Firezone GUI-ով Hailbytes VPN-ի տեղակայման քայլ առ քայլ հրահանգները ներկայացված են այստեղ:
Կառավարում. Սերվերի օրինակի կարգավորումն ուղղակիորեն կապված է այս մասի հետ:
Օգտագործողի ուղեցույցներ. Օգտակար փաստաթղթեր, որոնք կարող են սովորեցնել ձեզ, թե ինչպես օգտագործել Firezone-ը և լուծել բնորոշ խնդիրներ: Այն բանից հետո, երբ սերվերը հաջողությամբ տեղադրվել է, տես այս բաժինը:
Split Tunneling. Օգտագործեք VPN՝ երթևեկությունը միայն որոշակի IP տիրույթներ ուղարկելու համար:
Սպիտակ ցուցակ. Սահմանեք VPN սերվերի ստատիկ IP հասցեն՝ սպիտակ ցուցակն օգտագործելու համար:
Հակադարձ թունելներ. Ստեղծեք թունելներ մի քանի հասակակիցների միջև՝ օգտագործելով հակադարձ թունելներ:
Մենք ուրախ ենք օգնել ձեզ, եթե օգնության կարիք ունեք Hailbytes VPN-ի տեղադրման, հարմարեցման կամ օգտագործման համար:
Նախքան օգտատերերը կարող են արտադրել կամ ներբեռնել սարքի կազմաձևման ֆայլերը, Firezone-ը կարող է կազմաձևվել այնպես, որ պահանջի նույնականացում: Օգտատերերը կարող են նաև պարբերաբար վերահաստատվել՝ իրենց VPN կապը ակտիվ պահելու համար:
Թեև Firezone-ի լռելյայն մուտքի մեթոդը տեղական էլփոստն ու գաղտնաբառը է, այն կարող է նաև ինտեգրվել ցանկացած ստանդարտացված OpenID Connect (OIDC) ինքնության մատակարարի հետ: Օգտատերերն այժմ կարող են մուտք գործել Firezone՝ օգտագործելով Okta, Google, Azure AD կամ անձնական ինքնության մատակարարի հավատարմագրերը:
Ինտեգրել ընդհանուր OIDC մատակարարին
Կազմաձևման պարամետրերը, որոնք անհրաժեշտ են Firezone-ին, որպեսզի թույլատրեն SSO-ն օգտագործել OIDC մատակարարը, ներկայացված են ստորև բերված օրինակում: /etc/firezone/firezone.rb-ում կարող եք գտնել կազմաձևման ֆայլը: Գործարկեք firezone-ctl reconfigure և firezone-ctl վերագործարկեք հավելվածը թարմացնելու և փոփոխություններն ուժի մեջ մտնելու համար:
# Սա օրինակ է՝ օգտագործելով Google-ը և Okta-ն որպես SSO ինքնության մատակարար:
# Մի քանի OIDC կազմաձևեր կարող են ավելացվել նույն Firezone օրինակին:
# Firezone-ը կարող է անջատել օգտատիրոջ VPN-ը, եթե սխալ է հայտնաբերվել
#՝ թարմացնելու իրենց access_token-ը: Սա հաստատված է Google-ի, Okta-ի և
# Azure SSO և օգտագործվում է օգտատիրոջ VPN-ն ավտոմատ անջատելու համար, եթե դրանք հեռացվեն
# OIDC մատակարարից: Թողեք սա անջատված, եթե ձեր OIDC մատակարարը
#-ն ունի մուտքի թոքենների թարմացման հետ կապված խնդիրներ, քանի որ դա կարող է անսպասելիորեն ընդհատել a
# օգտվողի VPN նստաշրջան:
լռելյայն['firezone']['authentication']['disable_vpn_on_oidc_error'] = կեղծ
լռելյայն['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri՝ «https://accounts.google.com/.well-known/openid-configuration»,
client_id: »,
client_secret: »,
redirect_uri՝ «https://instance-id.yourfirezone.com/auth/oidc/google/callback/»,
answer_type՝ «կոդ»,
շրջանակը՝ «բաց էլփոստի պրոֆիլ»,
պիտակ՝ «Google»
},
լավ: {
Discovery_document_uri: «https:// /.լավ հայտնի/openid-configuration»,
client_id: »,
client_secret: »,
redirect_uri. «https://instance-id.yourfirezone.com/auth/oidc/okta/callback/»,
answer_type՝ «կոդ»,
շրջանակը՝ «բաց էլփոստի պրոֆիլ offline_access»,
Պիտակը ՝ «Okta»
}
}
Ինտեգրման համար անհրաժեշտ են հետևյալ կազմաձևման կարգավորումները.
Յուրաքանչյուր OIDC մատակարարի համար ստեղծվում է համապատասխան գեղեցիկ URL՝ կազմաձևված մատակարարի մուտքի URL-ին վերահղելու համար: Վերևում OIDC կազմաձևման օրինակի համար URL-ները հետևյալն են.
Մատակարարներ, որոնց համար մենք ունենք փաստաթղթեր.
Եթե ձեր նույնականացման մատակարարն ունի ընդհանուր OIDC միակցիչ և նշված չէ վերևում, խնդրում ենք գնալ նրանց փաստաթղթերին՝ անհրաժեշտ կազմաձևման կարգավորումները առբերելու մասին տեղեկություններ ստանալու համար:
Կարգավորումների/անվտանգության տակ գտնվող կարգավորումը կարող է փոխվել՝ պարբերաբար կրկնակի նույնականացում պահանջելու համար: Սա կարող է օգտագործվել՝ պարտադրելու այն պահանջը, որ օգտվողները կանոնավոր կերպով մտնեն Firezone՝ իրենց VPN նիստը շարունակելու համար:
Նիստի տևողությունը կարող է կազմաձևվել մեկ ժամից մինչև իննսուն օր: Սահմանելով սա «Երբեք»՝ դուք կարող եք ցանկացած պահի միացնել VPN-ի նիստերը: Սա ստանդարտ է:
Օգտատերը պետք է դադարեցնի VPN-ի իր նստաշրջանը և մուտք գործի Firezone պորտալ՝ ժամկետանց VPN նստաշրջանը նորից վավերացնելու համար (տեղակայման ժամանակ նշված URL-ը):
Դուք կարող եք վերահաստատել ձեր նստաշրջանը՝ հետևելով այստեղ գտնվող հաճախորդի ճշգրիտ հրահանգներին:
VPN միացման կարգավիճակը
Օգտատերերի էջի VPN կապի աղյուսակի սյունակը ցուցադրում է օգտատիրոջ կապի կարգավիճակը: Սրանք են կապի կարգավիճակները.
ՄԻԱՑՎԱԾ է – Կապը միացված է:
ԱՆՋԱՏՎԱԾ – Կապն անջատված է ադմինիստրատորի կամ OIDC-ի թարմացման ձախողման պատճառով:
ԺԱՄԿԵՏ Է – Կապն անջատված է վավերացման ժամկետը լրանալու պատճառով, կամ օգտատերը առաջին անգամ մուտք չի գործել:
Ընդհանուր OIDC միակցիչի միջոցով Firezone-ը միացնում է Single Sign-on (SSO) Google Workspace-ով և Cloud Identity-ով: Այս ուղեցույցը ցույց կտա ձեզ, թե ինչպես ստանալ ստորև թվարկված կազմաձևման պարամետրերը, որոնք անհրաժեշտ են ինտեգրման համար.
1. OAuth կազմաձևման էկրանâ € <
Եթե առաջին անգամն է, որ ստեղծում եք նոր OAuth հաճախորդի ID, ձեզանից կպահանջվի կարգավորել համաձայնության էկրանը:
*Օգտագործողի տեսակի համար ընտրեք Ներքին: Սա ապահովում է, որ միայն ձեր Google Workspace կազմակերպության օգտատերերին պատկանող հաշիվները կարող են սարքի կազմաձևեր ստեղծել: ՄԻ ընտրեք Արտաքին, քանի դեռ չեք ցանկանում որևէ մեկին թույլատրել վավեր Google հաշիվ ստեղծել սարքի կարգավորումներ:
Հավելվածի տեղեկատվության էկրանում՝
2. Ստեղծեք OAuth Հաճախորդի ID-ներâ € <
Այս բաժինը հիմնված է Google-ի սեփական փաստաթղթերի վրա OAuth 2.0-ի կարգավորում.
Այցելեք Google Cloud Console Հավատարմագրերի էջ էջ, սեղմեք + Ստեղծեք հավատարմագրերը և ընտրեք OAuth հաճախորդի ID:
OAuth հաճախորդի ID-ի ստեղծման էկրանում՝
OAuth հաճախորդի ID-ն ստեղծելուց հետո ձեզ կտրվի Client ID և Client Secret: Դրանք կօգտագործվեն հաջորդ քայլում վերահղման URI-ի հետ միասին:
խմբագրել /etc/firezone/firezone.rb ներառել ստորև ներկայացված տարբերակները.
# Օգտագործելով Google-ը որպես SSO ինքնության մատակարար
լռելյայն['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri՝ «https://accounts.google.com/.well-known/openid-configuration»,
client_id: »,
client_secret: »,
redirect_uri՝ «https://instance-id.yourfirezone.com/auth/oidc/google/callback/»,
answer_type՝ «կոդ»,
շրջանակը՝ «բաց էլփոստի պրոֆիլ»,
պիտակ՝ «Google»
}
}
Գործարկեք firezone-ctl reconfigure և firezone-ctl վերագործարկեք հավելվածը թարմացնելու համար: Այժմ դուք պետք է տեսնեք «Մուտք գործեք Google-ով» կոճակը արմատային Firezone URL-ում:
Firezone-ն օգտագործում է ընդհանուր OIDC միակցիչը Okta-ի հետ մեկանգամյա մուտքը (SSO) հեշտացնելու համար: Այս ձեռնարկը ցույց կտա ձեզ, թե ինչպես ստանալ ստորև թվարկված կազմաձևման պարամետրերը, որոնք անհրաժեշտ են ինտեգրման համար.
Ուղեցույցի այս բաժինը հիմնված է Okta-ի փաստաթղթերը.
Ադմինիստրատորի վահանակում անցեք Ծրագրեր > Ծրագրեր և կտտացրեք Ստեղծել հավելվածի ինտեգրում: Սահմանեք Մուտքի մեթոդը OICD-ին – OpenID Connect և հավելվածի տեսակը վեբ հավելվածին:
Կարգավորեք այս կարգավորումները.
Պարամետրերը պահվելուց հետո ձեզ կտրվի Client ID, Client Secret և Okta Domain: Այս 3 արժեքները կօգտագործվեն Քայլ 2-ում՝ Firezone-ը կարգավորելու համար:
խմբագրել /etc/firezone/firezone.rb ստորև ներկայացված տարբերակները ներառելու համար: Ձեր Discovery_document_url կլինի /.լավ հայտնի/openid-configuration կցված է ձեր վերջում okta_domain.
# Օգտագործելով Okta-ն որպես SSO ինքնության մատակարար
լռելյայն['firezone']['authentication']['oidc'] = {
լավ: {
Discovery_document_uri: «https:// /.լավ հայտնի/openid-configuration»,
client_id: »,
client_secret: »,
redirect_uri. «https://instance-id.yourfirezone.com/auth/oidc/okta/callback/»,
answer_type՝ «կոդ»,
շրջանակը՝ «բաց էլփոստի պրոֆիլ offline_access»,
Պիտակը ՝ «Okta»
}
}
Գործարկեք firezone-ctl reconfigure և firezone-ctl վերագործարկեք հավելվածը թարմացնելու համար: Այժմ դուք պետք է տեսնեք «Մուտք գործել Okta» կոճակը արմատային Firezone URL-ում:
Օգտատերերը, ովքեր կարող են մուտք գործել Firezone հավելված, կարող են սահմանափակվել Okta-ի կողմից: Դա անելու համար գնացեք ձեր Okta Admin Console-ի Firezone App Integration-ի հանձնարարականների էջ:
Ընդհանուր OIDC միակցիչի միջոցով Firezone-ը միացնում է Single Sign-on (SSO) Azure Active Directory-ով: Այս ձեռնարկը ցույց կտա ձեզ, թե ինչպես ստանալ ստորև թվարկված կազմաձևման պարամետրերը, որոնք անհրաժեշտ են ինտեգրման համար.
Այս ուղեցույցը վերցված է Azure Active Directory Docs.
Գնացեք Azure պորտալի Azure Active Directory էջ: Ընտրեք «Կառավարել» ընտրացանկի տարբերակը, ընտրեք Նոր գրանցում, ապա գրանցվեք՝ տրամադրելով ստորև բերված տեղեկատվությունը.
