menuo
Paŝo post paŝo instrukcioj por deploji Hailbytes VPN kun Firezone GUI estas provizitaj ĉi tie.
Administri: Agordi la servilan petskribon rekte rilatas al ĉi tiu parto.
Uzantgvidiloj: Helpaj dokumentoj kiuj povas instrui vin kiel uzi Firezone kaj solvi tipajn problemojn. Post kiam la servilo estis sukcese deplojita, raportu al ĉi tiu sekcio.
Split Tunneling: Uzu la VPN por nur sendi trafikon al specifaj IP-intervaloj.
Blanka listo: Agordu la statikan IP-adreson de VPN-servilo por uzi blankan liston.
Inversaj tuneloj: Kreu tunelojn inter pluraj kunuloj uzante inversajn tunelojn.
Ni ĝojas helpi vin se vi bezonas helpon instali, agordi aŭ uzi Hailbytes VPN.
Antaŭ ol uzantoj povas produkti aŭ elŝuti aparatajn agordajn dosierojn, Firezone povas esti agordita por postuli aŭtentikigon. Uzantoj ankaŭ eble bezonos periode reaŭtentikigi por teni sian VPN-konekton aktiva.
Kvankam la defaŭlta ensalutmetodo de Firezone estas loka retpoŝto kaj pasvorto, ĝi ankaŭ povas esti integrita kun iu ajn normigita OpenID Connect (OIDC) identeca provizanto. Uzantoj nun povas ensaluti en Firezone uzante siajn akreditaĵojn Okta, Google, Azure AD aŭ privatan identecan provizanto.
Integri Ĝeneralan OIDC-Provizanton
La agordaj parametroj bezonataj de Firezone por permesi SSO uzante OIDC-provizanton estas montritaj en la ekzemplo malsupre. Ĉe /etc/firezone/firezone.rb, vi eble trovos la agordan dosieron. Rulu firezone-ctl reconfigure kaj firezone-ctl rekomencu por ĝisdatigi la aplikaĵon kaj efiki ŝanĝojn.
# Ĉi tio estas ekzemplo uzante Google kaj Okta kiel SSO-identecprovizanto.
# Multoblaj OIDC-agordoj povas esti aldonitaj al la sama Firezone-instanco.
# Firezone povas malŝalti VPN de uzanto se estas detektita eraro provante
# por refreŝigi sian access_token. Ĉi tio estas kontrolita por funkcii por Google, Okta kaj
# Azure SSO kaj estas uzata por aŭtomate malkonekti la VPN de uzanto se ili estas forigitaj
# de la OIDC-provizanto. Lasu ĉi tion malŝaltita se via OIDC-provizanto
# havas problemojn por refreŝigi alirĵetonojn ĉar ĝi povus neatendite interrompi a
# VPN-sesio de uzanto.
defaŭlta [ ' firezone ' ][ ' aŭtentigo ' ][ ' disable_vpn_on_oidc_error ' ] = malvera
defaŭlta [ ' firezone ' ][ ' aŭtentigo ' ][ ' oidc ' ] = {
guglo: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "kodo",
amplekso: "openid retpoŝta profilo",
etikedo: "Google"
},
okta: {
discovery_document_uri: "https:// /.konata/openid-konfiguracio”,
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "kodo",
amplekso: "openid retpoŝta profilo offline_access",
etikedo: "Okta"
}
}
La sekvaj agordoj estas postulataj por la integriĝo:
Por ĉiu OIDC-provizanto responda bela URL estas kreita por alidirektado al la ensaluta URL de la agordita provizanto. Por la ekzemplo OIDC-agordo supre, la URL-oj estas:
Provizantoj ni havas dokumentadon por:
Se via identecprovizanto havas senmarkan OIDC-konektilon kaj ne estas listigita supre, bonvolu iri al ilia dokumentaro por informoj pri kiel preni la necesajn agordojn.
La agordo sub agordoj/sekureco povas esti ŝanĝita por postuli periodan re-aŭtentikigon. Ĉi tio povas esti uzata por plenumi la postulon, ke uzantoj regule eniru Firezone por daŭrigi sian VPN-sesion.
La sesiolongo povas esti agordita por esti inter unu horo kaj naŭdek tagoj. Agordante ĉi tion al Neniam, vi povas ebligi VPN-sesiojn iam ajn. Ĉi tio estas la normo.
Uzanto devas ĉesigi sian VPN-sesion kaj ensaluti al la Firezone-portalo por reaŭtentikigi eksvalidiĝintan VPN-sesion (URL specifita dum deplojo).
Vi povas reaŭtentikigi vian seancon sekvante la precizajn klientajn instrukciojn trovitajn ĉi tie.
Statuso de VPN-Konekto
La tabelkolumno de VPN Connection de la paĝo Uzantoj montras la konektan staton de uzanto. Ĉi tiuj estas la konektstatoj:
ENABLED - La konekto estas ebligita.
MALEBLITA - La konekto estas malŝaltita de administranto aŭ fiasko de refreŝiga OIDC.
EXPIRITA - La konekto estas malŝaltita pro aŭtentikiga eksvalidiĝo aŭ uzanto ne ensalutis por la unua fojo.
Per la ĝenerala OIDC-konektilo, Firezone ebligas Single Sign-On (SSO) kun Google Workspace kaj Cloud Identity. Ĉi tiu gvidilo montros al vi kiel akiri la agordajn parametrojn listigitajn sube, kiuj estas necesaj por la integriĝo:
1. OAuth Agorda Ekrano
Se ĉi tio estas la unua fojo, kiam vi kreas novan OAuth-klientidentigilon, oni petos vin agordi konsentekranon.
* Elektu Internan por uzanttipo. Ĉi tio certigas, ke nur kontoj apartenantaj al uzantoj en via Google Workspace Organization povas krei aparatojn. NE elektu Eksteran krom se vi volas ebligi iun ajn kun valida Guglo-Konto krei aparato-agordojn.
Sur la ekrano pri informado de la aplikaĵo:
2. Kreu OAuth Klientajn ID-ojn
Ĉi tiu sekcio baziĝas sur la propra dokumentado de Guglo pri agordi OAuth 2.0.
Vizitu la Google Cloud Console Paĝo de akreditaĵoj paĝo, alklaku + Krei akreditaĵojn kaj elektu OAuth-klientidentigilon.
Sur la ekrano de kreado de kliento ID de OAuth:
Post kreado de la OAuth-kliento-identigilo, vi ricevos Klientan ID kaj Kliento-Sekreton. Ĉi tiuj estos uzataj kune kun la alidirektilo URI en la sekva paŝo.
redakti /etc/firezone/firezone.rb inkluzivi la eblojn sube:
# Uzante Google kiel la provizanto de SSO-identeco
defaŭlta [ ' firezone ' ][ ' aŭtentigo ' ][ ' oidc ' ] = {
guglo: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "kodo",
amplekso: "openid retpoŝta profilo",
etikedo: "Google"
}
}
Rulu firezone-ctl reconfigure kaj firezone-ctl rekomencu por ĝisdatigi la aplikaĵon. Vi nun devus vidi butonon Ensalutu kun Google ĉe la radika URL de Firezone.
Firezone uzas la senmarkan OIDC-konektilon por faciligi Single Sign-On (SSO) kun Okta. Ĉi tiu lernilo montros al vi kiel akiri la agordajn parametrojn listigitajn sube, kiuj estas necesaj por la integriĝo:
Ĉi tiu sekcio de la gvidilo baziĝas sur La dokumentado de Okta.
En la Administra Konzolo, iru al Aplikoj > Aplikoj kaj alklaku Krei App-Integriĝon. Agordu Ensalutmetodon al OICD - OpenID Connect kaj Apliktipon al TTT-aplikaĵo.
Agordu ĉi tiujn agordojn:
Post kiam agordoj estas konservitaj, vi ricevos Klientan ID, Klienta Sekreto kaj Okta Domajno. Ĉi tiuj 3 valoroj estos uzataj en Paŝo 2 por agordi Firezone.
redakti /etc/firezone/firezone.rb por inkluzivi la eblojn sube. Viaj malkovro_dokumenta_url estos /.konata/openid-agordo almetita al la fino de via okta_domaino.
# Uzante Okta kiel la provizanto de SSO-identeco
defaŭlta [ ' firezone ' ][ ' aŭtentigo ' ][ ' oidc ' ] = {
okta: {
discovery_document_uri: "https:// /.konata/openid-konfiguracio”,
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "kodo",
amplekso: "openid retpoŝta profilo offline_access",
etikedo: "Okta"
}
}
Rulu firezone-ctl reconfigure kaj firezone-ctl rekomencu por ĝisdatigi la aplikaĵon. Vi nun devus vidi butonon Ensalutu per Okta ĉe la radika URL de Firezone.
La uzantoj, kiuj povas aliri la Firezone-aplon, povas esti limigitaj de Okta. Iru al la paĝo de Taskoj de Firezone App Integration de via Admin Console de Okta por plenumi ĉi tion.
Per la senmarka OIDC-konektilo, Firezone ebligas Single Sign-On (SSO) kun Azure Active Directory. Ĉi tiu manlibro montros al vi kiel akiri la agordajn parametrojn listigitajn sube, kiuj estas necesaj por la integriĝo:
Ĉi tiu gvidilo estas desegnita el la Azure Active Directory Docs.
Iru al la paĝo Azure Active Directory de la Azure portalo. Elektu la opcion Administri menuon, elektu Novan Registradon, poste registriĝu provizante la informojn sube:
Post registriĝo, malfermu la detalojn de la aplikaĵo kaj kopiu la Apliko (kliento) ID. Ĉi tio estos la valoro client_id. Poste, malfermu la finpunktojn-menuon por reakiri la Dokumento pri metadatenoj de OpenID Connect. Ĉi tio estos la valoro discovery_document_uri.
Kreu novan klientan sekreton alklakante la opcion Atestiloj kaj sekretoj sub la Administri menuo. Kopiu la sekreton de la kliento; la sekreta valoro de la kliento estos ĉi tio.
Finfine, elektu la ligilon de API-permesoj sub la Administri menuo, alklaku Aldonu permeson, kaj elektu Mikrosofta Grafiko, Aldoni retpoŝto, malfermita, eksterreta_aliro kaj profilo al la bezonataj permesoj.
redakti /etc/firezone/firezone.rb inkluzivi la eblojn sube:
# Uzante Azure Active Directory kiel la provizanto de SSO-identeco
defaŭlta [ ' firezone ' ][ ' aŭtentigo ' ][ ' oidc ' ] = {
lazuro: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
response_type: "kodo",
amplekso: "openid retpoŝta profilo offline_access",
etikedo: "Lazura"
}
}
Rulu firezone-ctl reconfigure kaj firezone-ctl rekomencu por ĝisdatigi la aplikaĵon. Vi nun devus vidi butonon Ensalutu kun Azure ĉe la radika URL de Firezone.
