valikko
Tässä on vaiheittaiset ohjeet Hailbytes VPN:n käyttöönottoon Firezone GUI:lla.
Hallinnoi: Palvelimen ilmentymän määrittäminen liittyy suoraan tähän osaan.
Käyttöoppaat: Hyödyllisiä asiakirjoja, jotka voivat opettaa Firezonen käyttöä ja tyypillisten ongelmien ratkaisemista. Kun palvelin on otettu käyttöön, katso tämä osa.
Jaettu tunnelointi: Käytä VPN:ää lähettääksesi liikennettä vain tietyille IP-alueille.
Sallittujen luetteloon lisääminen: Aseta VPN-palvelimen staattinen IP-osoite, jotta voit käyttää sallittujen luetteloa.
Käänteiset tunnelit: Luo tunneleita useiden vertaisten välillä käyttämällä käänteisiä tunneleita.
Autamme sinua mielellämme, jos tarvitset apua Hailbytes VPN:n asennuksessa, mukauttamisessa tai käytössä.
Ennen kuin käyttäjät voivat tuottaa tai ladata laitteen määritystiedostoja, Firezone voidaan määrittää vaatimaan todennusta. Käyttäjät saattavat myös joutua todentamaan ajoittain uudelleen, jotta VPN-yhteys pysyy aktiivisena.
Vaikka Firezonen oletusarvoinen kirjautumistapa on paikallinen sähköposti ja salasana, se voidaan myös integroida mihin tahansa standardoituun OpenID Connect (OIDC) -identiteetin tarjoajaan. Käyttäjät voivat nyt kirjautua Firezoneen Okta-, Google-, Azure AD- tai yksityisen identiteetin tarjoajan tunnistetiedoilla.
Integroi yleinen OIDC-toimittaja
Firezonen tarvitsemat konfigurointiparametrit OIDC-palveluntarjoajan SSO:n sallimiseksi on esitetty alla olevassa esimerkissä. Osoitteessa /etc/firezone/firezone.rb voit löytää asetustiedoston. Päivitä sovellus ja ota muutokset käyttöön suorittamalla firezone-ctl uudelleenkonfigurointi ja käynnistämällä firezone-ctl uudelleen.
# Tämä on esimerkki Googlen ja Oktan käyttämisestä SSO-identiteetin tarjoajana.
# Useita OIDC-määrityksiä voidaan lisätä samaan Firezone-instanssiin.
# Firezone voi poistaa käyttäjän VPN:n käytöstä, jos yritettäessä havaitaan virhe
# päivittääksesi pääsytunnuksensa. Tämä on vahvistettu toimivaksi Googlelle, Oktalle ja
# Azure SSO ja sitä käytetään automaattisesti katkaisemaan käyttäjän VPN, jos ne poistetaan
# OIDC-palveluntarjoajalta. Jätä tämä pois päältä, jos OIDC-palveluntarjoajasi
#:llä on ongelmia pääsytunnusten päivittämisessä, koska se voi odottamatta keskeyttää a
# käyttäjän VPN-istunto.
oletus['firezone']['authentication']['disable_vpn_on_oidc_error'] = false
oletus['firezone']['authentication']['oidc'] = {
Google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
Asiakastunnus: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
vastauksen_tyyppi: "koodi",
soveltamisala: "avoin sähköpostiprofiili",
otsikko: "Google"
},
okta: {
Discovery_document_uri: "https:// /.well-known/openid-configuration",
Asiakastunnus: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
vastauksen_tyyppi: "koodi",
soveltamisala: "avoin sähköpostiprofiili offline_access",
etiketti: "Okta"
}
}
Integrointiin tarvitaan seuraavat konfigurointiasetukset:
Jokaiselle OIDC-palveluntarjoajalle luodaan vastaava kaunis URL-osoite, joka ohjaa määritetyn palveluntarjoajan kirjautumis-URL-osoitteeseen. Yllä olevan OIDC-esimerkin URL-osoitteet ovat:
Palveluntarjoajat, joilla meillä on asiakirjoja:
Jos identiteetintarjoajallasi on yleinen OIDC-liitin eikä sitä ole yllä lueteltu, katso heidän dokumentaatiostaan tietoja tarvittavien kokoonpanoasetusten noutamisesta.
Asetukset/turvallisuus-kohdassa olevaa asetusta voidaan muuttaa vaatimaan säännöllistä uudelleentodennusta. Tätä voidaan käyttää pakottamaan käyttäjien liittymään Firezoneen säännöllisesti VPN-istunnon jatkamiseksi.
Istunnon pituus voidaan määrittää yhdestä tunnista yhdeksäänkymmeneen päivään. Asettamalla tämän arvoksi Ei koskaan, voit ottaa VPN-istunnot käyttöön milloin tahansa. Tämä on standardi.
Käyttäjän on lopetettava VPN-istuntonsa ja kirjauduttava sisään Firezone-portaaliin voidakseen todentaa vanhentuneen VPN-istunnon (URL-osoite määritettiin käyttöönoton aikana).
Voit todentaa istunnon uudelleen noudattamalla täältä löytyviä tarkkoja asiakasohjeita.
VPN-yhteyden tila
Käyttäjät-sivun VPN-yhteystaulukon sarake näyttää käyttäjän yhteyden tilan. Nämä ovat yhteyden tilat:
KÄYTÖSSÄ – Yhteys on käytössä.
POIS KÄYTÖSTÄ – Yhteys on poistettu käytöstä järjestelmänvalvojan tai OIDC-päivitysvirheen vuoksi.
PÄÄNTYNYT – Yhteys on poistettu käytöstä todennuksen vanhenemisen vuoksi tai käyttäjä ei ole kirjautunut sisään ensimmäistä kertaa.
Yleisen OIDC-liittimen kautta Firezone mahdollistaa kertakirjautumisen (SSO) Google Workspacen ja Cloud Identityn avulla. Tämä opas näyttää, kuinka saat alla luetellut konfigurointiparametrit, jotka ovat välttämättömiä integroinnissa:
1. OAuth-määritysnäyttö----
Jos tämä on ensimmäinen kerta, kun luot uutta OAuth-asiakastunnusta, sinua pyydetään määrittämään suostumusnäyttö.
*Valitse käyttäjätyypiksi Sisäinen. Tämä varmistaa, että vain Google Workspace -organisaatiosi käyttäjille kuuluvat tilit voivat luoda laitemäärityksiä. ÄLÄ valitse Ulkoinen, ellet halua antaa kenen tahansa, jolla on voimassa oleva Google-tili, luoda laiteasetuksia.
Sovelluksen tiedot -näytössä:
2. Luo OAuth-asiakastunnukset----
Tämä osio perustuu Googlen omaan dokumentaatioon OAuth 2.0:n määrittäminen.
Käy Google Cloud Consolessa Tunnistetiedot-sivu -sivulla, napsauta + Luo tunnistetiedot ja valitse OAuth-asiakastunnus.
OAuth-asiakastunnuksen luontinäytössä:
Kun olet luonut OAuth-asiakastunnuksen, sinulle annetaan asiakastunnus ja asiakassalaisuus. Näitä käytetään yhdessä uudelleenohjaus-URI:n kanssa seuraavassa vaiheessa.
muokata /etc/firezone/firezone.rb sisällyttääksesi alla olevat vaihtoehdot:
# Googlen käyttäminen SSO-identiteetin tarjoajana
oletus['firezone']['authentication']['oidc'] = {
Google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
Asiakastunnus: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
vastauksen_tyyppi: "koodi",
soveltamisala: "avoin sähköpostiprofiili",
otsikko: "Google"
}
}
Päivitä sovellus suorittamalla firezone-ctl konfigurointi uudelleen ja käynnistämällä firezone-ctl uudelleen. Sinun pitäisi nyt nähdä Kirjaudu sisään Googlella -painike Firezone-juuri-URL-osoitteessa.
Firezone käyttää yleistä OIDC-liitintä helpottaakseen kertakirjautumista (SSO) Oktan kanssa. Tämä opetusohjelma näyttää, kuinka saat alla luetellut konfigurointiparametrit, jotka ovat välttämättömiä integraatiota varten:
Tämä oppaan osa perustuu Oktan dokumentaatio.
Siirry hallintakonsolissa kohtaan Sovellukset > Sovellukset ja napsauta Luo sovellusintegraatio. Aseta sisäänkirjautumistavaksi OICD – OpenID Connect ja Sovellustyypiksi Web-sovellus.
Määritä nämä asetukset:
Kun asetukset on tallennettu, sinulle annetaan Client ID, Client Secret ja Okta Domain. Näitä kolmea arvoa käytetään vaiheessa 3 Firezonen määrittämiseen.
muokata /etc/firezone/firezone.rb sisällyttääksesi alla olevat vaihtoehdot. Sinun Discovery_document_url on /.well-known/openid-configuration liitetty tekstisi loppuun okta_domain.
# Oktan käyttäminen SSO-identiteetin tarjoajana
oletus['firezone']['authentication']['oidc'] = {
okta: {
Discovery_document_uri: "https:// /.well-known/openid-configuration",
Asiakastunnus: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
vastauksen_tyyppi: "koodi",
soveltamisala: "avoin sähköpostiprofiili offline_access",
etiketti: "Okta"
}
}
Päivitä sovellus suorittamalla firezone-ctl konfigurointi uudelleen ja käynnistämällä firezone-ctl uudelleen. Sinun pitäisi nyt nähdä Kirjaudu sisään Okta-painikkeella Firezone-juuriosoitteessa.
Okta voi rajoittaa käyttäjiä, jotka voivat käyttää Firezone-sovellusta. Suorita tämä siirtymällä Okta-hallintakonsolin Firezone App Integrationin Tehtävät-sivulle.
Yleisen OIDC-liittimen kautta Firezone mahdollistaa kertakirjautumisen (SSO) Azure Active Directoryn avulla. Tämä opas näyttää, kuinka saat alla luetellut konfigurointiparametrit, jotka ovat välttämättömiä integrointia varten:
Tämä opas on peräisin Azure Active Directory Docs.
Siirry Azure-portaalin Azure Active Directory -sivulle. Valitse Hallinnoi-valikko, valitse Uusi rekisteröinti ja rekisteröidy antamalla alla olevat tiedot:
Rekisteröitymisen jälkeen avaa sovelluksen tietonäkymä ja kopioi Sovelluksen (asiakas) tunnus. Tämä on client_id-arvo. Avaa seuraavaksi päätepistevalikko noutaaksesi OpenID Connect -metatietoasiakirja. Tämä on Discovery_document_uri-arvo.
Luo uusi asiakassalaisuus napsauttamalla Hallinnoi-valikon kohtaa Varmenteet ja salaisuudet. Kopioi asiakkaan salaisuus; asiakkaan salainen arvo on tämä.
