menú
Aquí es proporcionen instruccions pas a pas per implementar Hailbytes VPN amb la GUI de Firezone.
Administrar: la configuració de la instància del servidor està directament relacionada amb aquesta part.
Guies d'usuari: documents útils que us poden ensenyar com utilitzar Firezone i resoldre problemes habituals. Un cop el servidor s'hagi desplegat correctament, consulteu aquesta secció.
Split Tunneling: utilitzeu la VPN per enviar trànsit només a intervals IP específics.
Llista blanca: configureu l'adreça IP estàtica d'un servidor VPN per utilitzar la llista blanca.
Túnels inversos: creeu túnels entre diversos iguals mitjançant túnels inversos.
Ens complau ajudar-vos si necessiteu ajuda per instal·lar, personalitzar o utilitzar Hailbytes VPN.
Abans que els usuaris puguin produir o descarregar fitxers de configuració del dispositiu, Firezone es pot configurar perquè requereixi autenticació. És possible que els usuaris també hagin de tornar-se a autenticar periòdicament per mantenir activa la seva connexió VPN.
Tot i que el mètode d'inici de sessió predeterminat de Firezone és el correu electrònic i la contrasenya locals, també es pot integrar amb qualsevol proveïdor d'identitat OpenID Connect (OIDC) estandarditzat. Els usuaris ara poden iniciar sessió a Firezone amb les seves credencials d'Okta, Google, Azure AD o de proveïdor d'identitat privat.
Integrar un proveïdor OIDC genèric
A l'exemple següent es mostren els paràmetres de configuració necessaris per Firezone per permetre SSO mitjançant un proveïdor OIDC. A /etc/firezone/firezone.rb, podeu trobar el fitxer de configuració. Executeu firezone-ctl reconfigure i firezone-ctl reinicieu per actualitzar l'aplicació i fer efectes els canvis.
# Aquest és un exemple que utilitza Google i Okta com a proveïdor d'identitat SSO.
# Es poden afegir múltiples configuracions OIDC a la mateixa instància de Firezone.
# Firezone pot desactivar la VPN d'un usuari si es detecta algun error en provar
# per actualitzar el seu access_token. S'ha verificat que funciona per a Google, Okta i
# Azure SSO i s'utilitza per desconnectar automàticament la VPN d'un usuari si s'eliminen
# del proveïdor OIDC. Deixeu-ho desactivat si el vostre proveïdor d'OIDC
# té problemes per actualitzar els testimonis d'accés, ja que podria interrompre inesperadament a
sessió VPN de # usuari.
predeterminat['firezone']['autenticació']['disable_vpn_on_oidc_error'] = fals
predeterminat['firezone']['autenticació']['oidc'] = {
Google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: “ ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "codi",
àmbit: "perfil de correu electrònic openid",
etiqueta: "Google"
},
okta: {
discovery_document_uri: "https:// /.coneguda/configuració-openid”,
client_id: “ ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "codi",
àmbit: "perfil de correu electrònic openid offline_access",
etiqueta: "Okta"
}
}
Els paràmetres de configuració següents són necessaris per a la integració:
Per a cada proveïdor d'OIDC es crea un URL bonic corresponent per redirigir-lo a l'URL d'inici de sessió del proveïdor configurat. Per a l'exemple de configuració OIDC anterior, els URL són:
Proveïdors tenim documentació per a:
Si el vostre proveïdor d'identitat té un connector OIDC genèric i no apareix a la llista anterior, aneu a la seva documentació per obtenir informació sobre com recuperar els paràmetres de configuració necessaris.
La configuració de configuració/seguretat es pot canviar per requerir una nova autenticació periòdica. Això es pot utilitzar per fer complir el requisit que els usuaris entrin a Firezone de manera regular per continuar la seva sessió VPN.
La durada de la sessió es pot configurar entre una hora i noranta dies. Si configureu-ho a Mai, podeu habilitar les sessions VPN en qualsevol moment. Aquest és l'estàndard.
Un usuari ha de finalitzar la seva sessió VPN i iniciar sessió al portal Firezone per tornar a autenticar una sessió VPN caducada (URL especificat durant el desplegament).
Podeu tornar a autenticar la vostra sessió seguint les instruccions precises del client que trobareu aquí.
Estat de la connexió VPN
La columna de la taula de connexió VPN de la pàgina Usuaris mostra l'estat de connexió d'un usuari. Aquests són els estats de connexió:
ACTIVAT: la connexió està habilitada.
DESACTIVAT: la connexió està desactivada per un administrador o un error d'actualització de l'OIDC.
CADUCAT: la connexió està desactivada a causa de la caducitat de l'autenticació o un usuari no ha iniciat la sessió per primera vegada.
Mitjançant el connector general OIDC, Firezone permet l'inici de sessió únic (SSO) amb Google Workspace i Cloud Identity. Aquesta guia us mostrarà com obtenir els paràmetres de configuració que s'indiquen a continuació, que són necessaris per a la integració:
1. Pantalla de configuració d'OAuthâ € <
Si és la primera vegada que creeu un nou ID de client OAuth, se us demanarà que configureu una pantalla de consentiment.
*Seleccioneu Intern per al tipus d'usuari. Això garanteix que només els comptes que pertanyen als usuaris de la vostra organització de Google Workspace puguin crear configuracions de dispositiu. NO seleccioneu Extern tret que vulgueu habilitar qualsevol persona amb un compte de Google vàlid per crear configuracions del dispositiu.
A la pantalla d'informació de l'aplicació:
2. Creeu identificadors de client OAuthâ € <
Aquesta secció es basa en la pròpia documentació de Google sobre configurar OAuth 2.0.
Visiteu Google Cloud Console Pàgina de credencials pàgina, feu clic a + Crea credencials i seleccioneu ID de client OAuth.
A la pantalla de creació de l'identificador de client d'OAuth:
Després de crear l'ID de client OAuth, se us donarà un ID de client i un secret de client. Aquests s'utilitzaran juntament amb l'URI de redirecció al pas següent.
Editar /etc/firezone/firezone.rb per incloure les opcions següents:
# Utilitzar Google com a proveïdor d'identitat SSO
predeterminat['firezone']['autenticació']['oidc'] = {
Google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: “ ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "codi",
àmbit: "perfil de correu electrònic openid",
etiqueta: "Google"
}
}
Executeu firezone-ctl reconfigure i firezone-ctl reinicieu per actualitzar l'aplicació. Ara hauríeu de veure un botó Inicia sessió amb Google a l'URL de Firezone arrel.
Firezone utilitza el connector genèric OIDC per facilitar l'inici de sessió únic (SSO) amb Okta. Aquest tutorial us mostrarà com obtenir els paràmetres de configuració que s'indiquen a continuació, que són necessaris per a la integració:
Aquesta secció de la guia es basa en La documentació d'Okta.
A la Consola d'administració, aneu a Aplicacions > Aplicacions i feu clic a Crea integració d'aplicacions. Establiu el mètode d'inici de sessió a OICD – OpenID Connect i el tipus d'aplicació a l'aplicació web.
Configureu aquests paràmetres:
Un cop desada la configuració, se us donarà un ID de client, un secret de client i un domini Okta. Aquests 3 valors s'utilitzaran al pas 2 per configurar Firezone.
Editar /etc/firezone/firezone.rb per incloure les opcions següents. El teu URL_document_descobriment serà /.coneguda/configuració-openid s'adjunta al final del teu okta_domain.
# Utilitzant Okta com a proveïdor d'identitat SSO
predeterminat['firezone']['autenticació']['oidc'] = {
okta: {
discovery_document_uri: "https:// /.coneguda/configuració-openid”,
client_id: “ ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "codi",
àmbit: "perfil de correu electrònic openid offline_access",
etiqueta: "Okta"
}
}
Executeu firezone-ctl reconfigure i firezone-ctl reinicieu per actualitzar l'aplicació. Ara hauríeu de veure un botó Inicia sessió amb Okta a l'URL de Firezone arrel.
Els usuaris que poden accedir a l'aplicació Firezone poden ser restringits per Okta. Aneu a la pàgina de tasques de la integració d'aplicacions Firezone de la Consola d'administració d'Okta per fer-ho.
Mitjançant el connector genèric OIDC, Firezone permet l'inici de sessió únic (SSO) amb Azure Active Directory. Aquest manual us mostrarà com obtenir els paràmetres de configuració que s'indiquen a continuació, que són necessaris per a la integració:
Aquesta guia està extreta de la Documents d'Azure Active Directory.
Aneu a la pàgina Azure Active Directory del portal Azure. Trieu l'opció de menú Gestiona, seleccioneu Registre nou i, a continuació, registreu-vos proporcionant la informació següent:
Després de registrar-se, obriu la vista de detalls de l'aplicació i copieu-lo ID de l'aplicació (client).. Aquest serà el valor client_id. A continuació, obriu el menú de punts finals per recuperar-lo Document de metadades d'OpenID Connect. Aquest serà el valor discovery_document_uri.
Creeu un secret de client nou fent clic a l'opció Certificats i secrets al menú Gestiona. Copia el secret del client; el valor secret del client serà aquest.
Finalment, seleccioneu l'enllaç de permisos de l'API al menú Gestiona i feu clic Afegeix un permísI seleccioneu Microsoft Graph, afegir correu electrònic, obertid, accés_offline i perfil als permisos requerits.
