Hailbytes VPN Miaraka amin'ny Documentation Firezone Firewall

Fizahan-takelaka

hanomboka

Toromarika tsikelikely amin'ny fametrahana Hailbytes VPN miaraka amin'ny GUI Firezone dia omena eto. 

Administrator: Ny fametrahana ny ohatra mpizara dia mifandray mivantana amin'ity ampahany ity.

Torolàlana ho an'ny mpampiasa: Taratasy mahasoa izay afaka mampianatra anao ny fomba fampiasana Firezone sy mamaha olana mahazatra. Rehefa vita ny fametrahana ny mpizara dia jereo ity fizarana ity.

Torolalana ho an'ny Configuration iombonana

Split Tunneling: Ampiasao ny VPN handefasana fifamoivoizana amin'ny faritra IP manokana.

Whitelisting: Mametraha adiresy IP static an'ny mpizara VPN mba hampiasana lisitra fotsy.

Tonelina mivadika: Mamorona tionelina eo anelanelan'ny mpiara-mianatra maromaro mampiasa tionelina mivadika.

Get Support

Faly izahay manampy anao raha mila fanampiana amin'ny fametrahana, fanamboarana, na fampiasana Hailbytes VPN ianao.

fanamarinana

Alohan'ny ahafahan'ny mpampiasa mamokatra na misintona rakitra fikirakirana fitaovana, dia azo amboarina ny Firezone mba hitakiana fanamarinana. Mety mila manamarina tsindraindray koa ny mpampiasa mba hitazonana ny fifandraisany VPN ho mavitrika.

Na dia mailaka sy tenimiafina eo an-toerana aza ny fomba fidiran'ny Firezone, dia azo ampidirina amin'ireo mpamatsy anarana OpenID Connect (OIDC) manara-penitra. Afaka miditra ao amin'ny Firezone izao ny mpampiasa amin'ny alàlan'ny Okta, Google, Azure AD, na ny mombamomba azy manokana.

 

Ampidiro ny Mpanome OIDC Generic

Ny mari-pamantarana fanamafisam-peo ilain'ny Firezone ahafahan'ny SSO mampiasa mpamatsy OIDC dia aseho amin'ny ohatra etsy ambany. Ao amin'ny /etc/firezone/firezone.rb, azonao atao ny mahita ny rakitra fikirakirana. Alefaso ny firezone-ctl reconfigure ary avereno indray ny firezone-ctl mba hanavao ny fampiharana sy hampiharana ny fanovana.

 

# Ity dia ohatra iray amin'ny fampiasana Google sy Okta ho mpamatsy famantarana SSO.

# Ny config OIDC marobe dia azo ampiana amin'ny ohatra Firezone mitovy.

 

# Firezone dia afaka manafoana ny VPN an'ny mpampiasa raha misy hadisoana hita manandrana

# hamelombelona ny fidirana_token-dry zareo. Ity dia voamarina fa miasa amin'ny Google, Okta, ary

# Azure SSO ary ampiasaina hanalana ho azy ny VPN an'ny mpampiasa raha esorina

# avy amin'ny mpamatsy OIDC. Avelao ho kilemaina ity raha toa ny mpamatsy OIDC anao

# manana olana mamelombelona famantarana fidirana satria mety hanapaka tsy nampoizina a

fivoriana VPN an'ny mpampiasa #.

default['firezone']['authentication']['disable_vpn_on_oidc_error'] = diso

 

default['firezone']['authentication']['oidc'] = {

  google: {

    discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",

    client_id: “ ”,

    client_secret: “ ”,

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",

    response_type: “code”,

    sehatra: "profil mailaka misokatra",

    etikety: "Google"

  },

  okta: {

    discovery_document_uri: “https:// /.well-known/openid-configuration",

    client_id: “ ”,

    client_secret: “ ”,

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",

    response_type: “code”,

    sehatra: "profil mailaka misokatra offline_access",

    etikety: "Okta"

  }

}



Ireto rindran-tsary manaraka ireto dia ilaina amin'ny fampidirana:

  1. discovery_document_uri: The OpenID Connect URI tefin'ny mpamatsy izay mamerina antontan-taratasy JSON ampiasaina hanamboarana fangatahana manaraka amin'ity mpamatsy OIDC ity.
  2. client_id: Ny ID mpanjifa amin'ny fampiharana.
  3. client_secret: Ny tsiambaratelon'ny mpanjifa amin'ny fampiharana.
  4. redirect_uri: Manoro ny mpamatsy OIDC ny toerana tokony halehana aorian'ny fanamarinana. Ity dia tokony ho Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (oh https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
  5. response_type: Apetraka amin'ny kaody.
  6. sehatra: Vidin'ny OIDC mba hahazoana avy amin'ny mpamatsy OIDC anao. Ity dia tokony hapetraka amin'ny mombamomba ny mailaka misokatra na ny mombamomba ny mailaka misokatra offline_access miankina amin'ny mpamatsy.
  7. etikety: Ny soratra etikety bokotra izay miseho eo amin'ny efijery fidirana Firezone anao.

URL tsara tarehy

Ho an'ny mpamatsy OIDC tsirairay dia misy URL tsara tarehy mifanaraka amin'izany mba hamindrana mankany amin'ny URL fidiran'ny mpamatsy voarindra. Ho an'ny ohatra OIDC config etsy ambony, ny URL dia:

  • https://instance-id.yourfirezone.com/auth/oidc/google
  • https://instance-id.yourfirezone.com/auth/oidc/okta

Torolalana ho an'ny fametrahana Firezone miaraka amin'ireo mpamatsy anarana malaza

Ny mpamatsy dia manana antontan-taratasy momba ny:

  • Google
  • Okta
  • Azure Active Directory
  • Onelogin
  • Fanamarinana eo an-toerana

 

Raha manana mpampitohy OIDC jeneraly ny mpamatsy famantarana anao ary tsy voatanisa etsy ambony, azafady mankanesa any amin'ny antontan-taratasin'izy ireo raha mila fanazavana momba ny fomba fakana ireo fanovana ilaina.

Tazony tsy tapaka indray ny fanamarinana

Ny fandrindrana eo ambanin'ny fandrindrana/fiarovana dia azo ovaina mba hitakiana ny fanamarinana indray mandeha. Ity dia azo ampiasaina hanamafisana ny fepetra takian'ny mpampiasa hiditra ao amin'ny Firezone tsy tapaka mba hanohizana ny fivoriana VPN.

Ny halavan'ny fotoam-pivoriana dia azo amboarina ho eo anelanelan'ny adiny iray sy sivypolo andro. Amin'ny alàlan'ny fametrahana izany amin'ny Never, azonao atao ny mamela ny fivoriana VPN amin'ny fotoana rehetra. Izany no fenitra.

Fanamarinana indray

Ny mpampiasa iray dia tsy maintsy manafoana ny fotoam-pivoriana VPN ary miditra amin'ny vavahadin-tserasera Firezone mba hanamarina indray ny fivoriana VPN efa lany andro (URL voatondro mandritra ny fametrahana).

Azonao atao ny manamarina indray ny fotoam-pivorianao amin'ny alàlan'ny fanarahana ny torolàlana mazava ho an'ny mpanjifa hita eto.

 

Satan'ny fifandraisana VPN

Ny tsanganana tabilao VPN Connection an'ny mpampiasa dia mampiseho ny satan'ny fifandraisan'ny mpampiasa. Ireto ny sata mifandray:

ENABLED - Ny fifandraisana dia alefa.

DISABLED - Ny fifandraisana dia nosakanan'ny mpitantana na ny tsy fahombiazan'ny fanavaozana OIDC.

TAPISY - Ny fifandraisana dia tapaka noho ny fahataperan'ny fanamarinana na ny mpampiasa iray tsy niditra voalohany.

Google

Amin'ny alàlan'ny mpampitohy OIDC ankapobeny, ny Firezone dia mamela ny Single Sign-On (SSO) miaraka amin'ny Google Workspace sy Cloud Identity. Ity torolalana ity dia hampiseho aminao ny fomba hahazoana ny mari-pamantarana fanamafisana voatanisa etsy ambany, izay ilaina amin'ny fampidirana:

  1. discovery_document_uri: The OpenID Connect URI tefin'ny mpamatsy izay mamerina antontan-taratasy JSON ampiasaina hanamboarana fangatahana manaraka amin'ity mpamatsy OIDC ity.
  2. client_id: Ny ID mpanjifa amin'ny fampiharana.
  3. client_secret: Ny tsiambaratelon'ny mpanjifa amin'ny fampiharana.
  4. redirect_uri: Manoro ny mpamatsy OIDC ny toerana tokony halehana aorian'ny fanamarinana. Ity dia tokony ho Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (oh https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
  5. response_type: Apetraka amin'ny kaody.
  6. sehatra: Vidin'ny OIDC mba hahazoana avy amin'ny mpamatsy OIDC anao. Ity dia tokony hapetraka amin'ny mombamomba ny mailaka misokatra mba hanomezana an'i Firezone ny mailaka ho an'ny mpampiasa amin'ny fangatahana naverina.
  7. etikety: Ny soratra etikety bokotra izay miseho eo amin'ny efijery fidirana Firezone anao.

Mahazoa Setting Configuration

1. OAuth Config Screen

Raha vao sambany ianao no mamorona ID mpanjifa OAuth vaovao, dia angatahina ianao hanamboatra efijery fanekena.

* Safidio ny anatiny ho an'ny karazana mpampiasa. Izany dia miantoka fa ny kaonty an'ny mpampiasa ao amin'ny Organisation Google Workspace-nao ihany no afaka mamorona tefi-tranonkala. AZA misafidy ny ivelany raha tsy te-hamela olona manana kaonty Google manan-kery hamorona configs fitaovana.

 

Ao amin'ny efijery fampahalalana App:

  1. Anaran'ny fampiharana: Firezone
  2. Logo fampiharana: Logo Firezone (tehirizo ny rohy ho).
  3. Pejy fandraisana fampiharana: ny URL an'ny ohatra Firezone anao.
  4. Domains nahazo alalana: sehatra ambony indrindra amin'ny ohatra Firezone anao.

 

 

2. Mamorona ID mpanjifa OAuth

Ity fizarana ity dia mifototra amin'ny antontan-taratasin'i Google momba ny fametrahana OAuth 2.0.

Tsidiho ny Google Cloud Console Pejy fanamarinana pejy, tsindrio + Create Credentials ary mifidiana OAuth client ID.

Ao amin'ny efijery famoronana ID mpanjifa OAuth:

  1. Mametraha karazana fampiharana amin'ny fampiharana Web
  2. Ampio ny Firezone EXTERNAL_URL + /auth/oidc/google/callback/ (oh: https://instance-id.yourfirezone.com/auth/oidc/google/callback/) ho fidirana amin'ny URI Redirect nahazo alalana.

 

Aorian'ny famoronana ny ID mpanjifa OAuth dia homena ID mpanjifa sy tsiambaratelon'ny mpanjifa ianao. Ireo dia hampiasaina miaraka amin'ny redirect URI amin'ny dingana manaraka.

Firezone Integration

anglisy /etc/firezone/firezone.rb hampiditra ireto safidy eto ambany ireto:

 

# Mampiasa an'i Google ho mpamatsy famantarana SSO

default['firezone']['authentication']['oidc'] = {

  google: {

    discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",

    client_id: “ ”,

    client_secret: “ ”,

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",

    response_type: “code”,

    sehatra: "profil mailaka misokatra",

    etikety: "Google"

  }

}

 

Alefaso ny firezone-ctl reconfigure ary avereno indray ny firezone-ctl hanavao ny fampiharana. Tokony hahita bokotra Sign in miaraka amin'ny Google ianao amin'ny root Firezone URL.

Okta

Firezone dia mampiasa ny mpampitohy OIDC mahazatra hanamora ny Single Sign-On (SSO) miaraka amin'ny Okta. Ity torolalana ity dia hampiseho anao ny fomba hahazoana ny mari-pamantarana fanamafisana voatanisa etsy ambany, izay ilaina amin'ny fampidirana:

  1. discovery_document_uri: The OpenID Connect URI tefin'ny mpamatsy izay mamerina antontan-taratasy JSON ampiasaina hanamboarana fangatahana manaraka amin'ity mpamatsy OIDC ity.
  2. client_id: Ny ID mpanjifa amin'ny fampiharana.
  3. client_secret: Ny tsiambaratelon'ny mpanjifa amin'ny fampiharana.
  4. redirect_uri: Manoro ny mpamatsy OIDC ny toerana tokony halehana aorian'ny fanamarinana. Ity dia tokony ho Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (oh https://instance-id.yourfirezone.com/auth/oidc/okta/callback/).
  5. response_type: Apetraka amin'ny kaody.
  6. sehatra: Vidin'ny OIDC mba hahazoana avy amin'ny mpamatsy OIDC anao. Ity dia tokony hapetraka amin'ny mombamomba ny mailaka misokatra offline_access mba hanomezana an'i Firezone ny mailaka ho an'ny mpampiasa amin'ny fangatahana naverina.
  7. etikety: Ny soratra etikety bokotra izay miseho eo amin'ny efijery fidirana Firezone anao.