Գրանցվելուց հետո բացեք հավելվածի մանրամասների տեսքը և պատճենեք այն Հայտի (հաճախորդի) ID. Սա կլինի client_id արժեքը: Հաջորդը, բացեք վերջնակետերի ընտրացանկը՝ առբերելու համար OpenID Connect մետատվյալների փաստաթուղթ. Սա կլինի discovery_document_uri արժեքը:
Ստեղծեք նոր հաճախորդի գաղտնիք՝ սեղմելով «Վկայականներ և գաղտնիքներ» տարբերակը «Կառավարել» ցանկի տակ: Պատճենել հաճախորդի գաղտնիքը; հաճախորդի գաղտնի արժեքը կլինի սա:
Վերջապես, ընտրեք API-ի թույլտվությունների հղումը «Կառավարել» ցանկի տակ, սեղմեք Ավելացրեք թույլտվությունեւ ընտրեք Microsoft- ի գրաֆիկ, ավելացնել փոստ, բաց, offline_access և Անձնագրի պահանջվող թույլտվություններին:
խմբագրել /etc/firezone/firezone.rb ներառել ստորև ներկայացված տարբերակները.
# Օգտագործելով Azure Active Directory-ը որպես SSO ինքնության մատակարար
լռելյայն['firezone']['authentication']['oidc'] = {
լազուր: {
Discovery_document_uri: «https://login.microsoftonline.com/ /v2.0/.լավ հայտնի/openid-configuration»,
client_id: »,
client_secret: »,
redirect_uri՝ «https://instance-id.yourfirezone.com/auth/oidc/azure/callback/»,
answer_type՝ «կոդ»,
շրջանակը՝ «բաց էլփոստի պրոֆիլ offline_access»,
Պիտակը ՝ «Azure»
}
}
Գործարկեք firezone-ctl reconfigure և firezone-ctl վերագործարկեք հավելվածը թարմացնելու համար: Այժմ դուք պետք է տեսնեք Sign in with Azure կոճակը արմատային Firezone URL-ում:
Azure AD-ն ադմինիստրատորներին հնարավորություն է տալիս սահմանափակել հավելվածների հասանելիությունը ձեր ընկերության ներսում գտնվող օգտվողների որոշակի խմբի համար: Լրացուցիչ տեղեկություններ, թե ինչպես դա անել, կարելի է գտնել Microsoft-ի փաստաթղթերում:
Chef Omnibus-ն օգտագործվում է Firezone-ի կողմից՝ կառավարելու առաջադրանքները, ներառյալ թողարկման փաթեթավորումը, գործընթացի վերահսկումը, գրանցամատյանների կառավարումը և այլն:
Ruby կոդը կազմում է հիմնական կազմաձևման ֆայլը, որը գտնվում է /etc/firezone/firezone.rb հասցեում: Այս ֆայլում փոփոխություններ կատարելուց հետո sudo firezone-ctl-ի վերակազմավորումը վերագործարկելը ստիպում է խոհարարին ճանաչել փոփոխությունները և կիրառել դրանք ընթացիկ օպերացիոն համակարգի վրա:
Տես կազմաձևման ֆայլի հղումը կազմաձևման փոփոխականների ամբողջական ցանկի և դրանց նկարագրությունների համար:
Ձեր Firezone օրինակը կարող է կառավարվել միջոցով firezone-ctl հրամանը, ինչպես ցույց է տրված ստորև: Շատ ենթահրամաններ պահանջում են նախածանցով sudo.
root@demo:~# firezone-ctl
omnibus-ctl: հրաման (ենթահրաման)
Ընդհանուր հրամաններ.
մաքրել
Ջնջեք *բոլոր* firezone տվյալները և սկսեք զրոյից:
ստեղծել-կամ վերակայել-ադմինիստրատոր
Վերականգնում է ադմինիստրատորի գաղտնաբառը լռելյայնորեն նշված էլփոստով['firezone']['admin_email'] կամ ստեղծում է նոր ադմին, եթե այդ էլ.
օգնություն
Տպեք այս օգնության հաղորդագրությունը:
վերակազմավորել
Վերակազմավորեք հավելվածը:
զրոյացնել-ցանց
Վերականգնում է nftable-ները, WireGuard ինտերֆեյսը և երթուղային աղյուսակը Firezone-ի կանխադրվածներին:
show-config
Ցույց տվեք այն կազմաձևը, որը կստեղծվի վերակազմավորմամբ:
քանդող ցանց
Հեռացնում է WireGuard ինտերֆեյսը և firezone nftables աղյուսակը:
ուժ-վկայական-նորացում
Ստիպել վկայականի նորացումը հիմա, նույնիսկ եթե դրա ժամկետը չի լրացել:
կանգառ-վկայական-նորացում
Հեռացնում է cronjob-ը, որը թարմացնում է վկայականները:
տեղահանել
Սպանեք բոլոր գործընթացները և տեղահանեք գործընթացի վերահսկիչը (տվյալները կպահպանվեն):
տարբերակ
Ցուցադրել Firezone-ի ընթացիկ տարբերակը
Ծառայության կառավարման հրամաններ.
նազելի-սպանել
Փորձեք նրբագեղ կանգ առնել, ապա SIGKILL ամբողջ գործընթացի խումբը:
hup
Ուղարկեք ծառայությունները HUP:
int
Ուղարկեք ծառայությունները INT:
սպանել
Ուղարկեք ծառայությունները KILL:
մի անգամ
Սկսեք ծառայությունները, եթե դրանք անջատված են: Մի վերագործարկեք դրանք, եթե դադարեցնեն:
մեքենայական ծրագրի կրկնական գործարկումը
Դադարեցրեք ծառայությունները, եթե դրանք գործարկվեն, ապա նորից սկսեք դրանք:
սպասարկման ցուցակ
Նշեք բոլոր ծառայությունները (միացված ծառայությունները հայտնվում են *-ով)
Սկիզբ
Սկսեք ծառայությունները, եթե դրանք անջատված են, և վերագործարկեք դրանք, եթե դադարեցնեն:
կարգավիճակ
Ցույց տալ բոլոր ծառայությունների կարգավիճակը:
կասեցնել
Դադարեցրեք ծառայությունները և մի վերագործարկեք դրանք:
պոչ
Դիտեք բոլոր միացված ծառայությունների մատյանները:
ժամկետ
Ծառայություններին ուղարկել ԺԱՄԿԵՏ:
usr1
Ծառայությունները ուղարկեք USR1:
usr2
Ծառայությունները ուղարկեք USR2:
VPN-ի բոլոր նիստերը պետք է դադարեցվեն նախքան Firezone-ի արդիականացումը, որը նաև պահանջում է անջատել վեբ միջերեսը: Այն դեպքում, երբ արդիականացման ընթացքում ինչ-որ բան սխալ է, խորհուրդ ենք տալիս մեկ ժամ հատկացնել պահպանման համար:
Firezone-ն ուժեղացնելու համար կատարեք հետևյալ գործողությունները.
Եթե որևէ խնդիր առաջանա, խնդրում ենք տեղեկացնել մեզ աջակցության տոմս ներկայացնելը.
0.5.0-ում կան մի քանի ընդհատվող փոփոխություններ և կազմաձևման փոփոխություններ, որոնք պետք է լուծվեն: Իմացեք ավելին ստորև:
Nginx-ն այլևս չի աջակցում ուժային SSL և ոչ SSL պորտի պարամետրերը 0.5.0 տարբերակի համաձայն: Քանի որ Firezone-ին անհրաժեշտ է SSL-ն աշխատելու համար, խորհուրդ ենք տալիս հեռացնել Nginx-ի փաթեթը՝ սահմանելով լռելյայն['firezone']['nginx']['enabled'] = false և փոխարենը ուղղելով ձեր հակադարձ պրոքսին դեպի Phoenix հավելված 13000 նավահանգստի վրա (կանխադրված: )
0.5.0-ը ներկայացնում է ACME արձանագրության աջակցություն՝ SSL վկայագրերը ավտոմատ կերպով թարմացնելու համար միացված Nginx ծառայության միջոցով: Միացնելու համար,
Կրկնօրինակ ուղղություններով կանոններ ավելացնելու հնարավորությունը չկա Firezone 0.5.0-ում: Մեր միգրացիոն սկրիպտը ավտոմատ կերպով կճանաչի այս իրավիճակները 0.5.0-ի թարմացման ժամանակ և պահպանում է միայն այն կանոնները, որոնց նպատակակետը ներառում է մյուս կանոնը: Ոչինչ պետք չէ անել, եթե դա նորմալ է:
Հակառակ դեպքում, մինչ արդիականացումը, խորհուրդ ենք տալիս փոխել ձեր կանոնակարգը՝ այս իրավիճակներից ազատվելու համար:
Firezone 0.5.0-ը հեռացնում է հին ոճի Okta-ի և Google SSO-ի կոնֆիգուրացիայի աջակցությունը՝ հօգուտ նոր, ավելի ճկուն OIDC-ի վրա հիմնված կազմաձևման:
Եթե դուք ունեք որևէ կոնֆիգուրացիա լռելյայն['firezone']['authentication']['okta'] կամ լռելյայն ['firezone']['authentication']['google'] ստեղների տակ, դուք պետք է դրանք տեղափոխեք մեր OIDC: - հիմնված կազմաձևում՝ օգտագործելով ստորև բերված ուղեցույցը:
Գոյություն ունեցող Google OAuth կոնֆիգուրացիա
Հեռացրեք Google OAuth-ի հին կազմաձևերը պարունակող այս տողերը ձեր կազմաձևման ֆայլից, որը գտնվում է /etc/firezone/firezone.rb-ում:
լռելյայն['firezone']['authentication']['google']['enabled']
լռելյայն['firezone']['authentication']['google']['client_id']
լռելյայն['firezone']['authentication']['google']['client_secret']
լռելյայն['firezone']['authentication']['google']['redirect_uri']
Այնուհետև կարգավորեք Google-ը որպես OIDC մատակարար՝ հետևելով այստեղի ընթացակարգերին:
(Տրամադրել հղման հրահանգները)
Կարգավորել գոյություն ունեցող Google OAuth-ը
Հեռացրեք հին Okta OAuth կազմաձևերը պարունակող այս տողերը ձեր կազմաձևման ֆայլից, որը գտնվում է հասցեում. /etc/firezone/firezone.rb
լռելյայն['firezone']['authentication']['okta']['enabled']
լռելյայն['firezone']['authentication']['okta']['client_id']
լռելյայն['firezone']['authentication']['okta']['client_secret']
Կանխադրված['firezone']['authentication']['okta']['site']
Այնուհետև կարգավորեք Okta-ն որպես OIDC մատակարար՝ հետևելով այստեղի ընթացակարգերին:
Կախված ձեր ընթացիկ կարգավորումից և տարբերակից, հետևեք ստորև նշված ցուցումներին.
Եթե դուք արդեն ունեք OIDC ինտեգրում.
Որոշ OIDC պրովայդերների համար >= 0.3.16-ի թարմացումը պահանջում է թարմացման նշան ձեռք բերել անցանց մուտքի շրջանակի համար: Դրանով դուք համոզվում եք, որ Firezone-ը թարմացվում է նույնականացման մատակարարի հետ, և որ VPN կապն անջատված է օգտվողին ջնջելուց հետո: Firezone-ի ավելի վաղ կրկնությունները չունեին այս հատկությունը: Որոշ դեպքերում, օգտվողները, որոնք ջնջված են ձեր ինքնության մատակարարից, կարող են դեռ միացված լինել VPN-ին:
Անհրաժեշտ է ներառել անցանց հասանելիությունը ձեր OIDC կազմաձևման շրջանակի պարամետրում OIDC մատակարարների համար, որոնք աջակցում են անցանց մուտքի շրջանակը: Firezone-ctl-ի վերակազմավորումը պետք է կատարվի, որպեսզի փոփոխություններ կիրառվեն Firezone-ի կազմաձևման ֆայլում, որը գտնվում է /etc/firezone/firezone.rb-ում:
Օգտատերերի համար, ովքեր վավերացվել են ձեր OIDC մատակարարի կողմից, դուք կտեսնեք OIDC Connections վերնագիրը վեբ միջերեսի օգտվողի մանրամասների էջում, եթե Firezone-ը կարողանա հաջողությամբ առբերել թարմացման նշանը:
Եթե դա չաշխատի, դուք պետք է ջնջեք ձեր գոյություն ունեցող OAuth հավելվածը և կրկնեք OIDC-ի տեղադրման քայլերը՝ ստեղծել նոր հավելվածի ինտեգրում .
