matseðill
Skref-fyrir-skref leiðbeiningar um uppsetningu Hailbytes VPN með Firezone GUI eru gefnar hér.
Stjórna: Uppsetning netþjónstilviksins er beintengd þessum hluta.
Notendaleiðbeiningar: Gagnleg skjöl sem geta kennt þér hvernig á að nota Firezone og leysa dæmigerð vandamál. Eftir að þjónninn hefur verið settur upp skaltu skoða þennan hluta.
Skipt jarðgöng: Notaðu VPN til að senda aðeins umferð á ákveðin IP svið.
Hvítlistun: Stilltu fasta IP-tölu VPN netþjóns til að nota hvítlista.
Öfug göng: Búðu til göng á milli nokkurra jafningja með því að nota öfug göng.
Við erum ánægð að aðstoða þig ef þú þarft aðstoð við að setja upp, sérsníða eða nota Hailbytes VPN.
Áður en notendur geta búið til eða hlaðið niður stillingarskrám tækja er hægt að stilla Firezone þannig að það krefjist auðkenningar. Notendur gætu einnig þurft að sannvotta reglulega til að halda VPN-tengingu sinni virkri.
Þrátt fyrir að sjálfgefin innskráningaraðferð Firezone sé staðbundinn tölvupóstur og lykilorð, þá er einnig hægt að samþætta það við hvaða staðlaða OpenID Connect (OIDC) auðkennisveitu sem er. Notendur geta nú skráð sig inn á Firezone með því að nota Okta, Google, Azure AD eða persónuskilríki fyrir einkaauðkenni.
Samþætta almennan OIDC veitanda
Stillingarfæribreyturnar sem Firezone þarf til að leyfa SSO að nota OIDC veitu eru sýndar í dæminu hér að neðan. Á /etc/firezone/firezone.rb gætirðu fundið stillingarskrána. Keyrðu firezone-ctl endurstillingu og firezone-ctl endurræstu til að uppfæra forritið og taka gildi breytinga.
# Þetta er dæmi um að nota Google og Okta sem SSO auðkennisveitu.
# Hægt er að bæta mörgum OIDC stillingum við sama Firezone dæmið.
# Firezone getur slökkt á VPN notanda ef einhver villa greinist við að reyna
# til að endurnýja aðgangslykillinn þeirra. Þetta er staðfest til að virka fyrir Google, Okta og
# Azure SSO og er notað til að aftengja VPN notanda sjálfkrafa ef þeir eru fjarlægðir
# frá OIDC þjónustuveitunni. Skildu þetta óvirkt ef OIDC veitandinn þinn
# á í vandræðum með að endurnýja aðgangslykil þar sem það gæti óvænt truflað a
# VPN lota notanda.
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = ósatt
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: „https://accounts.google.com/.well-known/openid-configuration“,
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "kóði",
scope: “openid email profile”,
merki: "Google"
},
okta: {
discovery_document_uri: "https:// /.well-known/openid-configuration”,
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "kóði",
scope: "openid email profile offline_access",
merki: "Okta"
}
}
Eftirfarandi stillingar eru nauðsynlegar fyrir samþættinguna:
Fyrir hvern OIDC veitu er samsvarandi falleg vefslóð búin til til að beina á innskráningarvefslóð innskráningarveitunnar. Fyrir dæmið OIDC stillingar hér að ofan eru vefslóðirnar:
Veitendur sem við höfum skjöl fyrir:
Ef auðkennisveitan þín er með almennt OIDC tengi og er ekki skráð hér að ofan, vinsamlegast farðu í skjölin þeirra til að fá upplýsingar um hvernig á að sækja nauðsynlegar stillingar.
Stillingunni undir stillingum/öryggi er hægt að breyta til að krefjast reglubundinnar endurauðkenningar. Þetta er hægt að nota til að framfylgja kröfunni um að notendur fari reglulega inn á Firezone til að halda áfram VPN setu sinni.
Hægt er að stilla lengd lotunnar þannig að hún sé á milli ein klukkustund og níutíu dagar. Með því að stilla þetta á Aldrei geturðu virkjað VPN lotur hvenær sem er. Þetta er staðallinn.
Notandi verður að slíta VPN-lotu sinni og skrá sig inn á Firezone-gáttina til að sannvotta aftur útrunna VPN-lotu (vefslóð tilgreind við uppsetningu).
Þú getur staðfest lotuna þína aftur með því að fylgja nákvæmum leiðbeiningum viðskiptavinarins sem finnast hér.
Staða VPN-tengingar
VPN-tengingartöfludálkur notendasíðunnar sýnir tengingarstöðu notanda. Þetta eru tengingarstöðurnar:
Kveikt - Tengingin er virkjuð.
Óvirkjað - Tengingin er óvirk af stjórnanda eða OIDC endurnýjunarbilun.
ÚTLUNNIN – Tengingin er óvirk vegna auðkenningar rennur út eða notandi hefur ekki skráð sig inn í fyrsta skipti.
Í gegnum almenna OIDC tengið gerir Firezone kleift að skrá sig inn (SSO) með Google Workspace og Cloud Identity. Þessi handbók mun sýna þér hvernig á að fá stillingarfæribreyturnar sem taldar eru upp hér að neðan, sem eru nauðsynlegar fyrir samþættinguna:
1. OAuth stillingarskjár
Ef þetta er í fyrsta skipti sem þú ert að búa til nýtt OAuth biðlaraauðkenni, verður þú beðinn um að stilla samþykkisskjá.
*Veldu Innri fyrir notandagerð. Þetta tryggir að aðeins reikningar sem tilheyra notendum í Google Workspace fyrirtækinu þínu geta búið til tækjastillingar. EKKI velja Ytri nema þú viljir gera öllum með gildan Google reikning kleift að búa til tækjastillingar.
Á upplýsingaskjá forritsins:
2. Búðu til auðkenni OAuth viðskiptavinar
Þessi hluti er byggður á eigin skjölum Google um setja upp OAuth 2.0.
Farðu á Google Cloud Console Persónuskilríki síða síðu, smelltu á + Búa til skilríki og veldu auðkenni OAuth biðlara.
Á skjánum til að búa til OAuth biðlaraauðkenni:
Eftir að hafa búið til OAuth-biðlaraauðkenni, færðu auðkenni viðskiptavinar og leyndarmál viðskiptavinar. Þetta verður notað ásamt tilvísunar-URI í næsta skrefi.
Breyta /etc/firezone/firezone.rb að innihalda valkostina hér að neðan:
# Að nota Google sem SSO auðkennisveitu
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: „https://accounts.google.com/.well-known/openid-configuration“,
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "kóði",
scope: “openid email profile”,
merki: "Google"
}
}
Keyrðu firezone-ctl endurstillingu og firezone-ctl endurræstu til að uppfæra forritið. Þú ættir nú að sjá hnappinn Skráðu þig inn með Google við rót Firezone URL.
Firezone notar almenna OIDC tengið til að auðvelda Single Sign-On (SSO) með Okta. Þessi kennsla mun sýna þér hvernig á að fá stillingarfæribreyturnar sem taldar eru upp hér að neðan, sem eru nauðsynlegar fyrir samþættinguna:
Þessi hluti handbókarinnar er byggður á Skjöl Okta.
Í stjórnborðinu, farðu í Forrit > Forrit og smelltu á Create App Integration. Stilltu innskráningaraðferð á OICD – OpenID Connect og tegund forrits á vefforrit.
Stilltu þessar stillingar:
Þegar stillingar hafa verið vistaðar færðu viðskiptavinaauðkenni, leyndarmál viðskiptavinar og Okta Domain. Þessi 3 gildi verða notuð í skrefi 2 til að stilla Firezone.
Breyta /etc/firezone/firezone.rb að innihalda valkostina hér að neðan. Þinn uppgötvunarslóð verður /.velþekkt/openid-stillingar bætt við lok þín okta_lén.
# Að nota Okta sem SSO auðkennisveitu
default['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri: "https:// /.well-known/openid-configuration”,
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "kóði",
scope: "openid email profile offline_access",
merki: "Okta"
}
}
Keyrðu firezone-ctl endurstillingu og firezone-ctl endurræstu til að uppfæra forritið. Þú ættir nú að sjá hnappinn Skráðu þig inn með Okta við rót Firezone URL.
Okta getur takmarkað notendur sem hafa aðgang að Firezone appinu. Farðu á Verkefnasíðu Okta Admin Console Firezone App Integration til að ná þessu.
Í gegnum almenna OIDC tengið gerir Firezone kleift að skrá sig inn (SSO) með Azure Active Directory. Þessi handbók mun sýna þér hvernig á að fá stillingarfæribreyturnar sem taldar eru upp hér að neðan, sem eru nauðsynlegar fyrir samþættinguna:
Þessi leiðarvísir er unnin úr Azure Active Directory Docs.
Farðu á Azure Active Directory síðu Azure gáttarinnar. Veldu stjórna valmyndinni, veldu Ný skráning og skráðu þig síðan með því að gefa upp upplýsingarnar hér að neðan:
Eftir að þú hefur skráð þig skaltu opna upplýsingaskjá forritsins og afrita Auðkenni umsóknar (viðskiptavinar).. Þetta verður client_id gildi. Næst skaltu opna endapunkta valmyndina til að sækja OpenID Connect lýsigagnaskjal. Þetta mun vera discovery_document_uri gildið.
Búðu til nýtt leyndarmál viðskiptavinar með því að smella á Vottorð og leyndarmál valkostinn undir stjórna valmyndinni. Afritaðu leyndarmál viðskiptavinarins; leyndarmál viðskiptavinarins verður þetta.
Að lokum skaltu velja hlekkinn API heimildir undir stjórnunarvalmyndinni, smelltu Bættu við heimildOg veldu Microsoft línurit, bæta við Tölvupóst eða, opið, offline_aðgangur og uppsetningu að tilskildum heimildum.
Breyta /etc/firezone/firezone.rb að innihalda valkostina hér að neðan:
# Að nota Azure Active Directory sem SSO auðkennisveitu
default['firezone']['authentication']['oidc'] = {
blár: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
response_type: "kóði",
scope: "openid email profile offline_access",
merki: "Azure"
}
}
Keyrðu firezone-ctl endurstillingu og firezone-ctl endurræstu til að uppfæra forritið. Þú ættir nú að sjá Sign in with Azure hnappinn á rót Firezone URL.
