Okta).
[Voeg skermkiekie in]
Gaan na die Firezone-portaal se URL en meld aan met die geloofsbriewe wat jou netwerkadministrateur verskaf het. As jy reeds aangemeld is, klik die Herverifieer-knoppie voordat jy weer aanmeld.
[Voeg skermkiekie in]
[Voeg skermkiekie in]
Om die WireGuard-konfigurasieprofiel met Network Manager CLI op Linux-toestelle in te voer, volg hierdie instruksies (nmcli).
As die profiel IPv6-ondersteuning geaktiveer het, kan die poging om die konfigurasielêer met behulp van die Netwerkbestuurder GUI in te voer misluk met die volgende fout:
ipv6.method: metode "outo" word nie vir WireGuard ondersteun nie
Dit is nodig om die WireGuard-gebruikersruimte-nutsprogramme te installeer. Dit sal 'n pakket genaamd wireguard of wireguard-tools vir Linux-verspreidings wees.
Vir Ubuntu/Debian:
sudo apt installeer wireguard
Om Fedora te gebruik:
sudo dnf installeer wireguard-tools
Arch Linux:
sudo pacman -S wireguard-gereedskap
Besoek die amptelike WireGuard-webwerf by https://www.wireguard.com/install/ vir verspreidings wat nie hierbo genoem word nie.
Óf jou Firezone-administrateur óf selfgenerering kan die toestelkonfigurasielêer genereer deur die Firezone-portaal te gebruik.
Besoek die URL wat jou Firezone-administrateur verskaf het om self 'n toestelkonfigurasielêer te genereer. Jou firma sal 'n unieke URL hiervoor hê; in hierdie geval is dit https://instance-id.yourfirezone.com.
[Voeg skermkiekie in]
Voer die verskafde konfigurasielêer in met nmcli:
sudo nmcli verbinding invoer tipe wireguard lêer /path/to/configuration.conf
Die naam van die konfigurasielêer sal ooreenstem met die WireGuard-verbinding/koppelvlak. Na invoer kan die verbinding hernoem word indien nodig:
nmcli-verbinding verander [ou naam] verbinding.id [nuwe naam]
Koppel via die opdragreël aan die VPN soos volg:
nmcli verbinding op [vpn naam]
Om te ontkoppel:
nmcli-verbinding af [vpn-naam]
Die toepaslike netwerkbestuurder-applet kan ook gebruik word om die verbinding te bestuur as 'n GUI gebruik word.
Deur "ja" te kies vir die outoverbinding-opsie, kan die VPN-verbinding gekonfigureer word om outomaties te koppel:
nmcli-verbinding verander [vpn-naam]-verbinding. <<<<<<<<<<<<<<<<<<<<<<
outokoppel ja
Om die outomatiese verbinding te deaktiveer, stel dit terug na nee:
nmcli-verbinding verander [vpn-naam]-verbinding.
outokoppel nr
Om MFA te aktiveer Gaan na die Firezone-portaal se /gebruikersrekening/register mfa-bladsy. Gebruik jou verifikasie-toepassing om die QR-kode te skandeer nadat dit gegenereer is, en voer dan die sessyferkode in.
Kontak jou Admin om jou rekening se toegangsinligting terug te stel as jy jou verifikasieprogram misplaas.
Hierdie handleiding sal jou deur die proses lei om WireGuard se gesplete tonnelfunksie met Firezone op te stel sodat slegs verkeer na spesifieke IP-reekse deur die VPN-bediener aangestuur word.
Die IP-reekse waarvoor die kliënt netwerkverkeer sal lei, word uiteengesit in die Toegelate IP's-veld wat op die /settings/default-bladsy geleë is. Slegs die nuutgeskepte WireGuard-tonnelkonfigurasies wat deur Firezone vervaardig word, sal deur veranderinge aan hierdie veld geraak word.
[Voeg skermkiekie in]
Die verstekwaarde is 0.0.0.0/0, ::/0, wat alle netwerkverkeer van die kliënt na die VPN-bediener stuur.
Voorbeelde van waardes in hierdie veld sluit in:
0.0.0.0/0, ::/0 – alle netwerkverkeer sal na die VPN-bediener herlei word.
192.0.2.3/32 – slegs verkeer na 'n enkele IP-adres sal na die VPN-bediener herlei word.
3.5.140.0/22 – slegs verkeer na IP's in die 3.5.140.1 – 3.5.143.254-reeks sal na die VPN-bediener herlei word. In hierdie voorbeeld is die CIDR-reeks vir die ap-noordooste-2 AWS-streek gebruik.
Firezone kies eers die uitgang-koppelvlak wat met die mees presiese roete geassosieer word wanneer bepaal word waarheen om 'n pakkie te stuur.
Gebruikers moet die konfigurasielêers herskep en by hul eie WireGuard-kliënt voeg om bestaande gebruikertoestelle met die nuwe gesplete tonnelkonfigurasie op te dateer.
Vir instruksies, sien toestel byvoeg. <<<<<<<<<<< Voeg skakel by
Hierdie handleiding sal demonstreer hoe om twee toestelle met Firezone as 'n aflos te koppel. Een tipiese gebruiksgeval is om 'n administrateur in staat te stel om toegang te verkry tot 'n bediener, houer of masjien wat deur 'n NAT of firewall beskerm word.
Hierdie illustrasie toon 'n eenvoudige scenario waarin Toestelle A en B 'n tonnel bou.
[Voeg vuursone argitektoniese prentjie in]
Begin deur Toestel A en Toestel B te skep deur na /users/[user_id]/new_device te gaan. In die instellings vir elke toestel, maak seker dat die volgende parameters ingestel is op die waardes hieronder gelys. Jy kan toestelinstellings stel wanneer jy die toestelkonfigurasie skep (sien Voeg toestelle by). As jy instellings op 'n bestaande toestel moet opdateer, kan jy dit doen deur 'n nuwe toestelkonfigurasie te genereer.
Let daarop dat alle toestelle 'n /settings/defaults-bladsy het waar PersistentKeepalive gekonfigureer kan word.
Toegelate IP's = 10.3.2.2/32
Dit is die IP of reeks IP's van Toestel B
PersistentKeepalive = 25
As die toestel agter 'n NAT is, verseker dit dat die toestel die tonnel lewendig kan hou en aanhou om pakkies vanaf die WireGuard-koppelvlak te ontvang. Gewoonlik is 'n waarde van 25 voldoende, maar jy sal dalk hierdie waarde moet verlaag afhangende van jou omgewing.