Editar /etc/firezone/firezone.rb per incloure les opcions següents:
# Ús d'Azure Active Directory com a proveïdor d'identitat SSO
predeterminat['firezone']['autenticació']['oidc'] = {
blau: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: “ ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
response_type: "codi",
àmbit: "perfil de correu electrònic openid offline_access",
etiqueta: "Azur"
}
}
Executeu firezone-ctl reconfigure i firezone-ctl reinicieu per actualitzar l'aplicació. Ara hauríeu de veure un botó Inicia sessió amb Azure a l'URL arrel de Firezone.
Azure AD permet als administradors limitar l'accés a les aplicacions a un grup específic d'usuaris de la vostra empresa. Podeu trobar més informació sobre com fer-ho a la documentació de Microsoft.
Firezone utilitza Chef Omnibus per gestionar tasques, com ara l'embalatge de llançaments, la supervisió de processos, la gestió de registres i molt més.
El codi Ruby constitueix el fitxer de configuració principal, que es troba a /etc/firezone/firezone.rb. Reiniciar sudo firezone-ctl reconfigure després de fer modificacions a aquest fitxer fa que el Chef reconegui els canvis i els aplique al sistema operatiu actual.
Consulteu la referència del fitxer de configuració per obtenir una llista completa de variables de configuració i les seves descripcions.
La vostra instància de Firezone es pot gestionar mitjançant el firezone-ctl comanda, com es mostra a continuació. La majoria de subordres requereixen prefixos amb suo.
root@demo:~# firezone-ctl
omnibus-ctl: comanda (subcomanda)
Ordres generals:
netejar
Suprimeix *totes* les dades de la zona de foc i comença des de zero.
crear-o-restablir-administrador
Restableix la contrasenya de l'administrador amb el correu electrònic especificat per defecte ['firezone']['admin_email'] o crea un nou administrador si aquest correu electrònic no existeix.
ajuda
Imprimeix aquest missatge d'ajuda.
reconfigurar
Torneu a configurar l'aplicació.
restabliment de la xarxa
Restableix nftables, la interfície WireGuard i la taula d'encaminament als valors predeterminats de Firezone.
show-config
Mostra la configuració que es generaria mitjançant la reconfiguració.
desmuntatge de la xarxa
Elimina la interfície WireGuard i la taula de firezone nftables.
força-cert-renovació
Força la renovació del certificat ara encara que no hagi caducat.
stop-cert-renovació
Elimina el cronjob que renova els certificats.
desinstal · lar
Elimina tots els processos i desinstal·la el supervisor de processos (es conservaran les dades).
versió
Mostra la versió actual de Firezone
Ordres de gestió del servei:
gràcil-matar
Intenteu una parada elegant i, a continuació, SIGKILL tot el grup de processos.
hup
Envieu els serveis a HUP.
int
Envieu els serveis un INT.
matar
Envieu els serveis a KILL.
un cop
Inicieu els serveis si estan caient. No els reinicieu si s'aturen.
reprendre
Atureu els serveis si s'estan executant i torneu-los a iniciar.
llista de serveis
Llista tots els serveis (els serveis activats apareixen amb un *.)
Començar
Inicieu els serveis si estan inactivats i reinicieu-los si s'aturen.
estat
Mostra l'estat de tots els serveis.
aturar
Atureu els serveis i no els reinicieu.
cua
Mireu els registres de servei de tots els serveis activats.
termini
Envieu els serveis un TERME.
usr1
Envieu els serveis un USR1.
usr2
Envieu els serveis un USR2.
Totes les sessions VPN s'han de finalitzar abans d'actualitzar Firezone, que també demana tancar la interfície d'usuari web. En cas que alguna cosa surti malament durant l'actualització, recomanem reservar una hora per al manteniment.
Per millorar Firezone, feu les accions següents:
Si sorgeix algun problema, si us plau, feu-nos-ho saber enviant un bitllet de suport.
Hi ha alguns canvis i modificacions de configuració a la 0.5.0 que s'han de resoldre. Més informació a continuació.
Nginx ja no admet els paràmetres de port SSL força i no SSL a partir de la versió 0.5.0. Com que Firezone necessita SSL per funcionar, us recomanem que suprimiu el servei Nginx del paquet configurant per defecte['firezone']['nginx']['enabled'] = false i dirigint el vostre servidor intermediari invers a l'aplicació Phoenix al port 13000 (per defecte). ).
0.5.0 introdueix el suport del protocol ACME per renovar automàticament els certificats SSL amb el servei Nginx inclòs. Per permetre,
La possibilitat d'afegir regles amb destinacions duplicades ha desaparegut a Firezone 0.5.0. El nostre script de migració reconeixerà automàticament aquestes situacions durant una actualització a 0.5.0 i només conservarà les regles la destinació de les quals inclou l'altra regla. No cal fer res si això està bé.
En cas contrari, abans d'actualitzar, us recomanem que canvieu el vostre conjunt de regles per eliminar aquestes situacions.
Firezone 0.5.0 elimina el suport per a la configuració antiga d'Okta i Google SSO a favor de la nova configuració basada en OIDC, més flexible.
Si teniu alguna configuració amb les claus predeterminades['firezone']['authentication']['okta'] o predeterminades['firezone']['authentication']['google'], les heu de migrar al nostre OIDC configuració basada en la guia següent.
Configuració de Google OAuth existent
Elimineu aquestes línies que contenen les antigues configuracions d'OAuth de Google del vostre fitxer de configuració situat a /etc/firezone/firezone.rb
predeterminat['firezone']['autenticació']['google']['habilitat']
predeterminat['firezone']['autenticació']['google']['client_id']
predeterminat['firezone']['autenticació']['google']['client_secret']
predeterminat['firezone']['autenticació']['google']['redirect_uri']
A continuació, configureu Google com a proveïdor d'OIDC seguint els procediments d'aquí.
(Proporcioneu instruccions d'enllaç) <<<<<<<<<<<<<<<<<
Configura l'OAuth de Google existent
Elimineu aquestes línies que contenen les antigues configuracions d'Okta OAuth del vostre fitxer de configuració situat a /etc/firezone/firezone.rb
predeterminat['firezone']['autenticació']['okta']['habilitat']
predeterminat['firezone']['autenticació']['okta']['client_id']
predeterminat['firezone']['autenticació']['okta']['client_secret']
Per defecte['firezone']['autenticació']['okta']['lloc']
A continuació, configureu Okta com a proveïdor OIDC seguint els procediments d'aquí.
Depenent de la vostra configuració i versió actuals, seguiu les instruccions següents:
Si ja teniu una integració OIDC:
Per a alguns proveïdors d'OIDC, l'actualització a >= 0.3.16 requereix obtenir un testimoni d'actualització per a l'àmbit d'accés fora de línia. En fer-ho, s'assegura que Firezone s'actualitza amb el proveïdor d'identitat i que la connexió VPN es tanca després de suprimir un usuari. Les iteracions anteriors de Firezone no tenien aquesta funció. En alguns casos, els usuaris que s'eliminen del vostre proveïdor d'identitat encara poden estar connectats a una VPN.
Cal incloure l'accés fora de línia al paràmetre d'abast de la configuració de l'OIDC per als proveïdors d'OIDC que admeten l'àmbit d'accés fora de línia. La reconfiguració de Firezone-ctl s'ha d'executar per aplicar canvis al fitxer de configuració de Firezone, que es troba a /etc/firezone/firezone.rb.
Per als usuaris que hagin estat autenticats pel vostre proveïdor OIDC, veureu l'encapçalament OIDC Connections a la pàgina de detalls de l'usuari de la interfície d'usuari web si Firezone pot recuperar correctament el testimoni d'actualització.
Si això no funciona, haureu de suprimir la vostra aplicació OAuth existent i repetir els passos de configuració d'OIDC per crear una nova integració d'aplicacions .
Tinc una integració d'OAuth existent
Abans del 0.3.11, Firezone utilitzava proveïdors OAuth2 preconfigurats.
Seguiu les instruccions aquí per migrar a OIDC.
No he integrat cap proveïdor d'identitat
No cal fer cap acció.
Podeu seguir les instruccions aquí per habilitar SSO mitjançant un proveïdor OIDC.
En el seu lloc, default['firezone']['external url'] ha substituït l'opció de configuració default['firezone']['fqdn'].
Establiu-ho a l'URL del vostre portal en línia de Firezone que sigui accessible per al públic en general. Per defecte, serà https:// més el FQDN del vostre servidor si no es defineix.
El fitxer de configuració es troba a /etc/firezone/firezone.rb. Consulteu la referència del fitxer de configuració per obtenir una llista completa de variables de configuració i les seves descripcions.
Firezone ja no manté les claus privades del dispositiu al servidor Firezone a partir de la versió 0.3.0.
La interfície d'usuari web de Firezone no us permetrà tornar a baixar ni veure aquestes configuracions, però els dispositius existents haurien de continuar funcionant tal com estan.
Si esteu actualitzant des de Firezone 0.1.x, hi ha alguns canvis al fitxer de configuració que s'han de solucionar manualment.
Per fer les modificacions necessàries al vostre fitxer /etc/firezone/firezone.rb, executeu les ordres següents com a root.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['habilitat'\]/\['habilitat'\]/” /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
reconfigurar firezone-ctl
reiniciar firezone-ctl
Comprovar els registres de Firezone és un primer pas prudent per a qualsevol problema que pugui ocórrer.
Executeu sudo firezone-ctl tail per veure els registres de Firezone.
La majoria dels problemes de connectivitat amb Firezone són provocats per regles incompatibles d'iptables o nftables. Heu d'assegurar-vos que les regles que tingueu en vigor no xoquen amb les regles de Firezone.