Azure AD gerir stjórnendum kleift að takmarka aðgang að forritum við ákveðinn hóp notenda innan fyrirtækis þíns. Frekari upplýsingar um hvernig á að gera þetta er að finna í skjölum Microsoft.
Chef Omnibus er notað af Firezone til að stjórna verkefnum, þar á meðal losunarumbúðum, ferlieftirliti, annálastjórnun og fleira.
Ruby kóða myndar aðal stillingarskrána, sem er staðsett á /etc/firezone/firezone.rb. Að endurræsa sudo firezone-ctl endurstillingu eftir að hafa gert breytingar á þessari skrá veldur því að Chef þekkir breytingarnar og notar þær á núverandi stýrikerfi.
Sjá tilvísun í stillingarskrá fyrir heildarlista yfir stillingarbreytur og lýsingar á þeim.
Hægt er að stjórna Firezone tilvikinu þínu í gegnum firezone-ctl skipun, eins og sýnt er hér að neðan. Flestar undirskipanir þurfa forskeyti með sudo.
root@demo:~# firezone-ctl
omnibus-ctl: skipun (undirskipun)
Almennar skipanir:
hreinsa
Eyddu *öllum* eldsvæðisgögnum og byrjaðu frá grunni.
búa til-eða-endurstilla-admin
Endurstillir lykilorðið fyrir stjórnandann með tölvupósti sem er sjálfgefið ['firezone']['admin_email'] eða býr til nýjan stjórnanda ef þessi netfang er ekki til.
hjálpa
Prentaðu þessi hjálparskilaboð.
endurstilla
Endurstilltu forritið.
endurstilla-net
Endurstillir nftables, WireGuard tengi og leiðartöflu aftur í sjálfgefnar Firezone.
sýna-stillingar
Sýndu uppsetninguna sem myndi verða til við endurstillingu.
niðurrif-net
Fjarlægir WireGuard tengi og firezone nftables borð.
afl-skírteini-endurnýjun
Þvingaðu fram endurnýjun vottorðs núna, jafnvel þó að það sé ekki útrunnið.
stöðva-skírteini-endurnýjun
Fjarlægir cronjob sem endurnýjar skírteini.
uninstall
Drepaðu alla ferla og fjarlægðu vinnslustjórann (gögn verða varðveitt).
útgáfa
Sýna núverandi útgáfu af Firezone
Þjónustustjórnunarskipanir:
tignarlegt-drepa
Reyndu að stöðva tignarlega, SIGKILL síðan allan ferlihópinn.
úff
Sendu þjónustunni HUP.
int
Sendu þjónustunni INT.
drepa
Sendu þjónustunni KILL.
einu sinni
Byrjaðu þjónustuna ef þær liggja niðri. Ekki endurræsa þá ef þeir hætta.
endurræsa
Stöðvaðu þjónusturnar ef þær eru í gangi og ræstu þær síðan aftur.
þjónustu-listi
Listaðu allar þjónusturnar (virkar þjónustur birtast með *.)
Byrja
Byrjaðu þjónustu ef þær eru niðri og endurræstu þær ef þær hætta.
Staða
Sýna stöðu allrar þjónustu.
hætta
Stöðvaðu þjónustuna og ekki endurræstu þær.
hali
Horfðu á þjónustuskrár allra virkra þjónustu.
Hugtakið
Sendu þjónustunni TERM.
usr1
Sendu þjónustunni USR1.
usr2
Sendu þjónustunni USR2.
Loka verður öllum VPN lotum áður en Firezone er uppfært, sem kallar einnig á að loka vefviðmótinu. Ef eitthvað fer úrskeiðis við uppfærsluna, ráðleggjum við að taka klukkutíma til hliðar til viðhalds.
Til að bæta Firezone skaltu grípa til eftirfarandi aðgerða:
Ef einhver vandamál koma upp, vinsamlegast láttu okkur vita fyrir að senda inn stuðningsmiða.
Það eru nokkrar brotabreytingar og stillingarbreytingar í 0.5.0 sem verður að bregðast við. Kynntu þér málið hér að neðan.
Nginx styður ekki lengur afl SSL og non-SSL tengibreytur frá og með útgáfu 0.5.0. Vegna þess að Firezone þarf SSL til að virka, ráðleggjum við þér að fjarlægja Nginx-búntþjónustuna með því að stilla sjálfgefið['firezone']['nginx']['enabled'] = falskt og beina afturvirku umboðinu þínu í Phoenix appið á port 13000 í staðinn (sjálfgefið ).
0.5.0 kynnir ACME samskiptareglur til að endurnýja SSL vottorð sjálfkrafa með Nginx þjónustunni. Til að virkja,
Möguleikinn á að bæta við reglum með tvíteknum áfangastöðum er horfinn í Firezone 0.5.0. Flutningsforritið okkar mun sjálfkrafa bera kennsl á þessar aðstæður meðan á uppfærslu stendur í 0.5.0 og halda aðeins reglunum þar sem hina reglan er á áfangastað. Það er ekkert sem þú þarft að gera ef þetta er í lagi.
Annars, áður en þú uppfærir, ráðleggjum við þér að breyta reglum þínum til að losna við þessar aðstæður.
Firezone 0.5.0 fjarlægir stuðning við gamla stíl Okta og Google SSO stillingar í þágu nýju, sveigjanlegri OIDC-undirstaða stillingar.
Ef þú ert með einhverjar stillingar undir sjálfgefnum['firezone']['authentication']['okta'] eða sjálfgefnum['firezone']['authentication']['google'] lyklunum þarftu að flytja þá yfir á OIDC okkar -undirstaða stillingar með því að nota leiðbeiningarnar hér að neðan.
Núverandi Google OAuth stillingar
Fjarlægðu þessar línur sem innihalda gömlu Google OAuth stillingarnar úr stillingaskránni þinni sem staðsett er á /etc/firezone/firezone.rb
default['firezone']['authentication']['google']['enabled']
default['firezone']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
default['firezone']['authentication']['google']['redirect_uri']
Stilltu síðan Google sem OIDC veitanda með því að fylgja aðferðunum hér.
(Gefðu leiðbeiningar um tengla)<<<<<<<<<<<<<<<<
Stilla núverandi Google OAuth
Fjarlægðu þessar línur sem innihalda gömlu Okta OAuth stillingarnar úr stillingarskránni þinni sem staðsett er á /etc/firezone/firezone.rb
default['firezone']['authentication']['okta']['enabled']
default['firezone']['authentication']['okta']['client_id']
default['firezone']['authentication']['okta']['client_secret']
Sjálfgefið['firezone']['authentication']['okta']['site']
Stilltu síðan Okta sem OIDC veitanda með því að fylgja aðferðunum hér.
Það fer eftir núverandi uppsetningu og útgáfu þinni, fylgdu leiðbeiningunum hér að neðan:
Ef þú ert nú þegar með OIDC samþættingu:
Fyrir suma OIDC veitendur, uppfærsla í >= 0.3.16 krefst þess að fá endurnýjunartákn fyrir ónettengda aðgangssviðið. Með því að gera þetta er tryggt að Firezone uppfærist hjá auðkennisveitunni og að VPN-tengingin sé slökkt eftir að notanda er eytt. Fyrri endurtekningar Firezone skorti þennan eiginleika. Í sumum tilfellum gætu notendur sem er eytt af auðkennisveitunni þinni samt verið tengdir við VPN.
Nauðsynlegt er að hafa offline aðgang í umfangsfæribreytu OIDC stillingar þinnar fyrir OIDC veitendur sem styðja umfang ótengdra aðgangs. Endurstillingu Firezone-ctl verður að vera keyrð til að beita breytingum á Firezone stillingarskránni, sem er staðsett á /etc/firezone/firezone.rb.
Fyrir notendur sem hafa verið auðkenndir af OIDC þjónustuveitunni þinni muntu sjá OIDC Connections fyrirsögnina á notendaupplýsingasíðu vefviðmótsins ef Firezone getur náð í endurnýjunartáknið.
Ef þetta virkar ekki þarftu að eyða núverandi OAuth forriti og endurtaka OIDC uppsetningarskrefin til að búa til nýja app samþættingu .
Ég er með núverandi OAuth samþættingu
Fyrir 0.3.11 notaði Firezone forstillta OAuth2 veitendur.
Fylgdu leiðbeiningunum hér að flytja til OIDC.
Ég hef ekki samþætt auðkennisveitu
Engin þörf á aðgerðum.
Þú getur fylgst með leiðbeiningunum hér til að virkja SSO í gegnum OIDC þjónustuaðila.
Í stað þess hefur sjálfgefið['firezone']['external url'] komið í stað stillingarvalkostsins default['firezone']['fqdn'].
Stilltu þetta á vefslóð Firezone netgáttarinnar þinnar sem er aðgengileg almenningi. Það verður sjálfgefið https:// auk FQDN netþjónsins þíns ef það er ekki skilgreint.
Stillingarskráin er staðsett á /etc/firezone/firezone.rb. Sjá tilvísun í stillingarskrá fyrir heildarlista yfir stillingarbreytur og lýsingar á þeim.
Firezone heldur ekki lengur einkalyklum tækisins á Firezone þjóninum frá og með útgáfu 0.3.0.
Firezone vefviðmótið mun ekki leyfa þér að hlaða niður aftur eða sjá þessar stillingar, en öll núverandi tæki ættu að halda áfram að virka eins og þau eru.
Ef þú ert að uppfæra úr Firezone 0.1.x eru nokkrar breytingar á stillingarskrá sem þarf að taka á handvirkt.
Til að gera nauðsynlegar breytingar á /etc/firezone/firezone.rb skránni þinni skaltu keyra skipanirnar hér að neðan sem rót.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['virkja'\]/\['virkjað'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = satt” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl endurstilla
firezone-ctl endurræsa
Að athuga Firezone logs er skynsamlegt fyrsta skref fyrir öll vandamál sem geta komið upp.
Keyrðu sudo firezone-ctl tail til að skoða Firezone logs.