 

Ampidiro ny Okta App

Ity fizarana amin'ny torolàlana ity dia mifototra amin'ny Ny antontan-taratasin'i Okta.

Ao amin'ny Admin Console, mandehana amin'ny Applications > Applications ary tsindrio Create App Integration. Apetraho amin'ny OICD ny fomba fisoratana anarana - OpenID Connect ary karazana fampiharana amin'ny fampiharana Web.

Ampifandraiso ireto fikirana ireto:

  1. Anaran'ny fampiharana: Firezone
  2. Logo fampiharana: Logo Firezone (tehirizo ny rohy ho).
  3. Karazana fanomezana: Jereo ny boaty Refresh Token. Izany dia miantoka ny fampifanarahana amin'ny Firezone amin'ny mpamatsy famantarana ary tapaka ny fidirana VPN rehefa esorina ny mpampiasa.
  4. URI redirect-in: Ampio ny Firezone EXTERNAL_URL + /auth/oidc/okta/callback/ (oh: https://instance-id.yourfirezone.com/auth/oidc/okta/callback/) .
  5. Andraikitry ny: Fepetra amin'ireo vondrona tianao homena fidirana amin'ny ohatra Firezone anao.

Raha vantany vao voatahiry ny fikandrana, dia homena ID mpanjifa, tsiambaratelon'ny mpanjifa ary Okta Domain ianao. Ireo soatoavina 3 ireo dia hampiasaina amin'ny dingana 2 hanamboarana Firezone.

Ampidiro ny Firezone

anglisy /etc/firezone/firezone.rb hampiditra ny safidy eto ambany. ny discovery_document_url dia ho /.well-known/openid-configuration ampiana amin'ny faran'ny anao okta_domain.

 

# Mampiasa Okta ho mpamatsy famantarana SSO

default['firezone']['authentication']['oidc'] = {

  okta: {

    discovery_document_uri: “https:// /.well-known/openid-configuration",

    client_id: “ ”,

    client_secret: “ ”,

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",

    response_type: “code”,

    sehatra: "profil mailaka misokatra offline_access",

    etikety: "Okta"

  }

}

 

Alefaso ny firezone-ctl reconfigure ary avereno indray ny firezone-ctl hanavao ny fampiharana. Tokony hahita bokotra Sign in miaraka amin'ny Okta ianao amin'ny root Firezone URL.

 

Fepetra ny fidirana amin'ny mpampiasa sasany

Ireo mpampiasa afaka miditra amin'ny fampiharana Firezone dia azo ferana amin'ny Okta. Mankanesa any amin'ny Okta Admin Console's Firezone App Integration's Assignments mba hanatanterahana izany.

Azure Active Directory

Amin'ny alàlan'ny mpampitohy OIDC generic, ny Firezone dia mamela ny Single Sign-On (SSO) miaraka amin'ny Azure Active Directory. Ity boky torolalana ity dia hampiseho aminao ny fomba hahazoana ny mari-pamantarana fanamafisam-peo voatanisa etsy ambany, izay ilaina amin'ny fampidirana:

  1. discovery_document_uri: The OpenID Connect URI tefin'ny mpamatsy izay mamerina antontan-taratasy JSON ampiasaina hanamboarana fangatahana manaraka amin'ity mpamatsy OIDC ity.
  2. client_id: Ny ID mpanjifa amin'ny fampiharana.
  3. client_secret: Ny tsiambaratelon'ny mpanjifa amin'ny fampiharana.
  4. redirect_uri: Manoro ny mpamatsy OIDC ny toerana tokony halehana aorian'ny fanamarinana. Ity dia tokony ho Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (oh https://instance-id.yourfirezone.com/auth/oidc/azure/callback/).
  5. response_type: Apetraka amin'ny kaody.
  6. sehatra: Vidin'ny OIDC mba hahazoana avy amin'ny mpamatsy OIDC anao. Ity dia tokony hapetraka amin'ny mombamomba ny mailaka misokatra offline_access mba hanomezana an'i Firezone ny mailaka ho an'ny mpampiasa amin'ny fangatahana naverina.
  7. etikety: Ny soratra etikety bokotra izay miseho eo amin'ny efijery fidirana Firezone anao.

Mahazoa Setting Configuration

Ity torolàlana ity dia nalaina avy amin'ny Azure Active Directory Docs.

 

Mankanesa any amin'ny Azure Active Directory pejy Azure. Safidio ny safidy Manage menu, safidio ny fisoratana anarana vaovao, ary misoratra anarana amin'ny fanomezana ny fampahalalana eto ambany:

  1. Anarana: Firezone
  2. Karazan-kaonty tohanana: (Direction default ihany – mpanofa tokana)
  3. Redirect URI: Ity no tokony ho firezonenao EXTERNAL_URL + /auth/oidc/azure/callback/ (oh https://instance-id.yourfirezone.com/auth/oidc/azure/callback/). Ataovy azo antoka fa ampidirinao ny tsipika manaraka. Ity no sanda redirect_uri.

 

Aorian'ny fisoratana anarana dia sokafy ny fijerin'ny antsipiriany momba ny fampiharana ary kopia ny ID fampiharana (client). Ity no sandan'ny client_id. Avy eo, sokafy ny menio endpoints mba haka ny antontan-taratasy metadata OpenID Connect. Ity no sanda discovery_document_uri.

 

Mamorona tsiambaratelo mpanjifa vaovao amin'ny alàlan'ny fipihana ny safidy Certificates & secrets eo ambanin'ny menu Manage. Adikao ny tsiambaratelon'ny mpanjifa; ny sanda miafina mpanjifa dia ho izao.

 

Farany, safidio ny rohy fahazoan-dàlana API eo ambanin'ny menu Manage, tsindrio Manampia alalana, ary mifidiana Microsoft Graph, Add mailaka, openid, offline_access ary piraofilina amin'ny alalana ilaina.

Firezone Integration

anglisy /etc/firezone/firezone.rb hampiditra ireto safidy eto ambany ireto:

 

# Mampiasa Azure Active Directory ho mpanome famantarana SSO

default['firezone']['authentication']['oidc'] = {

  azure: {

    discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",

    client_id: “ ”,

    client_secret: “ ”,

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",

    response_type: “code”,

    sehatra: "profil mailaka misokatra offline_access",

    marika: "Azure"

  }

}

 

Alefaso ny firezone-ctl reconfigure ary avereno indray ny firezone-ctl hanavao ny fampiharana. Tokony hahita bokotra Sign in miaraka amin'ny Azure ianao amin'ny root Firezone URL.

Ahoana ny: mametra ny fidirana amin'ny mpikambana sasany

Azure AD dia ahafahan'ny mpitantana mametra ny fidirana amin'ny fampiharana amin'ny vondrona mpampiasa manokana ao anatin'ny orinasanao. Ny fampahalalana bebe kokoa momba ny fomba hanaovana izany dia azo jerena ao amin'ny antontan-taratasin'i Microsoft.

hitantana

  • Tefeo
  • Mitantana ny fametrahana
  • fanavaozana
  • Troubleshoot
  • Fiheverana momba ny fiarovana
  • Mandeha SQL Query

Tefeo

Chef Omnibus dia ampiasain'ny Firezone hitantana ny asa ao anatin'izany ny famotsorana ny fonosana, ny fanaraha-maso ny fizotrany, ny fitantanana ny log, sy ny maro hafa.

Ny kaody Ruby no mahaforona ny rakitra fanamafisana voalohany, izay hita ao amin'ny /etc/firezone/firezone.rb. Ny famerenana indray ny sudo firezone-ctl reconfigure rehefa avy nanao fanovana an'io rakitra io dia mahatonga ny Chef hahafantatra ny fanovana ary hampihatra azy ireo amin'ny rafitra miasa ankehitriny.

Jereo ny fanondroana fisie fanamafisam-peo ho an'ny lisitra feno momba ny fari-pandaminana sy ny famaritana azy.

Mitantana ny fametrahana

Ny ohatra Firezone anao dia azo fehezina amin'ny alàlan'ny firezone-ctl baiko, araka ny aseho eto ambany. Ny ankamaroan'ny subcommands dia mila préfix amin'ny sudo.

 

root@demo:~# firezone-ctl

omnibus-ctl: baiko (subcommand)

Didy ankapobe:

  manadio

    Fafao *rehetra* ny angona firezone, ary manomboka hatrany am-boalohany.

  mamorona-na-reset-admin

    Mamerina ny tenimiafina ho an'ny admin miaraka amin'ny mailaka voatondro ho default['firezone']['admin_email'] na mamorona admin vaovao raha tsy misy io mailaka io.

  Vonjeo

    Soraty ity hafatra fanampiana ity.

  reconfigure

    Reconfigure ny fampiharana.

  reset-tambajotra

    Mamerina ny nftables, ny interface WireGuard, ary ny latabatra fampitaovana miverina amin'ny default Firezone.

  show-config

    Asehoy ny fandrindrana izay ho vokarina amin'ny alalan'ny reconfigure.

  teardown-tambajotra

    Esory ny interface WireGuard sy ny latabatra firezone nftables.

  force-cert-renewal

    Manery ny fanavaozana ny certificat izao na dia tsy lany andro aza.

  stop-cert-renewal

    Esory ny cronjob izay manavao ny mari-pankasitrahana.

  esory

    Vonoy ny dingana rehetra ary esory ny mpanara-maso ny fizotrany (tehirizina ny data).

  Malagasy Bible

    Asehoy ny kinova Firezone ankehitriny

Didy fitantanana serivisy:

  mahafaty tsara tarehy

    Manandrama fiatoana tsara, dia SIGKILL ny vondrona manontolo.

  hup

    Alefaso HUP ny serivisy.

  int

    Alefaso INT ny serivisy.

  mamono

    Alefaso ho KILL ny serivisy.

  indray mandeha

    Atombohy ny serivisy raha toa ka midina izy ireo. Aza averina indray izy ireo raha mijanona.

  haverina velomina

    Atsaharo ny serivisy raha mandeha izy ireo, dia atombohy indray.

  lisitry ny serivisy

    Tanisao ny serivisy rehetra (miseho miaraka amin'ny * .)

  nanomboka

    Atombohy ny serivisy raha toa ka midina izy ireo, ary avereno indray izy ireo raha mijanona.

  sata

    Asehoy ny satan'ny serivisy rehetra.

  Mijanòna

    Atsaharo ny serivisy ary aza avereno indray.

  rambony

    Jereo ny diarin'ny serivisy amin'ny serivisy alefa rehetra.

  teny

    Alefaso TERM ny serivisy.

  usr1

    Alefaso USR1 ny serivisy.

  usr2

    Alefaso USR2 ny serivisy.

fanavaozana

Ny fivoriana VPN rehetra dia tsy maintsy atsahatra alohan'ny hanavaozana ny Firezone, izay mitaky ny fanakatonana ny Web UI. Raha misy zavatra tsy mety mandritra ny fanavaozana dia manoro hevitra izahay hanokana adiny iray ho an'ny fikojakojana.

 

Mba hanatsarana ny Firezone, ataovy ireto hetsika manaraka ireto:

  1. Amboary ny fonosana firezone amin'ny alàlan'ny fametrahana baiko tokana: sudo -E bash -c "$(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh)"
  2. Alefaso ny firezone-ctl reconfigure mba haka ireo fanovana vaovao.
  3. Alefaso ny firezone-ctl restart hamerenana ny serivisy.

Raha misy olana miseho, azafady mba ampahafantaro anay manolotra tapakila fanohanana.

Fanavaozana avy amin'ny <0.5.0 mankany >=0.5.0

Misy fiovana vitsivitsy sy fanovana fanamafisam-peo ao amin'ny 0.5.0 izay tsy maintsy resahina. Fantaro bebe kokoa eto ambany.

Nesorina ny fangatahana Nginx non_ssl_port (HTTP).

Nginx dia tsy manohana ny hery SSL sy ny seranan-tsambo tsy SSL amin'ny version 0.5.0. Satria mila SSL ny Firezone, dia manoro hevitra izahay hanesorana ny serivisy Nginx amin'ny alàlan'ny fametrahana ny default['firezone']['nginx']['enabled'] = diso ary apetraho amin'ny app Phoenix amin'ny seranan-tsambo 13000 fa tsy izany (amin'ny alàlan'ny default ).

ACME Protocol Support

0.5.0 dia manolotra fanohanana protocol ACME ho an'ny fanavaozana ho azy ny mari-pankasitrahana SSL miaraka amin'ny serivisy Nginx voafatotra. Mba ahafahana,

  • Ataovy azo antoka fa ny default['firezone']['external_url'] dia misy FQDN manan-kery izay mamaha ny adiresy IP an'ny mpizara anao.
  • Ataovy azo antoka fa azo tratrarina ny port 80/tcp
  • Alefaso ny fanohanana protocole ACME miaraka amin'ny default['firezone']['ssl']['acme']['enabled'] = marina ao amin'ny fisie config anao.