Assegureu-vos que la cadena FORWARD permet els paquets dels vostres clients WireGuard a les ubicacions que voleu deixar passar Firezone si la vostra connectivitat a Internet es deteriora cada vegada que activeu el vostre túnel WireGuard.
Això es pot aconseguir si utilitzeu ufw assegurant-vos que la política d'encaminament predeterminada és permesa:
ubuntu@fz:~$ sudo ufw default allow routed
La política d'encaminament predeterminada ha canviat a "permetre"
(assegureu-vos d'actualitzar les vostres regles en conseqüència)
A ufw L'estat d'un servidor Firezone típic podria semblar així:
ubuntu@fz:~$ sudo ufw status verbose
Estat: actiu
Registre: activat (baix)
Per defecte: denegar (entrant), permetre (sortir), permetre (encaminar)
Nous perfils: saltar
A l'acció de
——— —-
22/tcp PERMEIX A qualsevol lloc
80/tcp PERMEIX A qualsevol lloc
443/tcp PERMEIX A qualsevol lloc
51820/udp PERMEIX A qualsevol lloc
22/tcp (v6) PERMEIX A qualsevol lloc (v6)
80/tcp (v6) PERMEIX A qualsevol lloc (v6)
443/tcp (v6) PERMEIX A qualsevol lloc (v6)
51820/udp (v6) PERMEIX A qualsevol lloc (v6)
Aconsellem limitar l'accés a la interfície web per a desplegaments de producció extremadament sensibles i crítics, tal com s'explica a continuació.
servei | Port per defecte | Escolta l'adreça | Descripció |
Nginx | 80, 443 | tots | Port HTTP(S) públic per administrar Firezone i facilitar l'autenticació. |
Protecció de cables | 51820 | tots | Port WireGuard públic utilitzat per a sessions VPN. (UDP) |
postgresql | 15432 | 127.0.0.1 | Port només local utilitzat per al servidor Postgresql agrupat. |
Fènix | 13000 | 127.0.0.1 | Port només local utilitzat pel servidor d'aplicacions Elixir amunt. |
Us recomanem que penseu a restringir l'accés a la interfície d'usuari web exposada públicament de Firezone (per defecte els ports 443/tcp i 80/tcp) i, en canvi, utilitzeu el túnel WireGuard per gestionar Firezone per a la producció i els desplegaments públics on un únic administrador estarà al capdavant. de crear i distribuir configuracions de dispositius als usuaris finals.
Per exemple, si un administrador va crear una configuració de dispositiu i va crear un túnel amb l'adreça local de WireGuard 10.3.2.2, la següent configuració ufw permetria a l'administrador accedir a la interfície d'usuari web de Firezone a la interfície wg-firezone del servidor mitjançant la 10.3.2.1 predeterminada. adreça del túnel:
root@demo:~# estat ufw detallat
Estat: actiu
Registre: activat (baix)
Per defecte: denegar (entrant), permetre (sortir), permetre (encaminar)
Nous perfils: saltar
A l'acció de
——— —-
22/tcp PERMEIX A qualsevol lloc
51820/udp PERMEIX A qualsevol lloc
En qualsevol lloc PERMEIX A 10.3.2.2
22/tcp (v6) PERMEIX A qualsevol lloc (v6)
51820/udp (v6) PERMEIX A qualsevol lloc (v6)
Això només deixaria 22/tcp exposat per a l'accés SSH per gestionar el servidor (opcional) i 51820/udp exposats per tal d'establir túnels WireGuard.
Firezone inclou un servidor Postgresql i la concordança psql utilitat que es pot utilitzar des de l'intèrpret d'ordres local com aquesta:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d zona de foc \
-h host local \
-p 15432 \
-c "SQL_STATEMENT"
Això pot ser útil per a la depuració.
Tasques comunes:
Llista de tots els usuaris:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d zona de foc \
-h host local \
-p 15432 \
-c "SELECT * FROM usuaris;"
Llista de tots els dispositius:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d zona de foc \
-h host local \
-p 15432 \
-c "SELECT * FROM dispositius;"
Canviar un rol d'usuari:
Estableix el rol com a "administrador" o "sense privilegis":
/opt/firezone/embedded/bin/psql \
-U firezone \
-d zona de foc \
-h host local \
-p 15432 \
-c "ACTUALITZAR els usuaris SET rol = 'administrador' WHERE correu electrònic = 'usuari@exemple.com';"
Còpia de seguretat de la base de dades:
A més, s'inclou el programa pg dump, que es pot utilitzar per fer còpies de seguretat regulars de la base de dades. Executeu el codi següent per bolcar una còpia de la base de dades en el format de consulta SQL comú (substituïu /path/to/backup.sql per la ubicació on s'ha de crear el fitxer SQL):
/opt/firezone/embedded/bin/pg_dump \
-U firezone \
-d zona de foc \
-h host local \
-p 15432 > /path/to/backup.sql
Després que Firezone s'hagi implementat correctament, heu d'afegir usuaris per proporcionar-los accés a la vostra xarxa. Per fer-ho s'utilitza la interfície d'usuari web.
Si seleccioneu el botó "Afegeix usuari" a /users, podeu afegir un usuari. Se us demanarà que proporcioneu a l'usuari una adreça de correu electrònic i una contrasenya. Per permetre l'accés als usuaris de la vostra organització automàticament, Firezone també pot interaccionar i sincronitzar amb un proveïdor d'identitat. Més detalls estan disponibles a Autentificar. < Afegeix un enllaç per autenticar
Aconsellem que els usuaris creïn les seves pròpies configuracions de dispositiu perquè la clau privada només sigui visible per a ells. Els usuaris poden generar les seves pròpies configuracions de dispositiu seguint les instruccions de la pàgina Instruccions per al client pàgina.
Els administradors de Firezone poden crear totes les configuracions del dispositiu d'usuari. A la pàgina del perfil d'usuari ubicada a /users, seleccioneu l'opció "Afegeix un dispositiu" per aconseguir-ho.
[Insereix una captura de pantalla]
Podeu enviar per correu electrònic a l'usuari el fitxer de configuració de WireGuard després de crear el perfil del dispositiu.
Els usuaris i els dispositius estan enllaçats. Per obtenir més detalls sobre com afegir un usuari, vegeu Afegeix usuaris.
Mitjançant l'ús del sistema netfilter del nucli, Firezone permet capacitats de filtratge de sortida per especificar paquets DROP o ACCEPT. Normalment es permet tot el trànsit.
Els CIDR i les adreces IP IPv4 i IPv6 s'admeten mitjançant la llista Allowlist i Denylist, respectivament. Podeu triar l'abast d'una regla per a un usuari quan l'afegiu, la qual cosa aplica la regla a tots els dispositius d'aquest usuari.
Instal·lar i configurar
Per establir una connexió VPN mitjançant el client WireGuard natiu, consulteu aquesta guia.
Els clients oficials de WireGuard que es troben aquí són compatibles amb Firezone:
Visiteu el lloc web oficial de WireGuard a https://www.wireguard.com/install/ per als sistemes SO no esmentats anteriorment.
El vostre administrador de Firezone o vosaltres mateixos podeu generar el fitxer de configuració del dispositiu mitjançant el portal Firezone.
Visiteu l'URL que l'administrador de Firezone ha proporcionat per generar un fitxer de configuració del dispositiu. La vostra empresa tindrà un URL únic per a això; en aquest cas, és https://instance-id.yourfirezone.com.
Inicieu la sessió a Firezone Okta SSO
[Insereix una captura de pantalla]
Importeu el fitxer.conf al client WireGuard obrint-lo. Si gireu l'interruptor Activa, podeu iniciar una sessió VPN.
[Insereix una captura de pantalla]
Seguiu les instruccions següents si el vostre administrador de xarxa ha obligat l'autenticació periòdica per mantenir activa la vostra connexió VPN.
Necessites:
URL del portal Firezone: demaneu la connexió al vostre administrador de xarxa.
El vostre administrador de xarxa hauria de poder oferir el vostre inici de sessió i contrasenya. El lloc de Firezone us demanarà que inicieu sessió mitjançant el servei d'inici de sessió únic que utilitza el vostre empresari (com ara Google o Okta).
[Insereix una captura de pantalla]
Aneu a l'URL del portal Firezone i inicieu la sessió amb les credencials que ha proporcionat el vostre administrador de xarxa. Si ja heu iniciat la sessió, feu clic al botó Reautenticar abans de tornar a iniciar la sessió.
[Insereix una captura de pantalla]
[Insereix una captura de pantalla]
Per importar el perfil de configuració de WireGuard mitjançant Network Manager CLI en dispositius Linux, seguiu aquestes instruccions (nmcli).
Si el perfil té la compatibilitat amb IPv6 activada, és possible que no intenteu importar el fitxer de configuració mitjançant la GUI de Network Manager amb l'error següent:
ipv6.method: el mètode "auto" no és compatible amb WireGuard
Cal instal·lar les utilitats de l'espai d'usuari WireGuard. Aquest serà un paquet anomenat wireguard o wireguard-tools per a distribucions de Linux.
Per a Ubuntu/Debian:
sudo apt install wireguard
Per utilitzar Fedora:
sudo dnf install wireguard-tools
Arch Linux:
sudo pacman -S wireguard-tools
Visiteu el lloc web oficial de WireGuard a https://www.wireguard.com/install/ per a les distribucions que no s'esmenten anteriorment.
El vostre administrador de Firezone o l'autogeneració poden generar el fitxer de configuració del dispositiu mitjançant el portal Firezone.
Visiteu l'URL que l'administrador de Firezone ha proporcionat per generar un fitxer de configuració del dispositiu. La vostra empresa tindrà un URL únic per a això; en aquest cas, és https://instance-id.yourfirezone.com.
