Tu sú uvedené podrobné pokyny na nasadenie Hailbytes VPN s Firezone GUI.
Spravovať: Nastavenie inštancie servera priamo súvisí s touto časťou.
Používateľské príručky: Užitočné dokumenty, ktoré vás môžu naučiť používať Firezone a riešiť typické problémy. Po úspešnom nasadení servera si pozrite túto časť.
Split Tunneling: Použite VPN na odosielanie dát iba do konkrétnych rozsahov IP.
Whitelisting: Nastavte statickú IP adresu VPN servera, aby ste mohli používať whitelist.
Reverzné tunely: Vytvorte tunely medzi niekoľkými partnermi pomocou reverzných tunelov.
Radi vám pomôžeme, ak potrebujete pomoc s inštaláciou, prispôsobením alebo používaním Hailbytes VPN.
Predtým, ako môžu používatelia vytvárať alebo sťahovať konfiguračné súbory zariadenia, môže byť Firezone nakonfigurovaná tak, aby vyžadovala autentifikáciu. Používatelia sa tiež môžu musieť pravidelne znova overovať, aby udržali svoje pripojenie VPN aktívne.
Hoci predvolenou metódou prihlasovania Firezone je lokálny e-mail a heslo, dá sa integrovať aj s akýmkoľvek štandardizovaným poskytovateľom identity OpenID Connect (OIDC). Používatelia sa teraz môžu prihlásiť do Firezone pomocou svojich poverení poskytovateľa Okta, Google, Azure AD alebo súkromnej identity.
Integrujte generického poskytovateľa OIDC
Konfiguračné parametre potrebné pre Firezone na umožnenie SSO pomocou poskytovateľa OIDC sú uvedené v príklade nižšie. Na /etc/firezone/firezone.rb môžete nájsť konfiguračný súbor. Spustite firezone-ctl reconfigure a firezone-ctl reštartujte, aby ste aktualizovali aplikáciu a prejavili sa zmeny.
# Toto je príklad použitia služieb Google a Okta ako poskytovateľa identity SSO.
# Do rovnakej inštancie Firezone je možné pridať viacero konfigurácií OIDC.
# Firezone môže deaktivovať VPN používateľa, ak sa pri pokuse zistí chyba
# na obnovenie ich access_tokenu. Toto je overené, aby fungovalo pre Google, Okta a
# Azure SSO a používa sa na automatické odpojenie siete VPN používateľa, ak je odstránená
# od poskytovateľa OIDC. Nechajte toto vypnuté, ak váš poskytovateľ OIDC
# má problémy s obnovením prístupových tokenov, pretože by to mohlo neočakávane prerušiť a
Relácia VPN # používateľa.
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = false
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ “,
client_secret: “ “,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: "kód",
rozsah: „otvorený e-mailový profil“,
štítok: „Google“
},
okta: {
discovery_document_uri: „https:// /.dobre známa/openid-konfigurácia”,
client_id: “ “,
client_secret: “ “,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: "kód",
rozsah: “openid emailový profil offline_access”,
štítok: "Okta"
}
}
Na integráciu sú potrebné nasledujúce konfiguračné nastavenia:
Pre každého poskytovateľa OIDC sa vytvorí zodpovedajúca pekná adresa URL na presmerovanie na prihlasovaciu adresu URL nakonfigurovaného poskytovateľa. Pre príklad konfigurácie OIDC vyššie sú adresy URL:
Poskytovatelia, pre ktorých máme dokumentáciu:
Ak váš poskytovateľ identity má generický konektor OIDC a nie je uvedený vyššie, pozrite si jeho dokumentáciu, kde nájdete informácie o tom, ako získať potrebné konfiguračné nastavenia.
Nastavenie v časti Nastavenia/zabezpečenie možno zmeniť tak, aby vyžadovalo pravidelné opätovné overenie. Toto možno použiť na vynútenie požiadavky, aby používatelia pravidelne vstupovali do Firezone, aby mohli pokračovať v relácii VPN.
Dĺžku relácie je možné nakonfigurovať na jednu hodinu až deväťdesiat dní. Nastavením na Nikdy môžete povoliť relácie VPN kedykoľvek. Toto je štandard.
Používateľ musí ukončiť svoju reláciu VPN a prihlásiť sa na portál Firezone, aby mohol znova overiť reláciu VPN, ktorej platnosť vypršala (URL zadaná počas nasadenia).
Svoju reláciu môžete znova overiť podľa presných pokynov klienta, ktoré nájdete tu.
Stav pripojenia VPN
Stĺpec tabuľky Pripojenie VPN na stránke Používatelia zobrazuje stav pripojenia používateľa. Toto sú stavy pripojenia:
ENABLED – pripojenie je povolené.
ZAKÁZANÉ – pripojenie je zakázané správcom alebo zlyhaním obnovenia OIDC.
EXPIRÁCIA – pripojenie je zakázané z dôvodu vypršania platnosti overenia alebo sa používateľ neprihlásil prvýkrát.
Prostredníctvom všeobecného konektora OIDC umožňuje Firezone jednotné prihlásenie (SSO) so službami Google Workspace a Cloud Identity. Táto príručka vám ukáže, ako získať konfiguračné parametre uvedené nižšie, ktoré sú potrebné na integráciu:
1. Obrazovka konfigurácie OAuth
Ak je to prvýkrát, čo vytvárate nové ID klienta OAuth, zobrazí sa výzva na konfiguráciu obrazovky súhlasu.
*Pre typ používateľa vyberte možnosť Interné. Tým sa zabezpečí, že konfigurácie zariadení môžu vytvárať iba účty patriace používateľom vo vašej organizácii Google Workspace. NEVYBERAJTE Externé, pokiaľ nechcete komukoľvek s platným účtom Google povoliť vytváranie konfigurácií zariadení.
Na obrazovke s informáciami o aplikácii:
2. Vytvorte ID klienta OAuth
Táto časť je založená na vlastnej dokumentácii spoločnosti Google nastavenie OAuth 2.0.
Navštívte konzolu Google Cloud Console Stránka poverenia kliknite na + Vytvoriť poverenia a vyberte ID klienta OAuth.
Na obrazovke vytvorenia ID klienta OAuth:
Po vytvorení ID klienta OAuth vám bude pridelené ID klienta a tajný kľúč klienta. Tieto sa použijú spolu s URI presmerovania v ďalšom kroku.
editovať /etc/firezone/firezone.rb zahrnúť možnosti nižšie:
# Používanie Google ako poskytovateľa identity SSO
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ “,
client_secret: “ “,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: "kód",
rozsah: „otvorený e-mailový profil“,
štítok: „Google“
}
}
Spustite firezone-ctl reconfigure a firezone-ctl reštartujte na aktualizáciu aplikácie. Teraz by ste mali vidieť tlačidlo Prihlásiť sa pomocou Google na koreňovej adrese URL Firezone.
Firezone používa všeobecný konektor OIDC na uľahčenie jednotného prihlásenia (SSO) s Okta. Tento tutoriál vám ukáže, ako získať konfiguračné parametre uvedené nižšie, ktoré sú potrebné na integráciu:
Táto časť príručky je založená na Okta dokumentácia.
V správcovskej konzole prejdite do časti Aplikácie > Aplikácie a kliknite na položku Vytvoriť integráciu aplikácie. Nastavte Metódu prihlásenia na OICD – OpenID Connect a Typ aplikácie na Webovú aplikáciu.
Nakonfigurujte tieto nastavenia:
Po uložení nastavení vám bude pridelené ID klienta, tajný kľúč klienta a doména Okta. Tieto 3 hodnoty sa použijú v kroku 2 na konfiguráciu Firezone.
editovať /etc/firezone/firezone.rb zahrnúť možnosti uvedené nižšie. Váš discovery_document_url bude /.známa/openid-konfigurácia pripojený na koniec vášho okta_domena.
# Použitie Okta ako poskytovateľa identity SSO
default['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri: „https:// /.dobre známa/openid-konfigurácia”,
client_id: “ “,
client_secret: “ “,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: "kód",
rozsah: “openid emailový profil offline_access”,
štítok: "Okta"
}
}
Spustite firezone-ctl reconfigure a firezone-ctl reštartujte na aktualizáciu aplikácie. Teraz by ste mali vidieť tlačidlo Prihlásiť sa pomocou Okta na koreňovej adrese URL Firezone.
Používateľov, ktorí majú prístup k aplikácii Firezone, môže Okta obmedziť. Ak to chcete urobiť, prejdite na stránku Priradenia Firezone App Integration vo svojej Okta Admin Console.
Prostredníctvom všeobecného konektora OIDC umožňuje Firezone Single Sign-On (SSO) s Azure Active Directory. Táto príručka vám ukáže, ako získať konfiguračné parametre uvedené nižšie, ktoré sú potrebné na integráciu:
Tento návod je čerpaný z Azure Active Directory Docs.
Prejdite na stránku Azure Active Directory portálu Azure. Vyberte možnosť ponuky Spravovať, vyberte možnosť Nová registrácia a potom sa zaregistrujte zadaním informácií uvedených nižšie:
Po registrácii otvorte zobrazenie podrobností aplikácie a skopírujte súbor ID aplikácie (klienta). Toto bude hodnota client_id. Potom otvorte ponuku koncových bodov a získajte súbor Dokument metadát OpenID Connect. Toto bude hodnota discovery_document_uri.
Vytvorte nový tajný kľúč klienta kliknutím na možnosť Certifikáty a tajomstvá v ponuke Spravovať. Skopírujte tajný kľúč klienta; tajná hodnota klienta bude toto.
Nakoniec v ponuke Spravovať vyberte odkaz Povolenia rozhrania API a kliknite naň Pridajte povoleniea vyberte položku Microsoft Graph, pridať e-mail, otvorený, offline_access a profily na požadované povolenia.
editovať /etc/firezone/firezone.rb zahrnúť možnosti nižšie:
# Používanie Azure Active Directory ako poskytovateľa identity SSO
default['firezone']['authentication']['oidc'] = {
azúrová: {
discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: “ “,
client_secret: “ “,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
response_type: "kód",
rozsah: “openid emailový profil offline_access”,
štítok: "Azure"
}
}
Spustite firezone-ctl reconfigure a firezone-ctl reštartujte na aktualizáciu aplikácie. Teraz by ste mali vidieť tlačidlo Prihlásiť sa pomocou Azure na koreňovej adrese URL Firezone.
