Hailbytes VPN Ak Firezone Firewall Dokimantasyon

Table of Contents

Kontakte Nou

Enstriksyon etap pa etap pou deplwaye Hailbytes VPN ak Firezone GUI yo bay isit la. 

Administre: Mete kanpe egzanp sèvè a gen rapò dirèkteman ak pati sa a.

Gid Itilizatè yo: Dokiman itil ki ka anseye w kijan pou w itilize Firezone epi rezoud pwoblèm tipik yo. Apre sèvè a te deplwaye avèk siksè, al gade nan seksyon sa a.

Gid pou konfigirasyon komen

Split Tunneling: Sèvi ak VPN a pou voye trafik sèlman nan seri IP espesifik.

Lis blan: Mete adrès IP estatik yon sèvè VPN pou yo ka itilize lis blan.

Tinèl ranvèse: Kreye tinèl ant plizyè kanmarad lè l sèvi avèk tinèl ranvèse.

Jwenn Sipò pou

Nou kontan ede w si w bezwen èd pou enstale, pèsonalize oswa itilize Hailbytes VPN.

Otantifikasyon

Anvan itilizatè yo ka pwodwi oswa telechaje dosye konfigirasyon aparèy, Firezone ka konfigirasyon pou mande otantifikasyon. Itilizatè yo ka bezwen tou detanzantan re-otantifye yo nan lòd yo kenbe koneksyon VPN yo aktif.

Malgre ke metòd login default Firezone a se imèl lokal ak modpas, li kapab tou entegre ak nenpòt founisè idantite ofisyèl OpenID Connect (OIDC). Itilizatè yo kapab kounye a konekte nan Firezone lè l sèvi avèk Okta, Google, Azure AD, oswa kalifikasyon founisè idantite prive yo.

 

Entegre Yon Founisè OIDC jenerik

Paramèt konfigirasyon Firezone bezwen pou pèmèt SSO lè l sèvi avèk yon founisè OIDC yo montre nan egzanp ki anba a. Nan /etc/firezone/firezone.rb, ou ka jwenn dosye konfigirasyon an. Kouri firezone-ctl reconfigure ak firezone-ctl rekòmanse pou mete ajou aplikasyon an epi pran efè chanjman yo.

 

# Sa a se yon egzanp lè l sèvi avèk Google ak Okta kòm yon founisè idantite SSO.

# Plizyè konfigirasyon OIDC ka ajoute nan menm egzanp Firezone la.

 

# Firezone ka enfim VPN yon itilizatè a si gen nenpòt erè detekte ap eseye

# pou rafrechi access_token yo. Sa a se verifye pou travay pou Google, Okta, ak

# Azure SSO epi yo itilize otomatikman dekonekte VPN yon itilizatè a si yo retire yo

# nan men founisè OIDC la. Kite sa a enfim si founisè OIDC ou a

# gen pwoblèm pou rafrechi marqueur aksè paske li ka entèwonp san atann a

# sesyon VPN itilizatè a.

default ['firezone']['otantifikasyon']['disable_vpn_on_oidc_error'] = fo

 

default ['firezone']['otantifikasyon']['oidc'] = {

  google: {

    discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",

    client_id: " ",

    client_secret: " ",

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",

    response_type: "kòd",

    dimansyon: "Openid imel pwofil",

    etikèt: "Google"

  },

  okta: {

    discovery_document_uri: "https:// /.well-known/openid-configuration”,

    client_id: " ",

    client_secret: " ",

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",

    response_type: "kòd",

    dimansyon: "Openid imel pwofil offline_access",

    etikèt: "Okta"

  }

}



Paramèt konfigirasyon sa yo obligatwa pou entegrasyon an:

  1. discovery_document_uri: La URI konfigirasyon founisè OpenID Connect ki retounen yon dokiman JSON itilize pou konstwi demann ki vin apre bay founisè OIDC sa a.
  2. client_id: ID kliyan aplikasyon an.
  3. client_secret: Sekrè kliyan aplikasyon an.
  4. redirect_uri: Enstwi founisè OIDC ki kote pou redireksyon apre otantifikasyon. Sa a ta dwe Firezone ou EXTERNAL_URL + /auth/oidc/ /callback/ (egzanp https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
  5. response_type: Mete sou kòd.
  6. dimansyon: Dimansyon OIDC pou jwenn nan men founisè OIDC ou. Sa a ta dwe mete sou pwofil imel openid oswa pwofil imel openid offline_access depann sou founisè a.
  7. label: Tèks etikèt bouton an ki parèt sou ekran koneksyon Firezone ou a.

Joli URL

Pou chak founisè OIDC yo kreye yon URL bèl ki koresponn pou redireksyon nan URL enskripsyon founisè konfigirasyon an. Pou egzanp OIDC konfigirasyon ki pi wo a, URL yo se:

  • https://instance-id.yourfirezone.com/auth/oidc/google
  • https://instance-id.yourfirezone.com/auth/oidc/okta

Enstriksyon pou konfigirasyon Firezone ak founisè idantite popilè yo

Founisè nou gen dokiman pou:

  • google
  • Okta
  • Azure Anyè aktif
  • Onelogin
  • Otantifikasyon lokal

 

Si founisè idantite w la gen yon konektè OIDC jenerik epi li pa nan lis pi wo a, tanpri ale nan dokiman yo pou jwenn enfòmasyon sou fason pou rekipere paramèt konfigirasyon ki nesesè yo.

Kenbe regilye Re-Otantifikasyon

Anviwònman an anba anviwònman/sekirite ka chanje pou mande pou re-otantifikasyon peryodik. Sa a ka itilize pou ranfòse egzijans pou itilizatè yo antre nan Firezone sou yon baz regilye yo nan lòd yo kontinye sesyon VPN yo.

Longè sesyon an ka configuré pou ant inèdtan ak katrevendis jou. Lè w mete sa a Pa janm, ou ka pèmèt sesyon VPN nenpòt ki lè. Sa a se estanda a.

Re-otantifikasyon

Yon itilizatè dwe mete fen nan sesyon VPN yo epi konekte nan pòtal Firezone la pou re-otantifye yon sesyon VPN ekspire (URL espesifye pandan deplwaman).

Ou ka re-otantifye sesyon ou a lè w suiv enstriksyon egzak kliyan yo jwenn isit la.

 

Estati Koneksyon VPN

Kolòn tab Koneksyon VPN paj Itilizatè yo montre estati koneksyon itilizatè a. Sa yo se estati koneksyon yo:

ENABLED - Koneksyon an pèmèt.

DISABLED - Koneksyon an enfim pa yon administratè oswa yon echèk rafrechi OIDC.

EXPIRE – Koneksyon an enfim akòz ekspirasyon otantifikasyon oswa yon itilizatè pa te konekte pou premye fwa.

google

Atravè konektè jeneral OIDC a, Firezone pèmèt Single Sign-On (SSO) ak Google Workspace ak Cloud Identity. Gid sa a pral montre w kouman ou ka jwenn paramèt konfigirasyon ki nan lis anba a, ki nesesè pou entegrasyon an:

  1. discovery_document_uri: La URI konfigirasyon founisè OpenID Connect ki retounen yon dokiman JSON itilize pou konstwi demann ki vin apre bay founisè OIDC sa a.
  2. client_id: ID kliyan aplikasyon an.
  3. client_secret: Sekrè kliyan aplikasyon an.
  4. redirect_uri: Enstwi founisè OIDC ki kote pou redireksyon apre otantifikasyon. Sa a ta dwe Firezone ou EXTERNAL_URL + /auth/oidc/ /callback/ (egzanp https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
  5. response_type: Mete sou kòd.
  6. dimansyon: Dimansyon OIDC pou jwenn nan men founisè OIDC ou. Sa a ta dwe mete sou pwofil imel openid pou bay Firezone imel itilizatè a nan reklamasyon yo retounen.
  7. label: Tèks etikèt bouton an ki parèt sou ekran koneksyon Firezone ou a.

Jwenn Anviwònman Konfigirasyon

1. OAuth Config ekran

Si se premye fwa w ap kreye yon nouvo ID kliyan OAuth, y ap mande w pou w configured yon ekran konsantman.

* Chwazi Entèn pou kalite itilizatè. Sa asire ke sèlman kont ki fè pati itilizatè yo nan Google Workspace Organization ou a ka kreye konfigirasyon aparèy. PA chwazi Ekstèn sof si ou vle pèmèt nenpòt moun ki gen yon kont Google valab kreye konfigirasyon aparèy.

 

Sou ekran enfòmasyon sou aplikasyon an:

  1. Non aplikasyon an: Firezone
  2. Logo aplikasyon: Logo Firezone (sove lyen kòm).
  3. Paj lakay aplikasyon an: URL egzanp Firezone ou a.
  4. Domèn otorize: domèn nan nivo siperyè nan egzanp Firezone ou a.

 

 

2. Kreye ID Kliyan OAuth

Seksyon sa a baze sou pwòp dokiman Google la mete kanpe OAuth 2.0.

Vizite Google Cloud Console Paj kalifikasyon paj, klike sou + Kreye kalifikasyon epi chwazi ID kliyan OAuth.

Sou ekran kreyasyon ID kliyan OAuth la:

  1. Mete Kalite Aplikasyon sou aplikasyon Web
  2. Ajoute Firezone EXTERNAL_URL + /auth/oidc/google/callback/ (egzanp https://instance-id.yourfirezone.com/auth/oidc/google/callback/) kòm yon antre nan URI redireksyon Otorize.

 

Apre ou fin kreye ID kliyan OAuth, yo pral ba w yon ID Kliyan ak Sekrè Kliyan. Sa yo pral itilize ansanm ak URI redireksyon an nan pwochen etap la.

Entegrasyon Firezone

Edit /etc/firezone/firezone.rb pou enkli opsyon ki anba yo:

 

# Sèvi ak Google kòm founisè idantite SSO

default ['firezone']['otantifikasyon']['oidc'] = {

  google: {

    discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",

    client_id: " ",

    client_secret: " ",

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",

    response_type: "kòd",

    dimansyon: "Openid imel pwofil",

    etikèt: "Google"

  }

}

 

Kouri firezone-ctl reconfigure ak firezone-ctl rekòmanse pou mete ajou aplikasyon an. Ou ta dwe kounye a wè yon bouton Siyen nan ak Google nan URL Firezone rasin lan.

Okta

Firezone itilize konektè OIDC jenerik la pou fasilite Single Sign-On (SSO) ak Okta. Tutorial sa a pral montre w kouman ou ka jwenn paramèt konfigirasyon ki nan lis anba a, ki nesesè pou entegrasyon an:

  1. discovery_document_uri: La URI konfigirasyon founisè OpenID Connect ki retounen yon dokiman JSON itilize pou konstwi demann ki vin apre bay founisè OIDC sa a.
  2. client_id: ID kliyan aplikasyon an.
  3. client_secret: Sekrè kliyan aplikasyon an.
  4. redirect_uri: Enstwi founisè OIDC ki kote pou redireksyon apre otantifikasyon. Sa a ta dwe Firezone ou EXTERNAL_URL + /auth/oidc/ /callback/ (egzanp https://instance-id.yourfirezone.com/auth/oidc/okta/callback/).
  5. response_type: Mete sou kòd.
  6. dimansyon: Dimansyon OIDC pou jwenn nan men founisè OIDC ou. Sa a ta dwe mete sou pwofil imel openid offline_access pou bay Firezone imel itilizatè a nan reklamasyon yo retounen.
  7. label: Tèks etikèt bouton an ki parèt sou ekran koneksyon Firezone ou a.