Toegelate IP's = 10.3.2.3/32
Dit is die IP of reeks IP's van Toestel A
PersistentKeepalive = 25
Hierdie voorbeeld toon 'n situasie waarin Toestel A in beide rigtings met Toestelle B tot D kan kommunikeer. Hierdie opstelling kan 'n ingenieur of administrateur verteenwoordig wat toegang verkry tot talle hulpbronne (bedieners, houers of masjiene) oor verskeie netwerke.
[Argitektoniese diagram]<<<<<<<<<<<<<<<<<<<<<<<<
Maak seker dat die volgende instellings in elke toestel se instellings aan die ooreenstemmende waardes gemaak word. Wanneer u die toestelkonfigurasie skep, kan u toestelinstellings spesifiseer (sien Voeg toestelle by). 'n Nuwe toestelopstelling kan geskep word as instellings op 'n bestaande toestel opgedateer moet word.
Toegelate IP's = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Dit is die IP van toestelle B tot D. Die IP's van toestelle B tot D moet ingesluit word in enige IP-reeks wat jy kies om te stel.
PersistentKeepalive = 25
Dit waarborg dat die toestel die tonnel kan onderhou en aanhou om pakkies vanaf die WireGuard-koppelvlak te ontvang, selfs al word dit deur 'n NAT beskerm. In die meeste gevalle is 'n waarde van 25 voldoende, maar afhangende van jou omgewing, sal jy dalk hierdie syfer moet verlaag.
Firezone kan as 'n NAT-poort gebruik word om 'n enkele, statiese uitgang-IP te bied waaruit al jou span se verkeer kan vloei. Hierdie situasies behels die gereelde gebruik daarvan:
Konsultasie-opdragte: Versoek dat u kliënt 'n enkele statiese IP-adres eerder as elke werknemer se unieke toestel-IP witlys.
Gebruik 'n instaanbediener of maskering van u bron-IP vir sekuriteits- of privaatheidsdoeleindes.
'n Eenvoudige voorbeeld van die beperking van toegang tot 'n webtoepassing wat self aangebied word tot 'n enkele statiese IP op die witlys wat Firezone bestuur, sal in hierdie pos gedemonstreer word. In hierdie illustrasie is Firezone en die beskermde hulpbron in verskillende VPC-areas.
Hierdie oplossing word gereeld gebruik in die plek van die bestuur van 'n IP-witlys vir talle eindgebruikers, wat tydrowend kan wees namate die toegangslys uitbrei.
Ons doelwit is om 'n Firezone-bediener op 'n EC2-instansie op te stel om VPN-verkeer na die beperkte hulpbron te herlei. In hierdie geval dien Firezone as 'n netwerkinstaanbediener of NAT-poort om elke gekoppelde toestel 'n unieke openbare uitgang-IP te gee.
In hierdie geval het 'n EC2-instansie genaamd tc2.micro 'n Firezone-instansie daarop geïnstalleer. Gaan na die Ontplooiingsgids vir inligting oor die ontplooiing van Firezone. Met betrekking tot AWS, maak seker:
Die Firezone EC2-instansie se sekuriteitsgroep laat uitgaande verkeer na die beskermde hulpbron se IP-adres toe.
Die Firezone-instansie kom met 'n elastiese IP. Verkeer wat deur die Firezone-instansie na buitebestemmings aangestuur word, sal dit as sy bron-IP-adres hê. Die betrokke IP-adres is 52.202.88.54.
[Voeg skermkiekie in]<<<<<<<<<<<<<<<<<<<<<<<<
'n Webtoepassing wat self aangebied word, dien in hierdie geval as die beskermde hulpbron. Die webtoepassing kan slegs verkry word deur versoeke wat vanaf die IP-adres 52.202.88.54 kom. Afhangende van die hulpbron, kan dit nodig wees om inkomende verkeer op verskeie hawens en verkeerstipes toe te laat. Dit word nie in hierdie handleiding gedek nie.
[Voeg skermkiekie in]<<<<<<<<<<<<<<<<<<<<<<<<
Vertel asseblief die derde party in beheer van die beskermde hulpbron dat verkeer vanaf die statiese IP wat in Stap 1 gedefinieer is, toegelaat moet word (in hierdie geval 52.202.88.54).
By verstek sal alle gebruikersverkeer deur die VPN-bediener gaan en van die statiese IP kom wat in Stap 1 opgestel is (in hierdie geval 52.202.88.54). As gesplete tonnel egter geaktiveer is, kan instellings nodig wees om seker te maak dat die beskermde hulpbron se bestemmings-IP onder die Toegelate IP's gelys word.
Hieronder is 'n volledige lys van die konfigurasie-opsies beskikbaar in /etc/firezone/firezone.rb.