Azure AD umožňuje správcom obmedziť prístup aplikácií na konkrétnu skupinu používateľov vo vašej spoločnosti. Ďalšie informácie o tom, ako to urobiť, nájdete v dokumentácii spoločnosti Microsoft.
Chef Omnibus používa Firezone na správu úloh vrátane uvoľnenia balenia, dohľadu nad procesom, správy protokolov a ďalších.
Ruby kód tvorí primárny konfiguračný súbor, ktorý sa nachádza na /etc/firezone/firezone.rb. Reštartovanie sudo firezone-ctl rekonfigurácie po vykonaní úprav v tomto súbore spôsobí, že Chef rozpozná zmeny a použije ich na aktuálny operačný systém.
Úplný zoznam konfiguračných premenných a ich popis nájdete v odkaze na konfiguračný súbor.
Vaša inštancia Firezone môže byť spravovaná cez firezone-ctl príkaz, ako je uvedené nižšie. Väčšina čiastkových príkazov vyžaduje predponu s sudo.
root@demo:~# firezone-ctl
omnibus-ctl: príkaz (podpríkaz)
Všeobecné príkazy:
očistiť
Vymažte *všetky* údaje požiarnej zóny a začnite od začiatku.
create-or-reset-admin
Obnoví heslo pre správcu s predvolenou e-mailovou adresou['firezone']['admin_email'] alebo vytvorí nového správcu, ak tento e-mail neexistuje.
pomôcť
Vytlačte si túto pomocnú správu.
prekonfigurovať
Prekonfigurujte aplikáciu.
reset-network
Resetuje nftables, rozhranie WireGuard a smerovaciu tabuľku späť na predvolené hodnoty Firezone.
show-config
Ukážte konfiguráciu, ktorá by sa vygenerovala prekonfigurovaním.
demolačná sieť
Odstráni rozhranie WireGuard a tabuľku nftables firezone.
platnosť-certifikát-obnova
Vynútiť obnovenie certifikátu teraz, aj keď jeho platnosť ešte nevypršala.
stop-cert-obnova
Odstráni cronjob, ktorý obnovuje certifikáty.
odinštalovanie
Zabite všetky procesy a odinštalujte správcu procesov (údaje zostanú zachované).
verzia
Zobraziť aktuálnu verziu Firezone
Príkazy správy služieb:
pôvabne-zabiť
Pokúste sa o pôvabné zastavenie a potom ZABIJTE celú procesnú skupinu.
hup
Pošlite službám HUP.
int
Pošlite službám INT.
zabiť
Pošlite služby KILL.
naraz
Spustite služby, ak sú nefunkčné. Ak sa zastavia, nereštartujte ich.
reštart
Zastavte služby, ak sú spustené, a potom ich znova spustite.
servisný zoznam
Uveďte zoznam všetkých služieb (povolené služby sa zobrazia s *.)
Začať
Spustite služby, ak sú vypnuté, a reštartujte ich, ak sa zastavia.
postavenie
Zobrazte stav všetkých služieb.
prestať
Zastavte služby a nereštartujte ich.
chvost
Sledujte servisné denníky všetkých povolených služieb.
termín
Pošlite službám TERMÍN.
usr1
Pošlite službám USR1.
usr2
Pošlite službám USR2.
Všetky relácie VPN musia byť ukončené pred aktualizáciou Firezone, čo tiež vyžaduje vypnutie webového používateľského rozhrania. V prípade, že sa počas aktualizácie niečo pokazí, odporúčame vyhradiť si hodinu na údržbu.
Ak chcete rozšíriť Firezone, vykonajte nasledujúce akcie:
Ak sa vyskytnú nejaké problémy, dajte nám vedieť odoslaním podporného lístka.
V 0.5.0 je niekoľko prelomových zmien a úprav konfigurácie, ktoré je potrebné riešiť. Viac sa dozviete nižšie.
Nginx už od verzie 0.5.0 nepodporuje vynútené parametre portov SSL a non-SSL. Pretože Firezone potrebuje na fungovanie SSL, odporúčame vám odstrániť balík služby Nginx nastavením default['firezone']['nginx']['enabled'] = false a namiesto toho nasmerovať váš reverzný proxy do aplikácie Phoenix na porte 13000 (predvolene ).
0.5.0 zavádza podporu protokolu ACME pre automatické obnovovanie certifikátov SSL s pribalenou službou Nginx. Umožniť,
Možnosť pridávať pravidlá s duplicitnými cieľmi je vo Firezone 0.5.0 preč. Náš migračný skript automaticky rozpozná tieto situácie počas inovácie na 0.5.0 a zachová iba pravidlá, ktorých cieľ zahŕňa druhé pravidlo. Ak je to v poriadku, nemusíte nič robiť.
V opačnom prípade vám pred aktualizáciou odporúčame zmeniť súbor pravidiel, aby ste sa zbavili týchto situácií.
Firezone 0.5.0 odstraňuje podporu pre starú konfiguráciu Okta a Google SSO v prospech novej, flexibilnejšej konfigurácie založenej na OIDC.
Ak máte akúkoľvek konfiguráciu pod predvolenými kľúčmi ['firezone']['authentication']['okta'] alebo predvolenými ['firezone']['authentication']['google'], musíte ich migrovať do nášho OIDC konfigurácia založená na nižšie uvedenej príručke.
Existujúca konfigurácia Google OAuth
Odstráňte tieto riadky obsahujúce staré konfigurácie Google OAuth z konfiguračného súboru na adrese /etc/firezone/firezone.rb
default['firezone']['authentication']['google']['enabled']
predvolené['firezone']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
default['firezone']['authentication']['google']['redirect_uri']
Potom nakonfigurujte Google ako poskytovateľa OIDC podľa tu uvedených postupov.
(Poskytnite pokyny pre prepojenie)<<<<<<<<<<<<<<<<<<
Konfigurácia existujúceho protokolu Google OAuth
Odstráňte tieto riadky obsahujúce staré konfigurácie Okta OAuth z konfiguračného súboru umiestneného na adrese /etc/firezone/firezone.rb
default['firezone']['authentication']['okta']['enabled']
default['firezone']['authentication']['okta']['client_id']
default['firezone']['authentication']['okta']['client_secret']
Predvolené['firezone']['authentication']['okta']['site']
Potom nakonfigurujte Okta ako poskytovateľa OIDC podľa tu uvedených postupov.
V závislosti od aktuálneho nastavenia a verzie postupujte podľa pokynov nižšie:
Ak už máte integráciu OIDC:
Pre niektorých poskytovateľov OIDC si inovácia na >= 0.3.16 vyžaduje získanie obnovovacieho tokenu pre rozsah offline prístupu. Týmto sa zabezpečí, že sa Firezone aktualizuje u poskytovateľa identity a že sa po odstránení používateľa vypne pripojenie VPN. V skorších iteráciách Firezone táto funkcia chýbala. V niektorých prípadoch môžu byť používatelia odstránení z vášho poskytovateľa identity stále pripojení k sieti VPN.
Pre poskytovateľov OIDC, ktorí podporujú rozsah offline prístupu, je potrebné zahrnúť offline prístup do parametra rozsahu vašej konfigurácie OIDC. Pre vykonanie zmien v konfiguračnom súbore Firezone, ktorý sa nachádza na adrese /etc/firezone/firezone.rb, sa musí vykonať rekonfigurácia Firezone-ctl.
Pre používateľov, ktorí boli overení vaším poskytovateľom OIDC, uvidíte hlavičku Pripojenia OIDC na stránke s podrobnosťami o používateľovi webového používateľského rozhrania, ak Firezone dokáže úspešne získať obnovovací token.
Ak to nefunguje, budete musieť odstrániť svoju existujúcu aplikáciu OAuth a zopakovať kroky nastavenia OIDC vytvoriť novú integráciu aplikácie .
Mám existujúcu integráciu OAuth
Pred verziou 0.3.11 používal Firezone vopred nakonfigurovaných poskytovateľov OAuth2.
Nasleduj inštrukcie tu migrovať na OIDC.
Neintegroval som poskytovateľa identity
Nie je potrebná žiadna akcia.
Môžete postupovať podľa pokynov tu na povolenie SSO prostredníctvom poskytovateľa OIDC.
Namiesto toho default['firezone']['external url'] nahradil konfiguračnú možnosť default['firezone']['fqdn'].
Nastavte toto na adresu URL vášho online portálu Firezone, ktorý je prístupný širokej verejnosti. Predvolene bude https:// plus FQDN vášho servera, ak zostane nedefinované.
Konfiguračný súbor sa nachádza na /etc/firezone/firezone.rb. Úplný zoznam konfiguračných premenných a ich popis nájdete v odkaze na konfiguračný súbor.
Firezone už od verzie 0.3.0 neuchováva súkromné kľúče zariadenia na serveri Firezone.
Webové používateľské rozhranie Firezone vám nedovolí znova stiahnuť alebo zobraziť tieto konfigurácie, ale všetky existujúce zariadenia by mali naďalej fungovať tak, ako sú.
Ak inovujete z Firezone 0.1.x, existuje niekoľko zmien v konfiguračnom súbore, ktoré je potrebné vyriešiť manuálne.
Ak chcete vykonať potrebné úpravy v súbore /etc/firezone/firezone.rb, spustite nižšie uvedené príkazy ako root.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
prekonfigurovať firezone-ctl
reštart firezone-ctl
Kontrola protokolov Firezone je múdrym prvým krokom v prípade akýchkoľvek problémov, ktoré sa môžu vyskytnúť.
Spustením sudo firezone-ctl tail zobrazíte denníky Firezone.
