menu
Ang mga lakang sa lakang nga mga panudlo alang sa pag-deploy sa Hailbytes VPN nga adunay Firezone GUI gihatag dinhi.
Pagdumala: Ang pag-set up sa instance sa server direktang may kalabutan niini nga bahin.
Mga Giya sa Gumagamit: Makatabang nga mga dokumento nga makatudlo kanimo unsaon paggamit sa Firezone ug pagsulbad sa kasagarang mga problema. Pagkahuman nga malampuson nga na-deploy ang server, tan-awa kini nga seksyon.
Split Tunneling: Gamita ang VPN aron ipadala lamang ang trapiko sa piho nga mga han-ay sa IP.
Pag-whitelist: Ibutang ang static nga IP address sa VPN server aron magamit ang whitelisting.
Reverse Tunnels: Paghimo og mga tunnel tali sa daghang mga kaedad gamit ang reverse tunnels.
Nalipay kami sa pagtabang kanimo kung kinahanglan nimo ang tabang sa pag-install, pag-customize, o paggamit sa Hailbytes VPN.
Sa wala pa ang mga tiggamit makahimo o mag-download sa mga file sa pag-configure sa aparato, ang Firezone mahimong ma-configure aron magkinahanglan og panghimatuud. Ang mga tiggamit mahimo usab nga kinahanglan nga kanunay nga magpamatuod pag-usab aron mapadayon ang ilang koneksyon sa VPN nga aktibo.
Bisan kung ang default nga paagi sa pag-login sa Firezone mao ang lokal nga email ug password, mahimo usab kini i-integrate sa bisan unsang standardized OpenID Connect (OIDC) identity provider. Ang mga tiggamit karon makahimo na sa pag-log in sa Firezone gamit ang ilang Okta, Google, Azure AD, o mga kredensyal sa pribadong identidad.
I-integrate ang Usa ka Generic OIDC Provider
Ang mga parameter sa pagsumpo nga gikinahanglan sa Firezone aron tugotan ang SSO gamit ang OIDC provider gipakita sa panig-ingnan sa ubos. Sa /etc/firezone/firezone.rb, mahimo nimong makit-an ang configuration file. Pagdalagan ang firezone-ctl reconfigure ug firezone-ctl restart aron ma-update ang aplikasyon ug ma-epekto ang mga kausaban.
# Kini usa ka pananglitan gamit ang Google ug Okta ingon usa ka taghatag sa identidad sa SSO.
# Daghang OIDC configs mahimong idugang sa parehas nga pananglitan sa Firezone.
Ang # Firezone mahimong ma-disable ang VPN sa usa ka user kung adunay bisan unsang sayup nga nakit-an nga pagsulay
# aron i-refresh ang ilang access_token. Gipamatud-an kini nga magtrabaho alang sa Google, Okta, ug
# Azure SSO ug gigamit aron awtomatiko nga idiskonekta ang VPN sa usa ka tiggamit kung kini matangtang
# gikan sa OIDC provider. Biyai kini nga disable kung ang imong OIDC provider
Ang # adunay mga isyu nga makapa-refresh sa mga token sa pag-access tungod kay kini wala damha nga makabalda a
# sesyon sa VPN sa tiggamit.
default ['firezone']['authentication']['disable_vpn_on_oidc_error'] = bakak
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "kodigo",
sakup: "openid email profile",
label: "Google"
},
okta: {
discovery_document_uri: “https:// /.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "kodigo",
sakup: "openid email profile offline_access",
label: “Okta”
}
}
Ang mosunod nga mga setting sa config gikinahanglan alang sa panagsama:
Para sa matag OIDC provider usa ka katugbang nga nindot nga URL ang gihimo para sa pag-redirect sa configured provider's sign-in URL. Para sa pananglitan sa OIDC config sa ibabaw, ang mga URL mao ang:
Mga tighatag kami adunay dokumentasyon para sa:
Kung ang imong identity provider adunay generic OIDC connector ug wala nalista sa ibabaw, palihog adto sa ilang dokumentasyon para sa impormasyon kon unsaon pagkuha sa gikinahanglang configuration settings.
Ang setting sa ilawom sa mga setting/seguridad mahimong mabag-o aron manginahanglan kanunay nga pag-authenticate pag-usab. Mahimo kini gamiton aron ipatuman ang kinahanglanon nga ang mga tiggamit mosulod sa Firezone sa regular nga basehan aron mapadayon ang ilang sesyon sa VPN.
Ang gitas-on sa sesyon mahimong ma-configure nga tali sa usa ka oras ug kasiyaman ka adlaw. Pinaagi sa pag-set niini sa Never, mahimo nimong palihokon ang mga sesyon sa VPN bisan unsang orasa. Kini ang sumbanan.
Kinahanglang tapuson sa usa ka user ang ilang sesyon sa VPN ug mag-log in sa portal sa Firezone aron mapamatud-an pag-usab ang usa ka expired nga sesyon sa VPN (URL nga gitakda sa panahon sa pag-deploy).
Mahimo nimong pamatud-an pag-usab ang imong sesyon pinaagi sa pagsunod sa tukma nga mga panudlo sa kliyente nga makita dinhi.
Status sa VPN Koneksyon
Ang kolum sa lamesa sa VPN Connection sa Users page nagpakita sa status sa koneksyon sa user. Kini ang mga kahimtang sa koneksyon:
ENABLED - Ang koneksyon gipalihok.
DISABLED - Ang koneksyon gi-disable sa usa ka administrator o OIDC refresh failure.
NA-EXPIRED – Na-disable ang koneksyon tungod sa pag-expire sa authentication o wala pa naka-sign in ang user sa unang higayon.
Pinaagi sa kinatibuk-ang OIDC connector, ang Firezone makahimo sa Single Sign-On (SSO) uban sa Google Workspace ug Cloud Identity. Kini nga giya magpakita kanimo kung giunsa pagkuha ang mga parameter sa pagsumpo nga gilista sa ubos, nga gikinahanglan alang sa panagsama:
1. OAuth Config Screen
Kung kini ang unang higayon nga naghimo ka og bag-ong OAuth client ID, hangyoon ka nga mag-configure og screen sa pagtugot.
* Pilia ang Internal para sa tipo sa user. Kini nagsiguro nga ang mga account lang nga iya sa mga user sa imong Google Workspace Organization ang makahimo og mga config sa device. AYAW pilia ang External gawas kung gusto nimo nga hatagan ang bisan kinsa nga adunay balido nga Google Account nga maghimo mga config sa aparato.
Sa screen sa impormasyon sa App:
2. Paghimo og mga OAuth Client ID
Kini nga seksyon gibase sa kaugalingon nga dokumentasyon sa Google sa pag-set up sa OAuth 2.0.
Bisitaha ang Google Cloud Console Panid sa kredensyal panid, i-klik ang + Paghimo Mga Kredensyal ug pilia ang OAuth client ID.
Sa screen sa paghimo sa OAuth client ID:
Human sa paghimo sa OAuth client ID, hatagan ka ug Client ID ug Client Secret. Kini gamiton uban sa redirect URI sa sunod nga lakang.
edit /etc/firezone/firezone.rb iapil ang mga opsyon sa ubos:
# Gigamit ang Google isip taghatag sa identidad sa SSO
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "kodigo",
sakup: "openid email profile",
label: "Google"
}
}
Pagdalag firezone-ctl reconfigure ug firezone-ctl restart aron ma-update ang aplikasyon. Kinahanglan nimo karon nga makita ang usa ka Sign in gamit ang Google nga buton sa gamut nga Firezone URL.
Gigamit sa Firezone ang generic OIDC connector aron mapadali ang Single Sign-On (SSO) sa Okta. Kini nga panudlo magpakita kanimo kung giunsa pagkuha ang mga parameter sa pagsumpo nga gilista sa ubos, nga gikinahanglan alang sa paghiusa:
Kini nga seksyon sa giya gibase sa Dokumentasyon ni Okta.
Sa Admin Console, adto sa Applications > Applications ug i-klik ang Create App Integration. Ibutang ang Sign-in method sa OICD – OpenID Connect ug Application type sa Web application.
I-configure kini nga mga setting:
Sa higayon nga ma-save ang mga setting, hatagan ka og Client ID, Client Secret, ug Okta Domain. Kini nga 3 nga mga kantidad gamiton sa Lakang 2 aron ma-configure ang Firezone.
edit /etc/firezone/firezone.rb aron iapil ang mga kapilian sa ubos. Ang imong discovery_document_url mahimong /.well-known/openid-configuration gidugang sa katapusan sa imong okta_domain.
# Gigamit ang Okta ingon ang taghatag sa identidad sa SSO
default['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri: “https:// /.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "kodigo",
sakup: "openid email profile offline_access",
label: “Okta”
}
}
Pagdalag firezone-ctl reconfigure ug firezone-ctl restart aron ma-update ang aplikasyon. Kinahanglan nimong makita karon ang usa ka Sign in gamit ang Okta nga buton sa gamut nga Firezone URL.
Ang mga tiggamit nga maka-access sa Firezone app mahimong higpitan sa Okta. Adto sa imong Okta Admin Console's Firezone App Integration's Assignments page aron matuman kini.
Pinaagi sa generic OIDC connector, ang Firezone makahimo sa Single Sign-On (SSO) uban sa Azure Active Directory. Kini nga manwal magpakita kanimo kung giunsa pagkuha ang mga parameter sa pagsumpo nga gilista sa ubos, nga gikinahanglan alang sa paghiusa:
Kini nga giya gikuha gikan sa Azure Active Directory Docs.
Adto sa Azure nga portal sa Azure Active Directory nga panid. Pilia ang opsyon sa Manage menu, pilia ang Bag-ong Registration, unya magparehistro pinaagi sa paghatag sa impormasyon sa ubos:
Pagkahuman sa pagparehistro, ablihi ang mga detalye sa pagtan-aw sa aplikasyon ug kopyaha ang Aplikasyon (kliyente) ID. Kini mao ang bili sa client_id. Sunod, ablihi ang endpoints menu aron makuha ang OpenID Connect metadata nga dokumento. Kini mao ang discovery_document_uri value.
Paghimo og bag-ong sekreto sa kliyente pinaagi sa pag-klik sa Certificates & secrets nga opsyon ubos sa Manage menu. Kopyaha ang sekreto sa kliyente; ang sekreto nga bili sa kliyente mao kini.