Azure AD ebligas al administrantoj limigi aliron al aplikaĵo al specifa grupo de uzantoj en via kompanio. Pliaj informoj pri kiel fari tion troveblas en la dokumentado de Microsoft.
Chef Omnibus estas uzata de Firezone por administri taskojn inkluzive de liberigo-pakaĵo, procezkontrolado, ŝtipadministrado kaj pli.
Ruby-kodo konsistigas la ĉefan agordan dosieron, kiu troviĝas ĉe /etc/firezone/firezone.rb. Rekomenci sudo firezone-ctl reconfigure post fari modifojn al ĉi tiu dosiero igas Chef rekoni la ŝanĝojn kaj apliki ilin al la nuna operaciumo.
Vidu la agordan referencon por kompleta listo de agordaj variabloj kaj iliaj priskriboj.
Via Firezone-instanco povas esti administrita per la fajrozono-ctl komando, kiel montrite sube. Plej multaj subkomandoj postulas prefikson per sudo.
root@demo:~# firezone-ctl
omnibus-ctl: komando (subkomando)
Ĝeneralaj komandoj:
purigu
Forigu *ĉiujn* fajrozonajn datumojn, kaj komencu de nulo.
krei-aŭ-restarigi-admin
Restarigas la pasvorton por la administranto kun retpoŝto specifita defaŭlte['firezone']['admin_email'] aŭ kreas novan administranton se tiu retpoŝto ne ekzistas.
helpi
Presu ĉi tiun helpmesaĝon.
reagordi
Reagordu la aplikaĵon.
restarigi-reton
Restarigas nftables, WireGuard-interfacon kaj vojtabelon reen al Firezone-defaŭltoj.
show-config
Montru la agordon kiu estus generita per reagordo.
teardown-reto
Forigas WireGuard-interfacon kaj firezone nftables-tablon.
forto-cert-renovigo
Devigu la renovigon de atestilo nun eĉ se ĝi ne eksvalidiĝis.
stop-cert-renovigo
Forigas cronjob kiu renovigas atestilojn.
efikado
Mortigu ĉiujn procezojn kaj malinstalu la procezkontroliston (datumoj estos konservitaj).
versio
Montru nunan version de Firezone
Komandoj pri Servaj Administradoj:
gracia-mortigi
Provu gracian halton, tiam SIGKILL la tutan procezgrupon.
hup
Sendu la servojn HUP.
int
Sendu la servojn INT.
mortigu
Sendu la servojn KILL.
unufoje
Komencu la servojn se ili malfunkcias. Ne rekomencu ilin se ili ĉesas.
rekomenci
Ĉesu la servojn se ili funkcias, poste rekomencu ilin.
servo-listo
Listigu ĉiujn servojn (ebligitaj servoj aperas kun *.)
komenco
Komencu servojn se ili malfunkcias, kaj rekomencu ilin se ili ĉesas.
statuso
Montru la staton de ĉiuj servoj.
halti
Ĉesu la servojn, kaj ne rekomencu ilin.
vosto
Rigardu la servajn protokolojn de ĉiuj ebligitaj servoj.
terminon
Sendu la servojn TERMON.
usr1
Sendu la servojn USR1.
usr2
Sendu la servojn USR2.
Ĉiuj VPN-sesioj devas esti ĉesigitaj antaŭ ĝisdatigi Firezone, kiu ankaŭ postulas fermi la Retan UI. En la okazo, ke io misfunkcias dum la ĝisdatigo, ni konsilas rezervi horon por prizorgado.
Por plibonigi Firezone, faru la jenajn agojn:
Se aperas iuj problemoj, bonvolu sciigi nin antaŭ sendante subtenan bileton.
Estas kelkaj rompiĝaj ŝanĝoj kaj agordaj modifoj en 0.5.0, kiuj devas esti traktitaj. Eksciu pli sube.
Nginx ne plu subtenas la fortajn SSL kaj ne-SSL-havenajn parametrojn ekde versio 0.5.0. Ĉar Firezone bezonas SSL por funkcii, ni konsilas forigi la pakaĵon Nginx-servo per agordo defaŭlta['firezone']['nginx']['enabled'] = malvera kaj direktante vian inversan prokurilon al la Phoenix-aplikaĵo en la haveno 13000 anstataŭe (defaŭlte ).
0.5.0 enkondukas ACME-protokolo-subtenon por aŭtomate renovigi SSL-atestilojn kun la kunigita servo Nginx. Ebligi,
La ebleco aldoni regulojn kun duobligitaj cellokoj malaperis en Firezone 0.5.0. Nia migra skripto aŭtomate rekonos ĉi tiujn situaciojn dum ĝisdatigo al 0.5.0 kaj konservos nur la regulojn, kies celo inkluzivas la alian regulon. Estas nenio, kion vi devas fari se ĉi tio estas en ordo.
Alie, antaŭ ĝisdatigi, ni konsilas ŝanĝi vian regularon por forigi ĉi tiujn situaciojn.
Firezone 0.5.0 forigas subtenon por la malnovstila Okta kaj Google SSO-agordo favore al la nova, pli fleksebla OIDC-bazita agordo.
Se vi havas iun ajn agordon sub la defaŭltaj ['firezone']['authentication']['okta'] aŭ defaŭlta['firezone']['authentication']['google'] ŝlosiloj, vi devas migri ĉi tiujn al nia OIDC -bazita agordo uzante la gvidilon sube.
Ekzistanta agordo de Google OAuth
Forigu ĉi tiujn liniojn enhavantajn la malnovajn agordojn de Google OAuth de via agorda dosiero situanta ĉe /etc/firezone/firezone.rb
defaŭlta['fajrozono']['aŭtentigo']['google']['ebligita']
defaŭlta [ ' firezone ' ][ ' aŭtentigo ' ][ ' google ' ][ ' client_id ']
defaŭlta [ ' firezone ' ][ ' aŭtentikigo ' ][ ' google ' ][ ' client_secret ']
defaŭlta [ ' firezone ' ][ ' aŭtentigo ' ][ ' google ' ][ ' redirect_uri ' ]
Poste, agordu Google kiel OIDC-provizanto sekvante la procedurojn ĉi tie.
(Provigi instrukciojn pri ligilo)<<<<<<<<<<<<<<<<
Agordi Ekzistantan Google OAuth
Forigu ĉi tiujn liniojn enhavantajn la malnovajn agordojn de Okta OAuth de via agorda dosiero situanta ĉe /etc/firezone/firezone.rb
defaŭlta['fajrozono']['aŭtentigo']['okta']['ebligita']
defaŭlta['fajrozono']['aŭtentigo']['okta']['client_id']
defaŭlta [ ' firezone ' ][ ' aŭtentikigo ' ][ ' okta ' ][ ' kliento_ sekreto ' ]
Defaŭlta ['firezone']['aŭtentigo']['okta']['retejo']
Poste, agordu Okta kiel OIDC-provizanto sekvante la procedurojn ĉi tie.
Depende de via nuna agordo kaj versio, aliĝu al la subaj instrukcioj:
Se vi jam havas OIDC-integriĝon:
Por iuj OIDC-provizantoj, ĝisdatigo al >= 0.3.16 necesigas akiri refreŝigan ĵetonon por la eksterreta alirkampo. Farante tion, oni certigas, ke Firezone ĝisdatigas kun la identecprovizanto kaj ke VPN-konekto estas malŝaltita post kiam uzanto estas forigita. Al la pli fruaj ripetoj de Firezone mankis ĉi tiu funkcio. En iuj kazoj, uzantoj, kiuj estas forigitaj de via identeca provizanto, ankoraŭ povas esti konektitaj al VPN.
Necesas inkluzivi senkonektan aliron en la parametron de amplekso de via OIDC-agordo por OIDC-provizantoj, kiuj subtenas la senkonektan aliron. Firezone-ctl reagordi devas esti efektivigita por apliki ŝanĝojn al la agorda dosiero de Firezone, kiu troviĝas ĉe /etc/firezone/firezone.rb.
Por uzantoj, kiuj estis aŭtentikigitaj de via OIDC-provizanto, vi vidos la rubrikon OIDC-Konektoj en la uzantdetalaj paĝo de la retejo UI se Firezone kapablas sukcese retrovi la refreŝigan signon.
Se ĉi tio ne funkcias, vi devos forigi vian ekzistantan OAuth-apon kaj ripeti la agordajn paŝojn de OIDC por krei novan aplikan integriĝon .
Mi havas ekzistantan OAuth-integriĝon
Antaŭ 0.3.11, Firezone uzis antaŭ-konfiguritajn OAuth2-provizantojn.
Sekvu la instrukciojn tie por migri al OIDC.
Mi ne integris identecan provizanton
Neniu ago necesa.
Vi povas sekvi la instrukciojn tie por ebligi SSO per OIDC-provizanto.
En ĝia loko, default['firezone']['external url'] anstataŭigis la agordan opcion default['firezone']['fqdn'].
Agordu ĉi tion al la URL de via interreta portalo Firezone, kiu estas alirebla por la ĝenerala publiko. Ĝi defaŭlte al https:// plus la FQDN de via servilo se lasita nedifinita.
La agorda dosiero troviĝas ĉe /etc/firezone/firezone.rb. Vidu la agordan referencon por kompleta listo de agordaj variabloj kaj iliaj priskriboj.
Firezone ne plu konservas aparatojn privatajn ŝlosilojn sur la Firezone-servilo ekde versio 0.3.0.
La Firezone Web UI ne permesos al vi re-elŝuti aŭ vidi ĉi tiujn agordojn, sed ĉiuj ekzistantaj aparatoj devus daŭre funkcii kiel estas.
Se vi ĝisdatigas de Firezone 0.1.x, estas kelkaj agordaj dosierŝanĝoj, kiuj devas esti traktitaj permane.
Por fari la necesajn modifojn al via /etc/firezone/firezone.rb dosiero, rulu la subajn komandojn kiel radikon.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['ebligi'\]/\['ebligita'\]/” /etc/firezone/firezone.rb
echo "default ['firezone']['connectivity_checks']['enabled'] = vera" >> /etc/firezone/firezone.rb
echo "default ['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
firezone-ctl reagordi
firezone-ctl rekomenci
Kontroli la protokolojn de Firezone estas saĝa unua paŝo por iuj problemoj, kiuj povas okazi.
