Toromarika tsikelikely amin'ny fametrahana Hailbytes VPN miaraka amin'ny GUI Firezone dia omena eto.
Administrator: Ny fametrahana ny ohatra mpizara dia mifandray mivantana amin'ity ampahany ity.
Torolàlana ho an'ny mpampiasa: Taratasy mahasoa izay afaka mampianatra anao ny fomba fampiasana Firezone sy mamaha olana mahazatra. Rehefa vita ny fametrahana ny mpizara dia jereo ity fizarana ity.
Split Tunneling: Ampiasao ny VPN handefasana fifamoivoizana amin'ny faritra IP manokana.
Whitelisting: Mametraha adiresy IP static an'ny mpizara VPN mba hampiasana lisitra fotsy.
Tonelina mivadika: Mamorona tionelina eo anelanelan'ny mpiara-mianatra maromaro mampiasa tionelina mivadika.
Faly izahay manampy anao raha mila fanampiana amin'ny fametrahana, fanamboarana, na fampiasana Hailbytes VPN ianao.
Alohan'ny ahafahan'ny mpampiasa mamokatra na misintona rakitra fikirakirana fitaovana, dia azo amboarina ny Firezone mba hitakiana fanamarinana. Mety mila manamarina tsindraindray koa ny mpampiasa mba hitazonana ny fifandraisany VPN ho mavitrika.
Na dia mailaka sy tenimiafina eo an-toerana aza ny fomba fidiran'ny Firezone, dia azo ampidirina amin'ireo mpamatsy anarana OpenID Connect (OIDC) manara-penitra. Afaka miditra ao amin'ny Firezone izao ny mpampiasa amin'ny alàlan'ny Okta, Google, Azure AD, na ny mombamomba azy manokana.
Ampidiro ny Mpanome OIDC Generic
Ny mari-pamantarana fanamafisam-peo ilain'ny Firezone ahafahan'ny SSO mampiasa mpamatsy OIDC dia aseho amin'ny ohatra etsy ambany. Ao amin'ny /etc/firezone/firezone.rb, azonao atao ny mahita ny rakitra fikirakirana. Alefaso ny firezone-ctl reconfigure ary avereno indray ny firezone-ctl mba hanavao ny fampiharana sy hampiharana ny fanovana.
# Ity dia ohatra iray amin'ny fampiasana Google sy Okta ho mpamatsy famantarana SSO.
# Ny config OIDC marobe dia azo ampiana amin'ny ohatra Firezone mitovy.
# Firezone dia afaka manafoana ny VPN an'ny mpampiasa raha misy hadisoana hita manandrana
# hamelombelona ny fidirana_token-dry zareo. Ity dia voamarina fa miasa amin'ny Google, Okta, ary
# Azure SSO ary ampiasaina hanalana ho azy ny VPN an'ny mpampiasa raha esorina
# avy amin'ny mpamatsy OIDC. Avelao ho kilemaina ity raha toa ny mpamatsy OIDC anao
# manana olana mamelombelona famantarana fidirana satria mety hanapaka tsy nampoizina a
fivoriana VPN an'ny mpampiasa #.
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = diso
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: “code”,
sehatra: "profil mailaka misokatra",
etikety: "Google"
},
okta: {
discovery_document_uri: “https:// /.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: “code”,
sehatra: "profil mailaka misokatra offline_access",
etikety: "Okta"
}
}
Ireto rindran-tsary manaraka ireto dia ilaina amin'ny fampidirana:
Ho an'ny mpamatsy OIDC tsirairay dia misy URL tsara tarehy mifanaraka amin'izany mba hamindrana mankany amin'ny URL fidiran'ny mpamatsy voarindra. Ho an'ny ohatra OIDC config etsy ambony, ny URL dia:
Ny mpamatsy dia manana antontan-taratasy momba ny:
Raha manana mpampitohy OIDC jeneraly ny mpamatsy famantarana anao ary tsy voatanisa etsy ambony, azafady mankanesa any amin'ny antontan-taratasin'izy ireo raha mila fanazavana momba ny fomba fakana ireo fanovana ilaina.
Ny fandrindrana eo ambanin'ny fandrindrana/fiarovana dia azo ovaina mba hitakiana ny fanamarinana indray mandeha. Ity dia azo ampiasaina hanamafisana ny fepetra takian'ny mpampiasa hiditra ao amin'ny Firezone tsy tapaka mba hanohizana ny fivoriana VPN.
Ny halavan'ny fotoam-pivoriana dia azo amboarina ho eo anelanelan'ny adiny iray sy sivypolo andro. Amin'ny alàlan'ny fametrahana izany amin'ny Never, azonao atao ny mamela ny fivoriana VPN amin'ny fotoana rehetra. Izany no fenitra.
Ny mpampiasa iray dia tsy maintsy manafoana ny fotoam-pivoriana VPN ary miditra amin'ny vavahadin-tserasera Firezone mba hanamarina indray ny fivoriana VPN efa lany andro (URL voatondro mandritra ny fametrahana).
Azonao atao ny manamarina indray ny fotoam-pivorianao amin'ny alàlan'ny fanarahana ny torolàlana mazava ho an'ny mpanjifa hita eto.
Satan'ny fifandraisana VPN
Ny tsanganana tabilao VPN Connection an'ny mpampiasa dia mampiseho ny satan'ny fifandraisan'ny mpampiasa. Ireto ny sata mifandray:
ENABLED - Ny fifandraisana dia alefa.
DISABLED - Ny fifandraisana dia nosakanan'ny mpitantana na ny tsy fahombiazan'ny fanavaozana OIDC.
TAPISY - Ny fifandraisana dia tapaka noho ny fahataperan'ny fanamarinana na ny mpampiasa iray tsy niditra voalohany.
Amin'ny alàlan'ny mpampitohy OIDC ankapobeny, ny Firezone dia mamela ny Single Sign-On (SSO) miaraka amin'ny Google Workspace sy Cloud Identity. Ity torolalana ity dia hampiseho aminao ny fomba hahazoana ny mari-pamantarana fanamafisana voatanisa etsy ambany, izay ilaina amin'ny fampidirana:
1. OAuth Config Screen
Raha vao sambany ianao no mamorona ID mpanjifa OAuth vaovao, dia angatahina ianao hanamboatra efijery fanekena.
* Safidio ny anatiny ho an'ny karazana mpampiasa. Izany dia miantoka fa ny kaonty an'ny mpampiasa ao amin'ny Organisation Google Workspace-nao ihany no afaka mamorona tefi-tranonkala. AZA misafidy ny ivelany raha tsy te-hamela olona manana kaonty Google manan-kery hamorona configs fitaovana.
Ao amin'ny efijery fampahalalana App:
2. Mamorona ID mpanjifa OAuth
Ity fizarana ity dia mifototra amin'ny antontan-taratasin'i Google momba ny fametrahana OAuth 2.0.
Tsidiho ny Google Cloud Console Pejy fanamarinana pejy, tsindrio + Create Credentials ary mifidiana OAuth client ID.
Ao amin'ny efijery famoronana ID mpanjifa OAuth:
Aorian'ny famoronana ny ID mpanjifa OAuth dia homena ID mpanjifa sy tsiambaratelon'ny mpanjifa ianao. Ireo dia hampiasaina miaraka amin'ny redirect URI amin'ny dingana manaraka.
anglisy /etc/firezone/firezone.rb hampiditra ireto safidy eto ambany ireto:
# Mampiasa an'i Google ho mpamatsy famantarana SSO
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: “code”,
sehatra: "profil mailaka misokatra",
etikety: "Google"
}
}
Alefaso ny firezone-ctl reconfigure ary avereno indray ny firezone-ctl hanavao ny fampiharana. Tokony hahita bokotra Sign in miaraka amin'ny Google ianao amin'ny root Firezone URL.
Firezone dia mampiasa ny mpampitohy OIDC mahazatra hanamora ny Single Sign-On (SSO) miaraka amin'ny Okta. Ity torolalana ity dia hampiseho anao ny fomba hahazoana ny mari-pamantarana fanamafisana voatanisa etsy ambany, izay ilaina amin'ny fampidirana:
Ity fizarana amin'ny torolàlana ity dia mifototra amin'ny Ny antontan-taratasin'i Okta.
Ao amin'ny Admin Console, mandehana amin'ny Applications > Applications ary tsindrio Create App Integration. Apetraho amin'ny OICD ny fomba fisoratana anarana - OpenID Connect ary karazana fampiharana amin'ny fampiharana Web.
Ampifandraiso ireto fikirana ireto:
Raha vantany vao voatahiry ny fikandrana, dia homena ID mpanjifa, tsiambaratelon'ny mpanjifa ary Okta Domain ianao. Ireo soatoavina 3 ireo dia hampiasaina amin'ny dingana 2 hanamboarana Firezone.
anglisy /etc/firezone/firezone.rb hampiditra ny safidy eto ambany. ny discovery_document_url dia ho /.well-known/openid-configuration ampiana amin'ny faran'ny anao okta_domain.
# Mampiasa Okta ho mpamatsy famantarana SSO
default['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri: “https:// /.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: “code”,
sehatra: "profil mailaka misokatra offline_access",
etikety: "Okta"
}
}
Alefaso ny firezone-ctl reconfigure ary avereno indray ny firezone-ctl hanavao ny fampiharana. Tokony hahita bokotra Sign in miaraka amin'ny Okta ianao amin'ny root Firezone URL.
Ireo mpampiasa afaka miditra amin'ny fampiharana Firezone dia azo ferana amin'ny Okta. Mankanesa any amin'ny Okta Admin Console's Firezone App Integration's Assignments mba hanatanterahana izany.
Amin'ny alàlan'ny mpampitohy OIDC generic, ny Firezone dia mamela ny Single Sign-On (SSO) miaraka amin'ny Azure Active Directory. Ity boky torolalana ity dia hampiseho aminao ny fomba hahazoana ny mari-pamantarana fanamafisam-peo voatanisa etsy ambany, izay ilaina amin'ny fampidirana:
Ity torolàlana ity dia nalaina avy amin'ny Azure Active Directory Docs.
Mankanesa any amin'ny Azure Active Directory pejy Azure. Safidio ny safidy Manage menu, safidio ny fisoratana anarana vaovao, ary misoratra anarana amin'ny fanomezana ny fampahalalana eto ambany:
Aorian'ny fisoratana anarana dia sokafy ny fijerin'ny antsipiriany momba ny fampiharana ary kopia ny ID fampiharana (client). Ity no sandan'ny client_id. Avy eo, sokafy ny menio endpoints mba haka ny antontan-taratasy metadata OpenID Connect. Ity no sanda discovery_document_uri.
Mamorona tsiambaratelo mpanjifa vaovao amin'ny alàlan'ny fipihana ny safidy Certificates & secrets eo ambanin'ny menu Manage. Adikao ny tsiambaratelon'ny mpanjifa; ny sanda miafina mpanjifa dia ho izao.