Katapusan, pilia ang link sa pagtugot sa API ubos sa Manage menu, i-klik Pagdugang og pagtugot, Ug pagpili Microsoft Graph, Idugang email, openid, offline_access ug profile sa gikinahanglan nga mga permiso.
edit /etc/firezone/firezone.rb iapil ang mga opsyon sa ubos:
# Paggamit sa Azure Active Directory ingon ang taghatag sa identidad sa SSO
default['firezone']['authentication']['oidc'] = {
asul: {
discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
response_type: "kodigo",
sakup: "openid email profile offline_access",
label: "Azure"
}
}
Pagdalag firezone-ctl reconfigure ug firezone-ctl restart aron ma-update ang aplikasyon. Kinahanglan nimo karon nga makita ang usa ka Sign in gamit ang Azure nga buton sa gamut nga Firezone URL.
Gitugotan sa Azure AD ang mga administrador nga limitahan ang pag-access sa app sa usa ka piho nga grupo sa mga tiggamit sa sulod sa imong kompanya. Dugang nga impormasyon kon unsaon pagbuhat niini makita sa dokumentasyon sa Microsoft.
Ang Chef Omnibus gigamit sa Firezone sa pagdumala sa mga buluhaton lakip ang pagpagawas sa pakete, pagdumala sa proseso, pagdumala sa log, ug uban pa.
Ang Ruby code naglangkob sa nag-unang configuration file, nga nahimutang sa /etc/firezone/firezone.rb. Ang pagsugod pag-usab sa sudo firezone-ctl reconfigure human sa paghimo sa mga pagbag-o niini nga file hinungdan sa Chef nga makaila sa mga pagbag-o ug magamit kini sa kasamtangan nga operating system.
Tan-awa ang reference sa configuration file alang sa usa ka kompletong listahan sa configuration variables ug ang ilang mga deskripsyon.
Ang imong instance sa Firezone mahimong madumala pinaagi sa firezone-ctl command, sama sa gipakita sa ubos. Kadaghanan sa mga subcommand nanginahanglan prefixing sa sudo.
gamut@demo:~# firezone-ctl
omnibus-ctl: sugo (subcommand)
Kinatibuk-ang mga sugo:
paglimpyo
I-delete ang *tanan* nga data sa firezone, ug sugdi gikan sa wala.
paghimo-o-reset-admin
I-reset ang password para sa admin gamit ang email nga gitakda sa default['firezone']['admin_email'] o maghimo ug bag-ong admin kung wala kana nga email.
sa pagtabang sa
I-print kini nga mensahe sa tabang.
pag-usab sa pag-usab
I-configure pag-usab ang aplikasyon.
reset-network
I-reset ang mga nftable, WireGuard interface, ug routing table balik sa mga default sa Firezone.
ipakita-config
Ipakita ang configuration nga mamugna pinaagi sa reconfigure.
teardown-network
Gikuha ang WireGuard interface ug firezone nftables table.
kusog-cert-renewal
Pugsa ang pagbag-o sa sertipiko karon bisan kung wala pa kini ma-expire.
stop-cert-renewal
Gitangtang ang cronjob nga nagbag-o sa mga sertipiko.
uninstall
Patya ang tanan nga mga proseso ug i-uninstall ang superbisor sa proseso (ang data mapreserbar).
nga bersyon
Ipakita ang kasamtangan nga bersyon sa Firezone
Mga Sugo sa Pagdumala sa Serbisyo:
graceful-pagpatay
Sulayi ang usa ka madanihon nga paghunong, unya SIGKILL ang tibuuk nga grupo sa proseso.
hup
Ipadala ang mga serbisyo og HUP.
int
Ipadala ang mga serbisyo og INT.
pagpatay
Ipadala ang mga serbisyo og KILL.
sa makausa
Sugdi ang mga serbisyo kung wala sila. Ayaw pagsugod pag-usab kung sila mohunong.
Pagsugod pag-usab
Hunonga ang mga serbisyo kon sila nagdagan, unya sugdi kini pag-usab.
lista sa serbisyo
Ilista ang tanan nga mga serbisyo (mga serbisyo nga gipagana makita nga adunay *.)
pagsugod
Pagsugod sa mga serbisyo kung wala sila, ug i-restart kini kung mohunong.
status
Ipakita ang kahimtang sa tanan nga mga serbisyo.
paghunong
Hunonga ang mga serbisyo, ug ayaw i-restart kini.
ikog
Tan-awa ang mga log sa serbisyo sa tanan nga gipaandar nga mga serbisyo.
termino
Ipadala ang mga serbisyo ug TERM.
usr1
Ipadala ang mga serbisyo og USR1.
usr2
Ipadala ang mga serbisyo og USR2.
Ang tanan nga mga sesyon sa VPN kinahanglan nga tapuson sa dili pa i-upgrade ang Firezone, nga nanawagan usab sa pagsira sa Web UI. Kung adunay mahitabo nga sayup sa panahon sa pag-upgrade, among gitambagan ang paggahin ug usa ka oras alang sa pagmentinar.
Aron mapausbaw ang Firezone, buhata ang mosunod nga mga aksyon:
Kung adunay mga problema nga moabut, palihug ipahibalo kanamo pinaagi sa pagsumite ug tiket sa suporta.
Adunay pipila ka mga pagbag-o ug pagbag-o sa pag-configure sa 0.5.0 nga kinahanglan sulbaron. Hibal-i ang dugang sa ubos.
Dili na gisuportahan sa Nginx ang pwersa sa SSL ug non-SSL port parameters sa bersyon 0.5.0. Tungod kay kinahanglan sa Firezone ang SSL aron molihok, among gitambagan nga tangtangon ang serbisyo sa bundle Nginx pinaagi sa pag-set default ['firezone']['nginx']['enabled'] = bakak ug idirekta ang imong reverse proxy sa Phoenix app sa port 13000 sa baylo (sa default ).
Gipaila sa 0.5.0 ang suporta sa protocol sa ACME alang sa awtomatik nga pagbag-o sa mga sertipiko sa SSL sa gibugkos nga serbisyo sa Nginx. Aron mahimo,
Ang posibilidad sa pagdugang sa mga lagda nga adunay doble nga mga destinasyon nawala sa Firezone 0.5.0. Awtomatiko nga mailhan sa among script sa paglalin kini nga mga sitwasyon sa panahon sa pag-upgrade sa 0.5.0 ug tipigan ra ang mga lagda kansang destinasyon naglakip sa lain nga lagda. Wala kay kinahanglan buhaton kung okay ra.
Kung dili, sa dili pa mag-upgrade, among gitambagan ang pagbag-o sa imong set sa mga lagda aron mawala kini nga mga sitwasyon.
Gitangtang sa Firezone 0.5.0 ang suporta alang sa karaan nga istilo nga Okta ug Google SSO nga pagsumpo pabor sa bag-o, mas flexible nga OIDC-based nga configuration.
Kung naa kay bisan unsang configuration ubos sa default['firezone']['authentication']['okta'] o default['firezone']['authentication']['google'] keys, kinahanglan nimo kining ibalhin sa among OIDC -based configuration gamit ang giya sa ubos.
Anaa nga Google OAuth configuration
Kuhaa kini nga mga linya nga naglangkob sa daan nga Google OAuth configs gikan sa imong configuration file nga nahimutang sa /etc/firezone/firezone.rb
default['firezone']['authentication']['google']['enabled']
default['firezone']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
default['firezone']['authentication']['google']['redirect_uri']
Dayon, i-configure ang Google isip OIDC provider pinaagi sa pagsunod sa mga pamaagi dinhi.
(Ihatag ang mga instruksyon sa link)<<<<<<<<<<<<<<<<
I-configure ang Naglungtad nga Google OAuth
Kuhaa kini nga mga linya nga adunay mga daan nga Okta OAuth configs gikan sa imong configuration file nga nahimutang sa /etc/firezone/firezone.rb
default['firezone']['authentication']['okta']['enabled']
default['firezone']['authentication']['okta']['client_id']
default ['firezone']['authentication']['okta']['client_secret']
Default['firezone']['authentication']['okta']['site']
Dayon, i-configure ang Okta isip OIDC provider pinaagi sa pagsunod sa mga pamaagi dinhi.
Depende sa imong kasamtangan nga setup ug bersyon, sunda ang mga direksyon sa ubos:
Kung aduna ka'y OIDC integration:
Para sa pipila ka OIDC providers, ang pag-upgrade sa >= 0.3.16 nagkinahanglan nga makakuha ug refresh token para sa offline access scope. Pinaagi sa pagbuhat niini, gisiguro nga ang Firezone nag-update sa taghatag sa identidad ug nga ang koneksyon sa VPN gipalong human matangtang ang usa ka user. Ang una nga mga pag-usab sa Firezone kulang niini nga bahin. Sa pipila ka mga higayon, ang mga tiggamit nga natangtang gikan sa imong identity provider mahimo gihapon nga konektado sa usa ka VPN.
Kinahanglang iapil ang offline nga access sa scope parameter sa imong OIDC configuration para sa OIDC providers nga nagsuporta sa offline access scope. Ang pag-reconfigure sa Firezone-ctl kinahanglan nga ipatuman aron magamit ang mga pagbag-o sa file sa pagsumpo sa Firezone, nga nahimutang sa /etc/firezone/firezone.rb.
Alang sa mga tiggamit nga na-authenticate sa imong OIDC provider, imong makita ang OIDC Connections nga ulohan sa pahina sa mga detalye sa user sa web UI kon ang Firezone makahimo sa malampusong pagbawi sa refresh token.
Kung dili kini molihok, kinahanglan nimo nga papason ang imong kasamtangan nga OAuth app ug balikon ang mga lakang sa pag-setup sa OIDC aron paghimo og bag-ong app integration .
Duna koy kasamtangang OAuth integration
Sa wala pa ang 0.3.11, gigamit sa Firezone ang pre-configured OAuth2 providers.
Sunda ang mga panudlo dinhi nga mo-migrate sa OIDC.
Wala ko nag-integrate og identity provider
Dili kinahanglan aksyon.
Mahimo nimong sundon ang mga panudlo dinhi aron mahimo ang SSO pinaagi sa usa ka OIDC provider.
Sa dapit niini, ang default['firezone']['external url'] mipuli sa configuration option default['firezone']['fqdn'].
Ibutang kini sa URL sa imong Firezone online portal nga ma-access sa publiko. Kini mahimong default sa https:// ug ang FQDN sa imong server kung dili matino.
Ang configuration file nahimutang sa /etc/firezone/firezone.rb. Tan-awa ang reference sa configuration file alang sa usa ka kompletong listahan sa configuration variables ug ang ilang mga deskripsyon.
Wala na gitipigan sa Firezone ang mga pribado nga yawe sa aparato sa server sa Firezone sa bersyon 0.3.0.