[Insereix una captura de pantalla]
Importeu el fitxer de configuració subministrat mitjançant nmcli:
sudo nmcli connexió tipus d'importació fitxer wireguard /path/to/configuration.conf
El nom del fitxer de configuració correspondrà a la connexió/interfície de WireGuard. Després de la importació, es pot canviar el nom de la connexió si cal:
modifica la connexió nmcli [nom antic] connection.id [nom nou]
A través de la línia d'ordres, connecteu-vos a la VPN de la següent manera:
connexió nmcli amunt [nom vpn]
Per desconnectar:
connexió nmcli baixa [nom VPN]
L'applet del gestor de xarxa aplicable també es pot utilitzar per gestionar la connexió si s'utilitza una GUI.
En seleccionar "sí" per a l'opció de connexió automàtica, es pot configurar la connexió VPN per connectar-se automàticament:
connexió nmcli modifica la connexió [nom vpn]. <<<<<<<<<<<<<<<<<<<<<<<
connexió automàtica sí
Per desactivar la connexió automàtica, torneu-la a no:
connexió nmcli modifica la connexió [nom vpn].
connexió automàtica núm
Per activar l'MFA Aneu a la pàgina /compte d'usuari/registre mfa del portal Firezone. Utilitzeu la vostra aplicació d'autenticació per escanejar el codi QR després que s'hagi generat i, a continuació, introduïu el codi de sis dígits.
Contacteu amb el vostre administrador per restablir la informació d'accés del vostre compte si perdeu l'aplicació d'autenticació.
Aquest tutorial us guiarà pel procés de configuració de la funció de túnel dividit de WireGuard amb Firezone de manera que només es reenviï el trànsit a intervals IP específics a través del servidor VPN.
Els intervals d'IP per als quals el client encaminarà el trànsit de xarxa s'especifiquen al camp IPs permeses situat a la pàgina /settings/default. Només les configuracions de túnel WireGuard de nova creació produïdes per Firezone es veuran afectades pels canvis en aquest camp.
[Insereix una captura de pantalla]
El valor predeterminat és 0.0.0.0/0, ::/0, que encamina tot el trànsit de xarxa des del client al servidor VPN.
Alguns exemples de valors en aquest camp inclouen:
0.0.0.0/0, ::/0: tot el trànsit de xarxa s'encaminarà al servidor VPN.
192.0.2.3/32: només s'encaminarà el trànsit a una única adreça IP al servidor VPN.
3.5.140.0/22: només el trànsit a les IP de l'interval 3.5.140.1 – 3.5.143.254 s'encaminarà al servidor VPN. En aquest exemple, es va utilitzar l'interval CIDR per a la regió AWS ap-northeast-2.
Firezone selecciona primer la interfície de sortida associada a la ruta més precisa quan determina on s'ha d'encaminar un paquet.
Els usuaris han de regenerar els fitxers de configuració i afegir-los al seu client WireGuard natiu per actualitzar els dispositius d'usuari existents amb la nova configuració del túnel dividit.
Per obtenir instruccions, vegeu afegir dispositiu. <<<<<<<<<<< Afegeix un enllaç
Aquest manual mostrarà com enllaçar dos dispositius utilitzant Firezone com a relé. Un cas d'ús típic és permetre que un administrador accedeixi a un servidor, contenidor o màquina que estigui protegit per un NAT o un tallafoc.
Aquesta il·lustració mostra un escenari senzill en què els dispositius A i B construeixen un túnel.
[Insereix una imatge arquitectònica de la zona de foc]
Comenceu per crear el dispositiu A i el dispositiu B navegant a /users/[user_id]/new_device. A la configuració de cada dispositiu, assegureu-vos que els paràmetres següents s'estableixin amb els valors que s'indiquen a continuació. Podeu configurar la configuració del dispositiu quan creeu la configuració del dispositiu (vegeu Afegeix dispositius). Si necessiteu actualitzar la configuració d'un dispositiu existent, podeu fer-ho generant una nova configuració del dispositiu.
Tingueu en compte que tots els dispositius tenen una pàgina /settings/defaults on es pot configurar PersistentKeepalive.
AllowedIPs = 10.3.2.2/32
Aquesta és la IP o rang d'IP del dispositiu B
PersistentKeepalive = 25
Si el dispositiu està darrere d'un NAT, això garanteix que el dispositiu sigui capaç de mantenir el túnel viu i continuar rebent paquets de la interfície WireGuard. Normalment un valor de 25 és suficient, però és possible que hàgiu de reduir aquest valor en funció del vostre entorn.
AllowedIPs = 10.3.2.3/32
Aquesta és la IP o rang d'IP del dispositiu A
PersistentKeepalive = 25
Aquest exemple mostra una situació en què el dispositiu A es pot comunicar amb els dispositius B a D en ambdues direccions. Aquesta configuració pot representar un enginyer o administrador que accedeix a nombrosos recursos (servidors, contenidors o màquines) a través de diverses xarxes.
[Diagrama arquitectònic]<<<<<<<<<<<<<<<<<<<<<<<<
Assegureu-vos que els paràmetres següents estan fets a la configuració de cada dispositiu amb els valors corresponents. Quan creeu la configuració del dispositiu, podeu especificar la configuració del dispositiu (vegeu Afegeix dispositius). Es pot crear una configuració de dispositiu nova si cal actualitzar la configuració d'un dispositiu existent.
AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Aquesta és la IP dels dispositius B a D. Les IP dels dispositius B a D s'han d'incloure en qualsevol interval d'IP que trieu establir.
PersistentKeepalive = 25
Això garanteix que el dispositiu pot mantenir el túnel i continuar rebent paquets de la interfície WireGuard encara que estigui protegit per un NAT. En la majoria dels casos, un valor de 25 és adequat, però, depenent del vostre entorn, potser haureu de reduir aquesta xifra.
Per oferir una única IP de sortida estàtica perquè tot el trànsit del vostre equip surti, Firezone es pot utilitzar com a passarel·la NAT. Aquestes situacions impliquen el seu ús freqüent:
Compromisos de consultoria: sol·liciteu que el vostre client tingui a la llista blanca una única adreça IP estàtica en lloc de l'IP única del dispositiu de cada empleat.
Utilitzar un proxy o emmascarar la vostra IP d'origen amb finalitats de seguretat o privadesa.
En aquesta publicació es mostrarà un exemple senzill de limitar l'accés a una aplicació web autoallotjada a una única IP estàtica de la llista blanca que executa Firezone. En aquesta il·lustració, Firezone i el recurs protegit es troben a diferents àrees de VPC.
Aquesta solució s'utilitza sovint en lloc de gestionar una llista blanca d'IP per a nombrosos usuaris finals, cosa que pot consumir molt de temps a mesura que la llista d'accés s'amplia.
El nostre objectiu és configurar un servidor Firezone en una instància EC2 per redirigir el trànsit VPN al recurs restringit. En aquest cas, Firezone serveix com a servidor intermediari de xarxa o passarel·la NAT per donar a cada dispositiu connectat una IP de sortida pública única.
En aquest cas, una instància EC2 anomenada tc2.micro té instal·lada una instància de Firezone. Per obtenir informació sobre la implementació de Firezone, aneu a la Guia de desplegament. En relació amb AWS, assegureu-vos que:
El grup de seguretat de la instància de Firezone EC2 permet el trànsit de sortida a l'adreça IP del recurs protegit.
La instància de Firezone ve amb una IP elàstica. El trànsit que es reenviï a través de la instància de Firezone a destinacions exteriors tindrà aquesta com a adreça IP d'origen. L'adreça IP en qüestió és 52.202.88.54.
[Insereix una captura de pantalla]<<<<<<<<<<<<<<<<<<<<<<<<<
Una aplicació web autoallotjada serveix com a recurs protegit en aquest cas. Només es pot accedir a l'aplicació web mitjançant sol·licituds provinents de l'adreça IP 52.202.88.54. Depenent del recurs, pot ser necessari permetre el trànsit entrant en diversos ports i tipus de trànsit. Això no es tracta en aquest manual.
[Insereix una captura de pantalla]<<<<<<<<<<<<<<<<<<<<<<<<<
Si us plau, indiqueu al tercer responsable del recurs protegit que s'ha de permetre el trànsit de la IP estàtica definida al pas 1 (en aquest cas 52.202.88.54).
De manera predeterminada, tot el trànsit d'usuari passarà pel servidor VPN i procedirà de la IP estàtica que es va configurar al pas 1 (en aquest cas 52.202.88.54). Tanmateix, si s'ha habilitat el túnel dividit, pot ser que sigui necessari configurar la configuració per assegurar-se que l'IP de destinació del recurs protegit figura entre les IP permeses.
