Menyja
Udhëzimet hap pas hapi për vendosjen e Hailbytes VPN me Firezone GUI janë dhënë këtu.
Administrimi: Vendosja e shembullit të serverit lidhet drejtpërdrejt me këtë pjesë.
Udhëzues përdoruesi: Dokumente të dobishme që mund t'ju mësojnë se si të përdorni Firezone dhe të zgjidhni problemet tipike. Pasi serveri të jetë vendosur me sukses, referojuni këtij seksioni.
Split Tunneling: Përdorni VPN për të dërguar trafik vetëm në intervale specifike IP.
Lista e bardhë: Vendosni adresën IP statike të një serveri VPN në mënyrë që të përdorni listën e bardhë.
Tunelet e kundërta: Krijoni tunele midis disa kolegëve duke përdorur tunele të kundërt.
Ne jemi të kënaqur t'ju ndihmojmë nëse keni nevojë për ndihmë për instalimin, personalizimin ose përdorimin e Hailbytes VPN.
Përpara se përdoruesit të mund të prodhojnë ose shkarkojnë skedarë të konfigurimit të pajisjes, Firezone mund të konfigurohet që të kërkojë vërtetim. Përdoruesit gjithashtu mund të kenë nevojë të ri-autentikohen periodikisht në mënyrë që të mbajnë aktive lidhjen e tyre VPN.
Megjithëse metoda e parazgjedhur e hyrjes në Firezone është emaili dhe fjalëkalimi lokal, ai mund të integrohet gjithashtu me çdo ofrues të standardizuar të identitetit OpenID Connect (OIDC). Përdoruesit tani janë në gjendje të identifikohen në Firezone duke përdorur kredencialet e tyre Okta, Google, Azure AD ose ofruesit e identitetit privat.
Integroni një ofrues të përgjithshëm OIDC
Parametrat e konfigurimit të nevojshëm nga Firezone për të lejuar SSO duke përdorur një ofrues OIDC tregohen në shembullin më poshtë. Në /etc/firezone/firezone.rb, mund të gjeni skedarin e konfigurimit. Ekzekutoni rikonfigurimin e firezone-ctl dhe rinisni firezone-ctl për të përditësuar aplikacionin dhe për të zbatuar ndryshimet.
# Ky është një shembull duke përdorur Google dhe Okta si një ofrues identiteti SSO.
# Konfigurime të shumta OIDC mund të shtohen në të njëjtin shembull Firezone.
# Firezone mund të çaktivizojë VPN-në e një përdoruesi nëse zbulohet ndonjë gabim gjatë përpjekjes
# për të rifreskuar shenjën e tyre të aksesit. Kjo është verifikuar që të funksionojë për Google, Okta dhe
# Azure SSO dhe përdoret për të shkëputur automatikisht VPN-në e një përdoruesi nëse ato hiqen
# nga ofruesi OIDC. Lëreni këtë të çaktivizuar nëse ofruesi juaj OIDC
# ka probleme me rifreskimin e shenjave të aksesit pasi mund të ndërpresë papritur një
sesioni VPN i # përdoruesit.
e parazgjedhur['firezone']['autentifikimi']['disable_vpn_on_oidc_error'] = false
e parazgjedhur['firezone']['autentifikimi']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
klient_id: " ”,
klienti_sekret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
përgjigje_lloji: "kodi",
qëllimi: "profili i hapur i emailit",
etiketa: "Google"
},
okta: {
zbulimi_dokumenti_uri: “https:// /.i mirënjohur/openid-konfigurim”,
klient_id: " ”,
klienti_sekret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
përgjigje_lloji: "kodi",
fushëveprimi: "profili i hapur i emailit offline_access",
etiketa: "Okta"
}
}
Për integrimin kërkohen cilësimet e mëposhtme të konfigurimit:
Për çdo ofrues OIDC krijohet një URL e bukur korresponduese për ridrejtimin në URL-në e hyrjes së ofruesit të konfiguruar. Për shembullin e konfigurimit të OIDC më sipër, URL-të janë:
Ofruesit ne kemi dokumentacion për:
Nëse ofruesi juaj i identitetit ka një lidhës të përgjithshëm OIDC dhe nuk është i listuar më sipër, ju lutemi shkoni te dokumentacioni i tyre për informacion se si të merrni cilësimet e nevojshme të konfigurimit.
Cilësimi nën cilësimet/siguria mund të ndryshohet për të kërkuar ri-autentikim periodik. Kjo mund të përdoret për të zbatuar kërkesën që përdoruesit të hyjnë në Firezone rregullisht në mënyrë që të vazhdojnë sesionin e tyre VPN.
Kohëzgjatja e seancës mund të konfigurohet të jetë nga një orë deri në nëntëdhjetë ditë. Duke e vendosur këtë në Kurrë, mund të aktivizoni seancat VPN në çdo kohë. Ky është standardi.
Një përdorues duhet të përfundojë sesionin e tij VPN dhe të identifikohet në portalin Firezone në mënyrë që të ri-autentikojë një sesion VPN të skaduar (URL e specifikuar gjatë vendosjes).
Ju mund të ri-autentikoni seancën tuaj duke ndjekur udhëzimet e sakta të klientit që gjenden këtu.
Statusi i lidhjes VPN
Kolona e tabelës së lidhjes VPN të faqes së përdoruesve shfaq statusin e lidhjes së një përdoruesi. Këto janë statuset e lidhjes:
ENABLED – Lidhja është aktivizuar.
DISABLED – Lidhja çaktivizohet nga një dështim i rifreskimit të administratorit ose OIDC.
SKADUAR – Lidhja është çaktivizuar për shkak të skadimit të vërtetimit ose një përdorues nuk është identifikuar për herë të parë.
Nëpërmjet lidhësit të përgjithshëm OIDC, Firezone mundëson Single Sign-On (SSO) me Google Workspace dhe Cloud Identity. Ky udhëzues do t'ju tregojë se si të merrni parametrat e konfigurimit të renditur më poshtë, të cilët janë të nevojshëm për integrimin:
1. Ekrani i konfigurimit të OAuthâ € <
Nëse kjo është hera e parë që po krijoni një ID të re të klientit OAuth, do t'ju kërkohet të konfiguroni një ekran pëlqimi.
*Zgjidhni Internal për llojin e përdoruesit. Kjo siguron që vetëm llogaritë që u përkasin përdoruesve në Organizatën tuaj Google Workspace mund të krijojnë konfigurime pajisjesh. MOS zgjidh E jashtme nëse nuk dëshiron të mundësosh dikë me një llogari të vlefshme Google të krijojë konfigurime pajisjesh.
Në ekranin e informacionit të aplikacionit:
2. Krijoni ID-të e klientit OAuthâ € <
Ky seksion bazohet në dokumentacionin e vetë Google mbi konfigurimi i OAuth 2.0.
Vizitoni Google Cloud Console Faqja e kredencialeve faqe, klikoni + Krijo Kredencialet dhe zgjidhni ID-në e klientit OAuth.
Në ekranin e krijimit të ID-së së klientit OAuth:
Pas krijimit të ID-së së klientit OAuth, do t'ju jepet një ID e klientit dhe sekreti i klientit. Këto do të përdoren së bashku me URI-në e ridrejtuar në hapin tjetër.
Ndrysho /etc/firezone/firezone.rb për të përfshirë opsionet e mëposhtme:
# Përdorimi i Google si ofrues i identitetit SSO
e parazgjedhur['firezone']['autentifikimi']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
klient_id: " ”,
klienti_sekret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
përgjigje_lloji: "kodi",
qëllimi: "profili i hapur i emailit",
etiketa: "Google"
}
}
Ekzekutoni rikonfigurimin e firezone-ctl dhe rinisni firezone-ctl për të përditësuar aplikacionin. Tani duhet të shihni një buton "Identifikohu me Google" në URL-në rrënjë të Firezone.
Firezone përdor lidhësin gjenerik OIDC për të lehtësuar Single Sign-On (SSO) me Okta. Ky tutorial do t'ju tregojë se si të merrni parametrat e konfigurimit të renditur më poshtë, të cilët janë të nevojshëm për integrimin:
Ky seksion i udhëzuesit bazohet në Dokumentacioni i Oktës.
Në panelin e administratorit, shkoni te Aplikacionet > Aplikacionet dhe klikoni Krijo integrimin e aplikacionit. Vendosni metodën e hyrjes në OICD – OpenID Connect dhe llojin e aplikacionit në aplikacionin Ueb.
Konfiguro këto cilësime:
Pasi të ruhen cilësimet, do t'ju jepet një ID e klientit, sekreti i klientit dhe domeni Okta. Këto 3 vlera do të përdoren në Hapin 2 për të konfiguruar Firezone.
Ndrysho /etc/firezone/firezone.rb për të përfshirë opsionet e mëposhtme. E juaja zbulimi_dokumenti_url do të jetë /.i mirënjohur/openid-konfigurim bashkangjitur në fund të tuaj okta_domain.
# Përdorimi i Okta si ofrues i identitetit SSO
e parazgjedhur['firezone']['autentifikimi']['oidc'] = {
okta: {
zbulimi_dokumenti_uri: “https:// /.i mirënjohur/openid-konfigurim”,
klient_id: " ”,
klienti_sekret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
përgjigje_lloji: "kodi",
fushëveprimi: "profili i hapur i emailit offline_access",
etiketa: "Okta"
}
}
Ekzekutoni rikonfigurimin e firezone-ctl dhe rinisni firezone-ctl për të përditësuar aplikacionin. Tani duhet të shihni një buton Hyni me Okta në URL-në rrënjë të Firezone.
Përdoruesit që mund të hyjnë në aplikacionin Firezone mund të kufizohen nga Okta. Shkoni te faqja e Detyrave të Integrimit të aplikacionit Firezone të Okta Admin Console tuaj për ta realizuar këtë.
Nëpërmjet lidhësit të përgjithshëm OIDC, Firezone mundëson Single Sign-On (SSO) me Azure Active Directory. Ky manual do t'ju tregojë se si të merrni parametrat e konfigurimit të renditur më poshtë, të cilët janë të nevojshëm për integrimin:
Ky udhëzues është nxjerrë nga Azure Active Directory Docs.
Shkoni në faqen Azure Active Directory të portalit Azure. Zgjidhni opsionin e menysë Menaxho, zgjidhni Regjistrim i ri dhe më pas regjistrohuni duke ofruar informacionin e mëposhtëm:
Pas regjistrimit, hapni pamjen e detajeve të aplikacionit dhe kopjoni ID e aplikacionit (klientit).. Kjo do të jetë vlera klient_id. Më pas, hapni menynë e pikave fundore për të rikuperuar Dokumenti i meta të dhënave OpenID Connect. Kjo do të jetë vlera zbulim_dokumenti_uri.
Krijoni një sekret të ri klienti duke klikuar opsionin Certifikatat dhe sekretet nën menunë Menaxho. Kopjoni sekretin e klientit; vlera sekrete e klientit do të jetë kjo.
Së fundi, zgjidhni lidhjen e lejeve të API nën menunë Menaxho, klikoni Shto një leje, dhe zgjidhni Grafiku i Microsoft-it, shtoj Email, i hapur, qasje jashtë linje Profili për lejet e kërkuara.