Ang Firezone Web UI dili motugot kanimo sa pag-download pag-usab o pagtan-aw niini nga mga kumpigurasyon, apan ang bisan unsang kasamtangan nga mga himan kinahanglan nga magpadayon sa pag-operate sa unsa nga paagi.
Kung nag-upgrade ka gikan sa Firezone 0.1.x, adunay pipila ka mga pagbag-o sa configuration file nga kinahanglan nga hisgutan sa mano-mano.
Aron mahimo ang gikinahanglan nga mga pagbag-o sa imong /etc/firezone/firezone.rb file, padagana ang mga sugo sa ubos isip gamut.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default ['firezone']['connectivity_checks']['enabled'] = tinuod" >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl reconfigure
I-restart ang firezone-ctl
Ang pagsusi sa mga log sa Firezone usa ka maalamon nga unang lakang alang sa bisan unsang mga isyu nga mahimong mahitabo.
Pagdalag sudo firezone-ctl tail aron makita ang mga log sa Firezone.
Ang kadaghanan sa mga problema sa koneksyon sa Firezone gipahinabo sa dili magkatugma nga mga lagda sa iptables o nftables. Kinahanglan nimong siguroon nga ang bisan unsang mga lagda nga imong naa sa epekto dili mosupak sa mga lagda sa Firezone.
Siguruha nga ang kadena sa FORWARD nagtugot sa mga pakete gikan sa imong mga kliyente sa WireGuard ngadto sa mga lokasyon nga gusto nimo nga ipaagi sa Firezone kung ang imong koneksyon sa Internet madaot matag higayon nga imong i-aktibo ang imong WireGuard tunnel.
Mahimo kini nga makab-ot kung gigamit nimo ang ufw pinaagi sa pagsiguro nga gitugotan ang default nga palisiya sa pag-ruta:
ubuntu@fz:~$ sudo ufw default tugotan ang rota
Ang default nga gi-ruta nga polisiya giusab ngadto sa 'allow'
(siguruha nga i-update ang imong mga lagda sumala niana)
A ufw ang kahimtang alang sa usa ka tipikal nga server sa Firezone mahimong ingon niini:
ubuntu@fz:~$ sudo ufw status verbose
Status: aktibo
Pag-log: on (ubos)
Default: pagdumili (nag-abot), pagtugot (paggawas), pagtugot (gi-ruta)
Bag-ong mga profile: laktawan
Gikan sa Aksyon
————-
22/tcp TUGOT SA Bisan asa
80/tcp TUGOT SA Bisan asa
443/tcp TUGUTI SA Bisan asa
51820/udp TUGUTI SA Bisan asa
22/tcp (v6) tugotan bisan asa (v6)
80/tcp (v6) tugotan bisan asa (v6)
443/tcp (v6) tugotan bisan asa (v6)
51820/udp (v6) tugotan bisan asa (v6)
Gitambagan namon nga limitahan ang pag-access sa interface sa web alang sa labi ka sensitibo ug kritikal nga misyon nga pag-deploy sa produksiyon, ingon gipasabut sa ubos.
nga pag-alagad | Default nga Port | Paminaw nga Address | Description |
Nginx | 80, 443 | sa tanan nga mga | Publikong HTTP(S) nga pantalan para sa pagdumala sa Firezone ug pagpadali sa pag-authenticate. |
Pagbantay | 51820 | sa tanan nga mga | Public WireGuard port nga gigamit alang sa mga sesyon sa VPN. (UDP) |
postgresql | 15432 | 127.0.0.1 | Lokal lamang nga pantalan nga gigamit alang sa gihugpong nga Postgresql server. |
Phoenix | 13000 | 127.0.0.1 | Lokal-lamang nga pantalan nga gigamit sa upstream elixir app server. |
Gitambagan ka namon nga hunahunaon ang bahin sa pagpugong sa pag-access sa gibutyag sa publiko nga web UI sa Firezone (sa mga default nga pantalan 443/tcp ug 80/tcp) ug sa baylo gamiton ang WireGuard tunnel aron madumala ang Firezone alang sa produksiyon ug pag-atubang sa publiko nga pag-deploy kung diin usa ka tigdumala ang magdumala. sa paghimo ug pag-apod-apod sa mga configuration sa device ngadto sa mga end user.
Pananglitan, kung ang usa ka administrador nagmugna og configuration sa device ug naghimo og tunnel nga adunay lokal nga WireGuard address 10.3.2.2, ang mosunod nga ufw configuration makapahimo sa administrator nga maka-access sa Firezone web UI sa wg-firezone interface sa server gamit ang default 10.3.2.1 adres sa tunel:
gamut@demo:~# ufw status verbose
Status: aktibo
Pag-log: on (ubos)
Default: pagdumili (nag-abot), pagtugot (paggawas), pagtugot (gi-ruta)
Bag-ong mga profile: laktawan
Gikan sa Aksyon
————-
22/tcp TUGOT SA Bisan asa
51820/udp TUGUTI SA Bisan asa
Bisan asa TUGTAN SA 10.3.2.2
22/tcp (v6) tugotan bisan asa (v6)
51820/udp (v6) tugotan bisan asa (v6)
Kini mobiya lamang 22/tcp naladlad alang sa SSH access sa pagdumala sa server (opsyonal), ug 51820/udp gibutyag aron makatukod ug WireGuard tunnels.
Ang Firezone nagbugkos sa usa ka Postgresql server ug pagpares psql utility nga mahimong magamit gikan sa lokal nga kabhang sama sa:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
Makatabang kini alang sa mga katuyoan sa pag-debug.
Kasagarang Buluhaton:
Paglista sa tanan nga tiggamit:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "PILI * GIKAN sa mga tiggamit;"
Paglista sa tanan nga mga aparato:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "PILI * GIKAN sa mga himan;"
Usba ang tahas sa tiggamit:
Ibutang ang tahas sa 'admin' o 'dili pribilihiyo':
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "I-UPDATE ang mga tiggamit SET nga papel = 'admin' DIIN ang email = 'user@example.com';"
Pag-backup sa database:
Dugang pa, gilakip ang pg dump program, nga mahimong magamit sa pagkuha sa regular nga pag-backup sa database. Ipatuman ang mosunod nga code aron ilabay ang usa ka kopya sa database sa komon nga SQL query format (ilisan ang /path/to/backup.sql sa lokasyon diin ang SQL file kinahanglang himoon):
/opt/firezone/embedded/bin/pg_dump \
-U firezone \
-d firezone \
-h localhost \
-p 15432 > /path/to/backup.sql
Human nga malampuson nga na-deploy ang Firezone, kinahanglan nimong idugang ang mga tiggamit aron mahatagan sila og access sa imong network. Ang Web UI gigamit sa pagbuhat niini.
Pinaagi sa pagpili sa "Add User" button ubos sa /users, makadugang ka ug user. Kinahanglan nimo nga hatagan ang user og email address ug password. Aron awtomatik nga tugutan ang pag-access sa mga tiggamit sa imong organisasyon, ang Firezone mahimo usab nga mag-interface ug mag-sync sa usa ka taghatag sa identidad. Dugang detalye anaa sa Tinuod nga. < Pagdugang og link sa Authenticate
Gitambagan namon ang paghangyo nga ang mga tiggamit maghimo sa ilang kaugalingon nga mga pag-configure sa aparato aron ang pribado nga yawe makita ra nila. Ang mga tiggamit makahimo sa ilang kaugalingon nga mga configuration sa device pinaagi sa pagsunod sa mga direksyon sa Mga Instruksyon sa Kliyente panid.
Ang tanan nga mga pag-configure sa aparato sa gumagamit mahimo nga himuon sa mga admin sa Firezone. Sa panid sa profile sa gumagamit nga nahimutang sa / mga tiggamit, pilia ang kapilian nga "Add Device" aron mahimo kini.
[Isulod ang screenshot]
Mahimo nimong i-email sa user ang WireGuard configuration file human sa paghimo sa device profile.
Ang mga tiggamit ug mga himan nalambigit. Alang sa dugang nga mga detalye kung giunsa pagdugang usa ka tiggamit, tan-awa Pagdugang Mga Gumagamit.
Pinaagi sa paggamit sa sistema sa netfilter sa kernel, ang Firezone makahimo sa mga kapabilidad sa pagsala sa egress aron matino ang DROP o ACCEPT nga mga pakete. Ang tanan nga trapiko kasagaran gitugutan.
Ang IPv4 ug IPv6 CIDR ug IP address gisuportahan pinaagi sa Allowlist ug Denylist, matag usa. Mahimo nimong pilion ang pagsakup sa usa ka lagda sa usa ka tiggamit kung idugang kini, nga magamit ang lagda sa tanan nga mga aparato sa tiggamit.
Pag-instalar ug pag-configure
Aron makatukod og koneksyon sa VPN gamit ang lumad nga WireGuard nga kliyente, tan-awa kini nga giya.
Ang Opisyal nga mga kliyente sa WireGuard nga nahimutang dinhi mao ang Firezone compatible:
Bisitaha ang opisyal nga website sa WireGuard sa https://www.wireguard.com/install/ para sa mga sistema sa OS nga wala gihisgutan sa ibabaw.
Ang imong Firezone administrator o ang imong kaugalingon makahimo sa configuration file sa device gamit ang Firezone portal.
Bisitaha ang URL nga gihatag sa imong administrador sa Firezone aron makamugna og kaugalingon nga file sa configuration sa device. Ang imong kompanya adunay usa ka talagsaon nga URL alang niini; sa niini nga kaso, kini mao ang https://instance-id.yourfirezone.com.
Pag-login sa Firezone Okta SSO
[Isulod ang Screenshot]
Import the.conf file ngadto sa WireGuard client pinaagi sa pag-abli niini. Pinaagi sa pag-flip sa Activate switch, makasugod ka og sesyon sa VPN.
[Isulod ang Screenshot]
Sunda ang mga instruksyon sa ubos kung ang imong network administrator nagmando sa balik-balik nga pag-authenticate aron magpabilin nga aktibo ang imong koneksyon sa VPN.
Kinahanglan nimo:
Ang URL sa portal sa Firezone: Pangutan-a ang imong network administrator alang sa koneksyon.
Ang imong network administrator kinahanglan nga makatanyag sa imong login ug password. Ang site sa Firezone mag-aghat kanimo sa pag-log in gamit ang single sign-on nga serbisyo nga gigamit sa imong amo (sama sa Google o Okta).
[Isulod ang Screenshot]
Adto sa URL sa portal sa Firezone ug pag-log in gamit ang mga kredensyal nga gihatag sa imong network administrator. Kung naka-sign in ka na, i-klik ang Reauthenticate button sa dili pa mopirma og balik.