opsie | beskrywing | standaard waarde |
verstek['firezone']['external_url'] | URL wat gebruik word om toegang tot die webportaal van hierdie Firezone-instansie te kry. | “https://#{node['fqdn'] || node['gasheernaam']}” |
verstek['firezone']['config_directory'] | Topvlakgids vir Firezone-konfigurasie. | /etc/firezone' |
verstek['firezone']['install_directory'] | Top-vlak gids om Firezone te installeer. | /opt/firezone' |
verstek['firezone']['app_directory'] | Topvlakgids om die Firezone-webtoepassing te installeer. | “#{node['firezone']['install_directory']}/embedded/service/firezone” |
verstek['firezone']['log_directory'] | Top-vlak gids vir Firezone logs. | /var/log/firezone' |
verstek['firezone']['var_directory'] | Topvlakgids vir Firezone-looptydlêers. | /var/opt/firezone' |
verstek['brandsone']['gebruiker'] | Naam van onbevoorregte Linux-gebruiker waaraan die meeste dienste en lêers behoort. | vuursone' |
verstek['brandsone']['groep'] | Naam van Linux-groep waaraan die meeste dienste en lêers behoort. | vuursone' |
verstek['firezone']['admin_email'] | E-posadres vir aanvanklike Firezone-gebruiker. | "firezone@localhost" |
verstek['firezone']['max_devices_per_user'] | Maksimum aantal toestelle wat 'n gebruiker kan hê. | 10 |
verstek['firezone']['allow_unprivileged_device_management'] | Laat nie-administrateur gebruikers toe om toestelle te skep en uit te vee. | WAAR |
verstek['firezone']['allow_unprivileged_device_configuration'] | Laat nie-administrateur gebruikers toe om toestelkonfigurasies te wysig. Wanneer dit gedeaktiveer is, verhoed dit onbevoorregte gebruikers om alle toestelvelde te verander behalwe vir naam en beskrywing. | WAAR |
verstek['firezone']['egress_interface'] | Interfacenaam waar tonnelverkeer sal verlaat. Indien nul, sal die verstek roete-koppelvlak gebruik word. | nil |
verstek['firezone']['fips_enabled'] | Aktiveer of deaktiveer OpenSSL FIPs-modus. | nil |
verstek['firezone']['logging']['enabled'] | Aktiveer of deaktiveer aanmelding oor Firezone. Stel op onwaar om aantekening heeltemal uit te skakel. | WAAR |
verstek['onderneming']['naam'] | Naam gebruik deur die Chef 'onderneming'-kookboek. | vuursone' |
verstek['firezone']['install_path'] | Installeer pad wat gebruik word deur Chef 'onderneming' kookboek. Moet op dieselfde gestel word as die install_directory hierbo. | node['firezone']['install_directory'] |
verstek['firezone']['sysvinit_id'] | 'n Identifiseerder wat in /etc/inittab gebruik word. Moet 'n unieke volgorde van 1-4 karakters wees. | SUP' |
verstek['firezone']['verifikasie']['local']['enabled'] | Aktiveer of deaktiveer plaaslike e-pos-/wagwoordverifikasie. | WAAR |
verstek['firezone']['authentication']['auto_create_oidc_users'] | Skep outomaties gebruikers wat vir die eerste keer by OIDC aanmeld. Deaktiveer om slegs bestaande gebruikers toe te laat om via OIDC aan te meld. | WAAR |
verstek['firezone']['authentication']['disable_vpn_on_oidc_error'] | Deaktiveer 'n gebruiker se VPN as 'n fout bespeur word om hul OIDC-token te verfris. | ONWAAR |
verstek['firezone']['authentication']['oidc'] | OpenID Connect config, in die formaat van {“provider” => [config…]} – Sien OpenIDConnect-dokumentasie vir config voorbeelde. | {} |
verstek['firezone']['nginx']['enabled'] | Aktiveer of deaktiveer die gebundelde nginx-bediener. | WAAR |
verstek['firezone']['nginx']['ssl_port'] | HTTPS-luisterpoort. | 443 |
verstek['firezone']['nginx']['directory'] | Gids om Firezone-verwante nginx virtuele gasheerkonfigurasie te stoor. | “#{node['firezone']['var_directory']}/nginx/etc” |
verstek['firezone']['nginx']['log_directory'] | Gids om Firezone-verwante nginx-loglêers te stoor. | “#{node['firezone']['log_directory']}/nginx” |
verstek['firezone']['nginx']['log_rotation']['file_maxbytes'] | Lêergrootte waarteen Nginx-loglêers gedraai moet word. | 104857600 |
verstek['firezone']['nginx']['log_rotation']['num_to_keep'] | Aantal Firezone nginx-loglêers om te hou voordat dit weggegooi word. | 10 |
verstek['firezone']['nginx']['log_x_forwarded_for'] | Of Firezone nginx x-forwarded-for header moet aanteken. | WAAR |
verstek['firezone']['nginx']['hsts_header']['enabled'] | WAAR | |
verstek['firezone']['nginx']['hsts_header']['include_subdomains'] | Aktiveer of deaktiveer includeSubDomains vir die HSTS-opskrif. | WAAR |
verstek['firezone']['nginx']['hsts_header']['max_age'] | Maksimum ouderdom vir die HSTS-opskrif. | 31536000 |
verstek['firezone']['nginx']['redirect_to_canonical'] | Of URL's na die kanonieke FQDN hierbo gespesifiseer moet herlei moet word | ONWAAR |
verstek['firezone']['nginx']['cache']['enabled'] | Aktiveer of deaktiveer die Firezone nginx-kas. | ONWAAR |
verstek['firezone']['nginx']['cache']['directory'] | Gids vir Firezone nginx-kas. | “#{node['firezone']['var_directory']}/nginx/cache” |
verstek['firezone']['nginx']['gebruiker'] | Firezone nginx gebruiker. | node['firezone']['gebruiker'] |
verstek['firezone']['nginx']['groep'] | Firezone nginx-groep. | node['brandzone']['groep'] |
verstek['firezone']['nginx']['dir'] | Topvlak nginx-konfigurasiegids. | node['firezone']['nginx']['directory'] |
verstek['firezone']['nginx']['log_dir'] | Topvlak nginx-loggids. | node['firezone']['nginx']['log_directory'] |
verstek['firezone']['nginx']['pid'] | Ligging vir nginx pid-lêer. | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
verstek['firezone']['nginx']['daemon_disable'] | Deaktiveer nginx daemon-modus sodat ons dit eerder kan monitor. | WAAR |