Farany, safidio ny rohy fahazoan-dàlana API eo ambanin'ny menu Manage, tsindrio Manampia alalana, ary mifidiana Microsoft Graph, Add mailaka, openid, offline_access sy piraofilina amin'ny alalana ilaina.
anglisy /etc/firezone/firezone.rb hampiditra ireto safidy eto ambany ireto:
# Mampiasa Azure Active Directory ho mpanome famantarana SSO
default['firezone']['authentication']['oidc'] = {
azure: {
discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
client_id: “ ”,
client_secret: “ ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
response_type: “code”,
sehatra: "profil mailaka misokatra offline_access",
marika: "Azure"
}
}
Alefaso ny firezone-ctl reconfigure ary avereno indray ny firezone-ctl hanavao ny fampiharana. Tokony hahita bokotra Sign in miaraka amin'ny Azure ianao amin'ny root Firezone URL.
Azure AD dia ahafahan'ny mpitantana mametra ny fidirana amin'ny fampiharana amin'ny vondrona mpampiasa manokana ao anatin'ny orinasanao. Ny fampahalalana bebe kokoa momba ny fomba hanaovana izany dia azo jerena ao amin'ny antontan-taratasin'i Microsoft.
Chef Omnibus dia ampiasain'ny Firezone hitantana ny asa ao anatin'izany ny famotsorana ny fonosana, ny fanaraha-maso ny fizotrany, ny fitantanana ny log, sy ny maro hafa.
Ny kaody Ruby no mahaforona ny rakitra fanamafisana voalohany, izay hita ao amin'ny /etc/firezone/firezone.rb. Ny famerenana indray ny sudo firezone-ctl reconfigure rehefa avy nanao fanovana an'io rakitra io dia mahatonga ny Chef hahafantatra ny fanovana ary hampihatra azy ireo amin'ny rafitra miasa ankehitriny.
Jereo ny fanondroana fisie fanamafisam-peo ho an'ny lisitra feno momba ny fari-pandaminana sy ny famaritana azy.
Ny ohatra Firezone anao dia azo fehezina amin'ny alàlan'ny firezone-ctl baiko, araka ny aseho eto ambany. Ny ankamaroan'ny subcommands dia mila préfix amin'ny sudo.
root@demo:~# firezone-ctl
omnibus-ctl: baiko (subcommand)
Didy ankapobe:
manadio
Fafao *rehetra* ny angona firezone, ary manomboka hatrany am-boalohany.
mamorona-na-reset-admin
Mamerina ny tenimiafina ho an'ny admin miaraka amin'ny mailaka voatondro ho default['firezone']['admin_email'] na mamorona admin vaovao raha tsy misy io mailaka io.
Vonjeo
Soraty ity hafatra fanampiana ity.
reconfigure
Reconfigure ny fampiharana.
reset-tambajotra
Mamerina ny nftables, ny interface WireGuard, ary ny latabatra fampitaovana miverina amin'ny default Firezone.
show-config
Asehoy ny fandrindrana izay ho vokarina amin'ny alalan'ny reconfigure.
teardown-tambajotra
Esory ny interface WireGuard sy ny latabatra firezone nftables.
force-cert-renewal
Manery ny fanavaozana ny certificat izao na dia tsy lany andro aza.
stop-cert-renewal
Esory ny cronjob izay manavao ny mari-pankasitrahana.
esory
Vonoy ny dingana rehetra ary esory ny mpanara-maso ny fizotrany (tehirizina ny data).
Malagasy Bible
Asehoy ny kinova Firezone ankehitriny
Didy fitantanana serivisy:
mahafaty tsara tarehy
Manandrama fiatoana tsara, dia SIGKILL ny vondrona manontolo.
hup
Alefaso HUP ny serivisy.
int
Alefaso INT ny serivisy.
mamono
Alefaso ho KILL ny serivisy.
indray mandeha
Atombohy ny serivisy raha toa ka midina izy ireo. Aza averina indray izy ireo raha mijanona.
haverina velomina
Atsaharo ny serivisy raha mandeha izy ireo, dia atombohy indray.
lisitry ny serivisy
Tanisao ny serivisy rehetra (miseho miaraka amin'ny * .)
nanomboka
Atombohy ny serivisy raha toa ka midina izy ireo, ary avereno indray izy ireo raha mijanona.
sata
Asehoy ny satan'ny serivisy rehetra.
Mijanòna
Atsaharo ny serivisy ary aza avereno indray.
rambony
Jereo ny diarin'ny serivisy amin'ny serivisy alefa rehetra.
teny
Alefaso TERM ny serivisy.
usr1
Alefaso USR1 ny serivisy.
usr2
Alefaso USR2 ny serivisy.
Ny fivoriana VPN rehetra dia tsy maintsy atsahatra alohan'ny hanavaozana ny Firezone, izay mitaky ny fanakatonana ny Web UI. Raha misy zavatra tsy mety mandritra ny fanavaozana dia manoro hevitra izahay hanokana adiny iray ho an'ny fikojakojana.
Mba hanatsarana ny Firezone, ataovy ireto hetsika manaraka ireto:
Raha misy olana miseho, azafady mba ampahafantaro anay manolotra tapakila fanohanana.
Misy fiovana vitsivitsy sy fanovana fanamafisam-peo ao amin'ny 0.5.0 izay tsy maintsy resahina. Fantaro bebe kokoa eto ambany.
Nginx dia tsy manohana ny hery SSL sy ny seranan-tsambo tsy SSL amin'ny version 0.5.0. Satria mila SSL ny Firezone, dia manoro hevitra izahay hanesorana ny serivisy Nginx amin'ny alàlan'ny fametrahana ny default['firezone']['nginx']['enabled'] = diso ary apetraho amin'ny app Phoenix amin'ny seranan-tsambo 13000 fa tsy izany (amin'ny alàlan'ny default ).
0.5.0 dia manolotra fanohanana protocol ACME ho an'ny fanavaozana ho azy ny mari-pankasitrahana SSL miaraka amin'ny serivisy Nginx voafatotra. Mba ahafahana,
Ny fahafahana manampy fitsipika miaraka amin'ny toerana duplicate dia lasa ao amin'ny Firezone 0.5.0. Ny script fifindra-moninay dia hamantatra ho azy ireo toe-javatra ireo mandritra ny fanavaozana ho 0.5.0 ary ny fitsipika izay ahitana ny fitsipika hafa ihany no tazonina. Tsy misy tokony hataonao raha mety izany.
Raha tsy izany, alohan'ny hanavaozana dia manoro hevitra izahay hanova ny fitsipi-dalao mba hialana amin'ireo toe-javatra ireo.
Ny Firezone 0.5.0 dia manaisotra ny fanohanana ny Okta taloha sy ny Google SSO endrika ho an'ny fanovana mifototra amin'ny OIDC vaovao sy mora kokoa.
Raha toa ka manana famaha ['firezone']['authentication']['okta'] na default['firezone']['authentication']['google'] ianao, dia mila mifindra any amin'ny OIDC-nay ianao. -Configuration mifototra amin'ny fampiasana ny torolàlana etsy ambany.
Fametrahana Google OAuth efa misy
Esory ireto andalana misy ny Google OAuth configs taloha ireto ao amin'ny fisienao izay hita ao amin'ny /etc/firezone/firezone.rb
default['firezone']['authentication']['google']['enabled']
default['firezone']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
default['firezone']['authentication']['google']['redirect_uri']
Avy eo, amboary ny Google ho mpamatsy OIDC amin'ny alàlan'ny fanarahana ny fomba fiasa eto.
(Manomeza toromarika rohy)<<<<<<<<<<<<<<<<
Tefeo ny Google OAuth efa misy
Esory ireo andalana misy ny Okta OAuth configs taloha ao amin'ny fisie misy anao ao amin'ny /etc/firezone/firezone.rb
default['firezone']['authentication']['okta']['enabled']
default['firezone']['authentication']['okta']['client_id']
default['firezone']['authentication']['okta']['client_secret']
Default['firezone']['authentication']['okta']['site']
Avy eo, amboary ny Okta ho mpamatsy OIDC amin'ny fanarahana ny fomba fiasa eto.
Miankina amin'ny fanamboaranao sy ny dikan-nao ankehitriny, araho ny torolalana etsy ambany:
Raha efa manana fampidirana OIDC ianao:
Ho an'ny mpamatsy OIDC sasany, ny fanavaozana ho >= 0.3.16 dia mila mahazo mari-pamantarana fanavaozana ho an'ny sehatra fidirana ivelan'ny aterineto. Amin'ny fanaovana izany dia azo antoka fa ny Firezone dia manavao amin'ny mpamatsy famantarana ary ny fifandraisana VPN dia tapaka rehefa voafafa ny mpampiasa iray. Tsy ampy an'io endri-javatra io ny famerimberenan'i Firezone teo aloha. Amin'ny toe-javatra sasany, ny mpampiasa voafafa amin'ny mpamatsy anao dia mety mbola mifandray amin'ny VPN.
Ilaina ny mampiditra ny fidirana ivelan'ny aterineto ao amin'ny mari-pamantarana sahan'ny fanefena OIDC anao ho an'ny mpamatsy OIDC izay manohana ny sahan'ny fidirana ivelan'ny aterineto. Ny Firezone-ctl reconfigure dia tsy maintsy tanterahina mba hampiharana ny fanovana amin'ny rakitra fikirakirana Firezone, izay hita ao amin'ny /etc/firezone/firezone.rb.
Ho an'ireo mpampiasa izay nohamarinin'ny mpamatsy OIDC anao dia ho hitanao ny lohatenin'ny OIDC Connections ao amin'ny pejin'ny antsipirihan'ny mpampiasa amin'ny UI web raha toa ka mahavita maka tsara ny marika famelombelomana ny Firezone.
Raha tsy mandeha izany dia mila mamafa ny fampiharana OAuth efa misy ianao ary mamerina ny dingana fananganana OIDC mba mamorona fampidirana fampiharana vaovao .
Manana fampidirana OAuth efa misy aho
Talohan'ny 0.3.11, Firezone dia nampiasa mpamatsy OAuth2 efa namboarina mialoha.
Araho ny torolàlana eto hifindra any amin'ny OIDC.
Tsy nampiditra mpanome famantarana aho
Tsy ilaina ny hetsika.
Azonao atao ny manaraka ny toromarika eto ahafahan'ny SSO amin'ny alalan'ny mpamatsy OIDC.
Ao amin'ny toerany, ny default['firezone']['external url'] dia nisolo ny safidin'ny configuration default['firezone']['fqdn'].
Apetraho amin'ny URL an'ny vavahadin-tseraseranao Firezone izay azon'ny besinimaro idirana. Hiditra amin'ny https:// miampy ny FQDN an'ny mpizara anao izy io raha avela tsy voafaritra.
Ny rakitra fanamafisana dia hita ao amin'ny /etc/firezone/firezone.rb. Jereo ny fanondroana fisie fanamafisam-peo ho an'ny lisitra feno momba ny fari-pandaminana sy ny famaritana azy.
Firezone dia tsy mitazona fanalahidy manokana amin'ny fitaovana ao amin'ny mpizara Firezone amin'ny dikan-0.3.0.