[Isulod ang Screenshot]
[Isulod ang Screenshot]
Aron ma-import ang WireGuard configuration profile gamit ang Network Manager CLI sa mga Linux device, sunda kini nga mga instruksyon (nmcli).
Kung ang profile adunay suporta sa IPv6, ang pagsulay sa pag-import sa configuration file gamit ang Network Manager GUI mahimong mapakyas sa mosunod nga sayup:
ipv6.method: ang pamaagi nga "auto" dili suportado para sa WireGuard
Kinahanglan nga i-install ang WireGuard userspace utilities. Kini usa ka pakete nga gitawag og wireguard o wireguard-tools alang sa mga distribusyon sa Linux.
Para sa Ubuntu/Debian:
sudo apt i-install ang wireguard
Sa paggamit sa Fedora:
sudo dnf i-install ang wireguard-tools
Arch Linux:
sudo pacman -S wireguard-tools
Bisitaha ang opisyal nga website sa WireGuard sa https://www.wireguard.com/install/ para sa mga distribusyon nga wala hisgoti sa ibabaw.
Ang imong Firezone administrator o self-generation mahimong makamugna sa device configuration file gamit ang Firezone portal.
Bisitaha ang URL nga gihatag sa imong administrador sa Firezone aron makamugna og kaugalingon nga file sa configuration sa device. Ang imong kompanya adunay usa ka talagsaon nga URL alang niini; sa niini nga kaso, kini mao ang https://instance-id.yourfirezone.com.
[Isulod ang Screenshot]
I-import ang gihatag nga configuration file gamit ang nmcli:
sudo nmcli connection import type wireguard file /path/to/configuration.conf
Ang ngalan sa configuration file motakdo sa koneksyon/interface sa WireGuard. Pagkahuman sa pag-import, ang koneksyon mahimong mabag-o kung kinahanglan:
Ang koneksyon sa nmcli nag-usab sa [karaang ngalan] connection.id [bag-ong ngalan]
Pinaagi sa command line, kumonekta sa VPN sama sa mosunod:
koneksyon sa nmcli [pangalan sa vpn]
Aron maputol:
Ang koneksyon sa nmcli paubos [ngalan sa vpn]
Ang angay nga Network Manager applet mahimo usab nga gamiton sa pagdumala sa koneksyon kung naggamit og GUI.
Pinaagi sa pagpili sa "oo" alang sa kapilian sa autoconnect, ang koneksyon sa VPN mahimong ma-configure aron awtomatikong magkonektar:
Ang koneksyon sa nmcli nag-usab sa [vpn name] nga koneksyon. <<<<<<<<<<<<<<<<<<<<<<
autoconnect oo
Aron ma-disable ang awtomatik nga koneksyon ibalik kini sa no:
Ang koneksyon sa nmcli nag-usab sa [vpn name] nga koneksyon.
autoconnect no
Aron ma-activate ang MFA Adto sa Firezone portal's /user account/register mfa page. Gamita ang imong authenticator app aron ma-scan ang QR code human kini mabuhat, dayon isulod ang unom ka digit nga code.
Kontaka ang imong Admin aron ma-reset ang impormasyon sa pag-access sa imong account kung nasaypan nimo ang imong authenticator app.
Kini nga panudlo magtultol kanimo sa proseso sa pag-set up sa WireGuard's split tunneling feature uban sa Firezone aron ang trapiko lamang sa piho nga IP range ang ipasa pinaagi sa VPN server.
Ang mga han-ay sa IP diin ang kliyente mag-ruta sa trapiko sa network gitakda sa Allowed IPs field nga nahimutang sa /setting/default nga panid. Ang bag-ong nahimo lang nga WireGuard tunnel configurations nga gihimo sa Firezone ang maapektuhan sa mga kausaban niini nga field.
[Isulod ang Screenshot]
Ang default nga bili mao ang 0.0.0.0/0, ::/0, nga nagtultol sa tanang trapiko sa network gikan sa kliyente ngadto sa VPN server.
Ang mga pananglitan sa mga bili niini nga natad naglakip sa:
0.0.0.0/0, ::/0 – ang tanang trapiko sa network madala ngadto sa VPN server.
192.0.2.3/32 – traffic lang sa usa ka IP address ang madala sa VPN server.
3.5.140.0/22 – traffic lang sa mga IP sa 3.5.140.1 – 3.5.143.254 range ang madala sa VPN server. Niini nga pananglitan, ang CIDR range para sa ap-northeast-2 AWS nga rehiyon gigamit.
Gipili sa Firezone ang egress interface nga may kalabutan sa labing tukma nga ruta una kung nagtino kung asa i-ruta ang usa ka pakete.
Ang mga tiggamit kinahanglan nga magbag-o sa mga file sa pag-configure ug idugang kini sa ilang lumad nga kliyente sa WireGuard aron ma-update ang mga naa na nga aparato sa gumagamit nga adunay bag-ong configuration sa split tunnel.
Alang sa mga panudlo, tan-awa pagdugang lalang. <<<<<<<<<<<< Idugang ang link
Kini nga manwal magpakita kon unsaon pagsumpay ang duha ka device gamit ang Firezone isip relay. Usa ka tipikal nga kaso sa paggamit mao ang paghimo sa usa ka tigdumala nga maka-access sa usa ka server, sudlanan, o makina nga giprotektahan sa usa ka NAT o firewall.
Kini nga ilustrasyon nagpakita sa usa ka prangka nga senaryo diin ang mga Device A ug B naghimo og tunel.
[Isulod ang firezone nga arkitektura nga hulagway]
Pagsugod pinaagi sa paghimo sa Device A ug Device B pinaagi sa pag-navigate sa /users/[user_id]/new_device. Sa mga setting alang sa matag device, siguroha nga ang mosunod nga mga parameter gitakda sa mga bili nga gilista sa ubos. Mahimo nimong itakda ang mga setting sa aparato sa paghimo sa config sa aparato (tan-awa ang Add Devices). Kung kinahanglan nimo nga i-update ang mga setting sa usa ka kasamtangan nga device, mahimo nimo kini pinaagi sa pagmugna og bag-ong device config.
Timan-i nga ang tanan nga mga aparato adunay usa ka /setting/default nga panid diin ang PersistentKeepalive mahimong ma-configure.
Gitugotan nga mga IP = 10.3.2.2/32
Kini ang IP o range sa mga IP sa Device B
PersistentKeepalive = 25
Kung ang aparato naa sa luyo sa usa ka NAT, kini nagsiguro nga ang aparato makahimo sa pagpadayon sa tunel nga buhi ug magpadayon nga makadawat mga pakete gikan sa interface sa WireGuard. Kasagaran ang kantidad nga 25 igo na, apan mahimo nimo kinahanglan nga pakunhuran kini nga kantidad depende sa imong palibot.
Gitugotan nga mga IP = 10.3.2.3/32
Kini ang IP o range sa mga IP sa Device A
PersistentKeepalive = 25
Kini nga pananglitan nagpakita sa usa ka sitwasyon diin ang Device A mahimong makigkomunikar sa Devices B ngadto sa D sa duha ka direksyon. Kini nga setup mahimong magrepresentar sa usa ka inhenyero o administrador nga nag-access sa daghang mga kapanguhaan (mga server, sudlanan, o makina) sa lainlaing mga network.
[Diagram sa Arkitektura]<<<<<<<<<<<<<<<<<<<<<<<<
Siguruha nga ang mga musunod nga mga setting gihimo sa matag setting sa aparato sa katumbas nga mga kantidad. Sa paghimo sa configuration sa device, mahimo nimong itakda ang mga setting sa device (tan-awa ang Add Devices). Ang usa ka bag-ong device config mahimong mahimo kung ang mga setting sa usa ka kasamtangan nga device kinahanglan nga i-update.
Gitugotan nga mga IP = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Kini ang IP sa mga aparato B hangtod sa D. Ang mga IP sa mga aparato B hangtod sa D kinahanglan iapil sa bisan unsang IP range nga imong gipili nga itakda.
PersistentKeepalive = 25
Gigarantiyahan niini nga ang aparato makapadayon sa tunel ug magpadayon nga makadawat mga pakete gikan sa interface sa WireGuard bisan kung kini gipanalipdan sa usa ka NAT. Sa kadaghanan nga mga kaso, ang usa ka kantidad nga 25 igo na, apan depende sa imong palibot, mahimo nimong ipaubos kini nga numero.
Aron makatanyag og usa, static nga egress IP para sa tanan nga trapiko sa imong team nga mogawas, ang Firezone mahimong gamiton isip NAT gateway. Kini nga mga sitwasyon naglakip sa kanunay nga paggamit niini:
Mga Pakiglambigit sa Pagkonsulta: Paghangyo nga ang imong kostumer mag-whitelist sa usa ka static nga IP address kaysa sa talagsaon nga IP sa aparato sa matag empleyado.
Paggamit sa usa ka proxy o pag-mask sa imong gigikanan nga IP alang sa mga katuyoan sa seguridad o pagkapribado.
Ang usa ka yano nga pananglitan sa paglimite sa pag-access sa usa ka self-host nga aplikasyon sa web sa usa ka gi-whitelist nga static nga IP nga nagpadagan sa Firezone ipakita sa kini nga post. Sa kini nga ilustrasyon, ang Firezone ug ang giprotektahan nga kapanguhaan naa sa lainlaing mga lugar sa VPC.
Kini nga solusyon kanunay nga gigamit puli sa pagdumala sa usa ka IP whitelist alang sa daghang mga end user, nga mahimo’g makahurot sa oras samtang ang lista sa pag-access nagkalapad.
Ang among katuyoan mao ang pag-set up sa usa ka Firezone server sa usa ka EC2 nga pananglitan aron ma-redirect ang trapiko sa VPN sa gipugngan nga kapanguhaan. Niining higayona, ang Firezone nagsilbi isip network proxy o NAT gateway aron mahatagan ang matag konektadong device og talagsaon nga public egress IP.
Niini nga kaso, ang usa ka EC2 nga instance nga ginganlan og tc2.micro adunay usa ka Firezone nga instance nga na-install niini. Para sa impormasyon bahin sa pag-deploy sa Firezone, adto sa Deployment Guide. Kalabot sa AWS, siguroha:
Ang grupo sa seguridad sa Firezone EC2 mitugot sa outbound nga trapiko sa IP address sa giprotektahan nga kapanguhaan.
Ang pananglitan sa Firezone adunay usa ka pagkamaunat-unat nga IP. Ang trapiko nga gipasa pinaagi sa pananglitan sa Firezone ngadto sa gawas nga mga destinasyon makabaton niini isip tinubdan nga IP address niini. Ang IP address nga gipangutana mao ang 52.202.88.54.