Ndrysho /etc/firezone/firezone.rb për të përfshirë opsionet e mëposhtme:
# Përdorimi i Azure Active Directory si ofrues i identitetit SSO
e parazgjedhur['firezone']['autentifikimi']['oidc'] = {
kaltra: {
zbulimi_dokumenti_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
klient_id: " ”,
klienti_sekret: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
përgjigje_lloji: "kodi",
fushëveprimi: "profili i hapur i emailit offline_access",
etiketa: "Azure"
}
}
Ekzekutoni rikonfigurimin e firezone-ctl dhe rinisni firezone-ctl për të përditësuar aplikacionin. Tani duhet të shihni një buton "Identifikohu me Azure" në URL-në rrënjë të Firezone.
Azure AD u mundëson administratorëve të kufizojnë aksesin në aplikacion për një grup të caktuar përdoruesish brenda kompanisë suaj. Më shumë informacion se si ta bëni këtë mund të gjeni në dokumentacionin e Microsoft.
Chef Omnibus përdoret nga Firezone për të menaxhuar detyrat duke përfshirë paketimin e lëshimit, mbikëqyrjen e procesit, menaxhimin e regjistrave dhe më shumë.
Kodi Ruby përbën skedarin kryesor të konfigurimit, i cili ndodhet në /etc/firezone/firezone.rb. Rinisja e rikonfigurimit të sudo firezone-ctl pas kryerjes së modifikimeve në këtë skedar bën që Chef të njohë ndryshimet dhe t'i zbatojë ato në sistemin aktual operativ.
Shikoni referencën e skedarit të konfigurimit për një listë të plotë të variablave të konfigurimit dhe përshkrimet e tyre.
Shembulli juaj Firezone mund të menaxhohet nëpërmjet zona e zjarrit-ctl komandën, siç tregohet më poshtë. Shumica e nënkomandave kërkojnë prefiksimin me sudo.
root@demo:~# firezone-ctl
omnibus-ctl: komanda (nënkomandë)
Komandat e Përgjithshme:
pastroj
Fshini *të gjitha* të dhënat e zonës së zjarrit dhe filloni nga e para.
krijo-ose-rivendos-admin
Rivendos fjalëkalimin për administratorin me email të specifikuar si parazgjedhje['firezone']['admin_email'] ose krijon një administrator të ri nëse ai email nuk ekziston.
ndihmë
Printoni këtë mesazh ndihme.
rikonfiguro
Rikonfiguroni aplikacionin.
rivendos-rrjet
Rivendos nftables, ndërfaqen WireGuard dhe tabelën e rrugëtimit në parazgjedhjet e Firezone.
shfaqje-konfigurim
Trego konfigurimin që do të krijohej nga rikonfigurimi.
shembje-rrjet
Heq ndërfaqen WireGuard dhe tabelën nftables të zonës së zjarrit.
forcë-certifikim-rinovim
Detyro rinovimin e certifikatës tani edhe nëse nuk ka skaduar.
ndalim-certifikim-rinovim
Heq cronjob që rinovon certifikatat.
uninstall
Vritni të gjitha proceset dhe çinstaloni mbikëqyrësin e procesit (të dhënat do të ruhen).
version
Shfaq versionin aktual të Firezone
Komandat e menaxhimit të shërbimit:
graceful-vras
Përpiquni një ndalesë të këndshme, më pas SIGKILL të gjithë grupin e procesit.
hup
Dërgojini shërbimet një HUP.
int
Dërgojini shërbimet një INT.
vras
Dërgojini shërbimet një KILL.
dikur
Nisni shërbimet nëse nuk funksionojnë. Mos i rinisni nëse ndalojnë.
restart
Ndalo shërbimet nëse ato janë duke u ekzekutuar, pastaj rifillo ato.
listë-shërbime
Listoni të gjitha shërbimet (shërbimet e aktivizuara shfaqen me *.)
Fillimi
Nisni shërbimet nëse nuk funksionojnë dhe rinisni nëse ndalojnë.
status
Trego statusin e të gjitha shërbimeve.
stop
Ndaloni shërbimet dhe mos i rinisni ato.
bisht
Shiko regjistrat e shërbimit të të gjitha shërbimeve të aktivizuara.
afat
Dërgojini shërbimet një TERM.
usr1
Dërgojini shërbimet një USR1.
usr2
Dërgojini shërbimet një USR2.
Të gjitha seancat VPN duhet të ndërpriten përpara se të përmirësoni Firezone, i cili gjithashtu kërkon mbylljen e ndërfaqes së internetit të uebit. Në rast se diçka nuk shkon gjatë azhurnimit, ju këshillojmë të caktoni një orë për mirëmbajtje.
Për të përmirësuar Firezone, ndërmerrni veprimet e mëposhtme:
Nëse lind ndonjë problem, ju lutemi na njoftoni me paraqitjen e një bilete mbështetëse.
Ka disa ndryshime të thyera dhe modifikime të konfigurimit në 0.5.0 që duhet të adresohen. Zbuloni më shumë më poshtë.
Nginx nuk mbështet më parametrat e portit të forcës SSL dhe jo-SSL që nga versioni 0.5.0. Për shkak se Firezone ka nevojë për SSL që të funksionojë, ne këshillojmë heqjen e shërbimit Nginx të paketës duke vendosur parazgjedhjen['firezone']['nginx']['enabled'] = false dhe drejtoni përfaqësuesin tuaj të kundërt te aplikacioni Phoenix në portin 13000 (si parazgjedhje ).
0.5.0 prezanton mbështetjen e protokollit ACME për rinovimin automatik të certifikatave SSL me shërbimin e bashkuar Nginx. Për të mundësuar,
Mundësia për të shtuar rregulla me destinacione të kopjuara është zhdukur në Firezone 0.5.0. Skripti ynë i migrimit do t'i njohë automatikisht këto situata gjatë një përmirësimi në 0.5.0 dhe do të mbajë vetëm rregullat, destinacioni i të cilave përfshin rregullin tjetër. Nuk ka asgjë që duhet të bëni nëse kjo është në rregull.
Përndryshe, përpara se të përmirësoni, ju këshillojmë të ndryshoni grupin e rregullave për të hequr qafe këto situata.
Firezone 0.5.0 heq mbështetjen për konfigurimin e stilit të vjetër Okta dhe Google SSO në favor të konfigurimit të ri, më fleksibël të bazuar në OIDC.
Nëse keni ndonjë konfigurim nën çelësat e paracaktuar['firezone']['authentication']['okta'] ose të paracaktuar['firezone']['authentication']['google'], ju duhet t'i migroni këto në OIDC tonë konfigurimi i bazuar duke përdorur udhëzuesin më poshtë.
Konfigurimi ekzistues i Google OAuth
Hiqni këto rreshta që përmbajnë konfigurimet e vjetra të Google OAuth nga skedari juaj i konfigurimit të vendosur në /etc/firezone/firezone.rb
i parazgjedhur['firezone']['autentifikimi']['google']['i aktivizuar']
i parazgjedhur['firezone']['autentifikimi']['google']['client_id']
e paracaktuar['firezone']['autentifikimi']['google']['client_secret']
e parazgjedhur['firezone']['autentifikimi']['google']['redirect_uri']
Më pas, konfiguroni Google si ofrues OIDC duke ndjekur procedurat këtu.
(Jepni udhëzimet e lidhjes)<<<<<<<<<<<<<<<<<
Konfiguro Google OAuth ekzistues
Hiqni këto rreshta që përmbajnë konfigurimet e vjetra Okta OAuth nga skedari juaj i konfigurimit që ndodhet në /etc/firezone/firezone.rb
e parazgjedhur['firezone']['autentifikimi']['okta']['aktivizuar']
e parazgjedhur['firezone']['autentifikimi']['okta']['client_id']
e paracaktuar['firezone']['autentifikimi']['okta']['client_secret']
Parazgjedhja['firezone']['autentifikimi']['okta']['sajti']
Më pas, konfiguroni Okta si ofrues OIDC duke ndjekur procedurat këtu.
Në varësi të konfigurimit dhe versionit tuaj aktual, ndiqni udhëzimet e mëposhtme:
Nëse tashmë keni një integrim OIDC:
Për disa ofrues OIDC, përmirësimi në >= 0.3.16 kërkon marrjen e një tokeni rifreskimi për shtrirjen e aksesit jashtë linje. Duke bërë këtë, sigurohet që Firezone të përditësohet me ofruesin e identitetit dhe që lidhja VPN të fiket pasi të fshihet një përdorues. Përsëritjet e mëparshme të Firezone nuk e kishin këtë veçori. Në disa raste, përdoruesit që janë fshirë nga ofruesi juaj i identitetit mund të jenë ende të lidhur me një VPN.
Është e nevojshme të përfshini aksesin jashtë linje në parametrin e fushëveprimit të konfigurimit tuaj OIDC për ofruesit e OIDC që mbështesin shtrirjen e aksesit jashtë linje. Rikonfigurimi i Firezone-ctl duhet të ekzekutohet për të aplikuar ndryshime në skedarin e konfigurimit të Firezone, i cili ndodhet në /etc/firezone/firezone.rb.
Për përdoruesit që janë vërtetuar nga ofruesi juaj OIDC, do të shihni titullin "Lidhjet OIDC" në faqen e detajeve të përdoruesit të ndërfaqes së uebit nëse Firezone është në gjendje të marrë me sukses tokenin e rifreskimit.
Nëse kjo nuk funksionon, do t'ju duhet të fshini aplikacionin tuaj ekzistues OAuth dhe të përsërisni hapat e konfigurimit të OIDC në krijoni një integrim të ri aplikacioni .
Unë kam një integrim ekzistues OAuth
Përpara 0.3.11, Firezone përdorte ofrues të para-konfiguruar OAuth2.
Ndiqni udhëzimet këtu për të migruar në OIDC.
Unë nuk kam integruar një ofrues identiteti
Nuk nevojitet asnjë veprim.
Ju mund të ndiqni udhëzimet këtu për të aktivizuar SSO përmes një ofruesi OIDC.
Në vend të tij, parazgjedhja['firezone']['url e jashtme'] ka zëvendësuar opsionin e paracaktuar të konfigurimit['firezone']['fqdn'].
Vendoseni këtë në URL-në e portalit tuaj online Firezone që është e aksesueshme për publikun e gjerë. Ai do të jetë i paracaktuar në https:// plus FQDN të serverit tuaj nëse lihet i papërcaktuar.
Skedari i konfigurimit ndodhet në /etc/firezone/firezone.rb. Shikoni referencën e skedarit të konfigurimit për një listë të plotë të variablave të konfigurimit dhe përshkrimet e tyre.
Firezone nuk i mban më çelësat privatë të pajisjes në serverin Firezone që nga versioni 0.3.0.
Ndërfaqja e internetit e Firezone Web nuk do t'ju lejojë t'i shkarkoni ose shikoni këto konfigurime, por çdo pajisje ekzistuese duhet të vazhdojë të funksionojë siç është.
Nëse po përmirësoni nga Firezone 0.1.x, ka disa ndryshime të skedarit të konfigurimit që duhet të adresohen manualisht.