verstek['firezone']['nginx']['gzip'] | Skakel nginx gzip-kompressie aan of af. | op ' |
verstek['firezone']['nginx']['gzip_static'] | Skakel nginx gzip-kompressie aan of af vir statiese lêers. | af' |
verstek['firezone']['nginx']['gzip_http_version'] | HTTP-weergawe om te gebruik vir die bediening van statiese lêers. | 1.0 ' |
verstek['firezone']['nginx']['gzip_comp_level'] | nginx gzip kompressie vlak. | 2 ' |
verstek['firezone']['nginx']['gzip_proxied'] | Aktiveer of deaktiveer gzipping van antwoorde vir gevolmagtigde versoeke, afhangende van die versoek en antwoord. | enige' |
verstek['firezone']['nginx']['gzip_vary'] | Aktiveer of deaktiveer die invoeging van die "Vary: Accept-Encoding"-antwoordopskrif. | af' |
verstek['firezone']['nginx']['gzip_buffers'] | Stel die aantal en grootte van buffers wat gebruik word om 'n antwoord saam te pers. Indien nul, word nginx standaard gebruik. | nil |
verstek['firezone']['nginx']['gzip_types'] | MIME-tipes om gzip-kompressie te aktiveer. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
verstek['firezone']['nginx']['gzip_min_length'] | Minimum lêerlengte om lêer gzip-kompressie te aktiveer vir. | 1000 |
verstek['firezone']['nginx']['gzip_disable'] | Gebruiker-agent-passing om gzip-kompressie te deaktiveer. | MSIE [1-6]\.' |
verstek['firezone']['nginx']['keepalive'] | Aktiveer kas vir verbinding met stroomop-bedieners. | op ' |
verstek['firezone']['nginx']['keepalive_timeout'] | Time-out in sekondes vir behoue verbinding met stroomop bedieners. | 65 |
verstek['firezone']['nginx']['worker_processes'] | Aantal nginx-werkerprosesse. | node['cpu'] && node['cpu']['totaal'] ? node['cpu']['totaal'] : 1 |
verstek['firezone']['nginx']['worker_connections'] | Maksimum aantal gelyktydige verbindings wat deur 'n werkerproses oopgemaak kan word. | 1024 |
verstek['firezone']['nginx']['worker_rlimit_nofile'] | Verander die limiet op die maksimum aantal oop lêers vir werkerprosesse. Gebruik nginx verstek indien nul. | nil |
verstek['firezone']['nginx']['multi_accept'] | Of werkers een verbinding op 'n slag of veelvuldige moet aanvaar. | WAAR |
verstek['firezone']['nginx']['gebeurtenis'] | Spesifiseer die verbindingsverwerkingsmetode om binne nginx-gebeurtenisse-konteks te gebruik. | epoll' |
verstek['firezone']['nginx']['server_tokens'] | Aktiveer of deaktiveer die uitstuur van nginx-weergawe op foutbladsye en in die "Server"-antwoordopskrifveld. | nil |
verstek['firezone']['nginx']['server_names_hash_bucket_size'] | Stel die emmergrootte vir die bedienername hash-tabelle. | 64 |
verstek['firezone']['nginx']['sendfile'] | Aktiveer of deaktiveer die gebruik van nginx se sendfile(). | op ' |
verstek['firezone']['nginx']['access_log_options'] | Stel nginx toegang log opsies. | nil |
verstek['firezone']['nginx']['error_log_options'] | Stel nginx fout log opsies. | nil |
verstek['firezone']['nginx']['disable_access_log'] | Deaktiveer nginx-toegangslogboek. | ONWAAR |
verstek['firezone']['nginx']['types_hash_max_size'] | nginx tipes hash maksimum grootte. | 2048 |
verstek['firezone']['nginx']['types_hash_bucket_size'] | nginx tipes hash emmer grootte. | 64 |
verstek['firezone']['nginx']['proxy_read_timeout'] | nginx-instaanbediener lees time-out. Stel op nul om nginx default te gebruik. | nil |
verstek['firezone']['nginx']['client_body_buffer_size'] | nginx kliënt liggaam buffer grootte. Stel op nul om nginx default te gebruik. | nil |
verstek['firezone']['nginx']['client_max_body_size'] | nginx kliënt maksimum liggaamsgrootte. | 250 m ' |
default['firezone']['nginx']['default']['modules'] | Spesifiseer bykomende nginx-modules. | [] |
verstek['firezone']['nginx']['enable_rate_limiting'] | Aktiveer of deaktiveer nginx-koersbeperking. | WAAR |
verstek['firezone']['nginx']['rate_limiting_zone_name'] | Nginx-tariefbeperkende sonenaam. | vuursone' |
verstek['firezone']['nginx']['rate_limiting_backoff'] | Nginx-koersbeperkende terugslag. | 10 m ' |
verstek['firezone']['nginx']['rate_limit'] | Nginx koers limiet. | 10r/s' |
verstek['firezone']['nginx']['ipv6'] | Laat nginx toe om na HTTP-versoeke vir IPv6 bykomend tot IPv4 te luister. | WAAR |
verstek['firezone']['postgresql']['enabled'] | Aktiveer of deaktiveer gebundelde Postgresql. Stel op vals en vul die databasisopsies hieronder in om jou eie Postgresql-instansie te gebruik. | WAAR |
verstek['firezone']['postgresql']['gebruikersnaam'] | Gebruikersnaam vir Postgresql. | node['firezone']['gebruiker'] |
verstek['firezone']['postgresql']['data_directory'] | Postgresql data gids. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
verstek['firezone']['postgresql']['log_directory'] | Postgresql-loggids. | “#{node['firezone']['log_directory']}/postgresql” |
verstek['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql-loglêer maksimum grootte voordat dit gedraai word. | 104857600 |
verstek['firezone']['postgresql']['log_rotation']['num_to_keep'] | Aantal Postgresql-loglêers om te hou. | 10 |
verstek['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql kontrolepunt voltooiing teiken. | 0.5 |
verstek['firezone']['postgresql']['checkpoint_segments'] | Aantal Postgresql-kontrolepuntsegmente. | 3 |
verstek['firezone']['postgresql']['checkpoint_timeout'] | Postgresql-kontrolepunt-time-out. | 5min' |
verstek['firezone']['postgresql']['checkpoint_warning'] | Postgresql kontrolepunt waarskuwing tyd in sekondes. | 30's' |
verstek['firezone']['postgresql']['effective_cache_size'] | Postgresql effektiewe kasgrootte. | 128MB' |