 

Entegre Okta App

Seksyon sa a nan gid la baze sou Dokimantasyon Okta.

Nan Admin Console, ale nan Aplikasyon > Aplikasyon epi klike sou Kreye Entegrasyon App. Mete metòd Enskripsyon an nan OICD – OpenID Connect ak Kalite aplikasyon nan aplikasyon Entènèt.

Konfigure paramèt sa yo:

  1. Non aplikasyon an: Firezone
  2. Logo aplikasyon: Logo Firezone (sove lyen kòm).
  3. Kalite Sibvansyon: Tcheke bwat Refresh Token la. Sa a asire Firezone senkronize ak founisè idantite a epi yo sispann aksè VPN yon fwa yo retire itilizatè a.
  4. Enskripsyon URI redireksyon: Ajoute Firezone EXTERNAL_URL + /auth/oidc/okta/callback/ (egzanp https://instance-id.yourfirezone.com/auth/oidc/okta/callback/) kòm yon antre nan URI redireksyon otorize. .
  5. Devwa: Limite nan gwoup ou vle bay aksè nan egzanp Firezone ou a.

Yon fwa yo sove paramèt yo, yo pral ba w yon ID Kliyan, Sekrè Kliyan, ak Domèn Okta. Yo pral itilize 3 valè sa yo nan Etap 2 pou konfigirasyon Firezone.

Entegre Firezone

Edit /etc/firezone/firezone.rb pou enkli opsyon ki anba yo. Ou dekouvèt_document_url ap /.well-known/openid-configuration te ajoute nan fen ou okta_domain.

 

# Sèvi ak Okta kòm founisè idantite SSO

default ['firezone']['otantifikasyon']['oidc'] = {

  okta: {

    discovery_document_uri: "https:// /.well-known/openid-configuration”,

    client_id: " ",

    client_secret: " ",

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",

    response_type: "kòd",

    dimansyon: "Openid imel pwofil offline_access",

    etikèt: "Okta"

  }

}

 

Kouri firezone-ctl reconfigure ak firezone-ctl rekòmanse pou mete ajou aplikasyon an. Ou ta dwe kounye a wè yon bouton Siyen an ak Okta nan URL Firezone rasin lan.

 

Limite Aksè a Sèten Itilizatè yo

Itilizatè yo ki ka jwenn aksè nan aplikasyon Firezone a ka limite pa Okta. Ale nan paj devwa Entegrasyon App Firezone Okta Admin Console ou a pou akonpli sa.

Azure Anyè aktif

Atravè konektè OIDC jenerik la, Firezone pèmèt Single Sign-On (SSO) ak Azure Active Directory. Manyèl sa a pral montre w kouman pou w jwenn paramèt konfigirasyon ki nan lis anba a, ki nesesè pou entegrasyon an:

  1. discovery_document_uri: La URI konfigirasyon founisè OpenID Connect ki retounen yon dokiman JSON itilize pou konstwi demann ki vin apre bay founisè OIDC sa a.
  2. client_id: ID kliyan aplikasyon an.
  3. client_secret: Sekrè kliyan aplikasyon an.
  4. redirect_uri: Enstwi founisè OIDC ki kote pou redireksyon apre otantifikasyon. Sa a ta dwe Firezone ou EXTERNAL_URL + /auth/oidc/ /callback/ (egzanp https://instance-id.yourfirezone.com/auth/oidc/azure/callback/).
  5. response_type: Mete sou kòd.
  6. dimansyon: Dimansyon OIDC pou jwenn nan men founisè OIDC ou. Sa a ta dwe mete sou pwofil imel openid offline_access pou bay Firezone imel itilizatè a nan reklamasyon yo retounen.
  7. label: Tèks etikèt bouton an ki parèt sou ekran koneksyon Firezone ou a.

Jwenn Anviwònman Konfigirasyon

Gid sa a soti nan Azure Active Directory Docs.

 

Ale nan paj Azure Active Directory pòtal Azure la. Chwazi opsyon Jere meni an, chwazi Nouvo Enskripsyon, epi enskri nan bay enfòmasyon ki anba a:

  1. Non: Firezone
  2. Kalite kont ki sipòte: (Anyè Default sèlman – lokatè sèl)
  3. Redireksyon URI: Sa a ta dwe firezone ou EXTERNAL_URL + /auth/oidc/azure/callback/ (egzanp https://instance-id.yourfirezone.com/auth/oidc/azure/callback/). Asire ou ke ou mete fen koupe an. Sa a pral valè redirect_uri.

 

Apre enskripsyon an, louvri gade detay aplikasyon an epi kopye ID aplikasyon (kliyan).. Sa a pral valè client_id la. Apre sa, louvri meni pwen final yo pou rekipere la Dokiman metadata OpenID Connect. Sa a pral valè discovery_document_uri.

 

Kreye yon nouvo sekrè kliyan lè w klike sou opsyon Sètifika ak sekrè ki anba meni Jere. Kopi sekrè kliyan an; valè sekrè kliyan an pral sa a.

 

Anfen, chwazi lyen otorizasyon API ki anba meni Jere, klike sou Ajoute yon pèmisyon, epi chwazi Microsoft graf, ajoute imel, OpenID, offline_access ak pwofil nan otorizasyon ki nesesè yo.

Entegrasyon Firezone

Edit /etc/firezone/firezone.rb pou enkli opsyon ki anba yo:

 

# Sèvi ak Azure Active Directory kòm founisè idantite SSO

default ['firezone']['otantifikasyon']['oidc'] = {

  azur: {

    discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,

    client_id: " ",

    client_secret: " ",

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",

    response_type: "kòd",

    dimansyon: "Openid imel pwofil offline_access",

    etikèt: "Azure"

  }

}

 

Kouri firezone-ctl reconfigure ak firezone-ctl rekòmanse pou mete ajou aplikasyon an. Ou ta dwe kounye a wè yon bouton Siyen an ak Azure nan URL Firezone rasin lan.

Kijan Pou: Limite Aksè A Sèten Manm

Azure AD pèmèt administratè yo limite aksè aplikasyon an nan yon gwoup espesifik itilizatè andedan konpayi ou. Ou ka jwenn plis enfòmasyon sou fason pou w fè sa nan dokiman Microsoft la.

Administre

  • Mete
  • Jere Enstalasyon
  • Upgrade
  • Rézoudr
  • Konsiderasyon Sekirite Sosyal
  • Kouri SQL Queries

Mete

Firezone itilize Chef Omnibus pou jere travay ki gen ladan anbalaj lage, sipèvizyon pwosesis, jesyon boutèy demi lit, ak plis ankò.

Kòd Ruby fòme dosye konfigirasyon prensipal la, ki sitiye nan /etc/firezone/firezone.rb. Rekòmanse sudo firezone-ctl reconfigure apre yo fin fè modifikasyon nan fichye sa a lakòz Chef rekonèt chanjman yo epi aplike yo nan sistèm opere aktyèl la.

Gade referans dosye konfigirasyon an pou yon lis konplè varyab konfigirasyon ak deskripsyon yo.

Jere Enstalasyon

Enstans Firezone ou a ka jere atravè firezone-ctl kòmandman, jan yo montre anba a. Pifò kòmandman mande pou prefiks ak sudo.

 

root@demo:~# firezone-ctl

omnibus-ctl: kòmand (soukòmand)

Kòmandman Jeneral:

  Geri

    Efase *tout* done firezone, epi kòmanse nan grafouyen.

  kreye-oswa-reset-admin

    Reyajiste modpas la pou admin la ak imel espesifye pa default ['firezone']['admin_email'] oswa kreye yon nouvo admin si imel sa a pa egziste.

  ede

    Enprime mesaj èd sa a.

  rekonfigire

    Rekonfigirasyon aplikasyon an.

  reset-rezo

    Reyajiste nftables, koòdone WireGuard, ak tab routage tounen nan default Firezone.

  montre-konfig

    Montre konfigirasyon an ki ta dwe pwodwi pa reconfigure.

  teardown-rezo

    Retire koòdone WireGuard ak tab firezone nftables.

  fòs-cert-renouvèlman

    Fòse renouvèlman sètifika kounye a menm si li pa ekspire.

  stop-cert-renewal

    Retire cronjob ki renouvle sètifika yo.

  désinstaller

    Touye tout pwosesis ak désinstaller sipèvizè pwosesis la (done yo pral konsève).

  vèsyon

    Montre aktyèl vèsyon Firezone

Kòmandman Jesyon Sèvis:

  grasyeuz-touye

    Eseye yon arè grasyeuz, Lè sa a, SIGKILL tout gwoup pwosesis la.

  hup

    Voye sèvis yo yon HUP.

  int

    Voye sèvis yo yon INT.

  touye

    Voye sèvis yo yon KILL.

  yon fwa

    Kòmanse sèvis yo si yo desann. Pa rekòmanse yo si yo sispann.

  rekòmanse

    Sispann sèvis yo si yo ap kouri, epi rekòmanse yo ankò.

  sèvis-lis

    Lis tout sèvis yo (sèvis ki pèmèt yo parèt ak yon *.)

  Kòmanse

    Kòmanse sèvis yo si yo tonbe, epi rekòmanse yo si yo sispann.

  sitiyasyon

    Montre estati tout sèvis yo.

  sispann

    Sispann sèvis yo, epi pa rekòmanse yo.

  ke

    Gade jounal sèvis tout sèvis ki pèmèt yo.

  tèm

    Voye sèvis yo yon TERM.

  usr1

    Voye sèvis yo yon USR1.

  usr2

    Voye sèvis yo yon USR2.

Upgrade

Tout sesyon VPN yo dwe sispann anvan amelyore Firezone, ki mande tou pou fèmen UI Web la. Nan ka yon bagay ale mal pandan amelyorasyon an, nou konseye mete sou kote yon èdtan pou antretyen.

 

Pou amelyore Firezone, pran aksyon sa yo:

  1. Amelyore pake firezone a lè l sèvi avèk yon sèl-kòmand enstale: sudo -E bash -c "$(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh)"
  2. Kouri firezone-ctl reconfigure pou ranmase nouvo chanjman yo.
  3. Kouri firezone-ctl rekòmanse pou rekòmanse sèvis yo.

Si nenpòt pwoblèm rive, tanpri fè nou konnen pa soumèt yon tikè sipò.

Mizajou Soti nan =0.5.0

Gen kèk chanjman kraze ak modifikasyon konfigirasyon nan 0.5.0 ki dwe adrese. Jwenn plis enfòmasyon anba a.

Pakèt demann Nginx non_ssl_port (HTTP) yo retire

Nginx pa sipòte fòs SSL ak paramèt pò ki pa SSL apati vèsyon 0.5.0. Paske Firezone bezwen SSL pou travay, nou konseye retire pakèt sèvis Nginx la lè nou mete default ['firezone']['nginx']['enabled'] = fo epi dirije proxy ranvèse ou a nan aplikasyon Phoenix sou pò 13000 pito (pa default. ).

Sipò pou pwotokòl ACME

0.5.0 entwodui sipò pwotokòl ACME pou renouvle otomatikman sètifika SSL ak sèvis Nginx fourni. Pou pèmèt,

  • Asire w ke default ['firezone']['external_url'] genyen yon FQDN valab ki rezoud nan adrès IP piblik sèvè w la.
  • Asire w ke pò 80/tcp ka rive
  • Pèmèt sipò pou pwotokòl ACME ak default ['firezone']['ssl']['acme']['enabled'] = vre nan fichye konfigirasyon w la.