Ny Firezone Web UI dia tsy hamela anao hisintona indray na hijery ireo fanitsiana ireo, fa izay fitaovana efa misy dia tokony hanohy hiasa araka ny tokony ho izy.
Raha manavao avy amin'ny Firezone 0.1.x ianao, dia misy fanovana fisie vitsivitsy tsy maintsy atao amin'ny tanana.
Raha te hanao ireo fanovana ilaina amin'ny rakitra /etc/firezone/firezone.rb anao dia araho ny baiko etsy ambany ho root.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i "s/\['enable'\]/\['enabled'\]/" /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = marina" >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl reconfigure
firezone-ctl restart
Ny fanamarinana ny diarin'ny Firezone dia dingana voalohany tsara ho an'ny olana mety hitranga.
Alefaso ny rambony sudo firezone-ctl raha hijery ny logs Firezone.
Ny ankamaroan'ny olana mifandray amin'ny Firezone dia avy amin'ny fitsipika iptables na nftables tsy mifanaraka. Tokony ho azonao antoka fa tsy mifanipaka amin'ny fitsipiky ny Firezone ny fitsipika rehetra manankery.
Ataovy azo antoka fa ny rojo FORWARD dia mamela ny fonosana avy amin'ny mpanjifa WireGuard anao mankany amin'ny toerana tianao halefa amin'ny Firezone raha miharatsy ny fifandraisana Internet anao isaky ny manetsika ny tonelina WireGuard ianao.
Mety ho tratra izany raha mampiasa ufw ianao amin'ny alàlan'ny fiantohana fa avela ny politikan'ny fandalovana default:
ubuntu@fz:~$ sudo ufw default mamela lalana
Niova ho 'avela' ny politikan'ny lalan-kaleha
(aza adino ny manavao ny fitsipikao mifanaraka amin'izany)
A Wow Ny sata ho an'ny mpizara Firezone mahazatra dia mety ho toy izao:
ubuntu@fz:~$ sudo ufw status verbose
Status: mavitrika
Logging: on (ambany)
Default: mandà (miditra), mamela (mivoaka), mamela (lalao)
Profiles vaovao: skip
To Action From
— —— —-
22/tcp Avelao ho any na aiza na aiza
80/tcp Avelao ho any na aiza na aiza
443/tcp Avelao AO AMIN'NY AIZA
51820/udp Avelao Any Any Any
22/tcp (v6) Avelao ho any na aiza na aiza (v6)
80/tcp (v6) Avelao ho any na aiza na aiza (v6)
443/tcp (v6) Avelao any amin'ny toerana rehetra (v6)
51820/udp (v6) Avelao ho any amin'ny toerana rehetra (v6)
Manoro hevitra izahay hamerana ny fidirana amin'ny seha-pifandraisana web ho an'ny fametrahana famokarana saro-pady sy manakiana iraka, araka ny hazavaina etsy ambany.
Service | Port Default | Adiresy mihaino | Description |
Nginx | 80, 443 | rehetra | Seranan-tseranana HTTP(S) ho an'ny fitantanana Firezone sy hanamora ny fanamarinana. |
mpiambina tariby | 51820 | rehetra | Ny seranan-tsambo WireGuard Public ampiasaina amin'ny fivoriana VPN. (UDP) |
postgresql | 15432 | 127.0.0.1 | Seranana eo an-toerana ihany no ampiasaina amin'ny mpizara Postgresql mitambatra. |
Phoenix | 13000 | 127.0.0.1 | Seranana eo an-toerana ihany ampiasain'ny mpizara app elixir ambony. |
Manoro hevitra anao izahay mba hieritreritra momba ny famerana ny fidirana amin'ny UI web ampahibemaso an'i Firezone (amin'ny alàlan'ny seranan-tsambo 443/tcp sy 80/tcp) ary ampiasao ny tonelina WireGuard hitantana ny Firezone amin'ny famokarana sy ny fametrahana ho an'ny besinimaro izay ahafahan'ny mpitantana tokana hiandraikitra. amin'ny famoronana sy fizarana ny fanefena fitaovana amin'ny mpampiasa farany.
Ohatra, raha namorona rindrankajy fitaovana ny administratera iray ary namorona tonelina miaraka amin'ny adiresy WireGuard eo an-toerana 10.3.2.2, ity config ufw manaraka ity dia ahafahan'ny mpitantana miditra ny UI web Firezone amin'ny interface wg-firezone an'ny mpizara mampiasa ny default 10.3.2.1 adiresin'ny tonelina:
root@demo:~# ufw status verbose
Status: mavitrika
Logging: on (ambany)
Default: mandà (miditra), mamela (mivoaka), mamela (lalao)
Profiles vaovao: skip
To Action From
— —— —-
22/tcp Avelao ho any na aiza na aiza
51820/udp Avelao Any Any Any
Na aiza na aiza Avelao 10.3.2.2
22/tcp (v6) Avelao ho any na aiza na aiza (v6)
51820/udp (v6) Avelao ho any amin'ny toerana rehetra (v6)
Izany dia hiala fotsiny 22/tcp mibaribary amin'ny fidirana SSH hitantana ny mpizara (tsy voatery), ary 51820/udp mibaribary mba hametrahana tonelina WireGuard.
Firezone dia mamehy mpizara Postgresql sy mifanandrify psql utility izay azo ampiasaina amin'ny shell eo an-toerana toy izao:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
Mety hanampy amin'ny tanjona debugging izany.
Asa iombonana:
Lisitr'ireo mpampiasa rehetra:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “SIFIDY * FROM mpampiasa;”
Mitadiava fitaovana rehetra:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "MIFIDY * FROM fitaovana;"
Manova andraikitry ny mpampiasa:
Apetraho amin'ny 'admin' na 'unprivileged' ny andraikitra:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “FANAOVANA ny mpampiasa SET role = 'admin' WHERE email = 'user@example.com';"
Backup ny database:
Fanampin'izay, tafiditra ao ny programa pg dump, izay azo ampiasaina haka backups tsy tapaka ny angon-drakitra. Ataovy ity kaody manaraka ity mba hanariana ny dika mitovy amin'ny angon-drakitra amin'ny endrika fangatahana SQL mahazatra (soloo ny /path/to/backup.sql amin'ny toerana tokony hamoronana ny rakitra SQL):
/opt/firezone/embedded/bin/pg_dump \
-U firezone \
-d firezone \
-h localhost \
-p 15432 > /path/to/backup.sql
Rehefa vita soa aman-tsara ny Firezone dia tsy maintsy manampy mpampiasa ianao mba hanomezana azy ireo fidirana amin'ny tambajotrao. Ny Web UI no ampiasaina hanaovana izany.
Amin'ny fisafidianana ny bokotra "Add User" eo ambanin'ny /users, azonao atao ny manampy mpampiasa. Tsy maintsy manome ny mpampiasa adiresy mailaka sy tenimiafina ianao. Mba ahafahana miditra ho azy amin'ny mpampiasa ao amin'ny fikambananao dia afaka mifandray sy mampifanaraka amin'ny mpanome famantarana ihany koa ny Firezone. Misy antsipiriany bebe kokoa hita ao amin'ny manamarina. < Manampia rohy mankany amin'ny Authenticate
Manoro hevitra izahay mba hangataka ny mpampiasa hamorona ny fanefena ny fitaovany manokana mba ho azy ireo ihany no mahita ny lakile manokana. Ny mpampiasa dia afaka mamorona ny fanefenany manokana amin'ny alàlan'ny fanarahana ny torolàlana ao amin'ny Torolàlana ho an'ny mpanjifa pejy.
Ny fanamafisam-pitaovan'ny mpampiasa rehetra dia azo noforonin'ny mpandrindra Firezone. Ao amin'ny pejin'ny mombamomba ny mpampiasa hita ao amin'ny / mpampiasa, safidio ny safidy "Add Device" hanatanterahana izany.
[Ampidiro ny pikantsary]
Azonao atao ny mandefa mailaka amin'ny mpampiasa ny rakitra fikirakirana WireGuard rehefa avy namorona ny mombamomba ny fitaovana.
Mifandray ny mpampiasa sy ny fitaovana. Raha mila fanazavana fanampiny momba ny fomba hanampiana mpampiasa dia jereo Manampia mpampiasa.
Amin'ny alàlan'ny fampiasana ny rafitra netfilter an'ny kernel, ny Firezone dia manome fahafahana ny fanivanana mivoaka mba hamaritana ny fonosana DROP na ACCEPT. Ara-dalàna ny fifamoivoizana rehetra.
Ny IPv4 sy IPv6 CIDR ary ny adiresy IP dia tohanana amin'ny alàlan'ny Allowlist sy Denylist, tsirairay avy. Azonao atao ny misafidy ny hametaka fitsipika ho an'ny mpampiasa iray rehefa manampy azy io, izay mampihatra ny fitsipika amin'ny fitaovan'ny mpampiasa rehetra.
Mametraka sy manangana
Mba hametrahana fifandraisana VPN amin'ny fampiasana ny mpanjifa WireGuard teratany, jereo ity torolàlana ity.
Ny mpanjifa WireGuard ofisialy eto dia mifanaraka amin'ny Firezone:
Tsidiho ny tranokala ofisialy WireGuard ao amin'ny https://www.wireguard.com/install/ ho an'ny rafitra OS tsy voalaza etsy ambony.
Na ny mpitantana Firezone anao na ny tenanao dia afaka mamorona ny rakitra fikirakirana fitaovana amin'ny alàlan'ny vavahadin-tserasera Firezone.
Tsidiho ny URL nomen'ny mpitantana Firezone anao mba hamoronana fichier fanefena fitaovana. Ny orinasanao dia hanana URL tokana ho an'izany; amin'ity tranga ity dia https://instance-id.yourfirezone.com.
Midira ao amin'ny Firezone Okta SSO
[Ampidiro ny pikantsary]
Ampidiro ao amin'ny mpanjifa WireGuard ny rakitra.conf amin'ny fanokafana azy. Amin'ny famadihana ny switch Activate dia afaka manomboka fivoriana VPN ianao.
[Ampidiro ny pikantsary]
Araho ny toromarika etsy ambany raha nandidy ny fanamarinana miverimberina ny mpitantana ny tambajotra mba hitazonana ny fifandraisanao VPN ho mavitrika.
Mila ianao:
URL an'ny vavahadin-tserasera Firezone: Anontanio ny mpitantana ny tambajotranao momba ny fifandraisana.
Tokony ho afaka manolotra ny fidiranao sy ny tenimiafinao ny mpitantana ny tambajotranao. Ny tranokala Firezone dia hanosika anao hiditra amin'ny fampiasana ny serivisy sonia tokana ampiasain'ny mpampiasa anao (toy ny Google na Okta).
[Ampidiro ny pikantsary]
Mankanesa any amin'ny URL an'ny vavahadin-tserasera Firezone ary midira mampiasa ny fahazoan-dàlana nomen'ny mpitantana ny tambajotranao. Raha efa tafiditra ianao dia tsindrio ny bokotra Reauthenticate alohan'ny hidirana indray.