[Isulod ang Screenshot]<<<<<<<<<<<<<<<<<<<<<<<<
Ang usa ka self-host nga aplikasyon sa web nagsilbing gipanalipdan nga kapanguhaan sa kini nga kaso. Ang web app ma-access lamang pinaagi sa mga hangyo nga gikan sa IP address 52.202.88.54. Depende sa kapanguhaan, mahimong gikinahanglan ang pagtugot sa pagsulod sa trapiko sa lainlaing mga pantalan ug mga tipo sa trapiko. Wala kini gilakip niini nga manwal.
[Isulod ang screenshot]<<<<<<<<<<<<<<<<<<<<<<<<
Palihug sultihi ang ikatulo nga partido nga nagdumala sa gipanalipdan nga kapanguhaan nga ang trapiko gikan sa static nga IP nga gipasabut sa Lakang 1 kinahanglan tugutan (sa kini nga kaso 52.202.88.54).
Sa kasagaran, ang tanan nga trapiko sa tiggamit moagi sa VPN server ug gikan sa static IP nga gi-configure sa Lakang 1 (sa kini nga kaso 52.202.88.54). Bisan pa, kung gipagana ang split tunneling, mahimong kinahanglanon ang mga setting aron masiguro nga ang destinasyon nga IP sa giprotektahan nga kapanguhaan nalista sa mga Gitugotan nga IP.
Gipakita sa ubos ang usa ka kompleto nga lista sa mga kapilian sa pag-configure nga magamit sa /etc/firezone/firezone.rb.
kapilian | paghulagway | default nga kantidad |
default ['firezone']['external_url'] | URL nga gigamit sa pag-access sa web portal niining Firezone nga pananglitan. | “https://#{node['fqdn'] || node ['hostname']}” |
default ['firezone']['config_directory'] | Top-level nga direktoryo alang sa Firezone configuration. | /etc/firezone' |
default ['firezone']['install_directory'] | Top-level nga direktoryo aron i-install ang Firezone. | /opt/firezone' |
default ['firezone']['app_directory'] | Top-level nga direktoryo aron i-install ang Firezone web application. | "#{node['firezone']['install_directory']}/naka-embed/service/firezone" |
default ['firezone']['log_directory'] | Top-level nga direktoryo alang sa mga log sa Firezone. | /var/log/firezone' |
default ['firezone']['var_directory'] | Top-level nga direktoryo alang sa Firezone runtime files. | /var/opt/firezone' |
default ['firezone']['user'] | Ngalan sa dili pribilihiyo nga tiggamit sa Linux nga kadaghanan sa mga serbisyo ug mga file iya. | firezone' |
default ['firezone']['grupo'] | Ngalan sa grupo sa Linux ang kadaghanan sa mga serbisyo ug mga file iya. | firezone' |
default['firezone']['admin_email'] | Email address para sa inisyal nga tiggamit sa Firezone. | "firezone@localhost" |
default['firezone']['max_devices_per_user'] | Maximum nga gidaghanon sa mga device nga mabatonan sa usa ka user. | 10 |
default['firezone']['allow_unprivileged_device_management'] | Gitugotan ang dili mga admin nga tiggamit sa paghimo ug pagtangtang sa mga aparato. | TINUOD |
default['firezone']['allow_unprivileged_device_configuration'] | Gitugotan ang dili-admin nga tiggamit sa pag-usab sa mga configuration sa device. Kung na-disable, gipugngan ang mga dili pribilihiyo nga tiggamit sa pagbag-o sa tanan nga mga natad sa aparato gawas sa ngalan ug paghulagway. | TINUOD |
default ['firezone']['egress_interface'] | Ngalan sa interface diin mogawas ang tunneled nga trapiko. Kung wala, ang default nga interface sa ruta ang gamiton. | wala |
default ['firezone']['fips_enabled'] | I-enable o i-disable ang OpenSSL FIPs mode. | wala |
default['firezone']['logging']['enabled'] | I-enable o i-disable ang pag-log sa Firezone. Itakda sa false aron hingpit nga ma-disable ang logging. | TINUOD |
default['enterprise']['ngalan'] | Ngalan nga gigamit sa Chef 'enterprise' cookbook. | firezone' |
default ['firezone']['install_path'] | I-install ang dalan nga gigamit sa Chef 'enterprise' cookbook. Kinahanglan nga ibutang sa sama sa install_directory sa ibabaw. | node ['firezone']['install_directory'] |
default['firezone']['sysvinit_id'] | Usa ka identifier nga gigamit sa /etc/inittab. Kinahanglan nga talagsaon nga han-ay sa 1-4 ka karakter. | SUP' |
default['firezone']['authentication']['local']['enabled'] | I-enable o i-disable ang lokal nga email/password authentication. | TINUOD |
default ['firezone']['authentication']['auto_create_oidc_users'] | Awtomatikong paghimo sa mga tiggamit nga nag-sign in gikan sa OIDC sa unang higayon. I-disable aron tugotan lang ang mga kasamtangang tiggamit nga maka-sign in pinaagi sa OIDC. | TINUOD |
default ['firezone']['authentication']['disable_vpn_on_oidc_error'] | I-disable ang VPN sa usa ka user kung adunay nakit-an nga sayup nga naningkamot nga i-refresh ang ilang OIDC token. | SAYOP |
default ['firezone']['authentication']['oidc'] | OpenID Connect config, sa pormat sa {“provider” => [config…]} – Tan-awa Dokumentasyon sa OpenIDConnect alang sa mga pananglitan sa config. | {} |
default ['firezone']['nginx']['enabled'] | I-enable o i-disable ang bundled nginx server. | TINUOD |
default ['firezone']['nginx']['ssl_port'] | HTTPS listen port. | 443 |
default ['firezone']['nginx']['direktoryo'] | Direktoryo sa pagtipig sa Firezone-related nginx virtual host configuration. | “#{node['firezone']['var_directory']}/nginx/etc” |
default ['firezone']['nginx']['log_directory'] | Direktoryo sa pagtipig sa Firezone-related nginx log files. | "#{node['firezone']['log_directory']}/nginx" |
default ['firezone']['nginx']['log_rotation']['file_maxbytes'] | Gidak-on sa file diin i-rotate ang mga file sa log sa Nginx. | 104857600 |
default ['firezone']['nginx']['log_rotation']['num_to_keep'] | Gidaghanon sa Firezone nginx log files nga tipigan sa dili pa ilabay. | 10 |
default ['firezone']['nginx']['log_x_forwarded_for'] | Kung mag-log Firezone nginx x-forwarded-for header. | TINUOD |
default ['firezone']['nginx']['hsts_header']['enabled'] | TINUOD | |
default ['firezone']['nginx']['hsts_header']['include_subdomains'] | I-enable o i-disable ang includeSubDomains para sa HSTS header. | TINUOD |
default ['firezone']['nginx']['hsts_header']['max_age'] | Max nga edad para sa HSTS header. | 31536000 |
default ['firezone']['nginx']['redirect_to_canonical'] | Kung i-redirect ang mga URL sa kanonikal nga FQDN nga gitakda sa ibabaw | SAYOP |
default ['firezone']['nginx']['cache']['enabled'] | I-enable o i-disable ang Firezone nginx cache. | SAYOP |
default ['firezone']['nginx']['cache']['direktoryo'] | Direktoryo alang sa Firezone nginx cache. | “#{node['firezone']['var_directory']}/nginx/cache” |
default ['firezone']['nginx']['user'] | Firezone nginx user. | node['firezone']['user'] |
default ['firezone']['nginx']['grupo'] | Firezone nginx nga grupo. | node['firezone']['grupo'] |
default ['firezone']['nginx']['dir'] | Top-level nginx configuration directory. | node ['firezone']['nginx']['direktoryo'] |
default ['firezone']['nginx']['log_dir'] | Top-level nginx log directory. | node ['firezone']['nginx']['log_directory'] |
default ['firezone']['nginx']['pid'] | Lokasyon para sa nginx pid file. | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
default ['firezone']['nginx']['daemon_disable'] | I-disable ang nginx daemon mode aron ma-monitor nato kini. | TINUOD |
default ['firezone']['nginx']['gzip'] | I-on o i-off ang nginx gzip compression. | sa' |
default ['firezone']['nginx']['gzip_static'] | I-on o i-off ang nginx gzip compression para sa static nga mga file. | off' |
default['firezone']['nginx']['gzip_http_version'] | HTTP nga bersyon nga gamiton para sa pag-alagad sa mga static nga file. | 1.0 ' |
default ['firezone']['nginx']['gzip_comp_level'] | nginx gzip compression nga lebel. | 2 ' |
default ['firezone']['nginx']['gzip_proxied'] | Makapahimo o mag-disable sa gzipping sa mga tubag alang sa mga proxy nga hangyo depende sa hangyo ug tubag. | bisan unsa' |
default ['firezone']['nginx']['gzip_vary'] | Makapahimo o makapugong sa pagsal-ot sa header sa tubag nga "Pagbag-o: Pagdawat-Pag-encode". | off' |
default ['firezone']['nginx']['gzip_buffers'] | Nagtakda sa gidaghanon ug gidak-on sa mga buffer nga gigamit sa pag-compress sa usa ka tubag. Kung wala, ang nginx default gigamit. | wala |
default ['firezone']['nginx']['gzip_types'] | Mga tipo sa MIME aron mahimo ang gzip compression alang sa. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
default ['firezone']['nginx']['gzip_min_length'] | Minimum nga gitas-on sa file aron mahimo ang file gzip compression alang sa. | 1000 |
default ['firezone']['nginx']['gzip_disable'] | User-agent matcher aron dili ma-disable ang gzip compression para sa. | MSIE [1-6]\.' |
default ['firezone']['nginx']['keepalive'] | Gi-aktibo ang cache alang sa koneksyon sa mga upstream server. | sa' |
default ['firezone']['nginx']['keepalive_timeout'] | Timeout sa mga segundo alang sa keepalive nga koneksyon sa upstream servers. | 65 |
default ['firezone']['nginx']['worker_processes'] | Gidaghanon sa mga proseso sa mamumuo sa nginx. | node['cpu'] && node['cpu']['total'] ? node ['cpu']['total'] : 1 |
default ['firezone']['nginx']['worker_connections'] | Max nga gidaghanon sa dungan nga mga koneksyon nga mahimong maablihan sa usa ka proseso sa trabahante. | 1024 |
default ['firezone']['nginx']['worker_rlimit_nofile'] | Gibag-o ang limitasyon sa labing kadaghan nga bukas nga mga file alang sa mga proseso sa trabahante. Gigamit ang nginx default kung nil. | wala |
