Enstriksyon etap pa etap pou deplwaye Hailbytes VPN ak Firezone GUI yo bay isit la.
Administre: Mete kanpe egzanp sèvè a gen rapò dirèkteman ak pati sa a.
Gid Itilizatè yo: Dokiman itil ki ka anseye w kijan pou w itilize Firezone epi rezoud pwoblèm tipik yo. Apre sèvè a te deplwaye avèk siksè, al gade nan seksyon sa a.
Split Tunneling: Sèvi ak VPN a pou voye trafik sèlman nan seri IP espesifik.
Lis blan: Mete adrès IP estatik yon sèvè VPN pou yo ka itilize lis blan.
Tinèl ranvèse: Kreye tinèl ant plizyè kanmarad lè l sèvi avèk tinèl ranvèse.
Nou kontan ede w si w bezwen èd pou enstale, pèsonalize oswa itilize Hailbytes VPN.
Anvan itilizatè yo ka pwodwi oswa telechaje dosye konfigirasyon aparèy, Firezone ka konfigirasyon pou mande otantifikasyon. Itilizatè yo ka bezwen tou detanzantan re-otantifye yo nan lòd yo kenbe koneksyon VPN yo aktif.
Malgre ke metòd login default Firezone a se imèl lokal ak modpas, li kapab tou entegre ak nenpòt founisè idantite ofisyèl OpenID Connect (OIDC). Itilizatè yo kapab kounye a konekte nan Firezone lè l sèvi avèk Okta, Google, Azure AD, oswa kalifikasyon founisè idantite prive yo.
Entegre Yon Founisè OIDC jenerik
Paramèt konfigirasyon Firezone bezwen pou pèmèt SSO lè l sèvi avèk yon founisè OIDC yo montre nan egzanp ki anba a. Nan /etc/firezone/firezone.rb, ou ka jwenn dosye konfigirasyon an. Kouri firezone-ctl reconfigure ak firezone-ctl rekòmanse pou mete ajou aplikasyon an epi pran efè chanjman yo.
# Sa a se yon egzanp lè l sèvi avèk Google ak Okta kòm yon founisè idantite SSO.
# Plizyè konfigirasyon OIDC ka ajoute nan menm egzanp Firezone la.
# Firezone ka enfim VPN yon itilizatè a si gen nenpòt erè detekte ap eseye
# pou rafrechi access_token yo. Sa a se verifye pou travay pou Google, Okta, ak
# Azure SSO epi yo itilize otomatikman dekonekte VPN yon itilizatè a si yo retire yo
# nan men founisè OIDC la. Kite sa a enfim si founisè OIDC ou a
# gen pwoblèm pou rafrechi marqueur aksè paske li ka entèwonp san atann a
# sesyon VPN itilizatè a.
default ['firezone']['otantifikasyon']['disable_vpn_on_oidc_error'] = fo
default ['firezone']['otantifikasyon']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "kòd",
dimansyon: "Openid imel pwofil",
etikèt: "Google"
},
okta: {
discovery_document_uri: "https:// /.well-known/openid-configuration”,
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "kòd",
dimansyon: "Openid imel pwofil offline_access",
etikèt: "Okta"
}
}
Paramèt konfigirasyon sa yo obligatwa pou entegrasyon an:
Pou chak founisè OIDC yo kreye yon URL bèl ki koresponn pou redireksyon nan URL enskripsyon founisè konfigirasyon an. Pou egzanp OIDC konfigirasyon ki pi wo a, URL yo se:
Founisè nou gen dokiman pou:
Si founisè idantite w la gen yon konektè OIDC jenerik epi li pa nan lis pi wo a, tanpri ale nan dokiman yo pou jwenn enfòmasyon sou fason pou rekipere paramèt konfigirasyon ki nesesè yo.
Anviwònman an anba anviwònman/sekirite ka chanje pou mande pou re-otantifikasyon peryodik. Sa a ka itilize pou ranfòse egzijans pou itilizatè yo antre nan Firezone sou yon baz regilye yo nan lòd yo kontinye sesyon VPN yo.
Longè sesyon an ka configuré pou ant inèdtan ak katrevendis jou. Lè w mete sa a Pa janm, ou ka pèmèt sesyon VPN nenpòt ki lè. Sa a se estanda a.
Yon itilizatè dwe mete fen nan sesyon VPN yo epi konekte nan pòtal Firezone la pou re-otantifye yon sesyon VPN ekspire (URL espesifye pandan deplwaman).
Ou ka re-otantifye sesyon ou a lè w suiv enstriksyon egzak kliyan yo jwenn isit la.
Estati Koneksyon VPN
Kolòn tab Koneksyon VPN paj Itilizatè yo montre estati koneksyon itilizatè a. Sa yo se estati koneksyon yo:
ENABLED - Koneksyon an pèmèt.
DISABLED - Koneksyon an enfim pa yon administratè oswa yon echèk rafrechi OIDC.
EXPIRE – Koneksyon an enfim akòz ekspirasyon otantifikasyon oswa yon itilizatè pa te konekte pou premye fwa.
Atravè konektè jeneral OIDC a, Firezone pèmèt Single Sign-On (SSO) ak Google Workspace ak Cloud Identity. Gid sa a pral montre w kouman ou ka jwenn paramèt konfigirasyon ki nan lis anba a, ki nesesè pou entegrasyon an:
1. OAuth Config ekran
Si se premye fwa w ap kreye yon nouvo ID kliyan OAuth, y ap mande w pou w configured yon ekran konsantman.
* Chwazi Entèn pou kalite itilizatè. Sa asire ke sèlman kont ki fè pati itilizatè yo nan Google Workspace Organization ou a ka kreye konfigirasyon aparèy. PA chwazi Ekstèn sof si ou vle pèmèt nenpòt moun ki gen yon kont Google valab kreye konfigirasyon aparèy.
Sou ekran enfòmasyon sou aplikasyon an:
2. Kreye ID Kliyan OAuth
Seksyon sa a baze sou pwòp dokiman Google la mete kanpe OAuth 2.0.
Vizite Google Cloud Console Paj kalifikasyon paj, klike sou + Kreye kalifikasyon epi chwazi ID kliyan OAuth.
Sou ekran kreyasyon ID kliyan OAuth la:
Apre ou fin kreye ID kliyan OAuth, yo pral ba w yon ID Kliyan ak Sekrè Kliyan. Sa yo pral itilize ansanm ak URI redireksyon an nan pwochen etap la.
Edit /etc/firezone/firezone.rb pou enkli opsyon ki anba yo:
# Sèvi ak Google kòm founisè idantite SSO
default ['firezone']['otantifikasyon']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "kòd",
dimansyon: "Openid imel pwofil",
etikèt: "Google"
}
}
Kouri firezone-ctl reconfigure ak firezone-ctl rekòmanse pou mete ajou aplikasyon an. Ou ta dwe kounye a wè yon bouton Siyen nan ak Google nan URL Firezone rasin lan.
Firezone itilize konektè OIDC jenerik la pou fasilite Single Sign-On (SSO) ak Okta. Tutorial sa a pral montre w kouman ou ka jwenn paramèt konfigirasyon ki nan lis anba a, ki nesesè pou entegrasyon an:
Seksyon sa a nan gid la baze sou Dokimantasyon Okta.
Nan Admin Console, ale nan Aplikasyon > Aplikasyon epi klike sou Kreye Entegrasyon App. Mete metòd Enskripsyon an nan OICD – OpenID Connect ak Kalite aplikasyon nan aplikasyon Entènèt.
Konfigure paramèt sa yo:
Yon fwa yo sove paramèt yo, yo pral ba w yon ID Kliyan, Sekrè Kliyan, ak Domèn Okta. Yo pral itilize 3 valè sa yo nan Etap 2 pou konfigirasyon Firezone.
Edit /etc/firezone/firezone.rb pou enkli opsyon ki anba yo. Ou dekouvèt_document_url ap /.well-known/openid-configuration te ajoute nan fen ou okta_domain.
# Sèvi ak Okta kòm founisè idantite SSO
default ['firezone']['otantifikasyon']['oidc'] = {
okta: {
discovery_document_uri: "https:// /.well-known/openid-configuration”,
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "kòd",
dimansyon: "Openid imel pwofil offline_access",
etikèt: "Okta"
}
}
Kouri firezone-ctl reconfigure ak firezone-ctl rekòmanse pou mete ajou aplikasyon an. Ou ta dwe kounye a wè yon bouton Siyen an ak Okta nan URL Firezone rasin lan.
Itilizatè yo ki ka jwenn aksè nan aplikasyon Firezone a ka limite pa Okta. Ale nan paj devwa Entegrasyon App Firezone Okta Admin Console ou a pou akonpli sa.
Atravè konektè OIDC jenerik la, Firezone pèmèt Single Sign-On (SSO) ak Azure Active Directory. Manyèl sa a pral montre w kouman pou w jwenn paramèt konfigirasyon ki nan lis anba a, ki nesesè pou entegrasyon an:
Gid sa a soti nan Azure Active Directory Docs.
Ale nan paj Azure Active Directory pòtal Azure la. Chwazi opsyon Jere meni an, chwazi Nouvo Enskripsyon, epi enskri nan bay enfòmasyon ki anba a:
Apre enskripsyon an, louvri gade detay aplikasyon an epi kopye ID aplikasyon (kliyan).. Sa a pral valè client_id la. Apre sa, louvri meni pwen final yo pou rekipere la Dokiman metadata OpenID Connect. Sa a pral valè discovery_document_uri.
Kreye yon nouvo sekrè kliyan lè w klike sou opsyon Sètifika ak sekrè ki anba meni Jere. Kopi sekrè kliyan an; valè sekrè kliyan an pral sa a.