A continuació es mostra una llista completa de les opcions de configuració disponibles a /etc/firezone/firezone.rb.
opció | descripció | valor per defecte |
predeterminat['firezone']['external_url'] | URL utilitzat per accedir al portal web d'aquesta instància de Firezone. | “https://#{node['fqdn'] || node['hostname']}” |
predeterminat['firezone']['config_directory'] | Directori de primer nivell per a la configuració de Firezone. | /etc/firezone' |
predeterminat['firezone']['install_directory'] | Directori de primer nivell on instal·lar Firezone. | /opt/firezone' |
predeterminat['firezone']['app_directory'] | Directori de primer nivell per instal·lar l'aplicació web Firezone. | “#{node['firezone']['install_directory']}/embedded/service/firezone” |
predeterminat['firezone']['log_directory'] | Directori de primer nivell per als registres de Firezone. | /var/log/firezone' |
predeterminat['firezone']['var_directory'] | Directori de primer nivell per als fitxers d'execució de Firezone. | /var/opt/firezone' |
predeterminat['firezone']['usuari'] | Nom de l'usuari de Linux sense privilegis al qual pertanyen la majoria de serveis i fitxers. | zona de foc' |
predeterminat['firezone']['grup'] | Nom del grup de Linux al qual pertanyen la majoria de serveis i fitxers. | zona de foc' |
predeterminat['firezone']['admin_email'] | Adreça de correu electrònic de l'usuari inicial de Firezone. | "firezone@localhost" |
predeterminat['firezone']['max_devices_per_user'] | Nombre màxim de dispositius que pot tenir un usuari. | 10 |
predeterminat['firezone']['allow_unprivileged_device_management'] | Permet als usuaris que no són administradors crear i suprimir dispositius. | VERITABLE |
predeterminat['firezone']['allow_unprivileged_device_configuration'] | Permet als usuaris que no són administradors modificar les configuracions del dispositiu. Quan està desactivat, evita que els usuaris sense privilegis canviïn tots els camps del dispositiu excepte el nom i la descripció. | VERITABLE |
predeterminat['firezone']['egress_interface'] | Nom de la interfície d'on sortirà el trànsit tunelitzat. Si és nul, s'utilitzarà la interfície de ruta predeterminada. | zero |
predeterminat['firezone']['fips_enabled'] | Activa o desactiva el mode OpenSSL FIP. | zero |
predeterminat['firezone']['registre']['habilitat'] | Activa o desactiva el registre a Firezone. Estableix com a fals per desactivar completament el registre. | VERITABLE |
predeterminat['empresa']['nom'] | Nom que fa servir el llibre de cuina "empresa" del xef. | zona de foc' |
predeterminat['firezone']['install_path'] | Ruta d'instal·lació utilitzada pel llibre de cuina "empresa" del xef. S'ha d'establir el mateix que el directori_instal·lació anterior. | node['firezone']['install_directory'] |
predeterminat['firezone']['sysvinit_id'] | Un identificador utilitzat a /etc/inittab. Ha de ser una seqüència única d'1 a 4 caràcters. | SUP' |
predeterminat['firezone']['autenticació']['local']['habilitat'] | Activa o desactiva l'autenticació local de correu electrònic/contrasenya. | VERITABLE |
predeterminat['firezone']['autenticació']['auto_create_oidc_users'] | Creeu automàticament usuaris que iniciïn sessió des de l'OIDC per primera vegada. Desactiveu-lo per permetre que només els usuaris existents iniciïn sessió mitjançant OIDC. | VERITABLE |
predeterminat['firezone']['autenticació']['disable_vpn_on_oidc_error'] | Desactiveu la VPN d'un usuari si es detecta un error en intentar actualitzar el seu testimoni OIDC. | FALS |
predeterminat['firezone']['autenticació']['oidc'] | Configuració OpenID Connect, en el format de {“proveïdor” => [config…]} – Vegeu Documentació OpenIDConnect per exemples de configuració. | {} |
predeterminat['firezone']['nginx']['habilitat'] | Activa o desactiva el servidor nginx inclòs. | VERITABLE |
predeterminat['firezone']['nginx']['ssl_port'] | Port d'escolta HTTPS. | 443 |
predeterminat['firezone']['nginx']['directori'] | Directori per emmagatzemar la configuració de l'amfitrió virtual nginx relacionada amb Firezone. | “#{node['firezone']['var_directory']}/nginx/etc” |
predeterminat['firezone']['nginx']['log_directory'] | Directori per emmagatzemar fitxers de registre nginx relacionats amb Firezone. | “#{node['firezone']['log_directory']}/nginx” |
predeterminat['firezone']['nginx']['log_rotation']['file_maxbytes'] | Mida del fitxer amb què girar els fitxers de registre de Nginx. | 104857600 |
predeterminat['firezone']['nginx']['log_rotation']['num_to_keep'] | Nombre de fitxers de registre nginx de Firezone que cal conservar abans de descartar-los. | 10 |
predeterminat['firezone']['nginx']['log_x_forwarded_for'] | Si s'ha de registrar la capçalera de Firezone nginx x-forwarded-for. | VERITABLE |
predeterminat['firezone']['nginx']['hsts_header']['habilitat'] | VERITABLE | |
predeterminat['firezone']['nginx']['hsts_header']['include_subdomains'] | Activeu o desactiveu includeSubDomains per a la capçalera HSTS. | VERITABLE |
predeterminat['firezone']['nginx']['hsts_header']['max_age'] | Edat màxima per a la capçalera HSTS. | 31536000 |
predeterminat['firezone']['nginx']['redirect_to_canonical'] | Si s'han de redirigir els URL al FQDN canònic especificat anteriorment | FALS |
predeterminat['firezone']['nginx']['cache']['habilitat'] | Activa o desactiva la memòria cau nginx de Firezone. | FALS |
predeterminat['firezone']['nginx']['cache']['directori'] | Directori per a la memòria cau nginx de Firezone. | “#{node['firezone']['var_directory']}/nginx/cache” |
predeterminat['firezone']['nginx']['usuari'] | Usuari de Firezone nginx. | node['firezone']['usuari'] |
predeterminat['firezone']['nginx']['grup'] | Grup nginx de Firezone. | node['firezone']['grup'] |
predeterminat['firezone']['nginx']['dir'] | Directori de configuració nginx de primer nivell. | node['firezone']['nginx']['directori'] |
predeterminat['firezone']['nginx']['log_dir'] | Directori de registre nginx de primer nivell. | node['firezone']['nginx']['log_directory'] |
predeterminat['firezone']['nginx']['pid'] | Ubicació del fitxer pid nginx. | “#{node['firezone']['nginx']['directori']}/nginx.pid” |
predeterminat['firezone']['nginx']['daemon_disable'] | Desactiveu el mode dimoni nginx perquè puguem controlar-lo. | VERITABLE |
predeterminat['firezone']['nginx']['gzip'] | Activa o desactiva la compressió nginx gzip. | a |
predeterminat['firezone']['nginx']['gzip_static'] | Activa o desactiva la compressió nginx gzip per a fitxers estàtics. | apagat' |
predeterminat['firezone']['nginx']['gzip_http_version'] | Versió HTTP que s'utilitzarà per servir fitxers estàtics. | 1.0 ' |
predeterminat['firezone']['nginx']['gzip_comp_level'] | nivell de compressió nginx gzip. | 2 ' |
predeterminat['firezone']['nginx']['gzip_proxied'] | Activa o desactiva el gzipping de respostes per a les sol·licituds proxy en funció de la sol·licitud i la resposta. | cap' |
predeterminat['firezone']['nginx']['gzip_vary'] | Activa o desactiva la inserció de la capçalera de resposta "Vary: Accept-Encoding". | apagat' |
predeterminat['firezone']['nginx']['gzip_buffers'] | Estableix el nombre i la mida dels buffers utilitzats per comprimir una resposta. Si és nul, s'utilitza nginx per defecte. | zero |
predeterminat['firezone']['nginx']['gzip_types'] | Tipus MIME per habilitar la compressió gzip. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'aplicació/javascript', 'aplicació/json'] |
predeterminat['firezone']['nginx']['gzip_min_length'] | Longitud mínima del fitxer per habilitar la compressió gzip del fitxer. | 1000 |
predeterminat['firezone']['nginx']['gzip_disable'] | Coincidència d'agent d'usuari per desactivar la compressió gzip. | MSIE [1-6]\.' |
predeterminat['firezone']['nginx']['keepalive'] | Activa la memòria cau per a la connexió als servidors amunt. | a |
predeterminat['firezone']['nginx']['keepalive_timeout'] | Temps d'espera en segons per a la connexió Keepalive als servidors amunt. | 65 |
predeterminat['firezone']['nginx']['worker_processes'] | Nombre de processos de treball nginx. | node['cpu'] && node['cpu']['total'] ? node['cpu']['total']: 1 |
predeterminat['firezone']['nginx']['worker_connections'] | Nombre màxim de connexions simultànies que pot obrir un procés de treball. | 1024 |
predeterminat['firezone']['nginx']['worker_rlimit_nofile'] | Canvia el límit del nombre màxim de fitxers oberts per als processos de treball. Utilitza nginx per defecte si nil. | zero |
predeterminat['firezone']['nginx']['multi_accept'] | Si els treballadors haurien d'acceptar una connexió alhora o múltiples. | VERITABLE |
predeterminat['firezone']['nginx']['esdeveniment'] | Especifica el mètode de processament de connexió que s'utilitzarà dins del context d'esdeveniments nginx. | epoll' |
predeterminat['firezone']['nginx']['server_tokens'] | Activa o desactiva l'emissió de la versió nginx a les pàgines d'error i al camp de la capçalera de resposta "Servidor". | zero |