Për të bërë modifikimet e nevojshme në skedarin tuaj /etc/firezone/firezone.rb, ekzekutoni komandat më poshtë si rrënjë.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['aktivizo'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['enabled'] = e vërtetë" >> /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
firezone-ctl rikonfiguro
rinisja e firezone-ctl
Kontrollimi i regjistrave të Firezone është një hap i parë i mençur për çdo problem që mund të ndodhë.
Ekzekutoni sudo firezone-ctl tail për të parë regjistrat e Firezone.
Shumica e problemeve të lidhjes me Firezone shkaktohen nga rregullat e papajtueshme iptables ose nftables. Duhet të siguroheni që çdo rregull që keni në fuqi të mos bie ndesh me rregullat e Firezone.
Sigurohuni që zinxhiri FORWARD lejon paketat nga klientët tuaj WireGuard në vendet që dëshironi të kaloni përmes Firezone nëse lidhja juaj me internetin përkeqësohet sa herë që aktivizoni tunelin tuaj WireGuard.
Kjo mund të arrihet nëse jeni duke përdorur ufw duke u siguruar që politika e parazgjedhur e rrugëtimit është e lejuar:
ubuntu@fz: ~$ sudo ufw parazgjedhja lejojë router
Politika e parazgjedhur e drejtuar u ndryshua në "lejo"
(sigurohuni që të përditësoni rregullat tuaja në përputhje me rrethanat)
A Uau statusi për një server tipik Firezone mund të duket si ky:
ubuntu@fz: ~$ sudo ufw e statusit verbose
Statusi: aktiv
Regjistrimi: aktiv (i ulët)
Parazgjedhja: moho (hyrje), lejo (dalëse), lejo (drejtuar)
Profilet e reja: kaloni
Te Veprimi Nga
—————
22/tcp LEJO IN Kudo
80/tcp LEJO IN Kudo
443/tcp LEJO IN Kudo
51820/udp LEJO IN Kudo
22/tcp (v6) LEJO IN Kudo (v6)
80/tcp (v6) LEJO IN Kudo (v6)
443/tcp (v6) LEJO IN Kudo (v6)
51820/udp (v6) LEJO IN Kudo (v6)
Ne këshillojmë kufizimin e aksesit në ndërfaqen e internetit për vendosje prodhimi jashtëzakonisht të ndjeshme dhe kritike për misionin, siç shpjegohet më poshtë.
Shërbime | Porti i parazgjedhur | Adresa e dëgjimit | Përshkrim |
nginx | 80, 443 | të gjithë | Porta publike HTTP(S) për administrimin e Firezone dhe lehtësimin e vërtetimit. |
Rojtari i telit | 51820 | të gjithë | Porta publike WireGuard e përdorur për seancat VPN. (UDP) |
postgresql | 15432 | 127.0.0.1 | Porta vetëm lokale e përdorur për serverin Postgresql të bashkuar. |
Feniks | 13000 | 127.0.0.1 | Porta vetëm lokale e përdorur nga serveri i aplikacionit eliksir në rrjedhën e sipërme. |
Ne ju këshillojmë të mendoni për kufizimin e aksesit në ndërfaqen e internetit të ekspozuar publikisht të Firezone (si parazgjedhje portet 443/tcp dhe 80/tcp) dhe në vend të kësaj të përdorni tunelin WireGuard për të menaxhuar Firezone për prodhimin dhe vendosjet me publikun, ku një administrator i vetëm do të jetë përgjegjës të krijimit dhe shpërndarjes së konfigurimeve të pajisjes tek përdoruesit fundorë.
Për shembull, nëse një administrator krijoi një konfigurim pajisjeje dhe krijoi një tunel me adresën lokale të WireGuard 10.3.2.2, konfigurimi i mëposhtëm ufw do t'i mundësonte administratorit të hyjë në ndërfaqen e internetit të Firezone në ndërfaqen wg-firezone të serverit duke përdorur 10.3.2.1. adresa e tunelit:
root@demo:~# statusi ufw i zhdërvjellët
Statusi: aktiv
Regjistrimi: aktiv (i ulët)
Parazgjedhja: moho (hyrje), lejo (dalëse), lejo (drejtuar)
Profilet e reja: kaloni
Te Veprimi Nga
—————
22/tcp LEJO IN Kudo
51820/udp LEJO IN Kudo
Kudo LEJO NE 10.3.2.2
22/tcp (v6) LEJO IN Kudo (v6)
51820/udp (v6) LEJO IN Kudo (v6)
Kjo do të largohej vetëm 22/tcp ekspozuar për qasje SSH për të menaxhuar serverin (opsionale), dhe 51820/udp ekspozuar për të krijuar tunele WireGuard.
Firezone bashkon një server Postgresql dhe përputhjen psql mjet që mund të përdoret nga guaska lokale si kjo:
/opt/firezone/embedded/bin/psql \
-U zona e zjarrit \
-d zona e zjarrit \
-h localhost \
-p 15432 \
-c "SQL_STATEMENT"
Kjo mund të jetë e dobishme për qëllime korrigjimi.
Detyrat e përbashkëta:
Listimi i të gjithë përdoruesve:
/opt/firezone/embedded/bin/psql \
-U zona e zjarrit \
-d zona e zjarrit \
-h localhost \
-p 15432 \
-c "ZGJIDH * NGA përdoruesit;"
Listimi i të gjitha pajisjeve:
/opt/firezone/embedded/bin/psql \
-U zona e zjarrit \
-d zona e zjarrit \
-h localhost \
-p 15432 \
-c "ZGJEDH * NGA pajisjet;"
Ndryshoni një rol përdoruesi:
Cakto rolin në 'admin' ose 'i paprivilegjuar':
/opt/firezone/embedded/bin/psql \
-U zona e zjarrit \
-d zona e zjarrit \
-h localhost \
-p 15432 \
-c “Përditëso përdoruesit SET rolin = 'admin' WHERE email = 'user@example.com';"
Rezervimi i bazës së të dhënave:
Për më tepër, përfshihet programi pg dump, i cili mund të përdoret për të marrë kopje rezervë të rregullt të bazës së të dhënave. Ekzekutoni kodin e mëposhtëm për të hedhur një kopje të bazës së të dhënave në formatin e zakonshëm të pyetjes SQL (zëvendësoni /path/to/backup.sql me vendndodhjen ku duhet të krijohet skedari SQL):
/opt/firezone/embedded/bin/pg_dump \
-U zona e zjarrit \
-d zona e zjarrit \
-h localhost \
-p 15432 > /path/to/backup.sql
Pasi Firezone të jetë vendosur me sukses, duhet të shtoni përdorues për t'u siguruar atyre akses në rrjetin tuaj. Ueb UI përdoret për ta bërë këtë.
Duke zgjedhur butonin "Shto përdorues" nën /users, mund të shtoni një përdorues. Do t'ju kërkohet t'i jepni përdoruesit një adresë emaili dhe një fjalëkalim. Për të lejuar aksesin automatikisht te përdoruesit në organizatën tuaj, Firezone gjithashtu mund të ndërlidhet dhe të sinkronizohet me një ofrues identiteti. Më shumë detaje janë në dispozicion në vërtetoj. < Shto një lidhje për të vërtetuar
Ne këshillojmë që përdoruesit të kërkojnë që përdoruesit të krijojnë konfigurimet e tyre të pajisjes në mënyrë që çelësi privat të jetë i dukshëm vetëm për ta. Përdoruesit mund të gjenerojnë konfigurimet e tyre të pajisjes duke ndjekur udhëzimet në Udhëzimet e klientit faqe.
Të gjitha konfigurimet e pajisjes së përdoruesit mund të krijohen nga administratorët e Firezone. Në faqen e profilit të përdoruesit që ndodhet në /users, zgjidhni opsionin "Shto pajisje" për ta realizuar këtë.
[Fut pamjen e ekranit]
Ju mund t'i dërgoni email përdoruesit skedarin e konfigurimit të WireGuard pas krijimit të profilit të pajisjes.
Përdoruesit dhe pajisjet janë të lidhura. Për detaje të mëtejshme se si të shtoni një përdorues, shihni Shtoni Përdoruesit.
Nëpërmjet përdorimit të sistemit të netfilterit të kernelit, Firezone mundëson aftësitë e filtrimit të daljes për të specifikuar paketat DROP ose ACCEPT. I gjithë trafiku lejohet normalisht.
IPv4 dhe IPv6 CIDR dhe adresat IP mbështeten përkatësisht përmes Listës së lejimeve dhe Refuzimit. Ju mund të zgjidhni të shtrini një rregull për një përdorues kur e shtoni atë, gjë që zbaton rregullin për të gjitha pajisjet e atij përdoruesi.
Instaloni dhe konfiguroni
Për të krijuar një lidhje VPN duke përdorur klientin vendas WireGuard, referojuni këtij udhëzuesi.
Klientët zyrtarë të WireGuard të vendosur këtu janë të pajtueshëm me Firezone:
Vizitoni faqen zyrtare të WireGuard në https://www.wireguard.com/install/ për sistemet OS që nuk përmenden më lart.
Ose administratori juaj Firezone ose ju vetë mund të gjeneroni skedarin e konfigurimit të pajisjes duke përdorur portalin Firezone.
Vizitoni URL-në që ka dhënë administratori juaj i Firezone për të gjeneruar vetë një skedar konfigurimi të pajisjes. Firma juaj do të ketë një URL unike për këtë; në këtë rast, është https://instance-id.yourfirezone.com.
Hyni në Firezone Okta SSO
[Fut pamjen e ekranit]
Importoni skedarin.conf në klientin WireGuard duke e hapur atë. Duke rrotulluar çelësin Aktivizo, mund të nisësh një seancë VPN.
[Fut pamjen e ekranit]
Ndiqni udhëzimet më poshtë nëse administratori i rrjetit tuaj ka urdhëruar vërtetimin e përsëritur për të mbajtur aktive lidhjen tuaj VPN.
Ju duhet:
URL-ja e portalit Firezone: Pyetni administratorin e rrjetit tuaj për lidhjen.
Administratori i rrjetit tuaj duhet të jetë në gjendje të ofrojë hyrjen dhe fjalëkalimin tuaj. Faqja e Firezone do t'ju kërkojë të identifikoheni duke përdorur shërbimin e vetëm të hyrjes që përdor punëdhënësi juaj (si Google ose Okta).
[Fut pamjen e ekranit]
Shkoni te URL-ja e portalit Firezone dhe identifikohuni duke përdorur kredencialet që ka dhënë administratori i rrjetit tuaj. Nëse jeni identifikuar tashmë, klikoni butonin Riautentifiko përpara se të identifikohesh përsëri.
[Fut pamjen e ekranit]
[Fut pamjen e ekranit]
Për të importuar profilin e konfigurimit WireGuard duke përdorur Network Manager CLI në pajisjet Linux, ndiqni këto udhëzime (nmcli).
Nëse profili ka mbështetjen e IPv6 të aktivizuar, përpjekja për të importuar skedarin e konfigurimit duke përdorur GUI të Menaxherit të Rrjetit mund të dështojë me gabimin e mëposhtëm:
ipv6.method: metoda "auto" nuk mbështetet për WireGuard
Është e nevojshme të instaloni shërbimet e hapësirës së përdoruesve të WireGuard. Kjo do të jetë një paketë e quajtur wireguard ose wireguard-tools për shpërndarjet Linux.