Ես ունեմ գոյություն ունեցող OAuth ինտեգրում
Մինչև 0.3.11-ը Firezone-ն օգտագործում էր նախապես կազմաձևված OAuth2 պրովայդերներ:
Հետևեք հրահանգներին այստեղ տեղափոխվել OIDC:
Ես չեմ ինտեգրվել ինքնության մատակարարին
Գործողության կարիք չկա:
Դուք կարող եք հետևել հրահանգներին այստեղ միացնել SSO-ն OIDC մատակարարի միջոցով:
Իր տեղում լռելյայն['firezone']['արտաքին url']-ը փոխարինել է կազմաձևման տարբերակի լռելյայն['firezone']['fqdn']:
Սահմանեք սա ձեր Firezone առցանց պորտալի URL-ին, որը հասանելի է լայն հանրությանը: Այն լռելյայն կլինի https:// գումարած ձեր սերվերի FQDN-ը, եթե չսահմանված մնա:
Կազմաձևման ֆայլը գտնվում է /etc/firezone/firezone.rb հասցեում: Տես կազմաձևման ֆայլի հղումը կազմաձևման փոփոխականների ամբողջական ցանկի և դրանց նկարագրությունների համար:
Firezone-ն այլևս չի պահում սարքի անձնական բանալիները Firezone սերվերում 0.3.0 տարբերակի դրությամբ:
Firezone Web UI-ն թույլ չի տա ձեզ նորից ներբեռնել կամ տեսնել այս կազմաձևերը, սակայն գոյություն ունեցող ցանկացած սարք պետք է շարունակի գործել այնպես, ինչպես կա:
Եթե դուք թարմացնում եք Firezone 0.1.x-ից, կան մի քանի կազմաձևման ֆայլի փոփոխություններ, որոնք պետք է լուծվեն ձեռքով:
Ձեր /etc/firezone/firezone.rb ֆայլում անհրաժեշտ փոփոխություններ կատարելու համար գործարկեք ստորև նշված հրամանները որպես root:
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i «s/\['enable'\]/\['enabled'\]/» /etc/firezone/firezone.rb
echo «default['firezone']['connectivity_checks']['enabled'] = true» >> /etc/firezone/firezone.rb
echo «default['firezone']['connectivity_checks']['interval'] = 3_600» >> /etc/firezone/firezone.rb
firezone-ctl-ի վերակազմավորում
firezone-ctl վերագործարկում
Firezone-ի տեղեկամատյանների ստուգումը խելամիտ առաջին քայլն է ցանկացած խնդրի համար, որը կարող է առաջանալ:
Գործարկեք sudo firezone-ctl tail-ը՝ Firezone-ի տեղեկամատյանները դիտելու համար:
Firezone-ի հետ կապի հետ կապված խնդիրների մեծ մասը պայմանավորված է անհամատեղելի iptables կամ nftables կանոններով: Դուք պետք է համոզվեք, որ ձեր գործող կանոնները չեն հակասում Firezone-ի կանոններին:
Համոզվեք, որ FORWARD շղթան թույլատրում է փաթեթներ ձեր WireGuard հաճախորդներից դեպի այն վայրերը, որոնք ցանկանում եք թույլ տալ Firezone-ով, եթե ձեր ինտերնետ կապը վատանում է ամեն անգամ, երբ ակտիվացնում եք ձեր WireGuard թունելը:
Սա կարելի է հասնել, եթե դուք օգտագործում եք ufw՝ համոզվելով, որ կանխադրված երթուղային քաղաքականությունը թույլատրված է.
ubuntu@fz:~$ sudo ufw լռելյայն թույլ է տալիս ուղղորդել
Կանխադրված ուղղորդված քաղաքականությունը փոխվել է «թույլատրելու»
(անպայման թարմացրեք ձեր կանոնները համապատասխանաբար)
A ufw Սովորական Firezone սերվերի կարգավիճակը կարող է այսպիսին լինել.
ubuntu@fz:~$ sudo ufw կարգավիճակը բացարձակ
Կարգավիճակը՝ ակտիվ
Մուտքագրում` միացված (ցածր)
Կանխադրված՝ մերժել (մուտքային), թույլատրել (ելքային), թույլատրել (ուղղված)
Նոր պրոֆիլներ՝ բաց թողնել
Դեպի Գործողություն From
—————
22/tcp ԹՈՒՅԼ ՏՐԵԼ ցանկացած վայրում
80/tcp ԹՈՒՅԼ ՏՐԵԼ ցանկացած վայրում
443/tcp ԹՈՒՅԼԱՏՐԵՔ ՄՏՆԵԼ ցանկացած վայրում
51820/udp ԹՈՒՅԼԱՏՐԵՔ ՄՏՆԵԼ ցանկացած վայրում
22/tcp (v6) ԹՈՒՅԼԱՏՐԵԼ ցանկացած վայրում (v6)
80/tcp (v6) ԹՈՒՅԼԱՏՐԵԼ ցանկացած վայրում (v6)
443/tcp (v6) ԹՈՒՅԼ ԹՈՒՅԼ ՄՏՆԵԼ ցանկացած վայրում (v6)
51820/udp (v6) ԹՈՒՅԼԱՏՐԵԼ ցանկացած վայրում (v6)
Մենք խորհուրդ ենք տալիս սահմանափակել մուտքը դեպի վեբ ինտերֆեյս չափազանց զգայուն և առաքելության համար կարևոր արտադրական տեղակայումների համար, ինչպես բացատրվում է ստորև:
Ծառայությունների | Կանխադրված նավահանգիստ | Լսեք հասցեն | Նկարագրություն |
Nginx | 80, 443 | բոլորը | Հանրային HTTP(S) նավահանգիստ Firezone-ի կառավարման և նույնականացման հեշտացման համար: |
Մետաղալար | 51820 | բոլորը | Հանրային WireGuard պորտ, որն օգտագործվում է VPN նիստերի համար: (UDP) |
postgresql | 15432 | 127.0.0.1 | Միայն տեղական նավահանգիստ, որն օգտագործվում է փաթեթավորված Postgresql սերվերի համար: |
փյունիկ | 13000 | 127.0.0.1 | Միայն տեղական միացք, որն օգտագործվում է վերին հոսքի էլիքսիր հավելվածի սերվերի կողմից: |
Խորհուրդ ենք տալիս մտածել Firezone-ի հրապարակայնորեն բացված վեբ միջերեսի մուտքը սահմանափակելու մասին (ըստ լռելյայն նավահանգիստներ 443/tcp և 80/tcp) և փոխարենը օգտագործել WireGuard թունելը՝ կառավարելու Firezone-ն արտադրական և հանրային տեղակայումների համար, որտեղ պատասխանատու կլինի մեկ ադմինիստրատոր: սարքի կոնֆիգուրացիաների ստեղծման և բաշխման վերջնական օգտագործողներին:
Օրինակ, եթե ադմինիստրատորը ստեղծեր սարքի կոնֆիգուրացիա և ստեղծեր թունել տեղական WireGuard հասցեով 10.3.2.2, հետևյալ ufw կոնֆիգուրացիան թույլ կտա ադմինիստրատորին մուտք գործել Firezone վեբ միջերես սերվերի wg-firezone ինտերֆեյսի վրա՝ օգտագործելով լռելյայն 10.3.2.1: թունելի հասցե.
root@demo:~# ufw կարգավիճակը բացարձակ
Կարգավիճակը՝ ակտիվ
Մուտքագրում` միացված (ցածր)
Կանխադրված՝ մերժել (մուտքային), թույլատրել (ելքային), թույլատրել (ուղղված)
Նոր պրոֆիլներ՝ բաց թողնել
Դեպի Գործողություն From
—————
22/tcp ԹՈՒՅԼ ՏՐԵԼ ցանկացած վայրում
51820/udp ԹՈՒՅԼԱՏՐԵՔ ՄՏՆԵԼ ցանկացած վայրում
Ցանկացած վայրում ԹՈՒՅԼԱՏՐԵՔ 10.3.2.2-ում
22/tcp (v6) ԹՈՒՅԼԱՏՐԵԼ ցանկացած վայրում (v6)
51820/udp (v6) ԹՈՒՅԼԱՏՐԵԼ ցանկացած վայրում (v6)
Սա կմնա միայն 22 / ճ.գ ենթարկվում է SSH մուտքի համար՝ սերվերը կառավարելու համար (ըստ ցանկության), և 51820/udp բացահայտվել է WireGuard թունելներ ստեղծելու համար:
Firezone-ը փաթեթավորում է Postgresql սերվերը և համընկնում psql օգտակար, որը կարող է օգտագործվել տեղական վահանակից այսպես.
/opt/firezone/embedded/bin/psql \
-U կրակային գոտի \
-d հրդեհային գոտի \
-h localhost \
-p 15432 \
-c «SQL_STATEMENT»
Սա կարող է օգտակար լինել վրիպազերծման նպատակներով:
Ընդհանուր առաջադրանքներ.
Բոլոր օգտատերերի ցուցակագրում՝
/opt/firezone/embedded/bin/psql \
-U կրակային գոտի \
-d հրդեհային գոտի \
-h localhost \
-p 15432 \
-c «SELECT * FROM օգտվողներից;»
Բոլոր սարքերի ցուցակագրում՝
/opt/firezone/embedded/bin/psql \
-U կրակային գոտի \
-d հրդեհային գոտի \
-h localhost \
-p 15432 \
-c «SELECT * FROM սարքերից;»
Փոխել օգտվողի դերը.
Դերը սահմանեք «ադմինիստրատոր» կամ «չարտոնյալ».
/opt/firezone/embedded/bin/psql \
-U կրակային գոտի \
-d հրդեհային գոտի \
-h localhost \
-p 15432 \
-c «ԹԱՐՄԻՑ օգտատերերի ՍՏԵՂԾ դերը = «admin» WHERE email = «user@example.com»;»
Տվյալների բազայի կրկնօրինակում.
Ավելին, ներառված է pg dump ծրագիրը, որը կարող է օգտագործվել տվյալների բազայի կանոնավոր կրկնօրինակումներ ստանալու համար: Կատարեք հետևյալ կոդը՝ տվյալների բազայի պատճենը SQL հարցման ընդհանուր ձևաչափով լցնելու համար (փոխարինեք /path/to/backup.sql-ը այն վայրով, որտեղ պետք է ստեղծվի SQL ֆայլը).
/opt/firezone/embedded/bin/pg_dump \
-U կրակային գոտի \
-d հրդեհային գոտի \
-h localhost \
-p 15432 > /path/to/backup.sql
Firezone-ը հաջողությամբ գործարկվելուց հետո դուք պետք է օգտագործողներ ավելացնեք՝ նրանց մուտք գործել ձեր ցանց: Դա անելու համար օգտագործվում է վեբ միջերեսը:
Ընտրելով «Ավելացնել օգտատեր» կոճակը /users-ի տակ՝ կարող եք օգտատեր ավելացնել: Ձեզանից կպահանջվի օգտատիրոջը տրամադրել էլ.փոստի հասցե և գաղտնաբառ: Ձեր կազմակերպության օգտատերերին ավտոմատ կերպով մուտք գործելու համար Firezone-ը կարող է նաև ինտերֆեյս և համաժամանակացնել ինքնության մատակարարի հետ: Լրացուցիչ մանրամասները հասանելի են Վավերացնել. < Ավելացրեք հղում իսկորոշման համար
Մենք խորհուրդ ենք տալիս խնդրել, որ օգտատերերը ստեղծեն իրենց սարքի կոնֆիգուրացիան, որպեսզի անձնական բանալին տեսանելի լինի միայն նրանց համար: Օգտագործողները կարող են ստեղծել իրենց սեփական սարքի կոնֆիգուրացիաները՝ հետևելով դրա ցուցումներին Հաճախորդի ցուցումներ էջ.
Օգտատիրոջ սարքի բոլոր կոնֆիգուրացիաները կարող են ստեղծվել Firezone-ի ադմինիստրատորների կողմից: Օգտվողի պրոֆիլի էջում, որը գտնվում է /users հասցեում, ընտրեք «Ավելացնել սարք» տարբերակը՝ դա անելու համար:
[Տեղադրել սքրինշոթ]
Սարքի պրոֆիլը ստեղծելուց հետո կարող եք օգտատիրոջը ուղարկել WireGuard կազմաձևման ֆայլը:
Օգտագործողները և սարքերը կապված են: Օգտագործող ավելացնելու մասին լրացուցիչ մանրամասների համար տե՛ս Ավելացնել օգտվողներ.
Միջուկի ցանցային զտիչ համակարգի օգտագործման միջոցով Firezone-ը հնարավորություն է տալիս արտահոսքի զտման հնարավորությունները՝ նշելու DROP կամ ACCEPT փաթեթները: Ամբողջ երթևեկությունը սովորաբար թույլատրվում է:
IPv4 և IPv6 CIDR-ները և IP հասցեները աջակցվում են համապատասխանաբար Allowlist-ի և Denylist-ի միջոցով: Դուք կարող եք ընտրել օգտատիրոջը մի կանոն ավելացնելիս, որը կիրառում է կանոնը տվյալ օգտատիրոջ բոլոր սարքերի վրա:
Տեղադրեք եւ կարգավորեք
VPN կապ հաստատելու համար՝ օգտագործելով հայրենի WireGuard հաճախորդը, տես այս ուղեցույցը:
Պաշտոնական WireGuard հաճախորդները, որոնք գտնվում են այստեղ, համատեղելի են Firezone-ի հետ.
