Menu
Podrobné pokyny pro nasazení Hailbytes VPN s Firezone GUI jsou uvedeny zde.
Administer: Nastavení instance serveru přímo souvisí s touto částí.
Uživatelské příručky: Užitečné dokumenty, které vás naučí používat Firezone a řešit typické problémy. Po úspěšném nasazení serveru si přečtěte tuto část.
Split Tunneling: Používejte VPN pouze k odesílání provozu na konkrétní rozsahy IP.
Whitelisting: Nastavte statickou IP adresu VPN serveru, abyste mohli používat whitelist.
Reverzní tunely: Vytvořte tunely mezi několika partnery pomocí reverzních tunelů.
Rádi vám pomůžeme, pokud potřebujete pomoc s instalací, přizpůsobením nebo používáním Hailbytes VPN.
Než budou uživatelé moci vytvářet nebo stahovat konfigurační soubory zařízení, lze Firezone nakonfigurovat tak, aby vyžadovala ověření. Uživatelé se také mohou muset pravidelně znovu autentizovat, aby jejich připojení VPN zůstalo aktivní.
Ačkoli výchozí způsob přihlášení Firezone je místní e-mail a heslo, lze jej také integrovat s jakýmkoli standardizovaným poskytovatelem identity OpenID Connect (OIDC). Uživatelé se nyní mohou přihlásit do Firezone pomocí svých přihlašovacích údajů Okta, Google, Azure AD nebo poskytovatele soukromé identity.
Integrujte generického poskytovatele OIDC
Konfigurační parametry potřebné pro Firezone k povolení jednotného přihlášení pomocí poskytovatele OIDC jsou uvedeny v příkladu níže. Na adrese /etc/firezone/firezone.rb můžete najít konfigurační soubor. Spusťte firezone-ctl reconfigure a firezone-ctl restart, abyste aktualizovali aplikaci a projevili se změny.
# Toto je příklad použití Google a Okta jako poskytovatele identity SSO.
# Do stejné instance Firezone lze přidat více konfigurací OIDC.
# Firezone může deaktivovat VPN uživatele, pokud se při pokusu zjistí nějaká chyba
# k obnovení jejich access_tokenu. Toto je ověřeno, aby fungovalo pro Google, Okta a
# Azure SSO a používá se k automatickému odpojení VPN uživatele, pokud je odebrán
# od poskytovatele OIDC. Nechte toto deaktivováno, pokud váš poskytovatel OIDC
# má problémy s obnovováním přístupových tokenů, protože by to mohlo neočekávaně přerušit a
VPN relace # uživatele.
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = false
default['firezone']['authentication']['oidc'] = {
Google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ “,
client_secret: “ “,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: "kód",
rozsah: „otevřený e-mailový profil“,
štítek: „Google“
},
okta: {
discovery_document_uri: „https:// /.well-known/openid-configuration”,
client_id: “ “,
client_secret: “ “,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: "kód",
rozsah: “openid emailový profil offline_access”,
štítek: "Okta"
}
}
Pro integraci jsou vyžadována následující konfigurační nastavení:
Pro každého poskytovatele OIDC je vytvořena odpovídající pěkná URL pro přesměrování na přihlašovací URL nakonfigurovaného poskytovatele. Pro příklad konfigurace OIDC výše jsou adresy URL:
Poskytovatelé, pro které máme dokumentaci:
Pokud má váš poskytovatel identity generický konektor OIDC a není uveden výše, přejděte do jeho dokumentace, kde najdete informace o tom, jak získat potřebná konfigurační nastavení.
Nastavení v nastavení/zabezpečení lze změnit tak, aby vyžadovalo pravidelné opětovné ověřování. To lze použít k vynucení požadavku, aby uživatelé pravidelně vstupovali do Firezone, aby mohli pokračovat v relaci VPN.
Délku relace lze nakonfigurovat na jednu hodinu až devadesát dní. Nastavením na Nikdy můžete relace VPN povolit kdykoli. Toto je standard.
Uživatel musí ukončit svou relaci VPN a přihlásit se k portálu Firezone, aby mohl znovu ověřit relaci VPN, jejíž platnost vypršela (URL zadaná během nasazení).
Svou relaci můžete znovu ověřit podle přesných pokynů klienta, které najdete zde.
Stav připojení VPN
Sloupec tabulky Připojení VPN na stránce Uživatelé zobrazuje stav připojení uživatele. Toto jsou stavy připojení:
ENABLED – připojení je povoleno.
DISABLED – Připojení je zakázáno administrátorem nebo selháním obnovení OIDC.
VYPRŠELO – připojení je zakázáno z důvodu vypršení platnosti ověření nebo se uživatel poprvé nepřihlásil.
Prostřednictvím obecného konektoru OIDC umožňuje Firezone jednotné přihlášení (SSO) se službami Google Workspace a Cloud Identity. Tato příručka vám ukáže, jak získat konfigurační parametry uvedené níže, které jsou nezbytné pro integraci:
1. Obrazovka konfigurace OAuth
Pokud je to poprvé, co vytváříte nové ID klienta OAuth, budete požádáni o konfiguraci obrazovky souhlasu.
*Pro typ uživatele vyberte Interní. Tím zajistíte, že konfigurace zařízení mohou vytvářet pouze účty patřící uživatelům ve vaší organizaci Google Workspace. NEVYBEREJTE Externí, pokud nechcete umožnit komukoli s platným účtem Google vytvářet konfigurace zařízení.
Na obrazovce s informacemi o aplikaci:
2. Vytvořte ID klienta OAuth
Tato část je založena na vlastní dokumentaci společnosti Google na nastavení OAuth 2.0.
Navštivte Google Cloud Console Stránka pověření klikněte na + Vytvořit přihlašovací údaje a vyberte ID klienta OAuth.
Na obrazovce vytvoření ID klienta OAuth:
Po vytvoření ID klienta OAuth vám bude přiděleno ID klienta a Tajný klíč klienta. Ty budou použity společně s URI přesměrování v dalším kroku.
Změnit /etc/firezone/firezone.rb zahrnout níže uvedené možnosti:
# Používání Google jako poskytovatele identity SSO
default['firezone']['authentication']['oidc'] = {
Google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ “,
client_secret: “ “,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: "kód",
rozsah: „otevřený e-mailový profil“,
štítek: „Google“
}
}
Spusťte firezone-ctl reconfigure a firezone-ctl restart pro aktualizaci aplikace. Nyní byste měli vidět tlačítko Přihlásit se pomocí Google na kořenové adrese URL Firezone.
Firezone používá obecný konektor OIDC pro usnadnění jednotného přihlášení (SSO) s Okta. Tento tutoriál vám ukáže, jak získat konfigurační parametry uvedené níže, které jsou nezbytné pro integraci:
Tato část průvodce je založena na Okta dokumentace.
V administrátorské konzoli přejděte do části Aplikace > Aplikace a klikněte na Vytvořit integraci aplikace. Nastavte Způsob přihlášení na OICD – OpenID Connect a Typ aplikace na Webovou aplikaci.
Nakonfigurujte tato nastavení:
Po uložení nastavení vám bude přiděleno ID klienta, tajný klíč klienta a doména Okta. Tyto 3 hodnoty budou použity v kroku 2 ke konfiguraci Firezone.
Změnit /etc/firezone/firezone.rb zahrnout níže uvedené možnosti. Vaše discovery_document_url bude /.známá/openid-konfigurace připojeno na konec vašeho okta_doména.
# Použití Okta jako poskytovatele identity SSO
default['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri: „https:// /.well-known/openid-configuration”,
client_id: “ “,
client_secret: “ “,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: "kód",
rozsah: “openid emailový profil offline_access”,
štítek: "Okta"
}
}
Spusťte firezone-ctl reconfigure a firezone-ctl restart pro aktualizaci aplikace. Nyní byste měli vidět tlačítko Přihlásit se pomocí Okta na kořenové adrese URL Firezone.