Fitsidihana fitsipika fivoahana mifanindry

Ny fahafahana manampy fitsipika miaraka amin'ny toerana duplicate dia lasa ao amin'ny Firezone 0.5.0. Ny script fifindra-moninay dia hamantatra ho azy ireo toe-javatra ireo mandritra ny fanavaozana ho 0.5.0 ary ny fitsipika izay ahitana ny fitsipika hafa ihany no tazonina. Tsy misy tokony hataonao raha mety izany.

Raha tsy izany, alohan'ny hanavaozana dia manoro hevitra izahay hanova ny fitsipi-dalao mba hialana amin'ireo toe-javatra ireo.

Preconfiguring Okta sy Google SSO

Ny Firezone 0.5.0 dia manaisotra ny fanohanana ny Okta taloha sy ny Google SSO endrika ho an'ny fanovana mifototra amin'ny OIDC vaovao sy mora kokoa. 

Raha toa ka manana famaha ['firezone']['authentication']['okta'] na default['firezone']['authentication']['google'] ianao, dia mila mifindra any amin'ny OIDC-nay ianao. -Configuration mifototra amin'ny fampiasana ny torolàlana etsy ambany.

Fametrahana Google OAuth efa misy

Esory ireto andalana misy ny Google OAuth configs taloha ireto ao amin'ny fisienao izay hita ao amin'ny /etc/firezone/firezone.rb

 

default['firezone']['authentication']['google']['enabled']

default['firezone']['authentication']['google']['client_id']

default['firezone']['authentication']['google']['client_secret']

default['firezone']['authentication']['google']['redirect_uri']

 

Avy eo, amboary ny Google ho mpamatsy OIDC amin'ny alàlan'ny fanarahana ny fomba fiasa eto.

(Manomeza toromarika rohy)<<<<<<<<<<<<<<<<

 

Tefeo ny Google OAuth efa misy 

Esory ireo andalana misy ny Okta OAuth configs taloha ao amin'ny fisie misy anao ao amin'ny /etc/firezone/firezone.rb

 

default['firezone']['authentication']['okta']['enabled']

default['firezone']['authentication']['okta']['client_id']

default['firezone']['authentication']['okta']['client_secret']

Default['firezone']['authentication']['okta']['site']

 

Avy eo, amboary ny Okta ho mpamatsy OIDC amin'ny fanarahana ny fomba fiasa eto.

Havaozina avy amin'ny 0.3.x ho >= 0.3.16

Miankina amin'ny fanamboaranao sy ny dikan-nao ankehitriny, araho ny torolalana etsy ambany:

Raha efa manana fampidirana OIDC ianao:

Ho an'ny mpamatsy OIDC sasany, ny fanavaozana ho >= 0.3.16 dia mila mahazo mari-pamantarana fanavaozana ho an'ny sehatra fidirana ivelan'ny aterineto. Amin'ny fanaovana izany dia azo antoka fa ny Firezone dia manavao amin'ny mpamatsy famantarana ary ny fifandraisana VPN dia tapaka rehefa voafafa ny mpampiasa iray. Tsy ampy an'io endri-javatra io ny famerimberenan'i Firezone teo aloha. Amin'ny toe-javatra sasany, ny mpampiasa voafafa amin'ny mpamatsy anao dia mety mbola mifandray amin'ny VPN.

Ilaina ny mampiditra ny fidirana ivelan'ny aterineto ao amin'ny mari-pamantarana sahan'ny fanefena OIDC anao ho an'ny mpamatsy OIDC izay manohana ny sahan'ny fidirana ivelan'ny aterineto. Ny Firezone-ctl reconfigure dia tsy maintsy tanterahina mba hampiharana ny fanovana amin'ny rakitra fikirakirana Firezone, izay hita ao amin'ny /etc/firezone/firezone.rb.

Ho an'ireo mpampiasa izay nohamarinin'ny mpamatsy OIDC anao dia ho hitanao ny lohatenin'ny OIDC Connections ao amin'ny pejin'ny antsipirihan'ny mpampiasa amin'ny UI web raha toa ka mahavita maka tsara ny marika famelombelomana ny Firezone.

Raha tsy mandeha izany dia mila mamafa ny fampiharana OAuth efa misy ianao ary mamerina ny dingana fananganana OIDC mba mamorona fampidirana fampiharana vaovao .

Manana fampidirana OAuth efa misy aho

Talohan'ny 0.3.11, Firezone dia nampiasa mpamatsy OAuth2 efa namboarina mialoha. 

Araho ny torolàlana Eto hifindra any amin'ny OIDC.

Tsy nampiditra mpanome famantarana aho

Tsy ilaina ny hetsika. 

Azonao atao ny manaraka ny toromarika Eto ahafahan'ny SSO amin'ny alalan'ny mpamatsy OIDC.

Fanavaozana avy amin'ny 0.3.1 ho >= 0.3.2

Ao amin'ny toerany, ny default['firezone']['external url'] dia nisolo ny safidin'ny configuration default['firezone']['fqdn']. 

Apetraho amin'ny URL an'ny vavahadin-tseraseranao Firezone izay azon'ny besinimaro idirana. Hiditra amin'ny https:// miampy ny FQDN an'ny mpizara anao izy io raha avela tsy voafaritra.

Ny rakitra fanamafisana dia hita ao amin'ny /etc/firezone/firezone.rb. Jereo ny fanondroana fisie fanamafisam-peo ho an'ny lisitra feno momba ny fari-pandaminana sy ny famaritana azy.

Fanavaozana avy amin'ny 0.2.x ho 0.3.x

Firezone dia tsy mitazona fanalahidy manokana amin'ny fitaovana ao amin'ny mpizara Firezone amin'ny dikan-0.3.0. 

Ny Firezone Web UI dia tsy hamela anao hisintona indray na hijery ireo fanitsiana ireo, fa izay fitaovana efa misy dia tokony hanohy hiasa araka ny tokony ho izy.

Fanavaozana avy amin'ny 0.1.x ho 0.2.x

Raha manavao avy amin'ny Firezone 0.1.x ianao, dia misy fanovana fisie vitsivitsy tsy maintsy atao amin'ny tanana. 

Raha te hanao ireo fanovana ilaina amin'ny rakitra /etc/firezone/firezone.rb anao dia araho ny baiko etsy ambany ho root.

 

cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak

sed -i "s/\['enable'\]/\['enabled'\]/" /etc/firezone/firezone.rb

echo “default['firezone']['connectivity_checks']['enabled'] = marina" >> /etc/firezone/firezone.rb

echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb

firezone-ctl reconfigure

firezone-ctl restart

Fanamboarana

Ny fanamarinana ny diarin'ny Firezone dia dingana voalohany tsara ho an'ny olana mety hitranga.

Alefaso ny rambony sudo firezone-ctl raha hijery ny logs Firezone.

Debugging olana mifandray

Ny ankamaroan'ny olana mifandray amin'ny Firezone dia avy amin'ny fitsipika iptables na nftables tsy mifanaraka. Tokony ho azonao antoka fa tsy mifanipaka amin'ny fitsipiky ny Firezone ny fitsipika rehetra manankery.

Mihena ny fifandraisan'ny Aterineto rehefa mavitrika ny Tunnel

Ataovy azo antoka fa ny rojo FORWARD dia mamela ny fonosana avy amin'ny mpanjifa WireGuard anao mankany amin'ny toerana tianao halefa amin'ny Firezone raha miharatsy ny fifandraisana Internet anao isaky ny manetsika ny tonelina WireGuard ianao.

 

Mety ho tratra izany raha mampiasa ufw ianao amin'ny alàlan'ny fiantohana fa avela ny politikan'ny fandalovana default:

 

ubuntu@fz:~$ sudo ufw default mamela lalana

Niova ho 'avela' ny politikan'ny lalan-kaleha

(aza adino ny manavao ny fitsipikao mifanaraka amin'izany)

 

A Wow Ny sata ho an'ny mpizara Firezone mahazatra dia mety ho toy izao:

 

ubuntu@fz:~$ sudo ufw status verbose

Status: mavitrika

Logging: on (ambany)

Default: mandà (miditra), mamela (mivoaka), mamela (lalao)

Profiles vaovao: skip

 

To Action From

— —— —-

22/tcp Avelao ho any na aiza na aiza

80/tcp Avelao ho any na aiza na aiza

443/tcp Avelao AO AMIN'NY AIZA

51820/udp Avelao Any Any Any

22/tcp (v6) Avelao ho any na aiza na aiza (v6)

80/tcp (v6) Avelao ho any na aiza na aiza (v6)

443/tcp (v6) Avelao any amin'ny toerana rehetra (v6)

51820/udp (v6) Avelao ho any amin'ny toerana rehetra (v6)

Fiheverana momba ny fiarovana

Manoro hevitra izahay hamerana ny fidirana amin'ny seha-pifandraisana web ho an'ny fametrahana famokarana saro-pady sy manakiana iraka, araka ny hazavaina etsy ambany.

Serivisy & Seranana

 

Service

Port Default

Adiresy mihaino

Description

Nginx

80, 443

rehetra

Seranan-tseranana HTTP(S) ho an'ny fitantanana Firezone sy hanamora ny fanamarinana.

mpiambina tariby

51820

rehetra

Ny seranan-tsambo WireGuard Public ampiasaina amin'ny fivoriana VPN. (UDP)

postgresql

15432

127.0.0.1

Seranana eo an-toerana ihany no ampiasaina amin'ny mpizara Postgresql mitambatra.

Phoenix

13000

127.0.0.1

Seranana eo an-toerana ihany ampiasain'ny mpizara app elixir ambony.

Fametrahana famokarana

Manoro hevitra anao izahay mba hieritreritra momba ny famerana ny fidirana amin'ny UI web ampahibemaso an'i Firezone (amin'ny alàlan'ny seranan-tsambo 443/tcp sy 80/tcp) ary ampiasao ny tonelina WireGuard hitantana ny Firezone amin'ny famokarana sy ny fametrahana ho an'ny besinimaro izay ahafahan'ny mpitantana tokana hiandraikitra. amin'ny famoronana sy fizarana ny fanefena fitaovana amin'ny mpampiasa farany.

 

Ohatra, raha namorona rindrankajy fitaovana ny administratera iray ary namorona tonelina miaraka amin'ny adiresy WireGuard eo an-toerana 10.3.2.2, ity config ufw manaraka ity dia ahafahan'ny mpitantana miditra ny UI web Firezone amin'ny interface wg-firezone an'ny mpizara mampiasa ny default 10.3.2.1 adiresin'ny tonelina:

 

root@demo:~# ufw status verbose

Status: mavitrika

Logging: on (ambany)

Default: mandà (miditra), mamela (mivoaka), mamela (lalao)

Profiles vaovao: skip

 

To Action From

— —— —-

22/tcp Avelao ho any na aiza na aiza

51820/udp Avelao Any Any Any

Na aiza na aiza Avelao 10.3.2.2

22/tcp (v6) Avelao ho any na aiza na aiza (v6)

51820/udp (v6) Avelao ho any amin'ny toerana rehetra (v6)

Izany dia hiala fotsiny 22/tcp mibaribary amin'ny fidirana SSH hitantana ny mpizara (tsy voatery), ary 51820/udp mibaribary mba hametrahana tonelina WireGuard.

Manaova SQL Query

Firezone dia mamehy mpizara Postgresql sy mifanandrify psql utility izay azo ampiasaina amin'ny shell eo an-toerana toy izao:

 

/opt/firezone/embedded/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c “SQL_STATEMENT”

 

Mety hanampy amin'ny tanjona debugging izany.

 

Asa iombonana:

 

  • Lisitra ny mpampiasa rehetra
  • Mitadiava fitaovana rehetra
  • Fanovana ny andraikitry ny mpampiasa
  • Famerenana ny angon-drakitra



Lisitr'ireo mpampiasa rehetra:

 

/opt/firezone/embedded/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c “SIFIDY * FROM mpampiasa;”



Mitadiava fitaovana rehetra:

 

/opt/firezone/embedded/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c "MIFIDY * FROM fitaovana;"



Manova andraikitry ny mpampiasa:

 

Apetraho amin'ny 'admin' na 'unprivileged' ny andraikitra:

 

/opt/firezone/embedded/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c “FANAOVANA ny mpampiasa SET role = 'admin' WHERE email = 'user@example.com';"



Backup ny database:

 

Fanampin'izay, tafiditra ao ny programa pg dump, izay azo ampiasaina haka backups tsy tapaka ny angon-drakitra. Ataovy ity kaody manaraka ity mba hanariana ny dika mitovy amin'ny angon-drakitra amin'ny endrika fangatahana SQL mahazatra (soloo ny /path/to/backup.sql amin'ny toerana tokony hamoronana ny rakitra SQL):

 

/opt/firezone/embedded/bin/pg_dump \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 > /path/to/backup.sql

User Guides

  • Manampia mpampiasa
  • Manampia Fitaovana
  • Fitsipika fivoahana
  • Torolàlana ho an'ny mpanjifa
  • Split Tunnel VPN
  • Tonelina mivadika 
  • NAT Gateway

Manampia mpampiasa

Rehefa vita soa aman-tsara ny Firezone dia tsy maintsy manampy mpampiasa ianao mba hanomezana azy ireo fidirana amin'ny tambajotrao. Ny Web UI no ampiasaina hanaovana izany.