Rulu sudo firezone-ctl tail por vidi la protokolojn de Firezone.
La plimulto de konekteblecaj problemoj kun Firezone estas kaŭzitaj de nekongruaj reguloj de iptables aŭ nftables. Vi devas certigi, ke iuj reguloj, kiujn vi havas, ne konfliktas kun la reguloj de Firezone.
Certigu, ke la FORWARD-ĉeno permesas pakaĵojn de viaj WireGuard-klientoj al la lokoj, kiujn vi volas tralasi Firezone, se via interreta konektebleco malboniĝas ĉiufoje kiam vi aktivigas vian WireGuard-tunelon.
Ĉi tio povas esti atingita se vi uzas ufw certigante ke la defaŭlta envojiga politiko estas permesita:
ubuntu@fz:~$ sudo ufw default allow routed
Defaŭlta direktita politiko ŝanĝita al "permesi"
(Nepre ĝisdatigu viajn regulojn laŭe)
A Ŭaŭ stato por tipa Firezone-servilo povus aspekti jene:
ubuntu@fz:~$ sudo ufw status verbose
Stato: aktiva
Registrado: aktiva (malalta)
Defaŭlte: nei (envenanta), permesi (elirante), permesi (direktite)
Novaj profiloj: salti
Al Ago De
— —— —-
22/tcp PERMESI EN Ie ajn
80/tcp PERMESI EN Ie ajn
443/tcp PERMESI EN Ie ajn
51820/udp PERMESI EN Ie ajn
22/tcp (v6) PERMESI EN Ie ajn (v6)
80/tcp (v6) PERMESI EN Ie ajn (v6)
443/tcp (v6) PERMESI EN Ie ajn (v6)
51820/udp (v6) PERMESI EN Ie ajn (v6)
Ni konsilas limigi la aliron al la retinterfaco por ekstreme sentemaj kaj misi-kritikaj produktaddeplojoj, kiel klarigite sube.
servo | Defaŭlta Haveno | Aŭskultu Adreso | Priskribo |
Nginx | 80, 443 | ĉiuj | Publika HTTP(S) haveno por administri Firezone kaj faciligi aŭtentikigon. |
Dratgardisto | 51820 | ĉiuj | Publika WireGuard-haveno uzata por VPN-sesioj. (UDP) |
postgresql | 15432 | 127.0.0.1 | Loka nura haveno uzata por kunmetita Postgresql-servilo. |
fenikso | 13000 | 127.0.0.1 | Loka nura haveno uzata de kontraŭflua eliksira aplikaĵoservilo. |
Ni konsilas al vi pensi pri limigi aliron al la publike elmontrita retinterfaco de Firezone (defaŭlte pordoj 443/tcp kaj 80/tcp) kaj anstataŭe uzi la tunelon WireGuard por administri Firezone por produktado kaj publikaj deplojoj kie sola administranto estos respondeca. de kreado kaj distribuado de aparataj agordoj al finaj uzantoj.
Ekzemple, se administranto kreis aparatan agordon kaj kreis tunelon kun la loka WireGuard-adreso 10.3.2.2, la sekva ufw-agordo ebligus la administranton aliri la Firezone-retan UI sur la wg-firezone-interfaco de la servilo uzante la defaŭltan 10.3.2.1. tunela adreso:
root@demo:~# ufw-stato multvorta
Stato: aktiva
Registrado: aktiva (malalta)
Defaŭlte: nei (envenanta), permesi (elirante), permesi (direktite)
Novaj profiloj: salti
Al Ago De
— —— —-
22/tcp PERMESI EN Ie ajn
51820/udp PERMESI EN Ie ajn
Ie ajn PERMESI EN 10.3.2.2
22/tcp (v6) PERMESI EN Ie ajn (v6)
51820/udp (v6) PERMESI EN Ie ajn (v6)
Ĉi tio forirus nur 22/tcp elmontrita por SSH-aliro por administri la servilon (laŭvola), kaj 51820/udp elmontrita por establi WireGuard tunelojn.
Firezone kunigas Postgresql-servilon kaj kongruon psql ilo kiu povas esti uzata de la loka ŝelo tiel:
/opt/firezone/embedded/bin/psql \
-U fajrozono \
-d fajrozono \
-h lokagastiganto \
-p 15432 \
-c "SQL_STATEMENT"
Ĉi tio povas esti helpema por sencimigaj celoj.
Oftaj Taskoj:
Listo de ĉiuj uzantoj:
/opt/firezone/embedded/bin/psql \
-U fajrozono \
-d fajrozono \
-h lokagastiganto \
-p 15432 \
-c "SELECT * EL uzantoj;"
Listo de ĉiuj aparatoj:
/opt/firezone/embedded/bin/psql \
-U fajrozono \
-d fajrozono \
-h lokagastiganto \
-p 15432 \
-c "SELECT * EL aparatoj;"
Ŝanĝi uzantan rolon:
Agordu la rolon al 'administranto' aŭ 'senprivilegia':
/opt/firezone/embedded/bin/psql \
-U fajrozono \
-d fajrozono \
-h lokagastiganto \
-p 15432 \
-c “ĜISDATIGI uzantojn AJRU rolo = 'administranto' WHERE retpoŝto = 'uzanto@ekzemplo.com';”
Sekurkopio de la datumbazo:
Krome, estas inkluzivita la pg-dump-programo, kiu povas esti uzata por fari regulajn sekurkopiojn de la datumbazo. Efektivigu la sekvan kodon por forĵeti kopion de la datumbazo en la komuna SQL-demanda formato (anstataŭigi /path/to/backup.sql per la loko kie la SQL-dosiero devus esti kreita):
/opt/firezone/embedded/bin/pg_dump \
-U fajrozono \
-d fajrozono \
-h lokagastiganto \
-p 15432 > /path/to/backup.sql
Post kiam Firezone estis sukcese deplojita, vi devas aldoni uzantojn por havigi al ili aliron al via reto. La Reta UI estas uzata por fari ĉi tion.
Elektante la butonon "Aldoni Uzanton" sub /uzantoj, vi povas aldoni uzanton. Vi devos provizi al la uzanto retpoŝtadreson kaj pasvorton. Por permesi aŭtomate aliron al uzantoj en via organizo, Firezone ankaŭ povas interfacigi kaj sinkronigi kun identeca provizanto. Pliaj detaloj haveblas en Aŭtentikigu. < Aldonu ligilon al Authenticate
Ni konsilas peti, ke uzantoj kreu siajn proprajn aparatajn agordojn por ke la privata ŝlosilo estu videbla nur por ili. Uzantoj povas generi siajn proprajn aparatajn agordojn sekvante la indikojn sur la Instrukcioj pri Kliento paĝo.
Ĉiuj uzant-aparataj agordoj povas esti kreitaj de administrantoj de Firezone. Sur la uzantprofilpaĝo situanta ĉe /uzantoj, elektu la opcion "Aldoni Aparato" por plenumi ĉi tion.
[Enmeti ekrankopion]
Vi povas retpoŝti al la uzanto la agordan dosieron WireGuard post kreado de la aparato-profilo.
Uzantoj kaj aparatoj estas ligitaj. Por pliaj detaloj pri kiel aldoni uzanton, vidu Aldoni Uzantojn.
Per la uzo de la netfiltrila sistemo de la kerno, Firezone ebligas elirfiltrajn kapablojn specifi DROP aŭ ACCEPT-pakaĵojn. Ĉiu trafiko estas normale permesita.
IPv4 kaj IPv6 CIDRs kaj IP-adresoj estas subtenataj per la Permesita Listo kaj Denylist, respektive. Vi povas elekti ampleksi regulon al uzanto kiam vi aldonas ĝin, kiu aplikas la regulon al ĉiuj aparatoj de tiu uzanto.
Instalu kaj agordi
Por establi VPN-konekton uzante la denaskan WireGuard-klienton, raportu ĉi tiun gvidilon.
La Oficialaj klientoj de WireGuard situantaj ĉi tie estas kongruaj kun Firezone:
Vizitu la oficialan retejon de WireGuard ĉe https://www.wireguard.com/install/ por OS-sistemoj ne menciitaj supre.
Aŭ via administranto de Firezone aŭ vi mem povas generi la agordan dosieron per la portalo Firezone.
Vizitu la URL kiun via Firezone-administranto provizis por mem-generi aparatan agordan dosieron. Via firmao havos unikan URL por ĉi tio; en ĉi tiu kazo, ĝi estas https://instance-id.yourfirezone.com.
Ensalutu al Firezone Okta SSO
[Enmeti Ekrankopion]
Importu la dosieron.conf en la klienton WireGuard malfermante ĝin. Premante la Aktivigi ŝaltilon, vi povas komenci VPN-sesion.
[Enmeti Ekrankopion]
Sekvu la subajn instrukciojn se via retadministranto postulis ripetiĝantan aŭtentigon por konservi vian VPN-konekton aktiva.
Vi bezonas:
URL de Firezone portalo: Petu vian retan administranton pri la konekto.
Via retadministranto devus povi proponi vian ensaluton kaj pasvorton. La Firezone-ejo petos vin ensaluti per la ununura ensaluta servo, kiun via dunganto uzas (kiel ekzemple Google aŭ Okta).
[Enmeti Ekrankopion]
Iru al la URL de la portalo Firezone kaj ensalutu uzante la akreditaĵojn provizitajn de via retadministranto. Se vi jam ensalutis, alklaku la butonon Reaŭtentikigi antaŭ ol reensaluti.
[Enmeti Ekrankopion]
[Enmeti Ekrankopion]
Por importi la agordan profilon de WireGuard uzante Network Manager CLI sur Linuksaj aparatoj, sekvu ĉi tiujn instrukciojn (nmcli).
Se la profilo havas IPv6-subtenon ebligita, provi importi la agordan dosieron per la Interfaco de la Reto Administranto povas malsukcesi kun la sekva eraro:
ipv6.method: metodo "aŭtomata" ne estas subtenata por WireGuard
Necesas instali la uzantspacajn utilecojn WireGuard. Ĉi tio estos pako nomata wireguard aŭ wireguard-tools por Linukso-distribuoj.
Por Ubuntu/Debian:
sudo apt install wireguard
Por uzi Fedora:
sudo dnf instali wireguard-tools
Arch Linukso:
sudo pacman -S wireguard-tools
Vizitu la oficialan retejon de WireGuard ĉe https://www.wireguard.com/install/ por distribuoj kiuj ne estas menciitaj supre.