Për Ubuntu/Debian:
sudo apt instaloni tela mbrojtëse
Për të përdorur Fedora:
sudo dnf instaloni wireguard-tools
Arch Linux:
sudo pacman -S wireguard-tools
Vizitoni faqen zyrtare të WireGuard në https://www.wireguard.com/install/ për shpërndarjet që nuk janë përmendur më sipër.
Ose administratori juaj Firezone ose vetë gjenerimi mund të gjenerojë skedarin e konfigurimit të pajisjes duke përdorur portalin Firezone.
Vizitoni URL-në që ka dhënë administratori juaj i Firezone për të gjeneruar vetë një skedar konfigurimi të pajisjes. Firma juaj do të ketë një URL unike për këtë; në këtë rast, është https://instance-id.yourfirezone.com.
[Fut pamjen e ekranit]
Importoni skedarin e dhënë të konfigurimit duke përdorur nmcli:
Lidhja sudo nmcli e importit të llojit të skedarit wireguard /path/to/configuration.conf
Emri i skedarit të konfigurimit do të korrespondojë me lidhjen/ndërfaqen e WireGuard. Pas importimit, lidhja mund të riemërohet nëse është e nevojshme:
Lidhja nmcli modifiko lidhjen [emri i vjetër].id [emri i ri]
Nëpërmjet linjës së komandës, lidheni me VPN si më poshtë:
Lidhja nmcli lart [emri vpn]
Për të shkëputur:
Lidhja nmcli poshtë [emri vpn]
Apleti i zbatueshëm i Menaxherit të Rrjetit mund të përdoret gjithashtu për të menaxhuar lidhjen nëse përdorni një GUI.
Duke zgjedhur "po" për opsionin e lidhjes automatike, lidhja VPN mund të konfigurohet të lidhet automatikisht:
Lidhja nmcli modifikoni lidhjen [emri vpn]. <<<<<<<<<<<<<<<<<<<<<<<<
lidhja automatike po
Për të çaktivizuar lidhjen automatike, vendoseni përsëri në nr:
Lidhja nmcli modifikoni lidhjen [emri vpn].
autolidhje nr
Për të aktivizuar MFA, Shkoni te faqja /llogaria e përdoruesit/Regjistrohu MFA e portalit Firezone. Përdorni aplikacionin tuaj të vërtetuesit për të skanuar kodin QR pasi të jetë krijuar, më pas futni kodin gjashtëshifror.
Kontaktoni administratorin tuaj për të rivendosur informacionin e qasjes në llogarinë tuaj nëse vendosni gabim aplikacionin tuaj të vërtetuesit.
Ky tutorial do t'ju përcjellë në procesin e konfigurimit të veçorisë së ndarjes së tunelit të WireGuard me Firezone, në mënyrë që vetëm trafiku në intervale specifike IP të përcillet përmes serverit VPN.
Gama e IP-ve për të cilat klienti do të drejtojë trafikun e rrjetit përcaktohen në fushën IP-të e lejuara që ndodhet në faqen /settings/default. Vetëm konfigurimet e reja të tunelit WireGuard të prodhuara nga Firezone do të preken nga ndryshimet në këtë fushë.
[Fut pamjen e ekranit]
Vlera e parazgjedhur është 0.0.0.0/0, ::/0, e cila drejton të gjithë trafikun e rrjetit nga klienti në serverin VPN.
Shembuj të vlerave në këtë fushë përfshijnë:
0.0.0.0/0, ::/0 – i gjithë trafiku i rrjetit do të drejtohet te serveri VPN.
192.0.2.3/32 – vetëm trafiku në një adresë IP të vetme do të drejtohet në serverin VPN.
3.5.140.0/22 – vetëm trafiku drejt IP-ve në rangun 3.5.140.1 – 3.5.143.254 do të drejtohet te serveri VPN. Në këtë shembull, u përdor diapazoni CIDR për rajonin AP-verilindor-2 AWS.
Firezone zgjedh fillimisht ndërfaqen e daljes të lidhur me rrugën më të saktë kur përcakton se ku të drejtohet një paketë.
Përdoruesit duhet të rigjenerojnë skedarët e konfigurimit dhe t'i shtojnë ato te klienti i tyre vendas WireGuard në mënyrë që të përditësojnë pajisjet ekzistuese të përdoruesve me konfigurimin e ri të tunelit të ndarjes.
Për udhëzime, shih shtoni pajisjen. <<<<<<<<<<< Shto lidhjen
Ky manual do të demonstrojë se si të lidhni dy pajisje duke përdorur Firezone si stafetë. Një rast tipik përdorimi është t'i mundësojë një administratori të aksesojë një server, kontejner ose makinë që mbrohet nga një NAT ose mur zjarri.
Ky ilustrim tregon një skenar të drejtpërdrejtë në të cilin Pajisjet A dhe B ndërtojnë një tunel.
[Fut foto arkitekturore e zonës së zjarrit]
Filloni duke krijuar pajisjen A dhe pajisjen B duke lundruar te /users/[user_id]/new_device. Në cilësimet për secilën pajisje, sigurohuni që parametrat e mëposhtëm të jenë vendosur në vlerat e listuara më poshtë. Mund të vendosni cilësimet e pajisjes kur krijoni konfigurimin e pajisjes (shihni Shto pajisje). Nëse keni nevojë të përditësoni cilësimet në një pajisje ekzistuese, mund ta bëni këtë duke gjeneruar një konfigurim të ri pajisjeje.
Vini re se të gjitha pajisjet kanë një faqe /settings/defaults ku mund të konfigurohet PersistentKeepalive.
IP-të e lejuara = 10.3.2.2/32
Kjo është IP ose diapazoni i IP-ve të pajisjes B
PersistentKeepalive = 25
Nëse pajisja është pas një NAT, kjo siguron që pajisja të jetë në gjendje të mbajë gjallë tunelin dhe të vazhdojë të marrë pako nga ndërfaqja WireGuard. Zakonisht një vlerë prej 25 është e mjaftueshme, por mund t'ju duhet ta ulni këtë vlerë në varësi të mjedisit tuaj.
IP-të e lejuara = 10.3.2.3/32
Kjo është IP ose diapazoni i IP-ve të pajisjes A
PersistentKeepalive = 25
Ky shembull tregon një situatë në të cilën Pajisja A mund të komunikojë me Pajisjet B në D në të dy drejtimet. Ky konfigurim mund të përfaqësojë një inxhinier ose administrator që ka akses në burime të shumta (serverët, kontejnerët ose makinat) nëpër rrjete të ndryshme.
[Diagrami arkitektonik]<<<<<<<<<<<<<<<<<<<<<<<<<
Sigurohuni që cilësimet e mëposhtme të jenë bërë në cilësimet e çdo pajisjeje me vlerat përkatëse. Kur krijoni konfigurimin e pajisjes, mund të specifikoni cilësimet e pajisjes (shihni Shto pajisje). Një konfigurim i ri i pajisjes mund të krijohet nëse cilësimet në një pajisje ekzistuese duhet të përditësohen.
IP-të e lejuara = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Kjo është IP e pajisjeve B deri në D. IP-të e pajisjeve B deri në D duhet të përfshihen në çdo gamë IP që zgjidhni të vendosni.
PersistentKeepalive = 25
Kjo garanton që pajisja mund të mirëmbajë tunelin dhe të vazhdojë të marrë pako nga ndërfaqja WireGuard edhe nëse mbrohet nga një NAT. Në shumicën e rasteve, një vlerë prej 25 është e përshtatshme, megjithatë, në varësi të mjedisit tuaj, mund t'ju duhet ta ulni këtë shifër.
Për të ofruar një IP të vetme, statike daljeje nga i gjithë trafiku i ekipit tuaj, Firezone mund të përdoret si një portë NAT. Këto situata përfshijnë përdorimin e tij të shpeshtë:
Angazhimet e konsultimit: Kërkoni që klienti juaj në listën e bardhë të një adrese IP të vetme statike sesa IP-në unike të pajisjes së secilit punonjës.
Përdorimi i një përfaqësuesi ose maskimi i IP-së tuaj burimore për qëllime sigurie ose privatësie.
Një shembull i thjeshtë i kufizimit të aksesit në një aplikacion uebi të vetë-strehuar në një IP të vetme statike të listës së bardhë që ekzekuton Firezone do të demonstrohet në këtë postim. Në këtë ilustrim, Firezone dhe burimi i mbrojtur janë në zona të ndryshme VPC.
Kjo zgjidhje përdoret shpesh në vend të menaxhimit të një liste të bardhë IP për shumë përdorues fundorë, gjë që mund të marrë shumë kohë ndërsa lista e aksesit zgjerohet.
Objektivi ynë është të konfigurojmë një server Firezone në një shembull EC2 për të ridrejtuar trafikun VPN në burimin e kufizuar. Në këtë rast, Firezone po shërben si një përfaqësues i rrjetit ose portë NAT për t'i dhënë çdo pajisjeje të lidhur një IP unike të daljes publike.
Në këtë rast, një shembull EC2 i quajtur tc2.micro ka një shembull Firezone të instaluar në të. Për informacion rreth vendosjes së Firezone, shkoni te Udhëzuesi i vendosjes. Në lidhje me AWS, sigurohuni:
Grupi i sigurisë i shembullit të Firezone EC2 lejon trafikun dalës në adresën IP të burimit të mbrojtur.
Shembulli i Firezone vjen me një IP elastike. Trafiku që përcillet përmes instancës Firezone drejt destinacioneve të jashtme do ta ketë këtë si adresën IP burimore. Adresa IP në fjalë është 52.202.88.54.
[Fut pamjen e ekranit]<<<<<<<<<<<<<<<<<<<<<<<<<<
Një aplikacion ueb i vetë-strehuar shërben si burim i mbrojtur në këtë rast. Aplikacioni në internet mund të aksesohet vetëm nga kërkesat që vijnë nga adresa IP 52.202.88.54. Në varësi të burimit, mund të jetë e nevojshme të lejohet trafiku në hyrje në porte dhe lloje të ndryshme trafiku. Kjo nuk mbulohet në këtë manual.
[Fut pamjen e ekranit]<<<<<<<<<<<<<<<<<<<<<<<<<<
Ju lutemi tregoni palës së tretë përgjegjëse për burimin e mbrojtur se trafiku nga IP-ja statike e përcaktuar në Hapin 1 duhet të lejohet (në këtë rast 52.202.88.54).
Si parazgjedhje, i gjithë trafiku i përdoruesit do të kalojë përmes serverit VPN dhe do të vijë nga IP-ja statike që u konfigurua në Hapin 1 (në këtë rast 52.202.88.54). Megjithatë, nëse është aktivizuar tunelizimi i ndarë, mund të nevojiten cilësimet për t'u siguruar që IP-ja e destinacionit të burimit të mbrojtur është renditur midis IP-ve të lejuara.