 

UI Web


Amin'ny fisafidianana ny bokotra "Add User" eo ambanin'ny /users, azonao atao ny manampy mpampiasa. Tsy maintsy manome ny mpampiasa adiresy mailaka sy tenimiafina ianao. Mba ahafahana miditra ho azy amin'ny mpampiasa ao amin'ny fikambananao dia afaka mifandray sy mampifanaraka amin'ny mpanome famantarana ihany koa ny Firezone. Misy antsipiriany bebe kokoa hita ao amin'ny manamarina. < Manampia rohy mankany amin'ny Authenticate

Manampia Fitaovana

Manoro hevitra izahay mba hangataka ny mpampiasa hamorona ny fanefena ny fitaovany manokana mba ho azy ireo ihany no mahita ny lakile manokana. Ny mpampiasa dia afaka mamorona ny fanefenany manokana amin'ny alàlan'ny fanarahana ny torolàlana ao amin'ny Torolàlana ho an'ny mpanjifa pejy.

 

Mamorona tefin'ny fitaovana admin

Ny fanamafisam-pitaovan'ny mpampiasa rehetra dia azo noforonin'ny mpandrindra Firezone. Ao amin'ny pejin'ny mombamomba ny mpampiasa hita ao amin'ny / mpampiasa, safidio ny safidy "Add Device" hanatanterahana izany.

 

[Ampidiro ny pikantsary]

 

Azonao atao ny mandefa mailaka amin'ny mpampiasa ny rakitra fikirakirana WireGuard rehefa avy namorona ny mombamomba ny fitaovana.

 

Mifandray ny mpampiasa sy ny fitaovana. Raha mila fanazavana fanampiny momba ny fomba hanampiana mpampiasa dia jereo Manampia mpampiasa.

Fitsipika fivoahana

Amin'ny alàlan'ny fampiasana ny rafitra netfilter an'ny kernel, ny Firezone dia manome fahafahana ny fanivanana mivoaka mba hamaritana ny fonosana DROP na ACCEPT. Ara-dalàna ny fifamoivoizana rehetra.

 

Ny IPv4 sy IPv6 CIDR ary ny adiresy IP dia tohanana amin'ny alàlan'ny Allowlist sy Denylist, tsirairay avy. Azonao atao ny misafidy ny hametaka fitsipika ho an'ny mpampiasa iray rehefa manampy azy io, izay mampihatra ny fitsipika amin'ny fitaovan'ny mpampiasa rehetra.

Torolàlana ho an'ny mpanjifa

Mametraka sy manangana

Mba hametrahana fifandraisana VPN amin'ny fampiasana ny mpanjifa WireGuard teratany, jereo ity torolàlana ity.

 

1. Apetraho ny mpanjifa WireGuard teratany

 

Ny mpanjifa WireGuard ofisialy eto dia mifanaraka amin'ny Firezone:

 

MacOS

 

Windows

 

iOS

 

Android

 

Tsidiho ny tranokala ofisialy WireGuard ao amin'ny https://www.wireguard.com/install/ ho an'ny rafitra OS tsy voalaza etsy ambony.

 

2. Ampidino ny rakitra fikirakirana fitaovana

 

Na ny mpitantana Firezone anao na ny tenanao dia afaka mamorona ny rakitra fikirakirana fitaovana amin'ny alàlan'ny vavahadin-tserasera Firezone.

 

Tsidiho ny URL nomen'ny mpitantana Firezone anao mba hamoronana fichier fanefena fitaovana. Ny orinasanao dia hanana URL tokana ho an'izany; amin'ity tranga ity dia https://instance-id.yourfirezone.com.

 

Midira ao amin'ny Firezone Okta SSO

 

[Ampidiro ny pikantsary]

 

3. Ampio ny firafitry ny mpanjifa

 

Ampidiro ao amin'ny mpanjifa WireGuard ny rakitra.conf amin'ny fanokafana azy. Amin'ny famadihana ny switch Activate dia afaka manomboka fivoriana VPN ianao.

 

[Ampidiro ny pikantsary]

Session Reauthentication

Araho ny toromarika etsy ambany raha nandidy ny fanamarinana miverimberina ny mpitantana ny tambajotra mba hitazonana ny fifandraisanao VPN ho mavitrika. 



Mila ianao:

 

URL an'ny vavahadin-tserasera Firezone: Anontanio ny mpitantana ny tambajotranao momba ny fifandraisana.

Tokony ho afaka manolotra ny fidiranao sy ny tenimiafinao ny mpitantana ny tambajotranao. Ny tranokala Firezone dia hanosika anao hiditra amin'ny fampiasana ny serivisy sonia tokana ampiasain'ny mpampiasa anao (toy ny Google na Okta).

 

1. Vonoy ny fifandraisana VPN

 

[Ampidiro ny pikantsary]

 

2. Hamarino indray 

Mankanesa any amin'ny URL an'ny vavahadin-tserasera Firezone ary midira mampiasa ny fahazoan-dàlana nomen'ny mpitantana ny tambajotranao. Raha efa tafiditra ianao dia tsindrio ny bokotra Reauthenticate alohan'ny hidirana indray.

 

[Ampidiro ny pikantsary]

 

Dingana 3: Manomboha fivoriana VPN

[Ampidiro ny pikantsary]

Network Manager ho an'ny Linux

Raha hanafatra ny mombamomba ny fanamafisana WireGuard amin'ny alàlan'ny Network Manager CLI amin'ny fitaovana Linux, araho ireto torolàlana ireto (nmcli).

FANAMARIHANA

Raha manana fanohanana IPv6 ny mombamomba azy, dia mety tsy hahomby amin'ity hadisoana manaraka ity ny manandrana manafatra ny rakitra fikirakirana amin'ny alàlan'ny GUI Manager Network:

ipv6.method: tsy tohana ho an'ny WireGuard ny fomba "auto".

1. Apetraho ny WireGuard Tools 

Ilaina ny mametraka ny WireGuard userspace utility. Ity dia fonosana antsoina hoe wireguard na wireguard-tools ho an'ny fizarana Linux.

Ho an'ny Ubuntu/Debian:

sudo apt mametraka wireguard

Raha hampiasa Fedora:

sudo dnf mametraka wireguard-tools

Arch Linux:

sudo pacman -S wireguard-tools

Tsidiho ny tranokala ofisialy WireGuard ao amin'ny https://www.wireguard.com/install/ ho an'ny fizarana izay tsy voalaza etsy ambony.

2. Download configuration 

Na ny mpitantana Firezone anao na ny famoronana tena dia afaka mamorona ny fichier fanefena fitaovana mampiasa ny vavahadin-tserasera Firezone.

Tsidiho ny URL nomen'ny mpitantana Firezone anao mba hamoronana fichier fanefena fitaovana. Ny orinasanao dia hanana URL tokana ho an'izany; amin'ity tranga ity dia https://instance-id.yourfirezone.com.

[Ampidiro ny pikantsary]

3. Fikirana manafatra

Ampidiro ny rakitra fanamafisana nomena amin'ny alàlan'ny nmcli:

sudo nmcli connection import type wireguard file /path/to/configuration.conf

FANAMARIHANA

Ny anaran'ny rakitra fanamafisana dia hifanaraka amin'ny fifandraisana/interface WireGuard. Aorian'ny fanafarana dia azo soloina anarana ny fifandraisana raha ilaina:

Ny fifandraisana nmcli dia manova [anarana taloha] connection.id [anarana vaovao]

4. Ampifandraiso na tapaho

Amin'ny alàlan'ny baiko, mifandray amin'ny VPN toy izao manaraka izao:

fifandraisana nmcli [anaran'ny vpn]

Miala:

ny fifandraisana nmcli [anaran'ny vpn]

Ny applet Network Manager azo ampiasaina koa dia azo ampiasaina hitantana ny fifandraisana raha mampiasa GUI.

Auto Connection

Amin'ny fisafidianana "eny" amin'ny safidy autoconnect, ny fifandraisana VPN dia azo amboarina mba hifandray ho azy:

 

Ny fifandraisana nmcli dia manova ny [anaran'ny vpn] fifandraisana. <<<<<<<<<<<<<<<<<<<<<<

 

autoconnect eny

 

Mba hanesorana ny fifandraisana mandeha ho azy dia avereno amin'ny tsia:

 

Ny fifandraisana nmcli dia manova ny [anaran'ny vpn] fifandraisana.

 

autoconnect no

Ataovy azo alaina ny Authentication Multi-Factor

Raha te hampavitrika ny MFA Mankanesa any amin'ny vavahadin-tserasera Firezone / kaonty mpampiasa / fisoratana anarana mfa pejy. Ampiasao ny fampiharana authenticator anao hijerena ny kaody QR rehefa avy namorona azy, dia ampidiro ny kaody enina isa.

Mifandraisa amin'ny Admin anao hamerenana ny mombamomba ny fidirana amin'ny kaontinao raha diso toerana ny fampiharana authenticator anao.

Split Tunnel VPN

Ity lesona ity dia hitarika anao amin'ny dingana fametrahana ny WireGuard's split tunneling feature miaraka amin'ny Firezone ka ny fifamoivoizana mankany amin'ny faritra IP manokana ihany no alefa amin'ny alàlan'ny mpizara VPN.

 

1. Ampifanaraho ny IP azo 

Ny laharan'ny IP izay hitondran'ny mpanjifa ny fifamoivoizana amin'ny tambajotra dia apetraka ao amin'ny sahan'ny IP azo alaina hita ao amin'ny pejy /setting/default. Ny fandrindrana tonelina WireGuard vao noforonina ihany no vokarin'ny Firezone no hisy fiantraikany amin'ny fanovana amin'ity sehatra ity.

 

[Ampidiro ny pikantsary]



Ny sandan'ny default dia 0.0.0.0/0, ::/0, izay mitondra ny fifamoivoizana amin'ny tambajotra rehetra avy amin'ny mpanjifa mankany amin'ny mpizara VPN.

 

Ireto misy ohatra amin'ny soatoavina amin'ity sehatra ity:

 

0.0.0.0/0, ::/0 – halefa any amin'ny mpizara VPN ny fifamoivoizana rehetra amin'ny tambajotra.

192.0.2.3/32 – fifamoivoizana mankany amin'ny adiresy IP tokana ihany no halefa any amin'ny mpizara VPN.

3.5.140.0/22 ​​– ny fifamoivoizana mankany amin'ny IP ao amin'ny faritra 3.5.140.1 – 3.5.143.254 ihany no halefa any amin'ny mpizara VPN. Amin'ity ohatra ity, ny faritra CIDR ho an'ny faritra ap-avaratra-atsinanana-2 AWS dia nampiasaina.



FANAMARIHANA

Firezone dia misafidy ny interface egress mifandray amin'ny lalana mazava indrindra aloha rehefa mamaritra ny toerana halehana fonosana.

 

2. Avereno indray ny fandrindrana WireGuard

Ny mpampiasa dia tsy maintsy mamerina ny rakitra fikirakirana ary manampy azy ireo amin'ny mpanjifany WireGuard teratany mba hanavaozana ireo fitaovana mpampiasa efa misy miaraka amin'ny fandrindrana tonelina vaovao.

 

Raha mila torolalana dia jereo manampy fitaovana. <<<<<<<<<<< Ampio rohy

Tonelina mivadika

Ity boky ity dia hampiseho ny fomba fampifandraisana fitaovana roa amin'ny fampiasana Firezone ho fampitana. Ny tranga fampiasa iray mahazatra dia ny ahafahan'ny administratera miditra amin'ny mpizara, kaontenera, na milina izay arovan'ny NAT na firewall.

 

Node mankany Node 

Ity fanoharana ity dia mampiseho scenario mahitsy izay nanamboaran'ny Fitaovana A sy B tionelina.

 

[Ampidiro ny sary maritrano firezone]

 

Atombohy amin'ny famoronana Device A sy Device B amin'ny alàlan'ny fandehanana mankany amin'ny /users/[user_id]/new_device. Ao amin'ny firafitry ny fitaovana tsirairay, ataovy azo antoka fa apetraka amin'ny soatoavina voatanisa etsy ambany ireto mari-pamantarana manaraka ireto. Azonao atao ny mametraka ny firafitry ny fitaovana rehefa mamorona ny config fitaovana (jereo Add Devices). Raha mila manavao ny fanovana amin'ny fitaovana efa misy ianao dia azonao atao izany amin'ny famoronana config fitaovana vaovao.

 

Mariho fa ny fitaovana rehetra dia manana pejy /settings/defaults izay azo amboarina ny PersistentKeepalive.

 

Fitaovana A

 

AllowedIPs = 10.3.2.2/32

  Ity ny IP na ny isan'ny IP an'ny Device B

PersistentKeepalive = 25

  Raha ao ambadiky ny NAT ilay fitaovana, izany dia miantoka fa ny fitaovana dia afaka mitazona ny tonelina ho velona ary manohy mandray fonosana avy amin'ny interface WireGuard. Matetika dia ampy ny sanda 25, saingy mety mila ahenao io sanda io arakaraka ny tontolo iainanao.