Uživatelé, kteří mají přístup k aplikaci Firezone, mohou být omezeni systémem Okta. Chcete-li to provést, přejděte ve své Okta Admin Console na stránku Přiřazení Firezone App Integration.
Prostřednictvím obecného konektoru OIDC umožňuje Firezone jednotné přihlašování (SSO) s Azure Active Directory. Tato příručka vám ukáže, jak získat níže uvedené konfigurační parametry, které jsou nezbytné pro integraci:
Tento průvodce je čerpán z Dokumenty Azure Active Directory.
Přejděte na stránku Azure Active Directory portálu Azure. Vyberte možnost nabídky Spravovat, vyberte možnost Nová registrace a poté se zaregistrujte zadáním následujících informací:
Po registraci otevřete zobrazení podrobností aplikace a zkopírujte soubor ID aplikace (klienta). Toto bude hodnota client_id. Dále otevřete nabídku koncových bodů a načtěte soubor Dokument metadat OpenID Connect. Toto bude hodnota discovery_document_uri.
Vytvořte nový tajný klíč klienta kliknutím na možnost Certifikáty a tajné klíče v nabídce Spravovat. Zkopírujte tajný klíč klienta; tajná hodnota klienta bude tato.
Nakonec vyberte odkaz Oprávnění API v nabídce Spravovat a klikněte na Přidejte oprávněnía vyberte Microsoft Graph, přidat e-mail, otevřený, offline_access a profil na požadovaná oprávnění.
Změnit /etc/firezone/firezone.rb zahrnout níže uvedené možnosti:
# Použití Azure Active Directory jako poskytovatele identity SSO
default['firezone']['authentication']['oidc'] = {
azurová: {
discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: “ “,
client_secret: “ “,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
response_type: "kód",
rozsah: “openid emailový profil offline_access”,
štítek: "Azure"
}
}
Spusťte firezone-ctl reconfigure a firezone-ctl restart pro aktualizaci aplikace. Nyní byste měli vidět tlačítko Přihlásit se pomocí Azure na kořenové adrese URL Firezone.
Azure AD umožňuje správcům omezit přístup aplikací na konkrétní skupinu uživatelů ve vaší společnosti. Další informace o tom, jak to provést, naleznete v dokumentaci společnosti Microsoft.
Šéfkuchař Omnibus používá Firezone ke správě úkolů, včetně balíčků vydání, dohledu nad procesy, správy protokolů a dalších.
Ruby kód tvoří primární konfigurační soubor, který se nachází na /etc/firezone/firezone.rb. Restartování překonfigurování sudo firezone-ctl po provedení úprav v tomto souboru způsobí, že Chef rozpozná změny a použije je na aktuální operační systém.
Úplný seznam konfiguračních proměnných a jejich popisy najdete v odkazu na konfigurační soubor.
Vaši instanci Firezone lze spravovat prostřednictvím firezone-ctl příkaz, jak je znázorněno níže. Většina dílčích příkazů vyžaduje předponu with sudo.
root@demo:~# firezone-ctl
omnibus-ctl: příkaz (dílčí příkaz)
Obecné příkazy:
očistit
Smažte *všechna* data požární zóny a začněte od nuly.
vytvořit-nebo-obnovit-admin
Resetuje heslo pro správce s výchozí e-mailovou adresou['firezone']['admin_email'] nebo vytvoří nového správce, pokud tento e-mail neexistuje.
pomoc
Vytiskněte tuto zprávu nápovědy.
přenastavit
Překonfigurujte aplikaci.
reset-síť
Resetuje nftables, rozhraní WireGuard a směrovací tabulku zpět na výchozí hodnoty Firezone.
show-config
Zobrazit konfiguraci, která by byla vygenerována překonfigurováním.
trhací síť
Odstraní rozhraní WireGuard a tabulku firezone nftables.
platnost-certifikace-obnova
Vynutit obnovení certifikátu nyní, i když jeho platnost nevypršela.
stop-cert-renewal
Odstraní cronjob, který obnovuje certifikáty.
Odinstalovat
Zabijte všechny procesy a odinstalujte správce procesu (data zůstanou zachována).
verze
Zobrazit aktuální verzi Firezone
Příkazy správy služeb:
půvabně-zabít
Pokuste se o půvabné zastavení a pak ZABIJTE celou procesní skupinu.
Hup
Pošlete službám HUP.
int
Pošlete službám INT.
zabít
Pošlete služby KILL.
jednou
Spusťte služby, pokud jsou mimo provoz. Pokud se zastaví, nerestartujte je.
znovu
Zastavte služby, pokud jsou spuštěny, a poté je znovu spusťte.
servisní seznam
Seznam všech služeb (povolené služby se zobrazí s *.)
Začít
Spusťte služby, pokud jsou mimo provoz, a restartujte je, pokud se zastaví.
postavení
Zobrazit stav všech služeb.
zastavit
Zastavte služby a nerestartujte je.
ocas
Sledujte protokoly všech povolených služeb.
období
Pošlete služby TERMÍN.
usr1
Pošlete službám USR1.
usr2
Pošlete službám USR2.
Všechny relace VPN musí být ukončeny před upgradem Firezone, což také vyžaduje vypnutí webového uživatelského rozhraní. V případě, že se během upgradu něco pokazí, doporučujeme vyhradit si hodinu na údržbu.
Chcete-li vylepšit Firezone, proveďte následující akce:
Pokud se vyskytnou nějaké problémy, dejte nám prosím vědět odesláním tiketu podpory.
V 0.5.0 je několik zásadních změn a úprav konfigurace, které je třeba řešit. Více se dozvíte níže.
Nginx již od verze 0.5.0 nepodporuje vynucené parametry portu SSL a non-SSL. Protože Firezone potřebuje ke svému fungování SSL, doporučujeme odebrat balíček služby Nginx nastavením default['firezone']['nginx']['enabled'] = false a místo toho přesměrovat reverzní proxy do aplikace Phoenix na portu 13000 (ve výchozím nastavení ).
0.5.0 zavádí podporu protokolu ACME pro automatické obnovování certifikátů SSL s přibalenou službou Nginx. Umožnit,
Možnost přidávat pravidla s duplicitními cíli je ve Firezone 0.5.0 pryč. Náš migrační skript automaticky rozpozná tyto situace během upgradu na 0.5.0 a zachová pouze pravidla, jejichž cíl obsahuje druhé pravidlo. Pokud je to v pořádku, nemusíte nic dělat.
V opačném případě vám před upgradem doporučujeme změnit sadu pravidel, abyste se těchto situací zbavili.
Firezone 0.5.0 odstraňuje podporu pro starou konfiguraci Okta a Google SSO ve prospěch nové, flexibilnější konfigurace založené na OIDC.
Pokud máte nějakou konfiguraci pod výchozími klíči['firezone']['authentication']['okta'] nebo default['firezone']['authentication']['google'], musíte je migrovat do našeho OIDC -založená konfigurace pomocí níže uvedeného průvodce.
Stávající konfigurace Google OAuth
Odstraňte tyto řádky obsahující staré konfigurace Google OAuth z konfiguračního souboru umístěného na /etc/firezone/firezone.rb
default['firezone']['authentication']['google']['enabled']
default['firezone']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
default['firezone']['authentication']['google']['redirect_uri']
Poté nakonfigurujte Google jako poskytovatele OIDC podle zde uvedených postupů.
(Poskytněte pokyny k odkazu)<<<<<<<<<<<<<<<<<<
Nakonfigurujte existující protokol Google OAuth
Odeberte tyto řádky obsahující staré konfigurace Okta OAuth z konfiguračního souboru umístěného na adrese /etc/firezone/firezone.rb
default['firezone']['authentication']['okta']['enabled']
default['firezone']['authentication']['okta']['client_id']
default['firezone']['authentication']['okta']['client_secret']
Výchozí['firezone']['authentication']['okta']['site']
Poté nakonfigurujte Okta jako poskytovatele OIDC podle zde uvedených postupů.
