Firezone GUI менен Hailbytes VPNди жайылтуу боюнча этап-этабы менен нускамалар бул жерде берилген.
Башкаруу: Сервер инстанциясын орнотуу ушул бөлүккө түздөн-түз байланыштуу.
Колдонуучу колдонмолору: Firezone кантип колдонууну жана типтүү көйгөйлөрдү чечүүнү үйрөтө турган пайдалуу документтер. Сервер ийгиликтүү орнотулгандан кийин, бул бөлүмгө кайрылыңыз.
Бөлүнгөн туннель: VPNди трафикти белгилүү IP диапазондоруна гана жөнөтүү үчүн колдонуңуз.
Ак тизме: Ак тизмени колдонуу үчүн VPN серверинин статикалык IP дарегин коюңуз.
Тескери туннелдер: тескери туннелдерди колдонуп, бир нече теңтуштардын ортосунда туннелдерди түзүңүз.
Hailbytes VPN орнотуу, ыңгайлаштыруу же колдонууда жардам керек болсо, биз сизге жардам берүүгө кубанычтабыз.
Колдонуучулар түзмөктүн конфигурациясынын файлдарын өндүрүп же жүктөөдөн мурун, Firezone аутентификацияны талап кылуу үчүн конфигурацияланышы мүмкүн. Колдонуучулар VPN туташуусун активдештирүү үчүн мезгил-мезгили менен аутентификациядан өтүшү керек болушу мүмкүн.
Firezone демейки кирүү ыкмасы жергиликтүү электрондук почта жана сырсөз болсо да, аны каалаган стандартташтырылган OpenID Connect (OIDC) идентификациялык камсыздоочу менен бириктирсе болот. Колдонуучулар эми Firezoneге Okta, Google, Azure AD же жеке идентификациялык камсыздоочу эсептик дайындарын колдонуп кире алышат.
Жалпы OIDC Провайдерин интеграциялоо
OIDC провайдери аркылуу SSOга уруксат берүү үчүн Firezone тарабынан талап кылынган конфигурация параметрлери төмөндөгү мисалда көрсөтүлгөн. /etc/firezone/firezone.rb дарегинен конфигурация файлын таба аласыз. Тиркемени жаңыртуу жана өзгөртүүлөрдүн күчүнө кириши үчүн firezone-ctl reconfigure жана firezone-ctl кайра иштетиңиз.
# Бул SSO идентификациялык камсыздоочу катары Google жана Oktaны колдонуунун мисалы.
# Бир эле Firezone инстанциясына бир нече OIDC конфигурациясын кошууга болот.
# Firezone аракет кылууда кандайдыр бир ката табылса, колдонуучунун VPNин өчүрө алат
# алардын кирүү_токенин жаңыртуу үчүн. Бул Google, Okta жана үчүн иштөө үчүн ырасталган
# Azure SSO жана эгер алар өчүрүлгөн болсо, колдонуучунун VPNди автоматтык түрдө өчүрүү үчүн колдонулат
# OIDC провайдеринен. Эгерде сиздин OIDC провайдериңиз болсо, муну өчүрүп коюңуз
# кирүү токендерин жаңылоодо көйгөйлөр бар, анткени ал күтүлбөгөн жерден үзгүлтүккө учурашы мүмкүн
# колдонуучунун VPN сеансы.
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = false
демейки['firezone']['authentication']['oidc'] = {
гугл: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
жооп_түрү: "код",
чөйрөсү: "ачык электрондук почта профили",
энбелгиси: "Google"
},
окта: {
Discovery_document_uri: "https:// /.well-known/openid-configuration”,
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
жооп_түрү: "код",
чөйрөсү: "ачык электрондук почта профили offline_access",
энбелгиси: "Окта"
}
}
Интеграция үчүн төмөнкү конфигурация орнотуулары талап кылынат:
Ар бир OIDC провайдери үчүн конфигурацияланган провайдердин кирүү URL дарегине багыттоо үчүн тиешелүү татынакай URL түзүлөт. Жогорудагы OIDC конфигурациясынын мисалы үчүн URL'дер:
Провайдерлер үчүн бизде документтер бар:
Эгерде сиздин идентификациялоочу провайдериңизде жалпы OIDC туташтыргычы болсо жана жогоруда тизмеленбесе, керектүү конфигурация орнотууларын кантип алуу керектиги жөнүндө маалымат алуу үчүн алардын документтерине өтүңүз.
Орнотуулар/коопсуздук астындагы жөндөө мезгил-мезгили менен кайра аутентификацияны талап кылуу үчүн өзгөртүлүшү мүмкүн. Бул колдонуучулар VPN сеансын улантуу үчүн Firezone программасына үзгүлтүксүз түрдө кирүү талабын аткаруу үчүн колдонулушу мүмкүн.
Сеанстын узактыгын бир сааттан токсон күнгө чейин конфигурациялоого болот. Муну Эч качан деп коюу менен, VPN сеанстарын каалаган убакта иштете аласыз. Бул стандарт.
Колдонуучу VPN сеансын токтотуп, мөөнөтү бүткөн VPN сеансын кайра текшерүү үчүн Firezone порталына кириши керек (орнизациялоо учурунда көрсөтүлгөн URL).
Бул жердеги так кардар нускамаларын аткаруу менен сеансыңызды кайра текшере аласыз.
VPN туташуунун абалы
Колдонуучулар бетинин VPN туташуу таблицасы тилкеси колдонуучунун байланыш абалын көрсөтөт. Бул байланыш статустары:
ИШТЕГЕН – Туташуу иштетилген.
АЖЫРАТКАН – Туташуу администратор тарабынан өчүрүлгөн же OIDC жаңыртуу катасы.
МӨЗӨТ БҮТКӨН – Байланыш аутентификациянын мөөнөтү аяктагандыктан же колдонуучу биринчи жолу кирбегендиктен өчүрүлгөн.
Жалпы OIDC туташтыргычы аркылуу Firezone Google Workspace жана Cloud Identity менен бир жолу кирүүнү (SSO) иштетет. Бул колдонмо сизге интеграция үчүн зарыл болгон төмөндө келтирилген конфигурация параметрлерин кантип алуу керектигин көрсөтөт:
1. OAuth Config экраны
Эгер сиз жаңы OAuth кардар идентификаторун биринчи жолу түзүп жатсаңыз, сизден макулдук экранын конфигурациялоо суралат.
*Колдонуучунун түрү үчүн Ички тандаңыз. Бул сиздин Google Workspace уюмуңуздагы колдонуучуларга таандык аккаунттар гана түзмөк конфигурацияларын түзө алат. Түзмөктүн конфигурацияларын түзүүгө жарактуу Google Каттоо эсеби бар кимдир бирөөнү иштеткиңиз келбейинче, Тышкы параметрди тандабаңыз.
Колдонмо маалымат экранында:
2. OAuth Client ID түзүңүз
Бул бөлүм Google'дун өзүнүн документтерине негизделген OAuth 2.0 орнотуу.
Google Булут Консолуна баш багыңыз Каттоо баракчасы барагында, чыкылдатыңыз + Эсептик дайындарды түзүү жана OAuth кардар ID тандаңыз.
OAuth кардар ID түзүү экранында:
OAuth кардар идентификаторун түзгөндөн кийин, сизге Кардар ID жана Кардар сыры берилет. Булар кийинки кадамда кайра багыттоо URI менен бирге колдонулат.
редакциялоо /etc/firezon/firezon.rb төмөнкү параметрлерди кошуу үчүн:
# Google'ду SSO идентификациялык камсыздоочусу катары колдонуу
демейки['firezone']['authentication']['oidc'] = {
гугл: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
жооп_түрү: "код",
чөйрөсү: "ачык электрондук почта профили",
энбелгиси: "Google"
}
}
Тиркемени жаңыртуу үчүн firezone-ctl кайра конфигурациясын жана firezone-ctl кайра иштетиңиз. Эми Firezone URL дарегинде Google менен кирүү баскычын көрүшүңүз керек.
Firezone Окта менен бир жолу кирүүнү (SSO) жеңилдетүү үчүн жалпы OIDC туташтыргычын колдонот. Бул окуу куралы сизге интеграция үчүн зарыл болгон төмөндө келтирилген конфигурация параметрлерин кантип алуу керектигин көрсөтөт:
Колдонмонун бул бөлүмү негизделген Октанын документтери.
Администратор консолунда Тиркемелер > Тиркемелерге өтүп, Колдонмо интеграциясын түзүү дегенди басыңыз. Кирүү ыкмасын OICD – OpenID Connect жана Веб тиркемесинин Тиркеме түрүн коюңуз.
Бул орнотууларды конфигурациялаңыз:
Орнотуулар сакталгандан кийин, сизге Кардар ID, Кардар сыры жана Окта домени берилет. Бул 3 маани Firezone конфигурациялоо үчүн 2-кадамда колдонулат.
редакциялоо /etc/firezon/firezon.rb төмөнкү параметрлерди кошуу. Сиздин Discovery_document_url болот /.жакшы белгилүү/openid-конфигурация сиздин аягына тиркелет okta_domain.
# Октаны SSO идентификациялык камсыздоочусу катары колдонуу
демейки['firezone']['authentication']['oidc'] = {
окта: {
Discovery_document_uri: "https:// /.well-known/openid-configuration”,
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
жооп_түрү: "код",
чөйрөсү: "ачык электрондук почта профили offline_access",
энбелгиси: "Окта"
}
}
Тиркемени жаңыртуу үчүн firezone-ctl кайра конфигурациясын жана firezone-ctl кайра иштетиңиз. Сиз азыр Firezone URL дарегинде Okta менен кирүү баскычын көрүшүңүз керек.
Firezone колдонмосуна кире алган колдонуучулар Окта тарабынан чектелиши мүмкүн. Муну аткаруу үчүн Okta Admin Console'дун Firezone App Integration's Assignments бетине өтүңүз.
Жалпы OIDC туташтыргычы аркылуу Firezone Azure Active Directory менен бир жолу кирүүнү (SSO) иштетет. Бул колдонмо сизге интеграция үчүн зарыл болгон төмөндө келтирилген конфигурация параметрлерин кантип алуу керектигин көрсөтөт:
Бул колдонмодон алынган Azure Active Directory Документтери.
Azure порталынын Azure Active Directory барагына өтүңүз. Менюну башкаруу опциясын тандап, Жаңы каттоону тандаңыз, андан соң төмөндөгү маалыматты берүү менен катталыңыз:
Катталгандан кийин, колдонмонун чоо-жайын ачып, аны көчүрүңүз Колдонмо (кардар) ID. Бул client_id мааниси болот. Андан кийин, алуу үчүн акыркы чекиттер менюсун ачыңыз OpenID Connect метадайындар документи. Бул Discovery_document_uri мааниси болот.
Башкаруу менюсунун астындагы Сертификаттар жана сырлар опциясын чыкылдатуу менен жаңы кардар сырын түзүңүз. Кардардын сырын көчүрүү; кардар жашыруун наркы бул болот.
Акырында, Башкаруу менюсунун астындагы API уруксаттары шилтемесин тандап, чыкылдатыңыз Уруксат кошууЖана тандоо Microsoft Graph, кошуу электрондук почта, OpenID, offline_access жана Перейти талап кылынган уруксаттарга.