[Ampidiro ny pikantsary]
[Ampidiro ny pikantsary]
Raha hanafatra ny mombamomba ny fanamafisana WireGuard amin'ny alàlan'ny Network Manager CLI amin'ny fitaovana Linux, araho ireto torolàlana ireto (nmcli).
Raha manana fanohanana IPv6 ny mombamomba azy, dia mety tsy hahomby amin'ity hadisoana manaraka ity ny manandrana manafatra ny rakitra fikirakirana amin'ny alàlan'ny GUI Manager Network:
ipv6.method: tsy tohana ho an'ny WireGuard ny fomba "auto".
Ilaina ny mametraka ny WireGuard userspace utility. Ity dia fonosana antsoina hoe wireguard na wireguard-tools ho an'ny fizarana Linux.
Ho an'ny Ubuntu/Debian:
sudo apt mametraka wireguard
Raha hampiasa Fedora:
sudo dnf mametraka wireguard-tools
Arch Linux:
sudo pacman -S wireguard-tools
Tsidiho ny tranokala ofisialy WireGuard ao amin'ny https://www.wireguard.com/install/ ho an'ny fizarana izay tsy voalaza etsy ambony.
Na ny mpitantana Firezone anao na ny famoronana tena dia afaka mamorona ny fichier fanefena fitaovana mampiasa ny vavahadin-tserasera Firezone.
Tsidiho ny URL nomen'ny mpitantana Firezone anao mba hamoronana fichier fanefena fitaovana. Ny orinasanao dia hanana URL tokana ho an'izany; amin'ity tranga ity dia https://instance-id.yourfirezone.com.
[Ampidiro ny pikantsary]
Ampidiro ny rakitra fanamafisana nomena amin'ny alàlan'ny nmcli:
sudo nmcli connection import type wireguard file /path/to/configuration.conf
Ny anaran'ny rakitra fanamafisana dia hifanaraka amin'ny fifandraisana/interface WireGuard. Aorian'ny fanafarana dia azo soloina anarana ny fifandraisana raha ilaina:
Ny fifandraisana nmcli dia manova [anarana taloha] connection.id [anarana vaovao]
Amin'ny alàlan'ny baiko, mifandray amin'ny VPN toy izao manaraka izao:
fifandraisana nmcli [anaran'ny vpn]
Miala:
ny fifandraisana nmcli [anaran'ny vpn]
Ny applet Network Manager azo ampiasaina koa dia azo ampiasaina hitantana ny fifandraisana raha mampiasa GUI.
Amin'ny fisafidianana "eny" amin'ny safidy autoconnect, ny fifandraisana VPN dia azo amboarina mba hifandray ho azy:
Ny fifandraisana nmcli dia manova ny [anaran'ny vpn] fifandraisana. <<<<<<<<<<<<<<<<<<<<<<
autoconnect eny
Mba hanesorana ny fifandraisana mandeha ho azy dia avereno amin'ny tsia:
Ny fifandraisana nmcli dia manova ny [anaran'ny vpn] fifandraisana.
autoconnect no
Raha te hampavitrika ny MFA Mankanesa any amin'ny vavahadin-tserasera Firezone / kaonty mpampiasa / fisoratana anarana mfa pejy. Ampiasao ny fampiharana authenticator anao hijerena ny kaody QR rehefa avy namorona azy, dia ampidiro ny kaody enina isa.
Mifandraisa amin'ny Admin anao hamerenana ny mombamomba ny fidirana amin'ny kaontinao raha diso toerana ny fampiharana authenticator anao.
Ity lesona ity dia hitarika anao amin'ny dingana fametrahana ny WireGuard's split tunneling feature miaraka amin'ny Firezone ka ny fifamoivoizana mankany amin'ny faritra IP manokana ihany no alefa amin'ny alàlan'ny mpizara VPN.
Ny laharan'ny IP izay hitondran'ny mpanjifa ny fifamoivoizana amin'ny tambajotra dia apetraka ao amin'ny sahan'ny IP azo alaina hita ao amin'ny pejy /setting/default. Ny fandrindrana tonelina WireGuard vao noforonina ihany no vokarin'ny Firezone no hisy fiantraikany amin'ny fanovana amin'ity sehatra ity.
[Ampidiro ny pikantsary]
Ny sandan'ny default dia 0.0.0.0/0, ::/0, izay mitondra ny fifamoivoizana amin'ny tambajotra rehetra avy amin'ny mpanjifa mankany amin'ny mpizara VPN.
Ireto misy ohatra amin'ny soatoavina amin'ity sehatra ity:
0.0.0.0/0, ::/0 – halefa any amin'ny mpizara VPN ny fifamoivoizana rehetra amin'ny tambajotra.
192.0.2.3/32 – fifamoivoizana mankany amin'ny adiresy IP tokana ihany no halefa any amin'ny mpizara VPN.
3.5.140.0/22 – ny fifamoivoizana mankany amin'ny IP ao amin'ny faritra 3.5.140.1 – 3.5.143.254 ihany no halefa any amin'ny mpizara VPN. Amin'ity ohatra ity, ny faritra CIDR ho an'ny faritra ap-avaratra-atsinanana-2 AWS dia nampiasaina.
Firezone dia misafidy ny interface egress mifandray amin'ny lalana mazava indrindra aloha rehefa mamaritra ny toerana halehana fonosana.
Ny mpampiasa dia tsy maintsy mamerina ny rakitra fikirakirana ary manampy azy ireo amin'ny mpanjifany WireGuard teratany mba hanavaozana ireo fitaovana mpampiasa efa misy miaraka amin'ny fandrindrana tonelina vaovao.
Raha mila torolalana dia jereo manampy fitaovana. <<<<<<<<<<< Ampio rohy
Ity boky ity dia hampiseho ny fomba fampifandraisana fitaovana roa amin'ny fampiasana Firezone ho fampitana. Ny tranga fampiasa iray mahazatra dia ny ahafahan'ny administratera miditra amin'ny mpizara, kaontenera, na milina izay arovan'ny NAT na firewall.
Ity fanoharana ity dia mampiseho scenario mahitsy izay nanamboaran'ny Fitaovana A sy B tionelina.
[Ampidiro ny sary maritrano firezone]
Atombohy amin'ny famoronana Device A sy Device B amin'ny alàlan'ny fandehanana mankany amin'ny /users/[user_id]/new_device. Ao amin'ny firafitry ny fitaovana tsirairay, ataovy azo antoka fa apetraka amin'ny soatoavina voatanisa etsy ambany ireto mari-pamantarana manaraka ireto. Azonao atao ny mametraka ny firafitry ny fitaovana rehefa mamorona ny config fitaovana (jereo Add Devices). Raha mila manavao ny fanovana amin'ny fitaovana efa misy ianao dia azonao atao izany amin'ny famoronana config fitaovana vaovao.
Mariho fa ny fitaovana rehetra dia manana pejy /settings/defaults izay azo amboarina ny PersistentKeepalive.
AllowedIPs = 10.3.2.2/32
Ity ny IP na ny isan'ny IP an'ny Device B
PersistentKeepalive = 25
Raha ao ambadiky ny NAT ilay fitaovana, izany dia miantoka fa ny fitaovana dia afaka mitazona ny tonelina ho velona ary manohy mandray fonosana avy amin'ny interface WireGuard. Matetika dia ampy ny sanda 25, saingy mety mila ahenao io sanda io arakaraka ny tontolo iainanao.
AllowedIPs = 10.3.2.3/32
Ity ny IP na ny isan'ny IP an'ny Device A
PersistentKeepalive = 25
Ity ohatra ity dia mampiseho toe-javatra iray ahafahan'ny Device A mifandray amin'ny Devices B hatramin'ny D amin'ny lafiny roa. Ity fananganana ity dia afaka maneho injeniera na mpitantana miditra amin'ny loharano maro (server, container, na milina) manerana ny tambajotra isan-karazany.
[Diagrama Architectural]<<<<<<<<<<<<<<<<<<<<<<<<
Ataovy azo antoka fa natao ao amin'ny firafitry ny fitaovana tsirairay mifanaraka amin'ny soatoavina mifanaraka amin'izany ireto fandrindrana manaraka ireto. Rehefa mamorona ny firafitry ny fitaovana dia azonao atao ny mamaritra ny firafitry ny fitaovana (jereo ny Add Devices). Azo amboarina ny config fitaovana vaovao raha mila havaozina ny fanovana amin'ny fitaovana efa misy.
AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Ity no IP an'ny fitaovana B hatramin'ny D. Ny IP an'ny fitaovana B hatramin'ny D dia tsy maintsy ampidirina amin'ny sehatra IP rehetra fidinao apetraka.
PersistentKeepalive = 25
Izany dia miantoka fa ny fitaovana dia afaka mitazona ny tonelina ary manohy mandray fonosana avy amin'ny interface WireGuard na dia voaaro amin'ny NAT aza. Amin'ny ankabeazan'ny toe-javatra, ny sanda 25 dia ampy, saingy miankina amin'ny manodidina anao dia mety ilainao ny hampidina an'io tarehimarika io.
Mba hanolorana IP fivoahana tokana tokana ho an'ny fifamoivoizana an'ny ekipanao rehetra hivoaka, dia azo ampiasaina ho vavahadin'ny NAT ny Firezone. Ireto toe-javatra ireto dia ahitana ny fampiasana azy matetika:
Consulting Engagements: Mangataha ny mpanjifanao whitelist adiresy IP static tokana fa tsy ny IP fitaovana tokana an'ny mpiasa tsirairay.
Mampiasa proxy na manafina ny loharano IP anao ho an'ny tanjona fiarovana na tsiambaratelo.
Ohatra tsotra amin'ny famerana ny fidirana amin'ny rindranasa tranonkala ampiantranoan-tena amin'ny IP static tokana voatanisa fotsy mitantana Firezone no haseho ato amin'ity lahatsoratra ity. Amin'ity sary ity, Firezone sy ny loharano arovana dia any amin'ny faritra VPC samihafa.
Ity vahaolana ity dia ampiasaina matetika ho solon'ny fitantanana lisitra fotsy IP ho an'ny mpampiasa farany maro, izay mety handany fotoana rehefa mivelatra ny lisitry ny fidirana.
Ny tanjonay dia ny hanangana mpizara Firezone amin'ny ohatra EC2 hamerenana ny fifamoivoizana VPN mankany amin'ny loharano voafetra. Amin'ity tranga ity, Firezone dia miasa ho toy ny tambajotra proxy na vavahadin'ny NAT mba hanomezana ny fitaovana mifandray tsirairay IP fivoahana ho an'ny daholobe.
Amin'ity tranga ity, ohatra EC2 antsoina hoe tc2.micro dia manana ohatra Firezone napetraka eo aminy. Raha mila fanazavana momba ny fametrahana ny Firezone dia mandehana any amin'ny Torolàlana momba ny fametrahana. Raha mifandray amin'ny AWS, aoka ho azo antoka:
Ny vondrona fiarovana an'ny Firezone EC2 dia mamela ny fifamoivoizana mivoaka mankany amin'ny adiresy IP an'ny loharano voaaro.