V závislosti na aktuálním nastavení a verzi se řiďte níže uvedenými pokyny:
Pokud již máte integraci OIDC:
U některých poskytovatelů OIDC vyžaduje upgrade na >= 0.3.16 získání obnovovacího tokenu pro rozsah offline přístupu. Tímto způsobem je zajištěno, že se Firezone aktualizuje u poskytovatele identity a že se po odstranění uživatele vypne připojení VPN. Dřívější iterace Firezone tuto funkci postrádaly. V některých případech mohou být uživatelé smazaní z vašeho poskytovatele identity stále připojeni k VPN.
Pro poskytovatele OIDC, kteří podporují rozsah offline přístupu, je nutné zahrnout offline přístup do parametru oboru vaší konfigurace OIDC. Chcete-li použít změny v konfiguračním souboru Firezone, který se nachází na adrese /etc/firezone/firezone.rb, je nutné provést rekonfiguraci Firezone-ctl.
U uživatelů, kteří byli ověřeni vaším poskytovatelem OIDC, uvidíte záhlaví OIDC Connections na stránce s podrobnostmi o uživateli webového uživatelského rozhraní, pokud Firezone dokáže úspěšně načíst obnovovací token.
Pokud to nepomůže, budete muset smazat svou stávající aplikaci OAuth a zopakovat kroky nastavení OIDC vytvořit novou integraci aplikace .
Mám existující integraci OAuth
Před verzí 0.3.11 používal Firezone předem nakonfigurované poskytovatele OAuth2.
Následuj instrukce zde k migraci na OIDC.
Neintegroval jsem poskytovatele identity
Není nutná žádná akce.
Můžete postupovat podle pokynů zde povolit jednotné přihlašování prostřednictvím poskytovatele OIDC.
Místo toho default['firezone']['external url'] nahradil konfigurační volbu default['firezone']['fqdn'].
Nastavte toto na URL vašeho online portálu Firezone, který je přístupný široké veřejnosti. Pokud není definováno, bude výchozí https:// plus FQDN vašeho serveru.
Konfigurační soubor se nachází na /etc/firezone/firezone.rb. Úplný seznam konfiguračních proměnných a jejich popisy najdete v odkazu na konfigurační soubor.
Firezone již od verze 0.3.0 neuchovává soukromé klíče zařízení na serveru Firezone.
Webové uživatelské rozhraní Firezone vám neumožní znovu stáhnout nebo zobrazit tyto konfigurace, ale všechna stávající zařízení by měla nadále fungovat tak, jak jsou.
Pokud upgradujete z Firezone 0.1.x, existuje několik změn v konfiguračním souboru, které je třeba vyřešit ručně.
Chcete-li provést potřebné úpravy v souboru /etc/firezone/firezone.rb, spusťte níže uvedené příkazy jako root.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
překonfigurovat firezone-ctl
restart firezone-ctl
Kontrola protokolů Firezone je moudrým prvním krokem pro jakékoli problémy, které mohou nastat.
Spusťte sudo firezone-ctl tail pro zobrazení protokolů Firezone.
Většina problémů s konektivitou u Firezone je způsobena nekompatibilními pravidly iptables nebo nftables. Musíte se ujistit, že žádná pravidla, která máte v platnosti, nejsou v rozporu s pravidly Firezone.
Ujistěte se, že řetězec FORWARD povoluje pakety z vašich klientů WireGuard do míst, která chcete nechat přes Firezone, pokud se vaše připojení k internetu zhorší pokaždé, když aktivujete tunel WireGuard.
Toho lze dosáhnout, pokud používáte ufw tím, že zajistíte, že výchozí zásada směrování je povolena:
ubuntu@fz:~$ sudo ufw default allow routed
Výchozí směrovaná zásada změněna na „povolit“
(nezapomeňte odpovídajícím způsobem aktualizovat svá pravidla)
A ufw stav typického serveru Firezone může vypadat takto:
ubuntu@fz:~$ sudo ufw status verbose
Stav: aktivní
Přihlašování: zapnuto (nízké)
Výchozí: zakázat (příchozí), povolit (odchozí), povolit (směrováno)
Nové profily: přeskočit
Do akce Od
— —— —-
22/tcp ALLOW IN kdekoli
80/tcp ALLOW IN kdekoli
443/tcp ALLOW IN kdekoli
51820/udp POVOLENO kdekoli
22/tcp (v6) POVOLENO kdekoli (v6)
80/tcp (v6) POVOLENO kdekoli (v6)
443/tcp (v6) POVOLENO kdekoli (v6)
51820/udp (v6) POVOLENO kdekoli (v6)
Doporučujeme omezit přístup k webovému rozhraní pro extrémně citlivá a kritická produkční nasazení, jak je vysvětleno níže.
Servis | Výchozí port | Poslouchejte adresu | Popis |
Nginx | 80, 443 | všechno | Veřejný HTTP(S) port pro správu Firezone a usnadnění autentizace. |
Drátěný strážce | 51820 | všechno | Veřejný port WireGuard používaný pro relace VPN. (UDP) |
postgresql | 15432 | 127.0.0.1 | Pouze místní port používaný pro přibalený server Postgresql. |
Fénix | 13000 | 127.0.0.1 | Pouze místní port používaný serverem upstream aplikace elixir. |
Doporučujeme vám zvážit omezení přístupu k veřejně přístupnému webovému uživatelskému rozhraní Firezone (ve výchozím nastavení porty 443/tcp a 80/tcp) a místo toho použít tunel WireGuard ke správě Firezone pro produkční a veřejně přístupná nasazení, kde bude mít na starosti jeden správce. vytváření a distribuci konfigurací zařízení koncovým uživatelům.
Pokud například správce vytvořil konfiguraci zařízení a vytvořil tunel s místní adresou WireGuard 10.3.2.2, následující konfigurace ufw by správci umožnila přístup k webovému uživatelskému rozhraní Firezone na rozhraní wg-firezone serveru pomocí výchozí 10.3.2.1 adresa tunelu:
root@demo:~# podrobný stav ufw
Stav: aktivní
Přihlašování: zapnuto (nízké)
Výchozí: zakázat (příchozí), povolit (odchozí), povolit (směrováno)
Nové profily: přeskočit
Do akce Od
— —— —-
22/tcp ALLOW IN kdekoli
51820/udp POVOLENO kdekoli
Kdekoli POVOLETE V 10.3.2.2
22/tcp (v6) POVOLENO kdekoli (v6)
51820/udp (v6) POVOLENO kdekoli (v6)
Zbylo by jediné 22/tcp vystaven pro přístup SSH pro správu serveru (volitelné) a 51820/udp vystaveny za účelem vytvoření tunelů WireGuard.
Firezone sdružuje server Postgresql a odpovídající psql nástroj, který lze použít z místního shellu takto:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d požární zóna \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
To může být užitečné pro účely ladění.
Společné úkoly:
Výpis všech uživatelů:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d požární zóna \
-h localhost \
-p 15432 \
-c “VYBRAT * Z uživatelů;”
Výpis všech zařízení:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d požární zóna \
-h localhost \
-p 15432 \
-c “VYBRAT * ZE zařízení;”
Změna uživatelské role:
Nastavte roli na 'admin' nebo 'unprivileged':
/opt/firezone/embedded/bin/psql \
-U firezone \
-d požární zóna \
-h localhost \
-p 15432 \
-c “UPDATE user SET role = 'admin' WHERE email = 'user@example.com';”
Zálohování databáze:
Dále je zahrnut program pg dump, který lze použít k pravidelnému zálohování databáze. Spusťte následující kód pro výpis kopie databáze ve formátu běžného dotazu SQL (nahraďte /path/to/backup.sql umístěním, kde má být vytvořen soubor SQL):
/opt/firezone/embedded/bin/pg_dump \
-U firezone \
-d požární zóna \
-h localhost \
-p 15432 > /cesta/k/záloze.sql
Po úspěšném nasazení Firezone musíte přidat uživatele, abyste jim poskytli přístup k vaší síti. K tomu slouží webové uživatelské rozhraní.