Meirihluti tengingarvandamála við Firezone stafar af ósamhæfðum reglum um iptables eða nftables. Þú verður að ganga úr skugga um að allar reglur sem þú hefur í gildi stangist ekki á við reglur Firezone.
Gakktu úr skugga um að FORWARD keðjan leyfi pakka frá WireGuard viðskiptavinum þínum til þeirra staða sem þú vilt hleypa í gegnum Firezone ef nettengingin þín versnar í hvert sinn sem þú virkjar WireGuard göngin þín.
Þetta gæti verið náð ef þú ert að nota ufw með því að tryggja að sjálfgefna leiðarstefnan sé leyfð:
ubuntu@fz:~$ sudo ufw sjálfgefið leyfi beint
Sjálfgefin stefnu um leið breytt í „leyfa“
(vertu viss um að uppfæra reglurnar þínar í samræmi við það)
A Vá staða fyrir dæmigerðan Firezone netþjón gæti litið svona út:
ubuntu@fz:~$ sudo ufw stöðu orðrétt
Staða: virk
Innskráning: inn (lágt)
Sjálfgefið: neita (komandi), leyfa (á útleið), leyfa (beint)
Ný snið: sleppa
Til aðgerða Frá
— —— —-
22/tcp LEYFJA INN hvar sem er
80/tcp LEYFJA INN hvar sem er
443/tcp LEYFJA INN hvar sem er
51820/udp LEYFJA INN hvar sem er
22/tcp (v6) LEFA INN hvar sem er (v6)
80/tcp (v6) LEFA INN hvar sem er (v6)
443/tcp (v6) LEGA INN hvar sem er (v6)
51820/udp (v6) LEFA INN hvar sem er (v6)
Við ráðleggjum að takmarka aðgang að vefviðmótinu fyrir afar viðkvæma og verkefnamikla framleiðsluuppfærslu, eins og útskýrt er hér að neðan.
þjónusta | Sjálfgefin höfn | Hlustaðu heimilisfang | Lýsing |
Nginx | 80, 443 | allt | Opinber HTTP(S) tengi til að stjórna Firezone og auðvelda auðkenningu. |
Verndarvörður | 51820 | allt | Opinber WireGuard tengi notuð fyrir VPN lotur. (UDP) |
Eftirgresql | 15432 | 127.0.0.1 | Staðbundin höfn notuð fyrir búnt Postgresql netþjón. |
Phoenix | 13000 | 127.0.0.1 | Staðbundin höfn notuð af upstream elixir app þjóninum. |
Við ráðleggjum þér að íhuga að takmarka aðgang að opinberu notendaviðmóti Firezone á vefnum (sjálfgefið tengi 443/tcp og 80/tcp) og nota í staðinn WireGuard göngin til að stjórna Firezone fyrir framleiðslu og almenna dreifingu þar sem einn stjórnandi mun hafa umsjón með að búa til og dreifa tækjastillingum til endanotenda.
Til dæmis, ef stjórnandi bjó til tækjastillingar og bjó til göng með staðbundnu WireGuard heimilisfangi 10.3.2.2, myndi eftirfarandi ufw stilling gera kerfisstjóra kleift að fá aðgang að Firezone vefviðmóti á wg-firezone viðmóti þjónsins með því að nota sjálfgefna 10.3.2.1 heimilisfang jarðganga:
root@demo:~# ufw stöðu orðrétt
Staða: virk
Innskráning: inn (lágt)
Sjálfgefið: neita (komandi), leyfa (á útleið), leyfa (beint)
Ný snið: sleppa
Til aðgerða Frá
— —— —-
22/tcp LEYFJA INN hvar sem er
51820/udp LEYFJA INN hvar sem er
Hvar sem er LEYFIÐ Í 10.3.2.2
22/tcp (v6) LEFA INN hvar sem er (v6)
51820/udp (v6) LEFA INN hvar sem er (v6)
Þetta myndi fara aðeins 22/tcp útsett fyrir SSH aðgang til að stjórna þjóninum (valfrjálst), og 51820/útp afhjúpuð til að koma upp WireGuard göngum.
Firezone safnar Postgresql netþjóni og samsvörun psql tól sem hægt er að nota úr staðbundinni skel eins og svo:
/opt/firezone/embedded/bin/psql \
-U eldsvæði \
-d eldsvæði \
-h localhost \
-p 15432 \
-c „SQL_STATEMENT“
Þetta getur verið gagnlegt fyrir villuleit.
Algeng verkefni:
Skráir alla notendur:
/opt/firezone/embedded/bin/psql \
-U eldsvæði \
-d eldsvæði \
-h localhost \
-p 15432 \
-c "VELJA * FRÁ notendum;"
Listi yfir öll tæki:
/opt/firezone/embedded/bin/psql \
-U eldsvæði \
-d eldsvæði \
-h localhost \
-p 15432 \
-c "VELJA * ÚR tækjum;"
Breyta hlutverki notanda:
Stilltu hlutverkið á 'admin' eða 'unprivileged':
/opt/firezone/embedded/bin/psql \
-U eldsvæði \
-d eldsvæði \
-h localhost \
-p 15432 \
-c "UPPFÆRA notendur SET hlutverk = 'admin' WHERE email = 'user@example.com';"
Afrit af gagnagrunninum:
Ennfremur fylgir pg dump forritið, sem hægt er að nota til að taka reglulega afrit af gagnagrunninum. Keyrðu eftirfarandi kóða til að henda afriti af gagnagrunninum á algengu SQL fyrirspurnarsniði (skiptu /path/to/backup.sql út fyrir staðsetninguna þar sem SQL skráin á að búa til):
/opt/firezone/embedded/bin/pg_dump \
-U eldsvæði \
-d eldsvæði \
-h localhost \
-p 15432 > /path/to/backup.sql
Eftir að Firezone hefur verið dreift með góðum árangri verður þú að bæta við notendum til að veita þeim aðgang að netinu þínu. Vefviðmótið er notað til að gera þetta.
Með því að velja „Bæta við notanda“ hnappinn undir /notendur geturðu bætt við notanda. Þú verður að gefa notandanum upp netfang og lykilorð. Til að leyfa aðgang að notendum í fyrirtækinu þínu sjálfkrafa getur Firezone einnig tengt við og samstillt við auðkennisveitu. Nánari upplýsingar eru fáanlegar í Sannvottun. < Bættu við tengli við Authenticate
Við ráðleggjum því að biðja notendur um að búa til eigin tækjastillingar þannig að einkalykillinn sé aðeins sýnilegur þeim. Notendur geta búið til eigin tækjastillingar með því að fylgja leiðbeiningunum á Leiðbeiningar viðskiptavina síðu.
Allar stillingar notendatækja geta verið búnar til af Firezone stjórnendum. Á notendaprófílsíðunni sem staðsett er á /users skaltu velja „Bæta við tæki“ til að ná þessu.
[Setja inn skjámynd]
Þú getur sent notandanum WireGuard stillingarskrána í tölvupósti eftir að hafa búið til tækissniðið.
Notendur og tæki eru tengd. Fyrir frekari upplýsingar um hvernig á að bæta við notanda, sjá Bæta við notendum.
Með því að nota netsíukerfi kjarnans gerir Firezone möguleika á útrásarsíu kleift að tilgreina DROP eða ACCEPT pakka. Öll umferð er að jafnaði leyfð.
IPv4 og IPv6 CIDR og IP vistföng eru studd í gegnum leyfislistann og afneitulistann, í sömu röð. Þú getur valið að stækka reglu fyrir notanda þegar henni er bætt við, sem beitir reglunni fyrir öll tæki þess notanda.
Setja upp og stilla
Til að koma á VPN-tengingu með því að nota innfæddan WireGuard biðlara skaltu skoða þessa handbók.
Opinberu WireGuard viðskiptavinirnir sem staðsettir eru hér eru Firezone samhæfðir:
Farðu á opinberu WireGuard vefsíðuna á https://www.wireguard.com/install/ fyrir stýrikerfi sem ekki er minnst á hér að ofan.
Annaðhvort Firezone stjórnandinn þinn eða þú getur búið til stillingarskrá tækisins með því að nota Firezone gáttina.
Farðu á slóðina sem Firezone kerfisstjórinn þinn hefur gefið upp til að búa til sjálfvirka stillingarskrá fyrir tæki. Fyrirtækið þitt mun hafa einstaka vefslóð fyrir þetta; í þessu tilviki er það https://instance-id.yourfirezone.com.
Skráðu þig inn á Firezone Okta SSO
[Setja inn skjámynd]
Flyttu inn.conf skrána inn í WireGuard biðlarann með því að opna hana. Með því að snúa virkja rofanum geturðu hafið VPN lotu.
[Setja inn skjámynd]
Fylgdu leiðbeiningunum hér að neðan ef netkerfisstjórinn þinn hefur boðið endurtekinni auðkenningu til að halda VPN-tengingunni þinni virkri.
Þú þarft:
Vefslóð Firezone gáttarinnar: Spyrðu netkerfisstjórann þinn um tenginguna.
Netkerfisstjórinn þinn ætti að geta boðið upp á innskráningu og lykilorð. Firezone síða mun hvetja þig til að skrá þig inn með einskráningarþjónustunni sem vinnuveitandinn þinn notar (eins og Google eða Okta).
[Setja inn skjámynd]
Farðu á slóð Firezone gáttarinnar og skráðu þig inn með þeim skilríkjum sem netkerfisstjórinn þinn hefur gefið upp. Ef þú ert þegar skráður inn skaltu smella á Endurvottunarhnappinn áður en þú skráir þig aftur inn.
[Setja inn skjámynd]
[Setja inn skjámynd]
Til að flytja inn WireGuard stillingarsniðið með því að nota Network Manager CLI á Linux tækjum skaltu fylgja þessum leiðbeiningum (nmcli).
Ef sniðið er með IPv6 stuðning virkan, gæti tilraun til að flytja inn stillingarskrána með því að nota Network Manager GUI mistekist með eftirfarandi villu:
ipv6.method: aðferðin „sjálfvirk“ er ekki studd fyrir WireGuard
Nauðsynlegt er að setja upp WireGuard notendarýmis tólin. Þetta verður pakki sem kallast wireguard eða wireguard-tools fyrir Linux dreifingar.