Ny ohatra Firezone dia tonga miaraka amin'ny IP elastika. Ny fifamoivoizana izay alefa amin'ny alalan'ny ohatra Firezone mankany amin'ny toerana any ivelany dia hanana izany ho adiresy IP loharano. Ny adiresy IP resahina dia 52.202.88.54.
[Ampidiro ny pikantsary]<<<<<<<<<<<<<<<<<<<<<<<<
Ny rindranasa tranonkala ampiantranoan-tena no loharano arovana amin'ity tranga ity. Ny fampiharana tranonkala dia tsy azo idirana afa-tsy amin'ny fangatahana avy amin'ny adiresy IP 52.202.88.54. Miankina amin'ny loharanon-karena, mety ilaina ny mamela ny fifamoivoizana miditra amin'ny seranana sy karazana fifamoivoizana isan-karazany. Tsy voarakitra ato amin'ity boky ity izany.
[Ampidiro ny pikantsary]<<<<<<<<<<<<<<<<<<<<<<<<
Azafady, lazao amin'ny antoko fahatelo miandraikitra ny loharano arovana fa tsy maintsy avela ny fifamoivoizana avy amin'ny IP static voafaritra ao amin'ny dingana 1 (amin'ity tranga ity 52.202.88.54).
Amin'ny alàlan'ny default, ny fifamoivoizana mpampiasa rehetra dia handeha amin'ny mpizara VPN ary avy amin'ny IP static izay namboarina tamin'ny dingana 1 (amin'ity tranga ity 52.202.88.54). Na izany aza, raha navela ny fizarazarana tonelina, dia mety ilaina ny fanovana mba hahazoana antoka fa ny IP alehan'ny loharano voaaro dia voatanisa ao anatin'ireo IP azo avela.
Aseho eto ambany ny lisitra feno amin'ireo safidy fanamafisam-peo misy ao /etc/firezone/firezone.rb.
safidy | famaritana | sanda default |
default['firezone']['external_url'] | URL ampiasaina hidirana amin'ny vavahadin-tranonkala an'ity ohatra Firezone ity. | “https://#{node['fqdn'] || node ['hostname']}” |
default['firezone']['config_directory'] | Lahatahiry ambony indrindra ho an'ny fanamafisana Firezone. | /etc/firezone' |
default['firezone']['install_directory'] | Lahatahiry ambony indrindra hametrahana Firezone. | /opt/firezone' |
default['firezone']['app_directory'] | Lahatahiry ambony indrindra hametrahana ny fampiharana tranonkala Firezone. | “#{node['firezone']['install_directory']}/embedded/service/firezone” |
default['firezone']['log_directory'] | Lahatahiry ambony indrindra ho an'ny diarin'ny Firezone. | /var/log/firezone' |
default['firezone']['var_directory'] | Lahatahiry ambony indrindra ho an'ny fisie fampandehanana Firezone. | /var/opt/firezone' |
default['firezone']['mpampiasa'] | Anaran'ny mpampiasa Linux tsy manana tombontsoa ho an'ny ankamaroan'ny serivisy sy ny rakitra. | firezone' |
default['firezone']['group'] | Anaran'ny vondrona Linux ho an'ny ankamaroan'ny serivisy sy ny rakitra. | firezone' |
default['firezone']['admin_email'] | Adiresy mailaka ho an'ny mpampiasa Firezone voalohany. | "firezone@localhost" |
default['firezone']['max_devices_per_user'] | Isan'ny fitaovana ambony indrindra azon'ny mpampiasa ananana. | 10 |
default['firezone']['allow_unprivileged_device_management'] | Mamela ireo mpampiasa tsy admin hamorona sy hamafa fitaovana. | MARINA |
default['firezone']['allow_unprivileged_device_configuration'] | Mamela ny mpampiasa tsy admin hanova ny tefin'ny fitaovana. Rehefa kilemaina, dia manakana ireo mpampiasa tsy manana tombontsoa hanova ny saha fitaovana rehetra afa-tsy ny anarana sy ny famaritana. | MARINA |
default['firezone']['egress_interface'] | Anaran'ny interface izay hivoahan'ny fifamoivoizana tonelina. Raha tsy misy dia hampiasaina ny interface de route default. | Nil |
default['firezone']['fips_enabled'] | Alefaso na esory ny maody OpenSSL FIPs. | Nil |
default['firezone']['logging']['enabled'] | Alefaso na esory ny fandraketana an-tsoratra manerana ny Firezone. Apetraho amin'ny false mba hanesorana tanteraka ny logging. | MARINA |
default['enterprise']['name'] | Anarana ampiasain'ny chef 'orinasa' cookbook. | firezone' |
default['firezone']['install_path'] | Mametraka lalana ampiasain'ny Chef 'enterprise' cookbook. Tokony hapetraka mitovy amin'ny install_directory etsy ambony. | node ['firezone']['install_directory'] |
default['firezone']['sysvinit_id'] | Identifier ampiasaina amin'ny /etc/inittab. Tokony ho filaharana miavaka misy tarehintsoratra 1-4. | SUP' |
default['firezone']['authentication']['local']['enabled'] | Alefaso na esory ny fanamarinana mailaka/ tenimiafina eo an-toerana. | MARINA |
default['firezone']['authentication']['auto_create_oidc_users'] | Mamorona ho azy ireo mpampiasa miditra amin'ny OIDC voalohany. Atsaharo ny mamela ny mpampiasa efa misy hiditra amin'ny alàlan'ny OIDC ihany. | MARINA |
default['firezone']['authentication']['disable_vpn_on_oidc_error'] | Atsaharo ny VPN an'ny mpampiasa iray raha misy hadisoana hita manandrana manavao ny mariky ny OIDC. | DISO |
default['firezone']['authentication']['oidc'] | OpenID Connect config, amin'ny endrika {“provider” => [config…]} – Jereo OpenIDConnect antontan-taratasy ho an'ny ohatra config. | {} |
default ['firezone']['nginx']['enabled'] | Alefaso na esory ny mpizara nginx mitambatra. | MARINA |
default ['firezone']['nginx']['ssl_port'] | Seranana mihaino HTTPS. | 443 |
default['firezone']['nginx']['directory'] | Lahatahiry hitahiry Firezone mifandraika amin'ny nginx virtual host configuration. | “#{node['firezone']['var_directory']}/nginx/etc” |
default['firezone']['nginx']['log_directory'] | Lahatahiry hitehirizana rakitra nginx mifandraika amin'ny Firezone. | “#{node['firezone']['log_directory']}/nginx” |
default['firezone']['nginx']['log_rotation']['file_maxbytes'] | Haben'ny rakitra izay hanodina ny rakitra log Nginx. | 104857600 |
default['firezone']['nginx']['log_rotation']['num_to_keep'] | Isan'ny fichier log nginx Firezone hotehirizina alohan'ny hanariana. | 10 |
default['firezone']['nginx']['log_x_forwarded_for'] | Na hiditra ao amin'ny Firezone nginx x-forwarded-for header. | MARINA |
default['firezone']['nginx']['hsts_header']['enabled'] | MARINA | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | Ampidiro na atsaharo ny subDomains ho an'ny lohatenin'ny HSTS. | MARINA |
default['firezone']['nginx']['hsts_header']['max_age'] | Taona max ho an'ny lohatenin'ny HSTS. | 31536000 |
default['firezone']['nginx']['redirect_to_canonical'] | Na hamindra URL mankany amin'ny FQDN kanônika voalaza etsy ambony | DISO |
default['firezone']['nginx']['cache']['enabled'] | Alefaso na esory ny cache nginx Firezone. | DISO |
default['firezone']['nginx']['cache']['directory'] | Lahatahiry ho an'ny cache nginx Firezone. | “#{node['firezone']['var_directory']}/nginx/cache” |
default['firezone']['nginx']['mpampiasa'] | Firezone nginx mpampiasa. | node['firezone']['mpampiasa'] |
default ['firezone']['nginx']['group'] | Firezone nginx group. | node['firezone']['group'] |
default ['firezone']['nginx']['dir'] | Ny lahatahiry fanamafisana nginx ambony indrindra. | node ['firezone']['nginx']['directory'] |
default['firezone']['nginx']['log_dir'] | Top-level nginx log lahatahiry. | node ['firezone']['nginx']['log_directory'] |
default ['firezone']['nginx']['pid'] | Toerana ho an'ny rakitra nginx pid. | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
default ['firezone']['nginx']['daemon_disable'] | Atsaharo ny mode daemon nginx mba ahafahantsika manara-maso azy. | MARINA |
default['firezone']['nginx']['gzip'] | Alefaso na vonoy ny famatrarana nginx gzip. | amin'ny ' |
default['firezone']['nginx']['gzip_static'] | Ampidiro na vonoy ny famatrarana nginx gzip ho an'ny rakitra static. | miala' |
default['firezone']['nginx']['gzip_http_version'] | Dika HTTP ampiasaina amin'ny fandefasana rakitra static. | 1.0 ' |
default['firezone']['nginx']['gzip_comp_level'] | nginx gzip haavon'ny famatrarana. | 2 ' |
default['firezone']['nginx']['gzip_proxied'] | Mamela na manafoana ny gzipping ny valinteny ho an'ny fangatahana proxy miankina amin'ny fangatahana sy valiny. | misy' |
default['firezone']['nginx']['gzip_vary'] | Mamela na manafoana ny fampidirana ny lohatenin'ny valiny "Vary: Accept-encoding". | miala' |
default['firezone']['nginx']['gzip_buffers'] | Mametraka ny isa sy ny haben'ny buffer ampiasaina hanindry valiny. Raha tsy misy, ny default nginx dia ampiasaina. | Nil |
default['firezone']['nginx']['gzip_types'] | karazana MIME ahafahana mamaha ny gzip. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
default['firezone']['nginx']['gzip_min_length'] | Ny halavan'ny rakitra faran'izay kely ahafahana mametaka ny rakitra gzip. | 1000 |
default['firezone']['nginx']['gzip_disable'] | Mpandrindra mpampiasa-agent mba hanaisotra ny famatrarana gzip ho an'ny. | MSIE [1-6]\.' |
default ['firezone']['nginx']['keepalive'] | Manetsika ny cache ho an'ny fifandraisana amin'ireo mpizara ambony. | amin'ny ' |
default['firezone']['nginx']['keepalive_timeout'] | Fotoana ao anatin'ny segondra ho an'ny fifandraisana keepalive amin'ireo mpizara ambony. | 65 |
default['firezone']['nginx']['worker_processes'] | Isan'ny fizotry ny mpiasa nginx. | node['cpu'] && node['cpu']['total'] ? node['cpu']['total'] : 1 |
default['firezone']['nginx']['worker_connections'] | Maherin'ny fifandraisana miaraka izay azo sokafana amin'ny fizotry ny mpiasa. | 1024 |
default['firezone']['nginx']['worker_rlimit_nofile'] | Manova ny fetran'ny isan'ny rakitra misokatra ho an'ny fizotry ny mpiasa. Mampiasa nginx default raha tsy misy. | Nil |