Výběrem tlačítka „Přidat uživatele“ pod /users můžete přidat uživatele. Budete požádáni, abyste uživateli poskytli e-mailovou adresu a heslo. Aby bylo možné automaticky povolit přístup uživatelům ve vaší organizaci, Firezone může také komunikovat a synchronizovat se s poskytovatelem identity. Další podrobnosti jsou k dispozici v Pro ověření pravosti. < Přidat odkaz na Authenticate
Doporučujeme požádat uživatele, aby si vytvořili vlastní konfigurace zařízení, aby soukromý klíč viděli pouze oni. Uživatelé mohou generovat své vlastní konfigurace zařízení podle pokynů na Pokyny pro klienty strana.
Všechny konfigurace uživatelských zařízení mohou vytvářet administrátoři Firezone. Chcete-li to provést, vyberte na stránce profilu uživatele v /users možnost „Přidat zařízení“.
[Vložte snímek obrazovky]
Po vytvoření profilu zařízení můžete uživateli poslat e-mailem konfigurační soubor WireGuard.
Uživatelé a zařízení jsou propojeni. Další podrobnosti o tom, jak přidat uživatele, viz Přidat uživatele.
Díky použití systému netfilter jádra umožňuje Firezone možnosti výstupního filtrování pro specifikaci DROP nebo ACCEPT paketů. Veškerý provoz je normálně povolen.
IPv4 a IPv6 CIDR a IP adresy jsou podporovány prostřednictvím Seznamu povolených a Denylistu. Při přidávání pravidla můžete zvolit rozsah pro uživatele, což pravidlo použije na všechna zařízení tohoto uživatele.
Nainstalujte a konfigurujte
Chcete-li vytvořit připojení VPN pomocí nativního klienta WireGuard, přečtěte si tuto příručku.
Zde umístění oficiální klienti WireGuard jsou kompatibilní s Firezone:
Navštivte oficiální web WireGuard na adrese https://www.wireguard.com/install/ pro operační systémy, které nejsou uvedeny výše.
Konfigurační soubor zařízení můžete vygenerovat pomocí portálu Firezone buď váš správce Firezone, nebo vy.
Chcete-li si sami vygenerovat konfigurační soubor zařízení, navštivte adresu URL, kterou vám poskytl správce Firezone. Vaše firma pro to bude mít jedinečnou adresu URL; v tomto případě je to https://instance-id.yourfirezone.com.
Přihlaste se do Firezone Okta SSO
[Vložte snímek obrazovky]
Importujte soubor.conf do klienta WireGuard jeho otevřením. Přepnutím přepínače Aktivovat můžete zahájit relaci VPN.
[Vložte snímek obrazovky]
Pokud váš správce sítě nařídil opakované ověřování, aby bylo vaše připojení VPN aktivní, postupujte podle pokynů níže.
Potřebuješ:
Adresa URL portálu Firezone: Požádejte správce sítě o připojení.
Váš správce sítě by měl být schopen nabídnout vaše přihlašovací jméno a heslo. Web Firezone vás vyzve, abyste se přihlásili pomocí služby jednotného přihlášení, kterou váš zaměstnavatel používá (jako je Google nebo Okta).
[Vložte snímek obrazovky]
Přejděte na adresu URL portálu Firezone a přihlaste se pomocí přihlašovacích údajů, které vám poskytl správce sítě. Pokud jste již přihlášeni, klikněte před opětovným přihlášením na tlačítko Znovu ověřit.
[Vložte snímek obrazovky]
[Vložte snímek obrazovky]
Chcete-li importovat konfigurační profil WireGuard pomocí rozhraní Network Manager CLI na zařízeních Linux, postupujte podle těchto pokynů (nmcli).
Pokud má profil povolenou podporu IPv6, pokus o import konfiguračního souboru pomocí GUI Správce sítě může selhat s následující chybou:
ipv6.method: metoda „auto“ není pro WireGuard podporována
Je nutné nainstalovat nástroje uživatelského prostoru WireGuard. Půjde o balíček s názvem wireguard nebo wireguard-tools pro distribuce Linuxu.
Pro Ubuntu/Debian:
sudo apt install wireguard
Chcete-li použít Fedoru:
sudo dnf install wireguard-tools
Arch Linux:
sudo pacman -S wireguard-tools
Navštivte oficiální web WireGuard na adrese https://www.wireguard.com/install/ pro distribuce, které nejsou uvedeny výše.
Konfigurační soubor zařízení může pomocí portálu Firezone vygenerovat buď váš správce Firezone, nebo vlastní generování.
Chcete-li si sami vygenerovat konfigurační soubor zařízení, navštivte adresu URL, kterou vám poskytl správce Firezone. Vaše firma pro to bude mít jedinečnou adresu URL; v tomto případě je to https://instance-id.yourfirezone.com.
[Vložte snímek obrazovky]
Importujte dodaný konfigurační soubor pomocí nmcli:
sudo nmcli připojení typ importu wireguard soubor /cesta/k/konfiguraci.conf
Název konfiguračního souboru bude odpovídat připojení/rozhraní WireGuard. Po importu lze připojení v případě potřeby přejmenovat:
připojení nmcli upravit [starý název] connection.id [nový název]
Pomocí příkazového řádku se připojte k VPN následovně:
připojení nmcli nahoru [název vpn]
Odpojení:
Připojení nmcli selhalo [název vpn]
Ke správě připojení lze také použít příslušný applet Network Manager, pokud používáte GUI.
Výběrem „ano“ pro možnost automatického připojení lze nakonfigurovat připojení VPN tak, aby se připojovalo automaticky:
připojení nmcli upravit [název vpn] připojení. <<<<<<<<<<<<<<<<<<<<<<<<<
automatické připojení ano
Chcete-li automatické připojení deaktivovat, nastavte jej zpět na ne:
připojení nmcli upravit [název vpn] připojení.
automatické připojení č
Aktivace MFA Přejděte na stránku /user account/register mfa portálu Firezone. Použijte svou ověřovací aplikaci k naskenování QR kódu po jeho vygenerování a poté zadejte šestimístný kód.
Pokud zahodíte svou ověřovací aplikaci, kontaktujte svého administrátora, aby resetoval přístupové údaje k účtu.
Tento tutoriál vás provede procesem nastavení funkce rozděleného tunelování WireGuard s Firezone tak, aby byl přes VPN server předáván pouze provoz na konkrétní rozsahy IP.
Rozsahy adres IP, pro které bude klient směrovat síťový provoz, jsou uvedeny v poli Povolené adresy IP na stránce /settings/default. Změny v tomto poli budou ovlivněny pouze nově vytvořené konfigurace tunelu WireGuard vytvořené Firezone.
[Vložte snímek obrazovky]
Výchozí hodnota je 0.0.0.0/0, ::/0, která směruje veškerý síťový provoz z klienta na server VPN.
Příklady hodnot v tomto poli:
0.0.0.0/0, ::/0 – veškerý síťový provoz bude směrován na server VPN.
192.0.2.3/32 – na server VPN bude směrován pouze provoz na jednu IP adresu.
3.5.140.0/22 – na server VPN bude směrován pouze provoz na IP adresy v rozsahu 3.5.140.1 – 3.5.143.254. V tomto příkladu byl použit rozsah CIDR pro oblast ap-severovýchod-2 AWS.
Firezone vybírá nejprve výstupní rozhraní spojené s nejpřesnější cestou, když určuje, kam směrovat paket.
Uživatelé musí znovu vytvořit konfigurační soubory a přidat je do svého nativního klienta WireGuard, aby mohli aktualizovat stávající uživatelská zařízení pomocí nové konfigurace rozděleného tunelu.
Pokyny viz přidat zařízení. <<<<<<<<<<< Přidat odkaz
Tato příručka ukazuje, jak propojit dvě zařízení pomocí Firezone jako relé. Typickým případem použití je umožnit správci přístup k serveru, kontejneru nebo počítači, který je chráněn NAT nebo firewallem.
Tento obrázek ukazuje přímočarý scénář, ve kterém Zařízení A a B staví tunel.