Sipèpoze Destinasyon Règ Soti yo

Posiblite pou ajoute règ ak destinasyon kopi ale nan Firezone 0.5.0. Script migrasyon nou an pral otomatikman rekonèt sitiyasyon sa yo pandan yon ajou nan 0.5.0 epi sèlman kenbe règ yo ki destinasyon gen ladan lòt règ la. Pa gen anyen ou bezwen fè si sa a oke.

Sinon, anvan amelyore, nou konseye chanje règ ou a pou debarase m de sitiyasyon sa yo.

Prekonfigirasyon Okta ak Google SSO

Firezone 0.5.0 retire sipò pou konfigirasyon ansyen Okta ak Google SSO an favè nouvo konfigirasyon ki baze sou OIDC ki pi fleksib. 

Si w gen nenpòt konfigirasyon anba kle default ['firezone']['authentication']['okta'] oswa default['firezone']['authentication']['google'] kle, ou bezwen imigre sa yo nan OIDC nou an. -konfigirasyon ki baze sou lè l sèvi avèk gid ki anba a.

Konfigirasyon Google OAuth ki egziste deja

Retire liy sa yo ki genyen ansyen konfigirasyon Google OAuth yo nan fichye konfigirasyon ou ki sitiye nan /etc/firezone/firezone.rb

 

default ['firezone']['otantifikasyon']['google']['enabled']

default ['firezone']['otantifikasyon']['google']['client_id']

default ['firezone']['otantifikasyon']['google']['client_secret']

default ['firezone']['otantifikasyon']['google']['redirect_uri']

 

Lè sa a, konfigirasyon Google kòm yon founisè OIDC pa swiv pwosedi yo isit la.

(Bay enstriksyon lyen)<<<<<<<<<<<<<<<<

 

Konfigirasyon Google OAuth ki egziste deja 

Retire liy sa yo ki genyen ansyen konfigirasyon Okta OAuth yo nan fichye konfigirasyon ou ki sitiye nan /etc/firezone/firezone.rb

 

default ['firezone']['otantifikasyon']['okta']['enabled']

default ['firezone']['otantifikasyon']['okta']['client_id']

default ['firezone']['otantifikasyon']['okta']['client_secret']

Default ['firezone']['otantifikasyon']['okta']['sit']

 

Lè sa a, konfigirasyon Okta kòm yon founisè OIDC pa swiv pwosedi yo isit la.

Mizajou soti nan 0.3.x a >= 0.3.16

Tou depan de konfigirasyon aktyèl ou ak vèsyon, konfòme yo ak enstriksyon ki anba yo:

Si ou deja gen yon entegrasyon OIDC:

Pou kèk founisè OIDC, amelyore nan >= 0.3.16 mande pou jwenn yon siy rafrechi pou dimansyon aksè offline. Lè w fè sa, li asire w ke Firezone mete ajou ak founisè idantite a epi li fèmen koneksyon VPN apre yo fin efase yon itilizatè. Iterasyon pi bonè Firezone yo te manke karakteristik sa a. Nan kèk ka, itilizatè yo efase nan founisè idantite w la ka toujou konekte ak yon VPN.

Li nesesè pou mete aksè offline nan paramèt dimansyon nan konfigirasyon OIDC ou a pou founisè OIDC ki sipòte sijè ki abòde aksè a offline. Firezone-ctl rekonfigire dwe egzekite pou aplike chanjman nan fichye konfigirasyon Firezone, ki sitiye nan /etc/firezone/firezone.rb.

Pou itilizatè ki te otantifye pa founisè OIDC ou a, w ap wè tit Koneksyon OIDC nan paj detay itilizatè a nan UI entènèt la si Firezone kapab rekipere siy rafrechisman an avèk siksè.

Si sa pa mache, w ap bezwen efase aplikasyon OAuth ou a epi repete etap konfigirasyon OIDC yo pou kreye yon nouvo entegrasyon app .

Mwen gen yon entegrasyon OAuth ki egziste deja

Anvan 0.3.11, Firezone te itilize founisè OAuth2 ki te deja konfigirasyon yo. 

Swiv enstriksyon yo isit la pou emigre nan OIDC.

Mwen pa entegre yon founisè idantite

Pa gen aksyon ki nesesè. 

Ou ka swiv enstriksyon yo isit la pou pèmèt SSO atravè yon founisè OIDC.

Mizajou soti nan 0.3.1 a >= 0.3.2

Nan plas li, default ['firezone']['external url'] te ranplase opsyon konfigirasyon default ['firezone']['fqdn']. 

Mete sa a sou URL pòtal sou entènèt Firezone ou a ki aksesib pou piblik la an jeneral. Li pral default nan https:// plis FQDN nan sèvè ou a si li pa defini.

Fichye konfigirasyon an sitiye nan /etc/firezone/firezone.rb. Gade referans dosye konfigirasyon an pou yon lis konplè varyab konfigirasyon ak deskripsyon yo.

Mizajou soti nan 0.2.x rive nan 0.3.x

Firezone pa kenbe kle prive aparèy la ankò sou sèvè Firezone la apati vèsyon 0.3.0. 

Firezone Web UI la p ap pèmèt ou re-telechaje oswa wè konfigirasyon sa yo, men nenpòt aparèy ki egziste deja ta dwe kontinye opere jan yo ye.

Mizajou soti nan 0.1.x rive nan 0.2.x

Si w ap amelyore soti nan Firezone 0.1.x, gen kèk chanjman nan fichye konfigirasyon ki dwe adrese manyèlman. 

Pou fè modifikasyon ki nesesè yo nan dosye /etc/firezone/firezone.rb ou a, kouri kòmandman ki anba yo kòm rasin.

 

cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak

sed -i "s/\['pèmèt'\]/\['pèmèt'\]/" /etc/firezone/firezone.rb

eko "default ['firezone']['connectivity_checks']['enabled'] = vre" >> /etc/firezone/firezone.rb

eko "default ['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb

firezone-ctl reconfigure

firezone-ctl rekòmanse

Depanaj

Tcheke mòso bwa Firezone yo se yon premye etap ki gen bon konprann pou nenpòt pwoblèm ki ka rive.

Kouri sudo firezone-ctl ke pou wè mòso bwa Firezone yo.

Debogaj Pwoblèm Koneksyon

Majorite pwoblèm koneksyon ak Firezone se pa règ iptables oswa nftables enkonpatib. Ou dwe asire w ke nenpòt règ ou genyen an vigè pa konfli ak règ Firezone yo.

Koneksyon Entènèt tonbe lè Tinèl aktif

Asire w ke chèn FORWARD la pèmèt pakè soti nan kliyan WireGuard ou yo nan kote ou vle kite Firezone yo si koneksyon Entènèt ou a deteryore chak fwa ou aktive tinèl WireGuard ou a.

 

Sa a ka reyalize si w ap itilize ufw lè w asire w ke politik routage default la pèmèt:

 

ubuntu@fz:~$ sudo ufw default pèmèt routed

Règleman par défaut chanje an 'pèmèt'

(asire w ke ou mete ajou règ ou kòmsadwa)

 

A wow sitiyasyon pou yon sèvè Firezone tipik ta ka sanble sa a:

 

ubuntu@fz:~$ sudo ufw status verbose

Estati: aktif

Anrejistre: sou (ba)

Default: refize (ap fèk ap rantre), pèmèt (sòtan), pèmèt (route)

Nouvo pwofil: sote

 

Pou Aksyon Soti nan

— —— —-

22/tcp PÈMET NAN Nenpòt kote

80/tcp PÈMET NAN Nenpòt kote

443/tcp PÈMET NAN Nenpòt kote

51820/udp PÈMÈ NAN Nenpòt kote

22/tcp (v6) PÈMÈ nan nenpòt kote (v6)

80/tcp (v6) PÈMÈ nan nenpòt kote (v6)

443/tcp (v6) PÈMÈ nan nenpòt kote (v6)

51820/udp (v6) PÈMÈ nan nenpòt kote (v6)

Konsiderasyon Sekirite Sosyal

Nou konseye limite aksè nan koòdone entènèt la pou deplwaman pwodiksyon trè sansib ak misyon kritik, jan sa eksplike pi ba a.

Sèvis ak pò

 

Lapòs

Default Port

Koute Adrès

Deskripsyon

Nginx

80, 443

tout

Pò HTTP(S) piblik pou administre Firezone ak fasilite otantifikasyon.

gad fil

51820

tout

Pò WireGuard piblik yo itilize pou sesyon VPN yo. (UDP)

postgresql

15432

127.0.0.1

Pò lokal sèlman yo itilize pou sèvè Postgresql fourni.

Phoenix

13000

127.0.0.1

Pò lokal sèlman itilize pa sèvè aplikasyon eliksir en.

Pwodiksyon deplwaman

Nou konseye w reflechi sou restriksyon aksè nan UI entènèt ki ekspoze piblikman Firezone (pa default pò 443/tcp ak 80/tcp) epi olye pou w sèvi ak tinèl WireGuard la pou jere Firezone pou pwodiksyon ak deplwaman piblik kote yon sèl administratè pral responsab. nan kreye ak distribye konfigirasyon aparèy nan itilizatè final yo.

 

Pou egzanp, si yon administratè te kreye yon konfigirasyon aparèy epi li te kreye yon tinèl ak adrès WireGuard lokal 10.3.2.2, konfigirasyon ufw sa a ta pèmèt administratè a jwenn aksè nan Firezone entènèt UI sou koòdone wg-firezone sèvè a lè l sèvi avèk default 10.3.2.1. adrès tinèl:

 

root@demo:~# ufw status verbose

Estati: aktif

Anrejistre: sou (ba)

Default: refize (ap fèk ap rantre), pèmèt (sòtan), pèmèt (route)

Nouvo pwofil: sote

 

Pou Aksyon Soti nan

— —— —-

22/tcp PÈMET NAN Nenpòt kote

51820/udp PÈMÈ NAN Nenpòt kote

Nenpòt kote ki pèmèt nan 10.3.2.2

22/tcp (v6) PÈMÈ nan nenpòt kote (v6)

51820/udp (v6) PÈMÈ nan nenpòt kote (v6)

Sa a ta kite sèlman 22/tcp ekspoze pou aksè SSH pou jere sèvè a (si ou vle), epi 51820/udp ekspoze yo nan lòd yo etabli tinèl WireGuard.

Kouri SQL Queries

Firezone pakèt yon sèvè Postgresql ak matche psql sèvis piblik ki ka itilize nan koki lokal la tankou sa a:

 

/opt/firezone/embedded/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c "SQL_STATEMENT"

 

Sa a ka itil pou rezon debogaj.

 

Travay komen:

 

  • Lis tout itilizatè yo
  • Lis tout aparèy
  • Chanje wòl yon itilizatè
  • Fè bak baz done a



Lis tout itilizatè yo:

 

/opt/firezone/embedded/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c "Chwazi * soti nan itilizatè yo;"



Lis tout aparèy:

 

/opt/firezone/embedded/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c "Chwazi * soti nan aparèy;"



Chanje yon wòl itilizatè:

 

Mete wòl nan 'admin' oswa 'san privilejye':

 

/opt/firezone/embedded/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c “MIZAJOU itilizatè yo mete wòl = 'admin' WHERE imel = '[imèl pwoteje]';"



Fè bak baz done a:

 

Anplis de sa, enkli pwogram pil fatra pg la, ki ka itilize pou pran sovgad regilye nan baz done a. Egzekite kòd sa a pou jete yon kopi baz done a nan fòma rechèch SQL komen (ranplase /path/to/backup.sql ak kote yo ta dwe kreye dosye SQL la):

 

/opt/firezone/embedded/bin/pg_dump \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 > /path/to/backup.sql

itilizatè Gid

  • Ajoute Itilizatè yo
  • Ajoute Aparèy
  • Règ sou Sòti
  • Enstriksyon Kliyan yo
  • Split Tinèl VPN
  • Tinèl ranvèse 
  • NAT Gateway

Ajoute Itilizatè yo

Apre Firezone te deplwaye avèk siksè, ou dwe ajoute itilizatè yo pou ba yo aksè nan rezo ou a. Yo itilize UI Web pou fè sa.