predeterminat['firezone']['nginx']['server_names_hash_bucket_size'] | Estableix la mida del cub per a les taules hash de noms de servidor. | 64 |
predeterminat['firezone']['nginx']['sendfile'] | Habilita o desactiva l'ús del fitxer sendfile() de nginx. | a |
predeterminat['firezone']['nginx']['access_log_options'] | Estableix les opcions de registre d'accés nginx. | zero |
predeterminat['firezone']['nginx']['error_log_options'] | Estableix les opcions de registre d'errors de nginx. | zero |
predeterminat['firezone']['nginx']['disable_access_log'] | Desactiva el registre d'accés nginx. | FALS |
predeterminat['firezone']['nginx']['types_hash_max_size'] | nginx tipus hash mida màxima. | 2048 |
predeterminat['firezone']['nginx']['types_hash_bucket_size'] | mida del cub hash de tipus nginx. | 64 |
predeterminat['firezone']['nginx']['proxy_read_timeout'] | Temps d'espera de lectura del proxy nginx. Establiu a nil per utilitzar nginx per defecte. | zero |
predeterminat['firezone']['nginx']['client_body_buffer_size'] | Mida de la memòria intermèdia del cos del client nginx. Establiu a nil per utilitzar nginx per defecte. | zero |
predeterminat['firezone']['nginx']['client_max_body_size'] | Mida corporal màxima del client nginx. | 250 m' |
predeterminat['firezone']['nginx']['default']['mòduls'] | Especifiqueu mòduls nginx addicionals. | [] |
predeterminat['firezone']['nginx']['enable_rate_limiting'] | Activa o desactiva la limitació de velocitat nginx. | VERITABLE |
predeterminat['firezone']['nginx']['rate_limiting_zone_name'] | Nom de la zona de limitació de tarifa Nginx. | zona de foc' |
predeterminat['firezone']['nginx']['rate_limiting_backoff'] | La taxa de Nginx limita el retrocés. | 10 m' |
predeterminat['firezone']['nginx']['rate_limit'] | Límit de taxa Nginx. | 10r/s' |
predeterminat['firezone']['nginx']['ipv6'] | Permet que nginx escolti sol·licituds HTTP per a IPv6 a més d'IPv4. | VERITABLE |
predeterminat['firezone']['postgresql']['habilitat'] | Activa o desactiva Postgresql agrupat. Establiu a false i ompliu les opcions de base de dades següents per utilitzar la vostra pròpia instància de Postgresql. | VERITABLE |
predeterminat['firezone']['postgresql']['nom d'usuari'] | Nom d'usuari per a Postgresql. | node['firezone']['usuari'] |
predeterminat['firezone']['postgresql']['data_directory'] | Directori de dades Postgresql. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
predeterminat['firezone']['postgresql']['log_directory'] | Directori de registre de Postgresql. | “#{node['firezone']['log_directory']}/postgresql” |
predeterminat['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Mida màxima del fitxer de registre Postgresql abans de girar-lo. | 104857600 |
predeterminat['firezone']['postgresql']['log_rotation']['num_to_keep'] | Nombre de fitxers de registre de Postgresql que cal conservar. | 10 |
predeterminat['firezone']['postgresql']['checkpoint_completion_target'] | Objectiu de finalització del punt de control Postgresql. | 0.5 |
predeterminat['firezone']['postgresql']['checkpoint_segments'] | Nombre de segments de punt de control Postgresql. | 3 |
predeterminat['firezone']['postgresql']['checkpoint_timeout'] | Temps d'espera del punt de control Postgresql. | 5 minuts |
predeterminat['firezone']['postgresql']['checkpoint_warning'] | Temps d'avís del punt de control Postgresql en segons. | dècada de 30 |
predeterminat['firezone']['postgresql']['effective_cache_size'] | Mida efectiva de la memòria cau de Postgresql. | 128 MB' |
predeterminat['firezone']['postgresql']['listen_address'] | Adreça d'escolta de Postgresql. | 127.0.0.1 ' |
predeterminat['firezone']['postgresql']['max_connections'] | Connexions màximes de Postgresql. | 350 |
predeterminat['firezone']['postgresql']['md5_auth_cidr_addresses'] | CIDR Postgresql per permetre l'autenticació md5. | ['127.0.0.1/32', '::1/128'] |
predeterminat['firezone']['postgresql']['port'] | Port d'escolta Postgresql. | 15432 |
predeterminat['firezone']['postgresql']['shared_buffers'] | Mida dels buffers compartits de Postgresql. | "#{(node['memòria']['total'].to_i / 4) / 1024}MB" |
predeterminat['firezone']['postgresql']['shmmax'] | Postgresql shmmax en bytes. | 17179869184 |
predeterminat['firezone']['postgresql']['shmall'] | Postgresql shmall en bytes. | 4194304 |
predeterminat['firezone']['postgresql']['work_mem'] | Mida de la memòria de treball Postgresql. | 8 MB' |
predeterminat['firezone']['base de dades']['usuari'] | Especifica el nom d'usuari que Firezone utilitzarà per connectar-se a la base de dades. | node['firezone']['postgresql']['nom d'usuari'] |
predeterminat['firezone']['base de dades']['contrasenya'] | Si s'utilitza una base de dades externa, especifica la contrasenya que Firezone utilitzarà per connectar-se a la base de dades. | canvia'm' |
predeterminat['firezone']['base de dades']['nom'] | Base de dades que utilitzarà Firezone. Es crearà si no existeix. | zona de foc' |
predeterminat['firezone']['base de dades']['amfitrió'] | Amfitrió de la base de dades al qual es connectarà Firezone. | node['firezone']['postgresql']['listen_address'] |
predeterminat['firezone']['base de dades']['port'] | Port de base de dades al qual es connectarà Firezone. | node['firezone']['postgresql']['port'] |
predeterminat['firezone']['base de dades']['pool'] | Mida del grup de bases de dades que utilitzarà Firezone. | [10, Etc.nprocessors].max |
predeterminat['firezone']['base de dades']['ssl'] | Si s'ha de connectar a la base de dades mitjançant SSL. | FALS |
predeterminat['firezone']['base de dades']['ssl_opts'] | {} | |
predeterminat['firezone']['base de dades']['paràmetres'] | {} | |
predeterminat['firezone']['base de dades']['extensions'] | Extensions de base de dades per activar. | { 'plpgsql' => cert, 'pg_trgm' => cert } |
predeterminat['firezone']['phoenix']['habilitat'] | Activa o desactiva l'aplicació web Firezone. | VERITABLE |
predeterminat['firezone']['phoenix']['listen_address'] | Adreça d'escolta de l'aplicació web Firezone. Aquesta serà l'adreça d'escolta amunt que envia nginx. | 127.0.0.1 ' |
predeterminat['firezone']['phoenix']['port'] | Port d'escolta de l'aplicació web Firezone. Aquest serà el port amunt que nginx envia. | 13000 |
predeterminat['firezone']['phoenix']['log_directory'] | Directori de registre d'aplicacions web de Firezone. | “#{node['firezone']['log_directory']}/phoenix” |
predeterminat['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Mida del fitxer de registre de l'aplicació web Firezone. | 104857600 |
predeterminat['firezone']['phoenix']['log_rotation']['num_to_keep'] | Nombre de fitxers de registre d'aplicacions web de Firezone que cal conservar. | 10 |
predeterminat['firezone']['phoenix']['crash_detection']['habilitat'] | Activeu o desactiveu l'aturada de l'aplicació web Firezone quan es detecti un error. | VERITABLE |
predeterminat['firezone']['phoenix']['external_trusted_proxies'] | Llista de servidors intermediaris inversos de confiança formatats com a matriu d'IP i/o CIDR. | [] |
predeterminat['firezone']['phoenix']['private_clients'] | Llista de clients HTTP de xarxa privada, format una matriu d'IPs i/o CIDR. | [] |
predeterminat['firezone']['wireguard']['habilitat'] | Activa o desactiva la gestió de WireGuard agrupada. | VERITABLE |
predeterminat['firezone']['wireguard']['log_directory'] | Directori de registre per a la gestió de WireGuard agrupada. | “#{node['firezone']['log_directory']}/wireguard” |
predeterminat['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Mida màxima del fitxer de registre WireGuard. | 104857600 |
predeterminat['firezone']['wireguard']['log_rotation']['num_to_keep'] | Nombre de fitxers de registre de WireGuard que cal conservar. | 10 |
predeterminat['firezone']['wireguard']['interface_name'] | Nom de la interfície WireGuard. Canviar aquest paràmetre pot provocar una pèrdua temporal de la connectivitat VPN. | wg-firezone' |
predeterminat['firezone']['wireguard']['port'] | Port d'escolta WireGuard. | 51820 |
predeterminat['firezone']['wireguard']['mtu'] | MTU de la interfície WireGuard per a aquest servidor i per a les configuracions del dispositiu. | 1280 |
predeterminat['firezone']['wireguard']['endpoint'] | WireGuard Endpoint per utilitzar per generar configuracions de dispositiu. Si és nul, el valor predeterminat és l'adreça IP pública del servidor. | zero |
predeterminat['firezone']['wireguard']['dns'] | WireGuard DNS per utilitzar per a les configuracions de dispositius generades. | 1.1.1.1, 1.0.0.1′ |
predeterminat['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs per utilitzar per a les configuracions de dispositius generades. | 0.0.0.0/0, ::/0′ |
predeterminat['firezone']['wireguard']['persistent_keepalive'] | Configuració per defecte de PersistentKeepalive per a les configuracions de dispositius generades. Un valor de 0 desactiva. | 0 |
predeterminat['firezone']['wireguard']['ipv4']['habilitat'] | Activa o desactiva IPv4 per a la xarxa WireGuard. | VERITABLE |