Valitse lopuksi Hallinnoi-valikosta API-oikeudet -linkki ja napsauta Lisää lupa, ja valitse Microsoft Graph, lisätä email, avoin, offline_access ja profiili vaadituille luville.
muokata /etc/firezone/firezone.rb sisällyttääksesi alla olevat vaihtoehdot:
# Azure Active Directoryn käyttäminen SSO-identiteetin tarjoajana
oletus['firezone']['authentication']['oidc'] = {
taivaansininen: {
Discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
Asiakastunnus: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
vastauksen_tyyppi: "koodi",
soveltamisala: "avoin sähköpostiprofiili offline_access",
etiketti: "Azure"
}
}
Päivitä sovellus suorittamalla firezone-ctl konfigurointi uudelleen ja käynnistämällä firezone-ctl uudelleen. Sinun pitäisi nyt nähdä Kirjaudu sisään Azurella -painike Firezone-juuriosoitteessa.
Azure AD:n avulla järjestelmänvalvojat voivat rajoittaa sovellusten käyttöoikeuden tiettyyn yrityksesi käyttäjäryhmään. Lisätietoja tämän tekemisestä on Microsoftin ohjeissa.
Firezone käyttää Chef Omnibusia tehtävien hallintaan, kuten julkaisupakkaukseen, prosessien valvontaan, lokinhallintaan ja muihin tehtäviin.
Ruby-koodi muodostaa ensisijaisen asetustiedoston, joka sijaitsee osoitteessa /etc/firezone/firezone.rb. Kun sudo firezone-ctl reconfigure käynnistetään uudelleen tähän tiedostoon tehtyjen muutosten jälkeen, Chef tunnistaa muutokset ja ottaa ne käyttöön nykyisessä käyttöjärjestelmässä.
Katso konfigurointitiedoston viitteestä täydellinen luettelo konfiguraatiomuuttujista ja niiden kuvauksista.
Firezone-esiintymääsi voidaan hallita käyttämällä firezone-ctl komento alla olevan kuvan mukaisesti. Useimmat alikomennot edellyttävät etuliitettä kanssa sudo.
root@demo:~# firezone-ctl
omnibus-ctl: komento (alikomento)
Yleiset komennot:
puhdistaa
Poista *kaikki* firezone-tiedot ja aloita alusta.
luo-or-reset-admin
Nollaa järjestelmänvalvojan salasanan oletusarvoisesti määritetyllä sähköpostiosoitteella['firezone']['admin_email'] tai luo uuden järjestelmänvalvojan, jos kyseistä sähköpostiosoitetta ei ole olemassa.
auttaa
Tulosta tämä ohjeviesti.
reconfigure
Määritä sovellus uudelleen.
nollaa verkko
Palauttaa nftablesin, WireGuard-liitännän ja reititystaulukon Firezone-oletusasetuksiin.
show-config
Näytä kokoonpano, joka luodaan uudelleenmäärityksellä.
purkuverkko
Poistaa WireGuard-liitännän ja firezone nftables -taulukon.
pakottaa sertifikaatin uusiminen
Pakota varmenteen uusiminen nyt, vaikka se ei olisi vanhentunut.
stop-cert-renewal
Poistaa cronjobin, joka uusii varmenteita.
poistaa
Tapa kaikki prosessit ja poista prosessinvalvojan asennus (tiedot säilytetään).
versio
Näytä Firezonen nykyinen versio
Palvelunhallinnan komennot:
siro-tappaa
Yritä sulkea siro ja SIGKILL sitten koko prosessiryhmä.
hup
Lähetä palveluille HUP.
int
Lähetä palveluille INT.
tappaa
Lähetä palveluille KILL.
kerran
Käynnistä palvelut, jos ne ovat poissa. Älä käynnistä niitä uudelleen, jos ne pysähtyvät.
uudelleenkäynnistys
Pysäytä palvelut, jos ne ovat käynnissä, ja käynnistä ne sitten uudelleen.
palveluluettelo
Luettele kaikki palvelut (käytössä olevat palvelut näkyvät *-merkillä.)
Alkaa
Käynnistä palvelut, jos ne eivät toimi, ja käynnistä ne uudelleen, jos ne pysähtyvät.
tila
Näytä kaikkien palveluiden tila.
pysäkki
Pysäytä palvelut, äläkä käynnistä niitä uudelleen.
pyrstö
Katso kaikkien käytössä olevien palveluiden palvelulokit.
termi
Lähetä palveluille TERM.
usr1
Lähetä palveluille USR1.
usr2
Lähetä palveluille USR2.
Kaikki VPN-istunnot on lopetettava ennen Firezonen päivittämistä, mikä edellyttää myös verkkokäyttöliittymän sulkemista. Jos jokin menee pieleen päivityksen aikana, suosittelemme varaamaan tunnin huoltoon.
Voit parantaa Firezonea seuraavasti:
Jos ongelmia ilmenee, ilmoita siitä meille mennessä tukilipun lähettäminen.
0.5.0:ssa on muutamia rikkoutuvia muutoksia ja konfiguraatiomuutoksia, jotka on otettava huomioon. Lue lisää alta.
Nginx ei enää tue pakotettuja SSL- ja ei-SSL-porttiparametreja versiosta 0.5.0 alkaen. Koska Firezone tarvitsee SSL:n toimiakseen, suosittelemme poistamaan Nginx-paketin asettamalla oletus['firezone']['nginx']['enabled'] = false ja ohjaamaan käänteisen välityspalvelimen sen sijaan Phoenix-sovellukseen portissa 13000 (oletuksena). ).
0.5.0 ottaa käyttöön ACME-protokollan tuen SSL-sertifikaattien automaattiseen uusimiseen Nginx-palvelun avulla. Mahdollistaa,
Mahdollisuus lisätä sääntöjä päällekkäisillä kohteilla on poissa Firezone 0.5.0:ssa. Siirtokomentosarjamme tunnistaa nämä tilanteet automaattisesti päivityksen yhteydessä versioon 0.5.0 ja säilyttää vain ne säännöt, joiden kohde sisältää toisen säännön. Sinun ei tarvitse tehdä mitään, jos tämä on kunnossa.
Muussa tapauksessa suosittelemme muuttamaan sääntöjä ennen päivitystä päästäksesi eroon näistä tilanteista.
Firezone 0.5.0 poistaa tuen vanhan tyylisille Okta- ja Google SSO -kokoonpanoille uuden, joustavamman OIDC-pohjaisen kokoonpanon hyväksi.
Jos sinulla on määritykset oletusavaimilla ['firezone']['authentication']['okta'] tai oletusavaimilla ['firezone']['authentication']['google'], sinun on siirrettävä ne OIDC:hen. -pohjainen konfigurointi alla olevan oppaan avulla.
Olemassa olevat Google OAuth -määritykset
Poista nämä vanhat Google OAuth -määritykset sisältävät rivit määritystiedostostasi, joka sijaitsee osoitteessa /etc/firezone/firezone.rb
oletus['firezone']['todennus']['google']['enabled']
oletus['firezone']['todennus']['google']['client_id']
oletus['firezone']['todennus']['google']['client_secret']
oletus['firezone']['todennus']['google']['redirect_uri']
Määritä sitten Google OIDC-palveluntarjoajaksi noudattamalla tässä olevia ohjeita.
(Anna linkin ohjeet)<<<<<<<<<<<<<<<<<
Määritä olemassa oleva Google OAuth
Poista nämä vanhat Okta OAuth -määritykset sisältävät rivit määritystiedostosta, joka sijaitsee osoitteessa /etc/firezone/firezone.rb
oletus['firezone']['todennus']['okta']['käytössä']
oletus['firezone']['todennus']['okta']['client_id']
oletus['firezone']['todennus']['okta']['client_secret']
Oletus['firezone']['todennus']['okta']['site']
Määritä sitten Okta OIDC-palveluntarjoajaksi noudattamalla tässä olevia ohjeita.
Noudata alla olevia ohjeita nykyisestä asetuksestasi ja versiostasi riippuen:
Jos sinulla on jo OIDC-integraatio:
Joillekin OIDC-palveluntarjoajille päivittäminen arvoon >= 0.3.16 edellyttää päivitystunnuksen hankkimista offline-käyttöalueelle. Tällä varmistetaan, että Firezone päivittää identiteetintarjoajan kanssa ja että VPN-yhteys katkeaa käyttäjän poistamisen jälkeen. Firezonen aikaisemmista iteraatioista puuttui tämä ominaisuus. Joissakin tapauksissa käyttäjät, jotka on poistettu henkilöllisyydentarjoajaltasi, voivat silti olla yhteydessä VPN-verkkoon.
Offline-käyttö on sisällytettävä OIDC-määrityksen laajuusparametriin sellaisille OIDC-palveluntarjoajille, jotka tukevat offline-käyttöaluetta. Firezone-ctl reconfigure on suoritettava, jotta muutokset voidaan ottaa käyttöön Firezone-määritystiedostoon, joka sijaitsee osoitteessa /etc/firezone/firezone.rb.
OIDC-palveluntarjoajasi todentamien käyttäjien kohdalla näet OIDC Connections -otsikon verkkokäyttöliittymän käyttäjätietosivulla, jos Firezone pystyy noutamaan päivitystunnuksen.
Jos tämä ei auta, sinun on poistettava olemassa oleva OAuth-sovelluksesi ja toistettava OIDC:n asennusvaiheet luo uusi sovellusintegraatio .
Minulla on olemassa OAuth-integraatio
Ennen versiota 0.3.11 Firezone käytti valmiiksi määritettyjä OAuth2-palveluntarjoajia.
Noudattaa ohjeita tätä siirtyäksesi OIDC:hen.
En ole integroinut identiteetin tarjoajaa
Toimia ei tarvita.
Voit seurata ohjeita tätä ottaaksesi SSO käyttöön OIDC-palveluntarjoajan kautta.
Sen sijaan oletus['firezone']['external url'] on korvannut asetusvaihtoehdon default['firezone']['fqdn'].
Aseta tämä Firezone-verkkoportaalisi URL-osoitteeksi, joka on suuren yleisön käytettävissä. Se on oletuksena https:// plus palvelimesi FQDN, jos sitä ei ole määritetty.
Asetustiedosto sijaitsee osoitteessa /etc/firezone/firezone.rb. Katso konfigurointitiedoston viitteestä täydellinen luettelo konfiguraatiomuuttujista ja niiden kuvauksista.
Firezone ei enää säilytä laitteen yksityisiä avaimia Firezone-palvelimella versiosta 0.3.0 alkaen.