 

Web UI


Lè w chwazi bouton "Ajoute Itilizatè" anba /users, ou ka ajoute yon itilizatè. Ou pral oblije bay itilizatè a yon adrès imel ak yon modpas. Pou pèmèt aksè a itilizatè yo nan òganizasyon w otomatikman, Firezone kapab tou koòdone ak senkronize ak yon founisè idantite. Plis detay yo disponib nan Otantifye. < Ajoute yon lyen pou Authenticate

Ajoute Aparèy

Nou konseye pou mande itilizatè yo kreye pwòp konfigirasyon aparèy yo pou kle prive a vizib sèlman pou yo. Itilizatè yo ka jenere konfigirasyon pwòp aparèy yo lè yo swiv enstriksyon yo sou la Enstriksyon Kliyan yo paj.

 

Jenere konfigirasyon aparèy admin

Tout konfigirasyon aparèy itilizatè yo ka kreye pa admin Firezone. Nan paj pwofil itilizatè a ki sitiye nan / itilizatè yo, chwazi opsyon "Ajoute Aparèy" pou akonpli sa.

 

[Antre yon ekran]

 

Ou ka imèl itilizatè a fichye konfigirasyon WireGuard apre ou fin kreye pwofil aparèy la.

 

Itilizatè yo ak aparèy yo lye. Pou plis detay sou kijan pou ajoute yon itilizatè, gade Ajoute Itilizatè yo.

Règ sou Sòti

Atravè sistèm netfilter nwayo a, Firezone pèmèt kapasite filtraj sòti pou presize pake DROP oswa ACCEPT. Tout trafik nòmalman pèmèt.

 

IPv4 ak IPv6 CIDR ak adrès IP yo sipòte atravè Allowlist la ak Denylist, respektivman. Ou ka chwazi pou aplike yon règ nan yon itilizatè lè w ajoute li, ki aplike règ la nan tout aparèy itilizatè sa a.

Enstriksyon Kliyan yo

Enstale ak configured

Pou etabli yon koneksyon VPN lè l sèvi avèk kliyan natif natal WireGuard, al gade nan gid sa a.

 

1. Enstale kliyan WireGuard natif natal la

 

Kliyan ofisyèl WireGuard ki sitiye isit la se konpatib Firezone:

 

MacOS

 

Windows

 

yo

 

android

 

Vizite sit entènèt ofisyèl WireGuard la nan https://www.wireguard.com/install/ pou sistèm OS ki pa mansyone pi wo a.

 

2. Telechaje dosye konfigirasyon aparèy la

 

Swa administratè Firezone ou oswa tèt ou ka jenere fichye konfigirasyon aparèy la lè l sèvi avèk pòtal Firezone la.

 

Vizite adrès URL administratè Firezone ou a bay pou l kreye yon dosye konfigirasyon aparèy. Konpayi ou a pral gen yon URL inik pou sa; nan ka sa a, li se https://instance-id.yourfirezone.com.

 

Konekte nan Firezone Okta SSO

 

[Mete Ekran]

 

3. Ajoute konfigirasyon kliyan an

 

Enpòte fichye a.conf nan kliyan WireGuard la lè w louvri li. Lè w baskile switch Aktive a, ou ka kòmanse yon sesyon VPN.

 

[Mete Ekran]

Reotantifikasyon sesyon

Swiv enstriksyon ki anba yo si administratè rezo w la te mande otantifikasyon renouvlab pou kenbe koneksyon VPN ou a aktif. 



Ou bezwen:

 

URL Portal Firezone a: Mande administratè rezo w la pou koneksyon an.

Administratè rezo ou a ta dwe kapab ofri login ou ak modpas ou. Sit Firezone a pral mande w pou w konekte ak yon sèl sèvis enskripsyon anplwayè w la itilize (tankou Google oswa Okta).

 

1. Fèmen koneksyon VPN

 

[Mete Ekran]

 

2. Otantifye ankò 

Ale nan URL Portal Firezone a epi konekte ak kalifikasyon administratè rezo w la bay yo. Si w deja konekte, klike sou bouton Reauthenticate la anvan w konekte ankò.

 

[Mete Ekran]

 

Etap 3: Lanse yon sesyon VPN

[Mete Ekran]

Manadjè Rezo pou Linux

Pou enpòte pwofil konfigirasyon WireGuard la lè l sèvi avèk Network Manager CLI sou aparèy Linux, swiv enstriksyon sa yo (nmcli).

NÒT

Si pwofil la gen sipò IPv6 pèmèt, eseye enpòte fichye konfigirasyon an lè l sèvi avèk Network Manager GUI ka echwe ak erè sa a:

ipv6.method: metòd "oto" pa sipòte pou WireGuard

1. Enstale Zouti WireGuard yo 

Li nesesè pou enstale sèvis piblik WireGuard userspace yo. Sa a pral yon pake ki rele wireguard oswa wireguard-tools pou distribisyon Linux.

Pou Ubuntu/Debian:

sudo apt enstale wireguard

Pou itilize Fedora:

sudo dnf enstale wireguard-tools

Arch Linux:

sudo pacman -S wireguard-tools

Vizite sit entènèt ofisyèl WireGuard la nan https://www.wireguard.com/install/ pou distribisyon ki pa mansyone pi wo a.

2. Telechaje konfigirasyon 

Swa administratè Firezone ou oswa jenerasyon pwòp tèt ou ka jenere fichye konfigirasyon aparèy la lè l sèvi avèk pòtal Firezone la.

Vizite adrès URL administratè Firezone ou a bay pou l kreye yon dosye konfigirasyon aparèy. Konpayi ou a pral gen yon URL inik pou sa; nan ka sa a, li se https://instance-id.yourfirezone.com.

[Mete Ekran]

3. Enpòte anviwònman

Enpòte fichye konfigirasyon apwovizyone a lè l sèvi avèk nmcli:

sudo nmcli koneksyon enpòte kalite wireguard fichye /path/to/configuration.conf

NÒT

Non fichye konfigirasyon an pral koresponn ak koneksyon/koòdone WireGuard la. Apre enpòte, koneksyon an ka chanje non si sa nesesè:

nmcli koneksyon modifye [ansyen non] connection.id [nouvo non]

4. Konekte oswa dekonekte

Atravè liy lòd la, konekte ak VPN a jan sa a:

koneksyon nmcli moute [non vpn]

Dekonekte:

koneksyon nmcli desann [non vpn]

Yo ka itilize applet Manadjè Rezo ki aplikab la tou pou jere koneksyon an si w ap itilize yon entèfas.

Koneksyon oto

Lè w chwazi "wi" pou opsyon otokonekte a, yo ka konfigirasyon koneksyon VPN la pou konekte otomatikman:

 

koneksyon nmcli modifye [non vpn] koneksyon. <<<<<<<<<<<<<<<<<<<<<<

 

otokonekte wi

 

Pou enfim koneksyon otomatik la, mete l 'tounen nan non:

 

koneksyon nmcli modifye [non vpn] koneksyon.

 

otokonekte non

Fè Otantifikasyon Multi-Faktè Disponib

Pou aktive MFA Ale nan /kont itilizatè/anrejistre paj mfa Portal Firezone a. Sèvi ak aplikasyon otantifikasyon ou a pou eskane kòd QR la apre li fin pwodwi, epi antre kòd sis chif la.

Kontakte Admin ou a pou reset enfòmasyon aksè kont ou a si ou pèdi aplikasyon otantifikatè w la.

Split Tinèl VPN

Tutorial sa a pral fè ou nan pwosesis la nan mete kanpe karakteristik tinèl divize WireGuard a ak Firezone pou ke se sèlman trafik nan chenn IP espesifik yo voye atravè sèvè VPN la.

 

1. Konfigure IP ki pèmèt yo 

Plas IP pou kliyan an pral wout trafik rezo yo tabli nan jaden IP ki pèmèt yo ki sitiye nan /settings/default paj la. Se sèlman konfigirasyon tinèl WireGuard ki fèk kreye pa Firezone ki pral afekte pa chanjman nan jaden sa a.

 

[Mete Ekran]



Valè default la se 0.0.0.0/0, ::/0, ki wout tout trafik rezo soti nan kliyan an nan sèvè VPN la.

 

Men kèk egzanp valè nan jaden sa a:

 

0.0.0.0/0, ::/0 – tout trafik rezo a pral dirije sou sèvè VPN a.

192.0.2.3/32 - sèlman trafik nan yon sèl adrès IP pral dirije nan sèvè VPN la.

3.5.140.0/22 ​​- sèlman trafik nan IP nan seri a 3.5.140.1 - 3.5.143.254 pral dirije nan sèvè VPN la. Nan egzanp sa a, yo te itilize seri CIDR pou rejyon AWS ap-northeast-2.



NÒT

Firezone chwazi koòdone sòti ki asosye ak wout ki pi egzak la an premye lè w ap detèmine kote pou w dirije yon pake.

 

2. Rejenere konfigirasyon WireGuard

Itilizatè yo dwe rejenere fichye konfigirasyon yo epi ajoute yo nan kliyan WireGuard natif natal yo pou yo mete ajou aparèy itilizatè ki egziste deja yo ak nouvo konfigirasyon tinèl fann yo.

 

Pou enstriksyon, gade ajoute aparèy. <<<<<<<<<<< Ajoute lyen

Tinèl ranvèse

Manyèl sa a pral montre kijan pou konekte de aparèy lè l sèvi avèk Firezone kòm yon relè. Yon ka itilize tipik se pèmèt yon administratè jwenn aksè nan yon sèvè, veso, oswa machin ki pwoteje pa yon NAT oswa firewall.

 

Ne pou Ne 

Ilistrasyon sa a montre yon senaryo senp kote Aparèy A ak B konstwi yon tinèl.

 

[Mete foto achitekti firezone]

 

Kòmanse pa kreye Aparèy A ak Aparèy B nan navige nan /users/[user_id]/new_device. Nan paramèt yo pou chak aparèy, asire paramèt sa yo mete nan valè ki nan lis anba a. Ou ka mete paramèt aparèy lè w ap kreye konfigirasyon aparèy la (gade Ajoute Aparèy). Si ou bezwen mete ajou paramèt yo sou yon aparèy ki egziste deja, ou ka fè sa lè w jenere yon nouvo konfigirasyon aparèy.

 

Remake byen ke tout aparèy yo gen yon paj /settings/defaults kote PersistentKeepalive ka konfigirasyon.

 

Aparèy A

 

AllowedIPs = 10.3.2.2/32

  Sa a se IP oswa seri IP nan Aparèy B

PersistentKeepalive = 25

  Si aparèy la dèyè yon NAT, sa asire ke aparèy la kapab kenbe tinèl la vivan epi kontinye resevwa pakè nan koòdone WireGuard la. Anjeneral yon valè 25 ase, men ou ka bezwen diminye valè sa a selon anviwònman ou.