Anfen, chwazi lyen otorizasyon API ki anba meni Jere, klike sou Ajoute yon pèmisyon, epi chwazi Microsoft graf, ajoute imel, OpenID, offline_access ak pwofil nan otorizasyon ki nesesè yo.
Edit /etc/firezone/firezone.rb pou enkli opsyon ki anba yo:
# Sèvi ak Azure Active Directory kòm founisè idantite SSO
default ['firezone']['otantifikasyon']['oidc'] = {
azur: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
response_type: "kòd",
dimansyon: "Openid imel pwofil offline_access",
etikèt: "Azure"
}
}
Kouri firezone-ctl reconfigure ak firezone-ctl rekòmanse pou mete ajou aplikasyon an. Ou ta dwe kounye a wè yon bouton Siyen an ak Azure nan URL Firezone rasin lan.
Azure AD pèmèt administratè yo limite aksè aplikasyon an nan yon gwoup espesifik itilizatè andedan konpayi ou. Ou ka jwenn plis enfòmasyon sou fason pou w fè sa nan dokiman Microsoft la.
Firezone itilize Chef Omnibus pou jere travay ki gen ladan anbalaj lage, sipèvizyon pwosesis, jesyon boutèy demi lit, ak plis ankò.
Kòd Ruby fòme dosye konfigirasyon prensipal la, ki sitiye nan /etc/firezone/firezone.rb. Rekòmanse sudo firezone-ctl reconfigure apre yo fin fè modifikasyon nan fichye sa a lakòz Chef rekonèt chanjman yo epi aplike yo nan sistèm opere aktyèl la.
Gade referans dosye konfigirasyon an pou yon lis konplè varyab konfigirasyon ak deskripsyon yo.
Enstans Firezone ou a ka jere atravè firezone-ctl kòmandman, jan yo montre anba a. Pifò kòmandman mande pou prefiks ak sudo.
root@demo:~# firezone-ctl
omnibus-ctl: kòmand (soukòmand)
Kòmandman Jeneral:
Geri
Efase *tout* done firezone, epi kòmanse nan grafouyen.
kreye-oswa-reset-admin
Reyajiste modpas la pou admin la ak imel espesifye pa default ['firezone']['admin_email'] oswa kreye yon nouvo admin si imel sa a pa egziste.
ede
Enprime mesaj èd sa a.
rekonfigire
Rekonfigirasyon aplikasyon an.
reset-rezo
Reyajiste nftables, koòdone WireGuard, ak tab routage tounen nan default Firezone.
montre-konfig
Montre konfigirasyon an ki ta dwe pwodwi pa reconfigure.
teardown-rezo
Retire koòdone WireGuard ak tab firezone nftables.
fòs-cert-renouvèlman
Fòse renouvèlman sètifika kounye a menm si li pa ekspire.
stop-cert-renewal
Retire cronjob ki renouvle sètifika yo.
désinstaller
Touye tout pwosesis ak désinstaller sipèvizè pwosesis la (done yo pral konsève).
vèsyon
Montre aktyèl vèsyon Firezone
Kòmandman Jesyon Sèvis:
grasyeuz-touye
Eseye yon arè grasyeuz, Lè sa a, SIGKILL tout gwoup pwosesis la.
hup
Voye sèvis yo yon HUP.
int
Voye sèvis yo yon INT.
touye
Voye sèvis yo yon KILL.
yon fwa
Kòmanse sèvis yo si yo desann. Pa rekòmanse yo si yo sispann.
rekòmanse
Sispann sèvis yo si yo ap kouri, epi rekòmanse yo ankò.
sèvis-lis
Lis tout sèvis yo (sèvis ki pèmèt yo parèt ak yon *.)
Kòmanse
Kòmanse sèvis yo si yo tonbe, epi rekòmanse yo si yo sispann.
sitiyasyon
Montre estati tout sèvis yo.
sispann
Sispann sèvis yo, epi pa rekòmanse yo.
ke
Gade jounal sèvis tout sèvis ki pèmèt yo.
tèm
Voye sèvis yo yon TERM.
usr1
Voye sèvis yo yon USR1.
usr2
Voye sèvis yo yon USR2.
Tout sesyon VPN yo dwe sispann anvan amelyore Firezone, ki mande tou pou fèmen UI Web la. Nan ka yon bagay ale mal pandan amelyorasyon an, nou konseye mete sou kote yon èdtan pou antretyen.
Pou amelyore Firezone, pran aksyon sa yo:
Si nenpòt pwoblèm rive, tanpri fè nou konnen pa soumèt yon tikè sipò.
Gen kèk chanjman kraze ak modifikasyon konfigirasyon nan 0.5.0 ki dwe adrese. Jwenn plis enfòmasyon anba a.
Nginx pa sipòte fòs SSL ak paramèt pò ki pa SSL apati vèsyon 0.5.0. Paske Firezone bezwen SSL pou travay, nou konseye retire pakèt sèvis Nginx la lè nou mete default ['firezone']['nginx']['enabled'] = fo epi dirije proxy ranvèse ou a nan aplikasyon Phoenix sou pò 13000 pito (pa default. ).
0.5.0 entwodui sipò pwotokòl ACME pou renouvle otomatikman sètifika SSL ak sèvis Nginx fourni. Pou pèmèt,
Posiblite pou ajoute règ ak destinasyon kopi ale nan Firezone 0.5.0. Script migrasyon nou an pral otomatikman rekonèt sitiyasyon sa yo pandan yon ajou nan 0.5.0 epi sèlman kenbe règ yo ki destinasyon gen ladan lòt règ la. Pa gen anyen ou bezwen fè si sa a oke.
Sinon, anvan amelyore, nou konseye chanje règ ou a pou debarase m de sitiyasyon sa yo.
Firezone 0.5.0 retire sipò pou konfigirasyon ansyen Okta ak Google SSO an favè nouvo konfigirasyon ki baze sou OIDC ki pi fleksib.
Si w gen nenpòt konfigirasyon anba kle default ['firezone']['authentication']['okta'] oswa default['firezone']['authentication']['google'] kle, ou bezwen imigre sa yo nan OIDC nou an. -konfigirasyon ki baze sou lè l sèvi avèk gid ki anba a.
Konfigirasyon Google OAuth ki egziste deja
Retire liy sa yo ki genyen ansyen konfigirasyon Google OAuth yo nan fichye konfigirasyon ou ki sitiye nan /etc/firezone/firezone.rb
default ['firezone']['otantifikasyon']['google']['enabled']
default ['firezone']['otantifikasyon']['google']['client_id']
default ['firezone']['otantifikasyon']['google']['client_secret']
default ['firezone']['otantifikasyon']['google']['redirect_uri']
Lè sa a, konfigirasyon Google kòm yon founisè OIDC pa swiv pwosedi yo isit la.
(Bay enstriksyon lyen)<<<<<<<<<<<<<<<<
Konfigirasyon Google OAuth ki egziste deja
Retire liy sa yo ki genyen ansyen konfigirasyon Okta OAuth yo nan fichye konfigirasyon ou ki sitiye nan /etc/firezone/firezone.rb
default ['firezone']['otantifikasyon']['okta']['enabled']
default ['firezone']['otantifikasyon']['okta']['client_id']
default ['firezone']['otantifikasyon']['okta']['client_secret']
Default ['firezone']['otantifikasyon']['okta']['sit']
Lè sa a, konfigirasyon Okta kòm yon founisè OIDC pa swiv pwosedi yo isit la.
Tou depan de konfigirasyon aktyèl ou ak vèsyon, konfòme yo ak enstriksyon ki anba yo:
Si ou deja gen yon entegrasyon OIDC:
Pou kèk founisè OIDC, amelyore nan >= 0.3.16 mande pou jwenn yon siy rafrechi pou dimansyon aksè offline. Lè w fè sa, li asire w ke Firezone mete ajou ak founisè idantite a epi li fèmen koneksyon VPN apre yo fin efase yon itilizatè. Iterasyon pi bonè Firezone yo te manke karakteristik sa a. Nan kèk ka, itilizatè yo efase nan founisè idantite w la ka toujou konekte ak yon VPN.
Li nesesè pou mete aksè offline nan paramèt dimansyon nan konfigirasyon OIDC ou a pou founisè OIDC ki sipòte sijè ki abòde aksè a offline. Firezone-ctl rekonfigire dwe egzekite pou aplike chanjman nan fichye konfigirasyon Firezone, ki sitiye nan /etc/firezone/firezone.rb.
Pou itilizatè ki te otantifye pa founisè OIDC ou a, w ap wè tit Koneksyon OIDC nan paj detay itilizatè a nan UI entènèt la si Firezone kapab rekipere siy rafrechisman an avèk siksè.
Si sa pa mache, w ap bezwen efase aplikasyon OAuth ou a epi repete etap konfigirasyon OIDC yo pou kreye yon nouvo entegrasyon app .
Mwen gen yon entegrasyon OAuth ki egziste deja
Anvan 0.3.11, Firezone te itilize founisè OAuth2 ki te deja konfigirasyon yo.
Swiv enstriksyon yo isit la pou emigre nan OIDC.
Mwen pa entegre yon founisè idantite
Pa gen aksyon ki nesesè.
Ou ka swiv enstriksyon yo isit la pou pèmèt SSO atravè yon founisè OIDC.
Nan plas li, default ['firezone']['external url'] te ranplase opsyon konfigirasyon default ['firezone']['fqdn'].
Mete sa a sou URL pòtal sou entènèt Firezone ou a ki aksesib pou piblik la an jeneral. Li pral default nan https:// plis FQDN nan sèvè ou a si li pa defini.
Fichye konfigirasyon an sitiye nan /etc/firezone/firezone.rb. Gade referans dosye konfigirasyon an pou yon lis konplè varyab konfigirasyon ak deskripsyon yo.