Väčšina problémov s pripojením s Firezone je spôsobená nekompatibilnými pravidlami iptables alebo nftables. Musíte sa uistiť, že žiadne platné pravidlá nie sú v rozpore s pravidlami Firezone.
Uistite sa, že reťazec FORWARD povoľuje pakety z vašich klientov WireGuard na miesta, ktoré chcete nechať cez Firezone, ak sa vaše internetové pripojenie zhorší zakaždým, keď aktivujete tunel WireGuard.
To sa dá dosiahnuť, ak používate ufw tým, že zabezpečíte, aby predvolená politika smerovania bola povolená:
ubuntu@fz:~$ sudo ufw default allow routed
Predvolené pravidlo smerovania zmenené na „povoliť“
(nezabudnite podľa toho aktualizovať svoje pravidlá)
A ufw stav typického servera Firezone môže vyzerať takto:
ubuntu@fz:~$ sudo ufw stav podrobný
Stav: aktívny
Prihlasovanie: zapnuté (nízke)
Predvolené: zamietnuť (prichádzajúce), povoliť (odchádzajúce), povoliť (smerované)
Nové profily: preskočiť
Do akcie od
— —— —-
22/tcp POVOLIŤ kdekoľvek
80/tcp POVOLIŤ kdekoľvek
443/tcp POVOLIŤ kdekoľvek
51820/udp POVOLIŤ kdekoľvek
22/tcp (v6) POVOLIŤ kdekoľvek (v6)
80/tcp (v6) POVOLIŤ kdekoľvek (v6)
443/tcp (v6) POVOLIŤ kdekoľvek (v6)
51820/udp (v6) POVOLIŤ kdekoľvek (v6)
Odporúčame obmedziť prístup k webovému rozhraniu pre mimoriadne citlivé a kritické produkčné nasadenia, ako je vysvetlené nižšie.
Služba sa | Predvolený port | Počúvajte adresu | Popis |
Nginx | 80, 443 | všetko | Verejný HTTP(S) port pre správu Firezone a uľahčenie autentifikácie. |
drôt Guard | 51820 | všetko | Verejný port WireGuard používaný pre relácie VPN. (UDP) |
postgresql | 15432 | 127.0.0.1 | Iba lokálny port používaný pre pribalený server Postgresql. |
Fénix | 13000 | 127.0.0.1 | Iba lokálny port používaný serverom upstream aplikácie elixír. |
Odporúčame vám premýšľať o obmedzení prístupu k verejne prístupnému webovému používateľskému rozhraniu Firezone (štandardne porty 443/tcp a 80/tcp) a namiesto toho použiť tunel WireGuard na správu Firezone pre produkčné a verejné nasadenia, kde bude mať na starosti jeden správca. vytváranie a distribúciu konfigurácií zariadení koncovým používateľom.
Ak napríklad správca vytvoril konfiguráciu zariadenia a vytvoril tunel s lokálnou adresou WireGuard 10.3.2.2, nasledujúca konfigurácia ufw by správcovi umožnila prístup k webovému používateľskému rozhraniu Firezone na rozhraní wg-firezone servera pomocou predvoleného nastavenia 10.3.2.1 adresa tunela:
root@demo:~# podrobný stav ufw
Stav: aktívny
Prihlasovanie: zapnuté (nízke)
Predvolené: zamietnuť (prichádzajúce), povoliť (odchádzajúce), povoliť (smerované)
Nové profily: preskočiť
Do akcie od
— —— —-
22/tcp POVOLIŤ kdekoľvek
51820/udp POVOLIŤ kdekoľvek
Kdekoľvek POVOLIŤ V 10.3.2.2
22/tcp (v6) POVOLIŤ kdekoľvek (v6)
51820/udp (v6) POVOLIŤ kdekoľvek (v6)
Toto by zostalo iba 22/tcp vystavený prístupu SSH na správu servera (voliteľné) a 51820/udp vystavené za účelom vytvorenia tunelov WireGuard.
Firezone spája server Postgresql a párovanie psql nástroj, ktorý možno použiť z lokálneho shellu takto:
/opt/firezone/embedded/bin/psql \
-U požiarnej zóny \
-d požiarna zóna \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
To môže byť užitočné na účely ladenia.
Bežné úlohy:
Zoznam všetkých používateľov:
/opt/firezone/embedded/bin/psql \
-U požiarnej zóny \
-d požiarna zóna \
-h localhost \
-p 15432 \
-c “VYBERTE * Z používateľov;”
Zoznam všetkých zariadení:
/opt/firezone/embedded/bin/psql \
-U požiarnej zóny \
-d požiarna zóna \
-h localhost \
-p 15432 \
-c “VYBRAŤ * ZO zariadení;”
Zmena roly používateľa:
Nastavte rolu na 'admin' alebo 'unprivileged':
/opt/firezone/embedded/bin/psql \
-U požiarnej zóny \
-d požiarna zóna \
-h localhost \
-p 15432 \
-c “UPDATE user SET role = 'admin' WHERE email = 'user@example.com';”
Zálohovanie databázy:
Ďalej je súčasťou programu pg dump, ktorý možno použiť na pravidelné zálohovanie databázy. Spustite nasledujúci kód na výpis kópie databázy v bežnom formáte dotazu SQL (nahraďte /path/to/backup.sql umiestnením, kde by sa mal vytvoriť súbor SQL):
/opt/firezone/embedded/bin/pg_dump \
-U požiarnej zóny \
-d požiarna zóna \
-h localhost \
-p 15432 > /cesta/k/zalohe.sql
Po úspešnom nasadení Firezone musíte pridať používateľov, aby ste im poskytli prístup k vašej sieti. Používa sa na to webové používateľské rozhranie.
Výberom tlačidla „Pridať používateľa“ pod /users môžete pridať používateľa. Budete požiadaní, aby ste používateľovi poskytli e-mailovú adresu a heslo. Aby ste používateľom vo vašej organizácii umožnili automaticky prístup, Firezone môže byť tiež prepojený a synchronizovať sa s poskytovateľom identity. Ďalšie podrobnosti sú dostupné v Pre overenie pravosti. < Pridať odkaz na Authenticate
Odporúčame požiadať používateľov, aby si vytvorili svoje vlastné konfigurácie zariadení, aby súkromný kľúč videli iba oni. Používatelia môžu generovať svoje vlastné konfigurácie zariadení podľa pokynov na stránke Pokyny pre klientov stránku.
Všetky konfigurácie používateľských zariadení môžu vytvárať správcovia Firezone. Na stránke používateľského profilu umiestnenej na /users vyberte možnosť „Pridať zariadenie“, aby ste to dosiahli.
[Vložiť snímku obrazovky]
Po vytvorení profilu zariadenia môžete používateľovi poslať e-mailom konfiguračný súbor WireGuard.
Používatelia a zariadenia sú prepojení. Ďalšie podrobnosti o tom, ako pridať používateľa, nájdete v časti Pridať používateľov.
Pomocou systému sieťového filtra jadra Firezone umožňuje filtrovanie výstupov na špecifikáciu paketov DROP alebo ACCEPT. Všetka premávka je normálne povolená.
IPv4 a IPv6 CIDR a IP adresy sú podporované prostredníctvom zoznamu povolených a zakázaných. Pri pridávaní pravidla môžete zvoliť rozsah pravidla pre používateľa, čím sa pravidlo aplikuje na všetky zariadenia tohto používateľa.
Nainštalujte a nakonfigurujte
Ak chcete vytvoriť pripojenie VPN pomocou natívneho klienta WireGuard, pozrite si túto príručku.
Oficiálni klienti WireGuard umiestnení tu sú kompatibilní s Firezone:
Navštívte oficiálnu webovú stránku WireGuard na adrese https://www.wireguard.com/install/ pre operačné systémy, ktoré nie sú uvedené vyššie.
Konfiguračný súbor zariadenia môžete vygenerovať pomocou portálu Firezone buď váš správca Firezone, alebo vy.
Navštívte webovú adresu, ktorú vám poskytol váš správca Firezone, aby ste si sami vygenerovali konfiguračný súbor zariadenia. Vaša firma bude mať na tento účel jedinečnú adresu URL; v tomto prípade je to https://instance-id.yourfirezone.com.
Prihláste sa do Firezone Okta SSO
[Vložiť snímku obrazovky]
Importujte súbor.conf do klienta WireGuard jeho otvorením. Prepnutím prepínača Aktivovať môžete spustiť reláciu VPN.
[Vložiť snímku obrazovky]
Ak váš správca siete nariadil opakované overenie, aby bolo vaše pripojenie VPN aktívne, postupujte podľa pokynov nižšie.
Potrebujete:
Adresa URL portálu Firezone: O pripojenie požiadajte správcu siete.
Váš správca siete by mal byť schopný ponúknuť vaše prihlasovacie meno a heslo. Stránka Firezone vás vyzve, aby ste sa prihlásili pomocou služby jednotného prihlásenia, ktorú používa váš zamestnávateľ (napríklad Google alebo Okta).
[Vložiť snímku obrazovky]
Prejdite na adresu URL portálu Firezone a prihláste sa pomocou poverení, ktoré vám poskytol správca siete. Ak ste už prihlásení, pred opätovným prihlásením kliknite na tlačidlo Znova overiť.
[Vložiť snímku obrazovky]
[Vložiť snímku obrazovky]
Ak chcete importovať konfiguračný profil WireGuard pomocou rozhrania Network Manager CLI na zariadeniach so systémom Linux, postupujte podľa týchto pokynov (nmcli).
Ak má profil povolenú podporu IPv6, pokus o importovanie konfiguračného súboru pomocou GUI správcu siete môže zlyhať s nasledujúcou chybou:
ipv6.method: metóda „auto“ nie je podporovaná pre WireGuard
Je potrebné nainštalovať obslužné programy používateľského priestoru WireGuard. Pôjde o balík s názvom wireguard alebo wireguard-tools pre linuxové distribúcie.