Më poshtë tregohet një listë e plotë e opsioneve të konfigurimit të disponueshme në /etc/firezone/firezone.rb.
alternativë | përshkrim | vlera e paracaktuar |
e parazgjedhur['firezone']['external_url'] | URL-ja e përdorur për të hyrë në portalin ueb të këtij shembulli Firezone. | “https://#{nyja['fqdn'] || nyja['emri i hostit']}” |
e parazgjedhur['firezone']['config_directory'] | Drejtoria e nivelit të lartë për konfigurimin e Firezone. | /etc/firezone' |
e parazgjedhur['firezone']['install_directory'] | Drejtoria e nivelit të lartë për të instaluar Firezone. | /opt/firezone' |
i parazgjedhur['firezone']['app_directory'] | Drejtoria e nivelit të lartë për të instaluar aplikacionin në internet Firezone. | "#{node['firezone']['install_directory']}/embedded/service/firezone" |
e parazgjedhur['firezone']['log_directory'] | Drejtoria e nivelit të lartë për regjistrat e Firezone. | /var/log/firezone' |
e parazgjedhur['firezone']['var_directory'] | Drejtoria e nivelit të lartë për skedarët e ekzekutimit të Firezone. | /var/opt/firezone' |
e parazgjedhur['firezone']['përdorues'] | Emri i përdoruesit të paprivilegjuar Linux të cilit do t'i përkasin shumicës së shërbimeve dhe skedarëve. | zona e zjarrit |
e parazgjedhur['firezone']['grup'] | Emri i grupit Linux të cilit do t'i përkasin shumicës së shërbimeve dhe skedarëve. | zona e zjarrit |
e paracaktuar['firezone']['admin_email'] | Adresa e emailit për përdoruesin fillestar të Firezone. | "firezone@localhost" |
i parazgjedhur['firezone']['max_devices_per_user'] | Numri maksimal i pajisjeve që mund të ketë një përdorues. | 10 |
e parazgjedhur['firezone']['allow_unprivileged_device_management'] | Lejon përdoruesit jo administrator të krijojnë dhe fshijnë pajisje. | TRUE |
e parazgjedhur['firezone']['allow_unprivileged_device_configuration'] | Lejon përdoruesit jo-administrator të modifikojnë konfigurimet e pajisjes. Kur çaktivizohet, parandalon përdoruesit e paprivilegjuar që të ndryshojnë të gjitha fushat e pajisjes, përveç emrit dhe përshkrimit. | TRUE |
e parazgjedhur['firezone']['egress_interface'] | Emri i ndërfaqes ku do të dalë trafiku i tunelit. Nëse është zero, do të përdoret ndërfaqja e paracaktuar e rrugës. | zero |
e parazgjedhur['firezone']['fips_enabled'] | Aktivizo ose çaktivizo modalitetin OpenSSL FIPs. | zero |
e parazgjedhur['firezone']['logging']['aktivizuar'] | Aktivizo ose çaktivizo regjistrimin në Firezone. Cakto në false për të çaktivizuar plotësisht regjistrimin. | TRUE |
e paracaktuar['ndërmarrja']['emri'] | Emri i përdorur nga libri i gatimit 'ndërmarrje' e kuzhinierit. | zona e zjarrit |
e parazgjedhur['firezone']['install_path'] | Shtegu i instalimit të përdorur nga libri i gatimit "ndërmarrje" të kuzhinierit. Duhet të vendoset në të njëjtën mënyrë si install_directory më sipër. | nyja['firezone']['install_directory'] |
e parazgjedhur['firezone']['sysvinit_id'] | Një identifikues i përdorur në /etc/inittab. Duhet të jetë një sekuencë unike prej 1-4 karakteresh. | SUP' |
i parazgjedhur['firezone']['autentifikimi']['lokal']['i aktivizuar'] | Aktivizo ose çaktivizo vërtetimin lokal të emailit/fjalëkalimit. | TRUE |
e parazgjedhur['firezone']['autentifikimi']['auto_create_oidc_users'] | Krijo automatikisht përdorues që hyjnë nga OIDC për herë të parë. Çaktivizo për të lejuar vetëm përdoruesit ekzistues të identifikohen nëpërmjet OIDC. | TRUE |
e parazgjedhur['firezone']['autentifikimi']['disable_vpn_on_oidc_error'] | Çaktivizoni VPN-në e një përdoruesi nëse zbulohet një gabim duke u përpjekur të rifreskoni tokenin e tij OIDC. | I RREMË |
e parazgjedhur['firezone']['autentifikimi']['oidc'] | Konfigurimi i OpenID Connect, në formatin e {“provider” => [konfigurim…]} – Shih Dokumentacioni OpenIDConnect për shembujt e konfigurimit. | {} |
e paracaktuar['firezone']['nginx']['i aktivizuar'] | Aktivizo ose çaktivizo serverin nginx të bashkuar. | TRUE |
e parazgjedhur['firezone']['nginx']['ssl_port'] | Porta e dëgjimit HTTPS. | 443 |
e parazgjedhur['firezone']['nginx']['direktoria'] | Drejtori për të ruajtur konfigurimin e hostit virtual nginx të lidhur me Firezone. | "#{node['firezone']['var_directory']}/nginx/etc" |
e parazgjedhur['firezone']['nginx']['log_directory'] | Drejtori për të ruajtur skedarët e regjistrave nginx të lidhur me Firezone. | "#{node['firezone']['log_directory']}/nginx" |
e parazgjedhur['firezone']['nginx']['log_rotation']['file_maxbytes'] | Madhësia e skedarit në të cilën do të rrotullohen skedarët e regjistrave Nginx. | 104857600 |
e paracaktuar['firezone']['nginx']['log_rotation']['num_to_keep'] | Numri i skedarëve të regjistrit të Firezone nginx për t'u mbajtur përpara se të hidhni. | 10 |
e paracaktuar['firezone']['nginx']['log_x_forwarded_for'] | Nëse do të regjistrohet Firezone nginx x-forwarded-for header. | TRUE |
i parazgjedhur['firezone']['nginx']['hsts_header']['i aktivizuar'] | TRUE | |
e parazgjedhur['firezone']['nginx']['hsts_header']['include_subdomains'] | Aktivizo ose çaktivizo includeSubDomains për kokën HSTS. | TRUE |
i parazgjedhur['firezone']['nginx']['hsts_header']['max_age'] | Mosha maksimale për titullin HSTS. | 31536000 |
e parazgjedhur['firezone']['nginx']['redirect_to_canonical'] | Nëse duhet të ridrejtohen URL-të në FQDN kanonike të specifikuar më sipër | I RREMË |
e parazgjedhur['firezone']['nginx']['cache']['aktivizuar'] | Aktivizo ose çaktivizo cache-in e Firezone nginx. | I RREMË |
e parazgjedhur['firezone']['nginx']['cache']['directory'] | Drejtori për cache Firezone nginx. | "#{node['firezone']['var_directory']}/nginx/cache" |
e parazgjedhur['firezone']['nginx']['përdorues'] | Përdorues i Firezone nginx. | nyja['firezone']['përdoruesi'] |
e parazgjedhur['firezone']['nginx']['grup'] | Grupi Firezone nginx. | nyja['firezone']['grup'] |
e paracaktuar['firezone']['nginx']['dir'] | Drejtoria e konfigurimit të nivelit të lartë nginx. | nyja['firezone']['nginx']['direktoria'] |
e parazgjedhur['firezone']['nginx']['log_dir'] | Drejtoria e regjistrave të nivelit të lartë nginx. | nyja['firezone']['nginx']['log_directory'] |
e paracaktuar['firezone']['nginx']['pid'] | Vendndodhja për skedarin nginx pid. | "#{node['firezone']['nginx']['directory']}/nginx.pid" |
e parazgjedhur['firezone']['nginx']['daemon_disable'] | Çaktivizo modalitetin nginx daemon që të mund ta monitorojmë në vend të tij. | TRUE |
e parazgjedhur['firezone']['nginx']['gzip'] | Aktivizoni ose çaktivizoni kompresimin nginx gzip. | në ' |
e parazgjedhur['firezone']['nginx']['gzip_static'] | Aktivizoni ose çaktivizoni kompresimin nginx gzip për skedarët statikë. | fikur' |
e parazgjedhur['firezone']['nginx']['gzip_http_version'] | Versioni HTTP për t'u përdorur për të shërbyer skedarë statikë. | 1.0 ' |
e parazgjedhur['firezone']['nginx']['gzip_comp_level'] | Niveli i kompresimit nginx gzip. | 2 ' |
e parazgjedhur['firezone']['nginx']['gzip_proxied'] | Aktivizon ose çaktivizon gziping e përgjigjeve për kërkesat e proksiuara në varësi të kërkesës dhe përgjigjes. | ndonjë' |
e parazgjedhur['firezone']['nginx']['gzip_vary'] | Aktivizon ose çaktivizon futjen e titullit të përgjigjes "Vary: Accept-Encoding". | fikur' |
e parazgjedhur['firezone']['nginx']['gzip_buffers'] | Përcakton numrin dhe madhësinë e buferëve të përdorur për të kompresuar një përgjigje. Nëse zero, përdoret nginx default. | zero |
e parazgjedhur['firezone']['nginx']['gzip_types'] | Llojet MIME për të aktivizuar kompresimin e gzip. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' tekst/javascript', 'application/javascript', 'application/json'] |
e parazgjedhur['firezone']['nginx']['gjatësia_gzip_min'] | Gjatësia minimale e skedarit për të mundësuar kompresimin e skedarit gzip. | 1000 |
e parazgjedhur['firezone']['nginx']['gzip_disable'] | Përputhja e agjentit përdorues për të çaktivizuar ngjeshjen e gzip. | MSIE [1-6]\.' |
e paracaktuar['firezone']['nginx']['keepalive'] | Aktivizon cache-në për t'u lidhur me serverët në rrjedhën e sipërme. | në ' |
e parazgjedhur['firezone']['nginx']['keepalive_timeout'] | Kohëzgjatja në sekonda për lidhjen mbajtëse me serverët në rrjedhën e sipërme. | 65 |
e paracaktuar['firezone']['nginx']['proceset_punëtor'] | Numri i proceseve të punëtorit nginx. | nyja['cpu'] && nyja['cpu']['total'] ? nyja['cpu']['total'] : 1 |
e parazgjedhur['firezone']['nginx']['worker_connections'] | Numri maksimal i lidhjeve të njëkohshme që mund të hapen nga një proces pune. | 1024 |
e paracaktuar['firezone']['nginx']['worker_rlimit_nofile'] | Ndryshon kufirin në numrin maksimal të skedarëve të hapur për proceset e punës. Përdor nginx të paracaktuar nëse është zero. | zero |
e parazgjedhur['firezone']['nginx']['multi_pranoj'] | Nëse punëtorët duhet të pranojnë një lidhje në një kohë apo shumë. | TRUE |
e parazgjedhur['firezone']['nginx']['ngjarja'] | Përcakton metodën e përpunimit të lidhjes për t'u përdorur brenda kontekstit të ngjarjeve nginx. | epoll' |
e parazgjedhur['firezone']['nginx']['server_tokens'] | Aktivizon ose çaktivizon emetimin e versionit nginx në faqet e gabimeve dhe në fushën e kokës së përgjigjes "Server". | zero |