default ['firezone']['nginx']['multi_accept'] | Na tokony hanaiky fifandraisana iray isaky ny mandeha na maromaro ny mpiasa. | MARINA |
default['firezone']['nginx']['hetsika'] | Mamaritra ny fomba fanodinana fifandraisana hampiasaina ao anatin'ny tontolon'ny hetsika nginx. | epoll' |
default['firezone']['nginx']['server_tokens'] | Mamela na manafoana ny famoahana ny kinova nginx amin'ny pejin'ny hadisoana sy ao amin'ny sehatry ny lohatenin'ny valinteny "Server". | Nil |
default['firezone']['nginx']['server_name_hash_bucket_size'] | Mametraka ny haben'ny siny ho an'ny anaran'ny mpizara latabatra hash. | 64 |
default ['firezone']['nginx']['sendfile'] | Mamela na manafoana ny fampiasana ny sendfile() an'ny nginx. | amin'ny ' |
default['firezone']['nginx']['access_log_options'] | Mametraka safidy log access nginx. | Nil |
default['firezone']['nginx']['error_log_options'] | Mametraka safidy log error nginx. | Nil |
default['firezone']['nginx']['disable_access_log'] | Manakana ny log access nginx. | DISO |
default ['firezone']['nginx']['types_hash_max_size'] | nginx karazana hash max habe. | 2048 |
default['firezone']['nginx']['types_hash_bucket_size'] | nginx karazana hash habe siny. | 64 |
default['firezone']['nginx']['proxy_read_time out'] | nginx proxy mamaky fotoana. Apetraho amin'ny nil hampiasa ny default nginx. | Nil |
default['firezone']['nginx']['client_body_buffer_size'] | nginx body buffer size. Apetraho amin'ny nil hampiasa ny default nginx. | Nil |
default['firezone']['nginx']['client_max_body_size'] | nginx mpanjifa max haben'ny vatana. | 250m' |
default['firezone']['nginx']['default']['modules'] | Manorata modules nginx fanampiny. | [] |
default['firezone']['nginx']['enable_rate_limiting'] | Alefaso na esory ny famerana ny tahan'ny nginx. | MARINA |
default['firezone']['nginx']['rate_limiting_zone_name'] | Ny anaran'ny faritra mametra ny tahan'ny Nginx. | firezone' |
default['firezone']['nginx']['rate_limiting_backoff'] | Ny tahan'ny Nginx mametra ny fiverenana. | 10m' |
default['firezone']['nginx']['rate_limit'] | Ny fetran'ny tahan'ny Nginx. | 10r/s' |
default['firezone']['nginx']['ipv6'] | Avelao ny nginx hihaino ny fangatahana HTTP ho an'ny IPv6 ankoatra ny IPv4. | MARINA |
default ['firezone']['postgresql']['enabled'] | Alefaso na esory ny Postgresql mitambatra. Apetraho amin'ny diso ary fenoy ny safidy angona etsy ambany mba hampiasana ny ohatra Postgresql anao manokana. | MARINA |
default ['firezone']['postgresql']['username'] | Anaran'ny mpampiasa Postgresql. | node['firezone']['mpampiasa'] |
default ['firezone']['postgresql']['data_directory'] | Lahatsoratra mifandraika amin'ny Postgresql. | "#{node['firezone']['var_directory']}/postgresql/13.3/data" |
default ['firezone']['postgresql']['log_directory'] | Postgresql log lahatahiry. | “#{node['firezone']['log_directory']}/postgresql" |
default ['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Ny haben'ny rakitra log postgresql alohan'ny hanodina azy. | 104857600 |
default ['firezone']['postgresql']['log_rotation']['num_to_keep'] | Isan'ny rakitra log Postgresql hotehirizina. | 10 |
default ['firezone']['postgresql']['checkpoint_completion_target'] | Tanjona fahavitan'ny toby fisavana Postgresql. | 0.5 |
default ['firezone']['postgresql']['checkpoint_segments'] | Isan'ny fizarana toby fisavana Postgresql. | 3 |
default ['firezone']['postgresql']['checkpoint_timeout'] | Ny fe-potoana fisavana Postgresql. | 5min' |
default ['firezone']['postgresql']['checkpoint_warning'] | Fotoana fampitandremana postgresql amin'ny segondra. | 30s' |
default ['firezone']['postgresql']['effective_cache_size'] | Haben'ny cache mahomby Postgresql. | 128MB' |
default ['firezone']['postgresql']['listen_address'] | Adiresy mihaino Postgresql. | 127.0.0.1 ' |
default ['firezone']['postgresql']['max_connections'] | Postgresql max fifandraisana. | 350 |
default ['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs hamela ny md5 auth. | ['127.0.0.1/32', '::1/128'] |
default ['firezone']['postgresql']['port'] | Postgresql mihaino port. | 15432 |
default['firezone']['postgresql']['shared_buffers'] | Postgresql mizara ny haben'ny buffers. | “#{(node['memory']['total'].to_i / 4) / 1024}MB” |
default ['firezone']['postgresql']['shmmax'] | Postgresql shmmax amin'ny bytes. | 17179869184 |
default ['firezone']['postgresql']['shmall'] | Postgresql shmall amin'ny bytes. | 4194304 |
default ['firezone']['postgresql']['work_mem'] | Haben'ny fahatsiarovana miasa Postgresql. | 8MB' |
default['firezone']['database']['mpampiasa'] | Mamaritra ny anarana ampiasain'ny Firezone hifandraisana amin'ny DB. | node['firezone']['postgresql']['username'] |
default['firezone']['database']['password'] | Raha mampiasa DB ivelany, dia mamaritra ny tenimiafina hampiasain'ny Firezone hifandraisana amin'ny DB. | change_me' |
default['firezone']['database']['name'] | Database izay hampiasain'i Firezone. Hoforonina raha tsy misy. | firezone' |
default['firezone']['database']['host'] | mpampiantrano database izay hifandraisan'i Firezone. | node ['firezone']['postgresql']['listen_address'] |
default['firezone']['database']['port'] | Seranan-tserasera izay hifandraisan'i Firezone. | node ['firezone']['postgresql']['port'] |
default['firezone']['database']['dobo'] | Ny haben'ny dobo database Firezone dia hampiasaina. | [10, Etc.nprocessors].max |
default['firezone']['database']['ssl'] | Na hifandray amin'ny angon-drakitra amin'ny SSL. | DISO |
default['firezone']['database']['ssl_opts'] | {} | |
default['firezone']['database']['parameter'] | {} | |
default['firezone']['database']['extensions'] | Fanitarana angon-drakitra mba ahafahana. | { 'plpgsql' => marina, 'pg_trgm' => marina } |
default['firezone']['phoenix']['enabled'] | Alefaso na esory ny fampiharana tranonkala Firezone. | MARINA |
default['firezone']['phoenix']['adiresy_henoy'] | Adiresy fihainoana fampiharana tranonkala Firezone. Ity no adiresin'ny fihainoana avoakan'ny nginx proxy. | 127.0.0.1 ' |
default['firezone']['phoenix']['port'] | Firezone web application listen port. Ity no seranan-tsambo ambony izay afindran'ny nginx. | 13000 |
default['firezone']['phoenix']['log_directory'] | Firezone web application log directory. | “#{node['firezone']['log_directory']}/phoenix” |
default['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Ny haben'ny rakitra diarin'ny tranokala Firezone. | 104857600 |
default['firezone']['phoenix']['log_rotation']['num_to_keep'] | Isan'ny rakitra firaketana an-tserasera Firezone hotehirizina. | 10 |
default['firezone']['phoenix']['crash_detection']['enabled'] | Alefaso na esory ny fampidinana ny fampiharana tranonkala Firezone rehefa misy fianjerana hita. | MARINA |
default['firezone']['phoenix']['external_trusted_proxies'] | Lisitry ny proxy mifamadika azo itokisana voalamina ho Array IP sy/na CIDR. | [] |
default['firezone']['phoenix']['private_clients'] | Lisitry ny mpanjifa HTTP tambajotra tsy miankina, nandrafitra ny Array IP sy/na CIDR. | [] |
default['firezone']['wireguard']['enabled'] | Alefaso na esory ny fitantanana WireGuard mitambatra. | MARINA |
default['firezone']['wireguard']['log_directory'] | Lahatahiry log ho an'ny fitantanana WireGuard mitambatra. | “#{node['firezone']['log_directory']}/wireguard” |
default['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Ny haben'ny rakitra log WireGuard max. | 104857600 |
default['firezone']['wireguard']['log_rotation']['num_to_keep'] | Isan'ny rakitra log WireGuard hotehirizina. | 10 |
default['firezone']['wireguard']['interface_name'] | Anaran'ny interface WireGuard. Ny fanovana an'io mari-pamantarana io dia mety hiteraka fatiantoka vonjimaika amin'ny fifandraisana VPN. | wg-firezone' |
default['firezone']['wireguard']['port'] | WireGuard mihaino seranana. | 51820 |
default['firezone']['wireguard']['mtu'] | WireGuard interface MTU ho an'ity mpizara ity sy ho an'ny fanamafisana fitaovana. | 1280 |
default['firezone']['wireguard']['endpoint'] | WireGuard Endpoint hampiasaina amin'ny famoronana fandrindrana fitaovana. Raha tsy misy, dia mandeha amin'ny adiresy IP-bahoakan'ny mpizara. | Nil |
default['firezone']['wireguard']['dns'] | WireGuard DNS ampiasaina amin'ny fanamboarana fitaovana novokarina. | 1.1.1.1′ |
default['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs ampiasaina amin'ny fanamboarana fitaovana vokarina. | 0.0.0.0/0, ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | Fikirana PersistentKeepalive Default ho an'ny fanamboarana fitaovana vokarina. Ny sandan'ny 0 dia manakana. | 0 |
default['firezone']['wireguard']['ipv4']['enabled'] | Alefaso na esory ny IPv4 ho an'ny tambajotra WireGuard. | MARINA |
default['firezone']['wireguard']['ipv4']['masquerade'] | Alefaso na esory ny masquerade ho an'ny fonosana miala amin'ny tonelina IPv4. | MARINA |
default['firezone']['wireguard']['ipv4']['network'] | WireGuard tambajotra IPv4 dobo adiresy. | 10.3.2.0/24 ′ |
default['firezone']['wireguard']['ipv4']['adiresy'] | Adiresy IPv4 interface tsara WireGuard. Tsy maintsy ao anatin'ny dobo adiresy WireGuard. | 10.3.2.1 ' |
default['firezone']['wireguard']['ipv6']['enabled'] | Alefaso na esory ny IPv6 ho an'ny tambajotra WireGuard. | MARINA |