Aŭ via Firezone-administranto aŭ mem-generacio povas generi la aparatan agordan dosieron uzante la Firezone-portalon.
Vizitu la URL kiun via Firezone-administranto provizis por mem-generi aparatan agordan dosieron. Via firmao havos unikan URL por ĉi tio; en ĉi tiu kazo, ĝi estas https://instance-id.yourfirezone.com.
[Enmeti Ekrankopion]
Importu la provizitan agordan dosieron per nmcli:
sudo nmcli konekto import-tipo wireguard-dosiero /path/to/configuration.conf
La nomo de la agorda dosiero respondas al la konekto/interfaco WireGuard. Post importo, la konekto povas esti renomita se necese:
nmcli-konekto modifi [malnovan nomon] connection.id [novan nomon]
Per la komandlinio, konektu al la VPN jene:
nmcli-konekto supre [vpn-nomo]
Por malkonekti:
nmcli-konekto malsupren [vpn-nomo]
La aplikebla Reta Administranto ankaŭ povas esti uzata por administri la konekton se vi uzas GUI.
Elektante "jes" por la opcio de aŭtomata konekto, la VPN-konekto povas esti agordita por konekti aŭtomate:
nmcli-konekto modifi [vpn-nomon]-konekton. <<<<<<<<<<<<<<<<<<<<<<<
aŭtomata konekto jes
Por malŝalti la aŭtomatan konekton, reigu ĝin ne:
nmcli-konekto modifi [vpn-nomon]-konekton.
aŭtokonekto ne
Por aktivigi MFA Iru al la /uzantkonto/registru mfa paĝon de la Firezone-portalo. Uzu vian aŭtentikigilon por skani la QR-kodon post kiam ĝi estis kreita, tiam enigu la sesciferan kodon.
Kontaktu vian administranton por restarigi la alirinformojn de via konto se vi mislokas vian aŭtentikigilon.
Ĉi tiu lernilo gvidos vin tra la procezo de agordo de la dividita tunela funkcio de WireGuard kun Firezone, por ke nur trafiko al specifaj IP-intervaloj estu plusendita per la VPN-servilo.
La IP-intervaloj, por kiuj la kliento vojos retan trafikon, estas prezentitaj en la kampo Permesitaj IP-oj situanta sur la /agordoj/defaŭlta paĝo. Nur la lastatempe kreitaj WireGuard tunelaj agordoj produktitaj de Firezone estos tuŝitaj de ŝanĝoj al ĉi tiu kampo.
[Enmeti Ekrankopion]
La defaŭlta valoro estas 0.0.0.0/0, ::/0, kiu direktas la tutan retan trafikon de la kliento al la VPN-servilo.
Ekzemploj de valoroj en ĉi tiu kampo inkluzivas:
0.0.0.0/0, ::/0 - la tuta rettrafiko estos direktita al la VPN-servilo.
192.0.2.3/32 - nur trafiko al ununura IP-adreso estos direktita al la VPN-servilo.
3.5.140.0/22 - nur trafiko al IP-oj en la intervalo 3.5.140.1 - 3.5.143.254 estos direktita al la VPN-servilo. En ĉi tiu ekzemplo, la CIDR-gamo por la ap-northeast-2 AWS-regiono estis uzita.
Firezone elektas la elirinterfacon asociitan kun la plej preciza itinero unue kiam oni determinas kien direkti pakaĵon.
Uzantoj devas regeneri la agordajn dosierojn kaj aldoni ilin al sia indiĝena WireGuard-kliento por ĝisdatigi ekzistantajn uzant-aparatojn kun la nova dividita tunela agordo.
Por instrukcioj, vidu aldonu aparaton. <<<<<<<<<<< Aldonu ligilon
Ĉi tiu manlibro montros kiel ligi du aparatojn uzante Firezone kiel relajso. Unu tipa uzkazo estas ebligi al administranto aliri servilon, ujon aŭ maŝinon, kiu estas protektita de NAT aŭ fajroŝirmilo.
Ĉi tiu ilustraĵo montras simplan scenaron en kiu Aparatoj A kaj B konstruas tunelon.
[Enigu arkitekturan bildon de fajrozono]
Komencu kreante Aparato A kaj Aparato B navigante al /users/[user_id]/new_device. En la agordoj por ĉiu aparato, certigu, ke la sekvaj parametroj estas fiksitaj al la valoroj listigitaj sube. Vi povas agordi aparatojn dum kreado de la aparato-agordo (vidu Aldoni aparatojn). Se vi bezonas ĝisdatigi agordojn sur ekzistanta aparato, vi povas fari tion per generado de nova aparato-agordo.
Notu, ke ĉiuj aparatoj havas /settings/defaults paĝon kie PersistentKeepalive povas esti agordita.
Permesitaj IP-oj = 10.3.2.2/32
Ĉi tio estas la IP aŭ gamo da IP-oj de Aparato B
PersistentKeepalive = 25
Se la aparato estas malantaŭ NAT, tio certigas, ke la aparato povas konservi la tunelon viva kaj daŭre ricevi pakaĵojn de la interfaco WireGuard. Kutime valoro de 25 sufiĉas, sed vi eble bezonos malpliigi ĉi tiun valoron depende de via medio.
Permesitaj IP-oj = 10.3.2.3/32
Ĉi tio estas la IP aŭ gamo da IP-oj de Aparato A
PersistentKeepalive = 25
Ĉi tiu ekzemplo montras situacion en kiu Aparato A povas komuniki kun Aparatoj B tra D en ambaŭ direktoj. Ĉi tiu aranĝo povas reprezenti inĝenieron aŭ administranton alirantan multajn rimedojn (serviloj, ujoj aŭ maŝinoj) tra diversaj retoj.
[Arkitektura Diagramo]<<<<<<<<<<<<<<<<<<<<<<<<
Certigu, ke la sekvaj agordoj estas faritaj en la agordoj de ĉiu aparato al la respondaj valoroj. Kiam vi kreas la aparatan agordon, vi povas specifi aparatajn agordojn (vidu Aldoni Aparatojn). Nova aparato agordo povas esti kreita se agordoj sur ekzistanta aparato devas esti ĝisdatigitaj.
Permesitaj IP-oj = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Ĉi tio estas la IP de aparatoj B ĝis D. La IP-oj de aparatoj B ĝis D devas esti inkluzivitaj en iu ajn IP-intervalo, kiun vi elektas agordi.
PersistentKeepalive = 25
Ĉi tio garantias, ke la aparato povas konservi la tunelon kaj daŭre ricevi pakaĵojn de la interfaco WireGuard eĉ se ĝi estas protektita de NAT. Plejofte, valoro de 25 taŭgas, tamen depende de via ĉirkaŭaĵo, vi eble bezonos malaltigi ĉi tiun ciferon.
Por oferti ununuran, senmovan eliron IP por la tuta trafiko de via teamo elflui, Firezone povas esti utiligita kiel NAT-enirejo. Ĉi tiuj situacioj implikas ĝian oftan uzon:
Konsultaj Engaĝiĝoj: Petu, ke via kliento enlistigu ununuran statikan IP-adreson anstataŭ la unikan aparaton IP de ĉiu dungito.
Uzante prokurilon aŭ maskante vian fontan IP por sekurecaj aŭ privatecaj celoj.
Simpla ekzemplo de limigado de aliro al mem-gastigita TTT-aplikaĵo al ununura blanklisto senmova IP funkcianta Firezone estos montrita en ĉi tiu afiŝo. En ĉi tiu ilustraĵo, Firezone kaj la protektita rimedo estas en malsamaj VPC-areoj.
Ĉi tiu solvo estas ofte uzata anstataŭ administri IP-blanklisto por multaj finaj uzantoj, kio povas esti tempopostula dum la alirlisto pligrandiĝas.
Nia celo estas starigi Firezone-servilon sur EC2-instanco por redirekti VPN-trafikon al la limigita rimedo. En ĉi tiu kazo, Firezone funkcias kiel reto prokurilo aŭ NAT-enirejo por doni al ĉiu konektita aparato unikan publikan eliron IP.
En ĉi tiu kazo, EC2-instanco nomita tc2.micro havas Firezone-instancon instalitan sur ĝi. Por informoj pri deplojado de Firezone, iru al la Deploja Gvidilo. Rilate al AWS, nepre:
La sekureca grupo de la Firezone EC2-instanco permesas eksteren trafikon al la IP-adreso de la protektita rimedo.
La Firezone-instanco venas kun elasta IP. Trafiko kiu estas plusendita tra la Firezone-instanco al eksteraj cellokoj havos ĉi tion kiel sia fonta IP-adreso. La koncerna IP-adreso estas 52.202.88.54.
[Enmeti Ekrankopion]<<<<<<<<<<<<<<<<<<<<<<<<<
Mem-gastigita TTT-aplikaĵo funkcias kiel la protektita rimedo en ĉi tiu kazo. La retejo alireblas nur per petoj de la IP-adreso 52.202.88.54. Depende de la rimedo, povas esti necese permesi envenantan trafikon sur diversaj havenoj kaj trafikspecoj. Ĉi tio ne estas kovrita en ĉi tiu manlibro.
[Enmeti ekrankopion]<<<<<<<<<<<<<<<<<<<<<<<<<
Bonvolu diri al la tria respondeca pri la protektita rimedo, ke trafiko de la statika IP difinita en Paŝo 1 devas esti permesita (ĉi-kaze 52.202.88.54).
Defaŭlte, ĉiu uzanttrafiko trairos la VPN-servilon kaj venos de la statika IP, kiu estis agordita en Paŝo 1 (en ĉi tiu kazo 52.202.88.54). Tamen, se dividita tunelado estis ebligita, agordoj povus esti necesaj por certigi, ke la celo IP de la protektita rimedo estas listigita inter la Permesitaj IP-oj.