verstek['firezone']['postgresql']['luister_address'] | Postgresql luister adres. | 127.0.0.1 ' |
verstek['firezone']['postgresql']['max_connections'] | Postgresql max verbindings. | 350 |
verstek['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR's om voorsiening te maak vir md5 auth. | ['127.0.0.1/32', '::1/128'] |
verstek['firezone']['postgresql']['poort'] | Postgresql luisterpoort. | 15432 |
verstek['firezone']['postgresql']['shared_buffers'] | Postgresql gedeelde buffers grootte. | “#{(node['geheue']['totaal'].to_i / 4) / 1024}MB” |
verstek['firezone']['postgresql']['shmmax'] | Postgresql shmmax in grepe. | 17179869184 |
verstek['firezone']['postgresql']['shmall'] | Postgresql shmall in grepe. | 4194304 |
verstek['firezone']['postgresql']['work_mem'] | Postgresql werk geheue grootte. | 8MB' |
verstek['firezone']['databasis']['gebruiker'] | Spesifiseer die gebruikersnaam wat Firezone sal gebruik om aan die DB te koppel. | node['firezone']['postgresql']['gebruikersnaam'] |
verstek['firezone']['databasis']['wagwoord'] | As 'n eksterne DB gebruik word, spesifiseer die wagwoord wat Firezone sal gebruik om aan die DB te koppel. | verander my' |
verstek['brandzone']['databasis']['naam'] | Databasis wat Firezone sal gebruik. Sal geskep word as dit nie bestaan nie. | vuursone' |
verstek['firezone']['databasis']['gasheer'] | Databasisgasheer waarmee Firezone sal koppel. | node['firezone']['postgresql']['luister_address'] |
verstek['firezone']['databasis']['poort'] | Databasispoort waaraan Firezone sal koppel. | node['firezone']['postgresql']['poort'] |
verstek['firezone']['databasis']['poel'] | Databasis swembadgrootte Firezone sal gebruik. | [10, Ens.nverwerkers].maks |
verstek['firezone']['databasis']['ssl'] | Of om aan die databasis oor SSL te koppel. | ONWAAR |
verstek['firezone']['databasis']['ssl_opts'] | {} | |
verstek['firezone']['databasis']['parameters'] | {} | |
verstek['firezone']['databasis']['uitbreidings'] | Databasisuitbreidings om te aktiveer. | { 'plpgsql' => waar, 'pg_trgm' => waar } |
verstek['firezone']['phoenix']['enabled'] | Aktiveer of deaktiveer die Firezone-webtoepassing. | WAAR |
verstek['firezone']['phoenix']['luister_address'] | Firezone webtoepassing luister adres. Dit sal die stroomop luisteradres wees wat nginx gevolmagtig word. | 127.0.0.1 ' |
verstek['firezone']['phoenix']['poort'] | Firezone webtoepassing luisterpoort. Dit sal die stroomoppoort wees wat nginx gevolmagtig is. | 13000 |
verstek['firezone']['phoenix']['log_directory'] | Firezone-webtoepassingsloggids. | “#{node['firezone']['log_directory']}/phoenix” |
verstek['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone webtoepassing log lêer grootte. | 104857600 |
verstek['firezone']['phoenix']['log_rotation']['num_to_keep'] | Aantal Firezone-webtoepassingsloglêers om te hou. | 10 |
verstek['firezone']['phoenix']['crash_detection']['enabled'] | Aktiveer of deaktiveer die aflaai van die Firezone-webtoepassing wanneer 'n ongeluk bespeur word. | WAAR |
verstek['firezone']['phoenix']['external_trusted_proxies'] | Lys van vertroude omgekeerde gevolmagtigdes wat as 'n verskeidenheid IP's en/of CIDR's geformateer is. | [] |
verstek['firezone']['phoenix']['private_clients'] | Lys van private netwerk HTTP-kliënte, geformateer 'n Skikking van IP's en/of CIDR's. | [] |
verstek['firezone']['wireguard']['enabled'] | Aktiveer of deaktiveer gebundelde WireGuard-bestuur. | WAAR |
verstek['firezone']['wireguard']['log_directory'] | Loggids vir gebundelde WireGuard-bestuur. | “#{node['firezone']['log_directory']}/wireguard” |
verstek['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard-loglêer maksimum grootte. | 104857600 |
verstek['firezone']['wireguard']['log_rotation']['num_to_keep'] | Aantal WireGuard-loglêers om te hou. | 10 |
verstek['firezone']['wireguard']['interface_name'] | WireGuard-koppelvlaknaam. Die verandering van hierdie parameter kan 'n tydelike verlies in VPN-verbinding veroorsaak. | wg-firezone' |
verstek['firezone']['wireguard']['poort'] | WireGuard luisterpoort. | 51820 |
verstek['firezone']['wireguard']['mtu'] | WireGuard-koppelvlak MTU vir hierdie bediener en vir toestelkonfigurasies. | 1280 |
verstek['brandzone']['wireguard']['eindpunt'] | WireGuard-eindpunt om te gebruik vir die generering van toestelkonfigurasies. Indien nul, word die bediener se publieke IP-adres verstek. | nil |
verstek['firezone']['wireguard']['dns'] | WireGuard DNS om te gebruik vir gegenereerde toestelkonfigurasies. | 1.1.1.1, 1.0.0.1′ |
verstek['firezone']['wireguard']['allowed_ips'] | WireGuard het IP's toegelaat om te gebruik vir gegenereerde toestelkonfigurasies. | 0.0.0.0/0, ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | Verstek PersistentKeepalive-instelling vir gegenereerde toestelkonfigurasies. 'n Waarde van 0 deaktiveer. | 0 |
verstek['firezone']['wireguard']['ipv4']['enabled'] | Aktiveer of deaktiveer IPv4 vir WireGuard-netwerk. | WAAR |
default['firezone']['wireguard']['ipv4']['maskerade'] | Aktiveer of deaktiveer maskerade vir pakkies wat die IPv4-tonnel verlaat. | WAAR |
verstek['firezone']['wireguard']['ipv4']['netwerk'] | WireGuard-netwerk IPv4-adrespoel. | 10.3.2.0/24 ′ |
verstek['firezone']['wireguard']['ipv4']['adres'] | WireGuard-koppelvlak IPv4-adres. Moet binne WireGuard-adrespoel wees. | 10.3.2.1 ' |
verstek['firezone']['wireguard']['ipv6']['enabled'] | Aktiveer of deaktiveer IPv6 vir WireGuard-netwerk. | WAAR |
default['firezone']['wireguard']['ipv6']['maskerade'] | Aktiveer of deaktiveer maskerade vir pakkies wat die IPv6-tonnel verlaat. | WAAR |