[Vložte architektonický obrázek firezone]
Začněte vytvořením zařízení A a zařízení B tak, že přejdete do /users/[id_uživatele]/nové_zařízení. V nastavení pro každé zařízení se ujistěte, že jsou následující parametry nastaveny na hodnoty uvedené níže. Nastavení zařízení můžete nastavit při vytváření konfigurace zařízení (viz Přidat zařízení). Pokud potřebujete aktualizovat nastavení na stávajícím zařízení, můžete tak učinit vygenerováním nové konfigurace zařízení.
Všimněte si, že všechna zařízení mají stránku /settings/defaults, kde lze nakonfigurovat PersistentKeepalive.
PovolenéIPs = 10.3.2.2/32
Toto je IP nebo rozsah IP zařízení B
PersistentKeepalive = 25
Pokud je zařízení za NAT, zajišťuje to, že zařízení je schopno udržet tunel naživu a nadále přijímat pakety z rozhraní WireGuard. Obvykle je dostatečná hodnota 25, ale možná budete muset tuto hodnotu snížit v závislosti na vašem prostředí.
PovolenéIPs = 10.3.2.3/32
Toto je IP nebo rozsah IP zařízení A
PersistentKeepalive = 25
Tento příklad ukazuje situaci, ve které může zařízení A komunikovat se zařízeními B až D v obou směrech. Toto nastavení může představovat inženýra nebo správce přistupujícího k mnoha zdrojům (serverům, kontejnerům nebo strojům) v různých sítích.
[Architektonický diagram]<<<<<<<<<<<<<<<<<<<<<<<<<
Ujistěte se, že následující nastavení jsou v nastavení každého zařízení provedena na odpovídající hodnoty. Při vytváření konfigurace zařízení můžete zadat nastavení zařízení (viz Přidat zařízení). Pokud je třeba aktualizovat nastavení na stávajícím zařízení, lze vytvořit novou konfiguraci zařízení.
Povolené IP = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Toto je IP adresa zařízení B až D. IP adresy zařízení B až D musí být zahrnuty v jakémkoli rozsahu IP, který se rozhodnete nastavit.
PersistentKeepalive = 25
To zaručuje, že zařízení může udržovat tunel a nadále přijímat pakety z rozhraní WireGuard, i když je chráněno NAT. Ve většině případů je adekvátní hodnota 25, ale v závislosti na vašem okolí možná budete muset toto číslo snížit.
Firezone lze využít jako bránu NAT, abyste mohli nabídnout jedinou statickou výstupní IP pro veškerý provoz vašeho týmu. Tyto situace zahrnují jeho časté používání:
Konzultační zakázky: Požádejte svého zákazníka, aby na bílou listinu zařadil jedinou statickou IP adresu namísto jedinečné IP adresy zařízení každého zaměstnance.
Použití proxy nebo maskování vaší zdrojové IP pro účely zabezpečení nebo ochrany soukromí.
V tomto příspěvku bude demonstrován jednoduchý příklad omezení přístupu k webové aplikaci hostované ve vlastní režii na jedinou povolenou statickou IP adresu se spuštěnou Firezone. Na tomto obrázku jsou Firezone a chráněný zdroj v různých oblastech VPC.
Toto řešení se často používá místo správy seznamu povolených IP adres pro mnoho koncových uživatelů, což může být časově náročné, protože se seznam přístupů rozšiřuje.
Naším cílem je nastavit server Firezone na instanci EC2, aby přesměroval provoz VPN na omezený zdroj. V tomto případě Firezone slouží jako síťový proxy nebo NAT brána, která každému připojenému zařízení poskytuje jedinečnou veřejnou výstupní IP.
V tomto případě má instance EC2 s názvem tc2.micro nainstalovanou instanci Firezone. Informace o nasazení Firezone naleznete v příručce Deployment Guide. Pokud jde o AWS, ujistěte se, že:
Skupina zabezpečení instance Firezone EC2 povoluje odchozí provoz na IP adresu chráněného zdroje.
Instance Firezone přichází s elastickou IP adresou. Provoz, který je přesměrován přes instanci Firezone do vnějších cílů, bude mít tuto jako zdrojovou IP adresu. Dotyčná IP adresa je 52.202.88.54.
[Vložte snímek obrazovky]<<<<<<<<<<<<<<<<<<<<<<<<<<<
Jako chráněný zdroj v tomto případě slouží webová aplikace s vlastním hostitelem. K webové aplikaci lze přistupovat pouze prostřednictvím požadavků přicházejících z IP adresy 52.202.88.54. V závislosti na zdroji může být nutné povolit příchozí provoz na různých portech a typech provozu. Toto není zahrnuto v tomto návodu.
[Vložte snímek obrazovky]<<<<<<<<<<<<<<<<<<<<<<<<<<<
Sdělte prosím třetí straně odpovědné za chráněný zdroj, že provoz ze statické IP definované v kroku 1 musí být povolen (v tomto případě 52.202.88.54).
Ve výchozím nastavení bude veškerý uživatelský provoz procházet serverem VPN a bude pocházet ze statické adresy IP, která byla nakonfigurována v kroku 1 (v tomto případě 52.202.88.54). Pokud však bylo povoleno dělené tunelování, může být nutné provést nastavení, aby se zajistilo, že cílová IP chráněného zdroje je uvedena mezi povolenými IP adresami.
Níže je uveden úplný seznam možností konfigurace dostupných v /etc/firezone/firezone.rb.
volba | popis | výchozí hodnota |
výchozí['firezone']['external_url'] | Adresa URL použitá pro přístup k webovému portálu této instance Firezone. | “https://#{node['fqdn'] || node['hostname']}” |
default['firezone']['config_directory'] | Adresář nejvyšší úrovně pro konfiguraci Firezone. | /etc/firezone' |
default['firezone']['install_directory'] | Adresář nejvyšší úrovně pro instalaci Firezone. | /opt/firezone' |
default['firezone']['app_directory'] | Adresář nejvyšší úrovně pro instalaci webové aplikace Firezone. | “#{node['firezone']['install_directory']}/embedded/service/firezone” |
default['firezone']['log_directory'] | Adresář nejvyšší úrovně pro protokoly Firezone. | /var/log/firezone' |
default['firezone']['var_directory'] | Adresář nejvyšší úrovně pro soubory Firezone runtime. | /var/opt/firezone' |
default['firezone']['user'] | Jméno neprivilegovaného uživatele Linuxu, kterému bude patřit většina služeb a souborů. | firezone' |
default['firezone']['group'] | Název skupiny Linux, do které bude patřit většina služeb a souborů. | firezone' |
default['firezone']['admin_email'] | E-mailová adresa pro počátečního uživatele Firezone. | “firezone@localhost” |
výchozí['firezone']['max_devices_per_user'] | Maximální počet zařízení, která může uživatel mít. | 10 |
výchozí['firezone']['allow_unprivileged_device_management'] | Umožňuje uživatelům, kteří nejsou správci, vytvářet a mazat zařízení. | TRUE |
výchozí['firezone']['allow_unprivileged_device_configuration'] | Umožňuje uživatelům, kteří nejsou správci, upravovat konfigurace zařízení. Je-li zakázáno, zabraňuje nepřivilegovaným uživatelům měnit všechna pole zařízení kromě názvu a popisu. | TRUE |
výchozí['firezone']['egress_interface'] | Název rozhraní, kde bude tunelovaný provoz opouštět. Pokud je nula, použije se výchozí rozhraní trasy. | nula |
default['firezone']['fips_enabled'] | Povolit nebo zakázat režim OpenSSL FIPs. | nula |
default['firezone']['logging']['enabled'] | Povolit nebo zakázat protokolování napříč Firezone. Chcete-li protokolování zcela zakázat, nastavte na hodnotu false. | TRUE |
default['enterprise']['name'] | Název používaný kuchařskou knihou šéfkuchaře „podnik“. | firezone' |
default['firezone']['install_path'] | Instalační cesta používaná kuchařkou Chef 'enterprise'. Měl by být nastaven na stejnou hodnotu jako instalační_adresář výše. | node['firezone']['install_directory'] |