Firezone pa kenbe kle prive aparèy la ankò sou sèvè Firezone la apati vèsyon 0.3.0.
Firezone Web UI la p ap pèmèt ou re-telechaje oswa wè konfigirasyon sa yo, men nenpòt aparèy ki egziste deja ta dwe kontinye opere jan yo ye.
Si w ap amelyore soti nan Firezone 0.1.x, gen kèk chanjman nan fichye konfigirasyon ki dwe adrese manyèlman.
Pou fè modifikasyon ki nesesè yo nan dosye /etc/firezone/firezone.rb ou a, kouri kòmandman ki anba yo kòm rasin.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i "s/\['pèmèt'\]/\['pèmèt'\]/" /etc/firezone/firezone.rb
eko "default ['firezone']['connectivity_checks']['enabled'] = vre" >> /etc/firezone/firezone.rb
eko "default ['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
firezone-ctl reconfigure
firezone-ctl rekòmanse
Tcheke mòso bwa Firezone yo se yon premye etap ki gen bon konprann pou nenpòt pwoblèm ki ka rive.
Kouri sudo firezone-ctl ke pou wè mòso bwa Firezone yo.
Majorite pwoblèm koneksyon ak Firezone se pa règ iptables oswa nftables enkonpatib. Ou dwe asire w ke nenpòt règ ou genyen an vigè pa konfli ak règ Firezone yo.
Asire w ke chèn FORWARD la pèmèt pakè soti nan kliyan WireGuard ou yo nan kote ou vle kite Firezone yo si koneksyon Entènèt ou a deteryore chak fwa ou aktive tinèl WireGuard ou a.
Sa a ka reyalize si w ap itilize ufw lè w asire w ke politik routage default la pèmèt:
ubuntu@fz:~$ sudo ufw default pèmèt routed
Règleman par défaut chanje an 'pèmèt'
(asire w ke ou mete ajou règ ou kòmsadwa)
A wow sitiyasyon pou yon sèvè Firezone tipik ta ka sanble sa a:
ubuntu@fz:~$ sudo ufw status verbose
Estati: aktif
Anrejistre: sou (ba)
Default: refize (ap fèk ap rantre), pèmèt (sòtan), pèmèt (route)
Nouvo pwofil: sote
Pou Aksyon Soti nan
— —— —-
22/tcp PÈMET NAN Nenpòt kote
80/tcp PÈMET NAN Nenpòt kote
443/tcp PÈMET NAN Nenpòt kote
51820/udp PÈMÈ NAN Nenpòt kote
22/tcp (v6) PÈMÈ nan nenpòt kote (v6)
80/tcp (v6) PÈMÈ nan nenpòt kote (v6)
443/tcp (v6) PÈMÈ nan nenpòt kote (v6)
51820/udp (v6) PÈMÈ nan nenpòt kote (v6)
Nou konseye limite aksè nan koòdone entènèt la pou deplwaman pwodiksyon trè sansib ak misyon kritik, jan sa eksplike pi ba a.
Lapòs | Default Port | Koute Adrès | Deskripsyon |
Nginx | 80, 443 | tout | Pò HTTP(S) piblik pou administre Firezone ak fasilite otantifikasyon. |
gad fil | 51820 | tout | Pò WireGuard piblik yo itilize pou sesyon VPN yo. (UDP) |
postgresql | 15432 | 127.0.0.1 | Pò lokal sèlman yo itilize pou sèvè Postgresql fourni. |
Phoenix | 13000 | 127.0.0.1 | Pò lokal sèlman itilize pa sèvè aplikasyon eliksir en. |
Nou konseye w reflechi sou restriksyon aksè nan UI entènèt ki ekspoze piblikman Firezone (pa default pò 443/tcp ak 80/tcp) epi olye pou w sèvi ak tinèl WireGuard la pou jere Firezone pou pwodiksyon ak deplwaman piblik kote yon sèl administratè pral responsab. nan kreye ak distribye konfigirasyon aparèy nan itilizatè final yo.
Pou egzanp, si yon administratè te kreye yon konfigirasyon aparèy epi li te kreye yon tinèl ak adrès WireGuard lokal 10.3.2.2, konfigirasyon ufw sa a ta pèmèt administratè a jwenn aksè nan Firezone entènèt UI sou koòdone wg-firezone sèvè a lè l sèvi avèk default 10.3.2.1. adrès tinèl:
root@demo:~# ufw status verbose
Estati: aktif
Anrejistre: sou (ba)
Default: refize (ap fèk ap rantre), pèmèt (sòtan), pèmèt (route)
Nouvo pwofil: sote
Pou Aksyon Soti nan
— —— —-
22/tcp PÈMET NAN Nenpòt kote
51820/udp PÈMÈ NAN Nenpòt kote
Nenpòt kote ki pèmèt nan 10.3.2.2
22/tcp (v6) PÈMÈ nan nenpòt kote (v6)
51820/udp (v6) PÈMÈ nan nenpòt kote (v6)
Sa a ta kite sèlman 22/tcp ekspoze pou aksè SSH pou jere sèvè a (si ou vle), epi 51820/udp ekspoze yo nan lòd yo etabli tinèl WireGuard.
Firezone pakèt yon sèvè Postgresql ak matche psql sèvis piblik ki ka itilize nan koki lokal la tankou sa a:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "SQL_STATEMENT"
Sa a ka itil pou rezon debogaj.
Travay komen:
Lis tout itilizatè yo:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "Chwazi * soti nan itilizatè yo;"
Lis tout aparèy:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "Chwazi * soti nan aparèy;"
Chanje yon wòl itilizatè:
Mete wòl nan 'admin' oswa 'san privilejye':
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “MIZAJOU itilizatè yo mete wòl = 'admin' WHERE imel = '[imèl pwoteje]';"
Fè bak baz done a:
Anplis de sa, enkli pwogram pil fatra pg la, ki ka itilize pou pran sovgad regilye nan baz done a. Egzekite kòd sa a pou jete yon kopi baz done a nan fòma rechèch SQL komen (ranplase /path/to/backup.sql ak kote yo ta dwe kreye dosye SQL la):
/opt/firezone/embedded/bin/pg_dump \
-U firezone \
-d firezone \
-h localhost \
-p 15432 > /path/to/backup.sql
Apre Firezone te deplwaye avèk siksè, ou dwe ajoute itilizatè yo pou ba yo aksè nan rezo ou a. Yo itilize UI Web pou fè sa.
Lè w chwazi bouton "Ajoute Itilizatè" anba /users, ou ka ajoute yon itilizatè. Ou pral oblije bay itilizatè a yon adrès imel ak yon modpas. Pou pèmèt aksè a itilizatè yo nan òganizasyon w otomatikman, Firezone kapab tou koòdone ak senkronize ak yon founisè idantite. Plis detay yo disponib nan Otantifye. < Ajoute yon lyen pou Authenticate
Nou konseye pou mande itilizatè yo kreye pwòp konfigirasyon aparèy yo pou kle prive a vizib sèlman pou yo. Itilizatè yo ka jenere konfigirasyon pwòp aparèy yo lè yo swiv enstriksyon yo sou la Enstriksyon Kliyan yo paj.
Tout konfigirasyon aparèy itilizatè yo ka kreye pa admin Firezone. Nan paj pwofil itilizatè a ki sitiye nan / itilizatè yo, chwazi opsyon "Ajoute Aparèy" pou akonpli sa.
[Antre yon ekran]
Ou ka imèl itilizatè a fichye konfigirasyon WireGuard apre ou fin kreye pwofil aparèy la.
Itilizatè yo ak aparèy yo lye. Pou plis detay sou kijan pou ajoute yon itilizatè, gade Ajoute Itilizatè yo.
Atravè sistèm netfilter nwayo a, Firezone pèmèt kapasite filtraj sòti pou presize pake DROP oswa ACCEPT. Tout trafik nòmalman pèmèt.
IPv4 ak IPv6 CIDR ak adrès IP yo sipòte atravè Allowlist la ak Denylist, respektivman. Ou ka chwazi pou aplike yon règ nan yon itilizatè lè w ajoute li, ki aplike règ la nan tout aparèy itilizatè sa a.
Enstale ak configured
Pou etabli yon koneksyon VPN lè l sèvi avèk kliyan natif natal WireGuard, al gade nan gid sa a.
Kliyan ofisyèl WireGuard ki sitiye isit la se konpatib Firezone:
Vizite sit entènèt ofisyèl WireGuard la nan https://www.wireguard.com/install/ pou sistèm OS ki pa mansyone pi wo a.
Swa administratè Firezone ou oswa tèt ou ka jenere fichye konfigirasyon aparèy la lè l sèvi avèk pòtal Firezone la.
Vizite adrès URL administratè Firezone ou a bay pou l kreye yon dosye konfigirasyon aparèy. Konpayi ou a pral gen yon URL inik pou sa; nan ka sa a, li se https://instance-id.yourfirezone.com.
Konekte nan Firezone Okta SSO
[Mete Ekran]
Enpòte fichye a.conf nan kliyan WireGuard la lè w louvri li. Lè w baskile switch Aktive a, ou ka kòmanse yon sesyon VPN.
[Mete Ekran]
Swiv enstriksyon ki anba yo si administratè rezo w la te mande otantifikasyon renouvlab pou kenbe koneksyon VPN ou a aktif.
Ou bezwen:
URL Portal Firezone a: Mande administratè rezo w la pou koneksyon an.
Administratè rezo ou a ta dwe kapab ofri login ou ak modpas ou. Sit Firezone a pral mande w pou w konekte ak yon sèl sèvis enskripsyon anplwayè w la itilize (tankou Google oswa Okta).