Fyrir Ubuntu/Debian:
sudo apt setja upp wireguard
Til að nota Fedora:
sudo dnf settu upp wireguard-tól
ArchLinux:
sudo pacman -S wireguard-tól
Farðu á opinberu WireGuard vefsíðuna á https://www.wireguard.com/install/ fyrir dreifingar sem eru ekki nefnd hér að ofan.
Annaðhvort Firezone stjórnandi þinn eða sjálfsframleiðsla getur búið til stillingarskrá tækisins með því að nota Firezone gáttina.
Farðu á slóðina sem Firezone kerfisstjórinn þinn hefur gefið upp til að búa til sjálfvirka stillingarskrá fyrir tæki. Fyrirtækið þitt mun hafa einstaka vefslóð fyrir þetta; í þessu tilviki er það https://instance-id.yourfirezone.com.
[Setja inn skjámynd]
Flyttu inn meðfylgjandi stillingarskrá með nmcli:
sudo nmcli tengingar innflutningstegund wireguard skrá /path/to/configuration.conf
Heiti stillingarskrárinnar mun samsvara WireGuard tengingunni/viðmótinu. Eftir innflutning er hægt að endurnefna tenginguna ef þörf krefur:
nmcli tengingu breyta [gamla nafni] connection.id [nýtt nafn]
Í gegnum skipanalínuna skaltu tengjast VPN á eftirfarandi hátt:
nmcli tenging upp [vpn nafn]
Til að aftengja:
nmcli tenging niður [vpn nafn]
Einnig er hægt að nota viðeigandi netstjórnunarforrit til að stjórna tengingunni ef notast er við GUI.
Með því að velja „já“ fyrir sjálfvirka tengingarvalkostinn er hægt að stilla VPN tenginguna þannig að hún tengist sjálfkrafa:
nmcli tengingu breyttu [vpn nafni] tengingu. <<<<<<<<<<<<<<<<<<<<<
sjálfvirkt samband já
Til að slökkva á sjálfvirku tengingunni skaltu stilla hana aftur á nei:
nmcli tengingu breyttu [vpn nafni] tengingu.
sjálfvirkt samband nr
Til að virkja MFA Farðu á /user account/register mfa síðu Firezone gáttarinnar. Notaðu auðkenningarforritið þitt til að skanna QR kóðann eftir að hann hefur verið búinn til og sláðu síðan inn sex stafa kóðann.
Hafðu samband við kerfisstjórann þinn til að endurstilla aðgangsupplýsingar reikningsins þíns ef þú týnir auðkenningarforritinu þínu.
Þessi kennsla mun leiða þig í gegnum ferlið við að setja upp skiptan jarðgangaaðgerð WireGuard með Firezone þannig að aðeins umferð til ákveðin IP svið er send í gegnum VPN netþjóninn.
IP-sviðin sem viðskiptavinurinn mun leiða netumferð fyrir eru sett fram í reitnum Leyfðar IP-tölur sem staðsettar eru á /settings/default síðunni. Aðeins nýstofnaðar WireGuard göngustillingar framleiddar af Firezone verða fyrir áhrifum af breytingum á þessu sviði.
[Setja inn skjámynd]
Sjálfgefið gildi er 0.0.0.0/0, ::/0, sem beinir allri netumferð frá biðlara til VPN netþjónsins.
Dæmi um gildi á þessu sviði eru:
0.0.0.0/0, ::/0 – allri netumferð verður beint á VPN netþjóninn.
192.0.2.3/32 – aðeins umferð á eina IP tölu verður flutt á VPN netþjóninn.
3.5.140.0/22 – aðeins umferð um IP-tölur á bilinu 3.5.140.1 – 3.5.143.254 verður flutt á VPN netþjóninn. Í þessu dæmi var CIDR svið fyrir ap-northeast-2 AWS svæðið notað.
Firezone velur útgönguviðmótið sem tengist nákvæmustu leiðinni fyrst þegar ákvarðað er hvert á að beina pakka.
Notendur verða að endurskapa stillingarskrárnar og bæta þeim við eigin WireGuard biðlara til að uppfæra núverandi notendatæki með nýju skiptu göngunum.
Fyrir leiðbeiningar, sjá bæta við tæki. <<<<<<<<<<< Bæta við hlekk
Þessi handbók mun sýna hvernig á að tengja tvö tæki með Firezone sem gengi. Eitt dæmigerð notkunartilvik er að gera stjórnanda kleift að fá aðgang að netþjóni, íláti eða vél sem er varin með NAT eða eldvegg.
Þessi mynd sýnir einfalda atburðarás þar sem tæki A og B búa til göng.
[Settu inn byggingarmynd eldsvæðis]
Byrjaðu á því að búa til tæki A og tæki B með því að fara í /users/[user_id]/new_device. Í stillingum fyrir hvert tæki skaltu ganga úr skugga um að eftirfarandi færibreytur séu stilltar á gildin sem talin eru upp hér að neðan. Þú getur stillt tækisstillingar þegar þú býrð til tækisstillingar (sjá Bæta við tækjum). Ef þú þarft að uppfæra stillingar á núverandi tæki geturðu gert það með því að búa til nýja tækisstillingu.
Athugaðu að öll tæki eru með /settings/defaults síðu þar sem hægt er að stilla PersistentKeepalive.
Leyfðar IP-tölur = 10.3.2.2/32
Þetta er IP eða svið IPs tækis B
PersistentKeepalive = 25
Ef tækið er á bak við NAT tryggir þetta að tækið geti haldið göngunum á lífi og haldið áfram að taka á móti pökkum frá WireGuard viðmótinu. Venjulega dugar gildið 25, en þú gætir þurft að lækka þetta gildi eftir umhverfi þínu.
Leyfðar IP-tölur = 10.3.2.3/32
Þetta er IP eða svið IPs tækis A
PersistentKeepalive = 25
Þetta dæmi sýnir aðstæður þar sem tæki A getur átt samskipti við tæki B til D í báðar áttir. Þessi uppsetning getur táknað verkfræðing eða stjórnanda sem hefur aðgang að fjölmörgum auðlindum (þjónum, gámum eða vélum) á ýmsum netkerfum.
[Byggingarmynd]<<<<<<<<<<<<<<<<<<<<<<<<
Gakktu úr skugga um að eftirfarandi stillingar séu gerðar í stillingum hvers tækis á samsvarandi gildi. Þegar þú býrð til stillingar tækisins geturðu tilgreint tækisstillingar (sjá Bæta við tækjum). Hægt er að búa til nýja tækisstillingu ef uppfæra þarf stillingar á núverandi tæki.
Leyfðar IP-tölur = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Þetta er IP-tala tækja B til D. IP-tölur tækja B til D verða að vera með í hvaða IP-sviði sem þú velur að stilla.
PersistentKeepalive = 25
Þetta tryggir að tækið geti viðhaldið göngunum og haldið áfram að taka á móti pökkum frá WireGuard viðmótinu, jafnvel þótt það sé varið af NAT. Í flestum tilfellum er gildið 25 fullnægjandi, en það fer eftir umhverfi þínu, þú gætir þurft að lækka þessa tölu.
Til að bjóða upp á eina, kyrrstæða útgöngu IP fyrir alla umferð liðsins þíns til að flæða út úr, er hægt að nota Firezone sem NAT gátt. Þessar aðstæður fela í sér tíða notkun þess:
Ráðgjafarverkefni: Biddu um að viðskiptavinur þinn hvítlisti eitt fast IP-tölu frekar en einstakt tæki IP-tölu hvers starfsmanns.
Notaðu umboð eða hylja uppruna IP þinn í öryggis- eða persónuverndartilgangi.
Einfalt dæmi um að takmarka aðgang að vefforriti sem hýst er sjálft við eina kyrrstæða IP á hvítlista sem keyrir Firezone verður sýnd í þessari færslu. Í þessari mynd eru Firezone og verndaða auðlindin á mismunandi VPC svæðum.
Þessi lausn er oft notuð í stað þess að stjórna IP hvítlista fyrir fjölmarga notendur, sem getur verið tímafrekt þar sem aðgangslistinn stækkar.
Markmið okkar er að setja upp Firezone netþjón á EC2 tilviki til að beina VPN umferð yfir á takmarkaða auðlindina. Í þessu tilviki þjónar Firezone sem umboð fyrir net eða NAT gátt til að gefa hverju tengdu tæki einstakt opinbert útgöngu-IP.
Í þessu tilviki er Firezone tilvik uppsett á EC2 tilviki sem heitir tc2.micro. Til að fá upplýsingar um uppsetningu Firezone, farðu í dreifingarleiðbeiningarnar. Í tengslum við AWS, vertu viss um:
Öryggishópur Firezone EC2-tilviksins leyfir umferð á útleið á IP-tölu verndaðrar auðlindar.
Firezone tilvikið kemur með teygjanlegri IP. Umferð sem er send í gegnum Firezone tilvikið til utanaðkomandi áfangastaða mun hafa þetta sem uppruna IP tölu. IP-talan sem um ræðir er 52.202.88.54.
[Setja inn skjámynd]<<<<<<<<<<<<<<<<<<<<<<<<
Vefforrit sem hýst er sjálft þjónar sem verndað auðlind í þessu tilfelli. Aðeins er hægt að nálgast vefforritið með beiðnum sem koma frá IP tölunni 52.202.88.54. Það fer eftir auðlindinni, það getur verið nauðsynlegt að leyfa innleiðendur umferð á ýmsum höfnum og umferðartegundum. Ekki er fjallað um þetta í þessari handbók.
[Setja inn skjámynd]<<<<<<<<<<<<<<<<<<<<<<<<
Vinsamlegast segðu þriðja aðilanum sem hefur umsjón með vernduðu auðlindinni að umferð frá kyrrstöðu IP sem skilgreind er í skrefi 1 verði að vera leyfð (í þessu tilviki 52.202.88.54).