Montrita malsupre estas kompleta listo de la agordaj elektoj disponeblaj en /etc/firezone/firezone.rb.
eblo | Priskribo | apriora valoro |
defaŭlta['fajrozono']['ekstera_url'] | URL uzata por aliri la retportalon de ĉi tiu Firezone-instanco. | “https://#{nodo['fqdn'] || nodo['gastigantonomo']}” |
defaŭlta['fajrozono']['config_dosierujo'] | Supranivela dosierujo por Firezone-agordo. | /etc/firezone' |
defaŭlta['fajrozono']['instala_dosierujo'] | Supranivela dosierujo por instali Firezone. | /opt/fajrozono' |
defaŭlta['fajrozono']['app_dosierujo'] | Ĉefnivela dosierujo por instali la retejon Firezone. | "#{nodo['firezone']['install_directory']}/embedded/service/firezone" |
defaŭlta['fajrozono']['log_dosierujo'] | Pintnivela dosierujo por Firezone protokoloj. | /var/log/firezone' |
defaŭlta['fajrozono']['var_dosierujo'] | Pintnivela dosierujo por rultempaj dosieroj de Firezone. | /var/opt/firezone' |
defaŭlta['fajrozono']['uzanto'] | Nomo de senprivilegia Linukso-uzanto al la plej multaj servoj kaj dosieroj apartenos. | fajrozono' |
defaŭlta['fajrozono']['grupo'] | Nomo de Linukso-grupo al la plej multaj servoj kaj dosieroj apartenos. | fajrozono' |
defaŭlta['fajrozono']['admin_email'] | Retpoŝta adreso por komenca uzanto de Firezone. | "fajrozono@localhost" |
defaŭlta['fajrozono']['max_devices_per_user'] | Maksimuma nombro da aparatoj kiujn uzanto povas havi. | 10 |
defaŭlta['fajrozono']['allow_unprivileged_device_management'] | Permesas ne-administrantajn uzantojn krei kaj forigi aparatojn. | VERA |
defaŭlta['fajrozono']['allow_unprivileged_device_configuration'] | Permesas ne-administrantajn uzantojn modifi aparatojn agordojn. Se malebligita, malhelpas senprivilegiajn uzantojn ŝanĝi ĉiujn aparatkampojn krom nomo kaj priskribo. | VERA |
defaŭlta['fajrozono']['egress_interface'] | Interfaco nomo kie tunelita trafiko eliros. Se nulo, la defaŭlta itinera interfaco estos uzata. | nil |
defaŭlta['fajrozono']['fips_enabled'] | Ebligu aŭ malŝalti OpenSSL-FIP-reĝimon. | nil |
defaŭlta['fajrozono']['protokolo']['ebligita'] | Ebligu aŭ malebligu ensalutadon tra Firezone. Agordu false por tute malŝalti la registradon. | VERA |
defaŭlta['entrepreno']['nomo'] | Nomo uzata de la kuirlibro "entrepreno". | fajrozono' |
defaŭlta['fajrozono']['install_path'] | Instalu vojon uzatan de kuirlibro de "entrepreno". Devus esti agordita al la sama kiel la instal_dosierujo supre. | nodo [ ' firezone ' ][ ' instalo_ dosierujo ' ] |
defaŭlta['fajrozono']['sysvinit_id'] | Identigilo uzata en /etc/inittab. Devas esti unika sinsekvo de 1-4 signoj. | SUP' |
defaŭlta['fajrozono']['aŭtentigo']['loka']['ebligita'] | Ebligu aŭ malŝalti lokan retpoŝton/pasvortan aŭtentikigon. | VERA |
defaŭlta['firezone']['aŭtentigo']['auto_create_oidc_users'] | Aŭtomate kreu uzantojn ensalutantajn de OIDC por la unua fojo. Malebligu por permesi nur ekzistantajn uzantojn ensaluti per OIDC. | VERA |
defaŭlta['firezone']['aŭtentigo']['disable_vpn_on_oidc_error'] | Malebligu la VPN de uzanto se eraro estas detektita provante refreŝigi ilian OIDC-ĵetonon. | FALSA |
defaŭlta['fajrozono']['aŭtentikigo']['oidc'] | OpenID Connect-agordo, en la formato de {“provizanto” => [agordo...]} – Vidu OpenIDConnect dokumentaro por agordaj ekzemploj. | {} |
defaŭlta['fajrozono']['nginx']['ebligita'] | Ebligu aŭ malŝaltu la kunigitan servilon nginx. | VERA |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' ssl_port ' ] | HTTPS-aŭskulta haveno. | 443 |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' dosierujo ' ] | Dosierujo por stoki Firezone-rilatan agordon de virtuala gastiganto nginx. | "#{nodo['firezone']['var_directory']}/nginx/ktp" |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' log_ directory ' ] | Dosierujo por stoki Firezone-rilatajn nginx protokoldosierojn. | "#{nodo['firezone']['log_directory']}/nginx" |
defaŭlta['firezone']['nginx']['log_rotation']['file_maxbytes'] | Dosiera grandeco, je kiu turni Nginx protokoldosierojn. | 104857600 |
defaŭlta['firezone']['nginx']['log_rotation']['num_to_keep'] | Nombro da protokolaj dosieroj de Firezone nginx por konservi antaŭ forĵeti. | 10 |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' log_x_forwarded_for ' ] | Ĉu registri Firezone nginx x-forwarded-for kaplinion. | VERA |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' hsts_header ' ][ ' ebligita ' ] | VERA | |
defaŭlta['firezone']['nginx']['hsts_header']['include_subdomains'] | Ebligu aŭ malŝaltu includeSubDomains por la HSTS-kapo. | VERA |
defaŭlta['firezone']['nginx']['hsts_header']['max_age'] | Maksimuma aĝo por la HSTS-kapo. | 31536000 |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' redirect_to_canonical '] | Ĉu redirekti URL-ojn al la kanona FQDN specifita supre | FALSA |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' kaŝmemoro ' ][ ' ebligita ' ] | Ebligu aŭ malŝaltu la kaŝmemoron Firezone nginx. | FALSA |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' kaŝmemoro ' ][ ' dosierujo ' ] | Dosierujo por Firezone nginx kaŝmemoro. | "#{nodo['firezone']['var_directory']}/nginx/cache" |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' uzanto ' ] | Uzanto de Firezone nginx. | nodo [ 'fajrozono']['uzanto'] |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' grupo ' ] | Firezone nginx grupo. | nodo [ 'fajrozono']['grupo'] |
defaŭlta [ 'fajrozono']['nginx']['dir'] | Supranivela agorda dosierujo de nginx. | nodo [ ' firezone ' ][ ' nginx ' ][ ' dosierujo ' ] |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' log_dir ' ] | Supranivela protokolo-dosierujo de nginx. | nodo [ ' firezone ' ][ ' nginx ' ][ ' log_ directory ' ] |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' pid ' ] | Loko por nginx pid-dosiero. | "#{nodo['firezone']['nginx']['dosierujo']}/nginx.pid" |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' daemon_disable ' ] | Malebligu nginx-demonreĝimon por ke ni povu monitori ĝin anstataŭe. | VERA |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' gzip ' ] | Ŝaltu aŭ malŝaltu nginx gzip-kunpremadon. | sur ' |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' gzip_static ' ] | Ŝaltu aŭ malŝaltu nginx gzip-kunpremadon por senmovaj dosieroj. | for' |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' gzip_http_version ' ] | HTTP-versio uzinda por servi statikajn dosierojn. | 1.0 ' |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' gzip_comp_level ' ] | nginx gzip kunprema nivelo. | 2 ' |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' gzip_proxied ' ] | Ebligas aŭ malŝaltas gzipping de respondoj por prokuritaj petoj depende de la peto kaj respondo. | ajna' |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' gzip_vary ' ] | Ebligas aŭ malŝaltas enmeti la respondan kaplinion "Vary: Akcept-Encoding". | for' |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' gzip_buffers ' ] | Agordas la nombron kaj grandecon de bufroj uzataj por kunpremi respondon. Se nil, nginx defaŭlte estas uzata. | nil |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' gzip_types ' ] | MIME-tipoj por ebligi gzip-kunpremadon por. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' teksto/javaskripto', 'aplikaĵo/javaskripto', 'aplikaĵo/json'] |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' gzip_min_length ' ] | Minimuma dosierlongo por ebligi dosieron gzip-kunpremadon por. | 1000 |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' gzip_disable ' ] | Uzant-agenta kongruilo por malebligi gzip-kunpremadon por. | MSIE [1-6]\.' |
defaŭlta['firezone']['nginx']['keepalive'] | Aktivigas kaŝmemoron por konekto al kontraŭfluaj serviloj. | sur ' |
defaŭlta['firezone']['nginx']['keepalive_timeout'] | Tempo en sekundoj por konserva konekto al kontraŭfluaj serviloj. | 65 |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' worker_processes ' ] | Nombro da laborprocezoj nginx. | nodo [ ' CPU ' ] && nodo [ ' CPU ' ][ ' totala ' ] ? nodo['cpu']['total'] : 1 |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' worker_connections '] | Maksimuma nombro da samtempaj konektoj, kiuj povas esti malfermitaj per laborista procezo. | 1024 |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' worker_rlimit_nofile '] | Ŝanĝas la limon de la maksimuma nombro da malfermitaj dosieroj por laborprocezoj. Uzas nginx defaŭltan se nil. | nil |
defaŭlta [ 'fajrozono']['nginx']['multi_accept'] | Ĉu laboristoj devus akcepti unu konekton samtempe aŭ plurajn. | VERA |