default ['firezone']['nginx']['multi_accept'] | Kung ang mga trabahante kinahanglan nga modawat sa usa ka koneksyon sa usa ka higayon o daghang. | TINUOD |
default ['firezone']['nginx']['event'] | Gipiho ang pamaagi sa pagproseso sa koneksyon nga gamiton sulod sa konteksto sa mga panghitabo sa nginx. | epoll' |
default ['firezone']['nginx']['server_tokens'] | Makapahimo o makapugong sa pagpagawas sa bersyon sa nginx sa mga panid sa sayup ug sa field nga header sa tubag nga "Server". | wala |
default ['firezone']['nginx']['server_names_hash_bucket_size'] | Nagtakda sa gidak-on sa balde alang sa mga ngalan sa server nga hash tables. | 64 |
default ['firezone']['nginx']['sendfile'] | Makapahimo o makapugong sa paggamit sa sendfile() sa nginx. | sa' |
default ['firezone']['nginx']['access_log_options'] | Nagtakda sa nginx access log mga kapilian. | wala |
default ['firezone']['nginx']['error_log_options'] | Nagtakda sa nginx error log mga kapilian. | wala |
default ['firezone']['nginx']['disable_access_log'] | Gi-disable ang log sa pag-access sa nginx. | SAYOP |
default ['firezone']['nginx']['types_hash_max_size'] | nginx type hash max size. | 2048 |
default ['firezone']['nginx']['types_hash_bucket_size'] | nginx type hash bucket size. | 64 |
default ['firezone']['nginx']['proxy_read_timeout'] | nginx proxy read timeout. Ibutang sa nil aron gamiton ang nginx default. | wala |
default ['firezone']['nginx']['client_body_buffer_size'] | gidak-on sa buffer sa lawas sa kliyente sa nginx. Ibutang sa nil aron gamiton ang nginx default. | wala |
default ['firezone']['nginx']['client_max_body_size'] | nginx client max nga gidak-on sa lawas. | 250m' |
default ['firezone']['nginx']['default']['modules'] | Ipiho ang dugang nga nginx modules. | [] |
default ['firezone']['nginx']['enable_rate_limiting'] | I-enable o i-disable ang nginx rate limiting. | TINUOD |
default ['firezone']['nginx']['rate_limiting_zone_name'] | Nginx rate limiting zone name. | firezone' |
default ['firezone']['nginx']['rate_limiting_backoff'] | Nginx rate limiting backoff. | 10m' |
default ['firezone']['nginx']['rate_limit'] | Limitado sa rate sa Nginx. | 10r/s' |
default ['firezone']['nginx']['ipv6'] | Tugoti ang nginx nga maminaw sa HTTP nga mga hangyo alang sa IPv6 dugang sa IPv4. | TINUOD |
default ['firezone']['postgresql']['enabled'] | I-enable o i-disable ang gi-bundle nga Postgresql. Ibutang sa bakak ug pun-a ang mga kapilian sa database sa ubos aron magamit ang imong kaugalingon nga pananglitan sa Postgresql. | TINUOD |
default ['firezone']['postgresql']['username'] | Username para sa Postgresql. | node['firezone']['user'] |
default ['firezone']['postgresql']['data_directory'] | Direktoryo sa datos sa Postgresql. | "#{node ['firezone']['var_directory']}/postgresql/13.3/data" |
default ['firezone']['postgresql']['log_directory'] | Direktoryo sa log sa Postgresql. | "#{node['firezone']['log_directory']}/postgresql" |
default ['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Ang postgresql log file kinatas-ang gidak-on sa wala pa kini i-rotate. | 104857600 |
default ['firezone']['postgresql']['log_rotation']['num_to_keep'] | Gidaghanon sa Postgresql log files nga tipigan. | 10 |
default ['firezone']['postgresql']['checkpoint_completion_target'] | Target sa pagkompleto sa postgresql checkpoint. | 0.5 |
default ['firezone']['postgresql']['checkpoint_segments'] | Gidaghanon sa mga bahin sa checkpoint sa Postgresql. | 3 |
default ['firezone']['postgresql']['checkpoint_timeout'] | Postgresql checkpoint timeout. | 5min' |
default ['firezone']['postgresql']['checkpoint_warning'] | Postgresql checkpoint warning time sa mga segundo. | 30s' |
default ['firezone']['postgresql']['effective_cache_size'] | Epektibo nga gidak-on sa cache sa postgresql. | 128MB' |
default ['firezone']['postgresql']['listen_address'] | Postgresql listen address. | 127.0.0.1 ' |
default ['firezone']['postgresql']['max_connections'] | Postgresql max nga mga koneksyon. | 350 |
default ['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs aron tugotan ang md5 auth. | ['127.0.0.1/32', '::1/128'] |
default ['firezone']['postgresql']['port'] | Postgresql listen port. | 15432 |
default ['firezone']['postgresql']['shared_buffers'] | Gipaambit sa postgresql ang gidak-on sa buffers. | “#{(node['memory']['total'].to_i / 4) / 1024}MB” |
default ['firezone']['postgresql']['shmmax'] | Postgresql shmmax sa bytes. | 17179869184 |
default ['firezone']['postgresql']['shmall'] | Postgresql shmall sa bytes. | 4194304 |
default ['firezone']['postgresql']['work_mem'] | Ang gidak-on sa memorya sa pagtrabaho sa postgresql. | 8MB' |
default ['firezone']['database']['user'] | Gipiho ang username nga gamiton sa Firezone aron makonektar sa DB. | node ['firezone']['postgresql']['username'] |
default ['firezone']['database']['password'] | Kung naggamit ug eksternal nga DB, gipiho ang password nga gamiton sa Firezone aron makonektar sa DB. | usba_ako' |
default ['firezone']['database']['ngalan'] | Database nga gamiton sa Firezone. Mabuhat kung wala kini. | firezone' |
default ['firezone']['database']['host'] | Database host nga ang Firezone magkonektar. | node ['firezone']['postgresql']['listen_address'] |
default ['firezone']['database']['port'] | Database port nga ang Firezone magkonektar. | node ['firezone']['postgresql']['port'] |
default ['firezone']['database']['pool'] | Ang gidak-on sa database pool gamiton sa Firezone. | [10, etc.nprocessors].max |
default ['firezone']['database']['ssl'] | Kung magkonektar sa database pinaagi sa SSL. | SAYOP |
default ['firezone']['database']['ssl_opts'] | {} | |
default ['firezone']['database']['parameter'] | {} | |
default ['firezone']['database']['extension'] | Ang mga extension sa database aron mahimo. | { 'plpgsql' => tinuod, 'pg_trgm' => tinuod } |
default['firezone']['phoenix']['nahimo'] | I-enable o i-disable ang Firezone web application. | TINUOD |
default['firezone']['phoenix']['listen_address'] | Ang adres sa pagpamati sa firezone web application. Kini ang adres sa pagpaminaw sa taas nga gi-proxy sa nginx. | 127.0.0.1 ' |
default ['firezone']['phoenix']['port'] | Firezone web application listen port. Kini ang upstream nga pantalan nga gi-proxy sa nginx. | 13000 |
default ['firezone']['phoenix']['log_directory'] | Direktoryo sa log sa aplikasyon sa web sa Firezone. | "#{node['firezone']['log_directory']}/phoenix" |
default ['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone web application log file size. | 104857600 |
default['firezone']['phoenix']['log_rotation']['num_to_keep'] | Gidaghanon sa Firezone web application log files nga tipigan. | 10 |
default['firezone']['phoenix']['crash_detection']['nahimo'] | I-enable o i-disable ang pagpaubos sa Firezone web application kung adunay namatikdan nga pagkahagsa. | TINUOD |
default['firezone']['phoenix']['external_trusted_proxies'] | Listahan sa mga kasaligang reverse proxy nga giporma isip Array sa mga IP ug/o mga CIDR. | [] |
default ['firezone']['phoenix']['pribadong_kliyente'] | Listahan sa mga kliyente sa HTTP nga pribadong network, giporma ang Array sa mga IP ug/o mga CIDR. | [] |
default['firezone']['wireguard']['enabled'] | I-enable o i-disable ang gibugkos nga pagdumala sa WireGuard. | TINUOD |
default ['firezone']['wireguard']['log_directory'] | Direktoryo sa log alang sa gibugkos nga pagdumala sa WireGuard. | “#{node['firezone']['log_directory']}/wireguard" |
default ['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Ang WireGuard log file max nga gidak-on. | 104857600 |
default['firezone']['wireguard']['log_rotation']['num_to_keep'] | Gidaghanon sa WireGuard log files nga tipigan. | 10 |
default ['firezone']['wireguard']['interface_name'] | Ngalan sa interface sa WireGuard. Ang pagbag-o sa kini nga parameter mahimong hinungdan sa usa ka temporaryo nga pagkawala sa koneksyon sa VPN. | wg-firezone' |
default ['firezone']['wireguard']['port'] | paminaw sa WireGuard port. | 51820 |
default ['firezone']['wireguard']['mtu'] | WireGuard interface MTU alang niini nga server ug alang sa mga configuration sa device. | 1280 |
default ['firezone']['wireguard']['endpoint'] | WireGuard Endpoint nga gamiton para sa paghimo og mga configuration sa device. Kung wala, nag-default sa publiko nga IP address sa server. | wala |
default ['firezone']['wireguard']['dns'] | Ang WireGuard DNS nga gamiton para sa mga namugna nga mga configuration sa device. | 1.1.1.1, 1.0.0.1′ |
default['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs nga gamiton para sa namugna nga mga configuration sa device. | 0.0.0.0/0, ::/0′ |
default ['firezone']['wireguard']['persistent_keepalive'] | Default nga PersistentKeepalive nga setting para sa namugna nga mga configuration sa device. Ang usa ka kantidad nga 0 nagpugong. | 0 |
default['firezone']['wireguard']['ipv4']['nagana'] | I-enable o i-disable ang IPv4 para sa WireGuard network. | TINUOD |
default['firezone']['wireguard']['ipv4']['masquerade'] | I-enable o i-disable ang masquerade para sa mga packet nga mobiya sa IPv4 tunnel. | TINUOD |
default['firezone']['wireguard']['ipv4']['network'] | WireGuard network IPv4 address pool. | 10.3.2.0/24 ′ |