[Mete Ekran]
Ale nan URL Portal Firezone a epi konekte ak kalifikasyon administratè rezo w la bay yo. Si w deja konekte, klike sou bouton Reauthenticate la anvan w konekte ankò.
[Mete Ekran]
[Mete Ekran]
Pou enpòte pwofil konfigirasyon WireGuard la lè l sèvi avèk Network Manager CLI sou aparèy Linux, swiv enstriksyon sa yo (nmcli).
Si pwofil la gen sipò IPv6 pèmèt, eseye enpòte fichye konfigirasyon an lè l sèvi avèk Network Manager GUI ka echwe ak erè sa a:
ipv6.method: metòd "oto" pa sipòte pou WireGuard
Li nesesè pou enstale sèvis piblik WireGuard userspace yo. Sa a pral yon pake ki rele wireguard oswa wireguard-tools pou distribisyon Linux.
Pou Ubuntu/Debian:
sudo apt enstale wireguard
Pou itilize Fedora:
sudo dnf enstale wireguard-tools
Arch Linux:
sudo pacman -S wireguard-tools
Vizite sit entènèt ofisyèl WireGuard la nan https://www.wireguard.com/install/ pou distribisyon ki pa mansyone pi wo a.
Swa administratè Firezone ou oswa jenerasyon pwòp tèt ou ka jenere fichye konfigirasyon aparèy la lè l sèvi avèk pòtal Firezone la.
Vizite adrès URL administratè Firezone ou a bay pou l kreye yon dosye konfigirasyon aparèy. Konpayi ou a pral gen yon URL inik pou sa; nan ka sa a, li se https://instance-id.yourfirezone.com.
[Mete Ekran]
Enpòte fichye konfigirasyon apwovizyone a lè l sèvi avèk nmcli:
sudo nmcli koneksyon enpòte kalite wireguard fichye /path/to/configuration.conf
Non fichye konfigirasyon an pral koresponn ak koneksyon/koòdone WireGuard la. Apre enpòte, koneksyon an ka chanje non si sa nesesè:
nmcli koneksyon modifye [ansyen non] connection.id [nouvo non]
Atravè liy lòd la, konekte ak VPN a jan sa a:
koneksyon nmcli moute [non vpn]
Dekonekte:
koneksyon nmcli desann [non vpn]
Yo ka itilize applet Manadjè Rezo ki aplikab la tou pou jere koneksyon an si w ap itilize yon entèfas.
Lè w chwazi "wi" pou opsyon otokonekte a, yo ka konfigirasyon koneksyon VPN la pou konekte otomatikman:
koneksyon nmcli modifye [non vpn] koneksyon. <<<<<<<<<<<<<<<<<<<<<<
otokonekte wi
Pou enfim koneksyon otomatik la, mete l 'tounen nan non:
koneksyon nmcli modifye [non vpn] koneksyon.
otokonekte non
Pou aktive MFA Ale nan /kont itilizatè/anrejistre paj mfa Portal Firezone a. Sèvi ak aplikasyon otantifikasyon ou a pou eskane kòd QR la apre li fin pwodwi, epi antre kòd sis chif la.
Kontakte Admin ou a pou reset enfòmasyon aksè kont ou a si ou pèdi aplikasyon otantifikatè w la.
Tutorial sa a pral fè ou nan pwosesis la nan mete kanpe karakteristik tinèl divize WireGuard a ak Firezone pou ke se sèlman trafik nan chenn IP espesifik yo voye atravè sèvè VPN la.
Plas IP pou kliyan an pral wout trafik rezo yo tabli nan jaden IP ki pèmèt yo ki sitiye nan /settings/default paj la. Se sèlman konfigirasyon tinèl WireGuard ki fèk kreye pa Firezone ki pral afekte pa chanjman nan jaden sa a.
[Mete Ekran]
Valè default la se 0.0.0.0/0, ::/0, ki wout tout trafik rezo soti nan kliyan an nan sèvè VPN la.
Men kèk egzanp valè nan jaden sa a:
0.0.0.0/0, ::/0 – tout trafik rezo a pral dirije sou sèvè VPN a.
192.0.2.3/32 - sèlman trafik nan yon sèl adrès IP pral dirije nan sèvè VPN la.
3.5.140.0/22 - sèlman trafik nan IP nan seri a 3.5.140.1 - 3.5.143.254 pral dirije nan sèvè VPN la. Nan egzanp sa a, yo te itilize seri CIDR pou rejyon AWS ap-northeast-2.
Firezone chwazi koòdone sòti ki asosye ak wout ki pi egzak la an premye lè w ap detèmine kote pou w dirije yon pake.
Itilizatè yo dwe rejenere fichye konfigirasyon yo epi ajoute yo nan kliyan WireGuard natif natal yo pou yo mete ajou aparèy itilizatè ki egziste deja yo ak nouvo konfigirasyon tinèl fann yo.
Pou enstriksyon, gade ajoute aparèy. <<<<<<<<<<< Ajoute lyen
Manyèl sa a pral montre kijan pou konekte de aparèy lè l sèvi avèk Firezone kòm yon relè. Yon ka itilize tipik se pèmèt yon administratè jwenn aksè nan yon sèvè, veso, oswa machin ki pwoteje pa yon NAT oswa firewall.
Ilistrasyon sa a montre yon senaryo senp kote Aparèy A ak B konstwi yon tinèl.
[Mete foto achitekti firezone]
Kòmanse pa kreye Aparèy A ak Aparèy B nan navige nan /users/[user_id]/new_device. Nan paramèt yo pou chak aparèy, asire paramèt sa yo mete nan valè ki nan lis anba a. Ou ka mete paramèt aparèy lè w ap kreye konfigirasyon aparèy la (gade Ajoute Aparèy). Si ou bezwen mete ajou paramèt yo sou yon aparèy ki egziste deja, ou ka fè sa lè w jenere yon nouvo konfigirasyon aparèy.
Remake byen ke tout aparèy yo gen yon paj /settings/defaults kote PersistentKeepalive ka konfigirasyon.
AllowedIPs = 10.3.2.2/32
Sa a se IP oswa seri IP nan Aparèy B
PersistentKeepalive = 25
Si aparèy la dèyè yon NAT, sa asire ke aparèy la kapab kenbe tinèl la vivan epi kontinye resevwa pakè nan koòdone WireGuard la. Anjeneral yon valè 25 ase, men ou ka bezwen diminye valè sa a selon anviwònman ou.
AllowedIPs = 10.3.2.3/32
Sa a se IP oswa seri IP nan Aparèy A
PersistentKeepalive = 25
Egzanp sa a montre yon sitiyasyon kote Aparèy A ka kominike ak Aparèy B jiska D nan toude direksyon. Konfigirasyon sa a ka reprezante yon enjenyè oswa yon administratè ki gen aksè a plizyè resous (sèvè, resipyan, oswa machin) atravè divès rezo.
[Dyagram achitekti]<<<<<<<<<<<<<<<<<<<<<<<
Asire w ke paramèt sa yo fèt nan paramèt chak aparèy nan valè korespondan yo. Lè w ap kreye konfigirasyon aparèy la, ou ka presize paramèt aparèy (gade Ajoute Aparèy). Yon nouvo konfigirasyon aparèy ka kreye si paramèt sou yon aparèy ki egziste deja bezwen mete ajou.
AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Sa a se IP aparèy B jiska D. IP aparèy B jiska D dwe enkli nan nenpòt seri IP ou chwazi pou mete.
PersistentKeepalive = 25
Sa a garanti ke aparèy la ka kenbe tinèl la epi kontinye resevwa pakè nan koòdone WireGuard la menm si li pwoteje pa yon NAT. Nan pifò ka yo, yon valè de 25 adekwat, sepandan selon anviwònman ou, ou ta ka bezwen bese figi sa a.
Pou ofri yon sèl IP sòti estatik pou tout trafik ekip ou a soti nan, Firezone ka itilize kòm yon pòtay NAT. Sitiyasyon sa yo enplike itilizasyon souvan li yo:
Angajman Konsiltasyon: Mande pou kliyan ou an lis yon sèl adrès IP estatik olye ke IP aparèy inik chak anplwaye.
Sèvi ak yon prokurasyon oswa maske IP sous ou pou rezon sekirite oswa vi prive.
Nan pòs sa a pral montre yon senp egzanp limite aksè a yon aplikasyon entènèt pwòp tèt ou akomode nan yon sèl IP estatik ki nan lis blan ki ap kouri Firezone. Nan ilistrasyon sa a, Firezone ak resous ki pwoteje yo nan diferan zòn VPC.
Solisyon sa a se souvan itilize nan plas jere yon lis blan IP pou itilizatè fen anpil, ki ka pran tan kòm lis aksè a elaji.
Objektif nou se mete yon sèvè Firezone sou yon egzanp EC2 pou redireksyon trafik VPN nan resous ki genyen restriksyon an. Nan ka sa a, Firezone ap sèvi kòm yon proxy rezo oswa pòtay NAT pou bay chak aparèy ki konekte yon IP sòti piblik inik.
Nan ka sa a, yon egzanp EC2 ki rele tc2.micro gen yon egzanp Firezone enstale sou li. Pou jwenn enfòmasyon sou deplwaye Firezone, ale nan Gid Deplwaman an. An relasyon ak AWS, asire w ke:
Gwoup sekirite egzanp Firezone EC2 a pèmèt trafik soti nan adrès IP resous ki pwoteje a.
Enstans Firezone a vini ak yon IP elastik. Trafik ki voye atravè egzanp Firezone a nan destinasyon deyò pral gen sa a kòm adrès IP sous li yo. Adrès IP nan kesyon an se 52.202.88.54.