Sjálfgefið er að öll notendaumferð fer í gegnum VPN netþjóninn og kemur frá kyrrstöðu IP sem var stillt í skrefi 1 (í þessu tilviki 52.202.88.54). Hins vegar, ef skipt göng hefur verið virkjað, gætu stillingar verið nauðsynlegar til að tryggja að áfangastaður IP-tölu verndaðrar auðlindar sé skráð meðal leyfðra IP-tölu.
Sýnd hér að neðan er heildarlisti yfir stillingarvalkosti sem til eru í /etc/firezone/firezone.rb.
valkostur | lýsing | sjálfgefið gildi |
default['firezone']['external_url'] | Vefslóð notuð til að fá aðgang að vefgátt þessa Firezone tilviks. | “https://#{hnút['fqdn'] || hnút['hostname']}“ |
sjálfgefið['firezone']['config_directory'] | Yfirborðsskrá fyrir Firezone stillingar. | /etc/firezone' |
sjálfgefið['firezone']['install_directory'] | Möppu á efstu stigi til að setja upp Firezone á. | /opt/firezone' |
sjálfgefið['firezone']['app_directory'] | Möppu á efstu stigi til að setja upp Firezone vefforritið. | “#{hnút['firezone']['install_directory']}/embedded/service/firezone“ |
sjálfgefið['firezone']['log_directory'] | Yfirborðsskrá fyrir Firezone logs. | /var/log/firezone' |
sjálfgefið['firezone']['var_directory'] | Efsta möppu fyrir Firezone keyrslutímaskrár. | /var/opt/firezone' |
sjálfgefið['eldsvæði']['notandi'] | Nafn óforréttinda Linux notanda sem flestar þjónustur og skrár munu tilheyra. | eldsvæði' |
sjálfgefið['eldsvæði']['hópur'] | Nafn Linux hóps sem flestar þjónustur og skrár munu tilheyra. | eldsvæði' |
sjálfgefið['firezone']['admin_email'] | Netfang fyrir fyrstu Firezone notanda. | „firezone@localhost“ |
sjálfgefið['firezone']['max_devices_per_user'] | Hámarksfjöldi tækja sem notandi getur haft. | 10 |
sjálfgefið['firezone']['allow_unprivileged_device_management'] | Leyfir notendum sem ekki eru stjórnendur að búa til og eyða tækjum. | SATT |
sjálfgefið['firezone']['allow_unprivileged_device_configuration'] | Leyfir notendum sem ekki eru stjórnendur að breyta stillingum tækisins. Þegar slökkt er á því kemur það í veg fyrir að notendur án forréttinda breyti öllum tækjareitum nema nafni og lýsingu. | SATT |
sjálfgefið['firezone']['egress_interface'] | Viðmótsheiti þar sem umferð með jarðgöngum fer út. Ef ekkert er sjálfgefið leiðarviðmót notað. | núll |
default['firezone']['fips_enabled'] | Virkja eða slökkva á OpenSSL FIPs ham. | núll |
default['firezone']['logging']['enabled'] | Virkja eða slökkva á skráningu yfir Firezone. Stillt á ósatt til að slökkva algjörlega á skráningu. | SATT |
sjálfgefið['fyrirtæki']['nafn'] | Nafn notað af matreiðslubók kokksins „fyrirtækja“. | eldsvæði' |
sjálfgefið['firezone']['install_path'] | Settu upp slóð sem notuð er af matreiðslubók Chefs 'fyrirtækja'. Ætti að vera stillt á það sama og install_directory hér að ofan. | hnút['firezone']['install_directory'] |
default['firezone']['sysvinit_id'] | Auðkenni notað í /etc/inittab. Verður að vera einstök röð með 1-4 stöfum. | SUP' |
default['firezone']['authentication']['local']['enabled'] | Virkja eða slökkva á staðbundinni auðkenningu tölvupósts/lykilorðs. | SATT |
default['firezone']['authentication']['auto_create_oidc_users'] | Búðu til sjálfkrafa notendur sem skrá sig inn frá OIDC í fyrsta skipti. Slökkva á til að leyfa aðeins núverandi notendum að skrá sig inn í gegnum OIDC. | SATT |
sjálfgefið['firezone']['authentication']['disable_vpn_on_oidc_error'] | Slökktu á VPN notanda ef villa greinist við að reyna að endurnýja OIDC táknið sitt. | RANGT |
sjálfgefið['firezone']['authentication']['oidc'] | OpenID Connect stillingar, á sniði {“provider” => [config…]} – Sjá OpenIDConnect skjöl fyrir stillingardæmi. | {} |
default['firezone']['nginx']['enabled'] | Virkjaðu eða slökktu á nginx þjóninum sem fylgir með. | SATT |
default['firezone']['nginx']['ssl_port'] | HTTPS hlustunargátt. | 443 |
default['firezone']['nginx']['map'] | Skrá til að geyma Firezone-tengda nginx sýndarhýsilstillingu. | “#{hnút['firezone']['var_directory']}/nginx/etc” |
default['firezone']['nginx']['log_directory'] | Skrá til að geyma Firezone-tengdar nginx skrár. | „#{hnút['firezone']['log_directory']}/nginx“ |
default['firezone']['nginx']['log_rotation']['file_maxbytes'] | Skráarstærð sem á að snúa Nginx annálaskrám við. | 104857600 |
default['firezone']['nginx']['log_rotation']['num_to_keep'] | Fjöldi Firezone nginx annálaskráa til að geyma áður en þeim er fleygt. | 10 |
default['firezone']['nginx']['log_x_forwarded_for'] | Hvort á að skrá Firezone nginx x-forwarded-for haus. | SATT |
default['firezone']['nginx']['hsts_header']['enabled'] | SATT | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | Virkja eða slökkva á includeSubDomains fyrir HSTS hausinn. | SATT |
default['firezone']['nginx']['hsts_header']['max_age'] | Hámarksaldur fyrir HSTS hausinn. | 31536000 |
default['firezone']['nginx']['redirect_to_canonical'] | Hvort beina eigi vefslóðum yfir á kanóníska FQDN sem tilgreint er hér að ofan | RANGT |
default['firezone']['nginx']['cache']['enabled'] | Virkjaðu eða slökktu á Firezone nginx skyndiminni. | RANGT |
default['firezone']['nginx']['cache']['map'] | Skrá fyrir Firezone nginx skyndiminni. | “#{hnút['firezone']['var_directory']}/nginx/skyndiminni” |
default['firezone']['nginx']['notandi'] | Firezone nginx notandi. | hnút['firezone']['notandi'] |
default['firezone']['nginx']['group'] | Firezone nginx hópur. | hnútur['eldsvæði']['hópur'] |
default['firezone']['nginx']['dir'] | nginx stillingarskrá á efstu stigi. | hnút['firezone']['nginx']['map'] |
default['firezone']['nginx']['log_dir'] | Nginx skráarskrá á efstu stigi. | hnút['firezone']['nginx']['log_directory'] |
default['firezone']['nginx']['pid'] | Staðsetning fyrir nginx pid skrá. | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
default['firezone']['nginx']['daemon_disable'] | Slökktu á nginx púkaham svo við getum fylgst með því í staðinn. | SATT |
default['firezone']['nginx']['gzip'] | Kveiktu eða slökktu á nginx gzip þjöppun. | á ' |
default['firezone']['nginx']['gzip_static'] | Kveiktu eða slökktu á nginx gzip þjöppun fyrir truflanir skrár. | af' |
default['firezone']['nginx']['gzip_http_version'] | HTTP útgáfa til að nota til að þjóna kyrrstæðum skrám. | 1.0 ' |
default['firezone']['nginx']['gzip_comp_level'] | nginx gzip þjöppunarstig. | 2 ' |
default['firezone']['nginx']['gzip_proxied'] | Virkjar eða slekkur á gzipping á svörum fyrir beiðnir með umboði, allt eftir beiðni og svari. | Einhver' |
default['firezone']['nginx']['gzip_vary'] | Virkjar eða slekkur á því að setja inn „Vary: Accept-Encoding“ svarhausinn. | af' |
default['firezone']['nginx']['gzip_buffers'] | Stillir fjölda og stærð biðminni sem notuð eru til að þjappa svari. Ef núll er nginx default notað. | núll |
default['firezone']['nginx']['gzip_types'] | MIME-gerðir til að virkja gzip-þjöppun fyrir. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' texti/javascript', 'application/javascript', 'application/json'] |
default['firezone']['nginx']['gzip_min_length'] | Lágmarksskráarlengd til að virkja gzip skráarþjöppun fyrir. | 1000 |
default['firezone']['nginx']['gzip_disable'] | User-agent matcher til að slökkva á gzip þjöppun fyrir. | MSIE [1-6]\.' |
default['firezone']['nginx']['keepalive'] | Virkjar skyndiminni fyrir tengingu við andstreymisþjóna. | á ' |
default['firezone']['nginx']['keepalive_timeout'] | Tímamörk á sekúndum fyrir Keepalive tengingu við andstreymisþjóna. | 65 |
default['firezone']['nginx']['worker_processes'] | Fjöldi nginx-starfsferla. | hnút['cpu'] && hnút['cpu']['samtals'] ? hnútur['cpu']['total'] : 1 |
default['firezone']['nginx']['worker_connections'] | Hámarksfjöldi samtímis tenginga sem hægt er að opna með vinnuferli. | 1024 |
default['firezone']['nginx']['worker_rlimit_nofile'] | Breytir takmörkunum á hámarksfjölda opinna skráa fyrir vinnuferla. Notar nginx sjálfgefið ef ekkert. | núll |
default['firezone']['nginx']['multi_accept'] | Hvort starfsmenn ættu að samþykkja eina tengingu í einu eða fleiri. | SATT |
default['firezone']['nginx']['atburður'] | Tilgreinir vinnsluaðferðina fyrir tengingar sem á að nota í samhengi nginx viðburða. | epoll' |