Այցելեք WireGuard-ի պաշտոնական կայքը՝ https://www.wireguard.com/install/՝ վերը նշված ՕՀ համակարգերի համար:
Կա՛մ ձեր Firezone-ի ադմինիստրատորը, կա՛մ ինքներդ կարող եք ստեղծել սարքի կազմաձևման ֆայլը՝ օգտագործելով Firezone պորտալը:
Այցելեք ձեր Firezone-ի ադմինիստրատորի տրամադրած URL-ը՝ սարքի կազմաձևման ֆայլը ինքնուրույն ստեղծելու համար: Ձեր ընկերությունը կունենա եզակի URL դրա համար. այս դեպքում դա https://instance-id.yourfirezone.com է:
Մուտք գործեք Firezone Okta SSO
[Տեղադրել սքրինշոթ]
Ներմուծեք.conf ֆայլը WireGuard հաճախորդի մեջ՝ բացելով այն: Ակտիվացնել անջատիչը շրջելով՝ կարող եք սկսել VPN նստաշրջան:
[Տեղադրել սքրինշոթ]
Հետևեք ստորև ներկայացված հրահանգներին, եթե ձեր ցանցի ադմինիստրատորը պարտադրել է կրկնվող նույնականացում՝ ձեր VPN կապը ակտիվ պահելու համար:
Ձեզ հարկավոր է.
Firezone պորտալի URL-ը. կապի համար խնդրեք ձեր ցանցի ադմինիստրատորին:
Ձեր ցանցի ադմինիստրատորը պետք է կարողանա առաջարկել ձեր մուտքն ու գաղտնաբառը: Firezone կայքը կհուշի ձեզ մուտք գործել՝ օգտագործելով ձեր գործատուի կողմից օգտագործվող միասնական մուտքի ծառայությունը (օրինակ՝ Google-ը կամ Okta-ն):
[Տեղադրել սքրինշոթ]
Գնացեք Firezone պորտալի URL-ը և մուտք գործեք՝ օգտագործելով ձեր ցանցի ադմինիստրատորի տրամադրած հավատարմագրերը: Եթե արդեն մուտք եք գործել, կտտացրեք Վերահաստատել կոճակը նախքան նորից մուտք գործելը:
[Տեղադրել սքրինշոթ]
[Տեղադրել սքրինշոթ]
WireGuard-ի կազմաձևման պրոֆիլը Linux սարքերում Network Manager CLI-ի միջոցով ներմուծելու համար հետևեք այս հրահանգներին (nmcli):
Եթե պրոֆիլը միացված է IPv6-ի աջակցությունը, ապա ցանցի կառավարչի միջերեսային միջերեսի միջոցով կազմաձևման ֆայլը ներմուծելու փորձը կարող է ձախողվել հետևյալ սխալի դեպքում.
ipv6.method. «auto» մեթոդը չի աջակցվում WireGuard-ի համար
Անհրաժեշտ է տեղադրել WireGuard userspace կոմունալ ծառայությունները: Սա կլինի մի փաթեթ, որը կոչվում է wireguard կամ wireguard-tools Linux բաշխումների համար:
Ubuntu/Debian-ի համար.
sudo apt տեղադրեք լարային պահակ
Fedora-ն օգտագործելու համար՝
sudo dnf տեղադրել wireguard-tools
Arch Linux:
sudo pacman -S wireguard-tools
Այցելեք պաշտոնական WireGuard կայքը https://www.wireguard.com/install/ հասցեով՝ վերևում չնշված բաշխումների համար:
Կա՛մ ձեր Firezone ադմինիստրատորը, կա՛մ ինքնաստեղծողը կարող է ստեղծել սարքի կազմաձևման ֆայլը՝ օգտագործելով Firezone պորտալը:
Այցելեք ձեր Firezone-ի ադմինիստրատորի տրամադրած URL-ը՝ սարքի կազմաձևման ֆայլը ինքնուրույն ստեղծելու համար: Ձեր ընկերությունը կունենա եզակի URL դրա համար. այս դեպքում դա https://instance-id.yourfirezone.com է:
[Տեղադրել սքրինշոթ]
Ներմուծեք մատակարարված կազմաձևման ֆայլը՝ օգտագործելով nmcli.
sudo nmcli կապի ներմուծման տեսակ wireguard ֆայլ /path/to/configuration.conf
Կազմաձևման ֆայլի անունը կհամապատասխանի WireGuard կապին/ինտերֆեյսին: Ներմուծումից հետո անհրաժեշտության դեպքում կապը կարող է վերանվանվել.
nmcli կապը փոփոխել [հին անունը] կապը. id [նոր անուն]
Հրամանի տողի միջոցով միացեք VPN-ին հետևյալ կերպ.
nmcli կապ [vpn անուն]
Անջատել ՝
nmcli կապն անջատված է [vpn անունը]
Կիրառելի Network Manager հավելվածը կարող է օգտագործվել նաև կապը կառավարելու համար, եթե օգտագործում եք GUI:
Ավտոմատ միացման տարբերակի համար ընտրելով «այո»՝ VPN կապը կարող է կազմաձևվել ավտոմատ կերպով միանալու համար.
nmcli կապը փոփոխել [vpn name] կապը: <<<<<<<<<<<<<<<<<<<<<<<<
ավտոմատ միացում այո
Ավտոմատ կապն անջատելու համար այն դարձրեք ոչ՝
nmcli կապը փոփոխել [vpn name] կապը:
ավտոմատ միացում ոչ
MFA-ն ակտիվացնելու համար անցեք Firezone պորտալի /user account/registre mfa էջ: Օգտագործեք ձեր իսկորոշիչ հավելվածը՝ QR կոդը սկանավորելուց հետո, այնուհետև մուտքագրեք վեցանիշ կոդը:
Կապվեք ձեր ադմինիստրատորի հետ՝ վերականգնելու ձեր հաշվի մուտքի տվյալները, եթե դուք սխալ տեղադրեք ձեր իսկորոշիչ հավելվածը:
Այս ձեռնարկը ձեզ կուղեկցի Firezone-ի հետ WireGuard-ի պառակտված թունելավորման գործառույթը կարգավորելու գործընթացում, որպեսզի միայն երթևեկությունը դեպի որոշակի IP տիրույթներ փոխանցվի VPN սերվերի միջոցով:
IP-ի տիրույթները, որոնց համար հաճախորդը կուղղորդի ցանցի երթևեկությունը, նշված են «Թույլատրված IP-ներ» դաշտում, որը գտնվում է /settings/default էջում: Միայն Firezone-ի կողմից արտադրված WireGuard թունելի նորաստեղծ կոնֆիգուրացիաների վրա կազդեն այս դաշտի փոփոխությունները:
[Տեղադրել սքրինշոթ]
Լռելյայն արժեքն է 0.0.0.0/0, ::/0, որն ուղղորդում է ցանցի ողջ տրաֆիկը հաճախորդից դեպի VPN սերվեր:
Այս դաշտի արժեքների օրինակները ներառում են.
0.0.0.0/0, ::/0 – ցանցի ողջ տրաֆիկը կուղղվի դեպի VPN սերվեր:
192.0.2.3/32 – միայն մեկ IP հասցեի երթևեկությունը կուղղվի դեպի VPN սերվեր:
3.5.140.0/22 – միայն երթևեկությունը դեպի IP-ներ 3.5.140.1 – 3.5.143.254 միջակայքում կուղղվի դեպի VPN սերվեր: Այս օրինակում օգտագործվել է CIDR միջակայքը ap-norheast-2 AWS տարածաշրջանի համար:
Firezone-ն ընտրում է ելքի ինտերֆեյսը, որը կապված է առավել ճշգրիտ երթուղու հետ, երբ որոշում է, թե որտեղ պետք է ուղղորդել փաթեթը:
Օգտատերերը պետք է վերագեներացնեն կազմաձևման ֆայլերը և ավելացնեն դրանք իրենց հայրենի WireGuard հաճախորդին, որպեսզի թարմացնեն առկա օգտատերերի սարքերը նոր բաժանված թունելի կազմաձևով:
Հրահանգների համար տե՛ս սարք ավելացնել. <<<<<<<<<<< Ավելացրեք հղում
Այս ձեռնարկը ցույց կտա, թե ինչպես միացնել երկու սարքեր՝ օգտագործելով Firezone որպես ռելե: Տիպիկ օգտագործման դեպքերից մեկը ադմինիստրատորին հնարավորություն տալն է մուտք գործել սերվեր, կոնտեյներ կամ մեքենա, որը պաշտպանված է NAT-ով կամ firewall-ով:
Այս նկարազարդումը ցույց է տալիս պարզ սցենար, որտեղ A և B սարքերը կառուցում են թունել:
[Տեղադրեք հրդեհային գոտու ճարտարապետական նկարը]
Սկսեք ստեղծելով սարք A և սարք B՝ նավարկելով /users/[user_id]/new_device: Յուրաքանչյուր սարքի կարգավորումներում համոզվեք, որ հետևյալ պարամետրերը դրված են ստորև նշված արժեքներին: Սարքի կազմաձևը ստեղծելիս կարող եք սարքի կարգավորումներ սահմանել (տես «Ավելացնել սարքեր»): Եթե Ձեզ անհրաժեշտ է թարմացնել առկա սարքի կարգավորումները, կարող եք դա անել՝ ստեղծելով նոր սարքի կոնֆիգուրացիա:
Նկատի ունեցեք, որ բոլոր սարքերն ունեն /settings/defaults էջ, որտեղ PersistentKeepalive-ը կարող է կազմաձևվել:
AllowedIPs = 10.3.2.2/32
Սա B սարքի IP-ն կամ IP-ների տիրույթն է
PersistentKeepalive = 25
Եթե սարքը գտնվում է NAT-ի հետևում, դա ապահովում է, որ սարքը կարող է կենդանի պահել թունելը և շարունակել փաթեթներ ստանալ WireGuard ինտերֆեյսից: Սովորաբար 25 արժեքը բավարար է, բայց դուք կարող եք նվազեցնել այս արժեքը՝ կախված ձեր միջավայրից:
AllowedIPs = 10.3.2.3/32
Սա սարքի IP-ի կամ IP-ների տիրույթն է
PersistentKeepalive = 25
Այս օրինակը ցույց է տալիս մի իրավիճակ, երբ A սարքը կարող է շփվել B սարքերի հետ D-ի միջոցով երկու ուղղություններով: Այս կարգավորումը կարող է ներկայացնել ինժեների կամ ադմինիստրատորի, որը մուտք է գործում բազմաթիվ ռեսուրսներ (սերվերներ, կոնտեյներներ կամ մեքենաներ) տարբեր ցանցերում:
[Ճարտարապետական դիագրամ]<<<<<<<<<<<<<<<<<<<<<<<<<
Համոզվեք, որ հետևյալ կարգավորումները յուրաքանչյուր սարքի կարգավորումներում արված են համապատասխան արժեքներով: Սարքի կոնֆիգուրացիան ստեղծելիս կարող եք նշել սարքի կարգավորումները (տես Ավելացնել սարքեր): Սարքի նոր կազմաձևումը կարող է ստեղծվել, եթե գոյություն ունեցող սարքի կարգավորումները թարմացվեն:
Թույլատրված IP-ներ = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Սա B-ից D սարքերի IP-ն է: B-ից D սարքերի IP-ները պետք է ներառվեն IP-ի ցանկացած տիրույթում, որը դուք ընտրում եք:
PersistentKeepalive = 25
Սա երաշխավորում է, որ սարքը կարող է պահպանել թունելը և շարունակել փաթեթներ ստանալ WireGuard ինտերֆեյսից, նույնիսկ եթե այն պաշտպանված է NAT-ով: Շատ դեպքերում, 25-ի արժեքը համարժեք է, սակայն կախված ձեր շրջապատից, դուք կարող եք նվազեցնել այս ցուցանիշը:
Ձեր թիմի ողջ երթևեկության համար մեկ ստատիկ ելքի IP առաջարկելու համար Firezone-ը կարող է օգտագործվել որպես NAT դարպաս: Այս իրավիճակները ներառում են դրա հաճախակի օգտագործումը.
Խորհրդատվական ներգրավվածություն. Ձեր հաճախորդից պահանջեք սպիտակ ցուցակում մեկ ստատիկ IP հասցե, այլ ոչ թե յուրաքանչյուր աշխատակցի եզակի սարքի IP-ն:
Անվտանգության կամ գաղտնիության նպատակներով վստահված անձի օգտագործումը կամ ձեր աղբյուրի IP-ի քողարկումը:
Այս գրառման մեջ կցուցադրվի Firezone-ով աշխատող մեկ սպիտակ ցուցակում գտնվող ստատիկ IP-ի վրա ինքնակառավարվող վեբ հավելվածի հասանելիությունը սահմանափակելու պարզ օրինակ: Այս նկարում Firezone-ը և պաշտպանված ռեսուրսը գտնվում են տարբեր VPC տարածքներում:
Այս լուծումը հաճախ օգտագործվում է բազմաթիվ վերջնական օգտագործողների համար IP սպիտակ ցուցակը կառավարելու փոխարեն, ինչը կարող է ժամանակատար լինել, քանի որ մուտքի ցուցակն ընդլայնվում է:
Մեր նպատակն է ստեղծել Firezone սերվեր EC2 օրինակի վրա՝ VPN երթևեկությունը սահմանափակված ռեսուրսին վերահղելու համար: Այս դեպքում Firezone-ը ծառայում է որպես ցանցի վստահված անձ կամ NAT դարպաս՝ յուրաքանչյուր միացված սարքին եզակի հանրային արտահոսքի IP տրամադրելու համար:
Այս դեպքում, tc2.micro անունով EC2 օրինակն ունի Firezone-ի օրինակ տեղադրված դրա վրա: Firezone-ի տեղակայման մասին տեղեկությունների համար այցելեք տեղակայման ուղեցույց: AWS-ի հետ կապված, համոզվեք.