редакциялоо /etc/firezon/firezon.rb төмөнкү параметрлерди кошуу үчүн:
# Azure Active Directory SSO идентификациясын камсыздоочу катары колдонуу
демейки['firezone']['authentication']['oidc'] = {
көгүш: {
Discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
жооп_түрү: "код",
чөйрөсү: "ачык электрондук почта профили offline_access",
энбелгиси: "Azure"
}
}
Тиркемени жаңыртуу үчүн firezone-ctl кайра конфигурациясын жана firezone-ctl кайра иштетиңиз. Сиз азыр Firezone URL дарегинде Azure менен кирүү баскычын көрүшүңүз керек.
Azure AD администраторлорго компанияңыздын ичиндеги колдонуучулардын белгилүү бир тобуна колдонмо мүмкүнчүлүгүн чектөөгө мүмкүндүк берет. Муну кантип жасоо керектиги жөнүндө көбүрөөк маалыматты Microsoftтун документтеринен тапса болот.
Chef Omnibus Firezone тарабынан релиз пакеттөө, процессти көзөмөлдөө, журналдарды башкаруу жана башкалар сыяктуу милдеттерди башкаруу үчүн колдонулат.
Ruby коду /etc/firezone/firezone.rb дарегинде жайгашкан негизги конфигурация файлын түзөт. Бул файлга өзгөртүүлөрдү киргизгенден кийин sudo firezone-ctl reconfigure кайра күйгүзүлсө, ашпозчу өзгөрүүлөрдү таанып, аларды учурдагы операциялык тутумга колдонууга алып келет.
Конфигурация өзгөрмөлөрүнүн толук тизмеси жана алардын сүрөттөмөлөрү үчүн конфигурация файлынын шилтемесин караңыз.
Сиздин Firezone инстанциясы аркылуу башкарса болот firezone-ctl буйрук, төмөндө көрсөтүлгөндөй. Көпчүлүк подкомандалар префикстерди талап кылат Sudo.
root@demo:~# firezone-ctl
omnibus-ctl: команда (подкоманда)
Жалпы буйруктар:
тазалап,
*Бардык* Firezone дайындарын жок кылып, нөлдөн баштаңыз.
түзүү же баштапкы абалга келтирүү-админ
Демейки боюнча['firezone']['admin_email'] көрсөтүлгөн электрондук почта менен администратордун сырсөзүн баштапкы абалга келтирет же ал электрондук почта жок болсо, жаңы администраторду түзөт.
жардам
Бул жардам билдирүүсүн басып чыгарыңыз.
кайра конфигурациялоо
Колдонмону кайра конфигурациялаңыз.
кайра орнотуу
nftables, WireGuard интерфейси жана маршруттук таблицаны кайра Firezone демейки параметрлерине кайтарат.
көрсөтүү-конфигурациялоо
Кайра конфигурациялоо аркылуу түзүлө турган конфигурацияны көрсөтүңүз.
бузуу-тармак
WireGuard интерфейсин жана firezone nftables таблицасын алып салат.
күч-күбөлүк-жаңылоо
Сертификаттын мөөнөтү бүтө элек болсо дагы, аны жаңыртууга мажбурлаңыз.
токтотуу-күбөлүк-жаңылоо
Сертификаттарды жаңырткан cronjob жок кылат.
орнотулганды алып салуу
Бардык процесстерди жок кылыңыз жана процесстин супервайзерин чыгарып салыңыз (маалыматтар сакталат).
версия
Firezone учурдагы версиясын көрсөтүү
Кызматты башкаруу буйруктары:
ырайымдуу өлтүрүү
Жакшылап токтотууга аракет кылыңыз, анан бүт процесс тобун SIGKILL.
hup
Кызматтарга HUP жөнөтүңүз.
Int
Кызматтарга INT жөнөтүңүз.
өлтүрүү
Кызматтарга KILL жөнөтүңүз.
бир жолу
Кызматтар иштебей калса, аларды баштаңыз. Эгер алар токтоп калса, кайра иштетпеңиз.
кайра жүргүзүү
Кызматтар иштеп жатса, аларды токтотуп, кайра баштаңыз.
кызмат тизмеси
Бардык кызматтарды тизмектеңиз (иштетилген кызматтар * белгиси менен пайда болот.)
баштоо
Кызматтар иштебей калса, аларды иштетиңиз жана токтоп калса, кайра иштетиңиз.
абал
Бардык кызматтардын абалын көрсөтүү.
токтотуу
Кызматтарды токтотуп, кайра иштетпеңиз.
куйрук
Бардык иштетилген кызматтардын кызмат журналдарын көрүңүз.
мөөнөт
Кызматтарга TERM жөнөтүңүз.
usr1
Кызматтарга USR1 жөнөтүңүз.
usr2
Кызматтарга USR2 жөнөтүңүз.
Firezone жаңыртуудан мурун бардык VPN сеанстары токтотулушу керек, ал ошондой эле Web UIди өчүрүүнү талап кылат. Жаңыртуу учурунда бир нерсе туура эмес болуп калса, техникалык тейлөөгө бир саат бөлүүнү сунуштайбыз.
Firezone'ду өркүндөтүү үчүн, төмөнкү аракеттерди жасаңыз:
Кандайдыр бир көйгөйлөр пайда болсо, бизге аркылуу кабарлаңыз колдоо билетин тапшыруу.
0.5.0 версиясында бир нече үзгүлтүксүз өзгөртүүлөр жана конфигурациялык модификациялар бар, аларды чечүү керек. Төмөндө көбүрөөк билиңиз.
Nginx мындан ары күч SSL жана SSL эмес порт параметрлерин 0.5.0 версиясында колдобойт. Firezone иштеши үчүн SSL керек болгондуктан, биз Nginx кызматын демейки['firezone']['nginx']['enabled'] = false орнотуу менен алып салууну жана анын ордуна тескери проксиңизди 13000 портундагы Phoenix колдонмосуна багыттоону сунуштайбыз (демейки боюнча ).
0.5.0 топтомдогу Nginx кызматы менен SSL сертификаттарын автоматтык түрдө узартуу үчүн ACME протоколунун колдоосун киргизет. иштетүү үчүн,
Firezone 0.5.0 версиясында кайталанма багыттары бар эрежелерди кошуу мүмкүнчүлүгү жок. Миграция скриптибиз 0.5.0 жаңыртуу учурунда бул жагдайларды автоматтык түрдө тааныйт жана көздөгөн жери башка эреже камтылган эрежелерди гана сактайт. Эгер бул жакшы болсо, эч нерсе кылуунун кереги жок.
Болбосо, жаңыртуудан мурун бул жагдайлардан кутулуу үчүн эрежелер топтомун өзгөртүүнү сунуштайбыз.
Firezone 0.5.0 жаңы, ийкемдүү OIDC негизиндеги конфигурациянын пайдасына эски стилдеги Okta жана Google SSO конфигурациясын колдоону жок кылат.
Эгер сизде демейки['firezone']['authentication']['okta'] же демейки['firezone']['authentication']['google'] ачкычтары астында кандайдыр бир конфигурацияңыз болсо, аларды биздин OIDCге көчүрүшүңүз керек. -негизделген конфигурация төмөндөгү жолду колдонуу менен.
Учурдагы Google OAuth конфигурациясы
/etc/firezone/firezone.rb дарегинде жайгашкан конфигурация файлыңыздан эски Google OAuth конфигурацияларын камтыган бул саптарды алып салыңыз
демейки['firezone']['authentication']['google']['enabled']
демейки['firezone']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
демейки['firezone']['authentication']['google']['redirect_uri']
Андан кийин, бул жердеги процедураларды аткаруу менен Google'ду OIDC провайдери катары конфигурациялаңыз.
(Шилтеме көрсөтмөлөрүн бериңиз)<<<<<<<<<<<<<<<<<
Учурдагы Google OAuth конфигурациялоо
жайгашкан конфигурация файлыңыздан эски Okta OAuth конфигурацияларын камтыган бул саптарды алып салыңыз /etc/firezon/firezon.rb
default['firezone']['authentication']['okta']['enabled']
default['firezone']['authentication']['okta']['client_id']
default['firezone']['authentication']['okta']['client_secret']
Демейки['firezone']['authentication']['okta']['site']
Андан кийин, бул жердеги процедураларды аткаруу менен Октаны OIDC провайдери катары конфигурациялаңыз.
Учурдагы орнотууңузга жана версияңызга жараша, төмөндөгү көрсөтмөлөрдү аткарыңыз:
Эгер сизде OIDC интеграциясы бар болсо:
Кээ бир OIDC провайдерлери үчүн >= 0.3.16га жаңыртуу оффлайн кирүү чөйрөсү үчүн жаңылоо белгисин алууну талап кылат. Муну менен, Firezone идентификациялык камсыздоочу менен жаңыртылат жана колдонуучу жок кылынгандан кийин VPN байланышы өчүрүлөт. Firezone мурунку итерацияларында бул өзгөчөлүк жок болчу. Кээ бир учурларда, сиздин идентификациялоочудан жок кылынган колдонуучулар дагы эле VPNге туташып турушу мүмкүн.
Оффлайн кирүү чөйрөсүн колдогон OIDC провайдерлери үчүн OIDC конфигурацияңыздын масштаб параметрине оффлайн мүмкүнчүлүгүн кошуу керек. Firezone-ctl кайра конфигурациялоосу /etc/firezone/firezone.rb дарегинде жайгашкан Firezone конфигурация файлына өзгөртүүлөрдү киргизүү үчүн аткарылышы керек.
Сиздин OIDC провайдериңиз тарабынан аутентификацияланган колдонуучулар үчүн, Firezone жаңылоо белгисин ийгиликтүү ала алса, веб UI колдонуучу чоо-жайы барагында OIDC Connections рубрикасын көрөсүз.
Эгер бул иштебесе, учурдагы OAuth колдонмоңузду жок кылып, OIDC орнотуу кадамдарын кайталашыңыз керек болот. жаңы колдонмо интеграциясын түзүү .
Менде учурдагы OAuth интеграциясы бар
0.3.11ге чейин Firezone алдын ала конфигурацияланган OAuth2 провайдерлерин колдонгон.
Нускамаларды аткарыңыз бул жерде OIDCге көчүү.
Мен идентификациялык камсыздоочуну бириктирген жокмун
Эч кандай аракет керек.
Сиз көрсөтмөлөрдү аткара аласыз бул жерде OIDC провайдери аркылуу SSO иштетүү.
Анын ордуна демейки['firezone']['external url'] демейки конфигурация опциясын ['firezone']['fqdn'] алмаштырды.
Муну жалпы коомчулукка жеткиликтүү Firezone онлайн порталыңыздын URL дарегине коюңуз. Эгер аныкталбай калса, ал демейки https:// плюс сервериңиздин FQDN болуп калат.
Конфигурация файлы /etc/firezone/firezone.rb дарегинде жайгашкан. Конфигурация өзгөрмөлөрүнүн толук тизмеси жана алардын сүрөттөмөлөрү үчүн конфигурация файлынын шилтемесин караңыз.
Firezone мындан ары 0.3.0 версиясынан тартып Firezone серверинде түзмөктүн купуя ачкычтарын сактабайт.