default['firezone']['nginx']['server_tokens'] | Virkjar eða slekkur á nginx útgáfu á villusíðum og í „Server“ svarhaus reitnum. | núll |
default['firezone']['nginx']['server_names_hash_bucket_size'] | Stillir fötustærð fyrir kjötkássatöflurnar fyrir heiti netþjóna. | 64 |
default['firezone']['nginx']['sendfile'] | Virkjar eða slekkur á notkun sendfile() nginx. | á ' |
default['firezone']['nginx']['access_log_options'] | Stillir valkosti fyrir nginx aðgangsskrá. | núll |
default['firezone']['nginx']['error_log_options'] | Setur nginx villuskrárvalkosti. | núll |
default['firezone']['nginx']['disable_access_log'] | Slökkva á nginx aðgangsskrá. | RANGT |
default['firezone']['nginx']['types_hash_max_size'] | nginx tegundir kjötkássa max stærð. | 2048 |
default['firezone']['nginx']['types_hash_bucket_size'] | nginx tegundir kjötkássa fötu stærð. | 64 |
default['firezone']['nginx']['proxy_read_timeout'] | nginx proxy lestrartími. Stilltu á núll til að nota nginx sjálfgefið. | núll |
default['firezone']['nginx']['client_body_buffer_size'] | nginx biðminni líkama biðminni stærð. Stilltu á núll til að nota nginx sjálfgefið. | núll |
default['firezone']['nginx']['client_max_body_size'] | nginx viðskiptavinur hámarks líkamsstærð. | 250m' |
default['firezone']['nginx']['default']['modules'] | Tilgreindu viðbótar nginx einingar. | [] |
default['firezone']['nginx']['enable_rate_limiting'] | Virkja eða slökkva á nginx hraðatakmörkun. | SATT |
default['firezone']['nginx']['rate_limiting_zone_name'] | Nafn Nginx hraðatakmarkandi svæðis. | eldsvæði' |
default['firezone']['nginx']['rate_limiting_backoff'] | Nginx hraðatakmarkandi afturför. | 10m' |
default['firezone']['nginx']['rate_limit'] | Nginx hlutfallsmörk. | 10r/s' |
default['firezone']['nginx']['ipv6'] | Leyfðu nginx að hlusta eftir HTTP beiðnum fyrir IPv6 til viðbótar við IPv4. | SATT |
default['firezone']['postgresql']['enabled'] | Virkja eða slökkva á búnt Postgresql. Stilltu á rangt og fylltu út gagnagrunnsvalkostina hér að neðan til að nota þitt eigið Postgresql dæmi. | SATT |
default['firezone']['postgresql']['notandanafn'] | Notendanafn fyrir Postgresql. | hnút['firezone']['notandi'] |
default['firezone']['postgresql']['data_directory'] | Postgresql gagnaskrá. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
default['firezone']['postgresql']['log_directory'] | Postgresql skráarskrá. | “#{hnút['firezone']['log_directory']}/postgresql” |
default['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql annálaskrá hámarksstærð áður en henni er snúið. | 104857600 |
default['firezone']['postgresql']['log_rotation']['num_to_keep'] | Fjöldi Postgresql annálaskráa til að halda. | 10 |
default['firezone']['postgresql']['checkpoint_completion_target'] | Lokunarmarkmið Postgresql eftirlitsstöðvar. | 0.5 |
default['firezone']['postgresql']['checkpoint_segments'] | Fjöldi Postgresql eftirlitsstaðahluta. | 3 |
default['firezone']['postgresql']['checkpoint_timeout'] | Tímamörk Postgresql eftirlitsstöðvar. | 5 mín |
default['firezone']['postgresql']['checkpoint_warning'] | Viðvörunartími Postgresql eftirlitsstöðvar í sekúndum. | 30' |
default['firezone']['postgresql']['effective_cache_size'] | Postgresql áhrifarík skyndiminni stærð. | 128MB' |
default['firezone']['postgresql']['listen_address'] | Postgresql hlustunar heimilisfang. | 127.0.0.1 ' |
default['firezone']['postgresql']['max_connections'] | Postgresql max tengingar. | 350 |
default['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR til að leyfa md5 auðkenningu. | ['127.0.0.1/32', '::1/128'] |
default['firezone']['postgresql']['port'] | Postgresql hlustunarhöfn. | 15432 |
default['firezone']['postgresql']['shared_buffers'] | Postgresql samnýtt biðminni stærð. | „#{(hnút['minni']['total'].to_i / 4) / 1024}MB“ |
default['firezone']['postgresql']['shmmax'] | Postgresql shmmax í bætum. | 17179869184 |
default['firezone']['postgresql']['shmall'] | Postgresql shmall í bætum. | 4194304 |
default['firezone']['postgresql']['work_mem'] | Postgresql vinnsluminni stærð. | 8MB' |
sjálfgefið['firezone']['gagnagrunnur']['notandi'] | Tilgreinir notandanafnið sem Firezone mun nota til að tengjast DB. | hnút['firezone']['postgresql']['notandanafn'] |
sjálfgefið['firezone']['gagnagrunnur']['lykilorð'] | Ef þú notar ytri DB, tilgreinir lykilorðið sem Firezone mun nota til að tengjast DB. | breyttu mér' |
default['firezone']['database']['name'] | Gagnagrunnur sem Firezone mun nota. Verður búið til ef það er ekki til. | eldsvæði' |
sjálfgefið['firezone']['gagnagrunnur']['host'] | Gagnagrunnsþjónn sem Firezone mun tengjast. | hnút['firezone']['postgresql']['listen_address'] |
sjálfgefið['firezone']['gagnagrunnur']['port'] | Gagnagrunnstengi sem Firezone mun tengjast. | hnút['firezone']['postgresql']['port'] |
sjálfgefið['firezone']['gagnagrunnur']['pool'] | Stærð gagnagrunnslaugar sem Firezone mun nota. | [10, Etc.nprocessors].max |
default['firezone']['gagnagrunnur']['ssl'] | Hvort á að tengjast gagnagrunninum yfir SSL. | RANGT |
default['firezone']['gagnagrunnur']['ssl_opts'] | {} | |
default['firezone']['gagnagrunnur']['parameters'] | {} | |
default['firezone']['gagnagrunnur']['viðbætur'] | Gagnagrunnsviðbætur til að virkja. | { 'plpgsql' => satt, 'pg_trgm' => satt } |
sjálfgefið['firezone']['phoenix']['virkt'] | Virkjaðu eða slökktu á Firezone vefforritinu. | SATT |
default['firezone']['phoenix']['listen_address'] | Hlustunarfang fyrir Firezone vefforrit. Þetta mun vera andstreymis hlustunarnetfangið sem nginx sendir umboð. | 127.0.0.1 ' |
sjálfgefið['firezone']['phoenix']['port'] | Firezone vefforrit hlustunarhöfn. Þetta mun vera andstreymishöfnin sem nginx umboð. | 13000 |
default['firezone']['phoenix']['log_directory'] | Skráasafn Firezone vefforrita. | “#{hnút['firezone']['log_directory']}/phoenix“ |
default['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone vefforritsskráarstærð. | 104857600 |
default['firezone']['phoenix']['log_rotation']['num_to_keep'] | Fjöldi Firezone vefforritaskráa til að geyma. | 10 |
default['firezone']['phoenix']['crash_detection']['enabled'] | Virkjaðu eða slökktu á því að stöðva Firezone vefforritið þegar hrun greinist. | SATT |
default['firezone']['phoenix']['external_trusted_proxies'] | Listi yfir trausta öfuga umboða sem eru sniðnir sem fylki IP og/eða CIDR. | [] |
default['firezone']['phoenix']['private_clients'] | Listi yfir HTTP-viðskiptavini fyrir einkanet, sniðinn fjölda IP-talna og/eða CIDR-neta. | [] |
default['firezone']['wireguard']['enabled'] | Virkjaðu eða slökktu á stjórnun WireGuard. | SATT |
default['firezone']['wireguard']['log_directory'] | Skráasafn fyrir búnt WireGuard stjórnun. | “#{hnút['firezone']['log_directory']}/wireguard“ |
default['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard annálaskrá hámarksstærð. | 104857600 |
default['firezone']['wireguard']['log_rotation']['num_to_keep'] | Fjöldi WireGuard annálaskráa til að halda. | 10 |
default['firezone']['wireguard']['interface_name'] | Nafn WireGuard tengi. Breyting á þessari breytu getur valdið tímabundnu tapi á VPN-tengingu. | wg-firezone' |
default['firezone']['wireguard']['port'] | WireGuard hlustunartengi. | 51820 |
default['firezone']['wireguard']['mtu'] | WireGuard tengi MTU fyrir þennan netþjón og fyrir tækjastillingar. | 1280 |
default['firezone']['wireguard']['endapunkt'] | WireGuard endapunktur til að nota til að búa til tækjastillingar. Ef núll, er sjálfgefið opinbert IP-tala netþjónsins. | núll |
default['firezone']['wireguard']['dns'] | WireGuard DNS til að nota fyrir myndaðar tækjastillingar. | 1.1.1.1, 1.0.0.1′ |
default['firezone']['wireguard']['allowed_ips'] | WireGuard leyfði IP-tölum að nota fyrir myndaðar tækjastillingar. | 0.0.0.0/0, ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | Sjálfgefin PersistentKeepalive stilling fyrir myndaðar tækisstillingar. Gildið 0 slekkur á. | 0 |
default['firezone']['wireguard']['ipv4']['enabled'] | Virkja eða slökkva á IPv4 fyrir WireGuard net. | SATT |
default['firezone']['wireguard']['ipv4']['masquerade'] | Virkja eða slökkva á grímugerð fyrir pakka sem fara úr IPv4 göngunum. | SATT |