B aparèy

 

AllowedIPs = 10.3.2.3/32

Sa a se IP oswa seri IP nan Aparèy A

PersistentKeepalive = 25

Ka Admin - Youn a anpil nœuds

Egzanp sa a montre yon sitiyasyon kote Aparèy A ka kominike ak Aparèy B jiska D nan toude direksyon. Konfigirasyon sa a ka reprezante yon enjenyè oswa yon administratè ki gen aksè a plizyè resous (sèvè, resipyan, oswa machin) atravè divès rezo.

 

[Dyagram achitekti]<<<<<<<<<<<<<<<<<<<<<<<

 

Asire w ke paramèt sa yo fèt nan paramèt chak aparèy nan valè korespondan yo. Lè w ap kreye konfigirasyon aparèy la, ou ka presize paramèt aparèy (gade Ajoute Aparèy). Yon nouvo konfigirasyon aparèy ka kreye si paramèt sou yon aparèy ki egziste deja bezwen mete ajou.

 

Aparèy A (Administratè Ne)

 

AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32 

    Sa a se IP aparèy B jiska D. IP aparèy B jiska D dwe enkli nan nenpòt seri IP ou chwazi pou mete.

PersistentKeepalive = 25 

    Sa a garanti ke aparèy la ka kenbe tinèl la epi kontinye resevwa pakè nan koòdone WireGuard la menm si li pwoteje pa yon NAT. Nan pifò ka yo, yon valè de 25 adekwat, sepandan selon anviwònman ou, ou ta ka bezwen bese figi sa a.

 

Aparèy B

 

  • AllowedIPs = 10.3.2.2/32: Sa a se IP oswa seri IP nan Aparèy A.
  • PersistentKeepalive = 25

Aparèy C

 

  • AllowedIPs = 10.3.2.2/32: Sa a se IP oswa seri IP nan Aparèy A.
  • PersistentKeepalive = 25

Aparèy D

 

  • AllowedIPs = 10.3.2.2/32: Sa a se IP oswa seri IP nan Aparèy A.
  • PersistentKeepalive = 25

NAT Gateway

Pou ofri yon sèl IP sòti estatik pou tout trafik ekip ou a soti nan, Firezone ka itilize kòm yon pòtay NAT. Sitiyasyon sa yo enplike itilizasyon souvan li yo:

 

Angajman Konsiltasyon: Mande pou kliyan ou an lis yon sèl adrès IP estatik olye ke IP aparèy inik chak anplwaye.

Sèvi ak yon prokurasyon oswa maske IP sous ou pou rezon sekirite oswa vi prive.

 

Nan pòs sa a pral montre yon senp egzanp limite aksè a yon aplikasyon entènèt pwòp tèt ou akomode nan yon sèl IP estatik ki nan lis blan ki ap kouri Firezone. Nan ilistrasyon sa a, Firezone ak resous ki pwoteje yo nan diferan zòn VPC.

 

Solisyon sa a se souvan itilize nan plas jere yon lis blan IP pou itilizatè fen anpil, ki ka pran tan kòm lis aksè a elaji.

Egzanp AWS

Objektif nou se mete yon sèvè Firezone sou yon egzanp EC2 pou redireksyon trafik VPN nan resous ki genyen restriksyon an. Nan ka sa a, Firezone ap sèvi kòm yon proxy rezo oswa pòtay NAT pou bay chak aparèy ki konekte yon IP sòti piblik inik.

 

1. Enstale sèvè Firezone la

Nan ka sa a, yon egzanp EC2 ki rele tc2.micro gen yon egzanp Firezone enstale sou li. Pou jwenn enfòmasyon sou deplwaye Firezone, ale nan Gid Deplwaman an. An relasyon ak AWS, asire w ke:

 

Gwoup sekirite egzanp Firezone EC2 a pèmèt trafik soti nan adrès IP resous ki pwoteje a.

Enstans Firezone a vini ak yon IP elastik. Trafik ki voye atravè egzanp Firezone a nan destinasyon deyò pral gen sa a kòm adrès IP sous li yo. Adrès IP nan kesyon an se 52.202.88.54.

 

[Mete Ekran]<<<<<<<<<<<<<<<<<<<<<<<<

 

2. Mete restriksyon sou aksè nan resous ke yap pwoteje a

Yon aplikasyon entènèt oto-hébergé sèvi kòm resous ki pwoteje nan ka sa a. Ou ka jwenn aksè nan aplikasyon entènèt la sèlman lè demann ki soti nan adrès IP 52.202.88.54. Tou depan de resous la, li ka nesesè pou pèmèt trafik entrant sou divès pò ak kalite trafik. Sa a pa kouvri nan manyèl sa a.

 

[Antre yon ekran]<<<<<<<<<<<<<<<<<<<<<<<<

 

Tanpri di twazyèm pati ki an chaj resous ki pwoteje a ke trafik soti nan IP estatik defini nan Etap 1 dwe pèmèt (nan ka sa a 52.202.88.54).

 

3. Sèvi ak sèvè VPN a pou dirije trafik nan resous ki pwoteje a

 

Pa default, tout trafik itilizatè yo pral pase nan sèvè VPN a epi yo soti nan IP estatik ki te konfigirasyon nan Etap 1 (nan ka sa a 52.202.88.54). Sepandan, si fann tinèl yo te pèmèt, paramèt yo ta ka nesesè pou asire IP destinasyon resous ki pwoteje yo ki nan lis pami IP ki pèmèt yo.

Ajoute Tèks Tit ou Isit la

Yo montre anba a yon lis konplè opsyon konfigirasyon ki disponib nan /etc/firezone/firezone.rb.



opsyon

deskripsyon

valè default

default ['firezone']['external_url']

URL yo itilize pou jwenn aksè nan pòtal entènèt egzanp Firezone sa a.

"https://#{node['fqdn'] || ne ['hostname']}”

default ['firezone']['config_directory']

Anyè nivo siperyè pou konfigirasyon Firezone.

/etc/firezone'

default ['firezone']['install_directory']

Anyè nivo siperyè pou enstale Firezone.

/opt/firezone'

default ['firezone']['app_directory']

Anyè nivo siperyè pou enstale aplikasyon entènèt Firezone.

"#{node['firezone']['install_directory']}/embedded/service/firezone”

default ['firezone']['log_directory']

Anyè siperyè pou mòso bwa Firezone.

/var/log/firezone'

default ['firezone']['var_directory']

Anyè nivo siperyè pou dosye Firezone ègzekutabl.

/var/opt/firezone'

default ['firezone']['itilizatè']

Non itilizatè Linux ki pa gen privilèj pifò sèvis ak dosye yo pral fè pati.

firezone'

default ['firezone']['gwoup']

Non gwoup Linux pifò sèvis ak dosye yo pral fè pati.

firezone'

default ['firezone']['admin_email']

Adrès imèl pou premye itilizatè Firezone.

"firezone@localhost"

default ['firezone']['max_devices_per_user']

Maksimòm kantite aparèy yon itilizatè ka genyen.

10

default ['firezone']['allow_unprivileged_device_management']

Pèmèt itilizatè ki pa admin yo kreye ak efase aparèy.

VERITE

default ['firezone']['allow_unprivileged_device_configuration']

Pèmèt itilizatè ki pa admin modifye konfigirasyon aparèy yo. Lè enfim, anpeche itilizatè ki pa gen privilèj chanje tout jaden aparèy eksepte non ak deskripsyon.

VERITE

default ['firezone']['egress_interface']

Non koòdone kote trafik tinèl pral sòti. Si nil, yo pral itilize koòdone wout default la.

nil

default ['firezone']['fips_enabled']

Aktive oswa enfim mòd OpenSSL FIPs.

nil

default ['firezone']['logging']['enabled']

Pèmèt oswa enfim antre nan Firezone. Mete sou fo pou enfim totalman antre.

VERITE

default ['antrepriz']['non']

Non liv kwit manje Chef 'antrepriz' la itilize.

firezone'

default ['firezone']['install_path']

Enstale chemen ki itilize pa Chef 'antrepriz' liv kwit manje. Yo ta dwe mete nan menm jan ak install_directory ki pi wo a.

node ['firezone']['install_directory']

default ['firezone']['sysvinit_id']

Yon idantifyan yo itilize nan /etc/inittab. Dwe gen yon sekans inik nan 1-4 karaktè.

SUP'

default ['firezone']['otantifikasyon']['lokal']['enabled']

Pèmèt oswa enfim otantifikasyon lokal imel/modpas.

VERITE

default ['firezone']['otantifikasyon']['auto_create_oidc_users']

Otomatikman kreye itilizatè ki konekte nan OIDC pou premye fwa. Enfim pou pèmèt sèlman itilizatè ki egziste deja yo konekte atravè OIDC.

VERITE

default ['firezone']['otantifikasyon']['disable_vpn_on_oidc_error']

Enfim VPN yon itilizatè si yon erè detekte ap eseye rafrechi siy OIDC yo.

FO

default ['firezone']['otantifikasyon']['oidc']

OpenID Connect konfigirasyon, nan fòma {“provider” => [config…]} – Gade Dokiman OpenIDConnect pou egzanp konfigirasyon.

{}

default ['firezone']['nginx']['enabled']

Aktive oswa enfim sèvè nginx ki te pake a.

VERITE

default ['firezone']['nginx']['ssl_port']

HTTPS pò koute.

443

default ['firezone']['nginx']['anyè']

Anyè pou sere konfigirasyon lame vityèl nginx ki gen rapò ak Firezone.

"#{node['firezone']['var_directory']}/nginx/etc"

default ['firezone']['nginx']['log_directory']

Anyè pou estoke dosye nginx ki gen rapò ak Firezone.

"#{node['firezone']['log_directory']}/nginx"

default ['firezone']['nginx']['log_rotation']['file_maxbytes']

Gwosè dosye nan ki wotasyon dosye log Nginx.

104857600

default ['firezone']['nginx']['log_rotation']['num_to_keep']

Kantite dosye Firezone nginx pou kenbe anvan ou jete.

10

default ['firezone']['nginx']['log_x_forwarded_for']

Kit pou konekte Firezone nginx x-forwarded-for header.

VERITE

default ['firezone']['nginx']['hsts_header']['enabled']

Pèmèt oswa enfim HSTS.

VERITE

default ['firezone']['nginx']['hsts_header']['include_subdomains']

Aktive oswa enfim includeSubDomains pou header HSTS la.

VERITE

default ['firezone']['nginx']['hsts_header']['max_age']

Laj maksimòm pou header HSTS la.

31536000

default ['firezone']['nginx']['redirect_to_canonical']

Kit pou redireksyon URL yo nan FQDN kanonik ki espesifye pi wo a

FO

default ['firezone']['nginx']['cache']['enabled']

Aktive oswa enfim Firezone nginx kachèt la.

FO

default ['firezone']['nginx']['cache']['anyè']

Anyè pou Firezone nginx kachèt.

"#{node['firezone']['var_directory']}/nginx/cache"

default ['firezone']['nginx']['itilizatè']

Firezone nginx itilizatè.

ne ['firezone']['itilizatè']

default ['firezone']['nginx']['group']

Firezone nginx gwoup.

ne ['firezone']['gwoup']

default ['firezone']['nginx']['dir']

Anyè konfigirasyon nginx siperyè.

node ['firezone']['nginx']['anyè']

default ['firezone']['nginx']['log_dir']

Anyè log nginx siperyè.

node ['firezone']['nginx']['log_directory']

default ['firezone']['nginx']['pid']

Kote pou dosye nginx pid.

"#{node['firezone']['nginx']['anyè']}/nginx.pid"

default ['firezone']['nginx']['daemon_disable']

Enfim mòd nginx demon pou nou ka kontwole li pito.