Firezone Web UI бул конфигурацияларды кайра жүктөө же көрүү мүмкүнчүлүгүн бербейт, бирок учурдагы түзмөктөрдүн баары мурдагыдай иштей бериши керек.
Эгер сиз Firezone 0.1.x'тен жаңыртып жатсаңыз, конфигурация файлына бир нече өзгөртүүлөр бар, аларды кол менен чечүү керек.
/etc/firezone/firezone.rb файлыңызга керектүү өзгөртүүлөрдү киргизүү үчүн, төмөнкү буйруктарды root катары иштетиңиз.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl кайра конфигурациялоо
firezone-ctl кайра баштоо
Firezone журналдарын текшерүү пайда болушу мүмкүн болгон бардык маселелер үчүн акылдуу биринчи кадам болуп саналат.
Firezone журналдарын көрүү үчүн sudo firezone-ctl tail иштетиңиз.
Firezone менен туташуу көйгөйлөрүнүн көбү шайкеш келбеген iptables же nftables эрежелеринен келип чыгат. Сиз күчүндө болгон бардык эрежелер Firezone эрежелерине карама-каршы келбей турганын текшеришиңиз керек.
WireGuard туннелиңизди жандырган сайын Интернет байланышыңыз начарлап кетсе, FORWARD чынжыры WireGuard кардарларыңыздан пакеттерди Firezone аркылуу өткөргүңүз келген жерлерге уруксат берерин текшериңиз.
Эгер сиз ufw колдонуп жатсаңыз, демейки багыттоо саясатына уруксат берүү менен буга жетишүүгө болот:
ubuntu@fz:~$ sudo ufw демейки уруксат багыттоо
Демейки багыттоо саясаты "уруксат берүү" деп өзгөртүлдү
(эрежелериңизди ошого жараша жаңыртууну унутпаңыз)
A wow типтүү Firezone серверинин абалы мындай болушу мүмкүн:
ubuntu@fz:~$ sudo ufw статусу кеңири
Статусу: активдүү
Каттоо: күйүк (төмөн)
Демейки: четке кагуу (кирүүчү), уруксат берүү (чыгыш), уруксат берүү (багытталган)
Жаңы профилдер: өткөрүп жиберүү
Аракеттен
— —— —-
22/tcp Каалаган жерде КИРГИЗҮҮ
80/tcp Каалаган жерде КИРГИЗҮҮ
443/tcp Каалаган жерде КИРГИЗҮҮ
51820/udp Каалаган жерде КИРГИЗҮҮ
22/tcp (v6) Каалаган жерден КИРГҮҮ (v6)
80/tcp (v6) Каалаган жерден КИРГҮҮ (v6)
443/tcp (v6) Каалаган жерден КИРГИЗҮҮ (v6)
51820/udp (v6) Каалаган жерден КИРГИЗҮҮ (v6)
Биз төмөндө түшүндүрүлгөндөй, өтө сезимтал жана миссия үчүн маанилүү өндүрүштүк жайылтуулар үчүн веб-интерфейске кирүүнү чектөөнү сунуштайбыз.
кызмат | Демейки порт | Угуу дареги | баяндоо |
жөргөмүш | 80, 443 | бардык | Firezone башкаруу жана аутентификацияны жеңилдетүү үчүн коомдук HTTP(S) порту. |
зым коргоочу | 51820 | бардык | Коомдук WireGuard порту VPN сеанстары үчүн колдонулат. (UDP) |
postgresql | 15432 | 127.0.0.1 | Топтолгон Postgresql сервери үчүн колдонулган жергиликтүү гана порт. |
жемчужина | 13000 | 127.0.0.1 | Жогорку эликсир колдонмо сервери тарабынан колдонулган жергиликтүү гана порт. |
Firezone'дун жалпыга ачык болгон веб интерфейсине кирүүнү чектөө жөнүндө ойлонуп көрүүнү сунуштайбыз (демейки порттор 443/tcp жана 80/tcp) жана анын ордуна WireGuard туннелин колдонуп, Firezone'ду өндүрүш жана жалпыга ачык жайылтуулар үчүн башкаруу үчүн бир администратор жооптуу болот. акыркы колдонуучуларга түзмөк конфигурацияларын түзүү жана жайылтуу.
Мисалы, эгерде администратор түзмөк конфигурациясын түзүп, жергиликтүү WireGuard дареги 10.3.2.2 менен туннель түзсө, төмөнкү ufw конфигурациясы администраторго сервердин wg-firezone интерфейсиндеги Firezone веб UIге демейки 10.3.2.1 аркылуу кирүү мүмкүнчүлүгүн берет. туннелдин дареги:
root@demo:~# ufw абалы кеңири
Статусу: активдүү
Каттоо: күйүк (төмөн)
Демейки: четке кагуу (кирүүчү), уруксат берүү (чыгыш), уруксат берүү (багытталган)
Жаңы профилдер: өткөрүп жиберүү
Аракеттен
— —— —-
22/tcp Каалаган жерде КИРГИЗҮҮ
51820/udp Каалаган жерде КИРГИЗҮҮ
Каалаган жерде 10.3.2.2
22/tcp (v6) Каалаган жерден КИРГҮҮ (v6)
51820/udp (v6) Каалаган жерден КИРГИЗҮҮ (v6)
Бул жөн эле кетип калат 22/tcp серверди башкаруу үчүн SSH мүмкүнчүлүгүнө ээ (милдеттүү эмес) жана 51820/udp WireGuard туннелдерин түзүү үчүн ачылган.
Firezone Postgresql серверин топтойт жана дал келет psql жергиликтүү кабыктан колдонула турган утилита:
/opt/firezon/embedded/bin/psql \
-U firezone \
-d өрт зонасы \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
Бул мүчүлүштүктөрдү оңдоо максаттары үчүн пайдалуу болушу мүмкүн.
Жалпы милдеттер:
Бардык колдонуучулардын тизмеси:
/opt/firezon/embedded/bin/psql \
-U firezone \
-d өрт зонасы \
-h localhost \
-p 15432 \
-c “Колдонуучулардан * ТАҢДА;”
Бардык түзмөктөрдүн тизмеси:
/opt/firezon/embedded/bin/psql \
-U firezone \
-d өрт зонасы \
-h localhost \
-p 15432 \
-c "Тандоо * түзмөктөрдөн;"
Колдонуучунун ролун өзгөртүү:
Ролду "администратор" же "артыкчылыксыз" кылып коюңуз:
/opt/firezon/embedded/bin/psql \
-U firezone \
-d өрт зонасы \
-h localhost \
-p 15432 \
-c “Колдонуучулардын ролун ЖАҢЫРТУУ = 'администратор' WHERE email = 'user@example.com';”
Маалымат базасынын резервдик көчүрмөсүн алуу:
Андан тышкары, маалымат базасынын үзгүлтүксүз резервдик көчүрмөлөрүн алуу үчүн колдонулушу мүмкүн болгон pg dump программасы камтылган. Берилиштер базасынын көчүрмөсүн жалпы SQL суроо форматында таштоо үчүн төмөнкү кодду аткарыңыз (/path/to/backup.sql файлын SQL файлы түзүлө турган жер менен алмаштырыңыз):
/opt/firezon/embedded/bin/pg_dump \
-U firezone \
-d өрт зонасы \
-h localhost \
-p 15432 > /path/to/backup.sql
Firezone ийгиликтүү орнотулгандан кийин, колдонуучуларды сиздин тармагыңызга кирүү мүмкүнчүлүгүн камсыз кылуу үчүн кошушуңуз керек. Бул үчүн Web UI колдонулат.
/users астындагы "Колдонуучуну кошуу" баскычын тандоо менен сиз колдонуучуну кошо аласыз. Сиз колдонуучуга электрондук почта дарегин жана паролду беришиңиз керек болот. Уюмуңуздагы колдонуучуларга автоматтык түрдө кирүүгө уруксат берүү үчүн, Firezone ошондой эле аныктык камсыздоочу менен интерфейс жана шайкештештире алат. Кененирээк маалымат бөлүмүндө ишендирүү. < Аутентификацияга шилтеме кошуңуз
Колдонуучуларга купуя ачкыч аларга гана көрүнүү үчүн, өздөрүнүн түзмөк конфигурацияларын түзүүнү суранууну сунуштайбыз. Колдонуучулар өз түзмөгүнүн конфигурацияларын даректеги көрсөтмөлөрдү аткаруу менен түзө алышат Client Instructions бет.
Колдонуучу түзмөктүн бардык конфигурацияларын Firezone администраторлору түзө алат. /users дарегинде жайгашкан колдонуучу профилинин бетинде муну аткаруу үчүн "Аппаратты кошуу" опциясын тандаңыз.
[Скриншот киргизүү]
Түзмөк профилин түзгөндөн кийин колдонуучуга WireGuard конфигурация файлын электрондук почта аркылуу жөнөтсөңүз болот.
Колдонуучулар жана түзмөктөр байланыштырылган. Колдонуучуну кантип кошуу керектиги жөнүндө көбүрөөк маалымат алуу үчүн караңыз Колдонуучуларды кошуу.
Ядронун таза чыпкалоо системасын колдонуу аркылуу Firezone DROP же ACCEPT пакеттерин көрсөтүү үчүн чыгууну чыпкалоо мүмкүнчүлүктөрүн берет. Адатта, бардык жол кыймылына уруксат берилет.
IPv4 жана IPv6 CIDR жана IP даректери, тиешелүүлүгүнө жараша Allowlist жана Denylist аркылуу колдоого алынат. Эрежени колдонуучуга кошууда аны колдонуунун масштабын тандай аласыз, ал эреже ошол колдонуучунун бардык түзмөктөрүнө колдонулат.
Орнотуу жана тууралоо
Түпкү WireGuard кардарын колдонуп VPN туташуусун орнотуу үчүн, бул колдонмону караңыз.
Бул жерде жайгашкан расмий WireGuard кардарлары Firezone шайкеш келет:
Жогоруда айтылбаган OS системалары үчүн https://www.wireguard.com/install/ дареги боюнча расмий WireGuard веб-сайтына кириңиз.
Firezone администраторуңуз же өзүңүз Firezone порталынын жардамы менен аппараттын конфигурация файлын түзө аласыз.
Түзмөктүн конфигурация файлын өз алдынча түзүү үчүн Firezone администраторуңуз берген URL дарегине баш багыңыз. Сиздин фирма бул үчүн уникалдуу URL'ге ээ болот; бул учурда, бул https://instance-id.yourfirezone.com.
Firezone Okta SSO кирүү
[Скриншот киргизүү]
the.conf файлын WireGuard кардарына ачуу менен импорттоңуз. Активдештирүү которгучун которуу менен сиз VPN сеансын баштасаңыз болот.
[Скриншот киргизүү]
Эгерде сиздин тармак администраторуңуз VPN туташууңузду активдүү кармап туруу үчүн кайталануучу аутентификацияны тапшырса, төмөндөгү нускамаларды аткарыңыз.
Сиз керек:
Firezone порталынын URL дареги: Туташуу үчүн тармак администраторуңуздан сураңыз.
Тармак администраторуңуз логин менен сырсөзүңүздү сунуштай алышы керек. Firezone сайты сизден жумуш берүүчүңүз колдонгон бир жолу кирүү кызматын колдонууну сунуштайт (мисалы, Google же Okta).