Pre Ubuntu/Debian:
sudo apt install wireguard
Ak chcete použiť Fedoru:
sudo dnf install wireguard-tools
Arch Linux:
sudo pacman -S wireguard-tools
Navštívte oficiálnu webovú stránku WireGuard na adrese https://www.wireguard.com/install/, kde nájdete distribúcie, ktoré nie sú uvedené vyššie.
Konfiguračný súbor zariadenia môže vygenerovať váš správca Firezone alebo samogenerácia pomocou portálu Firezone.
Navštívte webovú adresu, ktorú vám poskytol váš správca Firezone, aby ste si sami vygenerovali konfiguračný súbor zariadenia. Vaša firma bude mať na tento účel jedinečnú adresu URL; v tomto prípade je to https://instance-id.yourfirezone.com.
[Vložiť snímku obrazovky]
Importujte dodaný konfiguračný súbor pomocou nmcli:
sudo nmcli typ pripojenia importu wireguard súbor /cesta/k/konfigurácia.conf
Názov konfiguračného súboru bude zodpovedať pripojeniu/rozhraniu WireGuard. Po importe je možné spojenie v prípade potreby premenovať:
nmcli pripojenie upraviť [starý názov] connection.id [nový názov]
Cez príkazový riadok sa pripojte k VPN nasledovne:
pripojenie nmcli [názov vpn]
Odpojenie:
pripojenie nmcli prestalo [názov vpn]
Ak používate GUI, na správu pripojenia možno použiť aj príslušný applet Network Manager.
Výberom „áno“ pre možnosť automatického pripojenia je možné nakonfigurovať pripojenie VPN na automatické pripojenie:
nmcli connection upraviť pripojenie [názov vpn]. <<<<<<<<<<<<<<<<<<<<<<<<<
automatické pripojenie áno
Ak chcete zakázať automatické pripojenie, nastavte ho späť na nie:
nmcli connection upraviť pripojenie [názov vpn].
automatické pripojenie č
Aktivácia MFA Prejdite na stránku /user account/register mfa portálu Firezone. Pomocou aplikácie na overenie totožnosti naskenujte QR kód po jeho vygenerovaní a potom zadajte šesťmiestny kód.
Ak nesprávne umiestnite svoju overovaciu aplikáciu, kontaktujte svojho správcu a požiadajte ho o obnovenie prístupových informácií k účtu.
Tento tutoriál vás prevedie procesom nastavenia funkcie rozdeleného tunelovania WireGuard s Firezone tak, aby sa cez server VPN posielala iba prevádzka na konkrétne rozsahy IP.
Rozsahy IP, pre ktoré bude klient smerovať sieťovú prevádzku, sú uvedené v poli Povolené IP adresy na stránke /settings/default. Zmeny v tomto poli budú ovplyvnené iba novovytvorenými konfiguráciami tunelov WireGuard, ktoré vytvorila Firezone.
[Vložiť snímku obrazovky]
Predvolená hodnota je 0.0.0.0/0, ::/0, ktorá smeruje všetku sieťovú prevádzku z klienta na server VPN.
Príklady hodnôt v tomto poli zahŕňajú:
0.0.0.0/0, ::/0 – všetka sieťová prevádzka bude smerovaná na server VPN.
192.0.2.3/32 – na server VPN bude smerovaná iba prevádzka na jednu adresu IP.
3.5.140.0/22 – na server VPN bude smerovaná iba prevádzka na adresy IP v rozsahu 3.5.140.1 – 3.5.143.254. V tomto príklade sa použil rozsah CIDR pre oblasť ap-severovýchod-2 AWS.
Firezone pri určovaní, kam smerovať paket, vyberie najskôr výstupné rozhranie spojené s najpresnejšou cestou.
Používatelia musia obnoviť konfiguračné súbory a pridať ich do svojho natívneho klienta WireGuard, aby mohli aktualizovať existujúce používateľské zariadenia pomocou novej konfigurácie rozdeleného tunela.
Pokyny nájdete na pridať zariadenie. <<<<<<<<<<<< Pridať odkaz
Táto príručka ukáže, ako prepojiť dve zariadenia pomocou Firezone ako relé. Jedným z typických prípadov použitia je umožniť správcovi prístup k serveru, kontajneru alebo počítaču, ktorý je chránený NAT alebo firewallom.
Tento obrázok ukazuje jednoduchý scenár, v ktorom zariadenia A a B vybudujú tunel.
[Vložte architektonický obrázok požiarnej zóny]
Začnite vytvorením zariadenia A a zariadenia B tak, že prejdete na /users/[user_id]/new_device. V nastaveniach každého zariadenia skontrolujte, či sú nasledujúce parametre nastavené na hodnoty uvedené nižšie. Nastavenia zariadenia môžete nastaviť pri vytváraní konfigurácie zariadenia (pozri Pridanie zariadení). Ak potrebujete aktualizovať nastavenia na existujúcom zariadení, môžete tak urobiť vygenerovaním novej konfigurácie zariadenia.
Upozorňujeme, že všetky zariadenia majú stránku /settings/defaults, kde je možné nakonfigurovať PersistentKeepalive.
Povolené IP = 10.3.2.2/32
Toto je IP alebo rozsah IP adresy zariadenia B
Trvalé udržiavanie = 25
Ak je zariadenie za NAT, zaisťuje to, že zariadenie je schopné udržať tunel nažive a naďalej prijímať pakety z rozhrania WireGuard. Zvyčajne je dostatočná hodnota 25, ale možno budete musieť túto hodnotu znížiť v závislosti od vášho prostredia.
Povolené IP = 10.3.2.3/32
Toto je IP alebo rozsah IP adresy zariadenia A
Trvalé udržiavanie = 25
Tento príklad ukazuje situáciu, v ktorej môže zariadenie A komunikovať so zariadeniami B až D v oboch smeroch. Toto nastavenie môže predstavovať inžiniera alebo správcu pristupujúceho k mnohým zdrojom (servery, kontajnery alebo stroje) v rôznych sieťach.
[Architektonický diagram]<<<<<<<<<<<<<<<<<<<<<<<<<
Uistite sa, že nasledujúce nastavenia sú v nastaveniach každého zariadenia vykonané na zodpovedajúce hodnoty. Pri vytváraní konfigurácie zariadenia môžete zadať nastavenia zariadenia (pozri Pridanie zariadení). Ak je potrebné aktualizovať nastavenia na existujúcom zariadení, je možné vytvoriť novú konfiguráciu zariadenia.
Povolené IP = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Toto je adresa IP zariadení B až D. Adresy IP zariadení B až D musia byť zahrnuté v akomkoľvek rozsahu IP, ktorý sa rozhodnete nastaviť.
Trvalé udržiavanie = 25
To zaručuje, že zariadenie môže udržiavať tunel a naďalej prijímať pakety z rozhrania WireGuard, aj keď je chránené pomocou NAT. Vo väčšine prípadov je adekvátna hodnota 25, avšak v závislosti od vášho okolia možno budete musieť túto hodnotu znížiť.
Firezone možno použiť ako bránu NAT, aby ste mohli ponúknuť jedinú statickú výstupnú IP pre všetku komunikáciu vášho tímu. Tieto situácie zahŕňajú jeho časté používanie:
Konzultačné zákazky: Požiadajte, aby váš zákazník pridal na bielu listinu jednu statickú IP adresu, a nie jedinečnú IP adresu zariadenia každého zamestnanca.
Používanie servera proxy alebo maskovanie zdrojovej adresy IP na účely zabezpečenia alebo ochrany osobných údajov.
V tomto príspevku bude demonštrovaný jednoduchý príklad obmedzenia prístupu k webovej aplikácii hosťovanej vo vlastnej réžii na jedinú statickú IP uvedenú na bielom zozname so systémom Firezone. Na tomto obrázku sú Firezone a chránený zdroj v rôznych oblastiach VPC.
Toto riešenie sa často používa namiesto správy zoznamu povolených adries IP pre mnohých koncových používateľov, čo môže byť časovo náročné, pretože zoznam prístupových práv sa rozširuje.
Naším cieľom je nastaviť server Firezone na inštancii EC2 na presmerovanie prevádzky VPN na obmedzený zdroj. V tomto prípade Firezone slúži ako sieťový proxy alebo NAT brána, ktorá každému pripojenému zariadeniu pridelí jedinečnú verejnú výstupnú IP.
V tomto prípade má inštancia EC2 s názvom tc2.micro nainštalovanú inštanciu Firezone. Informácie o nasadení Firezone nájdete v príručke Deployment Guide. Pokiaľ ide o AWS, uistite sa, že:
Bezpečnostná skupina inštancie Firezone EC2 povoľuje odchádzajúce prenosy na IP adresu chráneného zdroja.
Inštancia Firezone prichádza s elastickou IP. Prevádzka, ktorá je presmerovaná cez inštanciu Firezone do vonkajších cieľov, bude mať túto ako svoju zdrojovú IP adresu. Predmetná IP adresa je 52.202.88.54.
[Vložiť snímku obrazovky]<<<<<<<<<<<<<<<<<<<<<<<<<<<
Ako chránený zdroj v tomto prípade slúži webová aplikácia s vlastným hosťovaním. K webovej aplikácii je možné pristupovať iba prostredníctvom žiadostí pochádzajúcich z adresy IP 52.202.88.54. V závislosti od zdroja môže byť potrebné povoliť prichádzajúcu komunikáciu na rôznych portoch a typoch prevádzky. Toto nie je zahrnuté v tomto návode.
[Vložiť snímku obrazovky]<<<<<<<<<<<<<<<<<<<<<<<<<<<
Povedzte tretej strane, ktorá má na starosti chránený zdroj, že prevádzka zo statickej adresy IP definovanej v kroku 1 musí byť povolená (v tomto prípade 52.202.88.54).
V predvolenom nastavení bude všetka prevádzka používateľov prechádzať cez server VPN a pochádzať zo statickej adresy IP, ktorá bola nakonfigurovaná v kroku 1 (v tomto prípade 52.202.88.54). Ak však bolo povolené rozdelené tunelovanie, môže byť potrebné vykonať nastavenia, aby ste sa uistili, že cieľová adresa IP chráneného zdroja je uvedená medzi povolenými adresami IP.