default['firezone']['wireguard']['ipv4']['address'] | WireGuard interface IPv4 address. Kinahanglan naa sa sulod sa WireGuard address pool. | 10.3.2.1 ' |
default['firezone']['wireguard']['ipv6']['nagana'] | I-enable o i-disable ang IPv6 para sa WireGuard network. | TINUOD |
default['firezone']['wireguard']['ipv6']['masquerade'] | I-enable o i-disable ang masquerade para sa mga packet nga mobiya sa IPv6 tunnel. | TINUOD |
default['firezone']['wireguard']['ipv6']['network'] | WireGuard network IPv6 address pool. | fd00::3:2:0/120′ |
default['firezone']['wireguard']['ipv6']['address'] | WireGuard interface IPv6 address. Kinahanglan nga sulod sa IPv6 address pool. | fd00::3:2:1′ |
default ['firezone']['runit']['svlogd_bin'] | Ang lokasyon sa Rinit svlogd bin. | “#{node['firezone']['install_directory']}/naka-embed/bin/svlogd” |
default ['firezone']['ssl']['direktoryo'] | Direktoryo sa SSL alang sa pagtipig sa mga nahimo nga sertipikasyon. | /var/opt/firezone/ssl' |
default ['firezone']['ssl']['email_address'] | Ang adres sa email nga gamiton alang sa mga sertipikasyon nga gipirmahan sa kaugalingon ug mga pahibalo sa pagbag-o sa protocol sa ACME. | ikaw@example.com' |
default ['firezone']['ssl']['acme']['nahimo'] | I-enable ang ACME para sa automatic SSL cert provisioning. I-disable kini aron mapugngan ang Nginx sa pagpaminaw sa port 80. Tan-awa dinhi alang sa dugang nga mga panudlo. | SAYOP |
default ['firezone']['ssl']['acme']['server'] | letsencrypt | |
default ['firezone']['ssl']['acme']['keylength'] | Ipiho ang yawe nga tipo ug gitas-on alang sa mga sertipiko sa SSL. Tan-awa dinhi | ec-256 |
default ['firezone']['ssl']['sertipiko'] | Path sa certificate file para sa imong FQDN. Gi-override ang setting sa ACME sa ibabaw kung gipiho. Kung ang ACME ug kini wala’y usa ka sertipikasyon nga gipirmahan sa kaugalingon ang mahimo. | wala |
default ['firezone']['ssl']['certificate_key'] | Path sa certificate file. | wala |
default ['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | wala |
default['firezone']['ssl']['country_name'] | Ngalan sa nasud alang sa kaugalingon nga gipirmahan nga sertipikasyon. | US' |
default ['firezone']['ssl']['state_name'] | Ngalan sa estado alang sa gipirmahan sa kaugalingon nga sertipiko. | CA ' |
default ['firezone']['ssl']['locality_name'] | Ngalan sa lokalidad para sa self-signed nga sertipikasyon. | San Francisco' |
default ['firezone']['ssl']['ngalan_kompanya'] | Ngalan sa kompanya nga gipirmahan sa kaugalingon nga sertipiko. | Akong kompanya' |
default['firezone']['ssl']['organizational_unit_name'] | Ngalan sa yunit sa organisasyon alang sa kaugalingon nga gipirmahan nga sertipikasyon. | Mga operasyon' |
default ['firezone']['ssl']['ciphers'] | SSL ciphers para sa nginx nga gamiton. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default ['firezone']['ssl']['fips_ciphers'] | SSL ciphers para sa FIPs mode. | FIPS@STRENGTH:!aNULL:!eNULL' |
default['firezone']['ssl']['protocols'] | TLS protocol nga gamiton. | TLSv1 TLSv1.1 TLSv1.2′ |
default ['firezone']['ssl']['session_cache'] | SSL session cache. | gipaambit:SSL:4m' |
default ['firezone']['ssl']['session_timeout'] | Oras sa sesyon sa SSL. | 5m' |
default ['firezone']['robots_allow'] | nginx robots nagtugot. | /' |
default ['firezone']['robots_disallow'] | Ang mga robot sa nginx dili motugot. | wala |
default ['firezone']['outbound_email']['gikan'] | Outbound nga email gikan sa adres. | wala |
default['firezone']['outbound_email']['provider'] | Outbound email service provider. | wala |
default ['firezone']['outbound_email']['configs'] | Outbound email provider configs. | tan-awa ang omnibus/cookbooks/firezone/attributes/default.rb |
default['firezone']['telemetry']['nahimo'] | I-enable o i-disable ang anonymized nga telemetry sa produkto. | TINUOD |
default['firezone']['connectivity_checks']['enabled'] | I-enable o i-disable ang serbisyo sa pagsusi sa koneksyon sa Firezone. | TINUOD |
default ['firezone']['connectivity_checks']['interval'] | Interval tali sa mga pagsusi sa koneksyon sa mga segundo. | 3_600 |
________________________________________________________________
Dinhi makit-an nimo ang usa ka lista sa mga file ug direktoryo nga may kalabotan sa usa ka kasagaran nga pag-install sa Firezone. Kini mahimong mausab depende sa mga kausaban sa imong configuration file.
dalan | paghulagway |
/var/opt/firezone | Top-level nga direktoryo nga adunay mga datos ug namugna nga configuration alang sa Firezone bundled services. |
/opt/firezone | Top-level nga direktoryo nga adunay mga gitukod nga librarya, binary ug runtime nga mga file nga gikinahanglan sa Firezone. |
/usr/bin/firezone-ctl | firezone-ctl utility para sa pagdumala sa imong pag-instalar sa Firezone. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd unit file alang sa pagsugod sa proseso sa superbisor sa Firezone runsvdir. |
/etc/firezone | Mga file sa pag-configure sa Firezone. |
__________________________________________________________
Kini nga panid walay sulod sa mga doc
_____________________________________________________________
Ang mosunod nga nftables firewall template mahimong gamiton aron masiguro ang server nga nagpadagan sa Firezone. Ang template naghimo sa pipila ka mga pangagpas; Tingali kinahanglan nimo nga i-adjust ang mga lagda aron mahiangay sa imong kaso sa paggamit:
Gi-configure sa Firezone ang kaugalingon nga mga lagda sa nftables aron tugutan / isalikway ang trapiko sa mga destinasyon nga gi-configure sa web interface ug pagdumala sa outbound NAT alang sa trapiko sa kliyente.
Ang pag-apply sa ubos nga firewall template sa usa ka nagdagan nga server (dili sa oras sa pag-boot) moresulta sa pagtangtang sa mga lagda sa Firezone. Kini mahimong adunay mga implikasyon sa seguridad.
Aron masulbad kini, i-restart ang serbisyo sa phoenix:
firezone-ctl i-restart ang phoenix
#!/usr/sbin/nft -f
## I-clear/flush ang tanang kasamtangang lagda
flush ruleset
################################ VARIABLE ################## ##############
## Internet/WAN interface ngalan
define DEV_WAN = eth0
## Ngalan sa interface sa WireGuard
define DEV_WIREGUARD = wg-firezone
## WireGuard maminaw nga pantalan
ipasabot ang WIREGUARD_PORT = 51820
################################ VARIABLE KATAPUSAN #################### ############
# Panguna nga lamesa sa pagsala sa pamilya sa inet
lamesa inet filter {
# Mga lagda alang sa gipasa nga trapiko
# Kini nga kadena giproseso sa wala pa ang Firezone forward chain
kadena sa unahan {
type filter hook forward priority filter - 5; pagdawat sa polisiya
}
# Mga lagda alang sa trapiko sa input
kadena input {
type filter hook input priority filter; pagkunhod sa palisiya
## Itugot ang pagsulod sa trapiko sa loopback interface
kung mao \
dawata \
comment "Itugot ang tanan nga trapiko gikan sa loopback interface"
## Gitukod ug may kalabutan nga mga koneksyon ang permiso
ct estado gitukod, may kalabutan \
dawata \
comment "Permit natukod/may kalabutan nga mga koneksyon"
## Tugoti ang pagsulod sa trapiko sa WireGuard
kung $DEV_WAN udp dport $WIREGUARD_PORT \
counter \
dawata \
comment "Itugot ang pagsulod sa trapiko sa WireGuard"
## Log ug ihulog ang bag-ong TCP non-SYN packets
tcp flags != syn ct state new \
limit nga rate 100/minuto nga pagbuto 150 mga pakete \
prefix sa log “IN – Bag-o !SYN: “ \
comment "Pag-log sa limitasyon sa rate alang sa mga bag-ong koneksyon nga wala ang SYN TCP flag set"
tcp flags != syn ct state new \
counter \
ihulog \
comment "Ihulog ang bag-ong mga koneksyon nga wala ang SYN TCP flag set"
## I-log ug ihulog ang mga TCP packet nga adunay dili balido nga fin/syn flag set
tcp flags & (fin|syn) == (fin|syn) \
limit nga rate 100/minuto nga pagbuto 150 mga pakete \
prefix sa log “IN – TCP FIN|SIN: “ \
comment "Pag-log sa limitasyon sa rate alang sa mga pakete sa TCP nga adunay dili balido nga fin/syn flag set"
tcp flags & (fin|syn) == (fin|syn) \
counter \
ihulog \
comment "Ihulog ang mga pakete sa TCP nga adunay dili balido nga set sa bandila sa fin/syn"
## I-log ug ihulog ang mga TCP packet nga adunay dili balido nga syn/rst flag set
tcp flags & (syn|rst) == (syn|first) \
limit nga rate 100/minuto nga pagbuto 150 mga pakete \
prefix sa log “IN – TCP SYN|RST: “ \
comment "Pag-log sa limitasyon sa rate alang sa mga pakete sa TCP nga adunay dili balido nga syn / unang flag set"
tcp flags & (syn|rst) == (syn|first) \
counter \
ihulog \
comment "Ihulog ang mga pakete sa TCP nga adunay dili balido nga syn/unang flag set"
## Pag-log ug ihulog ang dili balido nga mga bandila sa TCP
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
limit nga rate 100/minuto nga pagbuto 150 mga pakete \
prefix sa log "IN - FIN:" \
comment "Pag-log sa limitasyon sa rate alang sa dili balido nga mga bandila sa TCP (fin|syn|rst|psh|ack|urg) < (fin)"
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
counter \
ihulog \
comment "Ihulog ang mga pakete sa TCP nga adunay mga bandila (fin|syn|rst|psh|ack|urg) < (fin)"
## Pag-log ug ihulog ang dili balido nga mga bandila sa TCP
tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
limit nga rate 100/minuto nga pagbuto 150 mga pakete \
prefix sa log “IN – FIN|PSH|URG:” \