[Скриншот киргизүү]
Firezone порталынын URL дарегине өтүп, тармак администраторуңуз берген эсептик дайындарды колдонуп кириңиз. Эгер сиз мурунтан эле кирген болсоңуз, кайра кирүүдөн мурун "Кайрадан текшерүү" баскычын чыкылдатыңыз.
[Скриншот киргизүү]
[Скриншот киргизүү]
WireGuard конфигурация профилин Linux түзмөктөрүндө Network Manager CLI аркылуу импорттоо үчүн, бул нускамаларды аткарыңыз (nmcli).
Эгерде профилде IPv6 колдоосу иштетилген болсо, Тармак менеджеринин GUI аркылуу конфигурация файлын импорттоого аракет төмөнкү ката менен ишке ашпай калышы мүмкүн:
ipv6.method: "auto" ыкмасы WireGuard үчүн колдоого алынбайт
Бул WireGuard колдонуучулар мейкиндигинин утилиталарын орнотуу керек. Бул Linux дистрибуциялары үчүн wireguard же wireguard-tools деп аталган пакет болот.
Ubuntu/Debian үчүн:
sudo apt орнотуу зым коргоочу
Fedora колдонуу үчүн:
sudo dnf wireguard куралдарын орнотуу
Arch Linux:
sudo pacman -S wireguard-куралдар
Жогоруда айтылбаган бөлүштүрүүлөр үчүн https://www.wireguard.com/install/ дареги боюнча расмий WireGuard веб-сайтына баш багыңыз.
Сиздин Firezone администраторуңуз же өзүн-өзү генерациялоо Firezone порталы аркылуу түзмөк конфигурация файлын түзө алат.
Түзмөктүн конфигурация файлын өз алдынча түзүү үчүн Firezone администраторуңуз берген URL дарегине баш багыңыз. Сиздин фирма бул үчүн уникалдуу URL'ге ээ болот; бул учурда, бул https://instance-id.yourfirezone.com.
[Скриншот киргизүү]
Берилген конфигурация файлын nmcli аркылуу импорттоо:
sudo nmcli туташуу импорттук түрү wireguard файлы /path/to/configuration.conf
Конфигурация файлынын аталышы WireGuard байланышына/интерфейсине туура келет. Импорттоодон кийин, зарыл болсо, байланыштын атын өзгөртүүгө болот:
nmcli байланышын өзгөртүү [эски ат] connection.id [жаңы ат]
Буйрук сабы аркылуу VPNге төмөнкүдөй туташыңыз:
nmcli туташуусу [vpn аты]
Ажыратуу үчүн:
nmcli байланышы түшүп [vpn аты]
Тиешелүү Network Manager апплети GUI колдонулса, туташууну башкаруу үчүн да колдонулушу мүмкүн.
Автокошуу опциясы үчүн “ообаны” тандоо менен VPN туташуусун автоматтык түрдө туташтыруу үчүн конфигурациялоого болот:
nmcli байланышы [vpn аты] байланышын өзгөртүү. <<<<<<<<<<<<<<<<<<<<<<
автобайланыш ооба
Автоматтык туташууну өчүрүү үчүн аны кайра жок кылып коюңуз:
nmcli байланышы [vpn аты] байланышын өзгөртүү.
автобайланыш №
ТИМди активдештирүү үчүн Firezone порталынын /колдонуучунун аккаунтуна/каттоо MFA барагына өтүңүз. QR коду түзүлгөндөн кийин аны сканерлөө үчүн аныктыгын текшерүүчү колдонмоңузду колдонуңуз, андан кийин алты орундуу кодду киргизиңиз.
Эгер аныктыгын текшерүүчү колдонмоңузду туура эмес жайгаштырсаңыз, каттоо эсебиңизге кирүү маалыматын баштапкы абалга келтирүү үчүн администраторуңузга кайрылыңыз.
Бул окуу куралы сизди WireGuard'тын Firezone менен бөлүү туннелдөө функциясын орнотуу процесси аркылуу көрсөтүп, VPN сервери аркылуу белгилүү бир IP диапазондоруна трафик гана жөнөтүлөт.
Кардар тармак трафигин багыттай турган IP диапазондору /жөндөөлөр/демейки бетинде жайгашкан Уруксат берилген IPлер талаасында көрсөтүлөт. Firezone тарабынан жасалган жаңы түзүлгөн WireGuard туннелинин конфигурацияларына гана бул талаага өзгөртүүлөр таасир этет.
[Скриншот киргизүү]
Демейки маани 0.0.0.0/0, ::/0, ал кардардан VPN серверине бардык тармак трафигин багыттайт.
Бул талаадагы баалуулуктардын мисалдары төмөнкүлөрдү камтыйт:
0.0.0.0/0, ::/0 – бардык тармак трафиги VPN серверине багытталат.
192.0.2.3/32 – VPN серверине бир IP дарекке трафик гана багытталат.
3.5.140.0/22 – 3.5.140.1 – 3.5.143.254 диапазонундагы IPлерге трафик гана VPN серверине багытталат. Бул мисалда, ap-түндүк-чыгыш-2 AWS аймагы үчүн CIDR диапазону колдонулган.
Firezone пакетти кайда багыттоо керектигин аныктоодо эң так маршрутка байланыштуу чыгуу интерфейсин тандайт.
Колдонуучулар конфигурация файлдарын регенерациялап, учурдагы колдонуучунун түзмөктөрүн жаңы бөлүнгөн туннель конфигурациясы менен жаңыртуу үчүн аларды жергиликтүү WireGuard кардарына кошушу керек.
Нускамаларды көрүү үчүн, караңыз түзмөк кошуу. <<<<<<<<<<< Шилтеме кошуу
Бул колдонмо Firezone реле катары эки түзмөктү кантип байланыштырууну көрсөтөт. Кадимки колдонуу учурларынын бири администраторго NAT же брандмауэр менен корголгон серверге, контейнерге же машинага кирүү мүмкүнчүлүгүн берүү болуп саналат.
Бул иллюстрацияда А жана В түзмөктөрү туннелди куруунун түз сценарийин көрсөтөт.
[От аймагынын архитектуралык сүрөтүн киргизүү]
/users/[user_id]/new_device дарегине өтүү менен А жана Б түзмөгүн түзүү менен баштаңыз. Ар бир аппараттын жөндөөлөрүндө төмөнкү параметрлер төмөндө көрсөтүлгөн маанилерге коюлганын текшериңиз. Аппараттын конфигурациясын түзүүдө аппараттын жөндөөлөрүн орното аласыз (Түзмөктөрдү кошуу караңыз). Учурдагы түзмөктүн жөндөөлөрүн жаңыртышыңыз керек болсо, аны жаңы аппарат конфигурациясын түзүү менен жасай аласыз.
Бардык түзмөктөрдө PersistentKeepalive конфигурациялана турган /жөндөөлөр/демейки бет бар экенин эске алыңыз.
AllowedIPs = 10.3.2.2/32
Бул Б түзмөгүнүн IP же IP диапазону
PersistentKeepalive = 25
Эгерде аппарат NATтын артында болсо, бул аппарат туннелди сактап, WireGuard интерфейсинен пакеттерди алууну уланта аларын камсыздайт. Адатта 25 мааниси жетиштүү, бирок чөйрөңүзгө жараша бул маанини азайтышыңыз керек болушу мүмкүн.
AllowedIPs = 10.3.2.3/32
Бул А түзмөгүнүн IP же IP диапазону
PersistentKeepalive = 25
Бул мисалда А түзмөгү Б жана D түзмөктөрү менен эки багытта тең байланыша ала турган кырдаалды көрсөтөт. Бул орнотуу инженерди же администраторду ар кандай тармактар аркылуу көптөгөн ресурстарга (серверлерге, контейнерлерге же машиналарга) кире алат.
[Архитектуралык диаграмма]<<<<<<<<<<<<<<<<<<<<<<<
Төмөнкү орнотуулар ар бир аппараттын жөндөөлөрүндө тиешелүү маанилерге жасалганын текшериңиз. Түзмөктүн конфигурациясын түзүүдө сиз аппараттын жөндөөлөрүн көрсөтсөңүз болот (Түзмөктөрдү кошуу караңыз). Учурдагы түзмөктүн жөндөөлөрүн жаңыртуу керек болсо, жаңы аппарат конфигурациясын түзүүгө болот.
AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Бул B жана D түзмөктөрүнүн IP'и. B жана D түзмөктөрүнүн IP'лери сиз тандаган IP диапазонуна камтылууга тийиш.
PersistentKeepalive = 25
Бул аппарат NAT менен корголгон күндө да туннелди сактап, WireGuard интерфейсинен пакеттерди алууну уланта аларына кепилдик берет. Көпчүлүк учурларда, 25 мааниси адекваттуу, бирок чөйрөңүзгө жараша бул көрсөткүчтү төмөндөтүү керек болушу мүмкүн.
Командаңыздын бардык трафиги агып чыгышы үчүн бирдиктүү, статикалык чыгуу IP сунуштоо үчүн, Firezone NAT шлюзи катары колдонулушу мүмкүн. Бул жагдайлар аны тез-тез колдонууну камтыйт:
Consulting Engagements: Кардарыңыздан ар бир кызматкердин уникалдуу IP дарегин эмес, бир статикалык IP дарегин ак тизмеге киргизүүнү сураныңыз.
Коопсуздук же купуялык максаттары үчүн прокси колдонуу же булак IPиңизди маскалоо.
Firezone иштеткен бир ак тизмедеги статикалык IP менен өзүн-өзү жайгаштырылган веб-тиркемеге кирүүнү чектөөнүн жөнөкөй мисалы бул постто көрсөтүлөт. Бул мисалда Firezone жана корголгон ресурс ар кандай VPC аймактарында.
Бул чечим көп сандаган акыркы колдонуучулар үчүн IP ак тизмесин башкаруунун ордуна колдонулат, бул кирүү тизмеси кеңейген сайын көп убакытты талап кылышы мүмкүн.
Биздин максат - VPN трафигин чектелген ресурска багыттоо үчүн EC2 инстанциясында Firezone серверин орнотуу. Бул учурда, Firezone ар бир туташкан түзмөккө уникалдуу коомдук чыгуу IP берүү үчүн тармактык прокси же NAT шлюз катары кызмат кылат.
Бул учурда, tc2.micro деп аталган EC2 инстанциясында Firezone инстанциясы орнотулган. Firezone жайылтуу жөнүндө маалымат алуу үчүн, Жайгаштыруу колдонмосуна өтүңүз. AWSге байланыштуу, шектенбеңиз:
Firezone EC2 инстанциясынын коопсуздук тобу корголгон ресурстун IP дарегине чыгуучу трафикке уруксат берет.
Firezone инстанциясы ийкемдүү IP менен келет. Firezone инстанциясы аркылуу тышкы багыттар боюнча жөнөтүлгөн трафиктин булагы IP дареги ушул болот. Каралып жаткан IP дареги 52.202.88.54.