verstek['firezone']['wireguard']['ipv6']['netwerk'] | WireGuard-netwerk IPv6-adrespoel. | fd00::3:2:0/120′ |
verstek['firezone']['wireguard']['ipv6']['adres'] | WireGuard-koppelvlak IPv6-adres. Moet binne IPv6-adrespoel wees. | fd00::3:2:1′ |
verstek['firezone']['runit']['svlogd_bin'] | Runit svlogd bin ligging. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
verstek['firezone']['ssl']['directory'] | SSL-gids vir die stoor van gegenereerde sertifikate. | /var/opt/firezone/ssl' |
verstek['firezone']['ssl']['email_address'] | E-posadres om te gebruik vir selfondertekende sertifikate en ACME-protokolhernuwingskennisgewings. | jy@voorbeeld.com' |
verstek['firezone']['ssl']['acme']['enabled'] | Aktiveer ACME vir outomatiese SSL-sertifikaatvoorsiening. Deaktiveer dit om te verhoed dat Nginx op poort 80 luister. Sien na hierdie skakel vir meer instruksies. | ONWAAR |
verstek['firezone']['ssl']['acme']['bediener'] | letsenkripteer | |
verstek['firezone']['ssl']['acme']['keylength'] | Spesifiseer die sleuteltipe en lengte vir SSL-sertifikate. Sien na hierdie skakel | EG-256 |
verstek['brandsone']['ssl']['sertifikaat'] | Pad na die sertifikaatlêer vir jou FQDN. Ignoreer ACME-instelling hierbo indien gespesifiseer. As beide ACME en hierdie nul is, sal 'n selfondertekende sertifikaat gegenereer word. | nil |
verstek['firezone']['ssl']['certificate_key'] | Pad na die sertifikaatlêer. | nil |
verstek['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nil |
verstek['firezone']['ssl']['country_name'] | Landnaam vir selfondertekende sertifikaat. | VSA' |
verstek['firezone']['ssl']['staatnaam'] | Noem naam vir selfondertekende sertifikaat. | CA ' |
verstek['firezone']['ssl']['locality_name'] | Liggingsnaam vir selfgetekende sertifikaat. | San Francisco' |
verstek['firezone']['ssl']['company_name'] | Maatskappy naam self-ondertekende sertifikaat. | My maatskappy' |
verstek['firezone']['ssl']['organizational_unit_name'] | Naam van organisasie-eenheid vir selfondertekende sertifikaat. | Bedryf' |
verstek['firezone']['ssl']['ciphers'] | SSL-syfers vir nginx om te gebruik. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
verstek['firezone']['ssl']['fips_ciphers'] | SSL-syfers vir FIPs-modus. | FIPS@STRENGTH:!aNULL:!eNULL' |
verstek['firezone']['ssl']['protokolle'] | TLS-protokolle om te gebruik. | TLSv1 TLSv1.1 TLSv1.2′ |
verstek['firezone']['ssl']['session_cache'] | SSL sessie kas. | gedeel:SSL:4m' |
verstek['firezone']['ssl']['session_timeout'] | SSL-sessie uitteltyd. | 5 m ' |
verstek['firezone']['robots_allow'] | nginx-robotte toelaat. | /' |
verstek['firezone']['robots_disallow'] | nginx-robotte laat nie toe nie. | nil |
verstek['firezone']['outbound_email']['from'] | Uitgaande e-pos vanaf adres. | nil |
verstek['firezone']['outbound_email']['provider'] | Uitgaande e-pos diensverskaffer. | nil |
verstek['firezone']['outbound_email']['configs'] | Uitgaande e-pos verskaffer konfigurasies. | sien omnibus/kookboeke/firezone/attributes/default.rb |
verstek['firezone']['telemetrie']['enabled'] | Aktiveer of deaktiveer anonieme produktelemetrie. | WAAR |
verstek['firezone']['connectivity_checks']['enabled'] | Aktiveer of deaktiveer die Firezone-verbindingskontrolediens. | WAAR |
verstek['firezone']['connectivity_checks']['interval'] | Interval tussen konneksiekontroles in sekondes. | 3_600 |
________________________________________________________________
Hier vind u 'n lys van lêers en gidse wat verband hou met 'n tipiese Firezone-installasie. Dit kan verander na gelang van veranderinge aan jou konfigurasielêer.
pad | beskrywing |
/var/opt/firezone | Topvlakgids wat data en gegenereerde opstelling vir Firezone-gebundelde dienste bevat. |
/opt/brandsone | Topvlakgids wat geboude biblioteke, binaries en runtime-lêers bevat wat deur Firezone benodig word. |
/usr/bin/firezone-ctl | firezone-ctl-nut vir die bestuur van jou Firezone-installasie. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd-eenheidlêer om die Firezone runsvdir-toesighouerproses te begin. |
/etc/firezone | Firezone-konfigurasielêers. |
__________________________________________________________
Hierdie bladsy was leeg in dokumente
_____________________________________________________________
Die volgende nftables-firewall-sjabloon kan gebruik word om die bediener wat Firezone gebruik, te beveilig. Die sjabloon maak wel 'n paar aannames; jy sal dalk die reëls moet aanpas om by jou gebruiksgeval te pas:
Firezone stel sy eie nftables-reëls op om verkeer toe te laat/verwerp na bestemmings wat in die webkoppelvlak gekonfigureer is en om uitgaande NAT vir kliëntverkeer te hanteer.
Die toepassing van die onderstaande firewall-sjabloon op 'n bediener wat reeds loop (nie tydens selflaaityd nie) sal daartoe lei dat die Firezone-reëls uitgevee word. Dit kan sekuriteitsimplikasies hê.
Om dit te omseil, herbegin die feniks-diens:
firezone-ctl herbegin feniks
#!/usr/sbin/nft -f
## Vee/spoel alle bestaande reëls uit
spoel reëls
################################ VERANDERLIKES ################# ###############
## Internet/WAN-koppelvlaknaam
definieer DEV_WAN = eth0
## WireGuard-koppelvlaknaam
definieer DEV_WIREGUARD = wg-brandsone
## WireGuard-luisterpoort
definieer WIREGUARD_PORT = 51820
############################ VERANDERLIKE EINDE ################## ############
# Hoof inet familie filter tabel
tabel inet filter {
# Reëls vir aangestuurde verkeer
# Hierdie ketting word voor die Firezone vorentoe ketting verwerk
ketting vorentoe {