Firezone EC2 օրինակի անվտանգության խումբը թույլ է տալիս ելքային երթևեկությունը դեպի պաշտպանված ռեսուրսի IP հասցե:
Firezone օրինակը գալիս է առաձգական IP-ով: Երթևեկությունը, որը փոխանցվում է Firezone օրինակի միջոցով դեպի արտաքին ուղղություններ, սա կունենա որպես աղբյուրի IP հասցե: Քննարկվող IP հասցեն է 52.202.88.54:
[Տեղադրել սքրինշոթ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Այս դեպքում որպես պաշտպանված ռեսուրս ծառայում է ինքնակառավարվող վեբ հավելվածը: Վեբ հավելվածին հասանելի են միայն 52.202.88.54 IP հասցեից ստացվող հարցումները: Կախված ռեսուրսից, կարող է անհրաժեշտ լինել թույլատրել ներգնա երթևեկությունը տարբեր նավահանգիստների և երթևեկության տեսակների վրա: Սա ներառված չէ այս ձեռնարկում:
[Տեղադրել սքրինշոթ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Խնդրում ենք տեղեկացնել պաշտպանված ռեսուրսի համար պատասխանատու երրորդ կողմին, որ 1-ին Քայլում սահմանված ստատիկ IP-ից տրաֆիկը պետք է թույլատրվի (այս դեպքում՝ 52.202.88.54):
Լռելյայնորեն, օգտատերերի ամբողջ տրաֆիկը կանցնի VPN սերվերի միջոցով և կգա ստատիկ IP-ից, որը կազմաձևվել է Քայլ 1-ում (այս դեպքում՝ 52.202.88.54): Այնուամենայնիվ, եթե բաժանված թունելավորումը միացված է, կարող են անհրաժեշտ լինել կարգավորումներ՝ համոզվելու համար, որ պաշտպանված ռեսուրսի նպատակակետ IP-ն նշված է Թույլատրված IP-ների շարքում:
Ստորև ներկայացված է կազմաձևման ընտրանքների ամբողջական ցանկը, որոնք առկա են /etc/firezone/firezone.rb.
տարբերակ | նկարագրություն | լռելյայն արժեք |
լռելյայն['firezone']['external_url'] | URL-ն օգտագործվում է այս Firezone օրինակի վեբ պորտալ մուտք գործելու համար: | «https://#{հանգույց['fqdn'] || հանգույց['hostname']}» |
լռելյայն['firezone']['config_directory'] | Վերին մակարդակի գրացուցակ Firezone-ի կազմաձևման համար: | /etc/firezone' |
լռելյայն['firezone']['install_directory'] | Բարձր մակարդակի գրացուցակ, որտեղ տեղադրեք Firezone: | /opt/firezone' |
լռելյայն['firezone']['app_directory'] | Բարձր մակարդակի գրացուցակ Firezone վեբ հավելվածը տեղադրելու համար: | «#{node['firezone']['install_directory']}/embedded/service/firezone» |
լռելյայն['firezone']['log_directory'] | Վերին մակարդակի գրացուցակ Firezone տեղեկամատյանների համար: | /var/log/firezone' |
լռելյայն['firezone']['var_directory'] | Firezone գործարկման ֆայլերի վերին մակարդակի գրացուցակ: | /var/opt/firezone' |
լռելյայն['firezone']['user'] | Linux-ի ոչ արտոնյալ օգտվողի անունը, որին կպատկանեն ծառայությունների և ֆայլերի մեծ մասը: | հրդեհային գոտի' |
լռելյայն['firezone']['group'] | Linux խմբի անվանումը, որին կպատկանեն ծառայությունների և ֆայլերի մեծ մասը: | հրդեհային գոտի' |
լռելյայն['firezone']['admin_email'] | Firezone-ի սկզբնական օգտատիրոջ էլփոստի հասցեն: | «firezone@localhost» |
լռելյայն['firezone']['max_devices_per_user'] | Առավելագույն թվով սարքեր, որոնք օգտվողը կարող է ունենալ: | 10 |
լռելյայն['firezone']['allow_unprivileged_device_management'] | Թույլ է տալիս ոչ ադմինիստրատոր օգտատերերին ստեղծել և ջնջել սարքեր: | TRUE |
լռելյայն['firezone']['allow_unprivileged_device_configuration'] | Թույլ է տալիս ոչ ադմինիստրատոր օգտատերերին փոփոխել սարքի կազմաձևերը: Երբ անջատված է, թույլ չի տալիս արտոնյալ օգտվողներին փոխել սարքի բոլոր դաշտերը՝ բացառությամբ անվան և նկարագրության: | TRUE |
լռելյայն['firezone']['egress_interface'] | Ինտերֆեյսի անունը, որտեղից դուրս կգա թունելային երթևեկությունը: Եթե զրոյական է, ապա կօգտագործվի կանխադրված երթուղու միջերեսը: | զրո |
լռելյայն['firezone']['fips_enabled'] | Միացնել կամ անջատել OpenSSL FIPs ռեժիմը: | զրո |
լռելյայն['firezone']['logging']['enabled'] | Միացնել կամ անջատել գրանցումը Firezone-ում: Սահմանել false-ը, որպեսզի ամբողջությամբ անջատվի գրանցումը: | TRUE |
լռելյայն['ձեռնարկություն']['անուն'] | Անունը, որն օգտագործվում է Chef 'enterprise' խոհարարական գրքի կողմից: | հրդեհային գոտի' |
լռելյայն['firezone']['install_path'] | Տեղադրեք ուղին, որն օգտագործվում է Chef 'enterprise' խոհարարական գրքի կողմից: Պետք է սահմանվի նույնը, ինչ վերևի install_directory-ը: | հանգույց['firezone']['install_directory'] |
լռելյայն['firezone']['sysvinit_id'] | Նույնացուցիչ, որն օգտագործվում է /etc/inittab-ում: Պետք է լինի 1-4 նիշից բաղկացած եզակի հաջորդականություն: | SUP' |
լռելյայն['firezone']['authentication']['local']['enabled'] | Միացնել կամ անջատել տեղական էլփոստի/գաղտնաբառի նույնականացումը: | TRUE |
լռելյայն['firezone']['authentication']['auto_create_oidc_users'] | Ավտոմատ ստեղծեք օգտվողներ, որոնք առաջին անգամ մուտք են գործում OIDC-ից: Անջատել՝ OIDC-ի միջոցով միայն առկա օգտատերերին մուտք գործելու թույլտվություն տալու համար: | TRUE |
լռելյայն['firezone']['authentication']['disable_vpn_on_oidc_error'] | Անջատեք օգտվողի VPN-ը, եթե սխալ հայտնաբերվի՝ փորձելով թարմացնել նրա OIDC նշանը: | ԿԵՂԾ |
լռելյայն['firezone']['authentication']['oidc'] | OpenID Connect-ի կոնֆիգուրացիա՝ {«մատակարար» => [config…]} ձևաչափով – Տես OpenIDConnect փաստաթղթեր կազմաձևման օրինակների համար: | {} |
լռելյայն['firezone']['nginx']['միացված'] | Միացնել կամ անջատել միավորված nginx սերվերը: | TRUE |
լռելյայն['firezone']['nginx']['ssl_port'] | HTTPS լսելու միացք: | 443 |
լռելյայն['firezone']['nginx']['տեղեկատու'] | Գրացուցակ՝ Firezone-ի հետ կապված nginx վիրտուալ հոսթի կոնֆիգուրացիան պահելու համար: | «#{node['firezone']['var_directory']}/nginx/etc» |
լռելյայն['firezone']['nginx']['log_directory'] | Գրացուցակ՝ Firezone-ի հետ կապված nginx log ֆայլերը պահելու համար: | «#{node['firezone']['log_directory']}/nginx» |
լռելյայն['firezone']['nginx']['log_rotation']['file_maxbytes'] | Ֆայլի չափը, որով կարելի է պտտել Nginx log ֆայլերը: | 104857600 |
լռելյայն['firezone']['nginx']['log_rotation']['num_to_keep'] | Firezone nginx log ֆայլերի քանակը, որոնք պետք է պահպանվեն նախքան անտեսելը: | 10 |
լռելյայն['firezone']['nginx']['log_x_forwarded_for'] | Արդյոք գրանցել Firezone nginx x-forwarded-for header-ը: | TRUE |
լռելյայն['firezone']['nginx']['hsts_header']['միացված'] | TRUE | |
լռելյայն['firezone']['nginx']['hsts_header']['include_subdomains'] | Միացնել կամ անջատել includeSubDomains-ը HSTS վերնագրի համար: | TRUE |
լռելյայն['firezone']['nginx']['hsts_header']['max_age'] | HSTS վերնագրի առավելագույն տարիքը: | 31536000 |
լռելյայն['firezone']['nginx']['redirect_to_canonical'] | Արդյո՞ք URL-ները վերահղել վերը նշված կանոնական FQDN-ին | ԿԵՂԾ |
լռելյայն['firezone']['nginx']['cache']['միացված'] | Միացնել կամ անջատել Firezone nginx քեշը: | ԿԵՂԾ |
լռելյայն['firezone']['nginx']['cache']['տեղեկատու'] | Գրացուցակ Firezone nginx քեշի համար: | «#{node['firezone']['var_directory']}/nginx/cache» |
լռելյայն['firezone']['nginx']['user'] | Firezone nginx օգտվող. | հանգույց['firezone']['user'] |
լռելյայն['firezone']['nginx']['group'] | Firezone nginx խումբ. | հանգույց['firezone']['group'] |
լռելյայն['firezone']['nginx']['dir'] | Բարձր մակարդակի nginx կազմաձևման գրացուցակ: | հանգույց['firezone']['nginx']['տեղեկատու'] |
լռելյայն['firezone']['nginx']['log_dir'] | Բարձր մակարդակի nginx log տեղեկատու: | հանգույց['firezone']['nginx']['log_directory'] |
լռելյայն['firezone']['nginx']['pid'] | Nginx pid ֆայլի գտնվելու վայրը: | «#{node['firezone']['nginx']['directory']}/nginx.pid» |
լռելյայն['firezone']['nginx']['daemon_disable'] | Անջատեք nginx daemon ռեժիմը, որպեսզի մենք կարողանանք դրա փոխարեն վերահսկել: | TRUE |
լռելյայն['firezone']['nginx']['gzip'] | Միացրեք կամ անջատեք nginx gzip սեղմումը: | վրա' |
լռելյայն['firezone']['nginx']['gzip_static'] | Միացրեք կամ անջատեք nginx gzip սեղմումը ստատիկ ֆայլերի համար: | անջատված |
լռելյայն['firezone']['nginx']['gzip_http_version'] | HTTP տարբերակ՝ ստատիկ ֆայլեր սպասարկելու համար: | 1.0 ' |
լռելյայն['firezone']['nginx']['gzip_comp_level'] | nginx gzip սեղմման մակարդակը. | 2 ' |
լռելյայն['firezone']['nginx']['gzip_proxied'] | Միացնում կամ անջատում է պատասխանների gzipping պրոքսի հարցումների համար՝ կախված հարցումից և պատասխանից: | ցանկացած' |
լռելյայն['firezone']['nginx']['gzip_vary'] | Միացնում կամ անջատում է «Vary: Accept-Encoding» պատասխանի վերնագրի տեղադրումը: | անջատված |
լռելյայն['firezone']['nginx']['gzip_buffers'] | Սահմանում է պատասխանը սեղմելու համար օգտագործվող բուֆերների քանակը և չափը: Եթե զրոյական է, ապա օգտագործվում է nginx լռելյայն: | զրո |
լռելյայն['firezone']['nginx']['gzip_types'] | MIME տեսակներ՝ gzip սեղմումը միացնելու համար: | ['text/plain', 'text/css', 'application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
լռելյայն['firezone']['nginx']['gzip_min_length'] | Ֆայլի նվազագույն երկարությունը՝ ֆայլի gzip սեղմումը միացնելու համար: | 1000 |
լռելյայն['firezone']['nginx']['gzip_disable'] | User-agent matcher-ի համար gzip սեղմումն անջատելու համար: | MSIE [1-6]\.' |
լռելյայն['firezone']['nginx']['keepalive'] | Ակտիվացնում է քեշը վերին հոսքի սերվերներին միանալու համար: | վրա' |
լռելյայն['firezone']['nginx']['keepalive_timeout'] | Վայրկյանների ժամանակի ավարտը վերին հոսքի սերվերներին պահպանվող կապի համար: | 65 |
լռելյայն['firezone']['nginx']['worker_processes'] | Nginx աշխատանքային գործընթացների քանակը: | node['cpu'] && node['cpu']['total']? հանգույց['cpu']['total']՝ 1 |
լռելյայն['firezone']['nginx']['worker_connections'] | Միաժամանակյա միացումների առավելագույն քանակը, որոնք կարող են բացվել աշխատանքային գործընթացի միջոցով: | 1024 |