predeterminat['firezone']['wireguard']['ipv4']['masquerade'] | Activa o desactiva la mascarada per als paquets que surten del túnel IPv4. | VERITABLE |
predeterminat['firezone']['wireguard']['ipv4']['xarxa'] | Grup d'adreces IPv4 de la xarxa WireGuard. | 10.3.2.0/24 ′ |
predeterminat['firezone']['wireguard']['ipv4']['adreça'] | Adreça IPv4 de la interfície WireGuard. Ha d'estar dins del grup d'adreces de WireGuard. | 10.3.2.1 ' |
predeterminat['firezone']['wireguard']['ipv6']['habilitat'] | Activa o desactiva IPv6 per a la xarxa WireGuard. | VERITABLE |
predeterminat['firezone']['wireguard']['ipv6']['masquerade'] | Activa o desactiva la mascarada per als paquets que surten del túnel IPv6. | VERITABLE |
predeterminat['firezone']['wireguard']['ipv6']['xarxa'] | Grup d'adreces IPv6 de la xarxa WireGuard. | fd00::3:2:0/120′ |
predeterminat['firezone']['wireguard']['ipv6']['adreça'] | Adreça IPv6 de la interfície WireGuard. Ha d'estar dins del grup d'adreces IPv6. | fd00::3:2:1′ |
predeterminat['firezone']['runit']['svlogd_bin'] | Runit svlogd bin location. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
predeterminat['firezone']['ssl']['directori'] | Directori SSL per emmagatzemar els certificats generats. | /var/opt/firezone/ssl' |
predeterminat['firezone']['ssl']['email_address'] | Adreça de correu electrònic que cal utilitzar per als avisos de renovació del protocol ACME i certificats autofirmats. | tu@exemple.com" |
predeterminat['firezone']['ssl']['acme']['habilitat'] | Habiliteu ACME per a l'aprovisionament automàtic de certificats SSL. Desactiveu-ho per evitar que Nginx escolti al port 80. Vegeu aquí per obtenir més instruccions. | FALS |
predeterminat['firezone']['ssl']['acme']['servidor'] | Servidor ACME per a l'emissió/renovació de certificats. Pot ser qualsevol servidor acme.sh vàlid | Letsencrypt |
predeterminat['firezone']['ssl']['acme']['keylength'] | Especifiqueu el tipus de clau i la longitud dels certificats SSL. Mireu aquí | ec-256 |
predeterminat['firezone']['ssl']['certificat'] | Camí al fitxer de certificat per al vostre FQDN. Anul·la la configuració ACME anterior si s'especifica. Si tant ACME com aquest són nuls, es generarà un certificat autofirmat. | zero |
predeterminat['firezone']['ssl']['certificate_key'] | Camí al fitxer del certificat. | zero |
predeterminat['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | zero |
predeterminat['firezone']['ssl']['country_name'] | Nom del país per al certificat autofirmat. | NOSALTRES' |
predeterminat['firezone']['ssl']['state_name'] | Nom estatal del certificat autofirmat. | CA ' |
predeterminat['firezone']['ssl']['locality_name'] | Nom de la localitat per al certificat autofirmat. | San Francisco' |
predeterminat['firezone']['ssl']['company_name'] | Nom de l'empresa certificat autofirmat. | La meva empresa' |
predeterminat['firezone']['ssl']['organizational_unit_name'] | Nom de la unitat organitzativa per al certificat autofirmat. | Operacions' |
predeterminat['firezone']['ssl']['xifratge'] | Xifratge SSL perquè nginx l'utilitzi. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
predeterminat['firezone']['ssl']['fips_ciphers'] | Xifratge SSL per al mode FIP. | FIPS@STRENGTH:!aNULL:!eNULL' |
predeterminat['firezone']['ssl']['protocols'] | Protocols TLS a utilitzar. | TLSv1 TLSv1.1 TLSv1.2′ |
predeterminat['firezone']['ssl']['session_cache'] | Memòria cau de sessió SSL. | compartit:SSL:4m' |
predeterminat['firezone']['ssl']['session_timeout'] | Temps d'espera de la sessió SSL. | 5 m' |
predeterminat['firezone']['robots_allow'] | Els robots nginx permeten. | /' |
predeterminat['firezone']['robots_disallow'] | Els robots nginx no ho permeten. | zero |
predeterminat['firezone']['outbound_email']['de'] | Correu electrònic de sortida des de l'adreça. | zero |
predeterminat['firezone']['outbound_email']['proveïdor'] | Proveïdor de serveis de correu electrònic de sortida. | zero |
predeterminat['firezone']['outbound_email']['configs'] | Configuracions del proveïdor de correu electrònic de sortida. | vegeu omnibus/cookbooks/firezone/attributes/default.rb |
predeterminat['firezone']['telemetria']['habilitat'] | Activa o desactiva la telemetria de producte anònim. | VERITABLE |
predeterminat['firezone']['connectivity_checks']['habilitat'] | Activa o desactiva el servei de comprovacions de connectivitat de Firezone. | VERITABLE |
predeterminat['firezone']['connectivity_checks']['interval'] | Interval entre comprovacions de connectivitat en segons. | 3_600 |
________________________________________________________________
Aquí trobareu una llista de fitxers i directoris relacionats amb una instal·lació típica de Firezone. Aquests poden canviar en funció dels canvis al fitxer de configuració.
camí | descripció |
/var/opt/firezone | Directori de primer nivell que conté dades i configuració generada per als serveis agrupats de Firezone. |
/opt/firezone | Directori de primer nivell que conté biblioteques construïdes, binaris i fitxers d'execució necessaris per Firezone. |
/usr/bin/firezone-ctl | Firezone-ctl utilitat per gestionar la instal·lació de Firezone. |
/etc/systemd/system/firezone-runsvdir-start.service | fitxer d'unitat systemd per iniciar el procés de supervisor runsvdir de Firezone. |
/etc/firezone | Fitxers de configuració de Firezone. |
__________________________________________________________
Aquesta pàgina estava buida als documents
_____________________________________________________________
La següent plantilla de tallafocs nftables es pot utilitzar per protegir el servidor que executa Firezone. La plantilla fa algunes suposicions; és possible que hàgiu d'ajustar les regles per adaptar-les al vostre cas d'ús:
Firezone configura les seves pròpies regles nftables per permetre/rebutjar el trànsit a les destinacions configurades a la interfície web i gestionar el NAT de sortida per al trànsit del client.
Si apliqueu la plantilla de tallafocs a continuació en un servidor que ja s'executa (no en el moment de l'arrencada), s'esborraran les regles de Firezone. Això pot tenir implicacions de seguretat.
Per evitar això, reinicieu el servei Phoenix:
firezone-ctl reiniciar Phoenix
#!/usr/sbin/nft -f
## Esborrar/esborrar totes les regles existents
conjunt de regles de flush
################################ LES VARIABLES ################# ###############
## Nom de la interfície d'Internet/WAN
defineix DEV_WAN = eth0
## Nom de la interfície WireGuard
defineix DEV_WIREGUARD = wg-firezone
## Port d'escolta WireGuard
defineix WIREGUARD_PORT = 51820
############################ VARIABLES FINS ################## ############
# Taula de filtratge de la família inet principal
filtre inet de taula {
# Regles per al trànsit reenviat
# Aquesta cadena es processa abans que la cadena directa de Firezone
cadena cap endavant {
filtre de tipus ganxo cap endavant filtre de prioritat - 5; acceptar la política
}
# Regles per al trànsit d'entrada
entrada en cadena {
tipus de filtre ganxo d'entrada filtre de prioritat; caiguda de la política
## Permet el trànsit entrant a la interfície de bucle
si ho\
acceptar \
comment "Permet tot el trànsit des de la interfície de loopback"
## Permet establir connexions relacionades
estat ct establert,relacionat \
acceptar \
comment "Permetre connexions establertes/relacionades"
## Permet el trànsit WireGuard entrant
si és $DEV_WAN udp dport $WIREGUARD_PORT \
comptador \
acceptar \
comment "Permet el trànsit WireGuard entrant"
## Registreu i deixeu anar nous paquets TCP no SYN
tcp flags != syn ct state new \
taxa límit 100ràfega de /minut 150 paquets \
prefix de registre "IN - Nou !SYN: " \
comment "Registre de límit de velocitat per a connexions noves que no tenen la marca SYN TCP establerta"
tcp flags != syn ct state new \
comptador \
tirar \
comment "Deixeu anar noves connexions que no tinguin la marca SYN TCP establerta"
## Registreu i deixeu anar els paquets TCP amb un senyalador fin/syn no vàlid
tcp flags & (fin|syn) == (fin|syn) \
taxa límit 100ràfega de /minut 150 paquets \
prefix de registre “IN – TCP FIN|SIN:” \
comment "Registre de límit de velocitat per a paquets TCP amb un senyalador fin/syn no vàlid"
tcp flags & (fin|syn) == (fin|syn) \
comptador \
tirar \
comment "Elimina els paquets TCP amb un senyalador fin/syn no vàlid"
## Registreu i deixeu anar els paquets TCP amb el senyalador syn/rst no vàlid
tcp flags & (syn|rst) == (syn|rst) \
taxa límit 100ràfega de /minut 150 paquets \
prefix de registre “IN – TCP SYN|RST:” \
comment "Registre de límit de velocitat per a paquets TCP amb un senyalador syn/rst no vàlid"
tcp flags & (syn|rst) == (syn|rst) \
comptador \
tirar \
comment "Elimina els paquets TCP amb un senyalador syn/rst no vàlid"
## Registreu i deixeu anar els indicadors TCP no vàlids
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
taxa límit 100ràfega de /minut 150 paquets \
prefix de registre "IN - FIN:" \
comment "Registre de límit de velocitat per a senyals TCP no vàlids (fin|syn|rst|psh|ack|urg) < (fin)"