[Mete Ekran]<<<<<<<<<<<<<<<<<<<<<<<<
Yon aplikasyon entènèt oto-hébergé sèvi kòm resous ki pwoteje nan ka sa a. Ou ka jwenn aksè nan aplikasyon entènèt la sèlman lè demann ki soti nan adrès IP 52.202.88.54. Tou depan de resous la, li ka nesesè pou pèmèt trafik entrant sou divès pò ak kalite trafik. Sa a pa kouvri nan manyèl sa a.
[Antre yon ekran]<<<<<<<<<<<<<<<<<<<<<<<<
Tanpri di twazyèm pati ki an chaj resous ki pwoteje a ke trafik soti nan IP estatik defini nan Etap 1 dwe pèmèt (nan ka sa a 52.202.88.54).
Pa default, tout trafik itilizatè yo pral pase nan sèvè VPN a epi yo soti nan IP estatik ki te konfigirasyon nan Etap 1 (nan ka sa a 52.202.88.54). Sepandan, si fann tinèl yo te pèmèt, paramèt yo ta ka nesesè pou asire IP destinasyon resous ki pwoteje yo ki nan lis pami IP ki pèmèt yo.
Yo montre anba a yon lis konplè opsyon konfigirasyon ki disponib nan /etc/firezone/firezone.rb.
opsyon | deskripsyon | valè default |
default ['firezone']['external_url'] | URL yo itilize pou jwenn aksè nan pòtal entènèt egzanp Firezone sa a. | "https://#{node['fqdn'] || ne ['hostname']}” |
default ['firezone']['config_directory'] | Anyè nivo siperyè pou konfigirasyon Firezone. | /etc/firezone' |
default ['firezone']['install_directory'] | Anyè nivo siperyè pou enstale Firezone. | /opt/firezone' |
default ['firezone']['app_directory'] | Anyè nivo siperyè pou enstale aplikasyon entènèt Firezone. | "#{node['firezone']['install_directory']}/embedded/service/firezone” |
default ['firezone']['log_directory'] | Anyè siperyè pou mòso bwa Firezone. | /var/log/firezone' |
default ['firezone']['var_directory'] | Anyè nivo siperyè pou dosye Firezone ègzekutabl. | /var/opt/firezone' |
default ['firezone']['itilizatè'] | Non itilizatè Linux ki pa gen privilèj pifò sèvis ak dosye yo pral fè pati. | firezone' |
default ['firezone']['gwoup'] | Non gwoup Linux pifò sèvis ak dosye yo pral fè pati. | firezone' |
default ['firezone']['admin_email'] | Adrès imèl pou premye itilizatè Firezone. | "firezone@localhost" |
default ['firezone']['max_devices_per_user'] | Maksimòm kantite aparèy yon itilizatè ka genyen. | 10 |
default ['firezone']['allow_unprivileged_device_management'] | Pèmèt itilizatè ki pa admin yo kreye ak efase aparèy. | VERITE |
default ['firezone']['allow_unprivileged_device_configuration'] | Pèmèt itilizatè ki pa admin modifye konfigirasyon aparèy yo. Lè enfim, anpeche itilizatè ki pa gen privilèj chanje tout jaden aparèy eksepte non ak deskripsyon. | VERITE |
default ['firezone']['egress_interface'] | Non koòdone kote trafik tinèl pral sòti. Si nil, yo pral itilize koòdone wout default la. | nil |
default ['firezone']['fips_enabled'] | Aktive oswa enfim mòd OpenSSL FIPs. | nil |
default ['firezone']['logging']['enabled'] | Pèmèt oswa enfim antre nan Firezone. Mete sou fo pou enfim totalman antre. | VERITE |
default ['antrepriz']['non'] | Non liv kwit manje Chef 'antrepriz' la itilize. | firezone' |
default ['firezone']['install_path'] | Enstale chemen ki itilize pa Chef 'antrepriz' liv kwit manje. Yo ta dwe mete nan menm jan ak install_directory ki pi wo a. | node ['firezone']['install_directory'] |
default ['firezone']['sysvinit_id'] | Yon idantifyan yo itilize nan /etc/inittab. Dwe gen yon sekans inik nan 1-4 karaktè. | SUP' |
default ['firezone']['otantifikasyon']['lokal']['enabled'] | Pèmèt oswa enfim otantifikasyon lokal imel/modpas. | VERITE |
default ['firezone']['otantifikasyon']['auto_create_oidc_users'] | Otomatikman kreye itilizatè ki konekte nan OIDC pou premye fwa. Enfim pou pèmèt sèlman itilizatè ki egziste deja yo konekte atravè OIDC. | VERITE |
default ['firezone']['otantifikasyon']['disable_vpn_on_oidc_error'] | Enfim VPN yon itilizatè si yon erè detekte ap eseye rafrechi siy OIDC yo. | FO |
default ['firezone']['otantifikasyon']['oidc'] | OpenID Connect konfigirasyon, nan fòma {“provider” => [config…]} – Gade Dokiman OpenIDConnect pou egzanp konfigirasyon. | {} |
default ['firezone']['nginx']['enabled'] | Aktive oswa enfim sèvè nginx ki te pake a. | VERITE |
default ['firezone']['nginx']['ssl_port'] | HTTPS pò koute. | 443 |
default ['firezone']['nginx']['anyè'] | Anyè pou sere konfigirasyon lame vityèl nginx ki gen rapò ak Firezone. | "#{node['firezone']['var_directory']}/nginx/etc" |
default ['firezone']['nginx']['log_directory'] | Anyè pou estoke dosye nginx ki gen rapò ak Firezone. | "#{node['firezone']['log_directory']}/nginx" |
default ['firezone']['nginx']['log_rotation']['file_maxbytes'] | Gwosè dosye nan ki wotasyon dosye log Nginx. | 104857600 |
default ['firezone']['nginx']['log_rotation']['num_to_keep'] | Kantite dosye Firezone nginx pou kenbe anvan ou jete. | 10 |
default ['firezone']['nginx']['log_x_forwarded_for'] | Kit pou konekte Firezone nginx x-forwarded-for header. | VERITE |
default ['firezone']['nginx']['hsts_header']['enabled'] | VERITE | |
default ['firezone']['nginx']['hsts_header']['include_subdomains'] | Aktive oswa enfim includeSubDomains pou header HSTS la. | VERITE |
default ['firezone']['nginx']['hsts_header']['max_age'] | Laj maksimòm pou header HSTS la. | 31536000 |
default ['firezone']['nginx']['redirect_to_canonical'] | Kit pou redireksyon URL yo nan FQDN kanonik ki espesifye pi wo a | FO |
default ['firezone']['nginx']['cache']['enabled'] | Aktive oswa enfim Firezone nginx kachèt la. | FO |
default ['firezone']['nginx']['cache']['anyè'] | Anyè pou Firezone nginx kachèt. | "#{node['firezone']['var_directory']}/nginx/cache" |
default ['firezone']['nginx']['itilizatè'] | Firezone nginx itilizatè. | ne ['firezone']['itilizatè'] |
default ['firezone']['nginx']['group'] | Firezone nginx gwoup. | ne ['firezone']['gwoup'] |
default ['firezone']['nginx']['dir'] | Anyè konfigirasyon nginx siperyè. | node ['firezone']['nginx']['anyè'] |
default ['firezone']['nginx']['log_dir'] | Anyè log nginx siperyè. | node ['firezone']['nginx']['log_directory'] |
default ['firezone']['nginx']['pid'] | Kote pou dosye nginx pid. | "#{node['firezone']['nginx']['anyè']}/nginx.pid" |
default ['firezone']['nginx']['daemon_disable'] | Enfim mòd nginx demon pou nou ka kontwole li pito. | VERITE |
default ['firezone']['nginx']['gzip'] | Limen oswa etenn konpresyon nginx gzip. | sou ' |
default ['firezone']['nginx']['gzip_static'] | Limen oswa koupe konpresyon nginx gzip pou fichye estatik. | koupe' |
default ['firezone']['nginx']['gzip_http_version'] | Vèsyon HTTP pou itilize pou sèvi fichye estatik. | 1.0 ' |
default ['firezone']['nginx']['gzip_comp_level'] | nginx gzip nivo konpresyon. | 2 ' |
default ['firezone']['nginx']['gzip_proxied'] | Pèmèt oswa enfim gzipping repons pou demann proxy depann sou demann lan ak repons. | nenpòt' |
default ['firezone']['nginx']['gzip_vary'] | Pèmèt oswa enfim mete tèt repons "Vary: Aksepte-Kodaj". | koupe' |
default ['firezone']['nginx']['gzip_buffers'] | Mete kantite ak gwosè tanpon yo itilize pou konprese yon repons. Si nil, nginx default yo itilize. | nil |
default ['firezone']['nginx']['gzip_types'] | Kalite MIME pou pèmèt konpresyon gzip pou. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' tèks/javascript', 'aplikasyon/javascript', 'aplikasyon/json'] |
default ['firezone']['nginx']['gzip_min_length'] | Longè minimòm fichye pou pèmèt konpresyon gzip fichye a. | 1000 |
default ['firezone']['nginx']['gzip_disable'] | Itilizatè-ajan matcher pou enfim konpresyon gzip pou. | MSIE [1-6]\.' |
default ['firezone']['nginx']['keepalive'] | Aktive kachèt pou koneksyon ak sèvè en. | sou ' |
default ['firezone']['nginx']['keepalive_timeout'] | Timeout nan segonn pou koneksyon kenbe-alive nan sèvè en. | 65 |
default ['firezone']['nginx']['worker_processes'] | Kantite pwosesis travayè nginx. | ne['cpu'] && ne['cpu']['total'] ? ne['cpu']['total'] : 1 |