VERITE

default ['firezone']['nginx']['gzip']

Limen oswa etenn konpresyon nginx gzip.

sou '

default ['firezone']['nginx']['gzip_static']

Limen oswa koupe konpresyon nginx gzip pou fichye estatik.

koupe'

default ['firezone']['nginx']['gzip_http_version']

Vèsyon HTTP pou itilize pou sèvi fichye estatik.

1.0 '

default ['firezone']['nginx']['gzip_comp_level']

nginx gzip nivo konpresyon.

2 '

default ['firezone']['nginx']['gzip_proxied']

Pèmèt oswa enfim gzipping repons pou demann proxy depann sou demann lan ak repons.

nenpòt'

default ['firezone']['nginx']['gzip_vary']

Pèmèt oswa enfim mete tèt repons "Vary: Aksepte-Kodaj".

koupe'

default ['firezone']['nginx']['gzip_buffers']

Mete kantite ak gwosè tanpon yo itilize pou konprese yon repons. Si nil, nginx default yo itilize.

nil

default ['firezone']['nginx']['gzip_types']

Kalite MIME pou pèmèt konpresyon gzip pou.

['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' tèks/javascript', 'aplikasyon/javascript', 'aplikasyon/json']

default ['firezone']['nginx']['gzip_min_length']

Longè minimòm fichye pou pèmèt konpresyon gzip fichye a.

1000

default ['firezone']['nginx']['gzip_disable']

Itilizatè-ajan matcher pou enfim konpresyon gzip pou.

MSIE [1-6]\.'

default ['firezone']['nginx']['keepalive']

Aktive kachèt pou koneksyon ak sèvè en.

sou '

default ['firezone']['nginx']['keepalive_timeout']

Timeout nan segonn pou koneksyon kenbe-alive nan sèvè en.

65

default ['firezone']['nginx']['worker_processes']

Kantite pwosesis travayè nginx.

ne['cpu'] && ne['cpu']['total'] ? ne['cpu']['total'] : 1

default ['firezone']['nginx']['worker_connections']

Max kantite koneksyon similtane ki ka louvri pa yon pwosesis travayè.

1024

default ['firezone']['nginx']['worker_rlimit_nofile']

Chanje limit la sou kantite maksimòm dosye ouvè pou pwosesis travayè yo. Itilize nginx default si nil.

nil

default ['firezone']['nginx']['multi_accept']

Si travayè yo ta dwe aksepte yon sèl koneksyon alafwa oswa plizyè.

VERITE

default ['firezone']['nginx']['evènman']

Espesifye metòd pwosesis koneksyon yo itilize andedan kontèks evènman nginx.

epoll'

default ['firezone']['nginx']['server_tokens']

Pèmèt oswa enfim emèt vèsyon nginx sou paj erè ak nan jaden an tèt repons "Sèvè".

nil

default ['firezone']['nginx']['server_names_hash_bucket_size']

Etabli gwosè bokit la pou tab hash non sèvè yo.

64

default ['firezone']['nginx']['sendfile']

Pèmèt oswa enfim itilizasyon sendfile nginx a ().

sou '

default ['firezone']['nginx']['access_log_options']

Mete opsyon log aksè nginx.

nil

default ['firezone']['nginx']['error_log_options']

Mete opsyon nginx nan boutèy demi lit erè.

nil

default ['firezone']['nginx']['disable_access_log']

Enfim log aksè nginx.

FO

default ['firezone']['nginx']['types_hash_max_size']

nginx kalite hash gwosè max.

2048

default ['firezone']['nginx']['types_hash_bucket_size']

nginx kalite bokit hash gwosè.

64

default ['firezone']['nginx']['proxy_read_timeout']

nginx proxy lekti tan. Mete sou nil pou itilize nginx default.

nil

default ['firezone']['nginx']['client_body_buffer_size']

gwosè tanpon kò kliyan nginx. Mete sou nil pou itilize nginx default.

nil

default ['firezone']['nginx']['client_max_body_size']

nginx kliyan max gwosè kò.

250m '

default ['firezone']['nginx']['default']['modul']

Espesifye modil nginx adisyonèl.

[]

default ['firezone']['nginx']['enable_rate_limiting']

Aktive oswa enfim limit to nginx.

VERITE

default ['firezone']['nginx']['rate_limiting_zone_name']

Nginx pousantaj limite zòn non.

firezone'

default ['firezone']['nginx']['rate_limiting_backoff']

Nginx pousantaj limite backoff.

10m '

default ['firezone']['nginx']['rate_limit']

Limit to Nginx.

10r/s'

default ['firezone']['nginx']['ipv6']

Pèmèt nginx koute demann HTTP pou IPv6 anplis IPv4.

VERITE

default ['firezone']['postgresql']['enabled']

Aktive oswa enfim Postgresql ki pakè. Mete sou fo epi ranpli opsyon baz done ki anba yo pou itilize pwòp egzanp Postgresql ou.

VERITE

default ['firezone']['postgresql']['username']

Non itilizatè pou Postgresql.

ne ['firezone']['itilizatè']

default ['firezone']['postgresql']['data_directory']

Anyè done Postgresql.

"#{node['firezone']['var_directory']}/postgresql/13.3/data"

default ['firezone']['postgresql']['log_directory']

Anyè log postgresql.

"#{node['firezone']['log_directory']}/postgresql"

default ['firezone']['postgresql']['log_rotation']['file_maxbytes']

Gwosè maksimòm dosye Postgresql anvan li vire.

104857600

default ['firezone']['postgresql']['log_rotation']['num_to_keep']

Kantite dosye log Postgresql pou kenbe.

10

default ['firezone']['postgresql']['checkpoint_completion_target']

Postgresql pòs kontwòl sib fini.

0.5

default ['firezone']['postgresql']['checkpoint_segments']

Kantite segman pòs Postgresql.

3

default ['firezone']['postgresql']['checkpoint_timeout']

Delè postgresql pòs.

5min'

default ['firezone']['postgresql']['checkpoint_warning']

Tan avètisman postgresql an segonn.

30s'

default ['firezone']['postgresql']['effective_cache_size']

Gwosè kachèt efikas Postgresql.

128MB'

default ['firezone']['postgresql']['listen_address']

Postgresql koute adrès.

127.0.0.1 '

default ['firezone']['postgresql']['max_connections']

Postgresql max koneksyon.

350

default ['firezone']['postgresql']['md5_auth_cidr_addresses']

CIDR Postgresql pou pèmèt pou otorizasyon md5.

['127.0.0.1/32', '::1/128']

default ['firezone']['postgresql']['port']

Postgresql koute pò.

15432

default ['firezone']['postgresql']['shared_buffers']

Postgresql pataje tanpon gwosè.

"#{(node['memwa']['total'].to_i / 4) / 1024}MB"

default ['firezone']['postgresql']['shmmax']

Postgresql shmmax nan byte.

17179869184

default ['firezone']['postgresql']['shmall']

Postgresql shmall nan byte.

4194304

default ['firezone']['postgresql']['work_mem']

Postgresql travay gwosè memwa.

8MB'

default ['firezone']['baz done']['itilizatè']

Espesifye non itilizatè Firezone pral itilize pou konekte ak DB a.

node ['firezone']['postgresql']['username']

default ['firezone']['baz done']['modpas']

Si w ap itilize yon DB ekstèn, presize modpas Firezone pral itilize pou konekte avèk DB.

chanje mwen'

default ['firezone']['database']['non']

Baz done ke Firezone pral itilize. Yo pral kreye si li pa egziste.

firezone'

default ['firezone']['database']['host']

Lame baz done ki Firezone pral konekte.

node ['firezone']['postgresql']['listen_address']

default ['firezone']['baz done']['pò']

Pò baz done ki Firezone pral konekte.

node ['firezone']['postgresql']['port']

default ['firezone']['database']['pool']

Gwosè pisin baz done Firezone pral itilize.

[10, Etc.nprocessors].max

default ['firezone']['database']['ssl']

Kit pou konekte ak baz done a sou SSL.

FO

default ['firezone']['database']['ssl_opts']

Hash nan opsyon yo voye nan opsyon nan :ssl_opts lè w konekte sou SSL. Gade Dokiman Ecto.Adapters.Postgres.

{}

default ['firezone']['baz done']['paramèt']

Hash nan paramèt yo voye nan opsyon nan:paramèt lè w konekte ak baz done a. Gade Dokiman Ecto.Adapters.Postgres.

{}

default ['firezone']['database']['extensions']

Ekstansyon baz done pou pèmèt.

{ 'plpgsql' => vre, 'pg_trgm' => vre }

default ['firezone']['phoenix']['enabled']

Aktive oswa enfim aplikasyon entènèt Firezone la.

VERITE

default ['firezone']['phoenix']['listen_address']

Adrès pou koute aplikasyon entènèt Firezone. Sa a pral adrès la koute en ki proksi nginx.

127.0.0.1 '

default ['firezone']['phoenix']['port']

Firezone aplikasyon entènèt koute pò. Sa a pral pò a en ki proksi nginx.

13000

default ['firezone']['phoenix']['log_directory']

Anyè jounal aplikasyon entènèt Firezone.

"#{node['firezone']['log_directory']}/phoenix"

default ['firezone']['phoenix']['log_rotation']['file_maxbytes']

Firezone aplikasyon entènèt gwosè dosye.

104857600

default ['firezone']['phoenix']['log_rotation']['num_to_keep']

Kantite fichye journal aplikasyon entènèt Firezone pou kenbe.

10

default ['firezone']['phoenix']['crash_detection']['enabled']

Pèmèt oswa enfim desann aplikasyon entènèt Firezone a lè yo detekte yon aksidan.

VERITE

default ['firezone']['phoenix']['external_trusted_proxies']

Lis prokurasyon ranvèse ou fè konfyans ki gen fòma kòm yon etalaj IP ak/oswa CIDR.

[]

default ['firezone']['phoenix']['private_clients']

Lis kliyan HTTP rezo prive yo, fòmate yon etalaj IP ak/oswa CIDR.

[]

default ['firezone']['wireguard']['enabled']

Pèmèt oswa enfim jesyon WireGuard pake.

VERITE

default ['firezone']['wireguard']['log_directory']

Anyè Log pou jesyon WireGuard ki pakè.

"#{node['firezone']['log_directory']}/wireguard"

default ['firezone']['wireguard']['log_rotation']['file_maxbytes']

WireGuard boutèy demi lit max gwosè.

104857600

default ['firezone']['wireguard']['log_rotation']['num_to_keep']

Kantite dosye WireGuard pou kenbe.

10

default ['firezone']['wireguard']['interface_name']

Non koòdone WireGuard. Chanje paramèt sa a ka lakòz yon pèt tanporè nan koneksyon VPN.

wg-firezone'

default ['firezone']['wireguard']['port']

WireGuard koute pò.

51820

default ['firezone']['wireguard']['mtu']

WireGuard koòdone MTU pou sèvè sa a ak pou konfigirasyon aparèy.

1280

default ['firezone']['wireguard']['endpoint']

WireGuard Endpoint pou itilize pou jenere konfigirasyon aparèy. Si nil, default nan adrès IP piblik sèvè a.

nil

default ['firezone']['wireguard']['dns']

WireGuard DNS pou itilize pou konfigirasyon aparèy pwodwi yo.

1.1.1.1, 1.0.0.1′

default ['firezone']['wireguard']['allowed_ips']

WireGuard AllowedIPs pou itilize pou konfigirasyon aparèy pwodwi yo.

0.0.0.0/0, ::/0′

default ['firezone']['wireguard']['persistent_keepalive']

Anviwònman Default PersistentKeepalive pou konfigirasyon aparèy pwodwi yo. Yon valè 0 enfim.