Firezone Web-käyttöliittymä ei salli näiden kokoonpanojen lataamista tai tarkastelua uudelleen, mutta kaikkien olemassa olevien laitteiden pitäisi jatkaa toimintaansa entisellään.
Jos päivität Firezone 0.1.x -versiosta, on olemassa muutamia määritystiedostojen muutoksia, jotka on käsiteltävä manuaalisesti.
Voit tehdä tarvittavat muutokset /etc/firezone/firezone.rb-tiedostoosi suorittamalla alla olevat komennot pääkäyttäjänä.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl määritä uudelleen
firezone-ctl käynnistyy uudelleen
Firezone-lokien tarkistaminen on viisas ensimmäinen askel mahdollisten ongelmien varalta.
Sudo firezone-ctl tail tarkastella Firezone-lokeja.
Suurin osa Firezonen yhteysongelmista johtuu yhteensopimattomista iptables- tai nftables-säännöistä. Sinun on varmistettava, että voimassa olevat säännöt eivät ole ristiriidassa Firezone-sääntöjen kanssa.
Varmista, että FORWARD-ketju sallii paketit WireGuard-asiakkailtasi paikkoihin, jotka haluat päästää Firezonen läpi, jos Internet-yhteytesi heikkenee aina, kun aktivoit WireGuard-tunnelin.
Tämä voidaan saavuttaa, jos käytät ufw:tä varmistamalla, että oletusreitityskäytäntö sallii:
ubuntu@fz:~$ sudo ufw oletus sallii reitityksen
Oletusreitityskäytäntö muutettiin sallituksi
(muista päivittää sääntösi vastaavasti)
A ufw tyypillisen Firezone-palvelimen tila voi näyttää tältä:
ubuntu@fz:~$ sudo ufw -tilan monisanainen
Tila: aktiivinen
Kirjautuminen: päällä (matala)
Oletus: kieltää (saapuva), salli (lähtevä), salli (reititetty)
Uudet profiilit: ohita
Toimiin alkaen
------
22/tcp SALLI SISÄÄN missä tahansa
80/tcp SALLI SISÄÄN missä tahansa
443/tcp ALLOW IN Missä tahansa
51820/udp SALLI SISÄÄN missä tahansa
22/tcp (v6) SALLI missä tahansa (v6)
80/tcp (v6) SALLI missä tahansa (v6)
443/tcp (v6) ALLOW IN missä tahansa (v6)
51820/udp (v6) SALLI SISÄÄN missä tahansa (v6)
Suosittelemme rajoittamaan pääsyä verkkokäyttöliittymään erittäin herkkien ja kriittisten tuotantokäyttöjen yhteydessä, kuten alla selitetään.
Palvelu | Oletusportti | Kuuntele osoite | Kuvaus |
nginx | 80, 443 | kaikki | Julkinen HTTP(S)-portti Firezonen hallintaan ja todennuksen helpottamiseen. |
suojaverkko | 51820 | kaikki | Julkinen WireGuard-portti, jota käytetään VPN-istunnoissa. (UDP) |
PostgreSQL | 15432 | 127.0.0.1 | Vain paikallinen portti, jota käytetään niputettuun Postgresql-palvelimeen. |
Feeniks | 13000 | 127.0.0.1 | Vain paikallinen portti, jota käyttää ylävirran elixir-sovelluspalvelin. |
Suosittelemme, että harkitset Firezonen julkisesti esillä olevan verkkokäyttöliittymän käytön rajoittamista (oletusportit 443/tcp ja 80/tcp) ja käytät sen sijaan WireGuard-tunnelia Firezonen hallintaan tuotannossa ja julkisissa käyttöönotoissa, joissa yksi järjestelmänvalvoja on vastuussa. laitekokoonpanojen luomisesta ja jakamisesta loppukäyttäjille.
Jos järjestelmänvalvoja esimerkiksi loi laitekokoonpanon ja loi tunnelin paikallisella WireGuard-osoitteella 10.3.2.2, seuraavan ufw-määrityksen avulla järjestelmänvalvoja voi käyttää Firezone-verkkokäyttöliittymää palvelimen wg-firezone-liittymässä käyttämällä oletusarvoista 10.3.2.1. tunnelin osoite:
root@demo:~# ufw-tila monisanainen
Tila: aktiivinen
Kirjautuminen: päällä (matala)
Oletus: kieltää (saapuva), salli (lähtevä), salli (reititetty)
Uudet profiilit: ohita
Toimiin alkaen
------
22/tcp SALLI SISÄÄN missä tahansa
51820/udp SALLI SISÄÄN missä tahansa
Missä tahansa SALLI 10.3.2.2
22/tcp (v6) SALLI missä tahansa (v6)
51820/udp (v6) SALLI SISÄÄN missä tahansa (v6)
Tämä jättäisi vain 22/tcp alttiina SSH-käytölle palvelimen hallintaan (valinnainen) ja 51820/dp paljastetaan WireGuard-tunneleiden perustamiseksi.
Firezone yhdistää Postgresql-palvelimen ja vastaavat psql apuohjelma, jota voidaan käyttää paikallisesta komentotulkista, kuten:
/opt/firezone/embedded/bin/psql \
-U paloalue \
-d firezone \
-h paikallinen isäntä \
-p 15432 \
-c "SQL_STATEMENT"
Tästä voi olla apua virheenkorjaustarkoituksiin.
Yleiset tehtävät:
Listaa kaikki käyttäjät:
/opt/firezone/embedded/bin/psql \
-U paloalue \
-d firezone \
-h paikallinen isäntä \
-p 15432 \
-c "SELECT * FROM käyttäjiltä;"
Listaa kaikki laitteet:
/opt/firezone/embedded/bin/psql \
-U paloalue \
-d firezone \
-h paikallinen isäntä \
-p 15432 \
-c "SELECT * FROM FROM;"
Muuta käyttäjäroolia:
Aseta rooliksi "admin" tai "unprivileged":
/opt/firezone/embedded/bin/psql \
-U paloalue \
-d firezone \
-h paikallinen isäntä \
-p 15432 \
-c "PÄIVITYS käyttäjien ASETUS rooli = 'admin' WHERE email = 'user@example.com';"
Tietokannan varmuuskopiointi:
Lisäksi mukana on pg dump -ohjelma, jota voidaan käyttää säännöllisesti varmuuskopioimaan tietokannasta. Suorita seuraava koodi tyhjentääksesi tietokannan kopion yleisessä SQL-kyselymuodossa (korvaa /path/to/backup.sql sijainnilla, johon SQL-tiedosto pitäisi luoda):
/opt/firezone/embedded/bin/pg_dump \
-U paloalue \
-d firezone \
-h paikallinen isäntä \
-p 15432 > /polku/backup.sql
Kun Firezone on otettu käyttöön, sinun on lisättävä käyttäjiä, jotta he voivat käyttää verkkoasi. Verkkokäyttöliittymää käytetään tähän.
Valitsemalla "Lisää käyttäjä" -painikkeen kohdasta /käyttäjät voit lisätä käyttäjän. Sinun tulee antaa käyttäjälle sähköpostiosoite ja salasana. Antaakseen pääsyn organisaatiosi käyttäjille automaattisesti, Firezone voi myös liittyä ja synkronoida identiteetin tarjoajan kanssa. Tarkemmat tiedot löytyvät osoitteesta todentaa. < Lisää linkki Authenticate
Suosittelemme pyytämään käyttäjiä luomaan omat laitekokoonpanonsa, jotta yksityinen avain näkyy vain heille. Käyttäjät voivat luoda omia laitekokoonpanoja noudattamalla sivulla olevia ohjeita Asiakkaan ohjeet sivu.
Firezone-järjestelmänvalvojat voivat luoda kaikki käyttäjän laitekokoonpanot. Suorita tämä valitsemalla käyttäjäprofiilisivulla /users -vaihtoehto "Lisää laite".
[Lisää kuvakaappaus]
Voit lähettää WireGuard-määritystiedoston sähköpostitse käyttäjälle laiteprofiilin luomisen jälkeen.
Käyttäjät ja laitteet on linkitetty. Katso lisätietoja käyttäjän lisäämisestä kohdasta Lisää käyttäjiä.
Ytimen netfilter-järjestelmän avulla Firezone mahdollistaa ulostulon suodatusominaisuudet DROP- tai ACCEPT-pakettien määrittämiseksi. Kaikki liikenne on normaalisti sallittua.
IPv4:n ja IPv6:n CIDR:itä ja IP-osoitteita tuetaan Allowlist ja Denylist kautta. Voit valita, että sääntö koskee käyttäjää, kun lisäät sen, jolloin sääntöä sovelletaan kaikkiin kyseisen käyttäjän laitteisiin.
Asenna ja konfiguroi
Katso tästä oppaasta VPN-yhteyden muodostaminen alkuperäisellä WireGuard-asiakkaalla.
Täällä sijaitsevat viralliset WireGuard-asiakkaat ovat Firezone-yhteensopivia:
Vieraile virallisella WireGuard-verkkosivustolla osoitteessa https://www.wireguard.com/install/, jos käytät muita kuin yllä mainittuja käyttöjärjestelmiä.
Joko Firezone-järjestelmänvalvojasi tai itse voit luoda laitteen määritystiedoston Firezone-portaalin avulla.
Käy Firezone-järjestelmänvalvojasi antamassa URL-osoitteessa luodaksesi itse laitteen määritystiedosto. Yritykselläsi on yksilöllinen URL-osoite tätä varten; tässä tapauksessa se on https://instance-id.yourfirezone.com.
Kirjaudu Firezone Okta SSO:hon
[Lisää kuvakaappaus]
Tuo .conf-tiedosto WireGuard-asiakasohjelmaan avaamalla se. Kääntämällä Aktivoi-kytkintä voit aloittaa VPN-istunnon.
[Lisää kuvakaappaus]
Noudata alla olevia ohjeita, jos verkonvalvojasi on määrännyt toistuvan todennuksen VPN-yhteytesi pitämiseksi aktiivisena.
Tarvitset:
Firezone-portaalin URL-osoite: Pyydä yhteys verkonvalvojalta.
Verkon ylläpitäjän pitäisi pystyä tarjoamaan kirjautumistunnuksesi ja salasanasi. Firezone-sivusto kehottaa kirjautumaan sisään käyttämällä työnantajasi käyttämää kertakirjautumispalvelua (kuten Google tai Okta).
[Lisää kuvakaappaus]
Siirry Firezone-portaalin URL-osoitteeseen ja kirjaudu sisään verkonvalvojasi antamilla tunnistetiedoilla. Jos olet jo kirjautunut sisään, napsauta Todennus uudelleen -painiketta ennen kuin kirjaudut takaisin sisään.