B fitaovana

 

AllowedIPs = 10.3.2.3/32

Ity ny IP na ny isan'ny IP an'ny Device A

PersistentKeepalive = 25

Raharaha Admin - Node iray hatramin'ny maro

Ity ohatra ity dia mampiseho toe-javatra iray ahafahan'ny Device A mifandray amin'ny Devices B hatramin'ny D amin'ny lafiny roa. Ity fananganana ity dia afaka maneho injeniera na mpitantana miditra amin'ny loharano maro (server, container, na milina) manerana ny tambajotra isan-karazany.

 

[Diagrama Architectural]<<<<<<<<<<<<<<<<<<<<<<<<

 

Ataovy azo antoka fa natao ao amin'ny firafitry ny fitaovana tsirairay mifanaraka amin'ny soatoavina mifanaraka amin'izany ireto fandrindrana manaraka ireto. Rehefa mamorona ny firafitry ny fitaovana dia azonao atao ny mamaritra ny firafitry ny fitaovana (jereo ny Add Devices). Azo amboarina ny config fitaovana vaovao raha mila havaozina ny fanovana amin'ny fitaovana efa misy.

 

Fitaovana A (Node Administrator)

 

AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32 

    Ity no IP an'ny fitaovana B hatramin'ny D. Ny IP an'ny fitaovana B hatramin'ny D dia tsy maintsy ampidirina amin'ny sehatra IP rehetra fidinao apetraka.

PersistentKeepalive = 25 

    Izany dia miantoka fa ny fitaovana dia afaka mitazona ny tonelina ary manohy mandray fonosana avy amin'ny interface WireGuard na dia voaaro amin'ny NAT aza. Amin'ny ankabeazan'ny toe-javatra, ny sanda 25 dia ampy, saingy miankina amin'ny manodidina anao dia mety ilainao ny hampidina an'io tarehimarika io.

 

Fitaovana B

 

  • AllowedIPs = 10.3.2.2/32: Ity ny IP na ny isan'ny IP an'ny Device A
  • PersistentKeepalive = 25

Fitaovana C

 

  • AllowedIPs = 10.3.2.2/32: Ity ny IP na ny isan'ny IP an'ny Device A
  • PersistentKeepalive = 25

Fitaovana D

 

  • AllowedIPs = 10.3.2.2/32: Ity ny IP na ny isan'ny IP an'ny Device A
  • PersistentKeepalive = 25

NAT Gateway

Mba hanolorana IP fivoahana tokana tokana ho an'ny fifamoivoizana an'ny ekipanao rehetra hivoaka, dia azo ampiasaina ho vavahadin'ny NAT ny Firezone. Ireto toe-javatra ireto dia ahitana ny fampiasana azy matetika:

 

Consulting Engagements: Mangataha ny mpanjifanao whitelist adiresy IP static tokana fa tsy ny IP fitaovana tokana an'ny mpiasa tsirairay.

Mampiasa proxy na manafina ny loharano IP anao ho an'ny tanjona fiarovana na tsiambaratelo.

 

Ohatra tsotra amin'ny famerana ny fidirana amin'ny rindranasa tranonkala ampiantranoan-tena amin'ny IP static tokana voatanisa fotsy mitantana Firezone no haseho ato amin'ity lahatsoratra ity. Amin'ity sary ity, Firezone sy ny loharano arovana dia any amin'ny faritra VPC samihafa.

 

Ity vahaolana ity dia ampiasaina matetika ho solon'ny fitantanana lisitra fotsy IP ho an'ny mpampiasa farany maro, izay mety handany fotoana rehefa mivelatra ny lisitry ny fidirana.

Ohatra AWS

Ny tanjonay dia ny hanangana mpizara Firezone amin'ny ohatra EC2 hamerenana ny fifamoivoizana VPN mankany amin'ny loharano voafetra. Amin'ity tranga ity, Firezone dia miasa ho toy ny tambajotra proxy na vavahadin'ny NAT mba hanomezana ny fitaovana mifandray tsirairay IP fivoahana ho an'ny daholobe.

 

1. Apetraho ny mpizara Firezone

Amin'ity tranga ity, ohatra EC2 antsoina hoe tc2.micro dia manana ohatra Firezone napetraka eo aminy. Raha mila fanazavana momba ny fametrahana ny Firezone dia mandehana any amin'ny Torolàlana momba ny fametrahana. Raha mifandray amin'ny AWS, aoka ho azo antoka:

 

Ny vondrona fiarovana an'ny Firezone EC2 dia mamela ny fifamoivoizana mivoaka mankany amin'ny adiresy IP an'ny loharano voaaro.

Ny ohatra Firezone dia tonga miaraka amin'ny IP elastika. Ny fifamoivoizana izay alefa amin'ny alalan'ny ohatra Firezone mankany amin'ny toerana any ivelany dia hanana izany ho adiresy IP loharano. Ny adiresy IP resahina dia 52.202.88.54.

 

[Ampidiro ny pikantsary]<<<<<<<<<<<<<<<<<<<<<<<<

 

2. Fepetra ny fidirana amin'ny loharano izay arovana

Ny rindranasa tranonkala ampiantranoan-tena no loharano arovana amin'ity tranga ity. Ny fampiharana tranonkala dia tsy azo idirana afa-tsy amin'ny fangatahana avy amin'ny adiresy IP 52.202.88.54. Miankina amin'ny loharanon-karena, mety ilaina ny mamela ny fifamoivoizana miditra amin'ny seranana sy karazana fifamoivoizana isan-karazany. Tsy voarakitra ato amin'ity boky ity izany.

 

[Ampidiro ny pikantsary]<<<<<<<<<<<<<<<<<<<<<<<<

 

Azafady, lazao amin'ny antoko fahatelo miandraikitra ny loharano arovana fa tsy maintsy avela ny fifamoivoizana avy amin'ny IP static voafaritra ao amin'ny dingana 1 (amin'ity tranga ity 52.202.88.54).

 

3. Ampiasao ny mpizara VPN hitarihana ny fifamoivoizana mankany amin'ny loharano voaaro

 

Amin'ny alàlan'ny default, ny fifamoivoizana mpampiasa rehetra dia handeha amin'ny mpizara VPN ary avy amin'ny IP static izay namboarina tamin'ny dingana 1 (amin'ity tranga ity 52.202.88.54). Na izany aza, raha navela ny fizarazarana tonelina, dia mety ilaina ny fanovana mba hahazoana antoka fa ny IP alehan'ny loharano voaaro dia voatanisa ao anatin'ireo IP azo avela.

Ampio eto ny lahatsoratra nataonao

Aseho eto ambany ny lisitra feno amin'ireo safidy fanamafisam-peo misy ao /etc/firezone/firezone.rb.



safidy

famaritana

sanda default

default['firezone']['external_url']

URL ampiasaina hidirana amin'ny vavahadin-tranonkala an'ity ohatra Firezone ity.

“https://#{node['fqdn'] || node ['hostname']}”

default['firezone']['config_directory']

Lahatahiry ambony indrindra ho an'ny fanamafisana Firezone.

/etc/firezone'

default['firezone']['install_directory']

Lahatahiry ambony indrindra hametrahana Firezone.

/opt/firezone'

default['firezone']['app_directory']

Lahatahiry ambony indrindra hametrahana ny fampiharana tranonkala Firezone.

“#{node['firezone']['install_directory']}/embedded/service/firezone”

default['firezone']['log_directory']

Lahatahiry ambony indrindra ho an'ny diarin'ny Firezone.

/var/log/firezone'

default['firezone']['var_directory']

Lahatahiry ambony indrindra ho an'ny fisie fampandehanana Firezone.

/var/opt/firezone'

default['firezone']['mpampiasa']

Anaran'ny mpampiasa Linux tsy manana tombontsoa ho an'ny ankamaroan'ny serivisy sy ny rakitra.

firezone'

default['firezone']['group']

Anaran'ny vondrona Linux ho an'ny ankamaroan'ny serivisy sy ny rakitra.

firezone'

default['firezone']['admin_email']

Adiresy mailaka ho an'ny mpampiasa Firezone voalohany.

"firezone@localhost"

default['firezone']['max_devices_per_user']

Isan'ny fitaovana ambony indrindra azon'ny mpampiasa ananana.

10

default['firezone']['allow_unprivileged_device_management']

Mamela ireo mpampiasa tsy admin hamorona sy hamafa fitaovana.

MARINA

default['firezone']['allow_unprivileged_device_configuration']

Mamela ny mpampiasa tsy admin hanova ny tefin'ny fitaovana. Rehefa kilemaina, dia manakana ireo mpampiasa tsy manana tombontsoa hanova ny saha fitaovana rehetra afa-tsy ny anarana sy ny famaritana.

MARINA

default['firezone']['egress_interface']

Anaran'ny interface izay hivoahan'ny fifamoivoizana tonelina. Raha tsy misy dia hampiasaina ny interface de route default.

Nil

default['firezone']['fips_enabled']

Alefaso na esory ny maody OpenSSL FIPs.

Nil

default['firezone']['logging']['enabled']

Alefaso na esory ny fandraketana an-tsoratra manerana ny Firezone. Apetraho amin'ny false mba hanesorana tanteraka ny logging.

MARINA

default['enterprise']['name']

Anarana ampiasain'ny chef 'orinasa' cookbook.

firezone'

default['firezone']['install_path']

Mametraka lalana ampiasain'ny Chef 'enterprise' cookbook. Tokony hapetraka mitovy amin'ny install_directory etsy ambony.

node ['firezone']['install_directory']

default['firezone']['sysvinit_id']

Identifier ampiasaina amin'ny /etc/inittab. Tokony ho filaharana miavaka misy tarehintsoratra 1-4.

SUP'

default['firezone']['authentication']['local']['enabled']

Alefaso na esory ny fanamarinana mailaka/ tenimiafina eo an-toerana.

MARINA

default['firezone']['authentication']['auto_create_oidc_users']

Mamorona ho azy ireo mpampiasa miditra amin'ny OIDC voalohany. Atsaharo ny mamela ny mpampiasa efa misy hiditra amin'ny alàlan'ny OIDC ihany.

MARINA

default['firezone']['authentication']['disable_vpn_on_oidc_error']

Atsaharo ny VPN an'ny mpampiasa iray raha misy hadisoana hita manandrana manavao ny mariky ny OIDC.

DISO

default['firezone']['authentication']['oidc']

OpenID Connect config, amin'ny endrika {“provider” => [config…]} – Jereo OpenIDConnect antontan-taratasy ho an'ny ohatra config.

{}

default ['firezone']['nginx']['enabled']

Alefaso na esory ny mpizara nginx mitambatra.

MARINA

default ['firezone']['nginx']['ssl_port']

Seranana mihaino HTTPS.

443

default['firezone']['nginx']['directory']

Lahatahiry hitahiry Firezone mifandraika amin'ny nginx virtual host configuration.

“#{node['firezone']['var_directory']}/nginx/etc”

default['firezone']['nginx']['log_directory']

Lahatahiry hitehirizana rakitra nginx mifandraika amin'ny Firezone.

“#{node['firezone']['log_directory']}/nginx”

default['firezone']['nginx']['log_rotation']['file_maxbytes']

Haben'ny rakitra izay hanodina ny rakitra log Nginx.

104857600

default['firezone']['nginx']['log_rotation']['num_to_keep']

Isan'ny fichier log nginx Firezone hotehirizina alohan'ny hanariana.

10

default['firezone']['nginx']['log_x_forwarded_for']

Na hiditra ao amin'ny Firezone nginx x-forwarded-for header.

MARINA

default['firezone']['nginx']['hsts_header']['enabled']

Alefaso na esory HSTS.

MARINA

default['firezone']['nginx']['hsts_header']['include_subdomains']

Ampidiro na atsaharo ny subDomains ho an'ny lohatenin'ny HSTS.

MARINA

default['firezone']['nginx']['hsts_header']['max_age']

Taona max ho an'ny lohatenin'ny HSTS.

31536000

default['firezone']['nginx']['redirect_to_canonical']

Na hamindra URL mankany amin'ny FQDN kanônika voalaza etsy ambony

DISO

default['firezone']['nginx']['cache']['enabled']

Alefaso na esory ny cache nginx Firezone.

DISO

default['firezone']['nginx']['cache']['directory']

Lahatahiry ho an'ny cache nginx Firezone.

“#{node['firezone']['var_directory']}/nginx/cache”

default['firezone']['nginx']['mpampiasa']

Firezone nginx mpampiasa.

node['firezone']['mpampiasa']

default ['firezone']['nginx']['group']

Firezone nginx group.

node['firezone']['group']

default ['firezone']['nginx']['dir']

Ny lahatahiry fanamafisana nginx ambony indrindra.

node ['firezone']['nginx']['directory']

default['firezone']['nginx']['log_dir']

Top-level nginx log lahatahiry.

node ['firezone']['nginx']['log_directory']

default ['firezone']['nginx']['pid']

Toerana ho an'ny rakitra nginx pid.