default['firezone']['wireguard']['ipv4']['network'] | WireGuard net IPv4 vistfangahópur. | 10.3.2.0/24 ′ |
default['firezone']['wireguard']['ipv4']['address'] | WireGuard tengi IPv4 vistfang. Verður að vera innan WireGuard heimilisfangslaug. | 10.3.2.1 ' |
default['firezone']['wireguard']['ipv6']['enabled'] | Virkja eða slökkva á IPv6 fyrir WireGuard net. | SATT |
default['firezone']['wireguard']['ipv6']['masquerade'] | Virkja eða slökkva á grímugerð fyrir pakka sem fara úr IPv6 göngunum. | SATT |
default['firezone']['wireguard']['ipv6']['network'] | WireGuard net IPv6 vistfangahópur. | fd00::3:2:0/120′ |
default['firezone']['wireguard']['ipv6']['address'] | WireGuard tengi IPv6 vistfang. Verður að vera innan IPv6 vistfangahópsins. | fd00::3:2:1′ |
default['firezone']['runit']['svlogd_bin'] | Runit svlogd bin staðsetningu. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd“ |
default['firezone']['ssl']['map'] | SSL skrá til að geyma mynduð vottorð. | /var/opt/firezone/ssl' |
default['firezone']['ssl']['email_address'] | Netfang til að nota fyrir sjálfundirrituð vottorð og tilkynningar um endurnýjun siðareglur ACME. | þú@example.com' |
default['firezone']['ssl']['acme']['enabled'] | Virkjaðu ACME fyrir sjálfvirka úthlutun SSL vottorða. Slökktu á þessu til að koma í veg fyrir að Nginx hlusti á port 80. Sjá hér fyrir frekari leiðbeiningar. | RANGT |
default['firezone']['ssl']['acme']['server'] | letsencrypt | |
default['firezone']['ssl']['acme']['keylength'] | Tilgreindu lyklategund og lengd fyrir SSL vottorð. Sjáðu hér | ec-256 |
sjálfgefið['eldsvæði']['ssl']['vottorð'] | Slóð að vottorðaskránni fyrir FQDN. Hnekkir ACME stillingu hér að ofan ef tilgreint er. Ef bæði ACME og þetta eru núll verður sjálfundirritað vottorð búið til. | núll |
sjálfgefið['eldsvæði']['ssl']['vottorðslykill'] | Slóð að skírteinisskránni. | núll |
sjálfgefið['eldsvæði']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | núll |
default['firezone']['ssl']['country_name'] | Landsheiti fyrir sjálfstætt undirritað vottorð. | US' |
default['firezone']['ssl']['state_name'] | Tilkynnt heiti fyrir sjálfstætt undirritað vottorð. | CA ' |
default['firezone']['ssl']['locality_name'] | Staðarheiti fyrir sjálfundirritað vottorð. | San Fransiskó' |
default['firezone']['ssl']['company_name'] | Nafn fyrirtækis sjálfritað vottorð. | Fyrirtækið mitt' |
default['firezone']['ssl']['organizational_unit_name'] | Heiti skipulagsheildar fyrir sjálfstætt undirritað vottorð. | Aðgerðir' |
default['firezone']['ssl']['ciphers'] | SSL dulmál fyrir nginx til að nota. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default['firezone']['ssl']['fips_ciphers'] | SSL dulmál fyrir FIPs ham. | FIPS@STRENGTH:!aNULL:!eNULL' |
sjálfgefið['eldsvæði']['ssl']['samskiptareglur'] | TLS samskiptareglur til að nota. | TLSv1 TLSv1.1 TLSv1.2′ |
default['firezone']['ssl']['session_cache'] | SSL lotu skyndiminni. | deilt:SSL:4m' |
default['firezone']['ssl']['session_timeout'] | Tímamörk SSL lotu. | 5m' |
sjálfgefið['firezone']['robots_allow'] | nginx vélmenni leyfa. | /' |
default['firezone']['robots_disallow'] | nginx vélmenni leyfa ekki. | núll |
default['firezone']['outbound_email']['from'] | Tölvupóstur á útleið frá heimilisfangi. | núll |
default['firezone']['outbound_email']['provider'] | Þjónustuaðili á útleið. | núll |
default['firezone']['outbound_email']['configs'] | Stillingar tölvupóstveitu á útleið. | sjá umnibus/kokkabækur/firezone/attributes/default.rb |
default['firezone']['telemetry']['enabled'] | Virkja eða slökkva á nafnlausri vörufjarmælingu. | SATT |
default['firezone']['connectivity_checks']['enabled'] | Virkja eða slökkva á Firezone tengingathugunarþjónustunni. | SATT |
default['firezone']['connectivity_checks']['interval'] | Tímabil milli athugana á tengingum í sekúndum. | 3_600 |
________________________________________________________________
Hér finnur þú skrá yfir skrár og möppur sem tengjast dæmigerðri Firezone uppsetningu. Þetta gæti breyst eftir breytingum á stillingarskránni þinni.
leið | lýsing |
/var/opt/firezone | Skrá á efstu stigi sem inniheldur gögn og útbúnar stillingar fyrir Firezone búntþjónustu. |
/opt/eldsvæði | Möppu á efstu stigi sem inniheldur innbyggð bókasöfn, tvöfalda skrár og keyrsluskrár sem Firezone þarfnast. |
/usr/bin/firezone-ctl | firezone-ctl tól til að stjórna Firezone uppsetningunni þinni. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd einingaskrá til að hefja Firezone runsvdir umsjónarferlið. |
/etc/firezone | Firezone stillingarskrár. |
__________________________________________________________
Þessi síða var tóm í skjölum
_____________________________________________________________
Hægt er að nota eftirfarandi nftables eldveggssniðmát til að tryggja þjóninn sem keyrir Firezone. Sniðmátið gerir nokkrar forsendur; þú gætir þurft að laga reglurnar til að henta þínum notkunartilvikum:
Firezone stillir sínar eigin nftables reglur til að leyfa/hafna umferð til áfangastaða sem eru stilltir í vefviðmótinu og til að sjá um útleið NAT fyrir umferð viðskiptavina.
Notkun eldveggssniðmátsins hér að neðan á netþjóni sem þegar er í gangi (ekki við ræsingu) mun leiða til þess að Firezone reglurnar verða hreinsaðar. Þetta gæti haft öryggisáhrif.
Til að vinna í kringum þetta endurræstu Phoenix þjónustuna:
firezone-ctl endurræstu Phoenix
#!/usr/sbin/nft -f
## Hreinsaðu/skoðaðu allar gildandi reglur
skola reglusett
############################## FRÆÐUR ################# ###############
## heiti internets/WAN tengis
skilgreindu DEV_WAN = eth0
## WireGuard viðmótsheiti
skilgreindu DEV_WIREGUARD = wg-eldsvæði
## WireGuard hlustunartengi
skilgreindu WIREGUARD_PORT = 51820
############################# BREYTA ENDA ################## ############
# Aðal inet fjölskyldu síunartafla
töflu inet sía {
# Reglur fyrir áframsenda umferð
# Þessi keðja er unnin á undan Firezone forward keðjunni
keðja áfram {
gerð síu króks áfram forgangssía - 5; stefnu samþykkja
}
# Reglur fyrir inntaksumferð
keðjuinntak {
gerð síu krók inntak forgangs sía; stefnufall
## Leyfa umferð á heimleið til bakslagsviðmóts
ef lo \
samþykkja \
athugasemd „Leyfa allri umferð inn frá lykkjuviðmóti“
## Leyfðu stofnuðum og tengdum tengingum
ct ríki stofnað, tengt \
samþykkja \
athugasemd „Leyfa stofnaðar/tengdar tengingar“
## Leyfa WireGuard umferð á heimleið
iif $DEV_WAN udp dport $WIREGUARD_PORT \
gegn \
samþykkja \
athugasemd „Leyfa WireGuard umferð á heimleið“
## Skráðu og slepptu nýjum TCP pökkum sem ekki eru SYN
tcp fánar != syn ct ástand nýtt \
takmörkunarhlutfall 100/mínúta springa 150 pakkar \
log forskeyti “IN – Nýtt !SYN: “ \
athugasemd „Taxtamarksskráning fyrir nýjar tengingar sem eru ekki með SYN TCP fána stillt“
tcp fánar != syn ct ástand nýtt \
gegn \
dropi \
athugasemd „Slepptu nýjum tengingum sem eru ekki með SYN TCP fána stillt“
## Skráðu og slepptu TCP pakka með ógildu fin/syn fánasetti
tcp fánar & (fin|syn) == (fin|syn) \
takmörkunarhlutfall 100/mínúta springa 150 pakkar \
log forskeyti “IN – TCP FIN|SIN: “ \
athugasemd „Taxtamarksskráning fyrir TCP pakka með ógilt fin/syn fánasett“
tcp fánar & (fin|syn) == (fin|syn) \
gegn \
dropi \
athugasemd „Slepptu TCP pakka með ógildu fin/syn fánasetti“
## Skráðu og slepptu TCP pakka með ógildu syn/rst fánasetti
tcp fánar & (syn|rst) == (syn|rst) \
takmörkunarhlutfall 100/mínúta springa 150 pakkar \
log forskeyti “IN – TCP SYN|RST: “ \
athugasemd „Taxtamarksskráning fyrir TCP pakka með ógilt syn/rst fánasett“
tcp fánar & (syn|rst) == (syn|rst) \
gegn \
dropi \
athugasemd „Slepptu TCP pakka með ógildu syn/rst fánasetti“
## Skráðu og slepptu ógildum TCP fánum
tcp fánar & (fin|syn|rst|psh|ack|urg) < (fin) \
takmörkunarhlutfall 100/mínúta springa 150 pakkar \
log forskeyti „IN – FIN:“ \
athugasemd „Taxtamörk skráningar fyrir ógild TCP fána (fin|syn|rst|psh|ack|urg) < (fin)“
tcp fánar & (fin|syn|rst|psh|ack|urg) < (fin) \
gegn \
dropi \
athugasemd "Slepptu TCP pakka með fánum (fin|syn|rst|psh|ack|urg) < (fin)"
## Skráðu og slepptu ógildum TCP fánum
tcp fánar & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
takmörkunarhlutfall 100/mínúta springa 150 pakkar \