[Lisää kuvakaappaus]
[Lisää kuvakaappaus]
Voit tuoda WireGuard-kokoonpanoprofiilin Network Manager CLI:n avulla Linux-laitteissa noudattamalla näitä ohjeita (nmcli).
Jos profiilissa on käytössä IPv6-tuki, määritystiedoston tuominen Network Managerin käyttöliittymällä saattaa epäonnistua seuraavan virheen vuoksi:
ipv6.method: menetelmää "auto" ei tueta WireGuardissa
On tarpeen asentaa WireGuard userspace -apuohjelmat. Tämä on paketti nimeltä wireguard tai wireguard-tools Linux-jakeluille.
Ubuntu/Debian:
sudo apt install wireguard
Fedoran käyttäminen:
sudo dnf asentaa wireguard-tools
Arch Linux:
sudo pacman -S wireguard-työkalut
Vieraile virallisella WireGuard-sivustolla osoitteessa https://www.wireguard.com/install/, jos haluat nähdä jakelut, joita ei ole mainittu yllä.
Joko Firezone-järjestelmänvalvojasi tai itse sukupolvi voi luoda laitteen määritystiedoston Firezone-portaalin avulla.
Käy Firezone-järjestelmänvalvojasi antamassa URL-osoitteessa luodaksesi itse laitteen määritystiedosto. Yritykselläsi on yksilöllinen URL-osoite tätä varten; tässä tapauksessa se on https://instance-id.yourfirezone.com.
[Lisää kuvakaappaus]
Tuo mukana toimitettu asetustiedosto nmcli:n avulla:
sudo nmcli yhteyden tuontityyppi Wireguard-tiedosto /path/to/configuration.conf
Asetustiedoston nimi vastaa WireGuard-liitäntää/liitäntää. Tuonnin jälkeen yhteys voidaan nimetä uudelleen tarvittaessa:
nmcli-yhteys muokkaa [vanha nimi] yhteys.id [uusi nimi]
Yhdistä VPN:ään komentorivin kautta seuraavasti:
nmcli-yhteys ylös [vpn-nimi]
Yhteyden katkaiseminen:
nmcli-yhteys katkennut [vpn-nimi]
Soveltuvaa Network Manager -sovelmaa voidaan käyttää myös yhteyden hallintaan, jos käytetään graafista käyttöliittymää.
Valitsemalla "kyllä" automaattisen yhteyden vaihtoehdoksi, VPN-yhteys voidaan määrittää muodostamaan yhteys automaattisesti:
nmcli-yhteys muokkaa [vpn-nimi]-yhteyttä. <<<<<<<<<<<<<<<<<<<<<<<
automaattinen yhteys kyllä
Jos haluat poistaa automaattisen yhteyden käytöstä, aseta se takaisin arvoon no:
nmcli-yhteys muokkaa [vpn-nimi]-yhteyttä.
automaattinen yhteys nro
MFA:n aktivointi Siirry Firezone-portaalin /user account/register mfa -sivulle. Käytä todennussovellusta QR-koodin skannaamiseen sen luomisen jälkeen ja anna kuusinumeroinen koodi.
Ota yhteyttä järjestelmänvalvojaan tilisi käyttöoikeustietojen nollaamiseksi, jos kadotat todennussovelluksen.
Tämä opetusohjelma opastaa sinut WireGuardin jaetun tunnelointiominaisuuden määrittämisessä Firezonen kanssa niin, että vain tietyille IP-alueille suuntautuva liikenne välitetään VPN-palvelimen kautta.
IP-alueet, joille asiakas reitittää verkkoliikenteen, on määritetty /settings/default-sivun Sallitut IP-osoitteet -kentässä. Tämän kentän muutokset vaikuttavat vain Firezonen tuottamiin uusiin WireGuard-tunnelikokoonpanoihin.
[Lisää kuvakaappaus]
Oletusarvo on 0.0.0.0/0, ::/0, joka reitittää kaiken verkkoliikenteen asiakkaalta VPN-palvelimelle.
Esimerkkejä tämän kentän arvoista ovat:
0.0.0.0/0, ::/0 – kaikki verkkoliikenne reititetään VPN-palvelimelle.
192.0.2.3/32 – vain liikenne yhteen IP-osoitteeseen reititetään VPN-palvelimelle.
3.5.140.0/22 – vain liikenne IP-osoitteisiin, jotka ovat 3.5.140.1 – 3.5.143.254 alueella, reititetään VPN-palvelimelle. Tässä esimerkissä käytettiin ap-koillis-2 AWS-alueen CIDR-aluetta.
Firezone valitsee ensin tarkimpaan reittiin liittyvän poistumisliittymän määrittäessään, minne paketti reititetään.
Käyttäjien on luotava määritystiedostot uudelleen ja lisättävä ne alkuperäiseen WireGuard-asiakkaaseen päivittääkseen olemassa olevat käyttäjälaitteet uudella jaetun tunnelin kokoonpanolla.
Katso ohjeet kohdasta lisää laite. <<<<<<<<<<< Lisää linkki
Tämä opas näyttää, kuinka kaksi laitetta yhdistetään käyttämällä Firezonea releenä. Yksi tyypillinen käyttötapa on antaa järjestelmänvalvojalle mahdollisuus käyttää palvelinta, säilöä tai konetta, joka on suojattu NAT:lla tai palomuurilla.
Tämä kuva näyttää suoraviivaisen skenaarion, jossa laitteet A ja B rakentavat tunnelin.
[Lisää firezone-arkkitehtoninen kuva]
Aloita luomalla laite A ja laite B siirtymällä kohtaan /käyttäjät/[käyttäjätunnus]/uusi_laite. Varmista kunkin laitteen asetuksissa, että seuraavat parametrit on asetettu alla lueteltuihin arvoihin. Voit määrittää laiteasetuksia luodessasi laiteasetuksia (katso Lisää laitteita). Jos sinun on päivitettävä olemassa olevan laitteen asetuksia, voit tehdä sen luomalla uuden laitteen kokoonpanon.
Huomaa, että kaikilla laitteilla on /settings/defaults-sivu, jossa PersistentKeepalive voidaan määrittää.
SallitutIP: t = 10.3.2.2/32
Tämä on laitteen B IP tai IP-osoitealue
PersistentKeepalive = 25
Jos laite on NAT:n takana, tämä varmistaa, että laite pystyy pitämään tunnelin hengissä ja vastaanottamaan edelleen paketteja WireGuard-liittymästä. Yleensä arvo 25 on riittävä, mutta saatat joutua pienentämään tätä arvoa ympäristöstäsi riippuen.
SallitutIP: t = 10.3.2.3/32
Tämä on laitteen A IP tai IP-osoitealue
PersistentKeepalive = 25
Tämä esimerkki näyttää tilanteen, jossa laite A voi kommunikoida laitteiden B - D kanssa molempiin suuntiin. Tämä asennus voi edustaa insinööriä tai järjestelmänvalvojaa, joka käyttää lukuisia resursseja (palvelimia, säiliöitä tai koneita) eri verkoissa.
[Arkkitehtuurikaavio]<<<<<<<<<<<<<<<<<<<<<<<<
Varmista, että seuraavat asetukset on tehty kunkin laitteen asetuksissa vastaaviin arvoihin. Kun luot laitekokoonpanoa, voit määrittää laiteasetukset (katso Lisää laitteita). Uusi laitekokoonpano voidaan luoda, jos olemassa olevan laitteen asetukset on päivitettävä.
Sallitut IP:t = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Tämä on laitteiden B–D IP-osoite. Laitteiden B–D IP-osoitteet on sisällytettävä mihin tahansa määrittämäsi IP-alueeseen.
PersistentKeepalive = 25
Tämä takaa, että laite voi ylläpitää tunnelia ja jatkaa pakettien vastaanottamista WireGuard-liittymästä, vaikka se olisi suojattu NAT:lla. Useimmissa tapauksissa arvo 25 on riittävä, mutta ympäristöstäsi riippuen saatat joutua pienentämään tätä lukua.
Firezonea voidaan käyttää NAT-yhdyskäytävänä yhden staattisen poistumis-IP:n tarjoamiseksi koko tiimisi liikenteelle. Näihin tilanteisiin liittyy sen toistuva käyttö:
Konsultointitoimet: Pyydä asiakastasi lisäämään sallittujen luetteloon yksi staattinen IP-osoite jokaisen työntekijän yksilöllisen laitteen IP-osoitteen sijaan.
Välityspalvelimen käyttäminen tai lähde-IP:n peittäminen turvallisuus- tai yksityisyyssyistä.
Tässä viestissä esitellään yksinkertainen esimerkki itseisännöidyn verkkosovelluksen käytön rajoittamisesta yhteen sallittujen luetteloon kuuluvaan staattiseen IP-osoitteeseen, jossa on Firezone. Tässä kuvassa Firezone ja suojattu resurssi ovat eri VPC-alueilla.
Tätä ratkaisua käytetään usein useiden loppukäyttäjien IP-valittujen luettelon hallinnan sijasta, mikä voi viedä aikaa käyttöoikeusluettelon laajentuessa.
Tavoitteemme on perustaa Firezone-palvelin EC2-instanssiin ohjaamaan VPN-liikennettä rajoitettuun resurssiin. Tässä tapauksessa Firezone toimii verkon välityspalvelimena tai NAT-yhdyskäytävänä, joka antaa jokaiselle yhdistetylle laitteelle yksilöllisen julkisen poiston IP-osoitteen.
Tässä tapauksessa EC2-esiintymään nimeltä tc2.micro on asennettu Firezone-ilmentymä. Lisätietoja Firezonen käyttöönotosta on Käyttöönottooppaassa. Varmista AWS:n suhteen:
Firezone EC2 -esiintymän suojausryhmä sallii lähtevän liikenteen suojatun resurssin IP-osoitteeseen.
Firezone-instanssissa on joustava IP. Liikenne, joka välitetään Firezone-ilmentymän kautta ulkoisiin kohteisiin, käyttää tätä lähde-IP-osoitteena. Kyseinen IP-osoite on 52.202.88.54.
[Lisää kuvakaappaus]<<<<<<<<<<<<<<<<<<<<<<<<
Itseisännöity verkkosovellus toimii suojattuna resurssina tässä tapauksessa. Verkkosovellusta voi käyttää vain IP-osoitteesta 52.202.88.54 tulevilla pyynnöillä. Resurssista riippuen voi olla tarpeen sallia saapuva liikenne eri porteissa ja liikennetyypeissä. Tätä ei käsitellä tässä oppaassa.
[Lisää kuvakaappaus]<<<<<<<<<<<<<<<<<<<<<<<<
Kerro suojatusta resurssista vastaavalle kolmannelle osapuolelle, että liikenne vaiheessa 1 määritellystä staattisesta IP-osoitteesta on sallittava (tässä tapauksessa 52.202.88.54).