Nižšie je uvedený úplný zoznam možností konfigurácie dostupných v /etc/firezone/firezone.rb.
voľba | opis | predvolená hodnota |
default['firezone']['external_url'] | Adresa URL používaná na prístup k webovému portálu tejto inštancie Firezone. | “https://#{node['fqdn'] || node['hostname']}” |
default['firezone']['config_directory'] | Adresár najvyššej úrovne pre konfiguráciu Firezone. | /etc/firezone' |
default['firezone']['install_directory'] | Adresár najvyššej úrovne na inštaláciu Firezone. | /opt/firezone' |
default['firezone']['app_directory'] | Adresár najvyššej úrovne na inštaláciu webovej aplikácie Firezone. | “#{node['firezone']['install_directory']}/embedded/service/firezone” |
default['firezone']['log_directory'] | Adresár najvyššej úrovne pre denníky Firezone. | /var/log/firezone' |
default['firezone']['var_directory'] | Adresár najvyššej úrovne pre súbory runtime Firezone. | /var/opt/firezone' |
default['firezone']['user'] | Meno neprivilegovaného používateľa systému Linux, ktorému bude patriť väčšina služieb a súborov. | firezone' |
default['firezone']['group'] | Názov skupiny Linux, do ktorej bude patriť väčšina služieb a súborov. | firezone' |
default['firezone']['admin_email'] | E-mailová adresa prvého používateľa Firezone. | “firezone@localhost” |
predvolené['firezone']['max_devices_per_user'] | Maximálny počet zariadení, ktoré môže mať používateľ. | 10 |
predvolené['firezone']['allow_unprivileged_device_management'] | Umožňuje používateľom, ktorí nie sú správcami, vytvárať a odstraňovať zariadenia. | TRUE |
predvolené['firezone']['allow_unprivileged_device_configuration'] | Umožňuje používateľom, ktorí nie sú správcami, upravovať konfigurácie zariadenia. Keď je zakázaná, bráni neprivilegovaným používateľom meniť všetky polia zariadenia okrem názvu a popisu. | TRUE |
default['firezone']['egress_interface'] | Názov rozhrania, z ktorého bude vychádzať tunelovaná premávka. Ak je nula, použije sa predvolené rozhranie trasy. | nula |
default['firezone']['fips_enabled'] | Povoliť alebo zakázať režim OpenSSL FIPs. | nula |
default['firezone']['logging']['enabled'] | Povoliť alebo zakázať protokolovanie v rámci Firezone. Ak chcete úplne zakázať protokolovanie, nastavte na hodnotu false. | TRUE |
default['enterprise']['name'] | Názov používaný kuchárskou knihou šéfkuchára „podnik“. | firezone' |
default['firezone']['install_path'] | Inštalačná cesta používaná kuchárskou knihou Chef 'enterprise'. Mal by byť nastavený na rovnakú hodnotu ako inštalačný_adresár vyššie. | node['firezone']['install_directory'] |
default['firezone']['sysvinit_id'] | Identifikátor používaný v /etc/inittab. Musí to byť jedinečná sekvencia 1-4 znakov. | SUP' |
default['firezone']['authentication']['local']['enabled'] | Povoliť alebo zakázať lokálnu autentifikáciu e-mailom/heslom. | TRUE |
default['firezone']['authentication']['auto_create_oidc_users'] | Automaticky vytvorte používateľov, ktorí sa prvýkrát prihlásia z OIDC. Zakázaním umožníte iba existujúcim používateľom prihlásiť sa cez OIDC. | TRUE |
predvolené['firezone']['authentication']['disable_vpn_on_oidc_error'] | Ak sa pri pokuse o obnovenie tokenu OIDC zistí chyba používateľa, zakážte jeho VPN. | FALSE |
default['firezone']['authentication']['oidc'] | OpenID Connect config, vo formáte {“provider” => [config…]} – viď Dokumentácia OpenIDConnect pre príklady konfigurácie. | {} |
default['firezone']['nginx']['enabled'] | Povoliť alebo zakázať pribalený server nginx. | TRUE |
default['firezone']['nginx']['ssl_port'] | Port počúvania HTTPS. | 443 |
default['firezone']['nginx']['directory'] | Adresár na uloženie konfigurácie virtuálneho hostiteľa nginx súvisiacej s Firezone. | “#{node['firezone']['var_directory']}/nginx/etc” |
default['firezone']['nginx']['log_directory'] | Adresár na ukladanie protokolových súborov nginx súvisiacich s Firezone. | “#{node['firezone']['log_directory']}/nginx” |
default['firezone']['nginx']['log_rotation']['file_maxbytes'] | Veľkosť súboru, pri ktorej sa majú otáčať protokolové súbory Nginx. | 104857600 |
default['firezone']['nginx']['log_rotation']['num_to_keep'] | Počet súborov denníka Firezone nginx, ktoré sa majú uchovávať pred vyradením. | 10 |
predvolené['firezone']['nginx']['log_x_forwarded_for'] | Či sa má protokolovať hlavička Firezone nginx x-forwarded-for. | TRUE |
default['firezone']['nginx']['hsts_header']['enabled'] | TRUE | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | Povoľte alebo zakážte includeSubDomains pre hlavičku HSTS. | TRUE |
predvolené['firezone']['nginx']['hsts_header']['max_age'] | Maximálny vek pre hlavičku HSTS. | 31536000 |
default['firezone']['nginx']['redirect_to_canonical'] | Či sa majú adresy URL presmerovať na kanonické FQDN špecifikované vyššie | FALSE |
default['firezone']['nginx']['cache']['enabled'] | Povoliť alebo zakázať vyrovnávaciu pamäť Firezone nginx. | FALSE |
default['firezone']['nginx']['cache']['adresár'] | Adresár pre vyrovnávaciu pamäť Firezone nginx. | “#{node['firezone']['var_directory']}/nginx/cache” |
default['firezone']['nginx']['user'] | Používateľ Firezone nginx. | node['firezone']['user'] |
default['firezone']['nginx']['group'] | Skupina Firezone nginx. | node['firezone']['group'] |
default['firezone']['nginx']['dir'] | Konfiguračný adresár nginx najvyššej úrovne. | node['firezone']['nginx']['adresár'] |
default['firezone']['nginx']['log_dir'] | Adresár denníka najvyššej úrovne nginx. | node['firezone']['nginx']['log_directory'] |
default['firezone']['nginx']['pid'] | Miesto pre súbor pid nginx. | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
default['firezone']['nginx']['daemon_disable'] | Vypnite režim démona nginx, aby sme ho mohli namiesto toho monitorovať. | TRUE |
default['firezone']['nginx']['gzip'] | Zapnite alebo vypnite kompresiu nginx gzip. | na |
predvolené['firezone']['nginx']['gzip_static'] | Zapnite alebo vypnite kompresiu nginx gzip pre statické súbory. | vypnuté' |
default['firezone']['nginx']['gzip_http_version'] | Verzia HTTP, ktorá sa má použiť na poskytovanie statických súborov. | 1.0 " |
predvolené['firezone']['nginx']['gzip_comp_level'] | úroveň kompresie nginx gzip. | 2 " |
default['firezone']['nginx']['gzip_proxied'] | Povolí alebo zakáže gzipovanie odpovedí pre žiadosti proxy v závislosti od požiadavky a odpovede. | akýkoľvek' |
default['firezone']['nginx']['gzip_vary'] | Povolí alebo zakáže vkladanie hlavičky odpovede „Vary: Accept-Encoding“. | vypnuté' |
default['firezone']['nginx']['gzip_buffers'] | Nastavuje počet a veľkosť vyrovnávacích pamätí použitých na kompresiu odpovede. Ak je nula, použije sa predvolená hodnota nginx. | nula |
predvolené['firezone']['nginx']['gzip_types'] | Typy MIME na povolenie kompresie gzip. | ['text/plain', 'text/css', 'application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
predvolené['firezone']['nginx']['gzip_min_length'] | Minimálna dĺžka súboru na povolenie kompresie súboru gzip. | 1000 |
default['firezone']['nginx']['gzip_disable'] | User-agent matcher na zakázanie kompresie gzip. | MSIE [1-6]\.' |
default['firezone']['nginx']['keepalive'] | Aktivuje vyrovnávaciu pamäť pre pripojenie k upstream serverom. | na |
default['firezone']['nginx']['keepalive_timeout'] | Časový limit v sekundách pre udržiavacie pripojenie k upstream serverom. | 65 |
default['firezone']['nginx']['worker_processes'] | Počet pracovných procesov nginx. | node['cpu'] && node['cpu']['total'] ? node['cpu']['total'] : 1 |
default['firezone']['nginx']['worker_connections'] | Maximálny počet súčasných pripojení, ktoré môže otvoriť pracovný proces. | 1024 |
default['firezone']['nginx']['worker_rlimit_nofile'] | Zmení limit maximálneho počtu otvorených súborov pre pracovné procesy. Ak je nula, použije predvolenú hodnotu nginx. | nula |
default['firezone']['nginx']['multi_accept'] | Či majú pracovníci akceptovať jedno pripojenie naraz alebo viacero. | TRUE |
default['firezone']['nginx']['event'] | Určuje metódu spracovania pripojenia, ktorá sa má použiť v kontexte udalostí nginx. | epoll' |
default['firezone']['nginx']['server_tokens'] | Povolí alebo zakáže vysielanie verzie nginx na chybových stránkach a v poli hlavičky odpovede „Server“. | nula |
predvolené['firezone']['nginx']['server_names_hash_bucket_size'] | Nastavuje veľkosť segmentu pre hašovacie tabuľky názvov serverov. | 64 |
default['firezone']['nginx']['sendfile'] | Povolí alebo zakáže používanie nginx sendfile(). | na |