e parazgjedhur['firezone']['nginx']['server_names_hash_bucket_size'] | Përcakton madhësinë e kovës për tabelat hash të emrave të serverëve. | 64 |
e parazgjedhur['firezone']['nginx']['sendfile'] | Aktivizon ose çaktivizon përdorimin e sendfile() të nginx. | në ' |
e parazgjedhur['firezone']['nginx']['access_log_options'] | Vendos opsionet e regjistrit të aksesit nginx. | zero |
e paracaktuar['firezone']['nginx']['error_log_options'] | Vendos opsionet e regjistrit të gabimeve nginx. | zero |
e paracaktuar['firezone']['nginx']['disable_access_log'] | Çaktivizon regjistrin e aksesit nginx. | I RREMË |
e parazgjedhur['firezone']['nginx']['types_hash_max_size'] | Llojet nginx hash max size. | 2048 |
e paracaktuar['firezone']['nginx']['types_hash_bucket_size'] | Llojet nginx madhësia e kovës së hash-it. | 64 |
e parazgjedhur['firezone']['nginx']['proxy_read_timeout'] | Koha e leximit të përfaqësuesit nginx. Vendoseni në zero për të përdorur nginx default. | zero |
e parazgjedhur['firezone']['nginx']['client_body_buffer_size'] | madhësia e tamponit të trupit të klientit nginx. Vendoseni në zero për të përdorur nginx default. | zero |
e parazgjedhur['firezone']['nginx']['client_max_body_size'] | Madhësia maksimale e trupit të klientit nginx. | 250 m' |
i parazgjedhur['firezone']['nginx']['default']['module'] | Specifikoni module shtesë nginx. | [] |
e parazgjedhur['firezone']['nginx']['enable_rate_limiting'] | Aktivizo ose çaktivizo kufizimin e normës së nginx. | TRUE |
e parazgjedhur['firezone']['nginx']['name_rate_limiting_zone'] | Emri i zonës kufizuese të normës Nginx. | zona e zjarrit |
e paracaktuar['firezone']['nginx']['rate_limiting_backoff'] | Shkalla e Nginx që kufizon prapambetjen. | 10 m' |
i parazgjedhur['firezone']['nginx']['norma_limit'] | Kufiri i normës Nginx. | 10 r/s' |
e parazgjedhur['firezone']['nginx']['ipv6'] | Lejo që nginx të dëgjojë kërkesat HTTP për IPv6 përveç IPv4. | TRUE |
e parazgjedhur['firezone']['postgresql']['aktivizuar'] | Aktivizo ose çaktivizo Postgresql të bashkuar. Vendosni në false dhe plotësoni opsionet e bazës së të dhënave më poshtë për të përdorur shembullin tuaj Postgresql. | TRUE |
e parazgjedhur['firezone']['postgresql']['emri i përdoruesit'] | Emri i përdoruesit për Postgresql. | nyja['firezone']['përdoruesi'] |
e parazgjedhur['firezone']['postgresql']['data_directory'] | Drejtoria e të dhënave Postgresql. | "#{node['firezone']['var_directory']}/postgresql/13.3/data" |
e parazgjedhur['firezone']['postgresql']['log_directory'] | Drejtoria e regjistrave Postgresql. | "#{node['firezone']['log_directory']}/postgresql" |
e parazgjedhur['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Madhësia maksimale e skedarit të regjistrit Postgresql përpara se të rrotullohet. | 104857600 |
e parazgjedhur['firezone']['postgresql']['log_rotation']['num_to_keep'] | Numri i skedarëve të regjistrit Postgresql për t'u mbajtur. | 10 |
i parazgjedhur['firezone']['postgresql']['checkpoint_completion_target'] | Objektivi i përfundimit të pikës së kontrollit Postgresql. | 0.5 |
e parazgjedhur['firezone']['postgresql']['segmentet e_pikës së kontrollit'] | Numri i segmenteve të pikës së kontrollit Postgresql. | 3 |
e parazgjedhur['firezone']['postgresql']['checkpoint_timeout'] | Koha e pikës së kontrollit Postgresql. | 5 min' |
i parazgjedhur['firezone']['postgresql']['checkpoint_warning'] | Koha e paralajmërimit të pikës së kontrollit Postgresql në sekonda. | vitet '30 |
e parazgjedhur['firezone']['postgresql']['effective_cache_size'] | Madhësia efektive e cache-it Postgresql. | 128 MB' |
e parazgjedhur['firezone']['postgresql']['listen_adresa'] | Adresa e dëgjimit të Postgresql. | 127.0.0.1 ' |
e parazgjedhur['firezone']['postgresql']['max_connections'] | Lidhjet maksimale Postgresql. | 350 |
e parazgjedhur['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR për të lejuar auth md5. | ['127.0.0.1/32', '::1/128'] |
e parazgjedhur['firezone']['postgresql']['port'] | Porta e dëgjimit Postgresql. | 15432 |
e parazgjedhur['firezone']['postgresql']['shared_buffers'] | Madhësia e buferave të përbashkëta Postgresql. | "#{(nyja['memory']['total'].to_i / 4) / 1024}MB" |
e parazgjedhur['firezone']['postgresql']['shmmax'] | Postgresql shmmax në bajt. | 17179869184 |
e parazgjedhur['firezone']['postgresql']['shmall'] | Postgresql shmall në bajt. | 4194304 |
e parazgjedhur['firezone']['postgresql']['work_mem'] | Madhësia e memories së punës Postgresql. | 8 MB' |
i parazgjedhur['firezone']['baza e të dhënave']['përdoruesi'] | Përcakton emrin e përdoruesit që Firezone do të përdorë për t'u lidhur me DB. | nyja['firezone']['postgresql']['emri i përdoruesit'] |
e parazgjedhur['firezone']['baza e të dhënave']['fjalëkalimi'] | Nëse përdorni një DB të jashtëm, specifikon fjalëkalimin që Firezone do të përdorë për t'u lidhur me DB. | me Ndrysho' |
e parazgjedhur['firezone']['baza e të dhënave']['emri'] | Baza e të dhënave që do të përdorë Firezone. Do të krijohet nëse nuk ekziston. | zona e zjarrit |
e paracaktuar['firezone']['baza e të dhënave']['host'] | Pritësi i bazës së të dhënave me të cilin do të lidhet Firezone. | nyja['firezone']['postgresql']['listen_adresa'] |
e parazgjedhur['firezone']['baza e të dhënave']['port'] | Porta e bazës së të dhënave me të cilën do të lidhet Firezone. | nyja['firezone']['postgresql']['port'] |
e parazgjedhur['firezone']['baza e të dhënave']['pool'] | Madhësia e grupit të bazës së të dhënave Firezone do të përdorë. | [10, etj.nprocesorët].max |
e parazgjedhur['firezone']['baza e të dhënave']['ssl'] | Nëse do të lidheni me bazën e të dhënave përmes SSL. | I RREMË |
e parazgjedhur['firezone']['baza e të dhënave']['ssl_opts'] | {} | |
e paracaktuar['firezone']['baza e të dhënave']['parametrat'] | {} | |
e parazgjedhur['firezone']['baza e të dhënave']['zgjerime'] | Shtesat e bazës së të dhënave për të aktivizuar. | { 'plpgsql' => e vërtetë, 'pg_trgm' => e vërtetë } |
e parazgjedhur['firezone']['phoenix']['aktivizuar'] | Aktivizo ose çaktivizo aplikacionin ueb Firezone. | TRUE |
e parazgjedhur['firezone']['phoenix']['listen_address'] | Adresa e dëgjimit të aplikacionit në ueb Firezone. Kjo do të jetë adresa e dëgjimit në rrjedhën e sipërme që proxon nginx. | 127.0.0.1 ' |
e parazgjedhur['firezone']['phoenix']['port'] | Porta e dëgjimit të aplikacionit në ueb Firezone. Ky do të jetë porti në rrjedhën e sipërme që proxon nginx. | 13000 |
e parazgjedhur['firezone']['phoenix']['log_directory'] | Drejtoria e regjistrave të aplikacioneve në internet Firezone. | "#{node['firezone']['log_directory']}/phoenix" |
e paracaktuar['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Madhësia e skedarit të regjistrit të aplikacionit në ueb Firezone. | 104857600 |
e parazgjedhur['firezone']['phoenix']['log_rotation']['num_to_keep'] | Numri i skedarëve të regjistrit të aplikacionit në ueb Firezone për t'u mbajtur. | 10 |
i parazgjedhur['firezone']['phoenix']['crash_detection']['enabled'] | Aktivizo ose çaktivizo uljen e aplikacionit ueb Firezone kur zbulohet një përplasje. | TRUE |
e paracaktuar['firezone']['phoenix']['external_trusted_proxies'] | Lista e përfaqësuesve të besueshëm të kundërt të formatuar si një grup IP-sh dhe/ose CIDR. | [] |
e parazgjedhur['firezone']['phoenix']['private_clients'] | Lista e klientëve të rrjetit privat HTTP, të formatuar një grup IP-sh dhe/ose CIDR. | [] |
i parazgjedhur['firezone']['wireguard']['i aktivizuar'] | Aktivizo ose çaktivizo menaxhimin e bashkuar të WireGuard. | TRUE |
e parazgjedhur['firezone']['wireguard']['log_directory'] | Direktoria e regjistrave për menaxhimin e bashkuar të WireGuard. | "#{node['firezone']['log_directory']}/wireguard" |
e parazgjedhur['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Madhësia maksimale e skedarit të regjistrit WireGuard. | 104857600 |
e parazgjedhur['firezone']['wireguard']['log_rotation']['num_to_keep'] | Numri i skedarëve të regjistrit të WireGuard për t'u mbajtur. | 10 |
e parazgjedhur['firezone']['wireguard']['emri_interface'] | Emri i ndërfaqes WireGuard. Ndryshimi i këtij parametri mund të shkaktojë një humbje të përkohshme në lidhjen VPN. | wg-firezone' |
e parazgjedhur['firezone']['wireguard']['port'] | Porta e dëgjimit WireGuard. | 51820 |
i parazgjedhur['firezone']['wireguard']['mtu'] | Ndërfaqja e WireGuard MTU për këtë server dhe për konfigurimet e pajisjes. | 1280 |
e parazgjedhur['firezone']['wireguard']['pikë fundore'] | WireGuard Endpoint për t'u përdorur për gjenerimin e konfigurimeve të pajisjes. Nëse është zero, vendoset në adresën IP publike të serverit. | zero |
i parazgjedhur['firezone']['wireguard']['dns'] | WireGuard DNS për t'u përdorur për konfigurimet e krijuara të pajisjes. | 1.1.1.1, 1.0.0.1′ |
e parazgjedhur['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs për t'u përdorur për konfigurimet e krijuara të pajisjes. | 0.0.0.0/0, ::/0′ |