log forskeyti “IN – FIN|PSH|URG:” \
athugasemd "Taxtamörk skráningar fyrir ógild TCP fána (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp fánar & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
gegn \
dropi \
athugasemd "Slepptu TCP pakka með fánum (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Slepptu umferð með ógilda tengingarstöðu
ct ástand ógilt \
takmörkunarhlutfall 100/mínúta springa 150 pakkar \
log flags allt forskeyti “IN – Ógilt: “ \
athugasemd „Taxtamarksskráning fyrir umferð með ógilt tengingarástand“
ct ástand ógilt \
gegn \
dropi \
athugasemd „Slepptu umferð með ógilda tengingarstöðu“
## Leyfa IPv4 ping/ping svör en takmörkun á 2000 PPS
ip siðareglur icmp icmp tegund { echo-reply, echo-request } \
takmörkunarhlutfall 2000/sekúndu \
gegn \
samþykkja \
athugasemd „Leyfa IPv4 bergmál á innleið (ping) takmarkað við 2000 PPS“
## Leyfa alla aðra IPv4 ICMP á innleið
ip siðareglur icmp \
gegn \
samþykkja \
athugasemd „Leyfa alla aðra IPv4 ICMP“
## Leyfa IPv6 ping/ping svör en takmörkun á 2000 PPS
icmpv6 tegund { echo-reply, echo-request } \
takmörkunarhlutfall 2000/sekúndu \
gegn \
samþykkja \
athugasemd „Leyfa IPv6 bergmál á innleið (ping) takmarkað við 2000 PPS“
## Leyfa alla aðra IPv6 ICMP á innleið
meta l4proto {icmpv6} \
gegn \
samþykkja \
athugasemd „Leyfa alla aðra IPv6 ICMP“
## Leyfa UDP tengi á heimleið en takmarkaðu við 500 PPS
udp dport 33434-33524 \
takmörkunarhlutfall 500/sekúndu \
gegn \
samþykkja \
athugasemd „Leyfa UDP traceroute á heimleið takmarkað við 500 PPS“
## Leyfa SSH á innleið
tcp dport SSH ct ástand nýtt \
gegn \
samþykkja \
athugasemd „Leyfa SSH tengingar á innleið“
## Leyfa HTTP og HTTPS á heimleið
tcp dport { http, https } ct ástand nýtt \
gegn \
samþykkja \
athugasemd „Leyfa HTTP og HTTPS tengingar á heimleið“
## Skráðu alla ósamþykkta umferð en takmarkaðu skráningu við að hámarki 60 skilaboð/mínútu
## Sjálfgefin regla verður notuð á ósamþykkta umferð
takmörkunarhlutfall 60/mínúta springa 100 pakkar \
log forskeyti "IN - Drop: " \
athugasemd „Skráðu alla óviðjafnanlega umferð“
## Teldu óviðjafnanlega umferð
gegn \
athugasemd „Teldu alla óviðjafnanlega umferð“
}
# Reglur fyrir úttaksumferð
keðjuútgangur {
gerð síu krókar framleiðsla forgangssía; stefnufall
## Leyfa umferð á útleið til bakslagsviðmóts
oif lo \
samþykkja \
athugasemd „Leyfa allri umferð út í loopback tengi“
## Leyfðu stofnuðum og tengdum tengingum
ct ríki stofnað, tengt \
gegn \
samþykkja \
athugasemd „Leyfa stofnaðar/tengdar tengingar“
## Leyfðu WireGuard-umferð á útleið áður en þú sleppir tengingum með slæmt ástand
oif $DEV_WAN udp íþrótt $WIREGUARD_PORT \
gegn \
samþykkja \
athugasemd „Leyfa WireGuard útleið“
## Slepptu umferð með ógilda tengingarstöðu
ct ástand ógilt \
takmörkunarhlutfall 100/mínúta springa 150 pakkar \
log flags allt forskeyti „ÚT – Ógilt:“ \
athugasemd „Taxtamarksskráning fyrir umferð með ógilt tengingarástand“
ct ástand ógilt \
gegn \
dropi \
athugasemd „Slepptu umferð með ógilda tengingarstöðu“
## Leyfa alla aðra IPv4 ICMP á útleið
ip siðareglur icmp \
gegn \
samþykkja \
athugasemd „Leyfa allar IPv4 ICMP tegundir“
## Leyfa alla aðra IPv6 ICMP á útleið
meta l4proto {icmpv6} \
gegn \
samþykkja \
athugasemd „Leyfa allar IPv6 ICMP tegundir“
## Leyfið UDP tengi á útleið en takmarkið við 500 PPS
udp dport 33434-33524 \
takmörkunarhlutfall 500/sekúndu \
gegn \
samþykkja \
athugasemd „Leyfa UDP tracerout á útleið takmarkað við 500 PPS“
## Leyfa útleið HTTP og HTTPS tengingar
tcp dport { http, https } ct ástand nýtt \
gegn \
samþykkja \
athugasemd „Leyfa HTTP og HTTPS tengingar á útleið“
## Leyfa SMTP sendingu á útleið
tcp dport uppgjöf ct ástand nýtt \
gegn \
samþykkja \
athugasemd „Leyfa SMTP sendingu á útleið“
## Leyfa DNS beiðnir á útleið
udp dport 53 \
gegn \
samþykkja \
athugasemd „Leyfa UDP DNS beiðnir á útleið“
tcp dport 53 \
gegn \
samþykkja \
athugasemd „Leyfa TCP DNS beiðnir á útleið“
## Leyfa NTP beiðnir á útleið
udp dport 123 \
gegn \
samþykkja \
athugasemd „Leyfa NTP beiðnir á útleið“
## Skráðu alla ósamþykkta umferð en takmarkaðu skráningu við að hámarki 60 skilaboð/mínútu
## Sjálfgefin regla verður notuð á ósamþykkta umferð
takmörkunarhlutfall 60/mínúta springa 100 pakkar \
log forskeyti „ÚT – Slepptu:“ \
athugasemd „Skráðu alla óviðjafnanlega umferð“
## Teldu óviðjafnanlega umferð
gegn \
athugasemd „Teldu alla óviðjafnanlega umferð“
}
}
# Aðal NAT síunartafla
borð inet nat {
# Reglur fyrir forleiðingu NAT umferðar
keðjuforleiðing {
tegund nat krók prerouting forgang dstnat; stefnu samþykkja
}
# Reglur fyrir NAT umferð eftir leiðsögn
# Þessi tafla er unnin fyrir Firezone eftir leiðarleiðarkeðju
keðju eftirleiðing {
sláðu inn nat krók postrouting forgang srcnat - 5; stefnu samþykkja
}
}
Eldveggurinn ætti að vera geymdur á viðeigandi stað fyrir Linux dreifinguna sem er í gangi. Fyrir Debian/Ubuntu er þetta /etc/nftables.conf og fyrir RHEL er þetta /etc/sysconfig/nftables.conf.
Stilla þarf nftables.service til að byrja við ræsingu (ef ekki þegar) stillt:
systemctl virkja nftables.service
Ef þú gerir einhverjar breytingar á eldveggssniðmátinu er hægt að staðfesta setningafræðina með því að keyra athuga skipunina:
nft -f /path/to/nftables.conf -c
Vertu viss um að staðfesta að eldveggurinn virki eins og búist var við þar sem ákveðnir eiginleikar nftables gætu ekki verið tiltækir eftir útgáfunni sem keyrir á þjóninum.
_______________________________________________________________
Þetta skjal sýnir yfirlit yfir fjarmælinguna sem Firezone safnar frá sjálfum hýstum tilviki þínu og hvernig á að slökkva á því.
Eldsvæði treystir um fjarmælingar til að forgangsraða vegvísinum okkar og hámarka verkfræðiúrræðin sem við höfum til að gera Firezone betra fyrir alla.
Fjarmælingin sem við söfnum miðar að því að svara eftirfarandi spurningum:
Það eru þrír aðalstaðir þar sem fjarmælingum er safnað í Firezone:
Í hverju þessara þriggja samhengi tökum við lágmarksmagn gagna sem nauðsynlegt er til að svara spurningunum í kaflanum hér að ofan.
Tölvupóstur um stjórnanda er aðeins safnað ef þú samþykkir sérstaklega vöruuppfærslur. Að öðrum kosti eru persónugreinanlegar upplýsingar aldrei safnað.
Firezone geymir fjarmælingar í sjálf-hýst dæmi af PostHog sem keyrir í einkareknum Kubernetes þyrping, aðeins aðgengilegur fyrir Firezone teymið. Hér er dæmi um fjarmælingartilvik sem er sendur frá þínu tilviki af Firezone til fjarmælingaþjónsins okkar:
{
fara: “0182272d-0b88-0000-d419-7b9a413713f1”,
"tímastimpill": “2022-07-22T18:30:39.748000+00:00”,
"atburður": „fz_http_started“,
„aðgreint_auðkenni“: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
“eignir”:{
„$geoip_city_name“: "Ashburn",
„$geoip_continent_code“: "NA",
„$geoip_heimslandsnafn“: "Norður Ameríka",
„$geoip_country_code“: "BNA",
„$geoip_country_name“: "Bandaríkin",
„$geoip_latitude“: 39.0469,
„$geoip_longitude“: -77.4903,
„$geoip_postal_code“: "20149",
„$geoip_subdivision_1_code“: "VA",
„$geoip_subdivision_1_name“: “Virginía”,
„$geoip_time_zone“: „Ameríka/New_York“,
„$ip“: "52.200.241.107",
„$plugins_deferred“: [],
„$plugins_failed“: [],
„$plugins_succeded“:[
„GeoIP (3)“
],
„aðgreint_auðkenni“: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
“fqdn”: „awsdemo.firezone.dev“,
„kernel_version“: "linux 5.13.0",
"útgáfa": "0.4.6"
},
„elements_chain“: ""
}
ATH
Þróunarteymi Firezone treystir á vörugreiningum til að gera Firezone betra fyrir alla. Að láta fjarmælingar vera virka er verðmætasta framlagið sem þú getur lagt til þróunar Firezone. Sem sagt, við skiljum að sumir notendur hafa meiri kröfur um friðhelgi einkalífs eða öryggis og myndu kjósa að slökkva á fjarmælingum alveg. Ef það ert þú, haltu áfram að lesa.
Fjarmæling er sjálfgefið virkt. Til að slökkva algjörlega á vörufjarmælingum skaltu stilla eftirfarandi stillingarvalkost á rangt í /etc/firezone/firezone.rb og keyra sudo firezone-ctl reconfigure til að taka upp breytingarnar.
sjálfgefið['eldsvæði']['fjarmæling']['virkjað'] = rangar
Það mun algjörlega slökkva á allri fjarmælingu vöru.
Haglél
9511 Queens Guard Ct.
Laurel, læknir 20723
Sími: (732) 771-9995
Netfang: info@hailbytes.com