default['firezone']['nginx']['access_log_options'] | Nastavuje možnosti denníka prístupu nginx. | nula |
predvolené['firezone']['nginx']['error_log_options'] | Nastaví možnosti protokolu chýb nginx. | nula |
default['firezone']['nginx']['disable_access_log'] | Zakáže denník prístupu nginx. | FALSE |
predvolené['firezone']['nginx']['types_hash_max_size'] | Maximálna veľkosť hash typov nginx. | 2048 |
predvolené['firezone']['nginx']['types_hash_bucket_size'] | veľkosť vedra hash typov nginx. | 64 |
default['firezone']['nginx']['proxy_read_timeout'] | časový limit čítania nginx proxy. Ak chcete použiť predvolené nastavenie nginx, nastavte na nulu. | nula |
predvolené['firezone']['nginx']['client_body_buffer_size'] | veľkosť vyrovnávacej pamäte tela klienta nginx. Ak chcete použiť predvolené nastavenie nginx, nastavte na nulu. | nula |
predvolené['firezone']['nginx']['client_max_body_size'] | Maximálna veľkosť tela klienta nginx. | 250 m' |
default['firezone']['nginx']['default']['modules'] | Zadajte ďalšie moduly nginx. | [] |
default['firezone']['nginx']['enable_rate_limiting'] | Povoliť alebo zakázať obmedzenie rýchlosti nginx. | TRUE |
predvolené['firezone']['nginx']['rate_limiting_zone_name'] | Názov zóny obmedzujúcej rýchlosť Nginx. | firezone' |
default['firezone']['nginx']['rate_limiting_backoff'] | Odstúpenie obmedzujúce rýchlosť Nginx. | 10 m' |
default['firezone']['nginx']['rate_limit'] | Limit sadzby Nginx. | 10 r/s' |
default['firezone']['nginx']['ipv6'] | Umožnite nginxu počúvať okrem IPv6 aj požiadavky HTTP pre IPv4. | TRUE |
default['firezone']['postgresql']['enabled'] | Povoliť alebo zakázať balík Postgresql. Ak chcete použiť svoju vlastnú inštanciu Postgresql, nastavte na hodnotu false a vyplňte možnosti databázy nižšie. | TRUE |
default['firezone']['postgresql']['username'] | Používateľské meno pre Postgresql. | node['firezone']['user'] |
default['firezone']['postgresql']['data_directory'] | Adresár údajov Postgresql. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
default['firezone']['postgresql']['log_directory'] | Adresár denníka Postgresql. | “#{node['firezone']['log_directory']}/postgresql” |
default['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Maximálna veľkosť súboru denníka Postgresql pred jeho otočením. | 104857600 |
default['firezone']['postgresql']['log_rotation']['num_to_keep'] | Počet súborov denníka Postgresql, ktoré sa majú uchovávať. | 10 |
default['firezone']['postgresql']['checkpoint_completion_target'] | Cieľ dokončenia kontrolného bodu Postgresql. | 0.5 |
default['firezone']['postgresql']['checkpoint_segments'] | Počet segmentov kontrolného bodu Postgresql. | 3 |
default['firezone']['postgresql']['checkpoint_timeout'] | Časový limit kontrolného bodu Postgresql vypršal. | 5 minút |
default['firezone']['postgresql']['checkpoint_warning'] | Čas varovania kontrolného bodu Postgresql v sekundách. | 30-te roky |
default['firezone']['postgresql']['effective_cache_size'] | Efektívna veľkosť vyrovnávacej pamäte Postgresql. | 128 MB' |
default['firezone']['postgresql']['listen_address'] | Adresa počúvania Postgresql. | 127.0.0.1 " |
default['firezone']['postgresql']['max_connections'] | Postgresql max pripojenia. | 350 |
default['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR na umožnenie md5 auth. | ['127.0.0.1/32', '::1/128'] |
default['firezone']['postgresql']['port'] | Port počúvania Postgresql. | 15432 |
default['firezone']['postgresql']['shared_buffers'] | Veľkosť zdieľaných vyrovnávacích pamätí Postgresql. | “#{(node['memory']['total'].to_i / 4) / 1024} MB” |
default['firezone']['postgresql']['shmmax'] | Postgresql shmmax v bajtoch. | 17179869184 |
default['firezone']['postgresql']['shmall'] | Postgresql shmall v bajtoch. | 4194304 |
default['firezone']['postgresql']['work_mem'] | Veľkosť pracovnej pamäte Postgresql. | 8 MB' |
default['firezone']['database']['user'] | Určuje používateľské meno, ktoré Firezone použije na pripojenie k DB. | node['firezone']['postgresql']['username'] |
default['firezone']['database']['password'] | Ak používate externú DB, špecifikuje heslo, ktoré Firezone použije na pripojenie k DB. | Zmeň ma' |
default['firezone']['database']['name'] | Databáza, ktorú bude Firezone používať. Vytvorí sa, ak neexistuje. | firezone' |
default['firezone']['database']['host'] | Hostiteľ databázy, ku ktorému sa Firezone pripojí. | node['firezone']['postgresql']['listen_address'] |
default['firezone']['database']['port'] | Databázový port, ku ktorému sa Firezone pripojí. | node['firezone']['postgresql']['port'] |
default['firezone']['database']['pool'] | Veľkosť databázy, ktorú Firezone použije. | [10, Atď.nprocesory].max |
default['firezone']['database']['ssl'] | Či sa má pripojiť k databáze cez SSL. | FALSE |
default['firezone']['database']['ssl_opts'] | {} | |
default['firezone']['database']['parameters'] | {} | |
default['firezone']['database']['extensions'] | Rozšírenia databázy na povolenie. | { 'plpgsql' => true, 'pg_trgm' => true } |
default['firezone']['phoenix']['enabled'] | Povoľte alebo zakážte webovú aplikáciu Firezone. | TRUE |
default['firezone']['phoenix']['listen_address'] | Adresa počúvania webovej aplikácie Firezone. Toto bude upstream adresa na počúvanie, ktorú nginx proxy. | 127.0.0.1 " |
default['firezone']['phoenix']['port'] | Port počúvania webovej aplikácie Firezone. Toto bude upstream port, ktorý nginx proxy. | 13000 |
default['firezone']['phoenix']['log_directory'] | Adresár denníka webovej aplikácie Firezone. | “#{node['firezone']['log_directory']}/phoenix” |
default['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Veľkosť súboru denníka webovej aplikácie Firezone. | 104857600 |
default['firezone']['phoenix']['log_rotation']['num_to_keep'] | Počet súborov denníka webovej aplikácie Firezone, ktoré sa majú uchovávať. | 10 |
default['firezone']['phoenix']['crash_detection']['enabled'] | Povoliť alebo zakázať spúšťanie webovej aplikácie Firezone pri zistení zlyhania. | TRUE |
predvolené['firezone']['phoenix']['external_trusted_proxy'] | Zoznam dôveryhodných reverzných proxy naformátovaných ako pole IP a/alebo CIDR. | [] |
default['firezone']['phoenix']['private_clients'] | Zoznam klientov HTTP privátnej siete vo formáte poľa IP a/alebo CIDR. | [] |
default['firezone']['wireguard']['enabled'] | Povoliť alebo zakázať pribalenú správu WireGuard. | TRUE |
default['firezone']['wireguard']['log_directory'] | Adresár denníkov pre pribalenú správu WireGuard. | “#{node['firezone']['log_directory']}/wireguard” |
default['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Maximálna veľkosť súboru denníka WireGuard. | 104857600 |
default['firezone']['wireguard']['log_rotation']['num_to_keep'] | Počet súborov denníka WireGuard, ktoré sa majú uchovávať. | 10 |
default['firezone']['wireguard']['interface_name'] | Názov rozhrania WireGuard. Zmena tohto parametra môže spôsobiť dočasnú stratu pripojenia VPN. | wg-firezone' |
default['firezone']['wireguard']['port'] | Port počúvania WireGuard. | 51820 |
default['firezone']['wireguard']['mtu'] | Rozhranie WireGuard MTU pre tento server a pre konfigurácie zariadení. | 1280 |
default['firezone']['wireguard']['endpoint'] | WireGuard Endpoint na použitie na generovanie konfigurácií zariadení. Ak je nula, predvolene sa použije verejná IP adresa servera. | nula |
default['firezone']['wireguard']['dns'] | WireGuard DNS na použitie na generované konfigurácie zariadení. | 1.1.1.1, 1.0.0.1′ |
default['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs použiť na generované konfigurácie zariadení. | 0.0.0.0/0, ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | Predvolené nastavenie PersistentKeepalive pre vygenerované konfigurácie zariadení. Hodnota 0 deaktivuje. | 0 |
default['firezone']['wireguard']['ipv4']['enabled'] | Povoľte alebo zakážte IPv4 pre sieť WireGuard. | TRUE |
default['firezone']['wireguard']['ipv4']['masquerade'] | Povoliť alebo zakázať maskovanie pre pakety opúšťajúce tunel IPv4. | TRUE |
default['firezone']['wireguard']['ipv4']['network'] | Fond adries IPv4 siete WireGuard. | 10.3.2.0 / 24 ′ |
default['firezone']['wireguard']['ipv4']['address'] | Adresa IPv4 rozhrania WireGuard. Musí byť v rámci fondu adries WireGuard. | 10.3.2.1 " |
default['firezone']['wireguard']['ipv6']['enabled'] | Povoľte alebo zakážte IPv6 pre sieť WireGuard. | TRUE |