defaŭlta [ 'fajrozono']['nginx']['okazaĵo'] | Specifas la konektan pretigan metodon por uzi en la kunteksto de nginx-eventoj. | epoll' |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' server_tokens '] | Ebligas aŭ malŝaltas elsendi nginx-version sur eraraj paĝoj kaj en la kampo de responda kaplinio "Servilo". | nil |
defaŭlta['firezone']['nginx']['server_names_hash_bucket_size'] | Agordas la grandecon de sitelo por la servilnomoj hash-tabeloj. | 64 |
defaŭlta['firezone']['nginx']['sendfile'] | Ebligas aŭ malŝaltas la uzon de sendfile( de nginx). | sur ' |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' access_log_options '] | Agordas nginx-alirajn protokolojn. | nil |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' error_log_options '] | Agordas opciojn pri erarprotokolo de nginx. | nil |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' disable_access_log ' ] | Malŝaltas nginx-alirprotokolo. | FALSA |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' types_hash_max_size '] | nginx tipoj hash max grandeco. | 2048 |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' types_hash_bucket_size '] | nginx tipoj hash sitelo grandeco. | 64 |
defaŭlta['firezone']['nginx']['proxy_read_timeout'] | nginx prokurilo legotempo. Agordu al nil por uzi nginx defaŭltan. | nil |
defaŭlta['firezone']['nginx']['client_body_buffer_size'] | nginx-kliento-korpa bufrograndeco. Agordu al nil por uzi nginx defaŭltan. | nil |
defaŭlta['firezone']['nginx']['client_max_body_size'] | nginx-kliento maksimuma korpa grandeco. | 250 m' |
defaŭlta['firezone']['nginx']['defaŭlta']['moduloj'] | Specifu pliajn nginx-modulojn. | [] |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' enable_rate_limiting '] | Ebligu aŭ malebligu limigadon de nginx-kurzo. | VERA |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' rate_limiting_zone_name '] | Nginx-tarifo limiganta zonnomo. | fajrozono' |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' rate_limiting_backoff '] | Nginx-indico limiganta malakcepton. | 10 m' |
defaŭlta [ ' firezone ' ][ ' nginx ' ][ ' rate_limit ' ] | Limo de imposto de Nginx. | 10r/s' |
defaŭlta [ 'fajrozono']['nginx']['ipv6'] | Permesu al nginx aŭskulti HTTP-petojn por IPv6 krom IPv4. | VERA |
defaŭlta['fajrozono']['postgresql']['ebligita'] | Ebligu aŭ malŝalti kunigitan Postgresql. Agordu al falsa kaj plenigu la datumbazajn opciojn sube por uzi vian propran Postgresql-instancon. | VERA |
defaŭlta['firezone']['postgresql']['uzantnomo'] | Uzantnomo por Postgresql. | nodo [ 'fajrozono']['uzanto'] |
defaŭlta [ ' firezone ' ][ ' postgresql ' ][ ' data_ directory ' ] | Postgresql-datumdosierujo. | "#{nodo['firezone']['var_directory']}/postgresql/13.3/data" |
defaŭlta [ ' firezone ' ][ ' postgresql ' ][ ' log_ directory ' ] | Postgresql protokolo dosierujo. | "#{nodo['firezone']['log_dosierujo']}/postgresql" |
defaŭlta [ ' firezone ' ][ ' postgresql ' ][ ' log_ rotation ' ][ ' file_maxbytes '] | Postgresql protokolo-dosiero maksimuma grandeco antaŭ ol ĝi estas turnita. | 104857600 |
defaŭlta['firezone']['postgresql']['log_rotation']['num_to_keep'] | Nombro de Postgresql protokolaj dosieroj konservendaj. | 10 |
defaŭlta [ ' firezone ' ][ ' postgresql ' ][ ' checkpoint_completion_target ' ] | Postgresql-transirejo-kompletiga celo. | 0.5 |
defaŭlta [ ' firezone ' ][ ' postgresql ' ][ ' checkpoint_segments ' ] | Nombro de Postgresql-transirejo-segmentoj. | 3 |
defaŭlta [ ' firezone ' ][ ' postgresql ' ][ ' checkpoint_timeout ' ] | Postgresql-transirejo-tempiĝo. | 5 min |
defaŭlta [ ' firezone ' ][ ' postgresql ' ][ ' checkpoint_warning ' ] | Postgresql kontrolpunkto averta tempo en sekundoj. | 30-aj jaroj |
defaŭlta['firezone']['postgresql']['effective_cache_size'] | Postgresql efika kaŝmemorgrando. | 128MB' |
defaŭlta [ ' firezone ' ][ ' postgresql ' ][ ' aŭskulti_ adreson ' ] | Postgresql aŭskultadreso. | 127.0.0.1 ' |
defaŭlta['firezone']['postgresql']['max_connections'] | Postgresql max-konektoj. | 350 |
defaŭlta['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs por permesi md5-aŭth. | ['127.0.0.1/32', '::1/128'] |
defaŭlta['fajrozono']['postgresql']['haveno'] | Postgresql aŭskulta haveno. | 15432 |
defaŭlta['firezone']['postgresql']['shared_buffers'] | Postgresql dividis bufrojn grandeco. | "#{(nodo['memoro']['totala'].to_i / 4) / 1024}MB" |
defaŭlta [ ' firezone ' ][ ' postgresql ' ][ ' shmmax ' ] | Postgresql shmmax en bajtoj. | 17179869184 |
defaŭlta [ ' firezone ' ][ ' postgresql ' ][ ' shmall ' ] | Postgresql shmall en bajtoj. | 4194304 |
defaŭlta [ ' firezone ' ][ ' postgresql ' ][ ' work_mem ' ] | Postgresql labormemorgrando. | 8MB' |
defaŭlta['fajrozono']['datumbazo']['uzanto'] | Specifas la uzantnomon, kiun Firezone uzos por konekti al la DB. | nodo [ ' firezone ' ][ ' postgresql ' ][ ' salutnomo ' ] |
defaŭlta['fajrozono']['datumbazo']['pasvorto'] | Se vi uzas eksteran DB, specifu la pasvorton, kiun Firezone uzos por konekti al la DB. | ŝanĝi_mi' |
defaŭlta['fajrozono']['datumbazo']['nomo'] | Datumbazo, kiun Firezone uzos. Estos kreita se ĝi ne ekzistas. | fajrozono' |
defaŭlta['fajrozono']['datumbazo']['gastiganto'] | Datumbaza gastiganto al kiu Firezone konektos. | nodo [ ' firezone ' ][ ' postgresql ' ][ ' aŭskulti_ adreson '] |
defaŭlta['fajrozono']['datumbazo']['haveno'] | Datumbaza haveno al kiu Firezone konektos. | nodo [ ' firezone ' ][ ' postgresql ' ][ ' haveno ' ] |
defaŭlta['fajrozono']['datumbazo']['naĝejo'] | Datumbaza naĝejo grandeco uzos Firezone. | [10, Ktp.nprocesoroj].max |
defaŭlta['fajrozono']['datumbazo']['ssl'] | Ĉu konekti al la datumbazo per SSL. | FALSA |
defaŭlta [ ' firezone ' ][ ' datumbazo ' ][ ' ssl_opts ' ] | {} | |
defaŭlta['fajrozono']['datumbazo']['parametroj'] | {} | |
defaŭlta['fajrozono']['datumbazo']['etendaĵoj'] | Etendaĵoj de datumbazoj por ebligi. | { 'plpgsql' => vera, 'pg_trgm' => vera } |
defaŭlta['fajrozono']['fenikso']['ebligita'] | Ebligu aŭ malŝalti la retejon Firezone. | VERA |
defaŭlta['fajrozono']['fenikso']['aŭskultu_adreson'] | Firezone retejo aŭskulta adreso. Ĉi tio estos la kontraŭflua aŭskulta adreso, kiun nginx prokurigas. | 127.0.0.1 ' |
defaŭlta['fajrozono']['fenikso']['haveno'] | Firezone TTT-apliko aŭskulta haveno. Ĉi tio estos la kontraŭflua haveno, kiun nginx prokurigas. | 13000 |
defaŭlta['fajrozono']['fenikso']['log_dosierujo'] | protokolo-dosierujo de la retejo de Firezone. | "#{nodo['fajrozono']['log_dosierujo']}/fenikso" |
defaŭlta [ ' firezone ' ][ ' fenikso ' ][ ' log_ rotation ' ][ ' file_maxbytes '] | Firezone TTT-aplika protokolo grandeco. | 104857600 |
defaŭlta['fajrozono']['fenikso']['log_rotation']['num_to_keep'] | Nombro de protokolaj dosieroj de Firezone por konservi. | 10 |
defaŭlta['fajrozono']['fenikso']['crash_detection']['ebligita'] | Ebligu aŭ malebligu malfunkciigi la retejon Firezone kiam kraŝo estas detektita. | VERA |
defaŭlta['fajrozono']['fenikso']['external_trusted_proxies'] | Listo de fidindaj inversaj prokuriloj formatitaj kiel Aro de IP-oj kaj/aŭ CIDR-oj. | [] |
defaŭlta['fajrozono']['fenikso']['private_clients'] | Listo de privataj retaj HTTP-klientoj, formatitaj Aro de IP-oj kaj/aŭ CIDR-oj. | [] |
defaŭlta['fajrozono']['dratoprotekto']['ebligita'] | Ebligu aŭ malŝalti pakigitan administradon de WireGuard. | VERA |
defaŭlta [ 'fajrozono']['wireguard']['log_dosierujo'] | Ensalutu dosierujon por pakigita administrado de WireGuard. | "#{nodo['fajrozono']['log_dosierujo']}/wireguard" |
defaŭlta [ ' firezone ' ][ ' wireguard ' ][ ' log_ rotation ' ][ ' file_maxbytes '] | Maksimuma grandeco de la protokolo de WireGuard. | 104857600 |
defaŭlta [ 'fajrozono']['wireguard']['log_rotation']['num_to_keep'] | Nombro de WireGuard protokolaj dosieroj konservendaj. | 10 |
defaŭlta [ 'fajrozono']['wireguard']['interface_name'] | Nomo de la interfaco WireGuard. Ŝanĝi ĉi tiun parametron povas kaŭzi provizoran perdon en VPN-konekto. | wg-fajrozono' |
defaŭlta['fajrozono']['dratgardisto']['haveno'] | WireGuard aŭskulta haveno. | 51820 |
defaŭlta['fajrozono']['dratgardisto']['mtu'] | WireGuard-interfaco MTU por ĉi tiu servilo kaj por aparataj agordoj. | 1280 |
defaŭlta['fajrozono']['dratoprotekto']['finpunkto'] | WireGuard Endpoint uzenda por generi aparatajn agordojn. Se nulo, defaŭlte al la publika IP-adreso de la servilo. | nil |
defaŭlta['fajrozono']['dratgardisto']['dns'] | WireGuard DNS por uzi por generitaj aparato-agordoj. | 1.1.1.1, 1.0.0.1′ |
defaŭlta['fajrozono']['dratgardisto']['allowed_ips'] | WireGuard AllowedIP-oj por uzi por generitaj aparato-agordoj. | 0.0.0.0/0, ::/0′ |