Oletuksena kaikki käyttäjäliikenne kulkee VPN-palvelimen kautta ja tulee staattiselta IP-osoitteelta, joka määritettiin vaiheessa 1 (tässä tapauksessa 52.202.88.54). Jos jaettu tunnelointi on kuitenkin otettu käyttöön, asetukset voivat olla tarpeen varmistaakseen, että suojatun resurssin kohde-IP on sallittujen IP-osoitteiden luettelossa.
Alla on täydellinen luettelo käytettävissä olevista kokoonpanovaihtoehdoista /etc/firezone/firezone.rb.
vaihtoehto | kuvaus | oletusarvo |
oletus['firezone']['external_url'] | URL-osoite, jota käytetään tämän Firezone-esiintymän verkkoportaalin käyttämiseen. | "https://#{solmu['fqdn'] || solmu['isäntänimi']}" |
oletus['firezone']['config_directory'] | Ylimmän tason hakemisto Firezone-määrityksiä varten. | /etc/firezone' |
oletus['firezone']['install_directory'] | Ylimmän tason hakemisto, johon Firezone asennetaan. | /opt/firezone' |
oletus['firezone']['app_directory'] | Ylätason hakemisto Firezone-verkkosovelluksen asentamiseen. | "#{solmu['firezone']['install_directory']}/embedded/service/firezone" |
oletus['firezone']['log_directory'] | Ylimmän tason hakemisto Firezone-lokeille. | /var/log/firezone' |
oletus['firezone']['var_directory'] | Ylimmän tason hakemisto Firezone-ajonaikaisille tiedostoille. | /var/opt/firezone' |
oletus['firezone']['käyttäjä'] | Etuoikeudettoman Linux-käyttäjän nimi useimmat palvelut ja tiedostot kuuluvat. | firezone' |
oletus['firezone']['group'] | Linux-ryhmän nimi, johon useimmat palvelut ja tiedostot kuuluvat. | firezone' |
oletus['firezone']['admin_email'] | Ensimmäisen Firezone-käyttäjän sähköpostiosoite. | "firezone@localhost" |
oletus['firezone']['max_devices_per_user'] | Maksimimäärä laitteita, joita käyttäjällä voi olla. | 10 |
oletus['firezone']['allow_unprivileged_device_management'] | Antaa muiden kuin järjestelmänvalvojien luoda ja poistaa laitteita. | TOSI |
oletus['firezone']['allow_unprivileged_device_configuration'] | Antaa muiden kuin järjestelmänvalvojien muokata laitemäärityksiä. Kun se ei ole käytössä, estää etuoikeutettujen käyttäjiä muuttamasta kaikkia laitekenttiä paitsi nimeä ja kuvausta. | TOSI |
oletus['firezone']['egress_interface'] | Liittymän nimi, josta tunneloitu liikenne poistuu. Jos se on nolla, käytetään oletusreittiliittymää. | nolla |
oletus['firezone']['fips_enabled'] | Ota OpenSSL FIPs -tila käyttöön tai poista se käytöstä. | nolla |
oletus['firezone']['logging']['enabled'] | Ota käyttöön tai poista käytöstä kirjautuminen Firezonessa. Aseta arvoksi false, jos haluat poistaa kirjaamisen kokonaan käytöstä. | TOSI |
oletus['yritys']['nimi'] | Chef "yritys"-keittokirjassa käytetty nimi. | firezone' |
oletus['firezone']['install_path'] | Asenna Chef "yritys"-keittokirjan käyttämä polku. Sen tulee olla sama kuin yllä oleva asennushakemisto. | solmu['firezone']['install_directory'] |
oletus['firezone']['sysvinit_id'] | Tiedostossa /etc/inittab käytetty tunniste. On oltava yksilöllinen 1–4 merkin pituinen sarja. | SUP' |
oletus['firezone']['todennus']['paikallinen']['käytössä'] | Ota paikallinen sähköpostin/salasanan todennus käyttöön tai poista se käytöstä. | TOSI |
oletus['firezone']['todennus']['auto_create_oidc_users'] | Luo automaattisesti käyttäjiä, jotka kirjautuvat sisään OIDC:stä ensimmäistä kertaa. Poista käytöstä, jos haluat vain olemassa olevien käyttäjien kirjautua sisään OIDC:n kautta. | TOSI |
oletus['firezone']['todennus']['disable_vpn_on_oidc_error'] | Poista käyttäjän VPN käytöstä, jos hänen OIDC-tunnuksensa päivityksessä havaitaan virhe. | VÄÄRÄ |
oletus['firezone']['todennus']['oidc'] | OpenID Connect -konfiguraatio, muodossa {"provider" => [config…]} – Katso OpenIDConnect-dokumentaatio konfigurointiesimerkkejä varten. | {} |
oletus['firezone']['nginx']['enabled'] | Ota käyttöön tai poista käytöstä yhdistetty nginx-palvelin. | TOSI |
oletus['firezone']['nginx']['ssl_port'] | HTTPS-kuunteluportti. | 443 |
oletus['firezone']['nginx']['hakemisto'] | Hakemisto Firezoneen liittyvien nginx-virtuaaliisäntämääritysten tallentamiseen. | "#{solmu['firezone']['var_directory']}/nginx/etc" |
oletus['firezone']['nginx']['log_directory'] | Hakemisto Firezoneen liittyvien nginx-lokitiedostojen tallentamiseen. | "#{solmu['firezone']['log_directory']}/nginx" |
oletus['firezone']['nginx']['log_rotation']['file_maxbytes'] | Tiedostokoko, jolla Nginx-lokitiedostoja pyöritetään. | 104857600 |
oletus['firezone']['nginx']['log_rotation']['num_to_keep'] | Firezone nginx -lokitiedostojen määrä, jotka säilytetään ennen hylkäämistä. | 10 |
oletus['firezone']['nginx']['log_x_forwarded_for'] | Kirjataanko Firezone nginx x-forwarded-for -otsikko. | TOSI |
oletus['firezone']['nginx']['hsts_header']['enabled'] | TOSI | |
oletus['firezone']['nginx']['hsts_header']['include_subdomains'] | Ota includeSubDomains käyttöön tai poista se käytöstä HSTS-otsikossa. | TOSI |
oletus['firezone']['nginx']['hsts_header']['max_age'] | HSTS-otsikon enimmäisikä. | 31536000 |
oletus['firezone']['nginx']['redirect_to_canonical'] | Uudelleenohjataanko URL-osoitteet edellä määritettyyn ensisijaiseen FQDN:ään | VÄÄRÄ |
oletus['firezone']['nginx']['cache']['enabled'] | Ota Firezone nginx -välimuisti käyttöön tai poista se käytöstä. | VÄÄRÄ |
oletus['firezone']['nginx']['välimuisti']['hakemisto'] | Firezone nginx -välimuistin hakemisto. | "#{solmu['firezone']['var_directory']}/nginx/cache" |
oletus['firezone']['nginx']['käyttäjä'] | Firezone nginx käyttäjä. | solmu['firezone']['käyttäjä'] |
oletus['firezone']['nginx']['ryhmä'] | Firezone nginx -ryhmä. | solmu['firezone']['group'] |
oletus['firezone']['nginx']['dir'] | Ylätason nginx-määrityshakemisto. | solmu['firezone']['nginx']['hakemisto'] |
oletus['firezone']['nginx']['log_dir'] | Huipputason nginx-lokihakemisto. | solmu['firezone']['nginx']['log_directory'] |
oletus['firezone']['nginx']['pid'] | Nginx pid -tiedoston sijainti. | "#{solmu['firezone']['nginx']['hakemisto']}/nginx.pid" |
oletus['firezone']['nginx']['daemon_disable'] | Poista nginx-daemon-tila käytöstä, jotta voimme valvoa sitä sen sijaan. | TOSI |
oletus['firezone']['nginx']['gzip'] | Ota nginx gzip -pakkaus käyttöön tai poista se käytöstä. | päällä' |
oletus['firezone']['nginx']['gzip_static'] | Ota nginx gzip -pakkaus käyttöön tai poista se käytöstä staattisille tiedostoille. | vinossa' |
oletus['firezone']['nginx']['gzip_http_version'] | HTTP-versio, jota käytetään staattisten tiedostojen palvelemiseen. | 1.0 " |
oletus['firezone']['nginx']['gzip_comp_level'] | nginx gzip -pakkaustaso. | 2 " |
oletus['firezone']['nginx']['gzip_proxyed'] | Ottaa käyttöön tai poistaa käytöstä välityspalvelinpyyntöjen vastausten gzippauksen pyynnön ja vastauksen mukaan. | minkä tahansa' |
oletus['firezone']['nginx']['gzip_vary'] | Ottaa käyttöön tai poistaa käytöstä "Vary: Accept-Encoding" -vastausotsikon lisäämisen. | vinossa' |
oletus['firezone']['nginx']['gzip_buffers'] | Asettaa vastauksen pakkaamiseen käytettyjen puskurien lukumäärän ja koon. Jos nolla, käytetään nginx-oletusarvoa. | nolla |
oletus['firezone']['nginx']['gzip_types'] | MIME-tyypit, joissa gzip-pakkaus otetaan käyttöön. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
oletus['firezone']['nginx']['gzip_min_length'] | Vähimmäispituus, jolle tiedoston gzip-pakkaus otetaan käyttöön. | 1000 |
oletus['firezone']['nginx']['gzip_disable'] | User-agent matcher gzip-pakkauksen poistamiseksi käytöstä. | MSIE [1-6]\.' |
oletus['firezone']['nginx']['keepalive'] | Aktivoi välimuistin yhdistämistä varten ylävirran palvelimiin. | päällä' |
oletus['firezone']['nginx']['keepalive_timeout'] | Aikakatkaisu sekunneissa yhteyden ylläpitämiseen ylävirran palvelimiin. | 65 |
oletus['firezone']['nginx']['worker_processes'] | Nginx-työntekijöiden prosessien määrä. | node['cpu'] && node['cpu']['total'] ? solmu ['cpu']['yhteensä'] : 1 |
oletus['firezone']['nginx']['worker_connections'] | Samanaikaisten yhteyksien enimmäismäärä, jotka työntekijäprosessi voi avata. | 1024 |
oletus['firezone']['nginx']['worker_rlimit_nofile'] | Muuttaa työprosessien avoimien tiedostojen enimmäismäärän rajaa. Käyttää nginx-oletusarvoa, jos se on nolla. | nolla |
oletus['firezone']['nginx']['multi_accept'] | Onko työntekijöiden hyväksyttävä yksi yhteys kerrallaan vai useita. | TOSI |
oletus['firezone']['nginx']['tapahtuma'] | Määrittää yhteydenkäsittelytavan, jota käytetään nginx-tapahtumien kontekstissa. | epoll' |