[Скриншот киргизүү]<<<<<<<<<<<<<<<<<<<<<<<<
Бул учурда корголгон ресурс катары өзүн-өзү жайгаштырган веб-тиркеме кызмат кылат. Веб колдонмосуна 52.202.88.54 IP дарегинен келген суроо-талаптар аркылуу гана кирүүгө болот. Ресурска жараша, ар кандай порттор жана трафиктин түрлөрү боюнча кирүүчү трафикке уруксат берүү зарыл болушу мүмкүн. Бул колдонмодо камтылган эмес.
[Скриншот киргизүү]<<<<<<<<<<<<<<<<<<<<<<<<
Сураныч, корголгон ресурс үчүн жооптуу үчүнчү тарапка 1-кадамда аныкталган статикалык IPден трафикке уруксат берилиши керектигин айтыңыз (бул учурда 52.202.88.54).
Демейки боюнча, бардык колдонуучу трафиги VPN сервери аркылуу өтөт жана 1-кадамда конфигурацияланган статикалык IPден келет (бул учурда 52.202.88.54). Бирок, эгер бөлүү туннелдери иштетилген болсо, корголгон ресурстун IP дареги Уруксат берилген IPдердин арасында тизмеленгенин текшерүү үчүн жөндөөлөр керек болушу мүмкүн.
Төмөндө жеткиликтүү конфигурация опцияларынын толук тизмеси көрсөтүлгөн /etc/firezon/firezon.rb.
тандоо | баяндоо | жарыяланбаган маани |
default['firezon']['external_url'] | URL бул Firezone инстанциясынын веб-порталына кирүү үчүн колдонулат. | “https://#{node['fqdn'] || түйүн['hostname']}” |
default['firezon']['config_directory'] | Firezone конфигурациясынын жогорку деңгээлдеги каталогу. | /etc/firezon' |
default['firezon']['install_directory'] | Firezone орнотуу үчүн жогорку деңгээлдеги каталог. | /opt/firezon' |
default['firezon']['app_directory'] | Firezone веб тиркемесин орнотуу үчүн жогорку деңгээлдеги каталог. | "#{node['firezone']['install_directory']}/embedded/service/firezone" |
демейки['firezon']['log_directory'] | Firezone журналдары үчүн жогорку деңгээлдеги каталог. | /var/log/firezon' |
default['firezon']['var_directory'] | Firezone иштөө убактысы файлдары үчүн жогорку деңгээлдеги каталог. | /var/opt/firezon' |
демейки['firezon']['user'] | Көпчүлүк кызматтардын жана файлдардын артыкчылыктары жок Linux колдонуучусунун аты. | от зонасы' |
демейки['firezon']['group'] | Linux тобунун аталышы көпчүлүк кызматтарга жана файлдарга таандык болот. | от зонасы' |
демейки['firezon']['admin_email'] | Firezone баштапкы колдонуучусу үчүн электрондук почта дареги. | "firezone@localhost" |
демейки['firezone']['max_devices_per_user'] | Колдонуучуда болушу мүмкүн болгон түзмөктөрдүн максималдуу саны. | 10 |
default['firezone']['allow_unprivileged_device_management'] | Администратор эмес колдонуучуларга түзмөктөрдү түзүү жана жок кылуу мүмкүнчүлүгүн берет. | ЧЫНЫГЫ |
default['firezon']['allow_unprivileged_device_configuration'] | Администратор эмес колдонуучуларга түзмөк конфигурацияларын өзгөртүү мүмкүнчүлүгүн берет. Өчүрүлгөндө, артыкчылыктары жок колдонуучуларга аты жана сүрөттөмөсүнөн башка бардык түзмөк талааларын өзгөртүүгө жол бербейт. | ЧЫНЫГЫ |
default['firezon']['egress_interface'] | Туннелдик трафик чыга турган интерфейстин аталышы. Эгерде нөл болсо, демейки маршрут интерфейси колдонулат. | болгон эмес |
default['firezone']['fips_enabled'] | OpenSSL FIPs режимин иштетүү же өчүрүү. | болгон эмес |
default['firezon']['logging']['enabled'] | Firezone аркылуу журналга кирүүнү иштетүү же өчүрүү. Тартип жазууну толугу менен өчүрүү үчүн "false" деп коюңуз. | ЧЫНЫГЫ |
демейки['enterprise']['name'] | Аты ашпозчу "ишкана" ашпозчу китебинде колдонулат. | от зонасы' |
демейки['firezon']['install_path'] | Chef 'Enterprise' ашпозчу китеби колдонгон орнотуу жолун. Жогорудагы install_directory сыяктуу эле коюлушу керек. | node['firezon']['install_directory'] |
default['firezon']['sysvinit_id'] | /etc/inittab ичинде колдонулган идентификатор. 1-4 белгиден турган уникалдуу ырааттуулук болушу керек. | SUP' |
default['firezone']['authentication']['local']['enabled'] | Жергиликтүү электрондук почтаны/сырсөздү текшерүүнү иштетүү же өчүрүү. | ЧЫНЫГЫ |
default['firezone']['authentication']['auto_create_oidc_users'] | OIDCден биринчи жолу кирген колдонуучуларды автоматтык түрдө түзүңүз. Учурдагы колдонуучуларга гана OIDC аркылуу кирүүгө уруксат берүү үчүн өчүрүү. | ЧЫНЫГЫ |
default['firezone']['authentication']['disable_vpn_on_oidc_error'] | OIDC энбелгисин жаңыртуу аракетинде ката аныкталса, колдонуучунун VPNин өчүрүңүз. | ЖАЛГАН |
демейки['firezone']['authentication']['oidc'] | OpenID Connect конфигурациясы, {“провайдер” => [конфигурация…]} форматында – Караңыз OpenIDConnect документтери конфигурация мисалдары үчүн. | {} |
default['firezone']['nginx']['enabled'] | Топтолгон nginx серверин иштетиңиз же өчүрүңүз. | ЧЫНЫГЫ |
default['firezone']['nginx']['ssl_port'] | HTTPS угуу порту. | 443 |
default['firezone']['nginx']['директория'] | Firezone менен байланышкан nginx виртуалдык хост конфигурациясын сактоо үчүн каталог. | “#{node['firezon']['var_directory']}/nginx/etc” |
default['firezon']['nginx']['log_directory'] | Firezone менен байланышкан nginx журнал файлдарын сактоо үчүн каталог. | “#{node['firezon']['log_directory']}/nginx” |
default['firezon']['nginx']['log_rotation']['file_maxbytes'] | Nginx журнал файлдарын айлантуу үчүн файлдын өлчөмү. | 104857600 |
default['firezone']['nginx']['log_rotation']['to_keep'] | Таштоодон мурун сактала турган Firezone nginx журнал файлдарынын саны. | 10 |
default['firezone']['nginx']['log_x_forwarded_for'] | Firezone nginx x-forwarded-for header журналына кирүү керекпи. | ЧЫНЫГЫ |
default['firezone']['nginx']['hsts_header']['enabled'] | ЧЫНЫГЫ | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS аталышы үчүн includeSubDomains иштетүү же өчүрүү. | ЧЫНЫГЫ |
default['firezone']['nginx']['hsts_header']['max_age'] | HSTS башынын максималдуу жашы. | 31536000 |
default['firezone']['nginx']['redirect_to_canonical'] | URL'дерди жогоруда көрсөтүлгөн канондук FQDNге багыттоо керекпи | ЖАЛГАН |
default['firezone']['nginx']['cache']['enabled'] | Firezone nginx кэшин иштетүү же өчүрүү. | ЖАЛГАН |
default['firezone']['nginx']['cache']['директория'] | Firezone nginx кэши үчүн каталог. | “#{node['firezon']['var_directory']}/nginx/cache” |
default['firezone']['nginx']['user'] | Firezone nginx колдонуучусу. | node['firezon']['user'] |
default['firezon']['nginx']['group'] | Firezone nginx тобу. | node['firezon']['group'] |
default['firezon']['nginx']['dir'] | Жогорку деңгээлдеги nginx конфигурация каталогу. | node['firezon']['nginx']['директория'] |
default['firezon']['nginx']['log_dir'] | Жогорку деңгээлдеги nginx журнал каталогу. | node['firezone']['nginx']['log_directory'] |
default['firezone']['nginx']['pid'] | Nginx pid файлынын жайгашкан жери. | "#{node['firezone']['nginx']['директория']}/nginx.pid" |
default['firezone']['nginx']['daemon_disable'] | Биз анын ордуна көзөмөлдөшүбүз үчүн nginx демон режимин өчүрүңүз. | ЧЫНЫГЫ |
default['firezon']['nginx']['gzip'] | Nginx gzip кысуусун күйгүзүңүз же өчүрүңүз. | күйүк |
default['firezone']['nginx']['gzip_static'] | Статикалык файлдар үчүн nginx gzip кысуусун күйгүзүңүз же өчүрүңүз. | өчүрүү' |
default['firezone']['nginx']['gzip_http_version'] | Статикалык файлдарды тейлөө үчүн колдонулуучу HTTP версиясы. | 1.0 " |
default['firezone']['nginx']['gzip_comp_level'] | nginx gzip кысуу деңгээли. | 2 " |
default['firezone']['nginx']['gzip_proxied'] | Сурамга жана жоопко жараша проксидик сурамдар үчүн жоопторду gzipping иштетет же өчүрөт. | каалаган' |
default['firezone']['nginx']['gzip_vary'] | "Vary: Accept-Encoding" жооп башын киргизүүнү иштетет же өчүрөт. | өчүрүү' |
default['firezone']['nginx']['gzip_buffers'] | Жоопту кысуу үчүн колдонулган буферлердин санын жана өлчөмүн белгилейт. Эгерде нөл болсо, nginx демейки колдонулат. | болгон эмес |
default['firezone']['nginx']['gzip_types'] | gzip кысуу үчүн MIME түрлөрү. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
default['firezone']['nginx']['gzip_min_length'] | Файлдын gzip кысуусун иштетүү үчүн минималдуу файл узундугу. | 1000 |
default['firezone']['nginx']['gzip_disable'] | Gzip кысуусун өчүрүү үчүн колдонуучу-агент дал келүүчү. | MSIE [1-6]\.' |
default['firezone']['nginx']['keeapive'] | Жогорку серверлерге туташуу үчүн кэшти иштетет. | күйүк |
default['firezone']['nginx']['keepalive_timeout'] | Агымдагы серверлер менен үзгүлтүксүз туташуу үчүн секундалардагы таймаут. | 65 |
default['firezone']['nginx']['worker_processes'] | Nginx жумушчу процесстеринин саны. | түйүн['cpu'] && түйүн['cpu']['total'] ? түйүн['cpu']['total'] : 1 |
default['firezone']['nginx']['worker_connections'] | Жумушчу процесси ача турган бир убактагы туташуулардын максималдуу саны. | 1024 |
default['firezone']['nginx']['worker_rlimit_nofile'] | Жумушчу процесстери үчүн ачык файлдардын максималдуу санынын чегин өзгөртөт. Эгерде нөл болсо, nginx демейкисин колдонот. | болгон эмес |
default['firezone']['nginx']['multi_accept'] | Жумушчулар бир эле учурда же бир нече байланышты кабыл алышы керекпи. | ЧЫНЫГЫ |