tipe filter haak vorentoe prioriteit filter – 5; beleid aanvaar
}
# Reëls vir invoerverkeer
kettinginvoer {
tipe filter haak invoer prioriteit filter; beleid daling
## Laat inkomende verkeer na teruglus-koppelvlak toe
as jy \
aanvaar \
kommentaar lewer "Laat alle verkeer toe vanaf terugloop-koppelvlak"
## Laat gevestigde en verwante verbindings toe
ct staat gestig, verwante \
aanvaar \
kommentaar lewer "Laat gevestigde/verwante verbindings toe"
## Laat inkomende WireGuard-verkeer toe
iif $DEV_WAN udp dport $WIREGUARD_PORT \
toonbank \
aanvaar \
kommentaar lewer "Laat inkomende WireGuard-verkeer toe"
## Teken en los nuwe TCP-nie-SYN-pakkies
tcp-vlae != sin ct state new \
limiet koers 100/minuut bars 150 pakkies \
log voorvoegsel “IN – Nuwe !SYN: “ \
kommentaar lewer "Kostelimiet-aantekening vir nuwe verbindings wat nie die SYN TCP-vlag gestel het nie"
tcp-vlae != sin ct state new \
toonbank \
laat val \
kommentaar lewer "Laat nuwe verbindings los wat nie die SYN TCP-vlag gestel het nie"
## Teken en los TCP-pakkies met ongeldige fin/syn-vlagstel
tcp vlae & (fin|syn) == (fin|syn) \
limiet koers 100/minuut bars 150 pakkies \
log voorvoegsel “IN – TCP FIN|SIN: “ \
kommentaar lewer “Kostelimiet-aantekening vir TCP-pakkies met ongeldige fin/syn-vlagstel”
tcp vlae & (fin|syn) == (fin|syn) \
toonbank \
laat val \
kommentaar lewer "Laat TCP-pakkies met ongeldige fin/syn-vlagstel los"
## Teken en los TCP-pakkies met ongeldige syn/eerste vlagstel
tcp-vlae & (syn|rst) == (syn|rst) \
limiet koers 100/minuut bars 150 pakkies \
log voorvoegsel “IN – TCP SYN|RST: “ \
kommentaar lewer “Kostelimiet-aantekening vir TCP-pakkies met ongeldige syn/eerste vlagstel”
tcp-vlae & (syn|rst) == (syn|rst) \
toonbank \
laat val \
kommentaar lewer "Laat TCP-pakkies met ongeldige syn/rst vlag stel"
## Teken en laat val ongeldige TCP-vlae
tcp-vlae & (fin|syn|rst|psh|ack|urg) < (fin) \
limiet koers 100/minuut bars 150 pakkies \
log voorvoegsel “IN – FIN:” \
kommentaar lewer “Kostelimiet-aantekening vir ongeldige TCP-vlae (fin|syn|rst|psh|ack|urg) < (fin)”
tcp-vlae & (fin|syn|rst|psh|ack|urg) < (fin) \
toonbank \
laat val \
kommentaar lewer "Laat TCP-pakkies met vlae (fin|syn|rst|psh|ack|urg) < (fin)"
## Teken en laat val ongeldige TCP-vlae
tcp-vlae & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
limiet koers 100/minuut bars 150 pakkies \
log voorvoegsel “IN – FIN|PSH|URG:” \
kommentaar lewer “Kostelimiet-aantekening vir ongeldige TCP-vlae (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
tcp-vlae & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
toonbank \
laat val \
kommentaar lewer "Laat TCP-pakkies met vlae (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Verlaat verkeer met ongeldige verbindingstoestand
ct staat ongeldig \
limiet koers 100/minuut bars 150 pakkies \
log vlae alle voorvoegsel “IN – Ongeldig: “ \
kommentaar lewer "Kostelimiet-aantekening vir verkeer met ongeldige verbindingstatus"
ct staat ongeldig \
toonbank \
laat val \
kommentaar lewer "Laat verkeer met ongeldige verbindingstatus los"
## Laat IPv4 ping/ping-reaksies toe, maar tariefbeperk tot 2000 PPS
ip protokol icmp icmp tipe { eggo-antwoord, eggo-versoek } \
limiet koers 2000/sekonde \
toonbank \
aanvaar \
kommentaar lewer "Laat inkomende IPv4 eggo (ping) toe beperk tot 2000 PPS"
## Laat alle ander inkomende IPv4 ICMP toe
ip protokol icmp \
toonbank \
aanvaar \
kommentaar lewer "Laat alle ander IPv4 ICMP toe"
## Laat IPv6 ping/ping-reaksies toe, maar tariefbeperk tot 2000 PPS
icmpv6 tipe { eggo-antwoord, eggo-versoek } \
limiet koers 2000/sekonde \
toonbank \
aanvaar \
kommentaar lewer "Laat inkomende IPv6 eggo (ping) toe beperk tot 2000 PPS"
## Laat alle ander inkomende IPv6 ICMP toe
meta l4proto {icmpv6} \
toonbank \
aanvaar \
kommentaar lewer "Laat alle ander IPv6 ICMP toe"
## Laat inkomende traceroute UDP-poorte toe, maar beperk tot 500 PPS
udp dport 33434-33524 \
limiet koers 500/sekonde \
toonbank \
aanvaar \
kommentaar lewer "Laat inkomende UDP-spoorweg toe beperk tot 500 PPS"
## Laat inkomende SSH toe
tcp dport ssh ct staat nuwe \
toonbank \
aanvaar \
kommentaar lewer "Laat inkomende SSH-verbindings toe"
## Laat inkomende HTTP en HTTPS toe
tcp dport { http, https } ct state new \
toonbank \
aanvaar \
kommentaar lewer "Laat inkomende HTTP- en HTTPS-verbindings toe"
## Teken enige ongeëwenaarde verkeer aan, maar tarief beperk aantekening tot 'n maksimum van 60 boodskappe/minuut
## Die verstekbeleid sal toegepas word op ongeëwenaarde verkeer
limiet koers 60/minuut bars 100 pakkies \
log voorvoegsel "IN - Drop: " \
kommentaar lewer "Teg enige ongeëwenaarde verkeer aan"
## Tel die ongeëwenaarde verkeer
toonbank \
kommentaar lewer "Tel enige ongeëwenaarde verkeer"
}
# Reëls vir uitsetverkeer
ketting uitset {
tipe filter haak uitset prioriteit filter; beleid daling
## Laat uitgaande verkeer na teruglus-koppelvlak toe
oif kyk \
aanvaar \
kommentaar lewer "Laat alle verkeer toe na teruglus-koppelvlak"
## Laat gevestigde en verwante verbindings toe
ct staat gestig, verwante \
toonbank \
aanvaar \
kommentaar lewer "Laat gevestigde/verwante verbindings toe"
## Laat uitgaande WireGuard-verkeer toe voordat verbindings met 'n slegte toestand laat val
oif $DEV_WAN udp sport $WIREGUARD_PORT \
toonbank \
aanvaar \
kommentaar lewer "Laat WireGuard uitgaande verkeer toe"
## Verlaat verkeer met ongeldige verbindingstoestand
ct staat ongeldig \
limiet koers 100/minuut bars 150 pakkies \