výchozí['firezone']['sysvinit_id'] | Identifikátor používaný v /etc/inittab. Musí to být jedinečná sekvence 1–4 znaků. | SUP' |
default['firezone']['authentication']['local']['enabled'] | Povolit nebo zakázat místní ověřování e-mailem/heslem. | TRUE |
default['firezone']['authentication']['auto_create_oidc_users'] | Automaticky vytvářet uživatele, kteří se poprvé přihlašují z OIDC. Zakázat, aby se prostřednictvím OIDC mohli přihlásit pouze stávající uživatelé. | TRUE |
default['firezone']['authentication']['disable_vpn_on_oidc_error'] | Zakažte VPN uživatele, pokud je zjištěna chyba při pokusu o obnovení tokenu OIDC. | NEPRAVDIVÉ |
default['firezone']['authentication']['oidc'] | OpenID Connect config, ve formátu {“provider” => [config…]} – viz Dokumentace OpenIDConnect pro příklady konfigurace. | {} |
default['firezone']['nginx']['enabled'] | Povolte nebo zakažte přibalený server nginx. | TRUE |
default['firezone']['nginx']['ssl_port'] | HTTPS naslouchací port. | 443 |
default['firezone']['nginx']['adresář'] | Adresář pro uložení konfigurace virtuálního hostitele nginx související s Firezone. | “#{node['firezone']['var_directory']}/nginx/etc” |
default['firezone']['nginx']['log_directory'] | Adresář pro ukládání souborů protokolu nginx souvisejících s Firezone. | “#{node['firezone']['log_directory']}/nginx” |
default['firezone']['nginx']['log_rotation']['file_maxbytes'] | Velikost souboru, při které se mají otočit soubory protokolu Nginx. | 104857600 |
default['firezone']['nginx']['log_rotation']['num_to_keep'] | Počet souborů protokolu Firezone nginx, které se mají uchovávat před zahozením. | 10 |
výchozí['firezone']['nginx']['log_x_forwarded_for'] | Zda se má logovat záhlaví Firezone nginx x-forwarded-for. | TRUE |
default['firezone']['nginx']['hsts_header']['enabled'] | TRUE | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | Povolte nebo zakažte includeSubDomains pro hlavičku HSTS. | TRUE |
default['firezone']['nginx']['hsts_header']['max_age'] | Maximální stáří hlavičky HSTS. | 31536000 |
default['firezone']['nginx']['redirect_to_canonical'] | Zda přesměrovat adresy URL na výše uvedený kanonický plně kvalifikovaný název domény | NEPRAVDIVÉ |
default['firezone']['nginx']['cache']['enabled'] | Povolte nebo zakažte mezipaměť Firezone nginx. | NEPRAVDIVÉ |
default['firezone']['nginx']['cache']['adresář'] | Adresář pro mezipaměť Firezone nginx. | “#{node['firezone']['var_directory']}/nginx/cache” |
default['firezone']['nginx']['user'] | Uživatel Firezone nginx. | node['firezone']['user'] |
default['firezone']['nginx']['group'] | Firezone nginx skupina. | node['firezone']['group'] |
default['firezone']['nginx']['dir'] | Konfigurační adresář nginx nejvyšší úrovně. | uzel['firezone']['nginx']['adresář'] |
default['firezone']['nginx']['log_dir'] | Adresář protokolu nejvyšší úrovně nginx. | node['firezone']['nginx']['log_directory'] |
default['firezone']['nginx']['pid'] | Umístění souboru pid nginx. | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
default['firezone']['nginx']['daemon_disable'] | Zakažte režim démona nginx, abychom jej mohli místo toho monitorovat. | TRUE |
default['firezone']['nginx']['gzip'] | Zapněte nebo vypněte kompresi nginx gzip. | na' |
default['firezone']['nginx']['gzip_static'] | Zapněte nebo vypněte kompresi nginx gzip pro statické soubory. | vypnuto' |
výchozí['firezone']['nginx']['gzip_http_version'] | Verze HTTP, která se má použít pro poskytování statických souborů. | 1.0 " |
výchozí['firezone']['nginx']['gzip_comp_level'] | úroveň komprese nginx gzip. | 2 " |
default['firezone']['nginx']['gzip_proxied'] | Povolí nebo zakáže gzipování odpovědí pro požadavky zaslané proxy v závislosti na požadavku a odpovědi. | žádný' |
default['firezone']['nginx']['gzip_vary'] | Povolí nebo zakáže vkládání záhlaví odpovědi „Vary: Accept-Encoding“. | vypnuto' |
default['firezone']['nginx']['gzip_buffers'] | Nastavuje počet a velikost vyrovnávacích pamětí použitých ke kompresi odpovědi. Pokud je nula, použije se výchozí nginx. | nula |
default['firezone']['nginx']['gzip_types'] | Typy MIME pro povolení komprese gzip. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
výchozí['firezone']['nginx']['gzip_min_length'] | Minimální délka souboru pro povolení komprese souboru gzip. | 1000 |
default['firezone']['nginx']['gzip_disable'] | User-agent matcher pro deaktivaci komprese gzip. | MSIE [1-6]\.' |
default['firezone']['nginx']['keepalive'] | Aktivuje mezipaměť pro připojení k upstream serverům. | na' |
default['firezone']['nginx']['keepalive_timeout'] | Časový limit v sekundách pro udržování připojení k upstream serverům. | 65 |
default['firezone']['nginx']['worker_processes'] | Počet pracovních procesů nginx. | node['cpu'] && node['cpu']['total'] ? node['cpu']['total'] : 1 |
default['firezone']['nginx']['worker_connections'] | Maximální počet současných připojení, která lze otevřít pracovním procesem. | 1024 |
default['firezone']['nginx']['worker_rlimit_nofile'] | Změní limit na maximální počet otevřených souborů pro pracovní procesy. Pokud je nula, použije výchozí nginx. | nula |
default['firezone']['nginx']['multi_accept'] | Zda mají pracovníci přijímat jedno připojení najednou nebo více. | TRUE |
default['firezone']['nginx']['event'] | Určuje metodu zpracování připojení, která se má použít v kontextu událostí nginx. | epoll' |
default['firezone']['nginx']['server_tokens'] | Povolí nebo zakáže vysílání verze nginx na chybových stránkách a v poli záhlaví odpovědi „Server“. | nula |
default['firezone']['nginx']['server_names_hash_bucket_size'] | Nastavuje velikost segmentu pro hašovací tabulky názvů serverů. | 64 |
default['firezone']['nginx']['sendfile'] | Povolí nebo zakáže použití sendfile() nginx. | na' |
default['firezone']['nginx']['access_log_options'] | Nastavuje možnosti protokolu přístupu nginx. | nula |
default['firezone']['nginx']['error_log_options'] | Nastavuje možnosti protokolu chyb nginx. | nula |
default['firezone']['nginx']['disable_access_log'] | Zakáže protokol přístupu nginx. | NEPRAVDIVÉ |
výchozí['firezone']['nginx']['types_hash_max_size'] | Maximální velikost hash typů nginx. | 2048 |
výchozí['firezone']['nginx']['types_hash_bucket_size'] | velikost kbelíku hash typů nginx. | 64 |
default['firezone']['nginx']['proxy_read_timeout'] | vypršel časový limit čtení nginx proxy. Chcete-li použít výchozí nastavení nginx, nastavte na nulu. | nula |
výchozí['firezone']['nginx']['client_body_buffer_size'] | velikost vyrovnávací paměti těla klienta nginx. Chcete-li použít výchozí nastavení nginx, nastavte na nulu. | nula |
výchozí['firezone']['nginx']['client_max_body_size'] | Maximální velikost těla klienta nginx. | 250 m' |
default['firezone']['nginx']['default']['modules'] | Zadejte další moduly nginx. | [] |
default['firezone']['nginx']['enable_rate_limiting'] | Povolit nebo zakázat omezení rychlosti nginx. | TRUE |
default['firezone']['nginx']['rate_limiting_zone_name'] | Název zóny omezení rychlosti Nginx. | firezone' |
default['firezone']['nginx']['rate_limiting_backoff'] | Ústup omezující rychlost Nginx. | 10 m' |