“#{node['firezone']['nginx']['directory']}/nginx.pid”

default ['firezone']['nginx']['daemon_disable']

Atsaharo ny mode daemon nginx mba ahafahantsika manara-maso azy.

MARINA

default['firezone']['nginx']['gzip']

Alefaso na vonoy ny famatrarana nginx gzip.

amin'ny '

default['firezone']['nginx']['gzip_static']

Ampidiro na vonoy ny famatrarana nginx gzip ho an'ny rakitra static.

miala'

default['firezone']['nginx']['gzip_http_version']

Dika HTTP ampiasaina amin'ny fandefasana rakitra static.

1.0 '

default['firezone']['nginx']['gzip_comp_level']

nginx gzip haavon'ny famatrarana.

2 '

default['firezone']['nginx']['gzip_proxied']

Mamela na manafoana ny gzipping ny valinteny ho an'ny fangatahana proxy miankina amin'ny fangatahana sy valiny.

misy'

default['firezone']['nginx']['gzip_vary']

Mamela na manafoana ny fampidirana ny lohatenin'ny valiny "Vary: Accept-encoding".

miala'

default['firezone']['nginx']['gzip_buffers']

Mametraka ny isa sy ny haben'ny buffer ampiasaina hanindry valiny. Raha tsy misy, ny default nginx dia ampiasaina.

Nil

default['firezone']['nginx']['gzip_types']

karazana MIME ahafahana mamaha ny gzip.

['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json']

default['firezone']['nginx']['gzip_min_length']

Ny halavan'ny rakitra faran'izay kely ahafahana mametaka ny rakitra gzip.

1000

default['firezone']['nginx']['gzip_disable']

Mpandrindra mpampiasa-agent mba hanaisotra ny famatrarana gzip ho an'ny.

MSIE [1-6]\.'

default ['firezone']['nginx']['keepalive']

Manetsika ny cache ho an'ny fifandraisana amin'ireo mpizara ambony.

amin'ny '

default['firezone']['nginx']['keepalive_timeout']

Fotoana ao anatin'ny segondra ho an'ny fifandraisana keepalive amin'ireo mpizara ambony.

65

default['firezone']['nginx']['worker_processes']

Isan'ny fizotry ny mpiasa nginx.

node['cpu'] && node['cpu']['total'] ? node['cpu']['total'] : 1

default['firezone']['nginx']['worker_connections']

Maherin'ny fifandraisana miaraka izay azo sokafana amin'ny fizotry ny mpiasa.

1024

default['firezone']['nginx']['worker_rlimit_nofile']

Manova ny fetran'ny isan'ny rakitra misokatra ho an'ny fizotry ny mpiasa. Mampiasa nginx default raha tsy misy.

Nil

default ['firezone']['nginx']['multi_accept']

Na tokony hanaiky fifandraisana iray isaky ny mandeha na maromaro ny mpiasa.

MARINA

default['firezone']['nginx']['hetsika']

Mamaritra ny fomba fanodinana fifandraisana hampiasaina ao anatin'ny tontolon'ny hetsika nginx.

epoll'

default['firezone']['nginx']['server_tokens']

Mamela na manafoana ny famoahana ny kinova nginx amin'ny pejin'ny hadisoana sy ao amin'ny sehatry ny lohatenin'ny valinteny "Server".

Nil

default['firezone']['nginx']['server_name_hash_bucket_size']

Mametraka ny haben'ny siny ho an'ny anaran'ny mpizara latabatra hash.

64

default ['firezone']['nginx']['sendfile']

Mamela na manafoana ny fampiasana ny sendfile() an'ny nginx.

amin'ny '

default['firezone']['nginx']['access_log_options']

Mametraka safidy log access nginx.

Nil

default['firezone']['nginx']['error_log_options']

Mametraka safidy log error nginx.

Nil

default['firezone']['nginx']['disable_access_log']

Manakana ny log access nginx.

DISO

default ['firezone']['nginx']['types_hash_max_size']

nginx karazana hash max habe.

2048

default['firezone']['nginx']['types_hash_bucket_size']

nginx karazana hash habe siny.

64

default['firezone']['nginx']['proxy_read_time out']

nginx proxy mamaky fotoana. Apetraho amin'ny nil hampiasa ny default nginx.

Nil

default['firezone']['nginx']['client_body_buffer_size']

nginx body buffer size. Apetraho amin'ny nil hampiasa ny default nginx.

Nil

default['firezone']['nginx']['client_max_body_size']

nginx mpanjifa max haben'ny vatana.

250m'

default['firezone']['nginx']['default']['modules']

Manorata modules nginx fanampiny.

[]

default['firezone']['nginx']['enable_rate_limiting']

Alefaso na esory ny famerana ny tahan'ny nginx.

MARINA

default['firezone']['nginx']['rate_limiting_zone_name']

Ny anaran'ny faritra mametra ny tahan'ny Nginx.

firezone'

default['firezone']['nginx']['rate_limiting_backoff']

Ny tahan'ny Nginx mametra ny fiverenana.

10m'

default['firezone']['nginx']['rate_limit']

Ny fetran'ny tahan'ny Nginx.

10r/s'

default['firezone']['nginx']['ipv6']

Avelao ny nginx hihaino ny fangatahana HTTP ho an'ny IPv6 ankoatra ny IPv4.

MARINA

default ['firezone']['postgresql']['enabled']

Alefaso na esory ny Postgresql mitambatra. Apetraho amin'ny diso ary fenoy ny safidy angona etsy ambany mba hampiasana ny ohatra Postgresql anao manokana.

MARINA

default ['firezone']['postgresql']['username']

Anaran'ny mpampiasa Postgresql.

node['firezone']['mpampiasa']

default ['firezone']['postgresql']['data_directory']

Lahatsoratra mifandraika amin'ny Postgresql.

"#{node['firezone']['var_directory']}/postgresql/13.3/data"

default ['firezone']['postgresql']['log_directory']

Postgresql log lahatahiry.

“#{node['firezone']['log_directory']}/postgresql"

default ['firezone']['postgresql']['log_rotation']['file_maxbytes']

Ny haben'ny rakitra log postgresql alohan'ny hanodina azy.

104857600

default ['firezone']['postgresql']['log_rotation']['num_to_keep']

Isan'ny rakitra log Postgresql hotehirizina.

10

default ['firezone']['postgresql']['checkpoint_completion_target']

Tanjona fahavitan'ny toby fisavana Postgresql.

0.5

default ['firezone']['postgresql']['checkpoint_segments']

Isan'ny fizarana toby fisavana Postgresql.

3

default ['firezone']['postgresql']['checkpoint_timeout']

Ny fe-potoana fisavana Postgresql.

5min'

default ['firezone']['postgresql']['checkpoint_warning']

Fotoana fampitandremana postgresql amin'ny segondra.

30s'

default ['firezone']['postgresql']['effective_cache_size']

Haben'ny cache mahomby Postgresql.

128MB'

default ['firezone']['postgresql']['listen_address']

Adiresy mihaino Postgresql.

127.0.0.1 '

default ['firezone']['postgresql']['max_connections']

Postgresql max fifandraisana.

350

default ['firezone']['postgresql']['md5_auth_cidr_addresses']

Postgresql CIDRs hamela ny md5 auth.

['127.0.0.1/32', '::1/128']

default ['firezone']['postgresql']['port']

Postgresql mihaino port.

15432

default['firezone']['postgresql']['shared_buffers']

Postgresql mizara ny haben'ny buffers.

“#{(node['memory']['total'].to_i / 4) / 1024}MB”

default ['firezone']['postgresql']['shmmax']

Postgresql shmmax amin'ny bytes.

17179869184

default ['firezone']['postgresql']['shmall']

Postgresql shmall amin'ny bytes.

4194304

default ['firezone']['postgresql']['work_mem']

Haben'ny fahatsiarovana miasa Postgresql.

8MB'

default['firezone']['database']['mpampiasa']

Mamaritra ny anarana ampiasain'ny Firezone hifandraisana amin'ny DB.

node['firezone']['postgresql']['username']

default['firezone']['database']['password']

Raha mampiasa DB ivelany, dia mamaritra ny tenimiafina hampiasain'ny Firezone hifandraisana amin'ny DB.

change_me'

default['firezone']['database']['name']

Database izay hampiasain'i Firezone. Hoforonina raha tsy misy.

firezone'

default['firezone']['database']['host']

mpampiantrano database izay hifandraisan'i Firezone.

node ['firezone']['postgresql']['listen_address']

default['firezone']['database']['port']

Seranan-tserasera izay hifandraisan'i Firezone.

node ['firezone']['postgresql']['port']

default['firezone']['database']['dobo']

Ny haben'ny dobo database Firezone dia hampiasaina.

[10, Etc.nprocessors].max

default['firezone']['database']['ssl']

Na hifandray amin'ny angon-drakitra amin'ny SSL.

DISO

default['firezone']['database']['ssl_opts']

Hash amin'ny safidy alefa amin'ny safidy :ssl_opts rehefa mifandray amin'ny SSL. JEREO NY Ecto.Adapters.Postgres documentation.

{}

default['firezone']['database']['parameter']

Hash ny masontsivana halefa amin'ny safidy:parameters rehefa mifandray amin'ny angon-drakitra. JEREO NY Ecto.Adapters.Postgres documentation.

{}

default['firezone']['database']['extensions']

Fanitarana angon-drakitra mba ahafahana.

{ 'plpgsql' => marina, 'pg_trgm' => marina }

default['firezone']['phoenix']['enabled']

Alefaso na esory ny fampiharana tranonkala Firezone.

MARINA

default['firezone']['phoenix']['adiresy_henoy']

Adiresy fihainoana fampiharana tranonkala Firezone. Ity no adiresin'ny fihainoana avoakan'ny nginx proxy.

127.0.0.1 '

default['firezone']['phoenix']['port']

Firezone web application listen port. Ity no seranan-tsambo ambony izay afindran'ny nginx.

13000

default['firezone']['phoenix']['log_directory']

Firezone web application log directory.

“#{node['firezone']['log_directory']}/phoenix”

default['firezone']['phoenix']['log_rotation']['file_maxbytes']

Ny haben'ny rakitra diarin'ny tranokala Firezone.

104857600

default['firezone']['phoenix']['log_rotation']['num_to_keep']

Isan'ny rakitra firaketana an-tserasera Firezone hotehirizina.

10

default['firezone']['phoenix']['crash_detection']['enabled']

Alefaso na esory ny fampidinana ny fampiharana tranonkala Firezone rehefa misy fianjerana hita.

MARINA

default['firezone']['phoenix']['external_trusted_proxies']

Lisitry ny proxy mifamadika azo itokisana voalamina ho Array IP sy/na CIDR.

[]

default['firezone']['phoenix']['private_clients']

Lisitry ny mpanjifa HTTP tambajotra tsy miankina, nandrafitra ny Array IP sy/na CIDR.

[]

default['firezone']['wireguard']['enabled']

Alefaso na esory ny fitantanana WireGuard mitambatra.

MARINA

default['firezone']['wireguard']['log_directory']

Lahatahiry log ho an'ny fitantanana WireGuard mitambatra.

“#{node['firezone']['log_directory']}/wireguard”

default['firezone']['wireguard']['log_rotation']['file_maxbytes']

Ny haben'ny rakitra log WireGuard max.

104857600

default['firezone']['wireguard']['log_rotation']['num_to_keep']

Isan'ny rakitra log WireGuard hotehirizina.

10

default['firezone']['wireguard']['interface_name']

Anaran'ny interface WireGuard. Ny fanovana an'io mari-pamantarana io dia mety hiteraka fatiantoka vonjimaika amin'ny fifandraisana VPN.

wg-firezone'

default['firezone']['wireguard']['port']

WireGuard mihaino seranana.

51820

default['firezone']['wireguard']['mtu']

WireGuard interface MTU ho an'ity mpizara ity sy ho an'ny fanamafisana fitaovana.

1280

default['firezone']['wireguard']['endpoint']

WireGuard Endpoint hampiasaina amin'ny famoronana fandrindrana fitaovana. Raha tsy misy, dia mandeha amin'ny adiresy IP-bahoakan'ny mpizara.

Nil

default['firezone']['wireguard']['dns']

WireGuard DNS ampiasaina amin'ny fanamboarana fitaovana novokarina.

1.1.1.1′

default['firezone']['wireguard']['allowed_ips']

WireGuard AllowedIPs ampiasaina amin'ny fanamboarana fitaovana vokarina.

0.0.0.0/0, ::/0′

default['firezone']['wireguard']['persistent_keepalive']

Fikirana PersistentKeepalive Default ho an'ny fanamboarana fitaovana vokarina. Ny sandan'ny 0 dia manakana.

0

default['firezone']['wireguard']['ipv4']['enabled']

Alefaso na esory ny IPv4 ho an'ny tambajotra WireGuard.

MARINA

default['firezone']['wireguard']['ipv4']['masquerade']

Alefaso na esory ny masquerade ho an'ny fonosana miala amin'ny tonelina IPv4.