log vlae alle voorvoegsel “UIT – Ongeldig: “ \
kommentaar lewer "Kostelimiet-aantekening vir verkeer met ongeldige verbindingstatus"
ct staat ongeldig \
toonbank \
laat val \
kommentaar lewer "Laat verkeer met ongeldige verbindingstatus los"
## Laat alle ander uitgaande IPv4 ICMP toe
ip protokol icmp \
toonbank \
aanvaar \
kommentaar lewer "Laat alle IPv4 ICMP-tipes toe"
## Laat alle ander uitgaande IPv6 ICMP toe
meta l4proto {icmpv6} \
toonbank \
aanvaar \
kommentaar lewer "Laat alle IPv6 ICMP-tipes toe"
## Laat uitgaande traceroute UDP-poorte toe, maar beperk tot 500 PPS
udp dport 33434-33524 \
limiet koers 500/sekonde \
toonbank \
aanvaar \
kommentaar lewer "Laat uitgaande UDP-spoorroete toe beperk tot 500 PPS"
## Laat uitgaande HTTP- en HTTPS-verbindings toe
tcp dport { http, https } ct state new \
toonbank \
aanvaar \
kommentaar lewer "Laat uitgaande HTTP- en HTTPS-verbindings toe"
## Laat uitgaande SMTP-indiening toe
tcp dport indiening ct staat nuut \
toonbank \
aanvaar \
kommentaar lewer "Laat uitgaande SMTP-indiening toe"
## Laat uitgaande DNS-versoeke toe
udp dport 53 \
toonbank \
aanvaar \
kommentaar lewer "Laat uitgaande UDP DNS-versoeke toe"
tcp dport 53 \
toonbank \
aanvaar \
kommentaar lewer "Laat uitgaande TCP DNS-versoeke toe"
## Laat uitgaande NTP-versoeke toe
udp dport 123 \
toonbank \
aanvaar \
kommentaar lewer "Laat uitgaande NTP-versoeke toe"
## Teken enige ongeëwenaarde verkeer aan, maar tarief beperk aantekening tot 'n maksimum van 60 boodskappe/minuut
## Die verstekbeleid sal toegepas word op ongeëwenaarde verkeer
limiet koers 60/minuut bars 100 pakkies \
log voorvoegsel "UIT - Drop: " \
kommentaar lewer "Teg enige ongeëwenaarde verkeer aan"
## Tel die ongeëwenaarde verkeer
toonbank \
kommentaar lewer "Tel enige ongeëwenaarde verkeer"
}
}
# Hoof NAT-filtertabel
tabel inet nat {
# Reëls vir NAT-verkeer vooraf-roetering
ketting prerouting {
tik nat haak prerouting prioriteit dstnat; beleid aanvaar
}
# Reëls vir NAT-verkeer na-roetering
# Hierdie tabel word verwerk voor die Firezone na-roeteringketting
ketting postrouting {
tik nat haak postrouting prioriteit srcnat – 5; beleid aanvaar
}
}
Die firewall moet op die toepaslike plek gestoor word vir die Linux-verspreiding wat loop. Vir Debian/Ubuntu is dit /etc/nftables.conf en vir RHEL is dit /etc/sysconfig/nftables.conf.
nftables.service sal gekonfigureer moet word om te begin met selflaai (indien nie reeds nie) gestel:
systemctl aktiveer nftables.service
As enige veranderinge aan die firewall-sjabloon aangebring word, kan die sintaksis bekragtig word deur die check-opdrag uit te voer:
nft -f /pad/na/nftables.conf -c
Maak seker dat die firewall werk soos verwag, aangesien sekere nftables-kenmerke dalk nie beskikbaar is nie, afhangende van die vrystelling wat op die bediener loop.
_______________________________________________________________
Hierdie dokument bied 'n oorsig van die telemetrie wat Firezone insamel van jou instansie wat self aangebied word en hoe om dit te deaktiveer.
Vuurzone staatmaak op telemetrie om ons padkaart te prioritiseer en die ingenieurshulpbronne wat ons het, te optimaliseer om Firezone vir almal beter te maak.
Die telemetrie wat ons versamel het ten doel om die volgende vrae te beantwoord:
Daar is drie hoofplekke waar telemetrie in Firezone ingesamel word:
In elk van hierdie drie kontekste vang ons die minimum hoeveelheid data vas wat nodig is om die vrae in die afdeling hierbo te beantwoord.
Admin-e-posse word slegs ingesamel as jy uitdruklik inteken op produkopdaterings. Andersins is persoonlik identifiseerbare inligting nooit ingesamel.
Firezone stoor telemetrie in 'n self-gehoste instansie van PostHog wat in 'n private Kubernetes-kluster loop, slegs toeganklik vir die Firezone-span. Hier is 'n voorbeeld van 'n telemetrie-gebeurtenis wat vanaf jou instansie van Firezone na ons telemetriebediener gestuur word:
{
"id": “0182272d-0b88-0000-d419-7b9a413713f1”,
"tydstempel": “2022-07-22T18:30:39.748000+00:00”,
"gebeurtenis": "fz_http_begin",
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"eiendomme":{
“$geoip_city_name”: "Ashburn",
“$geoip_continent_code”: "NA",
“$geoip_continent_name”: "Noord-Amerika",
“$geoip_country_code”: "ONS",
“$geoip_country_name”: "Verenigde State",
“$geoip_latitude”: 39.0469,
“$geoip_lengtegraad”: -77.4903,
“$geoip_poskode”: "20149",
“$geoip_subdivision_1_code”: "VA",
“$geoip_subdivision_1_name”: "Virginia",
“$geoip_time_zone”: “Amerika/New_York”,
“$ip”: "52.200.241.107",
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”[
"GeoIP (3)"
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "linux 5.13.0",
"weergawe": "0.4.6"
},
"elemente_ketting": ""
}
AANTEKENINGE
Die Firezone-ontwikkelingspan staatmaak oor produkontledings om Firezone vir almal beter te maak. Om telemetrie aangeskakel te laat is die enkele mees waardevolle bydrae wat jy tot Firezone se ontwikkeling kan maak. Dit gesê, ons verstaan dat sommige gebruikers hoër privaatheid- of sekuriteitsvereistes het en verkies om telemetrie heeltemal uit te skakel. As dit jy is, hou aan lees.
Telemetrie is by verstek geaktiveer. Om produktelemetrie heeltemal te deaktiveer, stel die volgende konfigurasie-opsie op vals in /etc/firezone/firezone.rb en hardloop sudo firezone-ctl reconfigure om die veranderinge op te tel.
verstek['brandsone']['telemetrie']['aangeskakel']= valse
Dit sal alle produktelemetrie heeltemal deaktiveer.
Haelbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Tel: (732) 771-9995
E-pos: info@hailbytes.com