e paracaktuar['firezone']['wireguard']['persistent_keepalive'] | Cilësimi i parazgjedhur i PersistentKeepalive për konfigurimet e krijuara të pajisjes. Një vlerë prej 0 çaktivizon. | 0 |
e parazgjedhur['firezone']['wireguard']['ipv4']['aktivizuar'] | Aktivizo ose çaktivizo IPv4 për rrjetin WireGuard. | TRUE |
e parazgjedhur['firezone']['wireguard']['ipv4']['maskaradë'] | Aktivizo ose çaktivizo maskaradë për paketat që dalin nga tuneli IPv4. | TRUE |
i parazgjedhur['firezone']['wireguard']['ipv4']['rrjeti'] | Pishina e adresave të rrjetit WireGuard IPv4. | 10.3.2.0/24 |
e paracaktuar['firezone']['wireguard']['ipv4']['adresa'] | Adresa IPv4 e ndërfaqes WireGuard. Duhet të jetë brenda grupit të adresave të WireGuard. | 10.3.2.1 ' |
e parazgjedhur['firezone']['wireguard']['ipv6']['aktivizuar'] | Aktivizo ose çaktivizo IPv6 për rrjetin WireGuard. | TRUE |
e parazgjedhur['firezone']['wireguard']['ipv6']['maskaradë'] | Aktivizo ose çaktivizo maskaradë për paketat që dalin nga tuneli IPv6. | TRUE |
i parazgjedhur['firezone']['wireguard']['ipv6']['rrjeti'] | Pishina e adresave të rrjetit WireGuard IPv6. | fd00::3:2:0/120′ |
e paracaktuar['firezone']['wireguard']['ipv6']['adresa'] | Adresa IPv6 e ndërfaqes WireGuard. Duhet të jetë brenda grupit të adresave IPv6. | fd00::3:2:1′ |
e parazgjedhur['firezone']['runit']['svlogd_bin'] | Ekzekutoni vendndodhjen e koshit svlogd. | "#{node['firezone']['install_directory']}/embedded/bin/svlogd" |
e parazgjedhur['firezone']['ssl']['direktoria'] | Drejtoria SSL për ruajtjen e certifikatave të krijuara. | /var/opt/firezone/ssl' |
e paracaktuar['firezone']['ssl']['adresa_email'] | Adresa e emailit për t'u përdorur për certifikatat e vetë-nënshkruara dhe njoftimet e rinovimit të protokollit ACME. | you@example.com' |
e parazgjedhur['firezone']['ssl']['acme']['aktivizuar'] | Aktivizo ACME për sigurimin automatik të certifikatës SSL. Çaktivizoni këtë për të parandaluar që Nginx të dëgjojë në portin 80. Shih këtu për më shumë udhëzime. | I RREMË |
e parazgjedhur['firezone']['ssl']['acme']['server'] | le të shkruajmë | |
e parazgjedhur['firezone']['ssl']['acme']['gjatësia e çelësit'] | Specifikoni llojin dhe gjatësinë e çelësit për certifikatat SSL. Shiko këtu | KE 256 |
e parazgjedhur['firezone']['ssl']['certifikatë'] | Rruga drejt skedarit të certifikatës për FQDN-në tuaj. Anulon cilësimin ACME më lart nëse specifikohet. Nëse të dyja ACME dhe kjo janë zero, do të krijohet një certifikatë e vetë-nënshkruar. | zero |
e parazgjedhur['firezone']['ssl']['çelës_certificate'] | Rruga drejt skedarit të certifikatës. | zero |
e parazgjedhur['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | zero |
e parazgjedhur['firezone']['ssl']['emri_country_name'] | Emri i shtetit për certifikatën e vetë-nënshkruar. | SHBA' |
e parazgjedhur['firezone']['ssl']['state_name'] | Emri i shtetit për certifikatën e vetë-nënshkruar. | CA ' |
e parazgjedhur['firezone']['ssl']['emri_lokaliteti'] | Emri i lokalitetit për certifikatën e vetë-nënshkruar. | San Francisko' |
e parazgjedhur['firezone']['ssl']['emri_kompanisë'] | Emri i kompanisë certifikatë e vetë-nënshkruar. | Kompania ime' |
e paracaktuar['firezone']['ssl']['organizational_unit_name'] | Emri i njësisë organizative për certifikatën e vetë-nënshkruar. | Operacionet' |
e parazgjedhur['firezone']['ssl']['shifrat'] | Shifra SSL për përdorim nga nginx. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
e paracaktuar['firezone']['ssl']['fips_ciphers'] | Shifrat SSL për modalitetin FIP. | FIPS@FUQIA:!aNULL:!eNULL' |
e parazgjedhur['firezone']['ssl']['protokollet'] | Protokollet TLS për t'u përdorur. | TLSv1 TLSv1.1 TLSv1.2′ |
e parazgjedhur['firezone']['ssl']['session_cache'] | Cache e sesionit SSL. | e ndarë:SSL:4m' |
e parazgjedhur['firezone']['ssl']['koha e_sesionit'] | Afati i seancës SSL. | 5 m' |
e parazgjedhur['firezone']['robots_allow'] | Robotët nginx lejojnë. | /' |
e parazgjedhur['firezone']['robots_disallow'] | robotët nginx nuk lejojnë. | zero |
e parazgjedhur['firezone']['outbound_email']['nga'] | Email dalëse nga adresa. | zero |
e parazgjedhur['firezone']['outbound_email']['ofruesi'] | Ofruesi i shërbimit të postës elektronike dalëse. | zero |
e parazgjedhur['firezone']['outbound_email']['configs'] | Konfigurimet e ofruesit të postës elektronike dalëse. | shih omnibus/cookbooks/firezone/attributes/default.rb |
e parazgjedhur['firezone']['telemetria']['aktivizuar'] | Aktivizo ose çaktivizo telemetrinë e produktit anonim. | TRUE |
e parazgjedhur['firezone']['connectivity_checks']['enabled'] | Aktivizo ose çaktivizo shërbimin e kontrollit të lidhjes së Firezone. | TRUE |
e parazgjedhur['firezone']['connectivity_checks']['interval'] | Intervali midis kontrolleve të lidhjes në sekonda. | 3_600 |
________________________________________________________________
Këtu do të gjeni një listë të skedarëve dhe drejtorive që lidhen me një instalim tipik Firezone. Këto mund të ndryshojnë në varësi të ndryshimeve në skedarin tuaj të konfigurimit.
rrugë | përshkrim |
/var/opt/firezone | Drejtoria e nivelit të lartë që përmban të dhëna dhe konfigurim të krijuar për shërbimet e bashkuara Firezone. |
/opt/firezone | Drejtoria e nivelit të lartë që përmban biblioteka të ndërtuara, binare dhe skedarë të kohës së funksionimit të nevojshëm nga Firezone. |
/usr/bin/firezone-ctl | mjeti firezone-ctl për menaxhimin e instalimit tuaj Firezone. |
/etc/systemd/system/firezone-runsvdir-start.service | skedari i njësisë systemd për fillimin e procesit të mbikëqyrësit të Firezone runsvdir. |
/etj/firezone | Skedarët e konfigurimit të Firezone. |
__________________________________________________________
Kjo faqe ishte bosh në dokumente
_____________________________________________________________
Modeli i mëposhtëm i murit të zjarrit nftables mund të përdoret për të siguruar serverin që funksionon Firezone. Modeli bën disa supozime; mund t'ju duhet të rregulloni rregullat për t'iu përshtatur rastit tuaj të përdorimit:
Firezone konfiguron rregullat e veta të nftables për të lejuar/refuzuar trafikun drejt destinacioneve të konfiguruara në ndërfaqen e internetit dhe për të trajtuar NAT-në dalëse për trafikun e klientit.
Zbatimi i shabllonit të murit të zjarrit të mëposhtëm në një server tashmë të ekzekutuar (jo në kohën e nisjes) do të rezultojë në pastrimin e rregullave të Firezone. Kjo mund të ketë implikime sigurie.
Për të zgjidhur këtë, rinisni shërbimin phoenix:
firezone-ctl rinisni Phoenix
#!/usr/sbin/nft -f
## Pastro/pastro të gjitha rregullat ekzistuese
flush rregullore
############################### NDARIABLAT ################# ###############
## Emri i ndërfaqes Internet/WAN
definoni DEV_WAN = eth0
## Emri i ndërfaqes WireGuard
përcaktoni DEV_WIREGUARD = wg-firezone
## Porta e dëgjimit WireGuard
përcaktoni WIREGUARD_PORT = 51820
############################# NDARIABLAT FUND ################### ############
# Tabela kryesore e filtrimit të familjes inet
filtri inet i tabelës {
# Rregulla për trafikun e përcjellë
# Ky zinxhir përpunohet përpara zinxhirit përpara Firezone
zinxhir përpara {
lloji i filtrit me përparësi filtri përpara - 5; politikën pranojnë
}
# Rregulla për trafikun e hyrjes
hyrja e zinxhirit {
lloji i filtrit të prioritetit të hyrjes së fiksimit të filtrit; rënie e politikës
## Lejo trafikun hyrës në ndërfaqen loopback
nëse ja \
prano \
koment "Lejo të gjithë trafikun nga ndërfaqja loopback"
## Leja e krijuar dhe lidhjet e lidhura
ct shtet i krijuar, i lidhur \
prano \
koment “Leja e krijuar/lidhur lidhjet”
## Lejo trafikun në hyrje të WireGuard
IIF $DEV_WAN udp dport $WIREGUARD_PORT \
banak \
prano \
koment "Lejo trafikun në hyrje të WireGuard"
## Regjistrohu dhe lësho paketat e reja TCP jo-SYN
flamujt tcp != sinkronizimi i gjendjes së re \
norma kufitare 100/minuta breshëri 150 pako \
prefiksi i regjistrit “IN – E re !SYN:” \
koment "Regjistrimi i kufirit të normës për lidhjet e reja që nuk kanë të caktuar flamurin SYN TCP"
flamujt tcp != sinkronizimi i gjendjes së re \
banak \
hedh \
koment "Hiqni lidhjet e reja që nuk kanë të vendosur flamurin SYN TCP"
## Regjistro dhe lësho paketat TCP me grup të pavlefshëm flamuri fin/syn
flamujt tcp & (fin|syn) == (fin|syn) \
norma kufitare 100/minuta breshëri 150 pako \
prefiksi i regjistrit “IN – TCP FIN|SIN:” \
koment "Regjistrimi i kufirit të normës për paketat TCP me grup të pavlefshëm flamuri fin/syn"
flamujt tcp & (fin|syn) == (fin|syn) \
banak \
hedh \
koment "Hiq paketat TCP me grup të pavlefshëm flamuri fin/syn"
## Regjistro dhe lësho paketat TCP me grup të pavlefshëm të flamurit sin/para
flamujt tcp & (syn|rst) == (syn|rst) \
norma kufitare 100/minuta breshëri 150 pako \
prefiksi i regjistrit “IN – TCP SYN|RST:” \
koment "Regjistrimi i kufirit të normës për paketat TCP me grup të pavlefshëm të flamurit sin/para"
flamujt tcp & (syn|rst) == (syn|rst) \
banak \
hedh \
koment "Hiq paketat TCP me grup të pavlefshëm të flamurit sin/para"
## Regjistro dhe lësho flamuj të pavlefshëm TCP
tcp flamuj & (fin|syn|rst|psh|ack|urg) < (fin) \
norma kufitare 100/minuta breshëri 150 pako \