MARINA

default['firezone']['wireguard']['ipv4']['network']

WireGuard tambajotra IPv4 dobo adiresy.

10.3.2.0/24 ′

default['firezone']['wireguard']['ipv4']['adiresy']

Adiresy IPv4 interface tsara WireGuard. Tsy maintsy ao anatin'ny dobo adiresy WireGuard.

10.3.2.1 '

default['firezone']['wireguard']['ipv6']['enabled']

Alefaso na esory ny IPv6 ho an'ny tambajotra WireGuard.

MARINA

default['firezone']['wireguard']['ipv6']['masquerade']

Alefaso na esory ny masquerade ho an'ny fonosana miala amin'ny tonelina IPv6.

MARINA

default['firezone']['wireguard']['ipv6']['network']

WireGuard tambajotra IPv6 dobo adiresy.

fd00::3:2:0/120′

default['firezone']['wireguard']['ipv6']['adiresy']

Adiresy IPv6 interface tsara WireGuard. Tsy maintsy ao anatin'ny dobo adiresy IPv6.

fd00::3:2:1′

default['firezone']['runit']['svlogd_bin']

Runit svlogd bin toerana.

“#{node['firezone']['install_directory']}/embedded/bin/svlogd”

default['firezone']['ssl']['directory']

Lahatsoratra SSL ho an'ny fitehirizana taratasy fanamarinana novokarina.

/var/opt/firezone/ssl'

default['firezone']['ssl']['adiresy_mailaka']

Adiresy mailaka hampiasaina ho an'ny fanamarinana nosoniavin'ny tena sy fampandrenesana fanavaozana protocol ACME.

you@example.com'

default['firezone']['ssl']['acme']['enabled']

Alefaso ny ACME ho an'ny fanomezana mari-pankasitrahana SSL mandeha ho azy. Atsaharo izany mba hisorohana ny Nginx tsy hihaino amin'ny port 80. Jereo Eto raha mila torolalana bebe kokoa.

DISO

default['firezone']['ssl']['acme']['server']

Mpizara ACME ampiasaina amin'ny famoahana/fanavaozana taratasy fanamarinana. Mety misy mpizara acme.sh manankery

letsencrypt

default['firezone']['ssl']['acme']['keylength']

Lazao ny karazana fanalahidy sy ny halavan'ny fanamarinana SSL. JEREO NY Eto

ec-256

default['firezone']['ssl']['certificat']

Lalana mankany amin'ny rakitra fanamarinana ho an'ny FQDN-nao. Manafoana ny fika ACME etsy ambony raha voatondro. Raha toa ka tsy misy ny ACME sy ity dia hisy taratasy fanamarinana sonia manokana.

Nil

default['firezone']['ssl']['certificate_key']

Lalana mankany amin'ny rakitra fanamarinana.

Nil

default['firezone']['ssl']['ssl_dhparam']

nginx ssl dh_param.

Nil

default['firezone']['ssl']['country_name']

Anaran'ny firenena ho an'ny taratasy sonia manokana.

Etazonia'

default['firezone']['ssl']['name_state']

Anaranam-panjakana ho an'ny taratasy sonia tena.

CA '

default['firezone']['ssl']['locality_name']

Anaran-toerana ho an'ny taratasy fanamarinana nosoniavin'ny tena.

San Francisco'

default['firezone']['ssl']['anaran_orinasa']

Anaran'ny orinasa self-signed cert.

Ny orinasako'

default['firezone']['ssl']['anaran'ny_fikambanana']

Anaran'ny tarika organisation ho an'ny fanamarinana nosoniavin'ny tena.

Operations'

default['firezone']['ssl']['ciphers']

SSL ciphers ho an'ny nginx ampiasaina.

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’

default['firezone']['ssl']['fips_ciphers']

SSL ciphers ho an'ny fomba FIPs.

FIPS@STRENGTH:!aNULL:!eNULL'

default['firezone']['ssl']['protocols']

TLS protocols ampiasaina.

TLSv1 TLSv1.1 TLSv1.2′

default['firezone']['ssl']['session_cache']

SSL session cache.

mizara:SSL:4m'

default['firezone']['ssl']['session_time out']

SSL session fe-potoana.

5m'

default['firezone']['robots_allow']

ny robots nginx dia mamela.

/'

default['firezone']['robots_disallow']

ny robots nginx dia tsy mamela.

Nil

default['firezone']['mailaka_nivoaka']['avy amin']

Mailaka mivoaka avy amin'ny adiresy.

Nil

default['firezone']['mailaka_nivoaka']['mpanome']

Mpanome tolotra mailaka mivoaka.

Nil

default['firezone']['mailaka_nivoaka']['configs']

Configs mpamatsy mailaka mivoaka.

jereo ny omnibus/cookbooks/firezone/attributes/default.rb

default['firezone']['telemetry']['enabled']

Alefaso na esory ny telemetry vokatra tsy fantatra anarana.

MARINA

default['firezone']['connectivity_checks']['enabled']

Alefaso na esory ny serivisy fanaraha-maso ny fifandraisana Firezone.

MARINA

default['firezone']['connectivity_checks']['interval']

Elanelanelan'ny fisavana fifandraisana ao anatin'ny segondra.

3_600



________________________________________________________________

 

Toerana sy lahatahiry

 

Eto ianao dia hahita lisitry ny rakitra sy lahatahiry mifandraika amin'ny fametrahana Firezone mahazatra. Ireo dia mety hiova arakaraka ny fanovana amin'ny fisie fichier anao.



lalana

famaritana

/var/opt/firezone

Lahatahiry avo lenta misy angona sy tefy noforonina ho an'ny serivisy mitambatra Firezone.

/opt/firezone

Lahatahiry avo lenta misy tranomboky naorina, binary ary rakitra runtime ilain'ny Firezone.

/usr/bin/firezone-ctl

firezone-ctl ho an'ny fitantanana ny fametrahana Firezone anao.

/etc/systemd/system/firezone-runsvdir-start.service

systemd unit ho fanombohana ny fizotry ny mpanara-maso ny Firezone runsvdir.

/etc/firezone

Firezone fichier configuration.



__________________________________________________________

 

Firewall Templates

 

Foana ity pejy ity amin'ny docs

 

_____________________________________________________________

 

Template Firewall Nftables

 

Ity môdely firewall nftables manaraka ity dia azo ampiasaina amin'ny fiarovana ny mpizara mihazakazaka Firezone. Ny môdely dia manao vinavina sasantsasany; mety mila manitsy ny fitsipika hifanaraka amin'ny toe-javatra ampiasainao ianao:

  • Ny interface WireGuard dia antsoina hoe wg-firezone. Raha tsy mety izany dia ovay ny fari-piadidiana DEV_WIREGUARD mba hifanaraka amin'ny safidin'ny fandrindrana default['firezone']['wireguard']['interface_name'].
  • Ny seranan-tsambo WireGuard mihaino dia 51820. Raha tsy mampiasa ny seranan-tsambo default ianao dia ovao ny fari-piadidiana WIREGUARD_PORT.
  • Ireto fifamoivoizana miditra manaraka ireto ihany no avela ho an'ny mpizara:
    • SSH (tserana TCP 22)
    • HTTP (tserana TCP 80)
    • HTTPS (tserana TCP 443)
    • WireGuard (serana UDP WIREGUARD_PORT)
    • UDP traceroute (UDP port 33434-33524, voafetra ho 500/segondra)
    • ICMP sy ICMPv6 (faritra ho 2000/sego ny tahan'ny valin'ny ping/ping)
  • Ireo fifamoivoizana mivoaka manaraka ireto ihany no avela avy amin'ny mpizara:
    • DNS (UDP sy TCP port 53)
    • HTTP (tserana TCP 80)
    • NTP (UDP port 123)
    • HTTPS (tserana TCP 443)
    • SMTP fandefasana (TCP port 587)
    • UDP traceroute (UDP port 33434-33524, voafetra ho 500/segondra)
  • Ho raketina ny fifamoivoizana tsy mifanentana. Ny fitsipika ampiasaina amin'ny logging dia misaraka amin'ny fitsipika mampiato ny fifamoivoizana ary voafetra ny sarany. Tsy hisy fiantraikany amin'ny fifamoivoizana ny fanesorana ny fitsipika momba ny logging.

Fitsipika mitantana Firezone

Firezone dia manamboatra ny fitsipika nftables azy manokana mba hamela / handà ny fifamoivoizana mankany amin'ny toerana voafantina ao amin'ny interface Internet ary hikarakarana ny NAT mivoaka ho an'ny fifamoivoizana mpanjifa.

Ny fampiharana ny môdely firewall etsy ambany amin'ny mpizara efa mandeha (tsy amin'ny fotoana boot) dia hiafara amin'ny fanesorana ny fitsipiky ny Firezone. Mety hisy fiantraikany amin'ny fiarovana izany.

Mba hamahana izany dia avereno indray ny serivisy phoenix:

firezone-ctl avereno indray ny phoenix

Base Firewall Template

#!/usr/sbin/nft -f

 

## Fafao ny fitsipika rehetra misy

fitsipi-pifehezana

 

################################## VARIABLE ################## ###############

## Anaran'ny interface Internet/WAN

mamaritra DEV_WAN = eth0

 

## Anaran'ny interface WireGuard

mamaritra DEV_WIREGUARD = wg-firezone

 

## WireGuard mihaino seranana

mamaritra ny WIREGUARD_PORT = 51820

################################################################################ ############

 

# latabatra fanivanana fianakaviana inet lehibe

sivana inet latabatra {

 

 # Fitsipika momba ny fifamoivoizana alefa

 # Ity rojo ity dia karakaraina alohan'ny rojom-pandrosoana Firezone

 rojo mandroso {

   karazana sivana hook forward priority sivana - 5; politika manaiky

 }

 

 # Fitsipika momba ny fifamoivoizana fampidirana

 fidirana rojo {

   karazana sivana hook fampidirana laharam-pahamehana sivana; fidinana politika

 

   ## Avelao ny fifamoivoizana miditra amin'ny interface loopback

   raha izao \

     manaiky \

     fanehoan-kevitra "Avelao hiditra ny fifamoivoizana rehetra avy amin'ny interface loopback"

 

   ## Fahazoan-dàlana napetraka sy fifandraisana mifandraika

   ct fanjakana napetraka, mifandray \

     manaiky \

     fanehoan-kevitra "Fahazoan-dàlana napetraka / mifandray mifandraika"

 

   ## Avelao ny fifamoivoizana WireGuard miditra

   iif $DEV_WAN udp dport $WIREGUARD_PORT \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny fifamoivoizana WireGuard miditra"

 

   ## Ampidiro ary atsaharo ny fonosana TCP tsy SYN vaovao

   tcp flags != syn ct state new \

     fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \

     log prefix “IN – Vaovao !SYN: “ \

     fanehoan-kevitra "Loharano fetran'ny sarany ho an'ny fifandraisana vaovao izay tsy manana ny saina SYN TCP napetraka"

   tcp flags != syn ct state new \

     counter \

     mitete \

     fanehoan-kevitra "Atsaharo ny fifandraisana vaovao izay tsy manana ny sainam-pirenena SYN TCP"

 

   ## Ampidiro ary atsaharo ny fonosana TCP miaraka amin'ny fanevan'ny fin/syn tsy mety

   tcp flags & (fin|syn) == (fin|syn) \

     fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \

     log prefix “IN – TCP FIN|SIN: “ \

     fanehoan-kevitra "Famerana ny fisoratana anarana ho an'ny fonosana TCP miaraka amin'ny fanevan'ny fin/syn tsy mety"

   tcp flags & (fin|syn) == (fin|syn) \

     counter \

     mitete \

     fanehoan-kevitra "Atsaharo ny fonosana TCP miaraka amin'ny fin/syn flag set"

 

   ## Ampidiro ary atsaharo ny fonosana TCP miaraka amin'ny syn/first flag set

   tcp flags & (syn|voalohany) == (syn|voalohany) \

     fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \

     log prefix “IN – TCP SYN|RST: “ \

     fanehoan-kevitra "Ny famerana ny fandraisan'anjaran'ny fonosana TCP miaraka amin'ny syn/first flag set"

   tcp flags & (syn|voalohany) == (syn|voalohany) \

     counter \

     mitete \

     fanehoan-kevitra "Atsaharo ny fonosana TCP misy syn / saina voalohany napetraka"

 

   ## Apetaho ary esory ny saina TCP tsy mety

   saina tcp & (fin|syn|voalohany|psh|ack|urg) < (fin) \

     fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \

     log prefix "IN - FIN:" \

     fanehoan-kevitra "Fametrahana ny sarany ho an'ny saina TCP tsy mety (fin|syn|rst|psh|ack|urg) < (fin)"

   saina tcp & (fin|syn|voalohany|psh|ack|urg) < (fin) \

     counter \

     mitete \

     fanehoan-kevitra "Atsaharo ny fonosana TCP misy saina (fin|syn|rst|psh|ack|urg) < (fin)"

 