լռելյայն['firezone']['nginx']['worker_rlimit_nofile'] | Փոխում է աշխատանքային գործընթացների համար բաց ֆայլերի առավելագույն քանակի սահմանաչափը: Օգտագործում է nginx լռելյայն, եթե զրոյական է: | զրո |
լռելյայն['firezone']['nginx']['multi_accept'] | Անկախ նրանից, թե աշխատողները պետք է ընդունեն մեկ կապ, թե մի քանի անգամ: | TRUE |
լռելյայն['firezone']['nginx']['իրադարձություն'] | Նշում է կապի մշակման մեթոդը, որը պետք է օգտագործվի nginx իրադարձությունների համատեքստում: | epoll' |
լռելյայն['firezone']['nginx']['server_tokens'] | Միացնում կամ անջատում է nginx տարբերակի թողարկումը սխալի էջերում և «Սերվեր» պատասխանի վերնագրի դաշտում: | զրո |
լռելյայն['firezone']['nginx']['server_names_hash_bucket_size'] | Սահմանում է դույլի չափը սերվերի անունների հեշ աղյուսակների համար: | 64 |
լռելյայն['firezone']['nginx']['sendfile'] | Միացնում կամ անջատում է nginx-ի sendfile() օգտագործումը: | վրա' |
լռելյայն['firezone']['nginx']['access_log_options'] | Սահմանում է nginx մուտքի մատյանի ընտրանքները: | զրո |
լռելյայն['firezone']['nginx']['error_log_options'] | Սահմանում է nginx-ի սխալների մատյան տարբերակները: | զրո |
լռելյայն['firezone']['nginx']['disable_access_log'] | Անջատում է nginx մուտքի մատյանը: | ԿԵՂԾ |
լռելյայն['firezone']['nginx']['types_hash_max_size'] | nginx տեսակները hash max չափը. | 2048 |
լռելյայն['firezone']['nginx']['types_hash_bucket_size'] | nginx տեսակի հեշ դույլի չափը: | 64 |
լռելյայն['firezone']['nginx']['proxy_read_timeout'] | nginx վստահված անձի ընթերցման ժամանակի ավարտը: Սահմանել զրոյական՝ nginx լռելյայն օգտագործելու համար: | զրո |
լռելյայն['firezone']['nginx']['client_body_buffer_size'] | nginx հաճախորդի մարմնի բուֆերի չափը: Սահմանել զրոյական՝ nginx լռելյայն օգտագործելու համար: | զրո |
լռելյայն['firezone']['nginx']['client_max_body_size'] | nginx հաճախորդի մարմնի առավելագույն չափը: | 250 մ' |
լռելյայն['firezone']['nginx']['default']['modules'] | Նշեք լրացուցիչ nginx մոդուլներ: | [] |
լռելյայն['firezone']['nginx']['enable_rate_limiting'] | Միացնել կամ անջատել nginx տոկոսադրույքի սահմանափակումը: | TRUE |
լռելյայն['firezone']['nginx']['rate_limiting_zone_name'] | Nginx տոկոսադրույքը սահմանափակող գոտու անվանումը. | հրդեհային գոտի' |
լռելյայն['firezone']['nginx']['rate_limiting_backoff'] | Nginx տոկոսադրույքը սահմանափակող հետընթաց: | 10 մ' |
լռելյայն['firezone']['nginx']['rate_limit'] | Nginx տոկոսադրույքի սահմանաչափ. | 10 ռ/վրկ |
լռելյայն['firezone']['nginx']['ipv6'] | Թույլ տվեք nginx-ին լսել IPv6-ի համար HTTP հարցումները՝ բացի IPv4-ից: | TRUE |
լռելյայն['firezone']['postgresql']['միացված'] | Միացնել կամ անջատել փաթեթավորված Postgresql-ը: Սահմանեք false և լրացրեք ստորև բերված տվյալների բազայի ընտրանքները՝ ձեր սեփական Postgresql օրինակն օգտագործելու համար: | TRUE |
լռելյայն['firezone']['postgresql']['username'] | Օգտվողի անունը Postgresql-ի համար: | հանգույց['firezone']['user'] |
լռելյայն['firezone']['postgresql']['data_directory'] | Postgresql տվյալների գրացուցակ: | «#{node['firezone']['var_directory']}/postgresql/13.3/data» |
լռելյայն['firezone']['postgresql']['log_directory'] | Postgresql տեղեկամատյան գրացուցակ: | «#{node['firezone']['log_directory']}/postgresql» |
լռելյայն['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql log ֆայլի առավելագույն չափը նախքան այն պտտելը: | 104857600 |
լռելյայն['firezone']['postgresql']['log_rotation']['num_to_keep'] | Պահպանվող Postgresql մատյան ֆայլերի քանակը: | 10 |
լռելյայն['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql անցակետի ավարտի թիրախ. | 0.5 |
լռելյայն['firezone']['postgresql']['checkpoint_segments'] | Postgresql անցակետի հատվածների քանակը: | 3 |
լռելյայն['firezone']['postgresql']['checkpoint_timeout'] | Postgresql անցակետի ժամանակի ավարտը: | 5 րոպե |
լռելյայն['firezone']['postgresql']['checkpoint_warning'] | Postgresql անցակետի նախազգուշացման ժամանակը վայրկյաններով: | 30-ականներ |
լռելյայն['firezone']['postgresql']['effective_cache_size'] | Postgresql արդյունավետ քեշի չափը: | 128 ՄԲ' |
լռելյայն['firezone']['postgresql']['listen_address'] | Postgresql լսելու հասցեն. | 127.0.0.1 ' |
լռելյայն['firezone']['postgresql']['max_connections'] | Postgresql առավելագույն կապեր: | 350 |
լռելյայն['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR-ներ՝ md5 վավերացման համար: | ['127.0.0.1/32', '::1/128'] |
լռելյայն['firezone']['postgresql']['port'] | Postgresql լսելու պորտ. | 15432 |
լռելյայն['firezone']['postgresql']['shared_buffers'] | Postgresql-ի ընդհանուր բուֆերների չափը: | «#{(հանգույց['հիշողություն']['total'].to_i / 4) / 1024}MB» |
լռելյայն['firezone']['postgresql']['shmmax'] | Postgresql shmmax բայթերով: | 17179869184 |
լռելյայն['firezone']['postgresql']['shmall'] | Postgresql-ը փոքր է բայթերով: | 4194304 |
լռելյայն['firezone']['postgresql']['work_mem'] | Postgresql աշխատանքային հիշողության չափը: | 8 ՄԲ' |
լռելյայն['firezone']['տվյալների բազա']['օգտագործող'] | Նշում է օգտանունը, որը Firezone-ը կօգտագործի DB-ին միանալու համար: | հանգույց['firezone']['postgresql']['օգտանուն'] |
լռելյայն['firezone']['տվյալների բազա']['գաղտնաբառ'] | Եթե օգտագործում եք արտաքին DB, նշում է գաղտնաբառը, որը Firezone-ը կօգտագործի DB-ին միանալու համար: | փոխել ինձ' |
լռելյայն['firezone']['տվյալների բազա']['անուն'] | Տվյալների բազա, որը կօգտագործի Firezone-ը: Կստեղծվի, եթե այն չկա: | հրդեհային գոտի' |
լռելյայն['firezone']['տվյալների բազա']['հյուրընկալող'] | Տվյալների բազայի հոսթ, որին կմիանա Firezone-ը: | հանգույց['firezone']['postgresql']['listen_address'] |
լռելյայն['firezone']['տվյալների բազա']['պորտ'] | Տվյալների բազայի նավահանգիստ, որին կմիանա Firezone-ը: | հանգույց['firezone']['postgresql']['port'] |
լռելյայն['firezone']['տվյալների բազա']['pool'] | Տվյալների բազայի լողավազանի չափը կօգտագործի Firezone-ը: | [10, Etc.nprocessors].max |
լռելյայն['firezone']['տվյալների բազա']['ssl'] | Արդյոք միանալ տվյալների բազայի SSL-ի միջոցով: | ԿԵՂԾ |
լռելյայն['firezone']['տվյալների բազա']['ssl_opts'] | {} | |
լռելյայն['firezone']['տվյալների բազա']['պարամետրեր'] | {} | |
լռելյայն['firezone']['տվյալների բազա']['ընդլայնումներ'] | Տվյալների բազայի ընդարձակումներ միացնելու համար: | { 'plpgsql' => ճշմարիտ, 'pg_trgm' => ճշմարիտ } |
լռելյայն['firezone']['phoenix']['միացված'] | Միացնել կամ անջատել Firezone վեբ հավելվածը: | TRUE |
լռելյայն['firezone']['phoenix']['listen_address'] | Firezone վեբ հավելվածի լսման հասցեն: Սա կլինի վերին հոսքի լսման հասցեն, որը nginx-ի վստահված անձինք է: | 127.0.0.1 ' |
լռելյայն['firezone']['phoenix']['port'] | Firezone վեբ հավելվածի լսման պորտ: Սա կլինի վերին հոսքի նավահանգիստը, որը nginx-ը վստահված է: | 13000 |
լռելյայն['firezone']['phoenix']['log_directory'] | Firezone վեբ հավելվածների գրանցամատյան: | «#{node['firezone']['log_directory']}/phoenix» |
լռելյայն['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone վեբ հավելվածի գրանցամատյանի ֆայլի չափը: | 104857600 |
լռելյայն['firezone']['phoenix']['log_rotation']['num_to_keep'] | Firezone վեբ հավելվածների գրանցամատյանի ֆայլերի քանակը, որոնք պետք է պահպանվեն: | 10 |
լռելյայն['firezone']['phoenix']['crash_detection']['enabled'] | Միացնել կամ անջատել Firezone վեբ հավելվածի տապալումը, երբ վթար է հայտնաբերվել: | TRUE |
լռելյայն['firezone']['phoenix']['external_trusted_proxies'] | Վստահելի հակադարձ պրոքսիների ցանկ՝ ձևաչափված որպես IP-ների և/կամ CIDR-ների զանգված: | [] |
լռելյայն['firezone']['phoenix']['private_clients'] | Մասնավոր ցանցի HTTP հաճախորդների ցանկ՝ ձևաչափված IP-ների և/կամ CIDR-ների զանգված: | [] |
լռելյայն['firezone']['wireguard']['enabled'] | Միացնել կամ անջատել փաթեթավորված WireGuard-ի կառավարումը: | TRUE |
լռելյայն['firezone']['wireguard']['log_directory'] | Մատյանների գրացուցակ՝ միացված WireGuard-ի կառավարման համար: | «#{node['firezone']['log_directory']}/wireguard» |
լռելյայն['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard մատյան ֆայլի առավելագույն չափը: | 104857600 |
լռելյայն['firezone']['wireguard']['log_rotation']['num_to_keep'] | WireGuard մատյան ֆայլերի քանակը, որոնք պետք է պահպանվեն: | 10 |
լռելյայն['firezone']['wireguard']['interface_name'] | WireGuard ինտերֆեյսի անունը: Այս պարամետրը փոխելը կարող է VPN կապի ժամանակավոր կորուստ առաջացնել: | wg-firezone' |
լռելյայն['firezone']['wireguard']['port'] | WireGuard լսողական պորտ: | 51820 |
լռելյայն['firezone']['wireguard']['mtu'] | WireGuard ինտերֆեյսի MTU այս սերվերի և սարքի կոնֆիգուրացիաների համար: | 1280 |
լռելյայն['firezone']['wireguard']['endpoint'] | WireGuard Endpoint-ը՝ սարքի կոնֆիգուրացիաներ ստեղծելու համար: Եթե զրոյական է, ապա կանխադրված է սերվերի հանրային IP հասցեն: | զրո |
լռելյայն['firezone']['wireguard']['dns'] | WireGuard DNS-ն օգտագործելու համար ստեղծված սարքի կոնֆիգուրացիաների համար: | 1.1.1.1, 1.0.0.1′ |
լռելյայն['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIP-ները օգտագործելու համար ստեղծված սարքի կոնֆիգուրացիաները: | 0.0.0.0/0, ::/0′ |
լռելյայն['firezone']['wireguard']['persistent_keepalive'] | Կանխադրված PersistentKeepalive պարամետրը ստեղծվող սարքի կոնֆիգուրացիաների համար: 0 արժեքն անջատում է: | 0 |
լռելյայն['firezone']['wireguard']['ipv4']['միացված'] | Միացնել կամ անջատել IPv4-ը WireGuard ցանցի համար: | TRUE |
լռելյայն['firezone']['wireguard']['ipv4']['disquerade'] | Միացնել կամ անջատել դիմակահանդեսը IPv4 թունելից դուրս եկող փաթեթների համար: | TRUE |