default['firezon']['nginx']['event'] | Nginx окуяларынын контекстинде колдонуу үчүн туташууну иштетүү ыкмасын көрсөтөт. | epoll' |
default['firezone']['nginx']['server_tokens'] | Ката беттеринде жана "Сервер" жооп баш талаасында nginx версиясын чыгарууну иштетет же өчүрөт. | болгон эмес |
default['firezone']['nginx']['server_names_hash_bucket_size'] | Сервер аталыштарынын хэш таблицалары үчүн чака өлчөмүн орнотот. | 64 |
default['firezone']['nginx']['sendfile'] | Nginx'тин sendfile() колдонуусун иштетет же өчүрөт. | күйүк |
default['firezone']['nginx']['access_log_options'] | Nginx кирүү журналынын параметрлерин орнотот. | болгон эмес |
default['firezone']['nginx']['error_log_options'] | Nginx ката журналынын параметрлерин орнотот. | болгон эмес |
default['firezone']['nginx']['disable_access_log'] | Nginx кирүү журналын өчүрөт. | ЖАЛГАН |
default['firezone']['nginx']['types_hash_max_size'] | nginx түрлөрү хэш максималдуу өлчөмү. | 2048 |
default['firezone']['nginx']['types_hash_bucket_size'] | nginx түрлөрү хэш чака өлчөмү. | 64 |
default['firezone']['nginx']['proxy_read_timeout'] | nginx прокси окуу убактысы. Nginx демейкисин колдонуу үчүн нөлгө коюңуз. | болгон эмес |
default['firezone']['nginx']['client_body_buffer_size'] | nginx кардар дене буфер өлчөмү. Nginx демейкисин колдонуу үчүн нөлгө коюңуз. | болгон эмес |
default['firezone']['nginx']['client_max_body_size'] | nginx кардар максималдуу дене өлчөмү. | 250м' |
default['firezone']['nginx']['default']['modules'] | Кошумча nginx модулдарын көрсөтүңүз. | [] |
default['firezone']['nginx']['enable_rate_limiting'] | Nginx ылдамдыгын чектөөнү иштетүү же өчүрүү. | ЧЫНЫГЫ |
default['firezon']['nginx']['rate_limiting_zone_name'] | Nginx ылдамдыгын чектөө аймагынын аталышы. | от зонасы' |
default['firezon']['nginx']['rate_limiting_backoff'] | Nginx ылдамдыгын чектөө. | 10м' |
default['firezon']['nginx']['rate_limit'] | Nginx ылдамдык чеги. | 10р/с' |
default['firezon']['nginx']['ipv6'] | Nginx'ке IPv6'тен тышкары IPv4 үчүн HTTP сурамдарын угууга уруксат бериңиз. | ЧЫНЫГЫ |
default['firezone']['postgresql']['enabled'] | Топтолгон Postgresqlди иштетүү же өчүрүү. Өзүңүздүн Postgresql инстанцияңызды колдонуу үчүн "false" деп коюп, төмөндөгү маалымат базасынын параметрлерин толтуруңуз. | ЧЫНЫГЫ |
default['firezone']['postgresql']['username'] | Postgresql үчүн колдонуучунун аты. | node['firezon']['user'] |
default['firezone']['postgresql']['data_directory'] | Postgresql маалымат каталогу. | “#{node['firezon']['var_directory']}/postgresql/13.3/data” |
default['firezone']['postgresql']['log_directory'] | Postgresql журнал каталогу. | “#{node['firezon']['log_directory']}/postgresql” |
default['firezon']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql журнал файлы айланганга чейин максималдуу өлчөмү. | 104857600 |
default['firezone']['postgresql']['log_rotation']['num_to_keep'] | Сактала турган Postgresql журнал файлдарынын саны. | 10 |
default['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql текшерүү пунктунун аяктоо максаты. | 0.5 |
default['firezone']['postgresql']['checkpoint_segments'] | Postgresql текшерүү чекитинин сегменттеринин саны. | 3 |
default['firezone']['postgresql']['checkpoint_timeout'] | Postgresql текшерүү чекитинин күтүүсү. | 5 мүнөт' |
default['firezone']['postgresql']['checkpoint_warning'] | Postgresql текшерүү пунктунун эскертүү убактысы секундада. | 30' |
default['firezone']['postgresql']['effective_cache_size'] | Postgresql эффективдүү кэш өлчөмү. | 128MB' |
default['firezone']['postgresql']['listen_address'] | Postgresql угуу дареги. | 127.0.0.1 " |
default['firezone']['postgresql']['max_connections'] | Postgresql макс байланыштары. | 350 |
default['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs md5 аутентификациясына уруксат берүү. | ['127.0.0.1/32', '::1/128'] |
default['firezone']['postgresql']['port'] | Postgresql угуу порту. | 15432 |
default['firezone']['postgresql']['shared_buffers'] | Postgresql бөлүшүлгөн буферлердин өлчөмү. | “#{(node['memory']['total'].to_i / 4) / 1024}МБ” |
default['firezone']['postgresql']['shmmax'] | Postgresql shmmax байт менен. | 17179869184 |
default['firezone']['postgresql']['shmal'] | Postgresql shmal байт менен. | 4194304 |
default['firezone']['postgresql']['work_mem'] | Postgresql жумушчу эстутум өлчөмү. | 8MB' |
default['firezone']['database']['user'] | Firezone МБга туташуу үчүн колдонуучу атын аныктайт. | node['firezone']['postgresql']['username'] |
default['firezone']['database']['password'] | Эгер тышкы МБ колдонулса, Firezone МБга туташуу үчүн колдоно турган сырсөздү көрсөтөт. | мени өзгөрт' |
default['firezon']['database']['name'] | Firezone колдоно турган маалымат базасы. Ал жок болсо түзүлөт. | от зонасы' |
default['firezon']['database']['host'] | Firezone туташа турган маалымат базасы хосту. | node['firezone']['postgresql']['listen_address'] |
default['firezon']['database']['port'] | Firezone туташа турган маалымат базасы порту. | node['firezon']['postgresql']['port'] |
default['firezone']['database']['pool'] | Firezone маалымат базасы бассейнинин өлчөмүн колдонот. | [10, Etc.nprocessors].макс |
default['firezone']['database']['ssl'] | SSL аркылуу маалымат базасына туташуу керекпи. | ЖАЛГАН |
default['firezone']['database']['ssl_opts'] | {} | |
default['firezone']['database']['параметрлер'] | {} | |
default['firezon']['database']['extensions'] | Иштетүү үчүн маалымат базасын кеңейтүү. | { 'plpgsql' => чын, 'pg_trgm' => чын } |
default['firezone']['phoenix']['enabled'] | Firezone веб тиркемесин иштетүү же өчүрүү. | ЧЫНЫГЫ |
default['firezone']['phoenix']['listen_address'] | Firezone веб тиркемесинин угуу дареги. Бул nginx проксилеринин угуу дареги болот. | 127.0.0.1 " |
default['firezone']['phoenix']['port'] | Firezone веб колдонмосун угуу порту. Бул nginx проксилери болгон жогорку порт болот. | 13000 |
default['firezone']['phoenix']['log_directory'] | Firezone веб-тиркеме журналынын каталогу. | “#{node['firezon']['log_directory']}/phoenix” |
default['firezon']['phoenix']['log_rotation']['file_maxbytes'] | Firezone веб-тиркеме журналынын файл өлчөмү. | 104857600 |
default['firezone']['phoenix']['log_rotation']['to_keep'] | Сактала турган Firezone веб тиркемесинин журнал файлдарынын саны. | 10 |
default['firezone']['phoenix']['crash_detection']['enabled'] | Кырсык аныкталганда Firezone веб тиркемесин өчүрүүнү иштетиңиз же өчүрүңүз. | ЧЫНЫГЫ |
default['firezone']['phoenix']['external_trusted_proxies'] | IP жана/же CIDR массивдери катары форматталган ишенимдүү тескери проксилердин тизмеси. | [] |
default['firezone']['phoenix']['private_clients'] | IP жана/же CIDR массивдерин форматтаган жеке тармак HTTP кардарларынын тизмеси. | [] |
default['firezon']['wireguard']['enabled'] | Топтолгон WireGuard башкарууну иштетүү же өчүрүү. | ЧЫНЫГЫ |
default['firezon']['wireguard']['log_directory'] | Топтолгон WireGuard башкаруу үчүн журнал каталогу. | “#{node['firezon']['log_directory']}/wireguard” |
default['firezon']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard журнал файлынын максималдуу өлчөмү. | 104857600 |
default['firezone']['wireguard']['log_rotation']['to_keep'] | Сактала турган WireGuard журнал файлдарынын саны. | 10 |
default['firezon']['wireguard']['interface_name'] | WireGuard интерфейсинин аталышы. Бул параметрди өзгөртүү VPN байланышын убактылуу жоготууга алып келиши мүмкүн. | wg-firezon' |
default['firezon']['wireguard']['port'] | WireGuard угуу порту. | 51820 |
default['firezon']['wireguard']['mtu'] | Бул сервер жана түзмөк конфигурациялары үчүн WireGuard интерфейси MTU. | 1280 |
default['firezon']['wireguard']['endpoint'] | WireGuard Endpoint түзмөк конфигурацияларын түзүү үчүн колдонулат. Эгерде нөл болсо, демейки сервердин жалпы IP дарегине. | болгон эмес |
default['firezon']['wireguard']['dns'] | Түзүлгөн түзмөк конфигурациялары үчүн колдонуу үчүн WireGuard DNS. | 1.1.1.1, 1.0.0.1′ |
default['firezon']['wireguard']['allowed_ips'] | WireGuard AllowedIP'лери түзүлгөн түзмөк конфигурациялары үчүн колдонууга. | 0.0.0.0/0, ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | Түзүлгөн түзмөк конфигурациялары үчүн демейки PersistentKeepalive жөндөөсү. 0 мааниси өчүрүлөт. | 0 |
default['firezone']['wireguard']['ipv4']['enabled'] | WireGuard тармагы үчүн IPv4 иштетүү же өчүрүү. | ЧЫНЫГЫ |
default['firezone']['wireguard']['ipv4']['masquerade'] | IPv4 туннелинен чыккан пакеттер үчүн маскарадды иштетүү же өчүрүү. | ЧЫНЫГЫ |
default['firezon']['wireguard']['ipv4']['тармак'] | WireGuard тармагы IPv4 дарек бассейни. | 10.3.2.0 / 24 ′ |
default['firezon']['wireguard']['ipv4']['address'] | WireGuard интерфейси IPv4 дареги. WireGuard дарек бассейнинде болушу керек. | 10.3.2.1 " |
default['firezone']['wireguard']['ipv6']['enabled'] | WireGuard тармагы үчүн IPv6 иштетүү же өчүрүү. | ЧЫНЫГЫ |