defaŭlta['fajrozono']['dratgardisto']['persistent_keepalive'] | Defaŭlta PersistentKeepalive agordo por generitaj aparato-agordoj. Valoro de 0 malŝaltas. | 0 |
defaŭlta['fajrozono']['dratoprotekto']['ipv4']['ebligita'] | Ebligu aŭ malŝalti IPv4 por la reto WireGuard. | VERA |
defaŭlta['fajrozono']['dratgardisto']['ipv4']['maskerado'] | Ebligu aŭ malebligu maskeradon por pakaĵoj elirantaj el la IPv4 tunelo. | VERA |
defaŭlta['fajrozono']['dratgardisto']['ipv4']['reto'] | WireGuard-reto IPv4-adresaro. | 10.3.2.0/24 ′ |
defaŭlta['fajrozono']['dratgardisto']['ipv4']['adreso'] | IPv4-adreso de la interfaco WireGuard. Devas esti ene de adresgrupo de WireGuard. | 10.3.2.1 ' |
defaŭlta['fajrozono']['dratoprotekto']['ipv6']['ebligita'] | Ebligu aŭ malŝalti IPv6 por la reto WireGuard. | VERA |
defaŭlta['fajrozono']['dratgardisto']['ipv6']['maskerado'] | Ebligu aŭ malebligu maskeradon por pakaĵoj elirantaj el la IPv6 tunelo. | VERA |
defaŭlta['fajrozono']['dratgardisto']['ipv6']['reto'] | WireGuard-reto IPv6-adresaro. | fd00::3:2:0/120′ |
defaŭlta['fajrozono']['dratgardisto']['ipv6']['adreso'] | IPv6-adreso de la interfaco WireGuard. Devas esti ene de IPv6-adresaro. | fd00::3:2:1′ |
defaŭlta [ ' firezone ' ][ ' runit ' ][ ' svlogd_bin ' ] | Runit svlogd bin-loko. | "#{nodo['firezone']['install_directory']}/embedded/bin/svlogd" |
defaŭlta['fajrozono']['ssl']['dosierujo'] | SSL-dosierujo por stoki generitajn certs. | /var/opt/firezone/ssl' |
defaŭlta['fajrozono']['ssl']['email_address'] | Retadreso por uzi por memsubskribitaj atestoj kaj avizoj pri renovigo de la protokolo ACME. | vi@ekzemplo.com' |
defaŭlta['fajrozono']['ssl']['acme']['ebligita'] | Ebligu ACME por aŭtomata SSL-certprovizo. Malebligu ĉi tion por malhelpi Nginx aŭskulti sur haveno 80. Vidu tie por pliaj instrukcioj. | FALSA |
defaŭlta [ 'fajrozono']['ssl']['acme']['servilo'] | ACME-servilo por uzi por emisio/renovigo de atestilo. Povas esti ajna valida servilo acme.sh | lasas ĉifri |
defaŭlta['fajrozono']['ssl']['acme']['keylength'] | Indiku la ŝlosilspecon kaj longecon por SSL-atestiloj. Vidu tie | ec-256 |
defaŭlta['fajrozono']['ssl']['atestilo'] | Vojo al la atestilo por via FQDN. Anstataŭigas ACME-agordon supre se specifite. Se ambaŭ ACME kaj ĉi tio estas nulaj, memsubskribita atestilo estos generita. | nil |
defaŭlta [ 'fajrozono']['ssl']['certificate_key'] | Vojo al la atestilo. | nil |
defaŭlta['fajrozono']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nil |
defaŭlta['fajrozono']['ssl']['country_name'] | Landnomo por memsubskribita cert. | Usono' |
defaŭlta['fajrozono']['ssl']['state_name'] | Ŝtata nomo por memsubskribita cert. | CA ' |
defaŭlta['fajrozono']['ssl']['loko_nomo'] | Loknomo por memsubskribita cert. | San-Francisko' |
defaŭlta['fajrozono']['ssl']['company_name'] | Kompanio nomo memsubskribita cert. | Mia Kompanio' |
defaŭlta['fajrozono']['ssl']['organizational_unit_name'] | Organiza unuonomo por memsubskribita cert. | Operacioj' |
defaŭlta['fajrozono']['ssl']['ĉifroj'] | SSL-ĉifroj por nginx por uzi. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
defaŭlta [ 'fajrozono']['ssl']['fips_ciphers'] | SSL-ĉifroj por FIP-reĝimo. | FIPS@STRENGTH:!aNULL:!eNULL' |
defaŭlta['fajrozono']['ssl']['protokoloj'] | TLS-protokoloj por uzi. | TLSv1 TLSv1.1 TLSv1.2′ |
defaŭlta['fajrozono']['ssl']['session_cache'] | SSL-sesiokaŝmemoro. | dividita:SSL:4m' |
defaŭlta['fajrozono']['ssl']['session_timeout'] | SSL-sesiotempiĝo. | 5 m' |
defaŭlta['fajrozono']['robots_allow'] | nginx-robotoj permesas. | /' |
defaŭlta['fajrozono']['robots_disallow'] | nginx-robotoj malpermesas. | nil |
defaŭlta['fajrozono']['outbound_email']['de'] | Elira retpoŝto de adreso. | nil |
defaŭlta['fajrozono']['outbound_email']['provizanto'] | Elira retpoŝta servo provizanto. | nil |
defaŭlta [ ' firezone ' ][ ' outbound_email ' ][ ' agordoj ' ] | Elirantaj retpoŝtaj provizanto-agordoj. | vidu omnibus/cookbooks/firezone/attributes/default.rb |
defaŭlta['fajrozono']['telemetrio']['ebligita'] | Ebligu aŭ malŝalti anonimigitan produktan telemetrion. | VERA |
defaŭlta['fajrozono']['connectivity_checks']['ebligita'] | Ebligu aŭ malŝaltu la servon de kontroloj pri konektebleco de Firezone. | VERA |
defaŭlta['fajrozono']['connectivity_checks']['intervalo'] | Intervalo inter konektkontroloj en sekundoj. | 3_600 |
________________________________________________________________
Ĉi tie vi trovos liston de dosieroj kaj dosierujoj rilataj al tipa instalado de Firezone. Ĉi tiuj povus ŝanĝiĝi depende de ŝanĝoj al via agorda dosiero.
Vojo | Priskribo |
/var/opt/firezone | Pintnivela dosierujo enhavanta datumojn kaj generitan agordon por Firezone-pakitaj servoj. |
/ opt / firezone | Pintnivela dosierujo enhavanta konstruitajn bibliotekojn, binarojn kaj rultempajn dosierojn necesajn de Firezone. |
/usr/bin/firezone-ctl | firezone-ctl ilo por administri vian Firezone-instalaĵon. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd unuodosiero por komenci la Firezone runsvdir kontrolisto procezo. |
/etc/firezone | Firezone agordaj dosieroj. |
__________________________________________________________
Ĉi tiu paĝo estis malplena en dokumentoj
_____________________________________________________________
La sekva ŝablono de fajroŝirmilo nftables povas esti uzata por sekurigi la servilon funkciantan Firezone. La ŝablono ja faras iujn supozojn; vi eble bezonos ĝustigi la regulojn laŭ via uzokazo:
Firezone agordas siajn proprajn nftables-regulojn por permesi/malakcepti trafikon al cellokoj agordis en la interreta interfaco kaj por pritrakti eliran NAT por klienttrafiko.
Apliki la ĉi-suban fajroŝirmilan ŝablonon sur jam funkcianta servilo (ne ĉe lanĉa tempo) rezultos, ke la reguloj de Firezone estos forigitaj. Ĉi tio povas havi sekurecajn implicojn.
Por solvi ĉi tion rekomencu la servon fenikso:
firezone-ctl rekomencu fenikso
#!/usr/sbin/nft -f
## Forigi/purigi ĉiujn ekzistantajn regulojn
flua reguloj
############################### VARIABLOJ ################# ###############
## Interreta/WAN-interfaco nomo
difini DEV_WAN = eth0
## WireGuard-interfaconomo
difini DEV_WIREGUARD = wg-fajrozono
## WireGuard aŭskulta haveno
difini WIREGUARD_PORT = 51820
############################# VARIABLOJ FINO ################## ############
# Ĉefa inet-familia filtra tabelo
tabel inet filtrilo {
# Reguloj por plusendita trafiko
# Ĉi tiu ĉeno estas prilaborita antaŭ la antaŭenĉeno de Firezone
ĉeno antaŭen {
tajpu filtrilon hoko antaŭen prioritata filtrilo - 5; politiko akcepti
}
# Reguloj por eniga trafiko
ĉena enigo {
tipo filtrilo hoko enigo prioritata filtrilo; politika guto
## Permesu enirantan trafikon al loopback-interfaco
iif lo \
akcepti \
komento "Permesu la tutan trafikon enen de loopback-interfaco"
## Permesu establitajn kaj rilatajn ligojn
ct ŝtato establita,rilata \
akcepti \
komento "Permesu establitajn/rilatajn ligojn"
## Permesu eniran trafikon de WireGuard
iif $DEV_WAN udp dport $WIREGUARD_PORT \
nombrilo \
akcepti \
komento "Permesu enirantan WireGuard-trafikon"
## Ensalutu kaj faligu novajn TCP-ne-SYN-pakaĵojn
tcp flagoj != syn ct stato nova \
limiga indico 100/minuta eksplodo 150 pakoj \
log prefikso “EN – Nova !SYN: “ \
komento "Limprogramenregistrado por novaj konektoj kiuj ne havas la flagon SYN TCP agordita"
tcp flagoj != syn ct stato nova \
nombrilo \
faligu \
komento "Faligi novajn konektojn kiuj ne havas la flagon SYN TCP agordita"
## Ensalutu kaj faligu TCP-pakaĵojn kun nevalida fin/sinkroniga flago
tcp flagoj & (fin|syn) == (fin|syn) \
limiga indico 100/minuta eksplodo 150 pakoj \
log prefikso “EN – TCP FIN|SIN: “ \
komento "Limprotokolo registranta por TCP-pakoj kun nevalida fin/sinkroniga flago aro"
tcp flagoj & (fin|syn) == (fin|syn) \
nombrilo \
faligu \
komento "Faligi TCP-pakojn kun nevalida fin/sinkroniga flago aro"
## Ensalutu kaj faligu TCP-pakojn kun nevalida syn/rst flago aro
tcp flagoj & (syn|rst) == (syn|rst) \
limiga indico 100/minuta eksplodo 150 pakoj \
log prefikso “EN – TCP SYN|RST:” \
komento "Limprogramenregistrado por TCP-pakoj kun nevalida syn/rst flago agordita"
tcp flagoj & (syn|rst) == (syn|rst) \
nombrilo \
faligu \
komento "Faligi TCP-pakojn kun nevalida syn/rst flago aro"
## Ensalutu kaj faligu nevalidajn TCP-flagojn
tcp flagoj & (fin|syn|rst|psh|ack|urg) < (fin) \
limiga indico 100/minuta eksplodo 150 pakoj \
log prefikso "EN - FIN:" \
komento "Limprotokolo ensalutu por nevalidaj TCP-flagoj (fin|syn|rst|psh|ack|urg) < (fin)"