oletus['firezone']['nginx']['server_tokens'] | Ottaa käyttöön tai poistaa käytöstä nginx-version lähettämisen virhesivuilla ja "Palvelin"-vastausotsikkokentässä. | nolla |
oletus['firezone']['nginx']['server_names_hash_bucket_size'] | Asettaa palvelinnimien hash-taulukoiden ryhmän koon. | 64 |
oletus['firezone']['nginx']['sendfile'] | Ottaa käyttöön tai poistaa käytöstä nginxin sendfile(). | päällä' |
oletus['firezone']['nginx']['access_log_options'] | Asettaa nginx-käyttölokin asetukset. | nolla |
oletus['firezone']['nginx']['error_log_options'] | Asettaa nginx-virhelokin asetukset. | nolla |
oletus['firezone']['nginx']['disable_access_log'] | Poistaa nginx-käyttölokin käytöstä. | VÄÄRÄ |
oletus['firezone']['nginx']['types_hash_max_size'] | nginx-tyypit hashin enimmäiskoko. | 2048 |
oletus['firezone']['nginx']['types_hash_bucket_size'] | nginx-tyyppien hash-ämpärikoko. | 64 |
oletus['firezone']['nginx']['proxy_read_timeout'] | nginx-välityspalvelimen lukemisen aikakatkaisu. Aseta arvoksi nolla käyttääksesi nginx-oletusasetusta. | nolla |
oletus['firezone']['nginx']['client_body_buffer_size'] | nginx-asiakkaan runkopuskurin koko. Aseta arvoksi nolla käyttääksesi nginx-oletusasetusta. | nolla |
oletus['firezone']['nginx']['client_max_body_size'] | nginx-asiakkaan enimmäiskoko. | 250 m" |
oletus['firezone']['nginx']['default']['moduulit'] | Määritä muut nginx-moduulit. | [] |
oletus['firezone']['nginx']['enable_rate_limiting'] | Ota nginx-nopeuden rajoitus käyttöön tai poista se käytöstä. | TOSI |
oletus['firezone']['nginx']['rate_limiting_zone_name'] | Nginx-nopeusrajoitusvyöhykkeen nimi. | firezone' |
oletus['firezone']['nginx']['rate_limiting_backoff'] | Nginx-nopeutta rajoittava peruutus. | 10 m" |
oletus['firezone']['nginx']['rate_limit'] | Nginx-nopeusrajoitus. | 10r/s' |
oletus['firezone']['nginx']['ipv6'] | Anna nginxin kuunnella HTTP-pyyntöjä IPv6:lle IPv4:n lisäksi. | TOSI |
oletus['firezone']['postgresql']['enabled'] | Ota käyttöön tai poista käytöstä paketoitu Postgresql. Aseta arvoksi false ja täytä alla olevat tietokantavaihtoehdot käyttääksesi omaa Postgresql-esiintymääsi. | TOSI |
oletus['firezone']['postgresql']['käyttäjänimi'] | Käyttäjätunnus Postgresql:lle. | solmu['firezone']['käyttäjä'] |
oletus['firezone']['postgresql']['data_directory'] | Postgresql-tietohakemisto. | "#{solmu['firezone']['var_directory']}/postgresql/13.3/data" |
oletus['firezone']['postgresql']['log_directory'] | Postgresql-lokihakemisto. | "#{solmu['firezone']['log_directory']}/postgresql" |
oletus['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql-lokitiedoston enimmäiskoko ennen sen kiertoa. | 104857600 |
oletus['firezone']['postgresql']['log_rotation']['num_to_keep'] | Säilytettävien Postgresql-lokitiedostojen määrä. | 10 |
oletus['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql-tarkistuspisteen valmistumistavoite. | 0.5 |
oletus['firezone']['postgresql']['checkpoint_segments'] | Postgresql-tarkistuspistesegmenttien määrä. | 3 |
oletus['firezone']['postgresql']['checkpoint_timeout'] | Postgresql-tarkistuspisteen aikakatkaisu. | 5 min' |
oletus['firezone']['postgresql']['checkpoint_warning'] | Postgresql-tarkistuspisteen varoitusaika sekunneissa. | 30-luku |
oletus['firezone']['postgresql']['effective_cache_size'] | Postgresql-välimuistin tehollinen koko. | 128 Mt" |
oletus['firezone']['postgresql']['listen_address'] | Postgresql-kuunteluosoite. | 127.0.0.1 " |
oletus['firezone']['postgresql']['max_connections'] | Postgresql max -yhteydet. | 350 |
oletus['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR:t md5-todennuksen sallimiseksi. | ['127.0.0.1/32', '::1/128'] |
oletus['firezone']['postgresql']['portti'] | Postgresql-kuunteluportti. | 15432 |
oletus['firezone']['postgresql']['shared_buffers'] | Postgresql jaetun puskurin koko. | "#{(solmu['muisti']['yhteensä'].to_i / 4) / 1024} Mt" |
oletus['firezone']['postgresql']['shmmax'] | Postgresql shmmax tavuina. | 17179869184 |
oletus['firezone']['postgresql']['shmal'] | Postgresql shmall tavuina. | 4194304 |
oletus['firezone']['postgresql']['work_mem'] | Postgresql työmuistin koko. | 8 Mt" |
oletus['firezone']['tietokanta']['käyttäjä'] | Määrittää käyttäjätunnuksen, jota Firezone käyttää muodostaessaan yhteyden tietokantaan. | solmu['firezone']['postgresql']['käyttäjänimi'] |
oletus['firezone']['tietokanta']['salasana'] | Jos käytät ulkoista tietokantaa, määritä salasana, jota Firezone käyttää muodostaessaan yhteyden tietokantaan. | muuta minut' |
oletus['firezone']['tietokanta']['nimi'] | Tietokanta, jota Firezone käyttää. Luodaan, jos sitä ei ole olemassa. | firezone' |
oletus['firezone']['tietokanta']['isäntä'] | Tietokantaisäntä, johon Firezone muodostaa yhteyden. | solmu['firezone']['postgresql']['listen_address'] |
oletus['firezone']['tietokanta']['portti'] | Tietokantaportti, johon Firezone muodostaa yhteyden. | solmu['firezone']['postgresql']['portti'] |
oletus['firezone']['tietokanta']['pool'] | Firezonen käyttämä tietokantavarannon koko. | [10, Etc.nprosessorit].max |
oletus['firezone']['tietokanta']['ssl'] | Yhdistetäänkö tietokantaan SSL:n kautta. | VÄÄRÄ |
oletus['firezone']['tietokanta']['ssl_opts'] | {} | |
oletus['firezone']['tietokanta']['parametrit'] | {} | |
oletus['firezone']['tietokanta']['laajennukset'] | Ota käyttöön tietokantalaajennukset. | { 'plpgsql' => tosi, 'pg_trgm' => tosi } |
oletus['firezone']['phoenix']['enabled'] | Ota Firezone-verkkosovellus käyttöön tai poista se käytöstä. | TOSI |
oletus['firezone']['phoenix']['listen_address'] | Firezone-verkkosovelluksen kuunteluosoite. Tämä on ylävirran kuunteluosoite, jonka nginx välittää. | 127.0.0.1 " |
oletus['firezone']['phoenix']['portti'] | Firezone-verkkosovelluksen kuunteluportti. Tämä on ylävirran portti, jota nginx välittää. | 13000 |
oletus['firezone']['phoenix']['log_directory'] | Firezone-verkkosovellusten lokihakemisto. | "#{solmu['firezone']['log_directory']}/phoenix" |
oletus['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone-verkkosovelluksen lokitiedoston koko. | 104857600 |
oletus['firezone']['phoenix']['log_rotation']['num_to_keep'] | Säilytettävien Firezone-verkkosovellusten lokitiedostojen määrä. | 10 |
oletus['firezone']['phoenix']['crash_detection']['enabled'] | Ota käyttöön tai poista käytöstä Firezone-verkkosovelluksen sulkeminen, kun kaatuminen havaitaan. | TOSI |
oletus['firezone']['phoenix']['external_trusted_proxyes'] | Luettelo luotetuista käänteisistä välityspalvelimista, jotka on muotoiltu IP- ja/tai CIDR-ryhmiksi. | [] |
oletus['firezone']['phoenix']['private_clients'] | Luettelo yksityisen verkon HTTP-asiakkaista, muotoiltu joukko IP- ja/tai CIDR-tiedostoja. | [] |
oletus['firezone']['wireguard']['enabled'] | Ota käyttöön tai poista käytöstä yhdistetty WireGuard-hallinta. | TOSI |
oletus['firezone']['wireguard']['log_directory'] | Lokihakemisto niputettua WireGuard-hallintaa varten. | "#{solmu['firezone']['log_directory']}/wireguard" |
oletus['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard-lokitiedoston enimmäiskoko. | 104857600 |
oletus['firezone']['wireguard']['log_rotation']['num_to_keep'] | Säilytettävien WireGuard-lokitiedostojen määrä. | 10 |
oletus['firezone']['wireguard']['interface_name'] | WireGuard-liitännän nimi. Tämän parametrin muuttaminen voi aiheuttaa väliaikaisen VPN-yhteyden katkeamisen. | wg-firezone' |
oletus['firezone']['wireguard']['portti'] | WireGuard-kuunteluportti. | 51820 |
oletus['firezone']['wireguard']['mtu'] | WireGuard-liitäntä MTU tälle palvelimelle ja laitekokoonpanoille. | 1280 |
oletus['firezone']['wireguard']['endpoint'] | WireGuard Endpoint, jota käytetään laitekokoonpanojen luomiseen. Jos nolla, oletuksena on palvelimen julkinen IP-osoite. | nolla |
oletus['firezone']['wireguard']['dns'] | WireGuard DNS käytettäväksi luoduissa laitekokoonpanoissa. | 1.1.1.1, 1.0.0.1′ |
oletus['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIP:t käytettäväksi luoduissa laitekokoonpanoissa. | 0.0.0.0/0, ::/0′ |
oletus['firezone']['wireguard']['persistent_keepalive'] | PersistentKeepalive-oletusasetus luoduille laitekokoonpanoille. Arvo 0 poistaa käytöstä. | 0 |
oletus['firezone']['wireguard']['ipv4']['enabled'] | Ota käyttöön tai poista käytöstä IPv4 WireGuard-verkossa. | TOSI |
oletus['firezone']['wireguard']['ipv4']['masquerade'] | Ota käyttöön tai poista käytöstä IPv4-tunnelista lähtevien pakettien naamiointi. | TOSI |