   ## Apetaho ary esory ny saina TCP tsy mety

   saina tcp & (fin|syn|voalohany|psh|ack|urg) == (fin|psh|urg) \

     fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \

     log prefix “IN – FIN|PSH|URG:” \

     fanehoan-kevitra "Famerana ny fandraisan'anjaran'ny saina TCP tsy mety (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"

   saina tcp & (fin|syn|voalohany|psh|ack|urg) == (fin|psh|urg) \

     counter \

     mitete \

     fanehoan-kevitra "Atsaharo ny fonosana TCP misy saina (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"

 

   ## Atsaharo ny fifamoivoizana miaraka amin'ny toetry ny fifandraisana tsy mety

   ct fanjakana tsy mety \

     fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \

     sainam-pejy ny prefix rehetra “IN – Tsy mety: “ \

     fanehoan-kevitra "Famerana ny fisoratana anarana ho an'ny fifamoivoizana amin'ny toetry ny fifandraisana tsy mety"

   ct fanjakana tsy mety \

     counter \

     mitete \

     fanehoan-kevitra "Atsaharo ny fifamoivoizana miaraka amin'ny toetry ny fifandraisana tsy mety"

 

   ## Avelao ny valin'ny ping/ping IPv4 fa voafetra ho 2000 PPS

   ip protocol icmp icmp type {echo-reply, echo-request} \

     fetra ny tahan'ny 2000/segondra \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny echo IPv4 miditra (ping) voafetra ho 2000 PPS"

 

   ## Avelao ny IPv4 ICMP hafa miditra

   ip protocol icmp \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny IPv4 ICMP hafa rehetra"

 

   ## Avelao ny valin'ny ping/ping IPv6 fa voafetra ho 2000 PPS

   karazana icmpv6 {echo-reply, echo-request} \

     fetra ny tahan'ny 2000/segondra \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny echo IPv6 miditra (ping) voafetra ho 2000 PPS"

 

   ## Avelao ny IPv6 ICMP hafa miditra

   meta l4proto { icmpv6 } \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny IPv6 ICMP hafa rehetra"

 

   ## Avelao ny seranan-tsambo UDP traceroute miditra fa voafetra ho 500 PPS

   udp dport 33434-33524 \

     fetra ny tahan'ny 500/segondra \

     counter \

     manaiky \

     fanehoan-kevitra "Ny fahazoan-dàlana miditra UDP traceroute voafetra ho 500 PPS"

 

   ## Avelao ny SSH miditra

   tcp dport ssh ct fanjakana vaovao \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny fifandraisana SSH miditra"

 

   ## Avelao ny HTTP sy HTTPS miditra

   tcp dport {http, https } ct state new \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny fifandraisana HTTP sy HTTPS miditra"

 

   ## Ampidiro ny fifamoivoizana tsy mifanandrify fa ny fetran'ny tahan'ny fidirana ho hafatra 60/minitra fara-fahakeliny

   ## Ny politikan'ny default dia hampiharina amin'ny fifamoivoizana tsy mitovy

   fetra ny tahan'ny 60/ minitra mipoaka 100 fonosana \

     log prefix "IN - Drop:" \

     fanehoan-kevitra “Asio logiciel izay trafika tsy mitovy”

 

   ## Manisa ny fifamoivoizana tsy manam-paharoa

   counter \

     fanehoan-kevitra “Hanisy ny fifamoivoizana tsy manan-tsahala”

 }

 

 # Fitsipika momba ny fifamoivoizana mivoaka

 rojo vokatra {

   karazana sivana hook Output laharam-pahamehana sivana; fidinana politika

 

   ## Avelao ny fifamoivoizana mivoaka mankany amin'ny interface loopback

   oif lo\

     manaiky \

     fanehoan-kevitra "Avelao hivoaka amin'ny interface loopback ny fifamoivoizana rehetra"

 

   ## Fahazoan-dàlana napetraka sy fifandraisana mifandraika

   ct fanjakana napetraka, mifandray \

     counter \

     manaiky \

     fanehoan-kevitra "Fahazoan-dàlana napetraka / mifandray mifandraika"

 

   ## Avelao ny fifamoivoizana WireGuard mivoaka alohan'ny hanesorana ny fifandraisana amin'ny fanjakana ratsy

   oif $DEV_WAN udp sport $WIREGUARD_PORT \

     counter \

     manaiky \

     fanehoan-kevitra "Fanomezana alalana WireGuard fifamoivoizana mivoaka"

 

   ## Atsaharo ny fifamoivoizana miaraka amin'ny toetry ny fifandraisana tsy mety

   ct fanjakana tsy mety \

     fetra ny tahan'ny 100/ minitra mipoaka 150 fonosana \

     sainam-pejy ny prefix rehetra "MIALA - Tsy mety:" \

     fanehoan-kevitra "Famerana ny fisoratana anarana ho an'ny fifamoivoizana amin'ny toetry ny fifandraisana tsy mety"

   ct fanjakana tsy mety \

     counter \

     mitete \

     fanehoan-kevitra "Atsaharo ny fifamoivoizana miaraka amin'ny toetry ny fifandraisana tsy mety"

 

   ## Avelao ny ICMP IPv4 hafa rehetra mivoaka

   ip protocol icmp \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny karazana IPv4 ICMP rehetra"

 

   ## Avelao ny ICMP IPv6 hafa rehetra mivoaka

   meta l4proto { icmpv6 } \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny karazana IPv6 ICMP rehetra"

 

   ## Avelao ny seranan-tsambo UDP traceroute mivoaka fa voafetra ho 500 PPS

   udp dport 33434-33524 \

     fetra ny tahan'ny 500/segondra \

     counter \

     manaiky \

     fanehoan-kevitra "Ny fahazoan-dàlana hivoaka UDP traceroute voafetra ho 500 PPS"

 

   ## Avelao ny fifandraisana HTTP sy HTTPS mivoaka

   tcp dport {http, https } ct state new \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny fifandraisana HTTP sy HTTPS mivoaka"

 

   ## Mamela ny fandefasana SMTP mivoaka

   tcp dport fandefasana ct fanjakana vaovao \

     counter \

     manaiky \

     fanehoan-kevitra "Mamela ny fandefasana SMTP mivoaka"

 

   ## Avelao ny fangatahana DNS mivoaka

   udp dport 53 \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny fangatahana DNS UDP mivoaka"

   tcp dport 53 \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny fangatahana DNS TCP mivoaka"

 

   ## Avelao ny fangatahana NTP mivoaka

   udp dport 123 \

     counter \

     manaiky \

     fanehoan-kevitra "Avelao ny fangatahana NTP mivoaka"

 

   ## Ampidiro ny fifamoivoizana tsy mifanandrify fa ny fetran'ny tahan'ny fidirana ho hafatra 60/minitra fara-fahakeliny

   ## Ny politikan'ny default dia hampiharina amin'ny fifamoivoizana tsy mitovy

   fetra ny tahan'ny 60/ minitra mipoaka 100 fonosana \

     log prefix "Miala - Mitete:" \

     fanehoan-kevitra “Asio logiciel izay trafika tsy mitovy”

 

   ## Manisa ny fifamoivoizana tsy manam-paharoa

   counter \

     fanehoan-kevitra “Hanisy ny fifamoivoizana tsy manan-tsahala”

 }

 

}

 

# Tabilao fanivanana NAT lehibe

latabatra inet nat {

 

 # Fitsipika momba ny fifamoivoizana NAT mialoha ny lalana

 chain prerouting {

   karazana nat hook prerouting priority dstnat; manaiky ny politika

 }

 

 # Fitsipika momba ny fifamoivoizana NAT post-routing

 # Ity tabilao ity dia voahodina alohan'ny rojom-pandehanana aorian'ny Firezone

 rojo postrouting {

   karazana nat hook postrouting priority srcnat - 5; politika manaiky

 }

 

}

Usage

Ny firewall dia tokony hotehirizina amin'ny toerana mifandraika amin'ny fizarana Linux izay mandeha. Ho an'ny Debian/Ubuntu ity dia /etc/nftables.conf ary ho an'ny RHEL ity dia /etc/sysconfig/nftables.conf.

Ny nftables.service dia mila amboarina mba hanomboka amin'ny boot (raha tsy efa) napetraka:

systemctl mamela ny nftables.service

Raha manao fanovana amin'ny môdely firewall ny syntax dia azo hamarinina amin'ny alàlan'ny baiko fanamarinana:

nft -f /path/to/nftables.conf -c

Ataovy azo antoka fa hanamarina ny fiasan'ny firewall araka ny efa nampoizina satria mety tsy misy ny endri-javatra sasany nftables arakaraka ny famoahana mandeha amin'ny mpizara.



_______________________________________________________________



Telemetry

 

Ity antontan-taratasy ity dia manolotra topimaso momba ny telemetry Firezone nangonina avy amin'ny ohatra ampiantranonao manokana sy ny fomba hanesorana azy.

Nahoana ny Firezone no manangona telemetry

faritra afo miantehitra amin'ny telemétrie mba hanao laharam-pahamehana ny tondrozotrantsika sy hanatsara ny loharanon-karena ananantsika mba hahatonga ny Firezone ho tsara kokoa ho an'ny rehetra.

Ny telemetry angoninay dia mikendry ny hamaly ireto fanontaniana manaraka ireto:

  • Firy ny olona mametraka, mampiasa ary tsy mampiasa Firezone?
  • Inona no endri-javatra sarobidy indrindra, ary iza amin'ireo no tsy mahita fampiasana?
  • Fampiasa inona no mila fanatsarana indrindra?
  • Rehefa rava ny zavatra iray, nahoana no tapaka, ary ahoana no hisorohana izany amin'ny ho avy?

Ahoana ny fanangonana telemetry

Misy toerana telo lehibe hanangonana telemetry ao amin'ny Firezone:

  1. Package telemetry. Ahitana hetsika toy ny fametrahana, fanesorana ary fanavaozana.
  2. CLI telemetry avy amin'ny baiko firezone-ctl.
  3. Telemetry vokatra mifandraika amin'ny vavahadin-tranonkala.

Ao amin'ny tsirairay amin'ireo toe-javatra telo ireo, dia maka ny habetsaky ny angona kely indrindra ilaina mba hamaliana ireo fanontaniana ao amin'ny fizarana etsy ambony.

Ny mailaka admin dia angonina raha tsy mirotsaka an-tsehatra amin'ny fanavaozana ny vokatra ianao. Raha tsy izany, ny mombamomba ny tena manokana dia na oviana na oviana nangonina.

Firezone dia mitahiry telemetry amin'ny PostHog ho an'ny tenany manokana mandeha amin'ny cluster Kubernetes tsy miankina, izay azon'ny ekipan'ny Firezone idirana ihany. Ity misy ohatra iray amin'ny hetsika telemetry izay alefa avy amin'ny ohatra Firezone anao mankany amin'ny mpizara telemetry anay:

{

   "id": “0182272d-0b88-0000-d419-7b9a413713f1”,

   "mari-potoana": “2022-07-22T18:30:39.748000+00:00”,

   “hetsika”: “fz_http_started”,

   "id_distinct": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,

   "properties":{

       “$geoip_city_name”: "Ashburn",

       “$geoip_continent_code”: "N / A",

       “$geoip_continent_name”: "Amerika Avaratra",

       “$geoip_country_code”: “US”,

       “$geoip_country_name”: "Etazonia",

       “$geoip_latitude”: 39.0469,

       “$geoip_longitude”: -77.4903,

       “$geoip_postal_code”: "20149",

       “$geoip_subdivision_1_code”: “VA”,

       “$geoip_subdivision_1_name”: “Virginia”,

       “$geoip_time_zone”: “Amerika/New_York”,

       “$ip”: "52.200.241.107",

       “$plugins_deferred”: [],

       “$plugins_failed”: [],

       “$plugins_succeeded”: [

           "GeoIP (3)"

       ],

       "id_distinct": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,

       "fqdn": "awsdemo.firezone.dev",

       "version_kernel": "linux 5.13.0",

       "version": "0.4.6"

   },

   “chain_elements”: ""

}

Ahoana ny fanesorana ny telemetry |

FANAMARIHANA

Ny ekipa fampandrosoana Firezone miantehitra momba ny fanadihadiana momba ny vokatra mba hanatsara kokoa ny Firezone ho an'ny rehetra. Ny famelabelarana ny telemetry dia ny fandraisana anjara sarobidy indrindra azonao atao amin'ny fampandrosoana ny Firezone. Izany hoe, takatsika fa ny mpampiasa sasany dia manana fepetra manokana momba ny fiainana manokana na fiarovana ary aleony manafoana tanteraka ny telemetry. Raha ianao izany dia tohizo ny famakiana.

Telemetry dia alefa amin'ny alàlan'ny default. Mba hanesorana tanteraka ny telemetry amin'ny vokatra, apetraho amin'ny /etc/firezone/firezone.rb ity safidy fanitsiana manaraka ity ary ampidino ny sudo firezone-ctl reconfigure mba haka ireo fanovana.

default ['firezone']['telemétrie']['enabled'] = diso

Izany dia hanafoana tanteraka ny telemetry vokatra rehetra.