default ['firezone']['nginx']['worker_connections'] | Max kantite koneksyon similtane ki ka louvri pa yon pwosesis travayè. | 1024 |
default ['firezone']['nginx']['worker_rlimit_nofile'] | Chanje limit la sou kantite maksimòm dosye ouvè pou pwosesis travayè yo. Itilize nginx default si nil. | nil |
default ['firezone']['nginx']['multi_accept'] | Si travayè yo ta dwe aksepte yon sèl koneksyon alafwa oswa plizyè. | VERITE |
default ['firezone']['nginx']['evènman'] | Espesifye metòd pwosesis koneksyon yo itilize andedan kontèks evènman nginx. | epoll' |
default ['firezone']['nginx']['server_tokens'] | Pèmèt oswa enfim emèt vèsyon nginx sou paj erè ak nan jaden an tèt repons "Sèvè". | nil |
default ['firezone']['nginx']['server_names_hash_bucket_size'] | Etabli gwosè bokit la pou tab hash non sèvè yo. | 64 |
default ['firezone']['nginx']['sendfile'] | Pèmèt oswa enfim itilizasyon sendfile nginx a (). | sou ' |
default ['firezone']['nginx']['access_log_options'] | Mete opsyon log aksè nginx. | nil |
default ['firezone']['nginx']['error_log_options'] | Mete opsyon nginx nan boutèy demi lit erè. | nil |
default ['firezone']['nginx']['disable_access_log'] | Enfim log aksè nginx. | FO |
default ['firezone']['nginx']['types_hash_max_size'] | nginx kalite hash gwosè max. | 2048 |
default ['firezone']['nginx']['types_hash_bucket_size'] | nginx kalite bokit hash gwosè. | 64 |
default ['firezone']['nginx']['proxy_read_timeout'] | nginx proxy lekti tan. Mete sou nil pou itilize nginx default. | nil |
default ['firezone']['nginx']['client_body_buffer_size'] | gwosè tanpon kò kliyan nginx. Mete sou nil pou itilize nginx default. | nil |
default ['firezone']['nginx']['client_max_body_size'] | nginx kliyan max gwosè kò. | 250m ' |
default ['firezone']['nginx']['default']['modul'] | Espesifye modil nginx adisyonèl. | [] |
default ['firezone']['nginx']['enable_rate_limiting'] | Aktive oswa enfim limit to nginx. | VERITE |
default ['firezone']['nginx']['rate_limiting_zone_name'] | Nginx pousantaj limite zòn non. | firezone' |
default ['firezone']['nginx']['rate_limiting_backoff'] | Nginx pousantaj limite backoff. | 10m ' |
default ['firezone']['nginx']['rate_limit'] | Limit to Nginx. | 10r/s' |
default ['firezone']['nginx']['ipv6'] | Pèmèt nginx koute demann HTTP pou IPv6 anplis IPv4. | VERITE |
default ['firezone']['postgresql']['enabled'] | Aktive oswa enfim Postgresql ki pakè. Mete sou fo epi ranpli opsyon baz done ki anba yo pou itilize pwòp egzanp Postgresql ou. | VERITE |
default ['firezone']['postgresql']['username'] | Non itilizatè pou Postgresql. | ne ['firezone']['itilizatè'] |
default ['firezone']['postgresql']['data_directory'] | Anyè done Postgresql. | "#{node['firezone']['var_directory']}/postgresql/13.3/data" |
default ['firezone']['postgresql']['log_directory'] | Anyè log postgresql. | "#{node['firezone']['log_directory']}/postgresql" |
default ['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Gwosè maksimòm dosye Postgresql anvan li vire. | 104857600 |
default ['firezone']['postgresql']['log_rotation']['num_to_keep'] | Kantite dosye log Postgresql pou kenbe. | 10 |
default ['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql pòs kontwòl sib fini. | 0.5 |
default ['firezone']['postgresql']['checkpoint_segments'] | Kantite segman pòs Postgresql. | 3 |
default ['firezone']['postgresql']['checkpoint_timeout'] | Delè postgresql pòs. | 5min' |
default ['firezone']['postgresql']['checkpoint_warning'] | Tan avètisman postgresql an segonn. | 30s' |
default ['firezone']['postgresql']['effective_cache_size'] | Gwosè kachèt efikas Postgresql. | 128MB' |
default ['firezone']['postgresql']['listen_address'] | Postgresql koute adrès. | 127.0.0.1 ' |
default ['firezone']['postgresql']['max_connections'] | Postgresql max koneksyon. | 350 |
default ['firezone']['postgresql']['md5_auth_cidr_addresses'] | CIDR Postgresql pou pèmèt pou otorizasyon md5. | ['127.0.0.1/32', '::1/128'] |
default ['firezone']['postgresql']['port'] | Postgresql koute pò. | 15432 |
default ['firezone']['postgresql']['shared_buffers'] | Postgresql pataje tanpon gwosè. | "#{(node['memwa']['total'].to_i / 4) / 1024}MB" |
default ['firezone']['postgresql']['shmmax'] | Postgresql shmmax nan byte. | 17179869184 |
default ['firezone']['postgresql']['shmall'] | Postgresql shmall nan byte. | 4194304 |
default ['firezone']['postgresql']['work_mem'] | Postgresql travay gwosè memwa. | 8MB' |
default ['firezone']['baz done']['itilizatè'] | Espesifye non itilizatè Firezone pral itilize pou konekte ak DB a. | node ['firezone']['postgresql']['username'] |
default ['firezone']['baz done']['modpas'] | Si w ap itilize yon DB ekstèn, presize modpas Firezone pral itilize pou konekte avèk DB. | chanje mwen' |
default ['firezone']['database']['non'] | Baz done ke Firezone pral itilize. Yo pral kreye si li pa egziste. | firezone' |
default ['firezone']['database']['host'] | Lame baz done ki Firezone pral konekte. | node ['firezone']['postgresql']['listen_address'] |
default ['firezone']['baz done']['pò'] | Pò baz done ki Firezone pral konekte. | node ['firezone']['postgresql']['port'] |
default ['firezone']['database']['pool'] | Gwosè pisin baz done Firezone pral itilize. | [10, Etc.nprocessors].max |
default ['firezone']['database']['ssl'] | Kit pou konekte ak baz done a sou SSL. | FO |
default ['firezone']['database']['ssl_opts'] | {} | |
default ['firezone']['baz done']['paramèt'] | {} | |
default ['firezone']['database']['extensions'] | Ekstansyon baz done pou pèmèt. | { 'plpgsql' => vre, 'pg_trgm' => vre } |
default ['firezone']['phoenix']['enabled'] | Aktive oswa enfim aplikasyon entènèt Firezone la. | VERITE |
default ['firezone']['phoenix']['listen_address'] | Adrès pou koute aplikasyon entènèt Firezone. Sa a pral adrès la koute en ki proksi nginx. | 127.0.0.1 ' |
default ['firezone']['phoenix']['port'] | Firezone aplikasyon entènèt koute pò. Sa a pral pò a en ki proksi nginx. | 13000 |
default ['firezone']['phoenix']['log_directory'] | Anyè jounal aplikasyon entènèt Firezone. | "#{node['firezone']['log_directory']}/phoenix" |
default ['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone aplikasyon entènèt gwosè dosye. | 104857600 |
default ['firezone']['phoenix']['log_rotation']['num_to_keep'] | Kantite fichye journal aplikasyon entènèt Firezone pou kenbe. | 10 |
default ['firezone']['phoenix']['crash_detection']['enabled'] | Pèmèt oswa enfim desann aplikasyon entènèt Firezone a lè yo detekte yon aksidan. | VERITE |
default ['firezone']['phoenix']['external_trusted_proxies'] | Lis prokurasyon ranvèse ou fè konfyans ki gen fòma kòm yon etalaj IP ak/oswa CIDR. | [] |
default ['firezone']['phoenix']['private_clients'] | Lis kliyan HTTP rezo prive yo, fòmate yon etalaj IP ak/oswa CIDR. | [] |
default ['firezone']['wireguard']['enabled'] | Pèmèt oswa enfim jesyon WireGuard pake. | VERITE |
default ['firezone']['wireguard']['log_directory'] | Anyè Log pou jesyon WireGuard ki pakè. | "#{node['firezone']['log_directory']}/wireguard" |
default ['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard boutèy demi lit max gwosè. | 104857600 |
default ['firezone']['wireguard']['log_rotation']['num_to_keep'] | Kantite dosye WireGuard pou kenbe. | 10 |
default ['firezone']['wireguard']['interface_name'] | Non koòdone WireGuard. Chanje paramèt sa a ka lakòz yon pèt tanporè nan koneksyon VPN. | wg-firezone' |
default ['firezone']['wireguard']['port'] | WireGuard koute pò. | 51820 |
default ['firezone']['wireguard']['mtu'] | WireGuard koòdone MTU pou sèvè sa a ak pou konfigirasyon aparèy. | 1280 |
default ['firezone']['wireguard']['endpoint'] | WireGuard Endpoint pou itilize pou jenere konfigirasyon aparèy. Si nil, default nan adrès IP piblik sèvè a. | nil |
default ['firezone']['wireguard']['dns'] | WireGuard DNS pou itilize pou konfigirasyon aparèy pwodwi yo. | 1.1.1.1, 1.0.0.1′ |