oletus['firezone']['wireguard']['ipv4']['verkko'] | WireGuard-verkon IPv4-osoitevarasto. | 10.3.2.0 / 24 ′ |
oletus['firezone']['wireguard']['ipv4']['osoite'] | WireGuard-liitännän IPv4-osoite. Sen on oltava WireGuard-osoitevalikoimassa. | 10.3.2.1 " |
oletus['firezone']['wireguard']['ipv6']['enabled'] | Ota käyttöön tai poista käytöstä IPv6 WireGuard-verkossa. | TOSI |
oletus['firezone']['wireguard']['ipv6']['masquerade'] | Ota käyttöön tai poista käytöstä IPv6-tunnelista lähtevien pakettien naamiointi. | TOSI |
oletus['firezone']['wireguard']['ipv6']['verkko'] | WireGuard-verkon IPv6-osoitevarasto. | fd00::3:2:0/120′ |
oletus['firezone']['wireguard']['ipv6']['osoite'] | WireGuard-liitännän IPv6-osoite. Sen on oltava IPv6-osoitevalikoimassa. | fd00::3:2:1′ |
oletus['firezone']['runit']['svlogd_bin'] | Suorita svlogd bin sijainti. | "#{solmu['firezone']['install_directory']}/embedded/bin/svlogd" |
oletus['firezone']['ssl']['hakemisto'] | SSL-hakemisto luotujen sertifikaattien tallentamiseen. | /var/opt/firezone/ssl' |
oletus['firezone']['ssl']['email_address'] | Sähköpostiosoite, jota käytetään itse allekirjoitettujen sertifikaattien ja ACME-protokollan uusimisilmoitusten yhteydessä. | sinä@esimerkki.fi' |
oletus['firezone']['ssl']['acme']['enabled'] | VÄÄRÄ | |
oletus['firezone']['ssl']['acme']['palvelin'] | letsencrypt | |
oletus['firezone']['ssl']['acme']['keylength'] | Määritä SSL-varmenteiden avaimen tyyppi ja pituus. Katso tätä | ec-256 |
oletus['firezone']['ssl']['certificate'] | Polku FQDN-varmennetiedostoon. Ohittaa yllä olevan ACME-asetuksen, jos se on määritetty. Jos sekä ACME että tämä ovat nolla, itse allekirjoitettu varmenne luodaan. | nolla |
oletus['firezone']['ssl']['certificate_key'] | Polku varmennetiedostoon. | nolla |
oletus['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nolla |
oletus['firezone']['ssl']['country_name'] | Itseallekirjoitetun varmenteen maan nimi. | MEILLE' |
oletus['firezone']['ssl']['state_name'] | Ilmoita itse allekirjoitetun varmenteen nimi. | CA ' |
oletus['firezone']['ssl']['locality_name'] | Itse allekirjoitetun varmenteen paikkakunnan nimi. | San Francisco' |
oletus['firezone']['ssl']['company_name'] | Yrityksen nimen itse allekirjoitettu todistus. | Minun yhtiöni' |
oletus['firezone']['ssl']['organisaation_unit_name'] | Itseallekirjoitetun varmenteen organisaatioyksikön nimi. | Operaatiot |
oletus['firezone']['ssl']['ciphers'] | SSL-salaukset nginxille käytettäväksi. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
oletus['firezone']['ssl']['fips_ciphers'] | FIP-tilan SSL-salaukset. | FIPS@STRENGTH:!aNULL:!eNULL' |
oletus['firezone']['ssl']['protokollat'] | käytettävät TLS-protokollat. | TLSv1 TLSv1.1 TLSv1.2′ |
oletus['firezone']['ssl']['session_cache'] | SSL-istunnon välimuisti. | jaettu:SSL:4m' |
oletus['firezone']['ssl']['session_timeout'] | SSL-istunnon aikakatkaisu. | 5 m" |
oletus['firezone']['robots_allow'] | nginx-robotit sallivat. | / ' |
oletus['firezone']['robots_disallow'] | nginx-robotit eivät salli. | nolla |
oletus['firezone']['outbound_email']['from'] | Lähtevä sähköposti osoitteesta. | nolla |
oletus['firezone']['outbound_email']['provider'] | Lähtevän sähköpostin palveluntarjoaja. | nolla |
oletus['firezone']['outbound_email']['configs'] | Lähtevän sähköpostin palveluntarjoajan asetukset. | katso omnibus/cookbooks/firezone/attributes/default.rb |
oletus['firezone']['telemetria']['käytössä'] | Ota käyttöön tai poista käytöstä anonymisoitu tuotteen telemetria. | TOSI |
oletus['firezone']['connectivity_checks']['enabled'] | Ota Firezone-yhteystarkistuspalvelu käyttöön tai poista se käytöstä. | TOSI |
oletus['firezone']['connectivity_checks']['interval'] | Yhteystarkistusten välinen aika sekunneissa. | 3_600 |
________________________________________________________________
Täältä löydät luettelon tiedostoista ja hakemistoista, jotka liittyvät tyypilliseen Firezone-asennukseen. Ne voivat muuttua asetustiedostosi muutosten mukaan.
polku | kuvaus |
/var/opt/firezone | Ylätason hakemisto, joka sisältää tiedot ja luodut määritykset Firezone-pakettipalveluille. |
/opt/firezone | Huipputason hakemisto, joka sisältää Firezonen tarvitsemat rakennetut kirjastot, binaarit ja ajonaikaiset tiedostot. |
/usr/bin/firezone-ctl | firezone-ctl-apuohjelma Firezone-asennuksen hallintaan. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd unit -tiedosto Firezone runsvdir -valvontaprosessin käynnistämiseksi. |
/etc/firezone | Firezone-määritystiedostot. |
__________________________________________________________
Tämä sivu oli tyhjä asiakirjoissa
_____________________________________________________________
Seuraavaa nftables-palomuurimallia voidaan käyttää Firezonea käyttävän palvelimen suojaamiseen. Malli tekee joitain oletuksia; saatat joutua muuttamaan sääntöjä käyttötapauksiisi sopivaksi:
Firezone määrittää omat nftables-sääntönsä sallimaan/hylkäämään liikenteen verkkokäyttöliittymässä määritettyihin kohteisiin ja käsittelemään lähtevän NAT:n asiakasliikenteelle.
Alla olevan palomuurimallin käyttäminen jo käynnissä olevassa palvelimessa (ei käynnistyksen yhteydessä) johtaa Firezone-sääntöjen tyhjentämiseen. Tällä voi olla turvallisuusvaikutuksia.
Voit kiertää tämän käynnistämällä Phoenix-palvelun uudelleen seuraavasti:
firezone-ctl käynnistä Phoenix uudelleen
#!/usr/sbin/nft -f
## Tyhjennä/huuhtele kaikki olemassa olevat säännöt
huuhtele säännöt
############################### MUUTTUJAT ################## ###############
## Internet/WAN-liitännän nimi
määritä DEV_WAN = eth0
## WireGuard-liitännän nimi
määritä DEV_WIREGUARD = wg-firezone
## WireGuard-kuunteluportti
määritä WIREGUARD_PORT = 51820
############################# MUUTTUJAT LOPPU ################### ############
# Pääinet-perheen suodatustaulukko
taulukko inet-suodatin {
# Edelleenohjatun liikenteen säännöt
# Tämä ketju käsitellään ennen Firezonen eteenpäin suuntautuvaa ketjua
ketju eteenpäin {
tyyppi suodatin koukku eteenpäin prioriteettisuodatin – 5; politiikka hyväksyä
}
# Säännöt tuloliikenteelle
ketjusyöttö {
tyyppi suodatin koukku tulo prioriteettisuodatin; politiikan pudotus
## Salli saapuva liikenne silmukkaliittymään
i jos \
hyväksy \
kommentti "Salli kaikki liikenne sisään loopback-liittymästä"
## Salli muodostetut ja niihin liittyvät yhteydet
ct tila perustettu, liittyvä \
hyväksy \
kommentti "Salli muodostetut/liittyvät yhteydet"
## Salli saapuva WireGuard-liikenne
IIF $DEV_WAN udp dport $WIREGUARD_PORT \
laskuri \
hyväksy \
kommentti "Salli saapuva WireGuard-liikenne"
## Kirjaa ja pudota uudet TCP-ei-SYN-paketit
tcp liput != syn ct tila uusi \
rajakorko 100/minuutti räjähdys 150 paketit \
lokin etuliite "IN – Uusi !SYN:" \
kommentti "Nopeusrajoituksen kirjaaminen uusille yhteyksille, joilla ei ole SYN TCP -lippua asetettuna"
tcp liput != syn ct tila uusi \
laskuri \
pudota \
kommentti "Poista uudet yhteydet, joilla ei ole SYN TCP -lippua asetettuna"
## Kirjaa ja pudota TCP-paketit, joissa on virheellinen fin/syn-lippu
tcp liput & (fin|syn) == (fin|syn) \
rajakorko 100/minuutti räjähdys 150 paketit \
lokin etuliite "IN – TCP FIN|SIN: " \
kommentti "Nopeusrajoituksen kirjaaminen TCP-paketteihin, joissa on virheellinen fin/syn-lippu"
tcp liput & (fin|syn) == (fin|syn) \
laskuri \
pudota \
kommentti "Poista TCP-paketit, joissa on virheellinen fin/syn-lippu"
## Kirjaa ja pudota TCP-paketteja, joissa on virheellinen syn/ensimmäinen lippu asetettu
tcp liput & (syn|rst) == (syn|rst) \
rajakorko 100/minuutti räjähdys 150 paketit \
lokin etuliite "IN – TCP SYN|RST:" \
kommentti "Nopeusrajoituksen kirjaaminen TCP-paketteille, joissa on virheellinen syn/ensimmäinen lippu asetettu"
tcp liput & (syn|rst) == (syn|rst) \
laskuri \
pudota \
kommentti "Poista TCP-paketit, joissa on virheellinen syn/ensimmäinen lippu asetettu"
## Kirjaa ja pudota virheelliset TCP-liput
tcp liput & (fin|syn|rst|psh|ack|urg) < (fin) \
rajakorko 100/minuutti räjähdys 150 paketit \
lokin etuliite "IN – FIN:" \
kommentti "Virheellisten TCP-lippujen nopeusrajoitusten kirjaaminen (fin|syn|rst|psh|ack|urg) < (fin)"
tcp liput & (fin|syn|rst|psh|ack|urg) < (fin) \
laskuri \
pudota \
kommentti "Poista TCP-paketit lipuilla (fin|syn|rst|psh|ack|urg) < (fin)"
## Kirjaa ja pudota virheelliset TCP-liput
tcp-liput & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