tcp flagoj & (fin|syn|rst|psh|ack|urg) < (fin) \
nombrilo \
faligu \
komento "Faligi TCP-pakojn kun flagoj (fin|syn|rst|psh|ack|urg) < (fin)"
## Ensalutu kaj faligu nevalidajn TCP-flagojn
tcp flagoj & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
limiga indico 100/minuta eksplodo 150 pakoj \
log prefikso “EN – FIN|PSH|URG:” \
komento "Limprotokolo ensalutu por nevalidaj TCP-flagoj (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp flagoj & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
nombrilo \
faligu \
komento "Faligi TCP-pakojn kun flagoj (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Forigu trafikon kun nevalida koneksa stato
ct-stato nevalida \
limiga indico 100/minuta eksplodo 150 pakoj \
log flags ĉiuj prefikso "EN - Nevalida: " \
komento "Kara limo registranta por trafiko kun nevalida koneksa stato"
ct-stato nevalida \
nombrilo \
faligu \
komento "Forigu trafikon kun nevalida koneksa stato"
## Permesu IPv4 ping/ping respondojn sed imposto limo al 2000 PPS
ip protokolo icmp icmp tipo { eĥo-respondo, eĥo-peto } \
limiga indico 2000/sekundo \
nombrilo \
akcepti \
komento "Permesu envenantan IPv4-eĥon (ping) limigitan al 2000 PPS"
## Permesu ĉiujn aliajn enirantajn IPv4 ICMP
ip protokolo icmp \
nombrilo \
akcepti \
komento "Permesu ĉiujn aliajn IPv4 ICMP"
## Permesu IPv6 ping/ping respondojn sed imposto limo al 2000 PPS
icmpv6 tipo { eĥo-respondo, eĥo-peto } \
limiga indico 2000/sekundo \
nombrilo \
akcepti \
komento "Permesu envenantan IPv6-eĥon (ping) limigitan al 2000 PPS"
## Permesu ĉiujn aliajn enirantajn IPv6 ICMP
meta l4proto { icmpv6 } \
nombrilo \
akcepti \
komento "Permesu ĉiujn aliajn IPv6 ICMP"
## Permesu enirajn spurajn UDP-havenojn sed limigu al 500 PPS
udp dport 33434-33524 \
limiga indico 500/sekundo \
nombrilo \
akcepti \
komento "Permesu envenantan UDP-spurvojon limigitan al 500 PPS"
## Permesu enirantan SSH
tcp dport ssh ct stato nova \
nombrilo \
akcepti \
komento "Permesu enirantajn SSH-konektojn"
## Permesu enirantan HTTP kaj HTTPS
tcp dport { http, https } ct stato nova \
nombrilo \
akcepti \
komento "Permesu alirantajn HTTP kaj HTTPS-konektojn"
## Ensalutu ajnan neegalan trafikon, sed limigas la registradon al maksimumo de 60 mesaĝoj/minuto
## La defaŭlta politiko estos aplikata al neegala trafiko
limiga indico 60/minuta eksplodo 100 pakoj \
log prefikso "EN - Faligu:" \
komento "Ensalutu ajnan neegalan trafikon"
## Kalkulu la neegalan trafikon
nombrilo \
komento "Nombri ajnan nekompareblan trafikon"
}
# Reguloj por eliga trafiko
ĉena eligo {
tipo filtrilo hoko eligo prioritata filtrilo; politika guto
## Permesu elirantan trafikon al loopback-interfaco
oif lo \
akcepti \
komento "Permesu la tutan trafikon eksteren al loopback-interfaco"
## Permesu establitajn kaj rilatajn ligojn
ct ŝtato establita,rilata \
nombrilo \
akcepti \
komento "Permesu establitajn/rilatajn ligojn"
## Permesu elirantan WireGuard-trafikon antaŭ ol forigi konektojn kun malbona stato
oif $DEV_WAN udp sporto $WIREGUARD_PORT \
nombrilo \
akcepti \
komento "Permesu WireGuard-eliran trafikon"
## Forigu trafikon kun nevalida koneksa stato
ct-stato nevalida \
limiga indico 100/minuta eksplodo 150 pakoj \
log flags ĉiuj prefikso "EL - Nevalida: " \
komento "Kara limo registranta por trafiko kun nevalida koneksa stato"
ct-stato nevalida \
nombrilo \
faligu \
komento "Forigu trafikon kun nevalida koneksa stato"
## Permesu ĉiujn aliajn elirantajn IPv4 ICMP
ip protokolo icmp \
nombrilo \
akcepti \
komento "Permesu ĉiujn IPv4 ICMP-tipojn"
## Permesu ĉiujn aliajn elirantajn IPv6 ICMP
meta l4proto { icmpv6 } \
nombrilo \
akcepti \
komento "Permesu ĉiujn IPv6 ICMP-tipojn"
## Permesu elirajn spurajn UDP-havenojn sed limigu al 500 PPS
udp dport 33434-33524 \
limiga indico 500/sekundo \
nombrilo \
akcepti \
komento "Permesu elira UDP-tracero limigita al 500 PPS"
## Permesu elirantajn HTTP kaj HTTPS-konektojn
tcp dport { http, https } ct stato nova \
nombrilo \
akcepti \
komento "Permesu elirantajn HTTP kaj HTTPS-konektojn"
## Permesu elirantan SMTP-submetadon
tcp dport submetiĝo ct stato nova \
nombrilo \
akcepti \
komento "Permesu eliran SMTP-submetadon"
## Permesu elirajn DNS-petojn
udp dport 53 \
nombrilo \
akcepti \
komento "Permesu forirantajn UDP-DNS-petojn"
tcp dport 53 \
nombrilo \
akcepti \
komento "Permesu forirantajn TCP DNS-petojn"
## Permesu elirajn NTP-petojn
udp dport 123 \
nombrilo \
akcepti \
komento "Permesu forirantajn NTP-petojn"
## Ensalutu ajnan neegalan trafikon, sed limigas la registradon al maksimumo de 60 mesaĝoj/minuto
## La defaŭlta politiko estos aplikata al neegala trafiko
limiga indico 60/minuta eksplodo 100 pakoj \
log prefikso "EL - Faligu:" \
komento "Ensalutu ajnan neegalan trafikon"
## Kalkulu la neegalan trafikon
nombrilo \
komento "Nombri ajnan nekompareblan trafikon"
}
}
# Ĉefa NAT-filtrila tablo
tablo inet nat {
# Reguloj por NAT-trafika antaŭvojigo
ĉena antaŭvojigo {
tajpu nat hook prerouting prioritato dstnat; politiko akcepti
}
# Reguloj por NAT-trafiko post-vojigo
# Ĉi tiu tablo estas prilaborita antaŭ la post-enruta ĉeno de Firezone
ĉena postvojigo {
tajpu nat hoko postrouting prioritato srcnat - 5; politiko akcepti
}
}
La fajroŝirmilo devas esti konservita en la koncerna loko por la Linuksa distribuo, kiu funkcias. Por Debian/Ubuntu ĉi tio estas /etc/nftables.conf kaj por RHEL ĉi tio estas /etc/sysconfig/nftables.conf.
nftables.service devos esti agordita por komenci ĉe lanĉo (se ne jam) agordita:
systemctl ebligi nftables.service
Se vi faras ajnajn ŝanĝojn al la fajroŝirmila ŝablono, la sintakso povas esti validigita per la kontrolkomando:
nft -f /path/to/nftables.conf -c
Nepre validu, ke la fajroŝirmilo funkcias kiel atendite, ĉar iuj funkcioj de nftables eble ne disponeblas depende de la eldono funkcianta sur la servilo.
_______________________________________________________________
Ĉi tiu dokumento prezentas superrigardon de la telemetrio kiun Firezone kolektas de via memgastigita kazo kaj kiel malŝalti ĝin.
Fajrorezono fidas pri telemetrio por prioritatigi nian vojmapon kaj optimumigi la inĝenierajn rimedojn, kiujn ni havas por plibonigi Firezone por ĉiuj.
La telemetrio, kiun ni kolektas, celas respondi la jenajn demandojn:
Ekzistas tri ĉefaj lokoj kie telemetrio estas kolektita en Firezone:
En ĉiu el ĉi tiuj tri kuntekstoj, ni kaptas la minimuman kvanton da datumoj necesaj por respondi la demandojn en la supra sekcio.
Administraj retpoŝtoj estas kolektitaj nur se vi eksplicite eniras produktajn ĝisdatigojn. Alie, persone identigeblaj informoj estas neniam kolektita.
Firezone stokas telemetrion en mem-gastigita kazo de PostHog funkcianta en privata Kubernetes-areo, nur alirebla de la Firezone-teamo. Jen ekzemplo de telemetria evento, kiu estas sendita de via kazo de Firezone al nia telemetria servilo:
{
iru: “0182272d-0b88-0000-d419-7b9a413713f1”,
"tempomarko": “2022-07-22T18:30:39.748000+00:00”,
"okazaĵo": "fz_http_komencita",
"diferenca_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"posedaĵoj":{
"$geoip_city_name": "Ashburn",
"$geoip_kontinenta_kodo": "NA",
"$geoip_kontinenta_nomo": "Nordameriko",
"$geoip_country_code": "Usono",
"$geoip_country_name": "Usono",
"$geoip_latitude": 39.0469,
"$geoip_longitudo": -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivido_1_kodo": "VA",
"$geoip_subdivision_1_name": "Virginio",
"$geoip_horzono": "Ameriko/Nov-Jorko",
"$ip": "52.200.241.107",
"$plugins_deferred": [],
"$plugins_failed": [],
"$plugins_succeeded": [
"GeoIP (3)"
],
"diferenca_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kerno_versio": "Linukso 5.13.0",
"versio": "0.4.6"
},
"ĉeno_elementoj": ""
}
NOTO
La teamo de disvolviĝo de Firezone fidas pri produktanalitiko por fari Firezone pli bona por ĉiuj. Lasi telemetrion ebligita estas la plej valora kontribuo, kiun vi povas fari al la disvolviĝo de Firezone. Dirite, ni komprenas, ke kelkaj uzantoj havas pli altajn privatecajn aŭ sekurecajn postulojn kaj preferus tute malŝalti telemetrion. Se tio estas vi, daŭre legu.
Telemetrio estas ebligita defaŭlte. Por tute malŝalti produktan telemetrion, agordu la sekvan agordan opcion al falsa en /etc/firezone/firezone.rb kaj rulu sudo firezone-ctl reconfigure por repreni la ŝanĝojn.
defaŭlta['fajrozono']['telemetrio']['ebligita'] = falsa
Tio tute malŝaltos ĉiun produktan telemetrion.
Hajlobajtoj
9511 Queens Guard Ct.
Laŭro, MD 20723
Telefono: (732) 771-9995
Retpoŝto: info@hailbytes.com