default['firezone']['nginx']['rate_limit'] | Limit sazby Nginx. | 10 r/s' |
default['firezone']['nginx']['ipv6'] | Umožněte nginx naslouchat požadavkům HTTP pro IPv6 kromě IPv4. | TRUE |
default['firezone']['postgresql']['enabled'] | Povolit nebo zakázat svázaný Postgresql. Chcete-li použít vlastní instanci Postgresql, nastavte na false a vyplňte níže uvedené možnosti databáze. | TRUE |
default['firezone']['postgresql']['username'] | Uživatelské jméno pro Postgresql. | node['firezone']['user'] |
default['firezone']['postgresql']['data_directory'] | Datový adresář Postgresql. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
default['firezone']['postgresql']['log_directory'] | Adresář protokolu Postgresql. | “#{node['firezone']['log_directory']}/postgresql” |
default['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Maximální velikost souboru protokolu Postgresql před otočením. | 104857600 |
default['firezone']['postgresql']['log_rotation']['num_to_keep'] | Počet souborů protokolu Postgresql, které se mají uchovávat. | 10 |
default['firezone']['postgresql']['checkpoint_completion_target'] | Cíl dokončení kontrolního bodu Postgresql. | 0.5 |
default['firezone']['postgresql']['checkpoint_segments'] | Počet segmentů kontrolního bodu Postgresql. | 3 |
default['firezone']['postgresql']['checkpoint_timeout'] | Vypršel časový limit kontrolního bodu Postgresql. | 5 minut' |
default['firezone']['postgresql']['checkpoint_warning'] | Doba varování kontrolního bodu Postgresql v sekundách. | 30. léta |
default['firezone']['postgresql']['effective_cache_size'] | Efektivní velikost mezipaměti Postgresql. | 128 MB' |
default['firezone']['postgresql']['listen_address'] | Adresa pro poslech Postgresql. | 127.0.0.1 " |
default['firezone']['postgresql']['max_connections'] | Maximální připojení Postgresql. | 350 |
default['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR pro umožnění md5 auth. | ['127.0.0.1/32', '::1/128'] |
default['firezone']['postgresql']['port'] | Postgresql naslouchací port. | 15432 |
default['firezone']['postgresql']['shared_buffers'] | Velikost sdílených vyrovnávacích pamětí Postgresql. | “#{(node['memory']['total'].to_i / 4) / 1024} MB” |
default['firezone']['postgresql']['shmmax'] | Postgresql shmmax v bajtech. | 17179869184 |
default['firezone']['postgresql']['shmall'] | Postgresql shmall v bajtech. | 4194304 |
default['firezone']['postgresql']['work_mem'] | Velikost pracovní paměti Postgresql. | 8 MB' |
default['firezone']['database']['user'] | Určuje uživatelské jméno, které bude Firezone používat pro připojení k DB. | node['firezone']['postgresql']['username'] |
default['firezone']['database']['password'] | Pokud používáte externí DB, určuje heslo, které Firezone použije pro připojení k DB. | Změň mě' |
default['firezone']['database']['name'] | Databáze, kterou bude Firezone používat. Bude vytvořen, pokud neexistuje. | firezone' |
default['firezone']['database']['host'] | Hostitel databáze, ke kterému se Firezone připojí. | node['firezone']['postgresql']['listen_address'] |
default['firezone']['database']['port'] | Databázový port, ke kterému se Firezone připojí. | node['firezone']['postgresql']['port'] |
default['firezone']['database']['pool'] | Velikost databáze, kterou Firezone použije. | [10, Atd.nprocesory].max |
default['firezone']['database']['ssl'] | Zda se má připojit k databázi přes SSL. | NEPRAVDIVÉ |
default['firezone']['database']['ssl_opts'] | {} | |
default['firezone']['database']['parameters'] | {} | |
default['firezone']['database']['extensions'] | Povolit rozšíření databáze. | { 'plpgsql' => true, 'pg_trgm' => true } |
default['firezone']['phoenix']['enabled'] | Povolte nebo zakažte webovou aplikaci Firezone. | TRUE |
default['firezone']['phoenix']['listen_address'] | Adresa pro naslouchání webové aplikace Firezone. Toto bude upstreamová naslouchací adresa, kterou nginx proxy používá. | 127.0.0.1 " |
default['firezone']['phoenix']['port'] | Port naslouchání webové aplikace Firezone. Toto bude upstream port, který nginx proxy používá. | 13000 |
default['firezone']['phoenix']['log_directory'] | Adresář protokolu webové aplikace Firezone. | “#{node['firezone']['log_directory']}/phoenix” |
default['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Velikost souboru protokolu webové aplikace Firezone. | 104857600 |
default['firezone']['phoenix']['log_rotation']['num_to_keep'] | Počet souborů protokolu webové aplikace Firezone, které se mají uchovávat. | 10 |
default['firezone']['phoenix']['crash_detection']['enabled'] | Povolí nebo zakáže spuštění webové aplikace Firezone, když je zjištěna chyba. | TRUE |
default['firezone']['phoenix']['external_trusted_proxy'] | Seznam důvěryhodných reverzních proxy naformátovaných jako pole IP a/nebo CIDR. | [] |
default['firezone']['phoenix']['private_clients'] | Seznam klientů HTTP privátní sítě ve formátu pole IP a/nebo CIDR. | [] |
default['firezone']['wireguard']['enabled'] | Povolí nebo zakáže přiloženou správu WireGuard. | TRUE |
default['firezone']['wireguard']['log_directory'] | Adresář protokolu pro přibalenou správu WireGuard. | “#{node['firezone']['log_directory']}/wireguard” |
default['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Maximální velikost souboru protokolu WireGuard. | 104857600 |
default['firezone']['wireguard']['log_rotation']['num_to_keep'] | Počet souborů protokolu WireGuard, které se mají uchovávat. | 10 |
default['firezone']['wireguard']['interface_name'] | Název rozhraní WireGuard. Změna tohoto parametru může způsobit dočasnou ztrátu připojení VPN. | wg-firezone' |
default['firezone']['wireguard']['port'] | Port pro naslouchání WireGuard. | 51820 |
default['firezone']['wireguard']['mtu'] | Rozhraní WireGuard MTU pro tento server a pro konfigurace zařízení. | 1280 |
default['firezone']['wireguard']['endpoint'] | WireGuard Endpoint k použití pro generování konfigurací zařízení. Pokud je nula, použije se jako výchozí veřejná IP adresa serveru. | nula |
default['firezone']['wireguard']['dns'] | WireGuard DNS k použití pro generované konfigurace zařízení. | 1.1.1.1, 1.0.0.1′ |
default['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs používat pro generované konfigurace zařízení. | 0.0.0.0/0, ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | Výchozí nastavení PersistentKeepalive pro generované konfigurace zařízení. Hodnota 0 deaktivuje. | 0 |
default['firezone']['wireguard']['ipv4']['enabled'] | Povolte nebo zakažte IPv4 pro síť WireGuard. | TRUE |
default['firezone']['wireguard']['ipv4']['masquerade'] | Povolí nebo zakáže maškarádu pro pakety opouštějící tunel IPv4. | TRUE |
default['firezone']['wireguard']['ipv4']['network'] | Fond adres IPv4 sítě WireGuard. | 10.3.2.0 / 24 ' |
default['firezone']['wireguard']['ipv4']['address'] | Adresa IPv4 rozhraní WireGuard. Musí být v rámci fondu adres WireGuard. | 10.3.2.1 " |
default['firezone']['wireguard']['ipv6']['enabled'] | Povolte nebo zakažte IPv6 pro síť WireGuard. | TRUE |
default['firezone']['wireguard']['ipv6']['masquerade'] | Povolí nebo zakáže maškarádu pro pakety opouštějící tunel IPv6. | TRUE |