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
comptador \
tirar \
comment "Deixa anar els paquets TCP amb senyaladors (fin|syn|rst|psh|ack|urg) < (fin)"
## Registreu i deixeu anar els indicadors TCP no vàlids
tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
taxa límit 100ràfega de /minut 150 paquets \
prefix de registre “IN – FIN|PSH|URG:” \
comment "Registre de límit de velocitat per a senyals TCP no vàlids (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
comptador \
tirar \
comment "Deixa anar els paquets TCP amb senyaladors (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Elimina el trànsit amb un estat de connexió no vàlid
estat ct no vàlid \
taxa límit 100ràfega de /minut 150 paquets \
registre marca tots els prefixos "IN - No vàlid:" \
comment "Registre de límit de velocitat per a trànsit amb estat de connexió no vàlid"
estat ct no vàlid \
comptador \
tirar \
comment "Elimina el trànsit amb un estat de connexió no vàlid"
## Permet respostes ping/ping d'IPv4 però límit de velocitat a 2000 PPS
ip protocol icmp tipus icmp { resposta d'eco, sol·licitud d'eco } \
taxa límit 2000/segon \
comptador \
acceptar \
comment "Permet ressò IPv4 entrant (ping) limitat a 2000 PPS"
## Permet tots els altres ICMP IPv4 entrants
ip protocol icmp \
comptador \
acceptar \
comment "Permet tots els altres IPv4 ICMP"
## Permet respostes ping/ping d'IPv6 però límit de velocitat a 2000 PPS
tipus icmpv6 { resposta d'eco, sol·licitud d'eco } \
taxa límit 2000/segon \
comptador \
acceptar \
comment "Permet ressò IPv6 entrant (ping) limitat a 2000 PPS"
## Permet tots els altres ICMP IPv6 entrants
meta l4proto { icmpv6 } \
comptador \
acceptar \
comment "Permet tots els altres IPv6 ICMP"
## Permet els ports UDP de traceroute entrants però limita a 500 PPS
udp dport 33434-33524 \
taxa límit 500/segon \
comptador \
acceptar \
comment "Permet traceroute UDP entrant limitat a 500 PPS"
## Permet SSH entrant
tcp dport ssh ct estat nou \
comptador \
acceptar \
comment "Permet connexions SSH entrants"
## Permet HTTP i HTTPS entrants
tcp dport { http, https } estat ct nou \
comptador \
acceptar \
comment "Permet connexions entrants HTTP i HTTPS"
## Registreu qualsevol trànsit sense igual, però la velocitat limita el registre a un màxim de 60 missatges/minut
## La política predeterminada s'aplicarà al trànsit no coincident
taxa límit 60ràfega de /minut 100 paquets \
prefix de registre "IN - Drop:" \
comment "Registreu qualsevol trànsit sense igual"
## Compteu el trànsit sense igual
comptador \
comment "Comptar qualsevol trànsit sense igual"
}
# Regles per al trànsit de sortida
sortida en cadena {
tipus filtre ganxo sortida filtre prioritat; caiguda de la política
## Permet el trànsit de sortida a la interfície de bucle
oif lo \
acceptar \
comment "Permetre tot el trànsit a la interfície de bucle de retorn"
## Permet establir connexions relacionades
estat ct establert,relacionat \
comptador \
acceptar \
comment "Permetre connexions establertes/relacionades"
## Permet el trànsit sortint de WireGuard abans d'interrompre les connexions amb mal estat
oif $DEV_WAN esport udp $WIREGUARD_PORT \
comptador \
acceptar \
comment "Permet el trànsit sortint de WireGuard"
## Elimina el trànsit amb un estat de connexió no vàlid
estat ct no vàlid \
taxa límit 100ràfega de /minut 150 paquets \
registre marca tots els prefixos “OUT – No vàlid:” \
comment "Registre de límit de velocitat per a trànsit amb estat de connexió no vàlid"
estat ct no vàlid \
comptador \
tirar \
comment "Elimina el trànsit amb un estat de connexió no vàlid"
## Permet tots els altres ICMP IPv4 de sortida
ip protocol icmp \
comptador \
acceptar \
comment "Permet tots els tipus ICMP IPv4"
## Permet tots els altres ICMP IPv6 de sortida
meta l4proto { icmpv6 } \
comptador \
acceptar \
comment "Permet tots els tipus ICMP IPv6"
## Permet els ports UDP de traceroute de sortida però limita a 500 PPS
udp dport 33434-33524 \
taxa límit 500/segon \
comptador \
acceptar \
comment "Permet traceroute UDP sortint limitat a 500 PPS"
## Permet connexions HTTP i HTTPS de sortida
tcp dport { http, https } estat ct nou \
comptador \
acceptar \
comment "Permet connexions HTTP i HTTPS de sortida"
## Permet l'enviament SMTP de sortida
tcp dport enviament ct state new \
comptador \
acceptar \
comment "Permet l'enviament SMTP de sortida"
## Permet sol·licituds DNS sortints
udp dport 53 \
comptador \
acceptar \
comment "Permet sol·licituds DNS UDP sortints"
tcp dport 53 \
comptador \
acceptar \
comment "Permet sol·licituds de DNS TCP de sortida"
## Permet sol·licituds NTP de sortida
udp dport 123 \
comptador \
acceptar \
comment "Permet sol·licituds NTP de sortida"
## Registreu qualsevol trànsit sense igual, però la velocitat limita el registre a un màxim de 60 missatges/minut
## La política predeterminada s'aplicarà al trànsit no coincident
taxa límit 60ràfega de /minut 100 paquets \
prefix de registre "FORTA - Baixa:" \
comment "Registreu qualsevol trànsit sense igual"
## Compteu el trànsit sense igual
comptador \
comment "Comptar qualsevol trànsit sense igual"
}
}
# Taula de filtratge NAT principal
taula inet nat {
# Regles per a l'encaminament previ del trànsit NAT
preenrutament de cadena {
escriviu nat hook prerouting prioritat dstnat; acceptar la política
}
# Regles per a l'encaminament posterior al trànsit NAT
# Aquesta taula es processa abans de la cadena de post-encaminament de Firezone
cadena de postrouting {
escriviu nat hook postrouting prioritat srcnat – 5; acceptar la política
}
}
El tallafoc s'ha d'emmagatzemar a la ubicació rellevant per a la distribució de Linux que s'està executant. Per a Debian/Ubuntu això és /etc/nftables.conf i per a RHEL és /etc/sysconfig/nftables.conf.
nftables.service s'haurà de configurar per iniciar-se a l'arrencada (si no ja) configurat:
systemctl habilitat nftables.service
Si es fa algun canvi a la plantilla del tallafoc, la sintaxi es pot validar executant l'ordre check:
nft -f /camí/a/nftables.conf -c
Assegureu-vos de validar que el tallafoc funciona com s'esperava, ja que algunes funcions de nftables poden no estar disponibles en funció de la versió que s'executa al servidor.
_______________________________________________________________
Aquest document presenta una visió general de la telemetria que Firezone recull de la vostra instància autoallotjada i com desactivar-la.
Zona de foc es basa en telemetria per prioritzar el nostre full de ruta i optimitzar els recursos d'enginyeria que tenim per fer que Firezone sigui millor per a tothom.
La telemetria que recollim pretén respondre les preguntes següents:
Hi ha tres llocs principals on es recull la telemetria a Firezone:
En cadascun d'aquests tres contextos, capturem la quantitat mínima de dades necessàries per respondre les preguntes de la secció anterior.
Els correus electrònics de l'administrador només es recullen si accepteu explícitament les actualitzacions del producte. En cas contrari, la informació d'identificació personal és mai recollit.
Firezone emmagatzema la telemetria en una instància autoallotjada de PostHog que s'executa en un clúster privat de Kubernetes, només accessible per l'equip de Firezone. Aquí teniu un exemple d'un esdeveniment de telemetria que s'envia des de la vostra instància de Firezone al nostre servidor de telemetria:
{
“aneu”: “0182272d-0b88-0000-d419-7b9a413713f1”,
"marca de temps": “2022-07-22T18:30:39.748000+00:00”,
"esdeveniment": "fz_http_iniciat",
"id_distint": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"propietats":{
"$geoip_city_name": "Ashburn",
"$geoip_continent_code": "NA",
"$geoip_continent_name": "Amèrica del nord",
"$geoip_country_code": "NOSALTRES",
"$geoip_country_name": "Estats Units",
"$geoip_latitude": 39.0469,
"$geoip_longitude": -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "Virginia",
"$geoip_time_zone": “Amèrica/Nova_York”,
"$ip": "52.200.241.107",
"$plugins_deferred": [],
"$plugins_failed": [],
"$plugins_succeeded": [
"GeoIP (3)"
],
"id_distint": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "Linux 5.13.0",
"versió": "0.4.6"
},
"cadena_elements": ""
}
NOTA
L'equip de desenvolupament de Firezone es basa sobre l'anàlisi de productes per millorar Firezone per a tothom. Deixar la telemetria activada és la contribució més valuosa que podeu fer al desenvolupament de Firezone. Dit això, entenem que alguns usuaris tenen requisits de privadesa o seguretat més elevats i preferirien desactivar la telemetria del tot. Si ets tu, segueix llegint.
La telemetria està activada per defecte. Per desactivar completament la telemetria del producte, configureu la següent opció de configuració com a false a /etc/firezone/firezone.rb i executeu sudo firezone-ctl reconfigure per recollir els canvis.
predeterminat['zona de foc']['telemetria']['habilitat'] = false
Això desactivarà completament tota la telemetria del producte.
Hailbytes
9511 Queens Guard Ct.
Llorer, MD 20723
Telèfon: (732) 771-9995
Correu electrònic: info@hailbytes.com