default['firezone']['wireguard']['ipv6']['masquerade'] | Alefaso na esory ny masquerade ho an'ny fonosana miala amin'ny tonelina IPv6. | MARINA |
default['firezone']['wireguard']['ipv6']['network'] | WireGuard tambajotra IPv6 dobo adiresy. | fd00::3:2:0/120′ |
default['firezone']['wireguard']['ipv6']['adiresy'] | Adiresy IPv6 interface tsara WireGuard. Tsy maintsy ao anatin'ny dobo adiresy IPv6. | fd00::3:2:1′ |
default['firezone']['runit']['svlogd_bin'] | Runit svlogd bin toerana. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
default['firezone']['ssl']['directory'] | Lahatsoratra SSL ho an'ny fitehirizana taratasy fanamarinana novokarina. | /var/opt/firezone/ssl' |
default['firezone']['ssl']['adiresy_mailaka'] | Adiresy mailaka hampiasaina ho an'ny fanamarinana nosoniavin'ny tena sy fampandrenesana fanavaozana protocol ACME. | you@example.com' |
default['firezone']['ssl']['acme']['enabled'] | Alefaso ny ACME ho an'ny fanomezana mari-pankasitrahana SSL mandeha ho azy. Atsaharo izany mba hisorohana ny Nginx tsy hihaino amin'ny port 80. Jereo eto raha mila torolalana bebe kokoa. | DISO |
default['firezone']['ssl']['acme']['server'] | letsencrypt | |
default['firezone']['ssl']['acme']['keylength'] | Lazao ny karazana fanalahidy sy ny halavan'ny fanamarinana SSL. JEREO NY eto | ec-256 |
default['firezone']['ssl']['certificat'] | Lalana mankany amin'ny rakitra fanamarinana ho an'ny FQDN-nao. Manafoana ny fika ACME etsy ambony raha voatondro. Raha toa ka tsy misy ny ACME sy ity dia hisy taratasy fanamarinana sonia manokana. | Nil |
default['firezone']['ssl']['certificate_key'] | Lalana mankany amin'ny rakitra fanamarinana. | Nil |
default['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | Nil |
default['firezone']['ssl']['country_name'] | Anaran'ny firenena ho an'ny taratasy sonia manokana. | Etazonia' |
default['firezone']['ssl']['name_state'] | Anaranam-panjakana ho an'ny taratasy sonia tena. | CA ' |
default['firezone']['ssl']['locality_name'] | Anaran-toerana ho an'ny taratasy fanamarinana nosoniavin'ny tena. | San Francisco' |
default['firezone']['ssl']['anaran_orinasa'] | Anaran'ny orinasa self-signed cert. | Ny orinasako' |
default['firezone']['ssl']['anaran'ny_fikambanana'] | Anaran'ny tarika organisation ho an'ny fanamarinana nosoniavin'ny tena. | Operations' |
default['firezone']['ssl']['ciphers'] | SSL ciphers ho an'ny nginx ampiasaina. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default['firezone']['ssl']['fips_ciphers'] | SSL ciphers ho an'ny fomba FIPs. | FIPS@STRENGTH:!aNULL:!eNULL' |
default['firezone']['ssl']['protocols'] | TLS protocols ampiasaina. | TLSv1 TLSv1.1 TLSv1.2′ |
default['firezone']['ssl']['session_cache'] | SSL session cache. | mizara:SSL:4m' |
default['firezone']['ssl']['session_time out'] | SSL session fe-potoana. | 5m' |
default['firezone']['robots_allow'] | ny robots nginx dia mamela. | /' |
default['firezone']['robots_disallow'] | ny robots nginx dia tsy mamela. | Nil |
default['firezone']['mailaka_nivoaka']['avy amin'] | Mailaka mivoaka avy amin'ny adiresy. | Nil |
default['firezone']['mailaka_nivoaka']['mpanome'] | Mpanome tolotra mailaka mivoaka. | Nil |
default['firezone']['mailaka_nivoaka']['configs'] | Configs mpamatsy mailaka mivoaka. | jereo ny omnibus/cookbooks/firezone/attributes/default.rb |
default['firezone']['telemetry']['enabled'] | Alefaso na esory ny telemetry vokatra tsy fantatra anarana. | MARINA |
default['firezone']['connectivity_checks']['enabled'] | Alefaso na esory ny serivisy fanaraha-maso ny fifandraisana Firezone. | MARINA |
default['firezone']['connectivity_checks']['interval'] | Elanelanelan'ny fisavana fifandraisana ao anatin'ny segondra. | 3_600 |
________________________________________________________________
Eto ianao dia hahita lisitry ny rakitra sy lahatahiry mifandraika amin'ny fametrahana Firezone mahazatra. Ireo dia mety hiova arakaraka ny fanovana amin'ny fisie fichier anao.
lalana | famaritana |
/var/opt/firezone | Lahatahiry avo lenta misy angona sy tefy noforonina ho an'ny serivisy mitambatra Firezone. |
/opt/firezone | Lahatahiry avo lenta misy tranomboky naorina, binary ary rakitra runtime ilain'ny Firezone. |
/usr/bin/firezone-ctl | firezone-ctl ho an'ny fitantanana ny fametrahana Firezone anao. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd unit ho fanombohana ny fizotry ny mpanara-maso ny Firezone runsvdir. |
/etc/firezone | Firezone fichier configuration. |
__________________________________________________________
Foana ity pejy ity amin'ny docs
_____________________________________________________________
Ity môdely firewall nftables manaraka ity dia azo ampiasaina amin'ny fiarovana ny mpizara mihazakazaka Firezone. Ny môdely dia manao vinavina sasantsasany; mety mila manitsy ny fitsipika hifanaraka amin'ny toe-javatra ampiasainao ianao:
Firezone dia manamboatra ny fitsipika nftables azy manokana mba hamela / handà ny fifamoivoizana mankany amin'ny toerana voafantina ao amin'ny interface Internet ary hikarakarana ny NAT mivoaka ho an'ny fifamoivoizana mpanjifa.
Ny fampiharana ny môdely firewall etsy ambany amin'ny mpizara efa mandeha (tsy amin'ny fotoana boot) dia hiafara amin'ny fanesorana ny fitsipiky ny Firezone. Mety hisy fiantraikany amin'ny fiarovana izany.
Mba hamahana izany dia avereno indray ny serivisy phoenix:
firezone-ctl avereno indray ny phoenix
#!/usr/sbin/nft -f
## Fafao ny fitsipika rehetra misy
fitsipi-pifehezana
################################## VARIABLE ################## ###############
## Anaran'ny interface Internet/WAN
mamaritra DEV_WAN = eth0
## Anaran'ny interface WireGuard
mamaritra DEV_WIREGUARD = wg-firezone
## WireGuard mihaino seranana
mamaritra ny WIREGUARD_PORT = 51820
################################################################################ ############
# latabatra fanivanana fianakaviana inet lehibe
sivana inet latabatra {
# Fitsipika momba ny fifamoivoizana alefa
# Ity rojo ity dia karakaraina alohan'ny rojom-pandrosoana Firezone
rojo mandroso {
karazana sivana hook forward priority sivana - 5; politika manaiky
}
# Fitsipika momba ny fifamoivoizana fampidirana
fidirana rojo {
karazana sivana hook fampidirana laharam-pahamehana sivana; fidinana politika
## Avelao ny fifamoivoizana miditra amin'ny interface loopback
raha izao \
manaiky \
fanehoan-kevitra "Avelao hiditra ny fifamoivoizana rehetra avy amin'ny interface loopback"
## Fahazoan-dàlana napetraka sy fifandraisana mifandraika
ct fanjakana napetraka, mifandray \
manaiky \
fanehoan-kevitra "Fahazoan-dàlana napetraka / mifandray mifandraika"
## Avelao ny fifamoivoizana WireGuard miditra
iif $DEV_WAN udp dport $WIREGUARD_PORT \
counter \
manaiky \
fanehoan-kevitra "Avelao ny fifamoivoizana WireGuard miditra"
## Ampidiro ary atsaharo ny fonosana TCP tsy SYN vaovao
tcp flags != syn ct state new \
fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \
log prefix “IN – Vaovao !SYN: “ \
fanehoan-kevitra "Loharano fetran'ny sarany ho an'ny fifandraisana vaovao izay tsy manana ny saina SYN TCP napetraka"
tcp flags != syn ct state new \
counter \
mitete \
fanehoan-kevitra "Atsaharo ny fifandraisana vaovao izay tsy manana ny sainam-pirenena SYN TCP"
## Ampidiro ary atsaharo ny fonosana TCP miaraka amin'ny fanevan'ny fin/syn tsy mety
tcp flags & (fin|syn) == (fin|syn) \
fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \
log prefix “IN – TCP FIN|SIN: “ \
fanehoan-kevitra "Famerana ny fisoratana anarana ho an'ny fonosana TCP miaraka amin'ny fanevan'ny fin/syn tsy mety"
tcp flags & (fin|syn) == (fin|syn) \
counter \
mitete \
fanehoan-kevitra "Atsaharo ny fonosana TCP miaraka amin'ny fin/syn flag set"
## Ampidiro ary atsaharo ny fonosana TCP miaraka amin'ny syn/first flag set
tcp flags & (syn|voalohany) == (syn|voalohany) \
fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \
log prefix “IN – TCP SYN|RST: “ \
fanehoan-kevitra "Ny famerana ny fandraisan'anjaran'ny fonosana TCP miaraka amin'ny syn/first flag set"
tcp flags & (syn|voalohany) == (syn|voalohany) \
counter \
mitete \
fanehoan-kevitra "Atsaharo ny fonosana TCP misy syn / saina voalohany napetraka"
## Apetaho ary esory ny saina TCP tsy mety
saina tcp & (fin|syn|voalohany|psh|ack|urg) < (fin) \
fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \
log prefix "IN - FIN:" \
fanehoan-kevitra "Fametrahana ny sarany ho an'ny saina TCP tsy mety (fin|syn|rst|psh|ack|urg) < (fin)"
saina tcp & (fin|syn|voalohany|psh|ack|urg) < (fin) \
counter \
mitete \
fanehoan-kevitra "Atsaharo ny fonosana TCP misy saina (fin|syn|rst|psh|ack|urg) < (fin)"
## Apetaho ary esory ny saina TCP tsy mety
saina tcp & (fin|syn|voalohany|psh|ack|urg) == (fin|psh|urg) \
fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \
log prefix “IN – FIN|PSH|URG:” \
fanehoan-kevitra "Famerana ny fandraisan'anjaran'ny saina TCP tsy mety (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
saina tcp & (fin|syn|voalohany|psh|ack|urg) == (fin|psh|urg) \
counter \
mitete \
fanehoan-kevitra "Atsaharo ny fonosana TCP misy saina (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Atsaharo ny fifamoivoizana miaraka amin'ny toetry ny fifandraisana tsy mety