prefiksi i regjistrit “IN – FIN:” \
koment "Regjistrimi i kufirit të normës për flamujt e pavlefshëm TCP (fin|syn|rst|psh|ack|urg) < (fin)"
tcp flamuj & (fin|syn|rst|psh|ack|urg) < (fin) \
banak \
hedh \
koment "Hiqni paketat TCP me flamuj (fin|syn|rst|psh|ack|urg) < (fin)"
## Regjistro dhe lësho flamuj të pavlefshëm TCP
tcp flamuj & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
norma kufitare 100/minuta breshëri 150 pako \
prefiksi i regjistrit “IN – FIN|PSH|URG:” \
koment "Regjistrimi i kufirit të normës për flamujt e pavlefshëm TCP (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp flamuj & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
banak \
hedh \
koment "Hiqni paketat TCP me flamuj (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Hiq trafikun me gjendje lidhjeje të pavlefshme
ct gjendja e pavlefshme \
norma kufitare 100/minuta breshëri 150 pako \
log flamuj të gjithë prefiksin "IN - E pavlefshme:" \
koment "Regjistrimi i kufirit të tarifës për trafikun me gjendje lidhjeje të pavlefshme"
ct gjendja e pavlefshme \
banak \
hedh \
koment "Hiq trafikun me gjendje lidhjeje të pavlefshme"
## Lejo përgjigjet ping/ping IPv4, por kufiri i normës në 2000 PPS
ip protokolli icmp icmp type { echo-reply, echo-kerkes } \
norma kufitare 2000/e dyta \
banak \
prano \
koment "Lejo jehonë hyrëse IPv4 (ping) të kufizuar në 2000 PPS"
## Lejo të gjitha IPv4 ICMP të tjera hyrëse
ip protokolli icmp \
banak \
prano \
koment "Lejo të gjitha IPv4 të tjera ICMP"
## Lejo përgjigjet ping/ping IPv6, por kufiri i normës në 2000 PPS
icmpv6 type { echo-reply, echo- request } \
norma kufitare 2000/e dyta \
banak \
prano \
koment "Lejo jehonë hyrëse IPv6 (ping) të kufizuar në 2000 PPS"
## Lejo të gjitha IPv6 ICMP të tjera hyrëse
meta l4proto { icmpv6 } \
banak \
prano \
koment "Lejo të gjitha IPv6 të tjera ICMP"
## Lejoni portet UDP të gjurmës hyrëse, por kufizoni në 500 PPS
udp dport 33434-33524 \
norma kufitare 500/e dyta \
banak \
prano \
koment "Lejo gjurmimin hyrës të UDP të kufizuar në 500 PPS"
## Lejo SSH hyrëse
tcp dport ssh ct gjendje e re \
banak \
prano \
koment "Lejo lidhjet hyrëse SSH"
## Lejoni HTTP dhe HTTPS hyrëse
tcp dport { http, https } ct gjendje e re \
banak \
prano \
koment "Lejo lidhjet hyrëse HTTP dhe HTTPS"
## Regjistroni çdo trafik të pakrahasueshëm, por normoni regjistrimin e kufirit në një maksimum prej 60 mesazhesh/minutë
## Politika e paracaktuar do të zbatohet për trafikun e pakrahasueshëm
norma kufitare 60/minuta breshëri 100 pako \
prefiksi i regjistrit “IN – Drop:” \
koment "Regjistro çdo trafik të pakrahasueshëm"
## Numëroni trafikun e pakrahasueshëm
banak \
koment "Numëroni çdo trafik të pakrahasueshëm"
}
# Rregulla për trafikun e daljes
prodhimi i zinxhirit {
filtri i përparësisë së daljes së fiksimit të filtrit; rënie e politikës
## Lejo trafikun dalës në ndërfaqen loopback
oif ja \
prano \
koment "Lejo të gjithë trafikun jashtë në ndërfaqen loopback"
## Leja e krijuar dhe lidhjet e lidhura
ct shtet i krijuar, i lidhur \
banak \
prano \
koment “Leja e krijuar/lidhur lidhjet”
## Lejoni trafikun dalës të WireGuard përpara se të hiqni lidhjet me gjendje të keqe
oif $DEV_WAN udp sport $WIREGUARD_PORT \
banak \
prano \
koment "Lejo trafikun e jashtëm WireGuard"
## Hiq trafikun me gjendje lidhjeje të pavlefshme
ct gjendja e pavlefshme \
norma kufitare 100/minuta breshëri 150 pako \
log flamuj të gjithë prefiksin "OUT - E pavlefshme:" \
koment "Regjistrimi i kufirit të tarifës për trafikun me gjendje lidhjeje të pavlefshme"
ct gjendja e pavlefshme \
banak \
hedh \
koment "Hiq trafikun me gjendje lidhjeje të pavlefshme"
## Lejo të gjitha IPv4 ICMP të tjera dalëse
ip protokolli icmp \
banak \
prano \
koment "Lejo të gjitha llojet e IPv4 ICMP"
## Lejo të gjitha IPv6 ICMP të tjera dalëse
meta l4proto { icmpv6 } \
banak \
prano \
koment "Lejo të gjitha llojet e IPv6 ICMP"
## Lejoni portet UDP të gjurmës dalëse, por kufizoni në 500 PPS
udp dport 33434-33524 \
norma kufitare 500/e dyta \
banak \
prano \
koment "Lejo gjurmimin e UDP-së në dalje të kufizuar në 500 PPS"
## Lejo lidhjet dalëse HTTP dhe HTTPS
tcp dport { http, https } ct gjendje e re \
banak \
prano \
koment "Lejo lidhjet dalëse HTTP dhe HTTPS"
## Lejoni paraqitjen e SMTP-së dalëse
tcp dport paraqitje ct gjendje e re \
banak \
prano \
koment "Lejo dorëzimin e jashtëm SMTP"
## Lejo kërkesat DNS dalëse
udp dport 53 \
banak \
prano \
koment "Lejo kërkesat dalëse të UDP DNS"
tcp dport 53 \
banak \
prano \
koment "Lejo kërkesat dalëse të TCP DNS"
## Lejo kërkesat e jashtme NTP
udp dport 123 \
banak \
prano \
koment "Lejo kërkesat e jashtme të NTP"
## Regjistroni çdo trafik të pakrahasueshëm, por normoni regjistrimin e kufirit në një maksimum prej 60 mesazhesh/minutë
## Politika e paracaktuar do të zbatohet për trafikun e pakrahasueshëm
norma kufitare 60/minuta breshëri 100 pako \
prefiksi i regjistrit "OUT - Drop:" \
koment "Regjistro çdo trafik të pakrahasueshëm"
## Numëroni trafikun e pakrahasueshëm
banak \
koment "Numëroni çdo trafik të pakrahasueshëm"
}
}
# Tabela kryesore e filtrimit NAT
tabela inet nat {
# Rregulla për para-drejtimin e trafikut NAT
parakalimi i zinxhirit {
tipi nat hook prerouting priority dstnat; politikën pranojnë
}
# Rregulla për trafikun NAT pas rrugëtimit
# Kjo tabelë përpunohet përpara zinxhirit pas-drejtimit të Firezone
zinxhiri postrouting {
tip nat hook postrouting prioritet srcnat – 5; politikën pranojnë
}
}
Firewall-i duhet të ruhet në vendndodhjen përkatëse për shpërndarjen Linux që po funksionon. Për Debian/Ubuntu kjo është /etc/nftables.conf dhe për RHEL kjo është /etc/sysconfig/nftables.conf.
nftables.service do të duhet të konfigurohet për të filluar në boot (nëse jo tashmë) të vendosur:
systemctl aktivizoj nftables.service
Nëse bëni ndonjë ndryshim në shabllonin e murit të zjarrit, sintaksa mund të vërtetohet duke ekzekutuar komandën e kontrollit:
nft -f /path/to/nftables.conf -c
Sigurohuni që të vërtetoni se muri i zjarrit funksionon siç pritet pasi disa veçori të nftables mund të mos jenë të disponueshme në varësi të lëshimit që ekzekutohet në server.
_______________________________________________________________
Ky dokument paraqet një përmbledhje të telemetrisë që mbledh Firezone nga shembulli juaj i vetë-strehuar dhe si ta çaktivizoni atë.
Zona e zjarrit mbështetet në telemetri për t'i dhënë përparësi udhërrëfyesit tonë dhe për të optimizuar burimet inxhinierike që kemi për ta bërë Firezone më të mirë për të gjithë.
Telemetria që mbledhim synon t'u përgjigjet pyetjeve të mëposhtme:
Ekzistojnë tre vende kryesore ku grumbullohet telemetria në Firezone:
Në secilin prej këtyre tre konteksteve, ne kapim sasinë minimale të të dhënave të nevojshme për t'iu përgjigjur pyetjeve në seksionin e mësipërm.
Email-et e administratorit mblidhen vetëm nëse zgjedhni në mënyrë të qartë përditësimet e produktit. Përndryshe, informacioni personalisht i identifikueshëm është asnjehere të mbledhura.
Firezone ruan telemetrinë në një shembull të vetë-strehuar të PostHog që funksionon në një grup privat Kubernetes, i aksesueshëm vetëm nga ekipi i Firezone. Këtu është një shembull i një ngjarjeje telemetrie që dërgohet nga shembulli juaj i Firezone në serverin tonë të telemetrisë:
{
shko: “0182272d-0b88-0000-d419-7b9a413713f1”,
"vula kohore": “2022-07-22T18:30:39.748000+00:00”,
"ngjarja": "fz_http_started",
"id_distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"Vetitë":{
"$geoip_city_name": "Ashburn",
“$geoip_continent_code”: "NA",
“$geoip_continent_name”: "Amerika e Veriut",
“$geoip_country_code”: "SHBA",
"$geoip_country_name": "Shtetet e Bashkuara",
"$geoip_latitude": 39.0469,
"$geoip_longitude": -77.4903,
“$geoip_postal_code”: "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": “Virginia”,
"$geoip_time_zone": "Amerikë/Nju Jork",
"$ip": "52.200.241.107",
“$plugins_deferred”: [],
"$plugins_failed": [],
"$plugins_succeeded": [
"GeoIP (3)"
],
"id_distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"versioni_kernel": "linux 5.13.0",
"version": "0.4.6"
},
"Zinxhiri_elementeve": ""
}
SHËNIM
Ekipi i zhvillimit të Firezone mbështetet në analitikën e produkteve për ta bërë Firezone më të mirë për të gjithë. Lënia e aktivizuar e telemetrisë është kontributi i vetëm më i vlefshëm që mund të jepni në zhvillimin e Firezone. Thënë kështu, ne e kuptojmë se disa përdorues kanë kërkesa më të larta për privatësi ose siguri dhe do të preferonin ta çaktivizonin telemetrinë fare. Nëse jeni ju, vazhdoni të lexoni.
Telemetria është aktivizuar si parazgjedhje. Për të çaktivizuar plotësisht telemetrinë e produktit, vendosni opsionin e mëposhtëm të konfigurimit në false në /etc/firezone/firezone.rb dhe ekzekutoni rikonfigurimin sudo firezone-ctl për të marrë ndryshimet.
parazgjedhje['zona e zjarrit']['telemetri']['e aktivizuar'] = = i rremë
Kjo do të çaktivizojë plotësisht të gjithë telemetrinë e produktit.
Hailbytes
9511 Queens Guard Ct.
Dafina, MD 20723
Telefon: (732) 771 9995-
Email: info@hailbytes.com