default['firezone']['wireguard']['ipv6']['masquerade'] | IPv6 туннелинен чыккан пакеттер үчүн маскарадды иштетүү же өчүрүү. | ЧЫНЫГЫ |
default['firezon']['wireguard']['ipv6']['тармак'] | WireGuard тармагы IPv6 дарек бассейни. | fd00::3:2:0/120′ |
default['firezon']['wireguard']['ipv6']['address'] | WireGuard интерфейси IPv6 дареги. IPv6 дарек бассейнинин ичинде болушу керек. | fd00::3:2:1′ |
default['firezone']['runit']['svlogd_bin'] | Свлогдун ордун иштетиңиз. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
default['firezon']['ssl']['директория'] | Түзүлгөн күбөлүктөрдү сактоо үчүн SSL каталогу. | /var/opt/firezon/ssl' |
default['firezone']['ssl']['email_address'] | Электрондук почта дареги өз алдынча кол коюлган сертификаттар жана ACME протоколун жаңылоо эскертмелери үчүн колдонулат. | you@example.com' |
default['firezone']['ssl']['acme']['enabled'] | SSL тастыктамасын автоматтык камсыздоо үчүн ACMEди иштетүү. Nginxтин 80-портто угуусуна жол бербөө үчүн муну өчүрүңүз. Караңыз бул жерде көбүрөөк көрсөтмөлөр үчүн. | ЖАЛГАН |
default['firezone']['ssl']['acme']['server'] | letsencrypt | |
default['firezone']['ssl']['acme']['keylength'] | SSL сертификаттарынын ачкыч түрүн жана узундугун көрсөтүңүз. Караңыз бул жерде | ec-256 |
default['firezone']['ssl']['certificate'] | FQDN үчүн тастыктама файлына жол. Эгерде көрсөтүлгөн болсо, жогорудагы ACME жөндөөлөрүн жокко чыгарат. Эгерде ACME да, бул да нөл болсо, өз алдынча кол коюлган күбөлүк түзүлөт. | болгон эмес |
демейки['firezone']['ssl']['certificate_key'] | Сертификат файлына жол. | болгон эмес |
default['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | болгон эмес |
default['firezon']['ssl']['country_name'] | Өз алдынча кол коюлган күбөлүк үчүн өлкөнүн аталышы. | АКШ' |
default['firezone']['ssl']['state_name'] | Өз алдынча кол коюлган күбөлүктүн мамлекеттик аталышы. | CA ' |
default['firezone']['ssl']['locality_name'] | Өзүн-өзү кол коюлган тастыктама үчүн жердин аталышы. | San Francisco' |
default['firezone']['ssl']['company_name'] | Компаниянын аталышы өз алдынча кол коюлган күбөлүк. | Менин компаниям' |
default['firezone']['ssl']['organizational_unit_name'] | Өз алдынча кол коюлган күбөлүк үчүн уюштуруу бирдигинин аталышы. | Операциялар |
default['firezone']['ssl']['ciphers'] | Nginx колдонуу үчүн SSL шифрлери. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default['firezone']['ssl']['fips_ciphers'] | FIP режими үчүн SSL шифрлери. | FIPS@STRENGTH:!aNULL:!eNULL' |
default['firezone']['ssl']['protocols'] | колдонуу үчүн TLS протоколдору. | TLSv1 TLSv1.1 TLSv1.2′ |
default['firezone']['ssl']['session_cache'] | SSL сессиясынын кэши. | бөлүшүлгөн:SSL:4м' |
default['firezone']['ssl']['session_timeout'] | SSL сеансынын күтүлүүсү. | 5м' |
демейки['firezone']['robots_allow'] | nginx роботтору уруксат берет. | /' |
default['firezone']['robots_disallow'] | nginx роботтору уруксат бербейт. | болгон эмес |
default['firezon']['outbound_email']['from'] | Даректен чыккан электрондук почта. | болгон эмес |
default['firezone']['outbound_email']['provider'] | Чыгуучу электрондук почта кызмат көрсөтүүчүсү. | болгон эмес |
default['firezon']['outbound_email']['configs'] | Чыгуучу электрондук почта провайдеринин конфигурациялары. | караңыз omnibus/cookbooks/firezone/attributes/default.rb |
default['firezon']['telemetry']['enabled'] | Анонимдүү продукт телеметриясын иштетүү же өчүрүү. | ЧЫНЫГЫ |
default['firezone']['connectivity_checks']['enabled'] | Firezone байланыш текшерүү кызматын иштетүү же өчүрүү. | ЧЫНЫГЫ |
default['firezone']['connectivity_checks']['interval'] | Туташуу текшерүүлөрүнүн ортосундагы аралык секунданын ичинде. | 3_600 |
________________________________________________________________
Бул жерде сиз типтүү Firezone орнотуусуна тиешелүү файлдардын жана каталогдордун тизмесин таба аласыз. Булар конфигурация файлыңыздын өзгөрүшүнө жараша өзгөрүшү мүмкүн.
жол | баяндоо |
/var/opt/firezon | Firezone пакеттелген кызматтары үчүн маалыматтарды жана түзүлгөн конфигурацияны камтыган жогорку деңгээлдеги каталог. |
/opt/firezon | Firezone үчүн керектүү курулган китепканаларды, бинардык файлдарды жана иштөө убактысын камтыган жогорку деңгээлдеги каталог. |
/usr/bin/firezon-ctl | Firezone орнотууну башкаруу үчүн firezone-ctl утилитасы. |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runsvdir супервайзер процессин баштоо үчүн systemd бирдиги файлы. |
/etc/firezon | Firezone конфигурация файлдары. |
__________________________________________________________
Документтерде бул барак бош болчу
_____________________________________________________________
Төмөнкү nftables брандмауэр үлгүсүн Firezone иштеткен серверди коргоо үчүн колдонсо болот. Калып кээ бир божомолдорду жасайт; эрежелерди колдонуу жагдайыңызга ылайыкташтыруу керек болушу мүмкүн:
Firezone өзүнүн nftables эрежелерин конфигурациялайт, веб-интерфейсте конфигурацияланган багыттарга трафикке уруксат берүү/баш тартуу жана кардар трафиги үчүн чыгуучу NATти иштетүү.
Төмөнкү брандмауэр үлгүсүн мурунтан эле иштеп жаткан серверде колдонуу (жүктөө учурунда эмес) Firezone эрежелеринин тазаланышына алып келет. Бул коопсуздук кесепеттери болушу мүмкүн.
Бул маселени чечүү үчүн Phoenix кызматын кайра иштетиңиз:
firezone-ctl кайра баштоо Phoenix
#!/usr/sbin/nft -f
## Учурдагы бардык эрежелерди тазалоо/тазалоо
тазалоо эрежелери
################################ varibles ############################################################################################################################################################################################################## ###############
## Интернет/WAN интерфейсинин аталышы
аныктоо DEV_WAN = eth0
## WireGuard интерфейсинин аталышы
аныктоо DEV_WIREGUARD = wg-firezon
## WireGuard угуу порту
WIREGUARD_PORT = аныктоо 51820
############################## Сүрөттөр Акыркы ################################################################################################################################################################################################################################################################### ############
# Негизги inet үй-бүлө чыпкалоо стол
стол инет чыпкасы {
# Багытталган трафиктин эрежелери
# Бул чынжыр Firezone алдыга чынжырынын алдында иштетилет
чынжыр алдыга {
түрү чыпкасы илгич алдыга артыкчылык чыпкасы - 5; саясатты кабыл алуу
}
# Киргизүү трафигинин эрежелери
чынжыр киргизүү {
түрү чыпкасы илгич киргизүү артыкчылык чыпкасы; саясаттын төмөндөшү
## Loopback интерфейсине кирүүчү трафикке уруксат берүү
iif lo \
кабыл алуу \
түшүндүрмө "Бардык трафиктин кайра интерфейсинен кирүүгө уруксат берүү"
## Түзүлгөн жана тиешелүү байланыштарга уруксат
ct мамлекет түзүлгөн, байланыштуу \
кабыл алуу \
түшүндүрмө "Түзүлгөн/байланыштуу байланыштарга уруксат"
## Кирүүчү WireGuard трафигине уруксат берүү
iif $DEV_WAN udp dport $WIREGUARD_PORT \
эсептегич \
кабыл алуу \
түшүндүрмө "Кирүүчү WireGuard трафигине уруксат берүү"
## Жаңы TCP SYN пакеттерин киргизиңиз жана таштаңыз
tcp желектери != syn ct абалы жаңы \
чек чен 100/мүнөт жарылуу 150 пакеттер \
журнал префикси “IN – Жаңы !SYN: “ \
түшүндүрмө "SYN TCP желеги орнотулбаган жаңы туташуулар үчүн тарифти чектөө журналы"
tcp желектери != syn ct абалы жаңы \
эсептегич \
таштоо \
түшүндүрмө "SYN TCP желеги орнотулбаган жаңы байланыштарды таштаңыз"
## Жараксыз fin/syn желеги коюлган TCP пакеттерин киргизиңиз жана таштаңыз
tcp желектери & (fin|syn) == (fin|syn) \
чек чен 100/мүнөт жарылуу 150 пакеттер \
журнал префикси “IN – TCP FIN|SIN:” \
түшүндүрмө "Жараксыз fin/syn желеги коюлган TCP пакеттери үчүн тарифтик чектөө журналы"
tcp желектери & (fin|syn) == (fin|syn) \
эсептегич \
таштоо \
түшүндүрмө "Жарык эмес fin/syn желеги коюлган TCP пакеттерин таштаңыз"
## Жараксыз синхрондоштуруу/биринчи желек орнотулган TCP пакеттерин киргизиңиз жана таштаңыз
tcp желектери & (syn|rst) == (syn|rst) \
чек чен 100/мүнөт жарылуу 150 пакеттер \
журнал префикси “IN – TCP SYN|RST:” \
түшүндүрмө "Жараксыз синхрондоштуруу/биринчи желек коюлган TCP пакеттери үчүн тарифтик чектөө журналы"
tcp желектери & (syn|rst) == (syn|rst) \
эсептегич \
таштоо \
түшүндүрмө "Жараксыз синхрондоштуруу/биринчи желек коюлган TCP пакеттерин таштаңыз"
## Каттоо жана жараксыз TCP желектерин таштоо
tcp желектери & (fin|syn|rst|psh|ack|urg) < (fin) \
чек чен 100/мүнөт жарылуу 150 пакеттер \
журнал префикси "IN - FIN:" \
түшүндүрмө "Жарык эмес TCP желектери үчүн тарифтин чегин жазуу (fin|syn|rst|psh|ack|urg) < (fin)"
tcp желектери & (fin|syn|rst|psh|ack|urg) < (fin) \
эсептегич \
таштоо \
түшүндүрмө "TCP пакеттерин желектери менен таштаңыз (fin|syn|rst|psh|ack|urg) < (fin)"
## Каттоо жана жараксыз TCP желектерин таштоо
tcp желектери & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