0

default ['firezone']['wireguard']['ipv4']['enabled']

Aktive oswa enfim IPv4 pou rezo WireGuard.

VERITE

default ['firezone']['wireguard']['ipv4']['masquerade']

Aktive oswa enfim Masquerade pou pake ki kite tinèl IPv4 la.

VERITE

default ['firezone']['wireguard']['ipv4']['rezo']

Pisin adrès IPv4 rezo WireGuard.

10.3.2.0/24 ′

default ['firezone']['wireguard']['ipv4']['address']

Adrès IPv4 koòdone WireGuard. Dwe nan pisin adrès WireGuard.

10.3.2.1 '

default ['firezone']['wireguard']['ipv6']['enabled']

Aktive oswa enfim IPv6 pou rezo WireGuard.

VERITE

default ['firezone']['wireguard']['ipv6']['masquerade']

Aktive oswa enfim Masquerade pou pake ki kite tinèl IPv6 la.

VERITE

default ['firezone']['wireguard']['ipv6']['rezo']

Pisin adrès IPv6 rezo WireGuard.

fd00::3:2:0/120′

default ['firezone']['wireguard']['ipv6']['address']

Adrès IPv6 koòdone WireGuard. Dwe nan pisin adrès IPv6.

fd00::3:2:1′

default ['firezone']['runit']['svlogd_bin']

Runit svlogd bin kote.

"#{node['firezone']['install_directory']}/embedded/bin/svlogd"

default ['firezone']['ssl']['anyè']

Anyè SSL pou estoke sètifika pwodwi yo.

/var/opt/firezone/ssl'

default ['firezone']['ssl']['email_address']

Adrès imèl pou itilize pou sètifika ki siyen pwòp tèt ou ak avi renouvèlman pwotokòl ACME.

[imèl pwoteje]'

default ['firezone']['ssl']['acme']['enabled']

Pèmèt ACME pou pwovizyon otomatik SSL sètifika. Enfim sa a pou anpeche Nginx koute sou pò 80. Gade isit la pou plis enstriksyon.

FO

default ['firezone']['ssl']['acme']['sèvè']

Sèvè ACME pou itilize pou emisyon/renouvèlman sètifika. Kapab nenpòt valab sèvè acme.sh

letsencrypt

default ['firezone']['ssl']['acme']['keylength']

Espesifye kalite kle a ak longè pou sètifika SSL. Gade isit la

ec-256

default ['firezone']['ssl']['sètifika']

Chemen nan dosye sètifika a pou FQDN ou a. Ranplase anviwònman ACME anlè a si yo espesifye. Si tou de ACME ak sa a se nil, yo pral pwodwi yon sètifika oto-siyen.

nil

default ['firezone']['ssl']['certificate_key']

Chemen nan dosye sètifika a.

nil

default ['firezone']['ssl']['ssl_dhparam']

nginx ssl dh_param.

nil

default ['firezone']['ssl']['country_name']

Non peyi pou sètifye pwòp tèt ou siyen.

US'

default ['firezone']['ssl']['state_name']

Eta non sètifika ki siyen tèt li.

CA '

default ['firezone']['ssl']['locality_name']

Non lokal pou sètifika ki siyen tèt li.

Sann Fransisko'

default ['firezone']['ssl']['company_name']

Non konpayi sètifye pwòp tèt ou siyen.

Konpayi mwen an'

default ['firezone']['ssl']['organizational_unit_name']

Non inite òganizasyonèl pou sètifika oto-siyen.

Operasyon yo

default ['firezone']['ssl']['chiffre']

Chif SSL pou nginx itilize.

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’

default ['firezone']['ssl']['fips_ciphers']

SSL chifreman pou mòd FIPs.

Fip@STRENGTH:!aNULL:!eNULL'

default ['firezone']['ssl']['pwotokòl']

Pwotokòl TLS pou itilize.

TLSv1 TLSv1.1 TLSv1.2′

default ['firezone']['ssl']['session_cache']

SSL sesyon kachèt.

pataje:SSL:4m'

default ['firezone']['ssl']['session_timeout']

SSL sesyon delè.

5m '

default ['firezone']['robots_allow']

nginx robo pèmèt.

/'

default ['firezone']['robots_disallow']

nginx robo pa pèmèt.

nil

default ['firezone']['outbound_email']['soti nan']

Imèl soti nan adrès.

nil

default ['firezone']['outbound_email']['provider']

Founisè sèvis imel sortant.

nil

default ['firezone']['outbound_email']['configs']

Konfigirasyon founisè imel sortant.

gade omnibus/cookbooks/firezone/attributes/default.rb

default ['firezone']['telemetry']['enabled']

Aktive oswa enfim telemetri pwodwi anonim.

VERITE

default ['firezone']['connectivity_checks']['enabled']

Aktive oswa enfim sèvis chèk koneksyon Firezone la.

VERITE

default ['firezone']['connectivity_checks']['interval']

Entèval ant chèk koneksyon an segonn.

3_600



________________________________________________________________

 

Kote Fichye Ak Anyè

 

La a ou pral jwenn yon lis fichye ak repèrtwar ki gen rapò ak yon enstalasyon tipik Firezone. Sa yo ka chanje selon chanjman nan dosye konfigirasyon ou a.



chemen

deskripsyon

/var/opt/firezone

Anyè nivo siperyè ki gen done ak konfigirasyon ki pwodui pou sèvis Firezone pakè.

/ opt / firezone

Anyè nivo siperyè ki gen bibliyotèk konstwi, binè ak fichye tan ki nesesè pou Firezone.

/usr/bin/firezone-ctl

Firezone-ctl sèvis piblik pou jere enstalasyon Firezone ou a.

/etc/systemd/system/firezone-runsvdir-start.service

fichye inite systemd pou kòmanse pwosesis sipèvizè Firezone runsvdir la.

/etc/firezone

Fichye konfigirasyon Firezone.



__________________________________________________________

 

Modèl firewall

 

Paj sa a te vid nan docs

 

_____________________________________________________________

 

Nftables Firewall Modèl

 

Yo ka itilize modèl firewall nftables sa yo pou sekirize sèvè ki kouri Firezone. Modèl la fè kèk sipozisyon; ou ka bezwen ajiste règ yo pou adapte ka itilizasyon ou:

  • Koòdone WireGuard la rele wg-firezone. Si sa a pa kòrèk, chanje varyab DEV_WIREGUARD pou matche ak opsyon konfigirasyon default ['firezone']['wireguard']['interface_name'].
  • Pò WireGuard ap koute a se 51820. Si w pa itilize pò default la chanje varyab WIREGUARD_PORT la.
  • Sèlman trafik entrant sa yo pral pèmèt nan sèvè a:
    • SSH (TCP pò 22)
    • HTTP (TCP pò 80)
    • HTTPS (TCP pò 443)
    • WireGuard (pò UDP WIREGUARD_PORT)
    • UDP traceroute (UDP pò 33434-33524, pousantaj limite a 500 / segonn)
    • ICMP ak ICMPv6 (pousantaj repons ping / ping limite a 2000 / segonn)
  • Sèlman trafik sortant sa yo pral pèmèt soti nan sèvè a:
    • DNS (UDP ak TCP pò 53)
    • HTTP (TCP pò 80)
    • NTP (UDP pò 123)
    • HTTPS (TCP pò 443)
    • Soumèt SMTP (TCP pò 587)
    • UDP traceroute (UDP pò 33434-33524, pousantaj limite a 500 / segonn)
  • Yo pral anrejistre trafik ki pa egal. Règ yo itilize pou antre yo separe ak règ yo jete trafik epi yo limite pousantaj. Retire règ enpòtan yo pa pral afekte trafik.

Règ Firezone Jere

Firezone configure pwòp règ nftables li yo pou pèmèt/rejte trafik nan destinasyon ki konfigirasyon nan koòdone entènèt la ak okipe NAT sortan pou trafik kliyan.

Aplike modèl firewall ki anba a sou yon sèvè ki deja ap fonksyone (pa nan moman demaraj) sa pral lakòz règ Firezone yo otorize. Sa a ka gen enplikasyon sekirite.

Pou travay sou sa a rekòmanse sèvis Phoenix la:

firezone-ctl rekòmanse Phoenix

Baz Firewall Modèl

#!/usr/sbin/nft -f

 

## Kle/retire tout règ ki egziste deja

kole règ

 

############################### VARIABLES ################# ###############

## Non koòdone Entènèt/WAN

defini DEV_WAN = eth0

 

## Non koòdone WireGuard

defini DEV_WIREGUARD = wg-firezone

 

## WireGuard koute pò

defini WIREGUARD_PORT = 51820

############################# VARIABLES FINI ################## ############

 

# Main inet fanmi filtraj tab

tab inet filter {

 

 # Règ pou trafik voye

 # Chèn sa a trete anvan chèn pou pi devan Firezone la

 chèn pi devan {

   kalite filtre zen filtè priyorite pou pi devan - 5; politik aksepte

 }

 

 # Règ pou trafik antre

 chèn antre {

   kalite filtre zen filtre priyorite opinyon; gout politik

 

   ## Pèmèt trafik antre nan koòdone loopback

   iif lo \

     aksepte \

     kòmantè "Pèmèt tout trafik soti nan koòdone loopback"

 

   ## Pèmi etabli ak koneksyon ki gen rapò

   ct eta etabli,ki gen rapò \

     aksepte \

     kòmantè "Pèmi koneksyon etabli/ki gen rapò"

 

   ## Pèmèt trafik WireGuard antre

   iif $DEV_WAN udp dport $WIREGUARD_PORT \

     kontwa \

     aksepte \

     kòmantè "Pèmèt trafik WireGuard antre"

 

   ## Log epi depoze nouvo pake TCP ki pa SYN

   tcp flags != syn ct eta nouvo \

     to limit 100/ minit pete 150 pake \

     log prefiks “NAN – Nouvo !SYN: “ \

     kòmantè "Logging limit pousantaj pou nouvo koneksyon ki pa gen drapo SYN TCP la mete"

   tcp flags != syn ct eta nouvo \

     kontwa \

     gout \

     kòmantè "Depoze nouvo koneksyon ki pa gen drapo SYN TCP la mete"

 

   ## Anrejistre epi depoze pakè TCP ak drapo fin/syn ki pa valab

   tcp drapo & (fin|syn) == (fin|syn) \

     to limit 100/ minit pete 150 pake \

     log prefiks “IN – TCP FIN|SIN:” \

     kòmantè "Enregistre limit pousantaj pou pake TCP ak drapo fin/syn envalid"

   tcp drapo & (fin|syn) == (fin|syn) \

     kontwa \

     gout \

     kòmantè "Depoze pakè TCP ak drapo fin/syn ki pa valab"

 

   ## Anrejistre epi depoze pakè TCP yo ak drapo syn/rst ki pa valab

   tcp drapo & (syn|rst) == (syn|rst) \

     to limit 100/ minit pete 150 pake \

     log prefiks “IN – TCP SYN|RST:” \

     kòmantè "Enregistre limit pousantaj pou pake TCP ak drapo syn/premye envalid"

   tcp drapo & (syn|rst) == (syn|rst) \

     kontwa \

     gout \

     kòmantè "Lage pakè TCP yo ak seri syn/premye drapo ki pa valab"

 

   ## Log epi depoze drapo TCP ki pa valab

   tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \

     to limit 100/ minit pete 150 pake \

     log prefiks "AN - FIN:" \

     kòmantè "Enregistre limit pousantaj pou drapo TCP ki pa valab (fin|syn|rst|psh|ack|urg) <(fin)"

   tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \

     kontwa \

     gout \

     kòmantè "Lage pake TCP ak drapo (fin|syn|rst|psh|ack|urg) <(fin)"