default ['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs pou itilize pou konfigirasyon aparèy pwodwi yo. | 0.0.0.0/0, ::/0′ |
default ['firezone']['wireguard']['persistent_keepalive'] | Anviwònman Default PersistentKeepalive pou konfigirasyon aparèy pwodwi yo. Yon valè 0 enfim. | 0 |
default ['firezone']['wireguard']['ipv4']['enabled'] | Aktive oswa enfim IPv4 pou rezo WireGuard. | VERITE |
default ['firezone']['wireguard']['ipv4']['masquerade'] | Aktive oswa enfim Masquerade pou pake ki kite tinèl IPv4 la. | VERITE |
default ['firezone']['wireguard']['ipv4']['rezo'] | Pisin adrès IPv4 rezo WireGuard. | 10.3.2.0/24 ′ |
default ['firezone']['wireguard']['ipv4']['address'] | Adrès IPv4 koòdone WireGuard. Dwe nan pisin adrès WireGuard. | 10.3.2.1 ' |
default ['firezone']['wireguard']['ipv6']['enabled'] | Aktive oswa enfim IPv6 pou rezo WireGuard. | VERITE |
default ['firezone']['wireguard']['ipv6']['masquerade'] | Aktive oswa enfim Masquerade pou pake ki kite tinèl IPv6 la. | VERITE |
default ['firezone']['wireguard']['ipv6']['rezo'] | Pisin adrès IPv6 rezo WireGuard. | fd00::3:2:0/120′ |
default ['firezone']['wireguard']['ipv6']['address'] | Adrès IPv6 koòdone WireGuard. Dwe nan pisin adrès IPv6. | fd00::3:2:1′ |
default ['firezone']['runit']['svlogd_bin'] | Runit svlogd bin kote. | "#{node['firezone']['install_directory']}/embedded/bin/svlogd" |
default ['firezone']['ssl']['anyè'] | Anyè SSL pou estoke sètifika pwodwi yo. | /var/opt/firezone/ssl' |
default ['firezone']['ssl']['email_address'] | Adrès imèl pou itilize pou sètifika ki siyen pwòp tèt ou ak avi renouvèlman pwotokòl ACME. | |
default ['firezone']['ssl']['acme']['enabled'] | Pèmèt ACME pou pwovizyon otomatik SSL sètifika. Enfim sa a pou anpeche Nginx koute sou pò 80. Gade isit la pou plis enstriksyon. | FO |
default ['firezone']['ssl']['acme']['sèvè'] | Sèvè ACME pou itilize pou emisyon/renouvèlman sètifika. Kapab nenpòt valab sèvè acme.sh | letsencrypt |
default ['firezone']['ssl']['acme']['keylength'] | Espesifye kalite kle a ak longè pou sètifika SSL. Gade isit la | ec-256 |
default ['firezone']['ssl']['sètifika'] | Chemen nan dosye sètifika a pou FQDN ou a. Ranplase anviwònman ACME anlè a si yo espesifye. Si tou de ACME ak sa a se nil, yo pral pwodwi yon sètifika oto-siyen. | nil |
default ['firezone']['ssl']['certificate_key'] | Chemen nan dosye sètifika a. | nil |
default ['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nil |
default ['firezone']['ssl']['country_name'] | Non peyi pou sètifye pwòp tèt ou siyen. | US' |
default ['firezone']['ssl']['state_name'] | Eta non sètifika ki siyen tèt li. | CA ' |
default ['firezone']['ssl']['locality_name'] | Non lokal pou sètifika ki siyen tèt li. | Sann Fransisko' |
default ['firezone']['ssl']['company_name'] | Non konpayi sètifye pwòp tèt ou siyen. | Konpayi mwen an' |
default ['firezone']['ssl']['organizational_unit_name'] | Non inite òganizasyonèl pou sètifika oto-siyen. | Operasyon yo |
default ['firezone']['ssl']['chiffre'] | Chif SSL pou nginx itilize. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default ['firezone']['ssl']['fips_ciphers'] | SSL chifreman pou mòd FIPs. | Fip@STRENGTH:!aNULL:!eNULL' |
default ['firezone']['ssl']['pwotokòl'] | Pwotokòl TLS pou itilize. | TLSv1 TLSv1.1 TLSv1.2′ |
default ['firezone']['ssl']['session_cache'] | SSL sesyon kachèt. | pataje:SSL:4m' |
default ['firezone']['ssl']['session_timeout'] | SSL sesyon delè. | 5m ' |
default ['firezone']['robots_allow'] | nginx robo pèmèt. | /' |
default ['firezone']['robots_disallow'] | nginx robo pa pèmèt. | nil |
default ['firezone']['outbound_email']['soti nan'] | Imèl soti nan adrès. | nil |
default ['firezone']['outbound_email']['provider'] | Founisè sèvis imel sortant. | nil |
default ['firezone']['outbound_email']['configs'] | Konfigirasyon founisè imel sortant. | gade omnibus/cookbooks/firezone/attributes/default.rb |
default ['firezone']['telemetry']['enabled'] | Aktive oswa enfim telemetri pwodwi anonim. | VERITE |
default ['firezone']['connectivity_checks']['enabled'] | Aktive oswa enfim sèvis chèk koneksyon Firezone la. | VERITE |
default ['firezone']['connectivity_checks']['interval'] | Entèval ant chèk koneksyon an segonn. | 3_600 |
________________________________________________________________
La a ou pral jwenn yon lis fichye ak repèrtwar ki gen rapò ak yon enstalasyon tipik Firezone. Sa yo ka chanje selon chanjman nan dosye konfigirasyon ou a.
chemen | deskripsyon |
/var/opt/firezone | Anyè nivo siperyè ki gen done ak konfigirasyon ki pwodui pou sèvis Firezone pakè. |
/ opt / firezone | Anyè nivo siperyè ki gen bibliyotèk konstwi, binè ak fichye tan ki nesesè pou Firezone. |
/usr/bin/firezone-ctl | Firezone-ctl sèvis piblik pou jere enstalasyon Firezone ou a. |
/etc/systemd/system/firezone-runsvdir-start.service | fichye inite systemd pou kòmanse pwosesis sipèvizè Firezone runsvdir la. |
/etc/firezone | Fichye konfigirasyon Firezone. |
__________________________________________________________
Paj sa a te vid nan docs
_____________________________________________________________
Yo ka itilize modèl firewall nftables sa yo pou sekirize sèvè ki kouri Firezone. Modèl la fè kèk sipozisyon; ou ka bezwen ajiste règ yo pou adapte ka itilizasyon ou:
Firezone configure pwòp règ nftables li yo pou pèmèt/rejte trafik nan destinasyon ki konfigirasyon nan koòdone entènèt la ak okipe NAT sortan pou trafik kliyan.
Aplike modèl firewall ki anba a sou yon sèvè ki deja ap fonksyone (pa nan moman demaraj) sa pral lakòz règ Firezone yo otorize. Sa a ka gen enplikasyon sekirite.
Pou travay sou sa a rekòmanse sèvis Phoenix la:
firezone-ctl rekòmanse Phoenix
#!/usr/sbin/nft -f
## Kle/retire tout règ ki egziste deja
kole règ
############################### VARIABLES ################# ###############
## Non koòdone Entènèt/WAN
defini DEV_WAN = eth0
## Non koòdone WireGuard
defini DEV_WIREGUARD = wg-firezone
## WireGuard koute pò
defini WIREGUARD_PORT = 51820
############################# VARIABLES FINI ################## ############
# Main inet fanmi filtraj tab
tab inet filter {
# Règ pou trafik voye
# Chèn sa a trete anvan chèn pou pi devan Firezone la
chèn pi devan {
kalite filtre zen filtè priyorite pou pi devan - 5; politik aksepte
}
# Règ pou trafik antre
chèn antre {
kalite filtre zen filtre priyorite opinyon; gout politik
## Pèmèt trafik antre nan koòdone loopback
iif lo \
aksepte \
kòmantè "Pèmèt tout trafik soti nan koòdone loopback"
## Pèmi etabli ak koneksyon ki gen rapò
ct eta etabli,ki gen rapò \
aksepte \
kòmantè "Pèmi koneksyon etabli/ki gen rapò"
## Pèmèt trafik WireGuard antre
iif $DEV_WAN udp dport $WIREGUARD_PORT \
kontwa \
aksepte \
kòmantè "Pèmèt trafik WireGuard antre"
## Log epi depoze nouvo pake TCP ki pa SYN
tcp flags != syn ct eta nouvo \
to limit 100/ minit pete 150 pake \
log prefiks “NAN – Nouvo !SYN: “ \
kòmantè "Logging limit pousantaj pou nouvo koneksyon ki pa gen drapo SYN TCP la mete"
tcp flags != syn ct eta nouvo \
kontwa \
gout \
kòmantè "Depoze nouvo koneksyon ki pa gen drapo SYN TCP la mete"
## Anrejistre epi depoze pakè TCP ak drapo fin/syn ki pa valab
tcp drapo & (fin|syn) == (fin|syn) \
to limit 100/ minit pete 150 pake \
log prefiks “IN – TCP FIN|SIN:” \
kòmantè "Enregistre limit pousantaj pou pake TCP ak drapo fin/syn envalid"
tcp drapo & (fin|syn) == (fin|syn) \
kontwa \
gout \
kòmantè "Depoze pakè TCP ak drapo fin/syn ki pa valab"
## Anrejistre epi depoze pakè TCP yo ak drapo syn/rst ki pa valab
tcp drapo & (syn|rst) == (syn|rst) \
to limit 100/ minit pete 150 pake \
log prefiks “IN – TCP SYN|RST:” \
kòmantè "Enregistre limit pousantaj pou pake TCP ak drapo syn/premye envalid"
tcp drapo & (syn|rst) == (syn|rst) \
kontwa \
gout \
kòmantè "Lage pakè TCP yo ak seri syn/premye drapo ki pa valab"