чек чен 100/мүнөт жарылуу 150 пакеттер \
журнал префикси “IN – FIN|PSH|URG:” \
түшүндүрмө "Жарык эмес TCP желектери үчүн тарифтин чегин жазуу (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp желектери & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
эсептегич \
таштоо \
түшүндүрмө "TCP пакеттерин желектери менен таштаңыз (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Туташуу абалы жараксыз болгон трафикти түшүрүү
ct абалы жараксыз \
чек чен 100/мүнөт жарылуу 150 пакеттер \
журналдын бардык префикстерин белгилейт "IN - Жараксыз:" \
түшүндүрмө "Туташуу абалы жараксыз болгон трафик үчүн тарифтик чектөө журналы"
ct абалы жараксыз \
эсептегич \
таштоо \
түшүндүрмө "Туташуу абалы жараксыз болгон трафикти түшүрүү"
## IPv4 пинг/пинг жоопторуна уруксат бериңиз, бирок ылдамдыкты 2000 PPS менен чектеңиз
ip протокол icmp icmp түрү {эхо-жооп, жаңырык-суроо} \
чек чен 2000/экинчи \
эсептегич \
кабыл алуу \
түшүндүрмө "Кирүүчү IPv4 жаңыруусуна (пинг) 2000 PPS менен чектелген уруксат"
## Башка бардык кирүүчү IPv4 ICMPге уруксат берүү
ip протокол icmp \
эсептегич \
кабыл алуу \
түшүндүрмө "Баардык башка IPv4 ICMPге уруксат берүү"
## IPv6 пинг/пинг жоопторуна уруксат бериңиз, бирок ылдамдыкты 2000 PPS менен чектеңиз
icmpv6 түрү {эхо-жооп, жаңырык-суроо} \
чек чен 2000/экинчи \
эсептегич \
кабыл алуу \
түшүндүрмө "Кирүүчү IPv6 жаңыруусуна (пинг) 2000 PPS менен чектелген уруксат"
## Башка бардык кирүүчү IPv6 ICMPге уруксат берүү
мета l4proto {icmpv6} \
эсептегич \
кабыл алуу \
түшүндүрмө "Баардык башка IPv6 ICMPге уруксат берүү"
## Кирүүчү traceroute UDP портторуна уруксат бериңиз, бирок 500 PPS менен чектеңиз
udp dport 33434-33524 \
чек чен 500/экинчи \
эсептегич \
кабыл алуу \
түшүндүрмө "500 PPS менен чектелүүчү UDP трасроутуна уруксат берүү"
## Кирүүчү SSHга уруксат берүү
tcp dport SSH ct мамлекет жаңы \
эсептегич \
кабыл алуу \
түшүндүрмө "Кирүүчү SSH байланыштарына уруксат берүү"
## Кирүүчү HTTP жана HTTPSге уруксат берүү
tcp dport { http, https } ct абалы жаңы \
эсептегич \
кабыл алуу \
түшүндүрмө "Кирүүчү HTTP жана HTTPS байланыштарына уруксат берүү"
## Теңдешсиз трафикти каттаңыз, бирок каттоо эсебин мүнөтүнө эң көп дегенде 60 билдирүү менен чектеңиз
## Демейки саясат дал келбеген трафикке колдонулат
чек чен 60/мүнөт жарылуу 100 пакеттер \
журнал префикси "IN - Drop:" \
түшүндүрмө "Карсы теңдешсиз трафикти каттоо"
## Теңдешсиз трафикти санаңыз
эсептегич \
түшүндүрмө "Табышпаган трафикти эсептөө"
}
# Чыгуу трафигинин эрежелери
чынжыр чыгаруу {
түрү чыпкасы илгич чыгаруу артыкчылык чыпкасы; саясаттын төмөндөшү
## Чыгуучу трафиктин кайра интерфейсине уруксат берүү
эй бул \
кабыл алуу \
түшүндүрмө "Бардык трафиктин кайра интерфейске чыгуусуна уруксат берүү"
## Түзүлгөн жана тиешелүү байланыштарга уруксат
ct мамлекет түзүлгөн, байланыштуу \
эсептегич \
кабыл алуу \
түшүндүрмө "Түзүлгөн/байланыштуу байланыштарга уруксат"
## Жаман абалдагы байланыштарды үзүүдөн мурун WireGuard трафигине уруксат бериңиз
oif $DEV_WAN udp спорт $WIREGUARD_PORT \
эсептегич \
кабыл алуу \
түшүндүрмө "WireGuard чыгуучу трафикке уруксат берүү"
## Туташуу абалы жараксыз болгон трафикти түшүрүү
ct абалы жараксыз \
чек чен 100/мүнөт жарылуу 150 пакеттер \
журналдын бардык префикстерин белгилейт “OUT – Жараксыз:” \
түшүндүрмө "Туташуу абалы жараксыз болгон трафик үчүн тарифтик чектөө журналы"
ct абалы жараксыз \
эсептегич \
таштоо \
түшүндүрмө "Туташуу абалы жараксыз болгон трафикти түшүрүү"
## Башка бардык чыгуучу IPv4 ICMPге уруксат берүү
ip протокол icmp \
эсептегич \
кабыл алуу \
түшүндүрмө "Бардык IPv4 ICMP түрлөрүнө уруксат берүү"
## Башка бардык чыгуучу IPv6 ICMPге уруксат берүү
мета l4proto {icmpv6} \
эсептегич \
кабыл алуу \
түшүндүрмө "Бардык IPv6 ICMP түрлөрүнө уруксат берүү"
## Чыгуучу traceroute UDP портторуна уруксат бериңиз, бирок 500 PPS менен чектеңиз
udp dport 33434-33524 \
чек чен 500/экинчи \
эсептегич \
кабыл алуу \
түшүндүрмө "500 PPS менен чектелген Чыгуучу UDP тресерутка уруксат берүү"
## Чыгуучу HTTP жана HTTPS байланыштарына уруксат берүү
tcp dport { http, https } ct абалы жаңы \
эсептегич \
кабыл алуу \
түшүндүрмө "Чыгуучу HTTP жана HTTPS байланыштарына уруксат берүү"
## Чыгуучу SMTP тапшырууга уруксат берүү
tcp dport тапшыруу ct абалы жаңы \
эсептегич \
кабыл алуу \
түшүндүрмө "Чыгуучу SMTP тапшырууга уруксат берүү"
## Чыгуучу DNS сурамдарына уруксат берүү
udp dport 53 \
эсептегич \
кабыл алуу \
түшүндүрмө "Чыгуучу UDP DNS сурамдарына уруксат берүү"
tcp dport 53 \
эсептегич \
кабыл алуу \
түшүндүрмө "Чыгуучу TCP DNS сурамдарына уруксат берүү"
## Чыгуучу NTP сурамдарына уруксат берүү
udp dport 123 \
эсептегич \
кабыл алуу \
түшүндүрмө "Чыгуучу NTP сурамдарына уруксат берүү"
## Теңдешсиз трафикти каттаңыз, бирок каттоо эсебин мүнөтүнө эң көп дегенде 60 билдирүү менен чектеңиз
## Демейки саясат дал келбеген трафикке колдонулат
чек чен 60/мүнөт жарылуу 100 пакеттер \
журнал префикси "OUT - таштоо:" \
түшүндүрмө "Карсы теңдешсиз трафикти каттоо"
## Теңдешсиз трафикти санаңыз
эсептегич \
түшүндүрмө "Табышпаган трафикти эсептөө"
}
}
# Негизги NAT чыпкалоо таблицасы
стол inet nat {
# NAT трафиктин алдын ала багыттоо эрежелери
чынжыр алдын ала багыттоо {
type nat hook prerouting priority dstnat; саясатты кабыл алуу
}
# NAT трафиктин пост-маршруттук эрежелери
# Бул таблица Firezone пост-маршруттук чынжырынан мурун иштетилет
чынжырдан чыгуу {
териңиз nat hook postrouting priority srcnat – 5; саясатты кабыл алуу
}
}
Firewall иштеп жаткан Linux дистрибуциясы үчүн тиешелүү жерде сакталышы керек. Debian/Ubuntu үчүн бул /etc/nftables.conf жана RHEL үчүн бул /etc/sysconfig/nftables.conf.
nftables.service жүктөөдө баштоо үчүн конфигурацияланышы керек (эгерде али жок болсо):
systemctl иштетүү nftables.service
Эгер брандмауэрдин шаблонуна кандайдыр бир өзгөртүүлөр киргизилсе, текшерүү буйругун иштетүү менен синтаксис текшерилиши мүмкүн:
nft -f /path/to/nftables.conf -c
Брандмауэрдин күтүлгөндөй иштешин текшериңиз, анткени серверде иштеп жаткан релизге жараша айрым nftables функциялары жеткиликтүү болбой калышы мүмкүн.
_______________________________________________________________
Бул документте Firezone өз алдынча жайгаштырылган инстанцияңыздан чогулткан телеметрияга жана аны кантип өчүрүүгө болот.
өрт зонасы таянат телеметрия боюнча биздин жол картасын артыкчылыктуу жана инженердик ресурстарды оптималдаштыруу Firezone бардыгы үчүн жакшыраак кылышыбыз керек.
Биз чогулткан телеметрия төмөнкү суроолорго жооп берүүгө багытталган:
Firezone аймагында телеметрия чогултулган үч негизги жер бар:
Ушул үч контексттин ар биринде биз жогорудагы бөлүмдөгү суроолорго жооп берүү үчүн зарыл болгон маалыматтардын минималдуу көлөмүн алабыз.
Администратордун электрондук каттары сиз өнүм жаңыртууларына ачык кошулганыңызда гана чогултулат. Болбосо, инсандык маалымат болуп саналат эч качан чогултулган.
Firezone телеметрияны жеке Kubernetes кластеринде иштеген PostHog өз алдынча жайгаштырылган инстанциясында сактайт, Firezone командасы гана жеткиликтүү. Бул жерде Firezone инстанцияңыздан биздин телеметрия серверибизге жөнөтүлгөн телеметрия окуясынын мисалы келтирилген:
{
кет: “0182272d-0b88-0000-d419-7b9a413713f1”,
"убакыт белгиси": “2022-07-22T18:30:39.748000+00:00”,
"окуя": "fz_http_started",
"айырмалуу_идентификатор": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"касиеттер":{
“$geoip_city_name”: "Ашберн",
“$geoip_continent_code”: "НА",
“$geoip_continent_name”: "Түндүк Америка",
“$geoip_country_code”: "АКШ",
“$geoip_country_name”: "Кошмо штаттар",
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: «20149»,
“$geoip_subdivision_1_code”: "VA",
“$geoip_subdivision_1_name”: "Виржиния",
“$geoip_time_zone”: "Америка/Нью_Йорк",
"$ip": «52.200.241.107»,
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”: [
"GeoIP (3)"
],
"айырмалуу_идентификатор": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "linux 5.13.0",
"версия": «0.4.6»
},
"элементтер_чынжыр": «»
}
ЭСКЕРТҮҮ
Firezone өнүктүрүү командасы таянат Firezone бардыгы үчүн жакшыраак кылуу үчүн продукт аналитикасы боюнча. Телеметрияны күйгүзүп коюу Firezone'дун өнүгүшүнө кошкон эң баалуу салымыңыз болуп саналат. Айтор, биз кээ бир колдонуучулардын купуялык же коопсуздук талаптары жогору экенин түшүнөбүз жана телеметрияны толугу менен өчүрүүнү каалашат. Эгер бул сиз болсоңуз, окууну улантыңыз.
Телеметрия демейки боюнча иштетилген. Продукциянын телеметриясын толугу менен өчүрүү үчүн, /etc/firezone/firezone.rb ичинде төмөнкү конфигурация опциясын "false" деп коюп, өзгөртүүлөрдү кабыл алуу үчүн sudo firezone-ctl reconfigure иштетиңиз.
демейки['от зонасы']['телеметрия']['иштелген'] = жалган
Бул продукттун бардык телеметриясын толугу менен өчүрөт.
Hailbytes
9511 Queens Guard Ct.
Лорел, MD 20723
Тел: (732) 771-9995
Электрондук почта: info@hailbytes.com