լռելյայն['firezone']['wireguard']['ipv4']['ցանց'] | WireGuard ցանցի IPv4 հասցեների լողավազան: | 10.3.2.0 / 24 |
լռելյայն['firezone']['wireguard']['ipv4']['հասցե'] | WireGuard ինտերֆեյսի IPv4 հասցե: Պետք է լինի WireGuard հասցեների լողավազանում: | 10.3.2.1 ' |
լռելյայն['firezone']['wireguard']['ipv6']['միացված'] | Միացնել կամ անջատել IPv6-ը WireGuard ցանցի համար: | TRUE |
լռելյայն['firezone']['wireguard']['ipv6']['disquerade'] | Միացնել կամ անջատել դիմակահանդեսը IPv6 թունելից դուրս եկող փաթեթների համար: | TRUE |
լռելյայն['firezone']['wireguard']['ipv6']['ցանց'] | WireGuard ցանցի IPv6 հասցեների լողավազան: | fd00::3:2:0/120′ |
լռելյայն['firezone']['wireguard']['ipv6']['հասցե'] | WireGuard ինտերֆեյսի IPv6 հասցե: Պետք է լինի IPv6 հասցեների ֆոնդում: | fd00::3:2:1′ |
լռելյայն['firezone']['runit']['svlogd_bin'] | Գործարկեք svlogd bin գտնվելու վայրը: | «#{node['firezone']['install_directory']}/embedded/bin/svlogd» |
լռելյայն['firezone']['ssl']['տեղեկատու'] | SSL գրացուցակ՝ ստեղծված վկայագրերը պահելու համար: | /var/opt/firezone/ssl' |
լռելյայն['firezone']['ssl']['email_address'] | Էլեկտրոնային փոստի հասցե, որն օգտագործվում է ինքնուրույն ստորագրված վկայագրերի և ACME արձանագրության նորացման ծանուցումների համար: | you@example.com' |
լռելյայն['firezone']['ssl']['acme']['միացված'] | Միացնել ACME-ն SSL վկայագրի ավտոմատ տրամադրման համար: Անջատեք սա՝ թույլ չտալու համար, որ Nginx-ը լսի 80-րդ նավահանգստում: Տես այստեղ լրացուցիչ հրահանգների համար: | ԿԵՂԾ |
լռելյայն['firezone']['ssl']['acme']['server'] | ACME սերվեր՝ վկայականի տրամադրման/թարմացման համար: Կարող է լինել ցանկացած վավեր acme.sh սերվեր | letsencrypt- ը |
լռելյայն['firezone']['ssl']['acme']['keylongth'] | Նշեք SSL վկայագրերի բանալու տեսակը և երկարությունը: Տեսնել այստեղ | ec-256 |
լռելյայն['firezone']['ssl']['վկայական'] | Ձեր FQDN-ի վկայագրի ֆայլի ուղին: Անտեսում է վերը նշված ACME պարամետրը, եթե նշված է: Եթե և՛ ACME-ն, և՛ սա զրոյական են, կստեղծվի ինքնուրույն ստորագրված վկայագիր: | զրո |
լռելյայն['firezone']['ssl']['certificate_key'] | Վկայագրի ֆայլի ուղին: | զրո |
լռելյայն['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | զրո |
լռելյայն['firezone']['ssl']['country_name'] | Երկրի անվանումը ինքնաստորագրված վկայագրի համար: | ԱՄՆ' |
լռելյայն['firezone']['ssl']['state_name'] | Պետական անվանումը ինքնաստորագրված վկայականի համար: | Կալիֆոռնիա |
լռելյայն['firezone']['ssl']['locality_name'] | Տեղի անվանումը ինքնաստորագրված վկայագրի համար: | Սան Ֆրանցիսկո' |
լռելյայն['firezone']['ssl']['company_name'] | Ընկերության անվանումը ստորագրված վկայական: | Իմ ընկերությունը |
լռելյայն['firezone']['ssl']['organizational_unit_name'] | Կազմակերպչական միավորի անվանումը ինքնաստորագրված վկայագրի համար: | Գործողություններ |
լռելյայն['firezone']['ssl']['ciphers'] | SSL ծածկագրեր nginx-ի օգտագործման համար: | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
լռելյայն['firezone']['ssl']['fips_ciphers'] | SSL ծածկագրեր FIPs ռեժիմի համար: | FIPS@ուժեղ՝!aNULL:!eNULL' |
լռելյայն['firezone']['ssl']['protocols'] | TLS արձանագրություններ օգտագործելու համար: | TLSv1 TLSv1.1 TLSv1.2′ |
լռելյայն['firezone']['ssl']['session_cache'] | SSL նստաշրջանի քեշ. | համօգտագործված՝SSL:4m' |
լռելյայն['firezone']['ssl']['session_timeout'] | SSL նստաշրջանի ժամանակի ավարտ: | 5 մ' |
լռելյայն['firezone']['robots_allow'] | nginx ռոբոտները թույլ են տալիս. | /' |
լռելյայն['firezone']['robots_disallow'] | nginx ռոբոտները թույլ չեն տալիս: | զրո |
լռելյայն['firezone']['outbound_email']['from'] | Ելքային նամակ հասցեից: | զրո |
լռելյայն['firezone']['outbound_email']['provider'] | Արտագնա էլփոստի ծառայության մատակարար: | զրո |
լռելյայն['firezone']['outbound_email']['configs'] | Արտագնա էլփոստի մատակարարի կոնֆիգուրացիաներ: | տես omnibus/cookbooks/firezone/attributes/default.rb |
լռելյայն['firezone']['telemetry']['enabled'] | Միացնել կամ անջատել անանուն արտադրանքի հեռաչափությունը: | TRUE |
լռելյայն['firezone']['connectivity_checks']['enabled'] | Միացնել կամ անջատել Firezone կապի ստուգման ծառայությունը: | TRUE |
լռելյայն['firezone']['connectivity_checks']['interval'] | Միացման ստուգումների միջև ընկած ժամանակահատվածը վայրկյաններով: | 3_600 |
________________________________________________________________
Այստեղ դուք կգտնեք ֆայլերի և դիրեկտորիաների ցանկ, որոնք կապված են սովորական Firezone տեղադրման հետ: Դրանք կարող են փոխվել՝ կախված ձեր կազմաձևման ֆայլի փոփոխություններից:
ճանապարհ | նկարագրություն |
/var/opt/firezone | Վերին մակարդակի գրացուցակ, որը պարունակում է տվյալներ և ստեղծված կոնֆիգուրացիա Firezone փաթեթավորված ծառայությունների համար: |
/opt/firezone | Բարձր մակարդակի գրացուցակ, որը պարունակում է կառուցված գրադարաններ, երկուական և գործարկման ֆայլեր, որոնք անհրաժեշտ են Firezone-ին: |
/usr/bin/firezone-ctl | firezone-ctl օգտակար ծրագիր՝ ձեր Firezone տեղադրումը կառավարելու համար: |
/etc/systemd/system/firezone-runsvdir-start.service | systemd միավոր ֆայլ՝ Firezone runsvdir վերահսկիչի գործընթացը սկսելու համար: |
/ etc / firezone | Firezone կազմաձևման ֆայլեր: |
__________________________________________________________
Այս էջը փաստաթղթերում դատարկ էր
_____________________________________________________________
Հետևյալ nftables firewall ձևանմուշը կարող է օգտագործվել Firezone-ով աշխատող սերվերը ապահովելու համար: Կաղապարը որոշ ենթադրություններ է անում. Ձեզ կարող է անհրաժեշտ լինել հարմարեցնել կանոնները՝ ձեր օգտագործման դեպքին համապատասխան.
Firezone-ը կարգավորում է իր սեփական nftables կանոնները՝ թույլ տալու/մերժելու երթևեկությունը դեպի վեբ ինտերֆեյսում կազմաձևված ուղղություններ և կարգավորելու ելքային NAT-ը հաճախորդի տրաֆիկի համար:
Ստորև ներկայացված firewall ձևանմուշը արդեն աշխատող սերվերի վրա (ոչ բեռնման պահին) կիրառելը կհանգեցնի Firezone-ի կանոնների մաքրմանը: Սա կարող է անվտանգության հետևանքներ ունենալ:
Այս խնդրի շուրջ աշխատելու համար վերագործարկեք phoenix ծառայությունը.
firezone-ctl վերագործարկեք phoenix-ը
#!/usr/sbin/nft -f
## Մաքրել/ջնջել բոլոր գոյություն ունեցող կանոնները
ողողման կանոնների հավաքածու
############################### ՓՈՓՈԽԱԿԱՆՆԵՐ ################# ###############
## Ինտերնետ/WAN ինտերֆեյսի անվանում
սահմանել DEV_WAN = eth0
## WireGuard ինտերֆեյսի անունը
սահմանել DEV_WIREGUARD = wg-firezone
## WireGuard լսողական պորտ
սահմանել WIREGUARD_PORT = 51820
############################# ՓՈՓՈԽԱԿԱՆՆԵՐԸ ՎԵՐՋ ################## ############
# Հիմնական inet ընտանիքի զտման աղյուսակ
աղյուսակի inet ֆիլտր {
# Փոխանցված երթևեկության կանոններ
# Այս շղթան մշակվում է Firezone առաջ շղթայից առաջ
շղթա առաջ {
տիպի ֆիլտրի կեռիկի առաջնահերթ ֆիլտր – 5; քաղաքականություն ընդունել
}
# Մուտքային տրաֆիկի կանոններ
շղթայի մուտքագրում {
տիպի ֆիլտրի կեռիկի մուտքագրման առաջնահերթ ֆիլտր; քաղաքականության անկում
## Թույլատրել ներգնա տրաֆիկը դեպի loopback ինտերֆեյս
եթե ահա \
ընդունել \
մեկնաբանություն «Թույլատրել ամբողջ երթևեկությունը loopback ինտերֆեյսից»
## Թույլտվություն հաստատված և հարակից կապեր
ct պետություն ստեղծված, առնչվող \
ընդունել \
մեկնաբանություն «Թույլտվություն հաստատված/կապված կապեր»
## Թույլատրել մուտքային WireGuard երթևեկությունը
iif $DEV_WAN udp dport $WIREGUARD_PORT \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել ներգնա WireGuard երթևեկությունը»
## Մուտքագրեք և թողեք նոր TCP ոչ SYN փաթեթներ
tcp դրոշներ != syn ct վիճակ նոր \
սահմանային դրույքաչափ 100/րոպե պոռթկում 150 փաթեթներ \
log նախածանց «IN – Նոր !SYN: \
մեկնաբանություն «Գնահատման սահմանաչափի գրանցում նոր կապերի համար, որոնք չունեն SYN TCP դրոշակ սահմանված»
tcp դրոշներ != syn ct վիճակ նոր \
հաշվիչ \
անկում \
մեկնաբանություն «Թողեք նոր կապերը, որոնք չունեն SYN TCP դրոշակ սահմանված»
## Մուտքագրեք և թողեք TCP փաթեթներ՝ անվավեր fin/syn դրոշակներով
tcp դրոշներ & (fin|syn) == (fin|syn) \
սահմանային դրույքաչափ 100/րոպե պոռթկում 150 փաթեթներ \
log նախածանց «IN – TCP FIN|SIN՝» \
մեկնաբանություն «Գնահատման սահմանաչափի գրանցում TCP փաթեթների համար՝ անվավեր fin/syn դրոշակով»
tcp դրոշներ & (fin|syn) == (fin|syn) \
հաշվիչ \
անկում \
մեկնաբանություն «Թողնել TCP փաթեթները անվավեր fin/syn դրոշակներով»
## Մուտքագրեք և թողեք TCP փաթեթներ՝ անվավեր համաժամանակյա/առաջին դրոշի հավաքածուով
tcp դրոշներ & (syn|նախ) == (syn|նախ) \
սահմանային դրույքաչափ 100/րոպե պոռթկում 150 փաթեթներ \
log նախածանց «IN – TCP SYN|RST՝» \
մեկնաբանություն «Գնահատման սահմանաչափի գրանցում TCP փաթեթների համար՝ անվավեր համաժամ/առաջին դրոշակով»
tcp դրոշներ & (syn|նախ) == (syn|նախ) \
հաշվիչ \
անկում \
մեկնաբանություն «Թողնել TCP փաթեթները անվավեր համաժամ/առաջին դրոշի հավաքածուով»
## Մուտքագրեք և թողեք անվավեր TCP դրոշներ
tcp դրոշներ & (fin|syn|rst|psh|ack|urg) < (fin) \
սահմանային դրույքաչափ 100/րոպե պոռթկում 150 փաթեթներ \
log նախածանց «IN – FIN:» \
մեկնաբանություն «Գնահատման սահմանաչափի գրանցում անվավեր TCP դրոշների համար (fin|syn|rst|psh|ack|urg) < (fin)»
tcp դրոշներ & (fin|syn|rst|psh|ack|urg) < (fin) \
հաշվիչ \
անկում \
մեկնաբանություն «Թողեք TCP փաթեթները դրոշներով (fin|syn|rst|psh|ack|urg) < (fin)»
## Մուտքագրեք և թողեք անվավեր TCP դրոշներ
tcp դրոշներ & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
սահմանային դրույքաչափ 100/րոպե պոռթկում 150 փաթեթներ \
log նախածանց «IN – FIN|PSH|URG:» \
մեկնաբանություն «Գույքի սահմանաչափի գրանցում TCP-ի անվավեր դրոշակների համար (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)»
tcp դրոշներ & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