default['firezone']['wireguard']['ipv6']['masquerade'] | Povoliť alebo zakázať maskovanie pre pakety opúšťajúce tunel IPv6. | TRUE |
default['firezone']['wireguard']['ipv6']['network'] | Fond adries IPv6 siete WireGuard. | fd00::3:2:0/120′ |
default['firezone']['wireguard']['ipv6']['address'] | Adresa IPv6 rozhrania WireGuard. Musí byť v rámci oblasti adries IPv6. | fd00::3:2:1′ |
default['firezone']['runit']['svlogd_bin'] | Spustite skladové miesto svlogd. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
default['firezone']['ssl']['directory'] | Adresár SSL na ukladanie vygenerovaných certifikátov. | /var/opt/firezone/ssl' |
default['firezone']['ssl']['email_address'] | E-mailová adresa na použitie pre certifikáty s vlastným podpisom a upozornenia na obnovenie protokolu ACME. | ty@example.com' |
default['firezone']['ssl']['acme']['enabled'] | Povoľte ACME pre automatické poskytovanie certifikátov SSL. Deaktivujte toto, aby ste zabránili Nginxu počúvať na porte 80. Viď tu pre ďalšie pokyny. | FALSE |
default['firezone']['ssl']['acme']['server'] | letsencrypt | |
default['firezone']['ssl']['acme']['keylength'] | ec-256 | |
default['firezone']['ssl']['certificate'] | Cesta k súboru certifikátu pre váš FQDN. Prepíše vyššie uvedené nastavenie ACME, ak je špecifikované. Ak sú ACME aj toto nulové, vygeneruje sa certifikát s vlastným podpisom. | nula |
default['firezone']['ssl']['certificate_key'] | Cesta k súboru certifikátu. | nula |
default['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nula |
default['firezone']['ssl']['country_name'] | Názov krajiny pre certifikát s vlastným podpisom. | USA |
default['firezone']['ssl']['state_name'] | Uveďte názov certifikátu s vlastným podpisom. | CA ' |
default['firezone']['ssl']['locality_name'] | Názov lokality pre certifikát s vlastným podpisom. | San Francisco' |
default['firezone']['ssl']['company_name'] | Certifikát s vlastným podpisom názvu spoločnosti. | Moja spoločnosť' |
default['firezone']['ssl']['organizational_unit_name'] | Názov organizačnej jednotky pre certifikát s vlastným podpisom. | operácie |
default['firezone']['ssl']['ciphers'] | SSL šifry pre nginx na použitie. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default['firezone']['ssl']['fips_ciphers'] | Šifry SSL pre režim FIPs. | FIPS@STRENGTH:!aNULL:!eNULL' |
default['firezone']['ssl']['protocols'] | Používať protokoly TLS. | TLSv1 TLSv1.1 TLSv1.2′ |
default['firezone']['ssl']['session_cache'] | Vyrovnávacia pamäť relácie SSL. | shared:SSL:4m' |
default['firezone']['ssl']['session_timeout'] | Časový limit relácie SSL vypršal. | 5 m' |
default['firezone']['robots_allow'] | roboty nginx umožňujú. | /' |
default['firezone']['robots_disallow'] | roboty nginx nepovoľujú. | nula |
default['firezone']['outbound_email']['from'] | Odchádzajúci e-mail z adresy. | nula |
default['firezone']['outbound_email']['poskytovateľ'] | Poskytovateľ odchádzajúcich e-mailových služieb. | nula |
default['firezone']['outbound_email']['configs'] | Konfigurácie poskytovateľa odchádzajúceho e-mailu. | pozri omnibus/cookbooks/firezone/attributes/default.rb |
default['firezone']['telemetry']['enabled'] | Povoliť alebo zakázať anonymizovanú produktovú telemetriu. | TRUE |
default['firezone']['connectivity_checks']['enabled'] | Povoľte alebo zakážte službu kontroly pripojenia Firezone. | TRUE |
predvolené['firezone']['connectivity_checks']['interval'] | Interval medzi kontrolami pripojenia v sekundách. | 3_600 |
________________________________________________________________
Tu nájdete zoznam súborov a adresárov súvisiacich s typickou inštaláciou Firezone. Tieto sa môžu zmeniť v závislosti od zmien vo vašom konfiguračnom súbore.
cesta | opis |
/var/opt/firezone | Adresár najvyššej úrovne obsahujúci údaje a vygenerovanú konfiguráciu pre služby balíka Firezone. |
/opt/firezone | Adresár najvyššej úrovne obsahujúci vstavané knižnice, binárne súbory a runtime súbory potrebné pre Firezone. |
/usr/bin/firezone-ctl | nástroj firezone-ctl na správu inštalácie Firezone. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd unit file na spustenie procesu dohľadu Firezone runningvdir. |
/etc/firezone | Konfiguračné súbory Firezone. |
__________________________________________________________
Táto stránka bola v dokumentoch prázdna
_____________________________________________________________
Nasledovnú šablónu brány firewall nftables možno použiť na zabezpečenie servera so systémom Firezone. Šablóna vytvára určité predpoklady; možno budete musieť upraviť pravidlá tak, aby vyhovovali vášmu prípadu použitia:
Firezone konfiguruje svoje vlastné pravidlá nftables na povolenie/odmietnutie návštevnosti cieľových miest nakonfigurovaných vo webovom rozhraní a na spracovanie odchádzajúcej NAT pre návštevnosť klienta.
Použitie nižšie uvedenej šablóny brány firewall na už spustený server (nie v čase zavádzania) bude mať za následok vymazanie pravidiel Firezone. To môže mať bezpečnostné dôsledky.
Ak chcete tento problém obísť, reštartujte službu fénix:
firezone-ctl reštart fénixa
#!/usr/sbin/nft -f
## Vymazať/vyprázdniť všetky existujúce pravidlá
splachovací súbor pravidiel
################################ PREMENNÉ ################# ################
## Názov internetového/WAN rozhrania
definovať DEV_WAN = eth0
## Názov rozhrania WireGuard
definovať DEV_WIREGUARD = wg-firezone
## Port na počúvanie WireGuard
definovať WIREGUARD_PORT = 51820
############################## KONIEC PREMENNÝCH ################## #############
# Tabuľka hlavného filtrovania rodiny inet
tabuľka inet filter {
# Pravidlá pre presmerovanú premávku
# Tento reťazec je spracovaný pred dopredným reťazcom Firezone
reťaz vpred {
typ filtra hák dopredu prioritný filter – 5; politiku prijať
}
# Pravidlá pre vstupnú premávku
reťazový vstup {
typ filter háčik vstupný prioritný filter; pokles politiky
## Povoliť prichádzajúci prenos do rozhrania spätnej slučky
iif lo \
súhlasiť \
komentár „Povoliť všetku premávku z rozhrania spätnej slučky“
## Povoliť vytvorené a súvisiace pripojenia
ct stav zavedený, súvisiaci \
súhlasiť \
komentár „Povoliť vytvorené/súvisiace pripojenia“
## Povolenie prichádzajúcej prevádzky WireGuard
iif $DEV_WAN udp dport $WIREGUARD_PORT \
počítadlo \
súhlasiť \
komentár „Povoliť prichádzajúci prenos WireGuard“
## Zapíšte a zahoďte nové TCP non-SYN pakety
tcp flags != stav synchronizácie nový \
limitná sadzba 100/minútová dávka 150 balíky \
predpona denníka „IN – Novinka !SYN: “ \
komentár „Protokolovanie limitu rýchlosti pre nové pripojenia, ktoré nemajú nastavený príznak SYN TCP“
tcp flags != stav synchronizácie nový \
počítadlo \
pokles \
komentár „Zrušte nové pripojenia, ktoré nemajú nastavený príznak SYN TCP“
## Zaznamenajte a zahoďte pakety TCP s nastaveným neplatným príznakom fin/syn
tcp príznaky & (fin|syn) == (fin|syn) \
limitná sadzba 100/minútová dávka 150 balíky \
predpona denníka „IN – TCP FIN|SIN: “ \
komentár „Protokolovanie limitu rýchlosti pre pakety TCP s neplatným nastaveným príznakom fin/syn“
tcp príznaky & (fin|syn) == (fin|syn) \
počítadlo \
pokles \
komentár „Zrušte pakety TCP s neplatným nastaveným príznakom fin/syn“
## Zaznamenať a zahodiť TCP pakety s neplatným nastaveným príznakom syn/rst
tcp príznaky & (syn|rst) == (syn|rst) \
limitná sadzba 100/minútová dávka 150 balíky \
predpona denníka „IN – TCP SYN|RST: “ \
komentár „Protokolovanie limitu rýchlosti pre pakety TCP s neplatným nastaveným príznakom syn/rst“
tcp príznaky & (syn|rst) == (syn|rst) \
počítadlo \
pokles \
komentár „Zrušte pakety TCP s neplatným nastaveným príznakom syn/rst“
## Zaznamenajte a zrušte neplatné príznaky TCP
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
limitná sadzba 100/minútová dávka 150 balíky \
predpona denníka „IN – FIN:“ \
komentár “Protokolovanie limitu rýchlosti pre neplatné príznaky TCP (fin|syn|rst|psh|ack|urg) < (fin)”
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
počítadlo \
pokles \
komentár “Zrušte TCP pakety s príznakmi (fin|syn|rst|psh|ack|urg) < (fin)”
## Zaznamenajte a zrušte neplatné príznaky TCP
tcp príznaky & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
limitná sadzba 100/minútová dávka 150 balíky \
predpona denníka „IN – FIN|PSH|URG:“ \
komentár “Zaznamenávanie limitu rýchlosti pre neplatné príznaky TCP (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
tcp príznaky & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
počítadlo \
pokles \
komentár “Zrušte pakety TCP s príznakmi (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