## Log epi depoze drapo TCP ki pa valab
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
to limit 100/ minit pete 150 pake \
log prefiks "AN - FIN:" \
kòmantè "Enregistre limit pousantaj pou drapo TCP ki pa valab (fin|syn|rst|psh|ack|urg) <(fin)"
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
kontwa \
gout \
kòmantè "Lage pake TCP ak drapo (fin|syn|rst|psh|ack|urg) <(fin)"
## Log epi depoze drapo TCP ki pa valab
tcp drapo & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
to limit 100/ minit pete 150 pake \
log prefiks “IN – FIN|PSH|URG:” \
kòmantè "Logging limit pousantaj pou drapo TCP ki pa valab (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp drapo & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
kontwa \
gout \
kòmantè "Lage pake TCP ak drapo (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Depoze trafik ak eta koneksyon envalid
ct eta envalid \
to limit 100/ minit pete 150 pake \
log flags tout prefiks "IN - Envalid:" \
kòmantè "Limite to pou trafik ak eta koneksyon envalid"
ct eta envalid \
kontwa \
gout \
kòmantè "Lage trafik ak eta koneksyon envalid"
## Pèmèt repons ping/ping IPv4 men pousantaj limit a 2000 PPS
ip pwotokòl icmp icmp tip { eko-repons, eko-demann } \
to limit 2000/dezyèm \
kontwa \
aksepte \
kòmantè "Pèmèt entrant IPv4 eko (ping) limite a 2000 PPS"
## Pèmèt tout lòt ICMP IPv4 entrant
ip pwotokòl icmp \
kontwa \
aksepte \
kòmantè "Pèmèt tout lòt IPv4 ICMP"
## Pèmèt repons ping/ping IPv6 men pousantaj limit a 2000 PPS
icmpv6 kalite { eko-repons, eko-demann } \
to limit 2000/dezyèm \
kontwa \
aksepte \
kòmantè "Pèmèt entrant IPv6 eko (ping) limite a 2000 PPS"
## Pèmèt tout lòt ICMP IPv6 entrant
meta l4proto {icmpv6} \
kontwa \
aksepte \
kòmantè "Pèmèt tout lòt IPv6 ICMP"
## Pèmèt pò entrant traceroute UDP men limite a 500 PPS
udp dport 33434-33524 \
to limit 500/dezyèm \
kontwa \
aksepte \
kòmantè "Pèmi antre UDP traceroute limite a 500 PPS"
## Pèmèt SSH antre
tcp dport sch ct eta nouvo \
kontwa \
aksepte \
kòmantè "Pèmèt koneksyon SSH antre"
## Pèmèt HTTP entrant ak HTTPS
tcp dport { http, https } ct eta nouvo \
kontwa \
aksepte \
kòmantè "Pèmèt koneksyon entrant HTTP ak HTTPS"
## Anrejistre nenpòt trafik ki pa gen parèy men to limite enregistrement a yon maksimòm de 60 mesaj/minit
## Règ defo a pral aplike nan trafik san parèy
to limit 60/ minit pete 100 pake \
log prefiks "AN - Drop:" \
kòmantè "Anrejistre nenpòt trafik ki pa gen parèy"
## Konte trafik san parèy la
kontwa \
kòmantè "Konte nenpòt trafik san parèy"
}
# Règ pou trafik pwodiksyon
pwodiksyon chèn {
kalite filtre zen filtè priyorite pwodiksyon; gout politik
## Pèmèt trafik soti nan koòdone loopback
oif lo \
aksepte \
kòmantè "Pèmèt tout trafik soti nan koòdone loopback"
## Pèmi etabli ak koneksyon ki gen rapò
ct eta etabli,ki gen rapò \
kontwa \
aksepte \
kòmantè "Pèmi koneksyon etabli/ki gen rapò"
## Pèmèt trafik WireGuard sortant anvan ou abandone koneksyon ak move eta
oif $DEV_WAN udp espò $WIREGUARD_PORT \
kontwa \
aksepte \
kòmantè "Pèmèt trafik soti nan WireGuard"
## Depoze trafik ak eta koneksyon envalid
ct eta envalid \
to limit 100/ minit pete 150 pake \
log flags tout prefiks "SOTI - Envalid:" \
kòmantè "Limite to pou trafik ak eta koneksyon envalid"
ct eta envalid \
kontwa \
gout \
kòmantè "Lage trafik ak eta koneksyon envalid"
## Pèmèt tout lòt IPv4 ICMP sortant
ip pwotokòl icmp \
kontwa \
aksepte \
kòmantè "Pèmèt tout kalite IPv4 ICMP"
## Pèmèt tout lòt IPv6 ICMP sortant
meta l4proto {icmpv6} \
kontwa \
aksepte \
kòmantè "Pèmèt tout kalite IPv6 ICMP"
## Pèmèt pò UDP ki soti nan traceroute men limite a 500 PPS
udp dport 33434-33524 \
to limit 500/dezyèm \
kontwa \
aksepte \
kòmantè "Pèmi traceroute UDP sortant limite a 500 PPS"
## Pèmèt koneksyon soti HTTP ak HTTPS
tcp dport { http, https } ct eta nouvo \
kontwa \
aksepte \
kòmantè "Pèmèt koneksyon soti HTTP ak HTTPS"
## Pèmèt soumèt SMTP sortan
tcp dport soumèt ct eta nouvo \
kontwa \
aksepte \
kòmantè "Pèmèt soumèt SMTP sortan"
## Pèmèt demann DNS sortan yo
udp dport 53 \
kontwa \
aksepte \
kòmantè "Pèmèt demann DNS UDP sortant"
tcp dport 53 \
kontwa \
aksepte \
kòmantè "Pèmèt demann TCP DNS sortan yo"
## Pèmèt demann NTP sortan yo
udp dport 123 \
kontwa \
aksepte \
kòmantè "Pèmèt demann NTP sortan yo"
## Anrejistre nenpòt trafik ki pa gen parèy men to limite enregistrement a yon maksimòm de 60 mesaj/minit
## Règ defo a pral aplike nan trafik san parèy
to limit 60/ minit pete 100 pake \
log prefiks "SOTI - Drop:" \
kòmantè "Anrejistre nenpòt trafik ki pa gen parèy"
## Konte trafik san parèy la
kontwa \
kòmantè "Konte nenpòt trafik san parèy"
}
}
# Prensipal tab filtraj NAT
tab inet nat {
# Règ pou trafik NAT pre-routage
preroutaj chèn {
tape nat zen prerouting priyorite dstnat; politik aksepte
}
# Règ pou trafik NAT apre routage
# Tablo sa a trete anvan chèn pòs-routage Firezone
chèn postrouting {
tape nat zen postrouting priyorite srcnat – 5; politik aksepte
}
}
Firewall la ta dwe estoke nan kote ki enpòtan pou distribisyon Linux k ap kouri. Pou Debian/Ubuntu sa a se /etc/nftables.conf ak pou RHEL sa a se /etc/sysconfig/nftables.conf.
nftables.service ap bezwen konfigirasyon pou kòmanse sou bòt (si se pa deja) mete:
systemctl pèmèt nftables.service
Si w ap fè nenpòt chanjman nan modèl firewall la, sentaks la ka valide lè w ap kouri lòd chèk la:
nft -f /path/to/nftables.conf -c
Asire ou ke ou valide firewall la travay jan yo espere kòm sèten karakteristik nftables ka pa disponib depann sou lage a kouri sou sèvè a.
_______________________________________________________________
Dokiman sa a prezante yon apèsi sou telemetrik Firezone kolekte nan egzanp ou akomode ak fason pou enfim li.
zòn dife depann sou telemetri pou bay priyorite plan nou an ak optimize resous jeni nou genyen pou fè Firezone pi bon pou tout moun.
Telemetry nou kolekte vize pou reponn kesyon sa yo:
Gen twa kote prensipal kote telemetri yo kolekte nan Firezone:
Nan chak nan twa kontèks sa yo, nou pran kantite minimòm done ki nesesè pou reponn kesyon ki nan seksyon ki anwo a.
Imèl admin yo kolekte sèlman si ou klèman patisipe nan mizajou pwodwi yo. Sinon, enfòmasyon pèsonèl-identifiable se pa janm kolekte.
Firezone estoke telemetrik nan yon egzanp PostHog ki akomode nan yon gwoup prive Kubernetes, ekip Firezone aksesib sèlman. Men yon egzanp yon evènman telemetri ki voye soti nan egzanp ou nan Firezone nan sèvè telemetri nou an:
{
ale: “0182272d-0b88-0000-d419-7b9a413713f1”,
"timestamp": “2022-07-22T18:30:39.748000+00:00”,
"evènman": "fz_http_started",
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"pwopriyete":{
"$ geoip_city_name": "Ashburn",
"$ geoip_continent_code": "NA",
"$ geoip_continent_name": "Amerik di Nò",
"$ geoip_country_code": "US",
"$ geoip_country_name": "Etazini",
"$ geoip_latitude": 39.0469,
"$ geoip_longitude": -77.4903,
"$ geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "Virjini",
"$geoip_time_zone": "Amerik/New_York",
"$ip": "52.200.241.107",
"$plugins_deferred": [],
"$plugins_failed": [],
"$plugins_succeeded": [
"GeoIP (3)"
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "linux 5.13.0",
"vèsyon": "0.4.6"
},
"chen_eleman": ""
}
NÒT
Ekip devlopman Firezone la depann sou analiz pwodwi pou fè Firezone pi bon pou tout moun. Si w kite telemetrik aktive se yon sèl kontribisyon ki pi enpòtan ou ka fè nan devlopman Firezone. Sa te di, nou konprann kèk itilizatè yo gen pi wo kondisyon konfidansyalite oswa sekirite epi yo ta prefere enfim telemetrik tout ansanm. Si se ou menm, kontinye li.
Telemetry aktive pa default. Pou konplètman enfim telemetri pwodwi, mete opsyon konfigirasyon sa a nan fo nan /etc/firezone/firezone.rb epi kouri sudo firezone-ctl reconfigure pou ranmase chanjman yo.
default['firezone']['telemetrie']['pèmèt'] = fo
Sa pral konplètman enfim tout telemetri pwodwi.