comment "Pag-log sa limitasyon sa rate alang sa dili balido nga mga bandila sa TCP (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
counter \
ihulog \
comment "Ihulog ang mga pakete sa TCP nga adunay mga bandila (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Ihulog ang trapiko nga adunay dili balido nga kahimtang sa koneksyon
ct nga estado dili balido \
limit nga rate 100/minuto nga pagbuto 150 mga pakete \
log flags tanan prefix "IN - Dili balido:" \
comment "Pag-log sa limitasyon sa rate alang sa trapiko nga adunay dili balido nga estado sa koneksyon"
ct nga estado dili balido \
counter \
ihulog \
comment "I-drop ang trapiko nga adunay dili balido nga kahimtang sa koneksyon"
## Tugoti ang IPv4 ping/ping nga mga tubag apan ang rate limit ngadto sa 2000 PPS
ip protocol icmp icmp type { echo-reply, echo-request } \
limit nga rate 2000/ikaduha \
counter \
dawata \
comment "Permit inbound IPv4 echo (ping) limitado sa 2000 PPS"
## Itugot ang tanan nga uban pang inbound IPv4 ICMP
ip protocol icmp \
counter \
dawata \
comment "Itugot ang tanan nga uban pang IPv4 ICMP"
## Tugoti ang IPv6 ping/ping nga mga tubag apan ang rate limit ngadto sa 2000 PPS
icmpv6 type {echo-reply, echo-request} \
limit nga rate 2000/ikaduha \
counter \
dawata \
comment "Permit inbound IPv6 echo (ping) limitado sa 2000 PPS"
## Itugot ang tanan nga uban pang inbound IPv6 ICMP
meta l4proto {icmpv6} \
counter \
dawata \
comment "Itugot ang tanan nga uban pang IPv6 ICMP"
## Permit inbound traceroute UDP ports pero limitahan sa 500 PPS
udp dport 33434-33524 \
limit nga rate 500/ikaduha \
counter \
dawata \
comment "Permit inbound UDP traceroute limitado sa 500 PPS"
## Itugot ang pagsulod sa SSH
tcp dport ssh bag-o nga estado \
counter \
dawata \
comment "Itugot ang pagsulod sa mga koneksyon sa SSH"
## Itugot ang pagsulod sa HTTP ug HTTPS
tcp dport {http, https} ct state new \
counter \
dawata \
comment "Itugot ang pagsulod sa HTTP ug HTTPS nga mga koneksyon"
## Pag-log sa bisan unsang dili hitupngan nga trapiko apan limitahan sa rate ang pag-log sa labing taas nga 60 nga mga mensahe / minuto
## Ang default nga palisiya magamit sa dili hitupngan nga trapiko
limit nga rate 60/minuto nga pagbuto 100 mga pakete \
prefix sa log "IN - Drop:" \
comment "Pag-log sa bisan unsang dili hitupngan nga trapiko"
## Ihap ang dili hitupngan nga trapiko
counter \
comment "Ihap ang bisan unsang dili hitupngan nga trapiko"
}
# Mga lagda alang sa trapiko sa output
kadena nga output {
type filter hook output priority filter; pagkunhod sa palisiya
## Itugot ang outbound nga trapiko sa loopback interface
oo nga \
dawata \
comment "Itugot ang tanan nga trapiko sa loopback interface"
## Gitukod ug may kalabutan nga mga koneksyon ang permiso
ct estado gitukod, may kalabutan \
counter \
dawata \
comment "Permit natukod/may kalabutan nga mga koneksyon"
## Tugoti ang outbound nga WireGuard nga trapiko sa dili pa ihulog ang mga koneksyon nga adunay dili maayo nga kahimtang
oif $DEV_WAN udp nga isport $WIREGUARD_PORT \
counter \
dawata \
comment "Permit WireGuard outbound nga trapiko"
## Ihulog ang trapiko nga adunay dili balido nga kahimtang sa koneksyon
ct nga estado dili balido \
limit nga rate 100/minuto nga pagbuto 150 mga pakete \
log flags tanan prefix "GAWAS - Dili balido:" \
comment "Pag-log sa limitasyon sa rate alang sa trapiko nga adunay dili balido nga estado sa koneksyon"
ct nga estado dili balido \
counter \
ihulog \
comment "I-drop ang trapiko nga adunay dili balido nga kahimtang sa koneksyon"
## Itugot ang tanang uban pang outbound IPv4 ICMP
ip protocol icmp \
counter \
dawata \
comment "Itugot ang tanang matang sa IPv4 ICMP"
## Itugot ang tanang uban pang outbound IPv6 ICMP
meta l4proto {icmpv6} \
counter \
dawata \
comment "Itugot ang tanang matang sa IPv6 ICMP"
## Itugot ang outbound traceroute nga UDP ports pero limitahan sa 500 PPS
udp dport 33434-33524 \
limit nga rate 500/ikaduha \
counter \
dawata \
comment "Permit outbound UDP traceroute limitado sa 500 PPS"
## Itugot ang outbound HTTP ug HTTPS nga koneksyon
tcp dport {http, https} ct state new \
counter \
dawata \
comment "Itugot ang outbound HTTP ug HTTPS nga mga koneksyon"
## Tugoti ang pagsumite sa outbound nga SMTP
tcp dport submission ct state new \
counter \
dawata \
comment "Permit outbound SMTP submission"
## Itugot ang mga hangyo sa outbound DNS
udp dport 53 \
counter \
dawata \
comment "Itugot ang mga hangyo sa outbound UDP DNS"
tcp dport 53 \
counter \
dawata \
comment "Itugot ang mga hangyo sa outbound TCP DNS"
## Itugot ang mga hangyo sa outbound NTP
udp dport 123 \
counter \
dawata \
comment "Permit outbound NTP requests"
## Pag-log sa bisan unsang dili hitupngan nga trapiko apan limitahan sa rate ang pag-log sa labing taas nga 60 nga mga mensahe / minuto
## Ang default nga palisiya magamit sa dili hitupngan nga trapiko
limit nga rate 60/minuto nga pagbuto 100 mga pakete \
prefix sa log "OUT - Drop:" \
comment "Pag-log sa bisan unsang dili hitupngan nga trapiko"
## Ihap ang dili hitupngan nga trapiko
counter \
comment "Ihap ang bisan unsang dili hitupngan nga trapiko"
}
}
# Panguna nga lamesa sa pagsala sa NAT
lamesa inet nat {
# Mga lagda alang sa pre-routing sa trapiko sa NAT
chain prerouting {
type nat hook prerouting priority dstnat; pagdawat sa polisiya
}
# Mga lagda alang sa post-routing sa trapiko sa NAT
# Kini nga lamesa giproseso sa wala pa ang Firezone post-routing chain
chain postrouting {
type nat hook postrouting priority srcnat – 5; pagdawat sa polisiya
}
}
Ang firewall kinahanglan nga tipigan sa may kalabutan nga lokasyon alang sa Linux distribution nga nagdagan. Alang sa Debian/Ubuntu kini mao ang /etc/nftables.conf ug alang sa RHEL kini mao ang /etc/sysconfig/nftables.conf.
Ang nftables.service kinahanglan nga ma-configure aron magsugod sa boot (kon wala pa) set:
systemctl makahimo sa nftables.service
Kung maghimo bisan unsang mga pagbag-o sa template sa firewall ang syntax mahimong ma-validate pinaagi sa pagpadagan sa check command:
nft -f /path/to/nftables.conf -c
Siguruha nga i-validate ang firewall nga molihok sama sa gipaabut tungod kay ang pipila nga mga bahin sa nftables mahimong dili magamit depende sa pagpagawas nga nagdagan sa server.
_______________________________________________________________
Kini nga dokumento nagpresentar sa usa ka kinatibuk-ang ideya sa telemetry nga gikolekta sa Firezone gikan sa imong kaugalingon nga gi-host nga pananglitan ug kung giunsa kini pag-disable.
fire zone nagsalig sa telemetry aron unahon ang among roadmap ug ma-optimize ang mga kahinguhaan sa inhenyero nga naa namo aron mahimo ang Firezone nga mas maayo para sa tanan.
Ang telemetry nga among gikolekta nagtumong sa pagtubag sa mosunod nga mga pangutana:
Adunay tulo ka nag-unang mga dapit diin ang telemetry nakolekta sa Firezone:
Sa matag usa niining tulo ka konteksto, atong makuha ang minimum nga gidaghanon sa datos nga gikinahanglan aron matubag ang mga pangutana sa seksyon sa ibabaw.
Ang mga email sa admin kolektahon lang kung klaro ka nga nag-opt-in sa mga update sa produkto. Kung dili, ang personal nga pag-ila nga impormasyon mao ang dili gayud gikolekta.
Ang Firezone nagtipig sa telemetry sa usa ka self-host nga pananglitan sa PostHog nga nagdagan sa usa ka pribadong Kubernetes cluster, nga ma-access lamang sa Firezone team. Ania ang usa ka pananglitan sa usa ka telemetry nga panghitabo nga gipadala gikan sa imong instance sa Firezone ngadto sa among telemetry server:
{
"Id": “0182272d-0b88-0000-d419-7b9a413713f1”,
"timestamp": “2022-07-22T18:30:39.748000+00:00”,
"panghitabo": “fz_http_started”,
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"mga kabtangan":{
“$geoip_city_name”: "Ashburn",
“$geoip_continent_code”: “NA”,
“$geoip_continent_name”: “North America”,
“$geoip_country_code”: “US”,
“$geoip_country_name”: “Tinipong Bansa”,
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
“$geoip_subdivision_1_code”: "VA",
“$geoip_subdivision_1_name”: “Virginia”,
“$geoip_time_zone”: “Amerika/New_York”,
“$ip”: "52.200.241.107",
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”: [
"GeoIP (3)"
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"bersyon_kernel": "linux 5.13.0",
"bersyon": "0.4.6"
},
"mga elemento_kadena": ""
}
PAHINUMDOM
Ang Firezone development team nagsalig sa pag-analisa sa produkto aron mahimong mas maayo ang Firezone alang sa tanan. Ang pagbiya sa telemetry nga gipagana mao ang usa nga labing bililhon nga kontribusyon nga imong mahimo sa pag-uswag sa Firezone. Ingon niana, nahibal-an namon nga ang pipila ka mga tiggamit adunay mas taas nga mga kinahanglanon sa pribasiya o seguridad ug mas gusto nga i-disable ang telemetry. Kung ikaw kana, ipadayon ang pagbasa.
Ang telemetry gipalihok pinaagi sa default. Aron hingpit nga ma-disable ang telemetry sa produkto, ibutang ang mosunod nga opsyon sa configuration ngadto sa false sa /etc/firezone/firezone.rb ug padagana ang sudo firezone-ctl reconfigure aron makuha ang mga kausaban.
default ['firezone']['telemetry']['gipaandar'] = bakak nga mga
Kana bug-os nga mag-disable sa tanan nga telemetry sa produkto.
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Phone: (732) 771-9995
Email: info@hailbytes.com