## Znížte návštevnosť s neplatným stavom pripojenia
ct stav neplatný \
limitná sadzba 100/minútová dávka 150 balíky \
log označuje všetky predpony „IN – Neplatné: “ \
komentár „Zaznamenávanie limitu rýchlosti pre prevádzku s neplatným stavom pripojenia“
ct stav neplatný \
počítadlo \
pokles \
komentár „Znížte návštevnosť s neplatným stavom pripojenia“
## Povoliť odpovede IPv4 ping/ping, ale rýchlosť limitu je 2000 PPS
ip protokol icmp icmp typ { echo-reply, echo-request } \
limitná sadzba 2000/sekunda \
počítadlo \
súhlasiť \
komentár „Povoliť prichádzajúce odozvy IPv4 (ping) obmedzené na 2000 XNUMX PPS“
## Povoliť všetky ostatné prichádzajúce IPv4 ICMP
ip protokol icmp \
počítadlo \
súhlasiť \
komentár „Povoliť všetky ostatné IPv4 ICMP“
## Povoliť odpovede IPv6 ping/ping, ale rýchlosť limitu je 2000 PPS
icmpv6 type { echo-reply, echo-request } \
limitná sadzba 2000/sekunda \
počítadlo \
súhlasiť \
komentár „Povoliť prichádzajúce odozvy IPv6 (ping) obmedzené na 2000 XNUMX PPS“
## Povoliť všetky ostatné prichádzajúce IPv6 ICMP
meta l4proto { icmpv6 } \
počítadlo \
súhlasiť \
komentár „Povoliť všetky ostatné IPv6 ICMP“
## Povoliť prichádzajúce porty traceroute UDP, ale obmedziť na 500 PPS
udp dport 33434-33524 \
limitná sadzba 500/sekunda \
počítadlo \
súhlasiť \
komentár „Povoliť prichádzajúcu sledovaciu cestu UDP obmedzenú na 500 PPS“
## Povoliť prichádzajúce SSH
tcp dport ssh ct stav nový \
počítadlo \
súhlasiť \
komentár „Povoliť prichádzajúce pripojenia SSH“
## Povoliť prichádzajúce HTTP a HTTPS
tcp dport { http, https } stav ct nový \
počítadlo \
súhlasiť \
komentár „Povoliť prichádzajúce pripojenia HTTP a HTTPS“
## Zaznamenajte všetku neprekonanú premávku, ale rýchlosť zaznamenávania obmedzte na maximálne 60 správ za minútu
## Predvolená politika sa použije na nezodpovedajúcu návštevnosť
limitná sadzba 60/minútová dávka 100 balíky \
predpona denníka „IN – Drop:“ \
komentár „Zaznamenajte akúkoľvek neprekonanú premávku“
## Spočítajte bezkonkurenčnú premávku
počítadlo \
komentár „Počítajte akúkoľvek neprekonanú návštevnosť“
}
# Pravidlá pre výstupnú prevádzku
reťazový výstup {
typ filtra háčik výstupnej priority filter; pokles politiky
## Povoliť odchádzajúce prenosy do rozhrania spätnej slučky
oif lo \
súhlasiť \
komentár „Povoliť všetku premávku do rozhrania spätnej slučky“
## Povoliť vytvorené a súvisiace pripojenia
ct stav zavedený, súvisiaci \
počítadlo \
súhlasiť \
komentár „Povoliť vytvorené/súvisiace pripojenia“
## Pred zrušením pripojení v zlom stave povoľte odchádzajúce prenosy WireGuard
oif $DEV_WAN udp šport $WIREGUARD_PORT \
počítadlo \
súhlasiť \
komentár „Povoliť odchádzajúce prenosy WireGuard“
## Znížte návštevnosť s neplatným stavom pripojenia
ct stav neplatný \
limitná sadzba 100/minútová dávka 150 balíky \
log označuje všetky predpony „OUT – Neplatné: “ \
komentár „Zaznamenávanie limitu rýchlosti pre prevádzku s neplatným stavom pripojenia“
ct stav neplatný \
počítadlo \
pokles \
komentár „Znížte návštevnosť s neplatným stavom pripojenia“
## Povoliť všetky ostatné odchádzajúce IPv4 ICMP
ip protokol icmp \
počítadlo \
súhlasiť \
komentár „Povoliť všetky typy IPv4 ICMP“
## Povoliť všetky ostatné odchádzajúce IPv6 ICMP
meta l4proto { icmpv6 } \
počítadlo \
súhlasiť \
komentár „Povoliť všetky typy IPv6 ICMP“
## Povoliť odchádzajúce traceroute UDP porty, ale obmedziť na 500 PPS
udp dport 33434-33524 \
limitná sadzba 500/sekunda \
počítadlo \
súhlasiť \
komentár „Povoliť odchádzajúce smerovanie UDP traceroute obmedzené na 500 PPS“
## Povoliť odchádzajúce pripojenia HTTP a HTTPS
tcp dport { http, https } stav ct nový \
počítadlo \
súhlasiť \
komentár „Povoliť odchádzajúce pripojenia HTTP a HTTPS“
## Povoliť odchádzajúce odosielanie SMTP
tcp dport odoslanie ct stav nový \
počítadlo \
súhlasiť \
komentár „Povoliť odchádzajúce odosielanie SMTP“
## Povoliť odchádzajúce požiadavky DNS
udp dport 53 \
počítadlo \
súhlasiť \
komentár „Povoliť odchádzajúce požiadavky DNS UDP“
tcp dport 53 \
počítadlo \
súhlasiť \
komentár „Povoliť odchádzajúce požiadavky TCP DNS“
## Povoliť odchádzajúce požiadavky NTP
udp dport 123 \
počítadlo \
súhlasiť \
komentár „Povoliť odchádzajúce žiadosti NTP“
## Zaznamenajte všetku neprekonanú premávku, ale rýchlosť zaznamenávania obmedzte na maximálne 60 správ za minútu
## Predvolená politika sa použije na nezodpovedajúcu návštevnosť
limitná sadzba 60/minútová dávka 100 balíky \
predpona denníka „VON – Drop:“ \
komentár „Zaznamenajte akúkoľvek neprekonanú premávku“
## Spočítajte bezkonkurenčnú premávku
počítadlo \
komentár „Počítajte akúkoľvek neprekonanú návštevnosť“
}
}
# Hlavná tabuľka filtrovania NAT
tabuľka inet nat {
# Pravidlá pre predbežné smerovanie prevádzky NAT
reťazové predtrasovanie {
typ nat hook prerouting priority dstnat; politiku prijať
}
# Pravidlá pre následné smerovanie prevádzky NAT
# Táto tabuľka je spracovaná pred reťazcom po smerovaní Firezone
reťazový postrouting {
zadajte prioritu postroutingu nat hook srcnat – 5; politiku prijať
}
}
Firewall by mal byť uložený na príslušnom mieste pre distribúciu Linuxu, ktorá je spustená. Pre Debian/Ubuntu je to /etc/nftables.conf a pre RHEL je to /etc/sysconfig/nftables.conf.
nftables.service bude potrebné nakonfigurovať tak, aby sa spúšťal pri zavádzaní (ak ešte nie je nastavený):
systemctl povoliť nftables.service
Ak vykonáte nejaké zmeny v šablóne brány firewall, syntax je možné overiť spustením príkazu check:
nft -f /cesta/k/nftables.conf -c
Uistite sa, že ste overili, či firewall funguje podľa očakávania, pretože určité funkcie nftables nemusia byť dostupné v závislosti od vydania spusteného na serveri.
_______________________________________________________________
Tento dokument predstavuje prehľad telemetrie, ktorú Firezone zhromažďuje z vašej samostatne hostenej inštancie, a ako ju zakázať.
Požiarna zóna následne zostavené na telemetriu, aby sme uprednostnili našu cestovnú mapu a optimalizovali inžinierske zdroje, ktoré máme, aby bola Firezone lepšia pre všetkých.
Cieľom telemetrie, ktorú zhromažďujeme, je odpovedať na nasledujúce otázky:
Vo Firezone sú tri hlavné miesta, kde sa telemetria zhromažďuje:
V každom z týchto troch kontextov zachytávame minimálne množstvo údajov potrebných na zodpovedanie otázok v časti vyššie.
Správcovské e-maily sa zhromažďujú iba vtedy, ak sa výslovne prihlásite na odber aktualizácií produktov. V opačnom prípade ide o osobné údaje nikdy zhromaždené.
Firezone ukladá telemetriu do samostatne hosťovanej inštancie PostHog spustenej v súkromnom klastri Kubernetes, ku ktorému má prístup iba tím Firezone. Tu je príklad udalosti telemetrie, ktorá je odoslaná z vašej inštancie Firezone na náš telemetrický server:
{
„Id“: “0182272d-0b88-0000-d419-7b9a413713f1”,
"časová značka": “2022-07-22T18:30:39.748000+00:00”,
"udalosť": „fz_http_started“,
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"vlastnosti"{
„$geoip_city_name“: "Ashburn",
„$geoip_continent_code“: "NA",
„$geoip_continent_name“: "Severná Amerika",
„$geoip_country_code“: "USA",
„$geoip_country_name“: "Spojené štáty",
„$geoip_latitude“: 39.0469,
„$geoip_longitude“: -77.4903,
„$geoip_postal_code“: "20149",
„$geoip_subdivision_1_code“: "VA",
„$geoip_subdivision_1_name“: „Virginia“,
„$geoip_time_zone“: “Amerika/New_York”,
„$ip“: "52.200.241.107",
“$plugins_deferred”[]
“$plugins_failed”[]
“$plugins_succeeded”: [
"GeoIP (3)"
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"verzia_jadra": "linux 5.13.0",
"verzia": "0.4.6"
},
"elements_chain": ""
}
Poznámka
Vývojový tím Firezone následne zostavené na analýzu produktov, aby bola Firezone lepšia pre všetkých. Ponechanie zapnutej telemetrie je tým najcennejším príspevkom, ktorým môžete prispieť k rozvoju Firezone. Chápeme však, že niektorí používatelia majú vyššie požiadavky na súkromie alebo zabezpečenie a radšej by telemetriu úplne zakázali. Ak si to ty, čítaj ďalej.
Telemetria je predvolene povolená. Ak chcete úplne zakázať telemetriu produktu, nastavte nasledujúcu možnosť konfigurácie na hodnotu false v súbore /etc/firezone/firezone.rb a spustite sudo firezone-ctl reconfigure, aby ste prevzali zmeny.
predvolené['firezone']['telemetria']['povolené'🇧🇷 nepravdivý
Tým sa úplne vypne všetka telemetria produktu.
Hailbajty
9511 Queens Guard Ct.
Laurel, MD 20723
Telefón: (732) 771-9995
E-mail: info@hailbytes.com
Dostávajte najnovšie správy o kybernetickej bezpečnosti priamo do vašej schránky.