ct fanjakana tsy mety \
fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \
sainam-pejy ny prefix rehetra “IN – Tsy mety: “ \
fanehoan-kevitra "Famerana ny fisoratana anarana ho an'ny fifamoivoizana amin'ny toetry ny fifandraisana tsy mety"
ct fanjakana tsy mety \
counter \
mitete \
fanehoan-kevitra "Atsaharo ny fifamoivoizana miaraka amin'ny toetry ny fifandraisana tsy mety"
## Avelao ny valin'ny ping/ping IPv4 fa voafetra ho 2000 PPS
ip protocol icmp icmp type {echo-reply, echo-request} \
fetra ny tahan'ny 2000/segondra \
counter \
manaiky \
fanehoan-kevitra "Avelao ny echo IPv4 miditra (ping) voafetra ho 2000 PPS"
## Avelao ny IPv4 ICMP hafa miditra
ip protocol icmp \
counter \
manaiky \
fanehoan-kevitra "Avelao ny IPv4 ICMP hafa rehetra"
## Avelao ny valin'ny ping/ping IPv6 fa voafetra ho 2000 PPS
karazana icmpv6 {echo-reply, echo-request} \
fetra ny tahan'ny 2000/segondra \
counter \
manaiky \
fanehoan-kevitra "Avelao ny echo IPv6 miditra (ping) voafetra ho 2000 PPS"
## Avelao ny IPv6 ICMP hafa miditra
meta l4proto { icmpv6 } \
counter \
manaiky \
fanehoan-kevitra "Avelao ny IPv6 ICMP hafa rehetra"
## Avelao ny seranan-tsambo UDP traceroute miditra fa voafetra ho 500 PPS
udp dport 33434-33524 \
fetra ny tahan'ny 500/segondra \
counter \
manaiky \
fanehoan-kevitra "Ny fahazoan-dàlana miditra UDP traceroute voafetra ho 500 PPS"
## Avelao ny SSH miditra
tcp dport ssh ct fanjakana vaovao \
counter \
manaiky \
fanehoan-kevitra "Avelao ny fifandraisana SSH miditra"
## Avelao ny HTTP sy HTTPS miditra
tcp dport {http, https } ct state new \
counter \
manaiky \
fanehoan-kevitra "Avelao ny fifandraisana HTTP sy HTTPS miditra"
## Ampidiro ny fifamoivoizana tsy mifanandrify fa ny fetran'ny tahan'ny fidirana ho hafatra 60/minitra fara-fahakeliny
## Ny politikan'ny default dia hampiharina amin'ny fifamoivoizana tsy mitovy
fetra ny tahan'ny 60/ minitra mipoaka 100 fonosana \
log prefix "IN - Drop:" \
fanehoan-kevitra “Asio logiciel izay trafika tsy mitovy”
## Manisa ny fifamoivoizana tsy manam-paharoa
counter \
fanehoan-kevitra “Hanisy ny fifamoivoizana tsy manan-tsahala”
}
# Fitsipika momba ny fifamoivoizana mivoaka
rojo vokatra {
karazana sivana hook Output laharam-pahamehana sivana; fidinana politika
## Avelao ny fifamoivoizana mivoaka mankany amin'ny interface loopback
oif lo\
manaiky \
fanehoan-kevitra "Avelao hivoaka amin'ny interface loopback ny fifamoivoizana rehetra"
## Fahazoan-dàlana napetraka sy fifandraisana mifandraika
ct fanjakana napetraka, mifandray \
counter \
manaiky \
fanehoan-kevitra "Fahazoan-dàlana napetraka / mifandray mifandraika"
## Avelao ny fifamoivoizana WireGuard mivoaka alohan'ny hanesorana ny fifandraisana amin'ny fanjakana ratsy
oif $DEV_WAN udp sport $WIREGUARD_PORT \
counter \
manaiky \
fanehoan-kevitra "Fanomezana alalana WireGuard fifamoivoizana mivoaka"
## Atsaharo ny fifamoivoizana miaraka amin'ny toetry ny fifandraisana tsy mety
ct fanjakana tsy mety \
fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \
sainam-pejy ny prefix rehetra "MIALA - Tsy mety:" \
fanehoan-kevitra "Famerana ny fisoratana anarana ho an'ny fifamoivoizana amin'ny toetry ny fifandraisana tsy mety"
ct fanjakana tsy mety \
counter \
mitete \
fanehoan-kevitra "Atsaharo ny fifamoivoizana miaraka amin'ny toetry ny fifandraisana tsy mety"
## Avelao ny ICMP IPv4 hafa rehetra mivoaka
ip protocol icmp \
counter \
manaiky \
fanehoan-kevitra "Avelao ny karazana IPv4 ICMP rehetra"
## Avelao ny ICMP IPv6 hafa rehetra mivoaka
meta l4proto { icmpv6 } \
counter \
manaiky \
fanehoan-kevitra "Avelao ny karazana IPv6 ICMP rehetra"
## Avelao ny seranan-tsambo UDP traceroute mivoaka fa voafetra ho 500 PPS
udp dport 33434-33524 \
fetra ny tahan'ny 500/segondra \
counter \
manaiky \
fanehoan-kevitra "Ny fahazoan-dàlana hivoaka UDP traceroute voafetra ho 500 PPS"
## Avelao ny fifandraisana HTTP sy HTTPS mivoaka
tcp dport {http, https } ct state new \
counter \
manaiky \
fanehoan-kevitra "Avelao ny fifandraisana HTTP sy HTTPS mivoaka"
## Mamela ny fandefasana SMTP mivoaka
tcp dport fandefasana ct fanjakana vaovao \
counter \
manaiky \
fanehoan-kevitra "Mamela ny fandefasana SMTP mivoaka"
## Avelao ny fangatahana DNS mivoaka
udp dport 53 \
counter \
manaiky \
fanehoan-kevitra "Avelao ny fangatahana DNS UDP mivoaka"
tcp dport 53 \
counter \
manaiky \
fanehoan-kevitra "Avelao ny fangatahana DNS TCP mivoaka"
## Avelao ny fangatahana NTP mivoaka
udp dport 123 \
counter \
manaiky \
fanehoan-kevitra "Avelao ny fangatahana NTP mivoaka"
## Ampidiro ny fifamoivoizana tsy mifanandrify fa ny fetran'ny tahan'ny fidirana ho hafatra 60/minitra fara-fahakeliny
## Ny politikan'ny default dia hampiharina amin'ny fifamoivoizana tsy mitovy
fetra ny tahan'ny 60/ minitra mipoaka 100 fonosana \
log prefix "Miala - Mitete:" \
fanehoan-kevitra “Asio logiciel izay trafika tsy mitovy”
## Manisa ny fifamoivoizana tsy manam-paharoa
counter \
fanehoan-kevitra “Hanisy ny fifamoivoizana tsy manan-tsahala”
}
}
# Tabilao fanivanana NAT lehibe
latabatra inet nat {
# Fitsipika momba ny fifamoivoizana NAT mialoha ny lalana
chain prerouting {
karazana nat hook prerouting priority dstnat; manaiky ny politika
}
# Fitsipika momba ny fifamoivoizana NAT post-routing
# Ity tabilao ity dia voahodina alohan'ny rojom-pandehanana aorian'ny Firezone
rojo postrouting {
karazana nat hook postrouting priority srcnat - 5; politika manaiky
}
}
Ny firewall dia tokony hotehirizina amin'ny toerana mifandraika amin'ny fizarana Linux izay mandeha. Ho an'ny Debian/Ubuntu ity dia /etc/nftables.conf ary ho an'ny RHEL ity dia /etc/sysconfig/nftables.conf.
Ny nftables.service dia mila amboarina mba hanomboka amin'ny boot (raha tsy efa) napetraka:
systemctl mamela ny nftables.service
Raha manao fanovana amin'ny môdely firewall ny syntax dia azo hamarinina amin'ny alàlan'ny baiko fanamarinana:
nft -f /path/to/nftables.conf -c
Ataovy azo antoka fa hanamarina ny fiasan'ny firewall araka ny efa nampoizina satria mety tsy misy ny endri-javatra sasany nftables arakaraka ny famoahana mandeha amin'ny mpizara.
_______________________________________________________________
Ity antontan-taratasy ity dia manolotra topimaso momba ny telemetry Firezone nangonina avy amin'ny ohatra ampiantranonao manokana sy ny fomba hanesorana azy.
faritra afo miantehitra amin'ny telemétrie mba hanao laharam-pahamehana ny tondrozotrantsika sy hanatsara ny loharanon-karena ananantsika mba hahatonga ny Firezone ho tsara kokoa ho an'ny rehetra.
Ny telemetry angoninay dia mikendry ny hamaly ireto fanontaniana manaraka ireto:
Misy toerana telo lehibe hanangonana telemetry ao amin'ny Firezone:
Ao amin'ny tsirairay amin'ireo toe-javatra telo ireo, dia maka ny habetsaky ny angona kely indrindra ilaina mba hamaliana ireo fanontaniana ao amin'ny fizarana etsy ambony.
Ny mailaka admin dia angonina raha tsy mirotsaka an-tsehatra amin'ny fanavaozana ny vokatra ianao. Raha tsy izany, ny mombamomba ny tena manokana dia na oviana na oviana nangonina.
Firezone dia mitahiry telemetry amin'ny PostHog ho an'ny tenany manokana mandeha amin'ny cluster Kubernetes tsy miankina, izay azon'ny ekipan'ny Firezone idirana ihany. Ity misy ohatra iray amin'ny hetsika telemetry izay alefa avy amin'ny ohatra Firezone anao mankany amin'ny mpizara telemetry anay:
{
"id": “0182272d-0b88-0000-d419-7b9a413713f1”,
"mari-potoana": “2022-07-22T18:30:39.748000+00:00”,
“hetsika”: “fz_http_started”,
"id_distinct": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"properties":{
“$geoip_city_name”: "Ashburn",
“$geoip_continent_code”: "N / A",
“$geoip_continent_name”: "Amerika Avaratra",
“$geoip_country_code”: “US”,
“$geoip_country_name”: "Etazonia",
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
“$geoip_subdivision_1_code”: “VA”,
“$geoip_subdivision_1_name”: “Virginia”,
“$geoip_time_zone”: “Amerika/New_York”,
“$ip”: "52.200.241.107",
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”: [
"GeoIP (3)"
],
"id_distinct": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"version_kernel": "linux 5.13.0",
"version": "0.4.6"
},
“chain_elements”: ""
}
FANAMARIHANA
Ny ekipa fampandrosoana Firezone miantehitra momba ny fanadihadiana momba ny vokatra mba hanatsara kokoa ny Firezone ho an'ny rehetra. Ny famelabelarana ny telemetry dia ny fandraisana anjara sarobidy indrindra azonao atao amin'ny fampandrosoana ny Firezone. Izany hoe, takatsika fa ny mpampiasa sasany dia manana fepetra manokana momba ny fiainana manokana na fiarovana ary aleony manafoana tanteraka ny telemetry. Raha ianao izany dia tohizo ny famakiana.
Telemetry dia alefa amin'ny alàlan'ny default. Mba hanesorana tanteraka ny telemetry amin'ny vokatra, apetraho amin'ny /etc/firezone/firezone.rb ity safidy fanitsiana manaraka ity ary ampidino ny sudo firezone-ctl reconfigure mba haka ireo fanovana.
default ['firezone']['telemétrie']['enabled'] = diso
Izany dia hanafoana tanteraka ny telemetry vokatra rehetra.
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Phone: (732) 771-9995
Email: info@hailbytes.com
Raiso mivantana ao anaty boaty fidiranao ny vaovao farany momba ny fiarovana an-tserasera.