հաշվիչ \
անկում \
մեկնաբանություն «Թողեք TCP փաթեթները դրոշներով (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)»
## Անջատեք տրաֆիկը անվավեր կապի վիճակով
ct վիճակն անվավեր \
սահմանային դրույքաչափ 100/րոպե պոռթկում 150 փաթեթներ \
տեղեկամատյանը նշում է բոլոր նախածանցը «IN – Անվավեր.» \
մեկնաբանություն «Գույքի սահմանաչափի գրանցում անվավեր կապի վիճակով տրաֆիկի համար»
ct վիճակն անվավեր \
հաշվիչ \
անկում \
մեկնաբանություն «Թողնել երթևեկությունը անվավեր կապի վիճակով»
## Թույլատրեք IPv4 ping/ping պատասխանները, բայց սահմանաչափը մինչև 2000 PPS
ip արձանագրություն icmp icmp տեսակ { echo-reply, echo- հարցում } \
սահմանային դրույքաչափ 2000/երկրորդ \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել մուտքային IPv4 արձագանքը (պինգ) սահմանափակված է 2000 PPS-ով»
## Թույլատրել բոլոր մյուս մուտքային IPv4 ICMP-ները
ip արձանագրության icmp \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել բոլոր այլ IPv4 ICMP»
## Թույլատրեք IPv6 ping/ping պատասխանները, բայց սահմանաչափը մինչև 2000 PPS
icmpv6 տեսակ { echo-reply, echo- հարցում } \
սահմանային դրույքաչափ 2000/երկրորդ \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել մուտքային IPv6 արձագանքը (պինգ) սահմանափակված է 2000 PPS-ով»
## Թույլատրել բոլոր մյուս մուտքային IPv6 ICMP-ները
meta l4proto {icmpv6 } \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել բոլոր այլ IPv6 ICMP»
## Թույլատրեք ներգնա հետագծման UDP պորտերը, բայց սահմանափակեք մինչև 500 PPS
udp dport 33434-33524 \
սահմանային դրույքաչափ 500/երկրորդ \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլտվեք ներգնա UDP հետագծումը սահմանափակվում է 500 PPS-ով»
## Թույլատրել ներգնա SSH
tcp dport ssh ct վիճակ նոր \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել ներգնա SSH կապերը»
## Թույլատրեք մուտքային HTTP և HTTPS
tcp dport { http, https } ct նոր \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել ներգնա HTTP և HTTPS կապերը»
## Մուտքագրեք ցանկացած չհամընկնող երթևեկություն, բայց գրանցեք սահմանափակում մինչև առավելագույնը 60 հաղորդագրություն/րոպե
## Կանխադրված քաղաքականությունը կկիրառվի չհամընկնող տրաֆիկի նկատմամբ
սահմանային դրույքաչափ 60/րոպե պոռթկում 100 փաթեթներ \
log նախածանց «IN – Drop»: \
մեկնաբանություն «Գրանցեք ցանկացած անհամապատասխան երթևեկություն»
## Հաշվեք չհամընկնող երթևեկությունը
հաշվիչ \
մեկնաբանություն «Հաշվե՛ք ցանկացած անզուգական երթևեկություն»
}
# Կանոններ ելքային տրաֆիկի համար
շղթայի ելք {
տեսակի ֆիլտրի կեռիկի ելքային առաջնահերթ ֆիլտր; քաղաքականության անկում
## Թույլատրել ելքային երթևեկությունը դեպի loopback ինտերֆեյս
օյֆ լո \
ընդունել \
մեկնաբանություն «Թույլատրել ամբողջ երթևեկությունը դեպի շրջադարձային միջերես»
## Թույլտվություն հաստատված և հարակից կապեր
ct պետություն ստեղծված, առնչվող \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլտվություն հաստատված/կապված կապեր»
## Թույլատրեք WireGuard-ի ելքային երթևեկությունը՝ նախքան վատ վիճակի հետ կապերն անջատելը
օիֆ $DEV_WAN udp սպորտ $WIREGUARD_PORT \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել WireGuard-ի ելքային երթևեկությունը»
## Անջատեք տրաֆիկը անվավեր կապի վիճակով
ct վիճակն անվավեր \
սահմանային դրույքաչափ 100/րոպե պոռթկում 150 փաթեթներ \
տեղեկամատյանը նշում է բոլոր նախածանցը «OUT – Անվավեր». \
մեկնաբանություն «Գույքի սահմանաչափի գրանցում անվավեր կապի վիճակով տրաֆիկի համար»
ct վիճակն անվավեր \
հաշվիչ \
անկում \
մեկնաբանություն «Թողնել երթևեկությունը անվավեր կապի վիճակով»
## Թույլատրել բոլոր մյուս ելքային IPv4 ICMP-ները
ip արձանագրության icmp \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել բոլոր IPv4 ICMP տեսակները»
## Թույլատրել բոլոր մյուս ելքային IPv6 ICMP-ները
meta l4proto {icmpv6 } \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել բոլոր IPv6 ICMP տեսակները»
## Թույլատրեք ելքային հետագծման UDP նավահանգիստները, բայց սահմանափակեք մինչև 500 PPS
udp dport 33434-33524 \
սահմանային դրույքաչափ 500/երկրորդ \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլտվեք ելքային UDP հետագծումը սահմանափակվում է 500 PPS-ով»
## Թույլատրել ելքային HTTP և HTTPS միացումներ
tcp dport { http, https } ct նոր \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել ելքային HTTP և HTTPS միացումներ»
## Թույլատրել ելքային SMTP ներկայացումը
tcp dport ներկայացում ct վիճակ նոր \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել ելքային SMTP ներկայացումը»
## Թույլատրել ելքային DNS հարցումները
udp dport 53 \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել ելքային UDP DNS հարցումները»
tcp dport 53 \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել ելքային TCP DNS հարցումները»
## Թույլատրել ելքային NTP հարցումները
udp dport 123 \
հաշվիչ \
ընդունել \
մեկնաբանություն «Թույլատրել ելքային NTP հարցումները»
## Մուտքագրեք ցանկացած չհամընկնող երթևեկություն, բայց գրանցեք սահմանափակում մինչև առավելագույնը 60 հաղորդագրություն/րոպե
## Կանխադրված քաղաքականությունը կկիրառվի չհամընկնող տրաֆիկի նկատմամբ
սահմանային դրույքաչափ 60/րոպե պոռթկում 100 փաթեթներ \
log նախածանց «ԴՈՒՐՍ – Թողնել». \
մեկնաբանություն «Գրանցեք ցանկացած անհամապատասխան երթևեկություն»
## Հաշվեք չհամընկնող երթևեկությունը
հաշվիչ \
մեկնաբանություն «Հաշվե՛ք ցանկացած անզուգական երթևեկություն»
}
}
# Հիմնական NAT զտման աղյուսակ
սեղան inet nat {
# NAT երթևեկության նախնական երթուղման կանոններ
շղթայի նախնական երթևեկում {
տեսակ nat hook prerouting առաջնահերթ dstnat; քաղաքականություն ընդունել
}
# NAT երթևեկության հետերթուղիների կանոններ
# Այս աղյուսակը մշակվում է Firezone հետերթուղային շղթայից առաջ
շղթայի հետուղղում {
տեսակ nat hook postrouting առաջնահերթություն srcnat – 5; քաղաքականություն ընդունել
}
}
Firewall-ը պետք է պահվի համապատասխան վայրում գործող Linux բաշխման համար: Debian/Ubuntu-ի համար սա /etc/nftables.conf է, իսկ RHEL-ի համար՝ /etc/sysconfig/nftables.conf:
nftables.service-ը պետք է կազմաձևվի՝ սկսելու համար boot (եթե ոչ արդեն) set:
systemctl միացնել nftables.service
Firewall-ի ձևանմուշում որևէ փոփոխություն կատարելու դեպքում շարահյուսությունը կարող է վավերացվել՝ գործարկելով ստուգման հրամանը.
nft -f /path/to/nftables.conf -c
Համոզվեք, որ հաստատեք, որ firewall-ը աշխատում է այնպես, ինչպես սպասվում էր, քանի որ nftables-ի որոշ առանձնահատկություններ կարող են հասանելի չլինել՝ կախված սերվերի վրա աշխատող թողարկումից:
_______________________________________________________________
Այս փաստաթուղթը ներկայացնում է ակնարկ այն հեռաչափության մասին, որը Firezone-ը հավաքում է ձեր ինքնակառավարվող օրինակից և ինչպես անջատել այն:
հրդեհային գոտի ապավինում է հեռաչափության վրա՝ առաջնահերթություն տալու մեր ճանապարհային քարտեզին և օպտիմալացնելու ինժեներական ռեսուրսները, որոնք մենք ունենք՝ Firezone-ն ավելի լավը դարձնելու համար բոլորի համար:
Մեր հավաքած հեռաչափությունը նպատակ ունի պատասխանել հետևյալ հարցերին.
Կան երեք հիմնական վայրեր, որտեղ հեռաչափությունը հավաքվում է Firezone-ում.
Այս երեք համատեքստերից յուրաքանչյուրում մենք հավաքում ենք տվյալների նվազագույն քանակն, որն անհրաժեշտ է վերը նշված հատվածի հարցերին պատասխանելու համար:
Ադմինիստրատորի նամակները հավաքվում են միայն այն դեպքում, եթե դուք բացահայտորեն մասնակցում եք արտադրանքի թարմացումներին: Հակառակ դեպքում, անձը ճանաչելի տեղեկատվություն է երբեք հավաքված.
Firezone-ը պահպանում է հեռաչափությունը PostHog-ի ինքնակառավարվող օրինակում, որն աշխատում է մասնավոր Kubernetes կլաստերում, որը հասանելի է միայն Firezone թիմի կողմից: Ահա հեռաչափության իրադարձության օրինակ, որն ուղարկվում է Firezone-ի ձեր օրինակից մեր հեռաչափական սերվերին.
{
«id»: “0182272d-0b88-0000-d419-7b9a413713f1”,
«ժամանականիշ»: “2022-07-22T18:30:39.748000+00:00”,
«իրադարձություն»: «fz_http_started»,
«disstinct_id»: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
«հատկություններ»{
«$geoip_city_name»: «Ashburn»,
«$geoip_continent_code»: «ԱԺ»,
«$geoip_continent_name»: "Հյուսիսային Ամերիկա",
«$geoip_country_code»: «ԱՄՆ»,
«$geoip_country_name»: "Միացյալ Նահանգներ",
«$geoip_latitude»: 39.0469,
«$geoip_longitude»: 77.4903 -,
«$geoip_postal_code»: «20149»,
«$geoip_subdivision_1_code»: «ՎԱ»,
«$geoip_subdivision_1_name»: «Վիրջինիա»,
«$geoip_time_zone»: «Ամերիկա/Նյու Յորք»,
«$ip»: «52.200.241.107»,
«$plugins_deferred»: [],
«$plugins_failed»: [],
«$plugins_succeeded»[
«GeoIP (3)»
],
«disstinct_id»: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
«fqdn»: «awsdemo.firezone.dev»,
«kernel_version»: «linux 5.13.0»,
«տարբերակ»: «0.4.6»
},
«տարրերի_շղթա»: ""
}
ՆՇՈՒՄ
Firezone-ի մշակման թիմը ապավինում է արտադրանքի վերլուծության վրա՝ Firezone-ն ավելի լավը դարձնելու համար բոլորի համար: Հեռուստաչափությունը միացված թողնելը միակ ամենաթանկ ներդրումն է, որը դուք կարող եք կատարել Firezone-ի զարգացման գործում: Այսպիսով, մենք հասկանում ենք, որ որոշ օգտվողներ ունեն գաղտնիության կամ անվտանգության ավելի բարձր պահանջներ և կնախընտրեն ընդհանրապես անջատել հեռաչափությունը: Եթե դա դու ես, շարունակիր կարդալ:
Հեռուստաչափությունը լռելյայն միացված է: Արտադրանքի հեռաչափությունն ամբողջությամբ անջատելու համար սահմանեք հետևյալ կազմաձևման տարբերակը false-ի /etc/firezone/firezone.rb-ում և գործարկեք sudo firezone-ctl reconfigure՝ փոփոխությունները տեսնելու համար:
լռելյայն[«հրդեհային գոտի»][«հեռաչափություն»][«միացված»] = սուտ
Դա ամբողջությամբ կանջատի արտադրանքի ամբողջ հեռաչափությունը:
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Հեռախոս: (732) 771-9995
փոստ՝ info@hailbytes.com