rajakorko 100/minuutti räjähdys 150 paketit \
lokin etuliite "IN – FIN|PSH|URG:" \
kommentti "Virheellisten TCP-lippujen nopeusrajoitusten kirjaaminen (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp-liput & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
laskuri \
pudota \
kommentti "Poista TCP-paketit lipuilla (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Pudota liikennettä, jos yhteystila on virheellinen
ct tila virheellinen \
rajakorko 100/minuutti räjähdys 150 paketit \
loki merkitsee kaikki etuliitteet "IN – Invalid:" \
kommentti "Verkkorajoituksen kirjaaminen liikenteelle, jonka yhteystila on virheellinen"
ct tila virheellinen \
laskuri \
pudota \
kommentti "Poista liikennettä virheellisellä yhteystilalla"
## Salli IPv4-ping/ping-vastaukset, mutta nopeusrajoitus on 2000 PPS
ip protokolla icmp icmp type { echo-reply, echo-request } \
rajakorko 2000/sekunti \
laskuri \
hyväksy \
kommentti "Salli saapuva IPv4-kaiku (ping) rajoitettu 2000 PPS:ään"
## Salli kaikki muut saapuvat IPv4 ICMP:t
ip protokolla icmp \
laskuri \
hyväksy \
kommentti "Salli kaikki muut IPv4 ICMP"
## Salli IPv6-ping/ping-vastaukset, mutta nopeusrajoitus on 2000 PPS
icmpv6 type { echo-reply, echo-request } \
rajakorko 2000/sekunti \
laskuri \
hyväksy \
kommentti "Salli saapuva IPv6-kaiku (ping) rajoitettu 2000 PPS:ään"
## Salli kaikki muut saapuvat IPv6 ICMP:t
meta l4proto { icmpv6 } \
laskuri \
hyväksy \
kommentti "Salli kaikki muut IPv6 ICMP"
## Salli saapuvat traceroute UDP-portit, mutta raja 500 PPS
udp dport 33434-33524 \
rajakorko 500/sekunti \
laskuri \
hyväksy \
kommentti "Salli saapuva UDP-traceroute rajoitettu 500 PPS:ään"
## Salli saapuva SSH
tcp dport ssh ct tila uusi \
laskuri \
hyväksy \
kommentti "Salli saapuvat SSH-yhteydet"
## Salli saapuva HTTP ja HTTPS
tcp dport { http, https } ct tila uusi \
laskuri \
hyväksy \
kommentti "Salli saapuvat HTTP- ja HTTPS-yhteydet"
## Kirjaa kaikki vertaansa vailla oleva liikenne, mutta rajoita kirjaamista enintään 60 viestiin minuutissa
## Oletuskäytäntöä sovelletaan verrattomaan liikenteeseen
rajakorko 60/minuutti räjähdys 100 paketit \
lokin etuliite "IN – pudota:" \
kommentti "Kirjaa kaikki vertaansa vailla oleva liikenne"
## Laske vertaansa vailla oleva liikenne
laskuri \
kommentti "Laske kaikki vertaansa vailla oleva liikenne"
}
# Lähtöliikenteen säännöt
ketjun lähtö {
tyyppi suodatin koukku lähtö prioriteetti suodatin; politiikan pudotus
## Salli lähtevä liikenne silmukkaliittymään
voi voi \
hyväksy \
kommentti "Salli kaikki liikenne takaisin loopback-liittymään"
## Salli muodostetut ja niihin liittyvät yhteydet
ct tila perustettu, liittyvä \
laskuri \
hyväksy \
kommentti "Salli muodostetut/liittyvät yhteydet"
## Salli lähtevä WireGuard-liikenne ennen kuin katkaiset huonon tilan yhteydet
oif $DEV_WAN udp urheilu $WIREGUARD_PORT \
laskuri \
hyväksy \
kommentti "Salli WireGuardin lähtevä liikenne"
## Pudota liikennettä, jos yhteystila on virheellinen
ct tila virheellinen \
rajakorko 100/minuutti räjähdys 150 paketit \
loki merkitsee kaikki etuliitteet "OUT – Invalid:" \
kommentti "Verkkorajoituksen kirjaaminen liikenteelle, jonka yhteystila on virheellinen"
ct tila virheellinen \
laskuri \
pudota \
kommentti "Poista liikennettä virheellisellä yhteystilalla"
## Salli kaikki muut lähtevät IPv4 ICMP:t
ip protokolla icmp \
laskuri \
hyväksy \
kommentti "Salli kaikki IPv4 ICMP-tyypit"
## Salli kaikki muut lähtevät IPv6 ICMP:t
meta l4proto { icmpv6 } \
laskuri \
hyväksy \
kommentti "Salli kaikki IPv6 ICMP-tyypit"
## Salli lähtevät traceroute-UDP-portit, mutta rajoita 500 PPS:ään
udp dport 33434-33524 \
rajakorko 500/sekunti \
laskuri \
hyväksy \
kommentti "Salli lähtevä UDP-traceroute rajoitettu 500 PPS:ään"
## Salli lähtevät HTTP- ja HTTPS-yhteydet
tcp dport { http, https } ct tila uusi \
laskuri \
hyväksy \
kommentti "Salli lähtevät HTTP- ja HTTPS-yhteydet"
## Salli lähtevä SMTP-lähetys
tcp dport -lähetys ct tila uusi \
laskuri \
hyväksy \
kommentti "Salli lähtevä SMTP-lähetys"
## Salli lähtevät DNS-pyynnöt
udp dport 53 \
laskuri \
hyväksy \
kommentti "Salli lähtevät UDP DNS-pyynnöt"
tcp dport 53 \
laskuri \
hyväksy \
kommentti "Salli lähtevät TCP DNS-pyynnöt"
## Salli lähtevät NTP-pyynnöt
udp dport 123 \
laskuri \
hyväksy \
kommentti "Salli lähtevät NTP-pyynnöt"
## Kirjaa kaikki vertaansa vailla oleva liikenne, mutta rajoita kirjaamista enintään 60 viestiin minuutissa
## Oletuskäytäntöä sovelletaan verrattomaan liikenteeseen
rajakorko 60/minuutti räjähdys 100 paketit \
lokin etuliite "ULOS - Pudota:" \
kommentti "Kirjaa kaikki vertaansa vailla oleva liikenne"
## Laske vertaansa vailla oleva liikenne
laskuri \
kommentti "Laske kaikki vertaansa vailla oleva liikenne"
}
}
# Pää NAT-suodatustaulukko
taulukko inet nat {
# Säännöt NAT-liikenteen esireititystä varten
ketjun esireititys {
kirjoita nat hook prerouting prioriteetti dstnat; politiikka hyväksyä
}
# Säännöt NAT-liikenteen reitityksen jälkeen
# Tämä taulukko käsitellään ennen Firezone-jälkireititysketjua
ketjun jälkireititys {
tyyppi nat koukku postrouting prioriteetti srcnat – 5; politiikka hyväksyä
}
}
Palomuuri tulee tallentaa käynnissä olevan Linux-jakelun asianmukaiseen sijaintiin. Debian/Ubuntulle tämä on /etc/nftables.conf ja RHEL:lle /etc/sysconfig/nftables.conf.
nftables.service on määritettävä käynnistymään käynnistyksen yhteydessä (jos ei vielä ole):
systemctl enable nftables.service
Jos teet muutoksia palomuurimalliin, syntaksi voidaan vahvistaa suorittamalla tarkistuskomento:
nft -f /polku/nftables.conf -c
Varmista, että palomuuri toimii odotetusti, sillä tietyt nftables-ominaisuudet eivät ehkä ole käytettävissä palvelimella olevan julkaisun mukaan.
_______________________________________________________________
Tämä asiakirja sisältää yleiskatsauksen telemetriasta, jonka Firezone kerää itseisännöidystä ilmentymästäsi ja kuinka se poistetaan käytöstä.
Palovyöhyke vetoaa telemetrialla priorisoidaksemme tiekarttamme ja optimoidaksemme tekniset resurssit, joita meillä on tehdä Firezonesta parempi kaikille.
Keräämämme telemetria pyrkii vastaamaan seuraaviin kysymyksiin:
Firezonessa on kolme pääpaikkaa, joissa telemetriaa kerätään:
Kussakin näistä kolmesta kontekstista keräämme vähimmäismäärän dataa, joka tarvitaan vastaamaan yllä olevan osan kysymyksiin.
Järjestelmänvalvojan sähköpostit kerätään vain, jos olet nimenomaisesti hyväksynyt tuotepäivitykset. Muutoin henkilötiedot ovat henkilökohtaisia ei ikinä kerätty.
Firezone tallentaa telemetriaa itseisännöityyn PostHog-instanssiin, joka toimii yksityisessä Kubernetes-klusterissa ja johon vain Firezone-tiimi pääsee käsiksi. Tässä on esimerkki telemetriatapahtumasta, joka lähetetään Firezone-esiintymästäsi telemetriapalvelimellemme:
{
"Id": “0182272d-0b88-0000-d419-7b9a413713f1”,
"aikaleima": “2022-07-22T18:30:39.748000+00:00”,
"tapahtuma": "fz_http_started",
"erillinen_tunnus": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"ominaisuudet": {
"$geoip_city_name": "Ashburn",
"$geoip_continent_code": "NA",
"$geoip_continent_name": "Pohjois-Amerikka",
"$geoip_country_code": "MEILLE",
"$geoip_country_name": "Yhdysvallat",
"$geoip_latitude": 39.0469,
"$geoip_longitude": -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "Virginia",
"$geoip_time_zone": “Amerikka/New_York”,
"$ip": "52.200.241.107",
"$plugins_deferred": []
"$plugins_failed": []
"$plugins_succeeded": [
"GeoIP (3)"
],
"erillinen_tunnus": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "Linux 5.13.0",
"versio": "0.4.6"
},
"elements_chain": ""
}
HUOMAUTUS
Firezonen kehitystiimi vetoaa tuoteanalytiikkaan, jotta Firezonesta tulee parempi kaikille. Telemetrian salliminen on arvokkain yksittäinen panos Firezonen kehitykseen. Ymmärrämme kuitenkin, että joillakin käyttäjillä on korkeammat tietosuoja- tai turvallisuusvaatimukset, ja he haluaisivat poistaa telemetrian käytöstä kokonaan. Jos se olet sinä, jatka lukemista.
Telemetria on oletuksena käytössä. Voit poistaa tuotteen telemetrian kokonaan käytöstä asettamalla seuraavan määritysasetuksen arvoksi false tiedostossa /etc/firezone/firezone.rb ja suorittamalla sudo firezone-ctl reconfigure tarkistaaksesi muutokset.
oletus['paloalue']["telemetria"]['käytössä'] = väärä
Tämä poistaa kokonaan tuotteen telemetrian käytöstä.
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Puhelin: (732) 771-9995
Sähköposti: info@hailbytes.com