 

   ## Log epi depoze drapo TCP ki pa valab

   tcp drapo & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \

     to limit 100/ minit pete 150 pake \

     log prefiks “IN – FIN|PSH|URG:” \

     kòmantè "Logging limit pousantaj pou drapo TCP ki pa valab (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"

   tcp drapo & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \

     kontwa \

     gout \

     kòmantè "Lage pake TCP ak drapo (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"

 

   ## Depoze trafik ak eta koneksyon envalid

   ct eta envalid \

     to limit 100/ minit pete 150 pake \

     log flags tout prefiks "IN - Envalid:" \

     kòmantè "Limite to pou trafik ak eta koneksyon envalid"

   ct eta envalid \

     kontwa \

     gout \

     kòmantè "Lage trafik ak eta koneksyon envalid"

 

   ## Pèmèt repons ping/ping IPv4 men pousantaj limit a 2000 PPS

   ip pwotokòl icmp icmp tip { eko-repons, eko-demann } \

     to limit 2000/dezyèm \

     kontwa \

     aksepte \

     kòmantè "Pèmèt entrant IPv4 eko (ping) limite a 2000 PPS"

 

   ## Pèmèt tout lòt ICMP IPv4 entrant

   ip pwotokòl icmp \

     kontwa \

     aksepte \

     kòmantè "Pèmèt tout lòt IPv4 ICMP"

 

   ## Pèmèt repons ping/ping IPv6 men pousantaj limit a 2000 PPS

   icmpv6 kalite { eko-repons, eko-demann } \

     to limit 2000/dezyèm \

     kontwa \

     aksepte \

     kòmantè "Pèmèt entrant IPv6 eko (ping) limite a 2000 PPS"

 

   ## Pèmèt tout lòt ICMP IPv6 entrant

   meta l4proto {icmpv6} \

     kontwa \

     aksepte \

     kòmantè "Pèmèt tout lòt IPv6 ICMP"

 

   ## Pèmèt pò entrant traceroute UDP men limite a 500 PPS

   udp dport 33434-33524 \

     to limit 500/dezyèm \

     kontwa \

     aksepte \

     kòmantè "Pèmi antre UDP traceroute limite a 500 PPS"

 

   ## Pèmèt SSH antre

   tcp dport sch ct eta nouvo \

     kontwa \

     aksepte \

     kòmantè "Pèmèt koneksyon SSH antre"

 

   ## Pèmèt HTTP entrant ak HTTPS

   tcp dport { http, https } ct eta nouvo \

     kontwa \

     aksepte \

     kòmantè "Pèmèt koneksyon entrant HTTP ak HTTPS"

 

   ## Anrejistre nenpòt trafik ki pa gen parèy men to limite enregistrement a yon maksimòm de 60 mesaj/minit

   ## Règ defo a pral aplike nan trafik san parèy

   to limit 60/ minit pete 100 pake \

     log prefiks "AN - Drop:" \

     kòmantè "Anrejistre nenpòt trafik ki pa gen parèy"

 

   ## Konte trafik san parèy la

   kontwa \

     kòmantè "Konte nenpòt trafik san parèy"

 }

 

 # Règ pou trafik pwodiksyon

 pwodiksyon chèn {

   kalite filtre zen filtè priyorite pwodiksyon; gout politik

 

   ## Pèmèt trafik soti nan koòdone loopback

   oif lo \

     aksepte \

     kòmantè "Pèmèt tout trafik soti nan koòdone loopback"

 

   ## Pèmi etabli ak koneksyon ki gen rapò

   ct eta etabli,ki gen rapò \

     kontwa \

     aksepte \

     kòmantè "Pèmi koneksyon etabli/ki gen rapò"

 

   ## Pèmèt trafik WireGuard sortant anvan ou abandone koneksyon ak move eta

   oif $DEV_WAN udp espò $WIREGUARD_PORT \

     kontwa \

     aksepte \

     kòmantè "Pèmèt trafik soti nan WireGuard"

 

   ## Depoze trafik ak eta koneksyon envalid

   ct eta envalid \

     to limit 100/ minit pete 150 pake \

     log flags tout prefiks "SOTI - Envalid:" \

     kòmantè "Limite to pou trafik ak eta koneksyon envalid"

   ct eta envalid \

     kontwa \

     gout \

     kòmantè "Lage trafik ak eta koneksyon envalid"

 

   ## Pèmèt tout lòt IPv4 ICMP sortant

   ip pwotokòl icmp \

     kontwa \

     aksepte \

     kòmantè "Pèmèt tout kalite IPv4 ICMP"

 

   ## Pèmèt tout lòt IPv6 ICMP sortant

   meta l4proto {icmpv6} \

     kontwa \

     aksepte \

     kòmantè "Pèmèt tout kalite IPv6 ICMP"

 

   ## Pèmèt pò UDP ki soti nan traceroute men limite a 500 PPS

   udp dport 33434-33524 \

     to limit 500/dezyèm \

     kontwa \

     aksepte \

     kòmantè "Pèmi traceroute UDP sortant limite a 500 PPS"

 

   ## Pèmèt koneksyon soti HTTP ak HTTPS

   tcp dport { http, https } ct eta nouvo \

     kontwa \

     aksepte \

     kòmantè "Pèmèt koneksyon soti HTTP ak HTTPS"

 

   ## Pèmèt soumèt SMTP sortan

   tcp dport soumèt ct eta nouvo \

     kontwa \

     aksepte \

     kòmantè "Pèmèt soumèt SMTP sortan"

 

   ## Pèmèt demann DNS sortan yo

   udp dport 53 \

     kontwa \

     aksepte \

     kòmantè "Pèmèt demann DNS UDP sortant"

   tcp dport 53 \

     kontwa \

     aksepte \

     kòmantè "Pèmèt demann TCP DNS sortan yo"

 

   ## Pèmèt demann NTP sortan yo

   udp dport 123 \

     kontwa \

     aksepte \

     kòmantè "Pèmèt demann NTP sortan yo"

 

   ## Anrejistre nenpòt trafik ki pa gen parèy men to limite enregistrement a yon maksimòm de 60 mesaj/minit

   ## Règ defo a pral aplike nan trafik san parèy

   to limit 60/ minit pete 100 pake \

     log prefiks "SOTI - Drop:" \

     kòmantè "Anrejistre nenpòt trafik ki pa gen parèy"

 

   ## Konte trafik san parèy la

   kontwa \

     kòmantè "Konte nenpòt trafik san parèy"

 }

 

}

 

# Prensipal tab filtraj NAT

tab inet nat {

 

 # Règ pou trafik NAT pre-routage

 preroutaj chèn {

   tape nat zen prerouting priyorite dstnat; politik aksepte

 }

 

 # Règ pou trafik NAT apre routage

 # Tablo sa a trete anvan chèn pòs-routage Firezone

 chèn postrouting {

   tape nat zen postrouting priyorite srcnat – 5; politik aksepte

 }

 

}

Itilizasyon

Firewall la ta dwe estoke nan kote ki enpòtan pou distribisyon Linux k ap kouri. Pou Debian/Ubuntu sa a se /etc/nftables.conf ak pou RHEL sa a se /etc/sysconfig/nftables.conf.

nftables.service ap bezwen konfigirasyon pou kòmanse sou bòt (si se pa deja) mete:

systemctl pèmèt nftables.service

Si w ap fè nenpòt chanjman nan modèl firewall la, sentaks la ka valide lè w ap kouri lòd chèk la:

nft -f /path/to/nftables.conf -c

Asire ou ke ou valide firewall la travay jan yo espere kòm sèten karakteristik nftables ka pa disponib depann sou lage a kouri sou sèvè a.



_______________________________________________________________



Telemetry

 

Dokiman sa a prezante yon apèsi sou telemetrik Firezone kolekte nan egzanp ou akomode ak fason pou enfim li.

Poukisa Firezone kolekte telemetri

zòn dife depann sou telemetri pou bay priyorite plan nou an ak optimize resous jeni nou genyen pou fè Firezone pi bon pou tout moun.

Telemetry nou kolekte vize pou reponn kesyon sa yo:

  • Konbyen moun ki enstale, sèvi ak, epi sispann itilize Firezone?
  • Ki karakteristik ki gen plis valè, epi kiyès ki pa wè okenn itilizasyon?
  • Ki fonksyonalite ki bezwen plis amelyorasyon?
  • Lè yon bagay kase, poukisa li kraze, e ki jan nou ka anpeche li rive nan lavni?

Ki jan nou kolekte telemetrie

Gen twa kote prensipal kote telemetri yo kolekte nan Firezone:

  1. Pake telemetri. Gen ladan evènman tankou enstale, désinstaller, ak ajou.
  2. Telemetri CLI soti nan kòmand firezone-ctl.
  3. Telemetri pwodwi ki asosye ak pòtal entènèt la.

Nan chak nan twa kontèks sa yo, nou pran kantite minimòm done ki nesesè pou reponn kesyon ki nan seksyon ki anwo a.

Imèl admin yo kolekte sèlman si ou klèman patisipe nan mizajou pwodwi yo. Sinon, enfòmasyon pèsonèl-identifiable se pa janm kolekte.

Firezone estoke telemetrik nan yon egzanp PostHog ki akomode nan yon gwoup prive Kubernetes, ekip Firezone aksesib sèlman. Men yon egzanp yon evènman telemetri ki voye soti nan egzanp ou nan Firezone nan sèvè telemetri nou an:

{

   ale: “0182272d-0b88-0000-d419-7b9a413713f1”,

   "timestamp": “2022-07-22T18:30:39.748000+00:00”,

   "evènman": "fz_http_started",

   "distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,

   "pwopriyete":{

       "$ geoip_city_name": "Ashburn",

       "$ geoip_continent_code": "NA",

       "$ geoip_continent_name": "Amerik di Nò",

       "$ geoip_country_code": "US",

       "$ geoip_country_name": "Etazini",

       "$ geoip_latitude": 39.0469,

       "$ geoip_longitude": -77.4903,

       "$ geoip_postal_code": "20149",

       "$geoip_subdivision_1_code": "VA",

       "$geoip_subdivision_1_name": "Virjini",

       "$geoip_time_zone": "Amerik/New_York",

       "$ip": "52.200.241.107",

       "$plugins_deferred": [],

       "$plugins_failed": [],

       "$plugins_succeeded": [

           "GeoIP (3)"

       ],

       "distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,

       "fqdn": "awsdemo.firezone.dev",

       "kernel_version": "linux 5.13.0",

       "vèsyon": "0.4.6"

   },

   "chen_eleman": ""

}

Ki jan yo enfim telemetri

NÒT

Ekip devlopman Firezone la depann sou analiz pwodwi pou fè Firezone pi bon pou tout moun. Si w kite telemetrik aktive se yon sèl kontribisyon ki pi enpòtan ou ka fè nan devlopman Firezone. Sa te di, nou konprann kèk itilizatè yo gen pi wo kondisyon konfidansyalite oswa sekirite epi yo ta prefere enfim telemetrik tout ansanm. Si se ou menm, kontinye li.

Telemetry aktive pa default. Pou konplètman enfim telemetri pwodwi, mete opsyon konfigirasyon sa a nan fo nan /etc/firezone/firezone.rb epi kouri sudo firezone-ctl reconfigure pou ranmase chanjman yo.

default['firezone']['telemetrie']['pèmèt'] = fo

Sa pral konplètman enfim tout telemetri pwodwi.