default['firezone']['wireguard']['ipv6']['network'] | Fond adres IPv6 sítě WireGuard. | fd00::3:2:0/120′ |
default['firezone']['wireguard']['ipv6']['address'] | Adresa IPv6 rozhraní WireGuard. Musí být v rámci fondu adres IPv6. | fd00::3:2:1′ |
default['firezone']['runit']['svlogd_bin'] | Spusťte skladové místo svlogd. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
default['firezone']['ssl']['adresář'] | Adresář SSL pro ukládání vygenerovaných certifikátů. | /var/opt/firezone/ssl' |
default['firezone']['ssl']['email_address'] | E-mailová adresa, která se má použít pro certifikáty s vlastním podpisem a oznámení o obnovení protokolu ACME. | vy@example.com' |
default['firezone']['ssl']['acme']['enabled'] | Povolte ACME pro automatické poskytování certifikátů SSL. Toto deaktivujte, aby Nginx nenaslouchal na portu 80. Viz zde pro další pokyny. | NEPRAVDIVÉ |
default['firezone']['ssl']['acme']['server'] | letsencrypt | |
default['firezone']['ssl']['acme']['keylength'] | ec-256 | |
default['firezone']['ssl']['certificate'] | Cesta k souboru certifikátu pro váš FQDN. Přepíše výše uvedené nastavení ACME, pokud je zadáno. Pokud jsou ACME i toto nulové, vygeneruje se certifikát s vlastním podpisem. | nula |
default['firezone']['ssl']['certificate_key'] | Cesta k souboru certifikátu. | nula |
default['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nula |
default['firezone']['ssl']['country_name'] | Název země pro certifikát s vlastním podpisem. | NÁS' |
default['firezone']['ssl']['state_name'] | Uveďte název vlastnoručně podepsaného certifikátu. | CA ' |
default['firezone']['ssl']['locality_name'] | Název lokality pro certifikát s vlastním podpisem. | San Francisco' |
default['firezone']['ssl']['company_name'] | Název společnosti vlastnoručně podepsaný certifikát. | Moje společnost' |
default['firezone']['ssl']['organizational_unit_name'] | Název organizační jednotky pro certifikát s vlastním podpisem. | operace' |
default['firezone']['ssl']['ciphers'] | SSL šifry pro nginx k použití. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default['firezone']['ssl']['fips_ciphers'] | Šifry SSL pro režim FIPs. | FIPS@STRENGTH:!aNULL:!eNULL' |
default['firezone']['ssl']['protocols'] | Používat protokoly TLS. | TLSv1 TLSv1.1 TLSv1.2′ |
default['firezone']['ssl']['session_cache'] | Mezipaměť relace SSL. | sdíleno:SSL:4m' |
default['firezone']['ssl']['session_timeout'] | Časový limit relace SSL vypršel. | 5 m' |
výchozí['firezone']['robots_allow'] | roboti nginx umožňují. | /' |
default['firezone']['robots_disallow'] | nginx roboti zakázat. | nula |
default['firezone']['outbound_email']['from'] | Odchozí e-mail z adresy. | nula |
default['firezone']['outbound_email']['poskytovatel'] | Poskytovatel odchozích e-mailových služeb. | nula |
default['firezone']['outbound_email']['configs'] | Konfigurace poskytovatele odchozích e-mailů. | viz omnibus/cookbooks/firezone/attributes/default.rb |
default['firezone']['telemetry']['enabled'] | Povolit nebo zakázat anonymní telemetrii produktu. | TRUE |
default['firezone']['connectivity_checks']['enabled'] | Povolte nebo zakažte službu kontroly připojení Firezone. | TRUE |
default['firezone']['connectivity_checks']['interval'] | Interval mezi kontrolami připojení v sekundách. | 3_600 |
________________________________________________________________
Zde najdete seznam souborů a adresářů souvisejících s typickou instalací Firezone. Ty se mohou změnit v závislosti na změnách vašeho konfiguračního souboru.
cesta | popis |
/var/opt/firezone | Adresář nejvyšší úrovně obsahující data a vygenerovanou konfiguraci pro balíčky služeb Firezone. |
/opt/firezone | Adresář nejvyšší úrovně obsahující vestavěné knihovny, binární soubory a soubory runtime potřebné pro Firezone. |
/usr/bin/firezone-ctl | nástroj firezone-ctl pro správu vaší instalace Firezone. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd unit soubor pro spuštění procesu dohledu Firezone runningvdir. |
/etc/firezone | Konfigurační soubory Firezone. |
__________________________________________________________
Tato stránka byla v dokumentech prázdná
_____________________________________________________________
Následující šablonu brány firewall nftables lze použít k zabezpečení serveru, na kterém běží Firezone. Šablona vytváří určité předpoklady; možná budete muset upravit pravidla tak, aby vyhovovala vašemu případu použití:
Firezone konfiguruje svá vlastní pravidla nftables tak, aby povolovala/odmítala provoz do cílů nakonfigurovaných ve webovém rozhraní a zpracovávala odchozí NAT pro klientský provoz.
Použití níže uvedené šablony brány firewall na již spuštěný server (nikoli při spouštění) povede k vymazání pravidel Firezone. To může mít bezpečnostní důsledky.
Chcete-li to obejít, restartujte službu phoenix:
firezone-ctl restart fénixe
#!/usr/sbin/nft -f
## Vymazat/vyprázdnit všechna existující pravidla
splachovací pravidla
################################ PROMĚNNÉ ################# ################
## Název internetového/WAN rozhraní
definovat DEV_WAN = eth0
## Název rozhraní WireGuard
definovat DEV_WIREGUARD = wg-firezone
## Naslouchací port WireGuard
definovat WIREGUARD_PORT = 51820
############################## KONEC PROMĚNNÝCH ################## #############
# Hlavní filtrovací tabulka rodiny inet
tabulka inet filtr {
# Pravidla pro přesměrovaný provoz
# Tento řetězec je zpracován před dopředným řetězcem Firezone
řetěz vpřed {
typ filtru háček dopředný prioritní filtr – 5; politiku přijmout
}
# Pravidla pro vstupní provoz
řetězový vstup {
typ filter hook input priority filter; pokles politiky
## Povolit příchozí provoz do rozhraní zpětné smyčky
iif lo \
akceptovat \
komentář „Povolit veškerý provoz z rozhraní zpětné smyčky“
## Povolit navázaná a související připojení
ct stav zaveden, související \
akceptovat \
komentář "Povolit navázaná/související připojení"
## Povolit příchozí provoz WireGuard
IIF $DEV_WAN udp dport $WIREGUARD_PORT \
počítadlo \
akceptovat \
komentář „Povolit příchozí provoz WireGuard“
## Zaznamenejte a zahoďte nové TCP non-SYN pakety
příznaky tcp != stav synchronizace nový \
limitní sazba 100/minutový výboj 150 balíčky \
prefix protokolu "IN - Novinka !SYN: " \
komentář "Protokolování rychlostního limitu pro nová připojení, která nemají nastaven příznak SYN TCP"
příznaky tcp != stav synchronizace nový \
počítadlo \
pokles \
komentář „Zrušte nová připojení, která nemají nastaven příznak SYN TCP“
## Log and drop TCP pakety s neplatným nastaveným příznakem fin/syn
tcp příznaky & (fin|syn) == (fin|syn) \
limitní sazba 100/minutový výboj 150 balíčky \
prefix protokolu „IN – TCP FIN|SIN: “ \
komentář „Protokolování limitu rychlosti pro pakety TCP s neplatným nastaveným příznakem fin/syn“
tcp příznaky & (fin|syn) == (fin|syn) \
počítadlo \
pokles \
komentář „Zahoďte pakety TCP s neplatným nastaveným příznakem fin/syn“
## Zaznamenat a zahodit TCP pakety s neplatným nastaveným příznakem syn/rst
tcp příznaky & (syn|rst) == (syn|rst) \
limitní sazba 100/minutový výboj 150 balíčky \
prefix protokolu “IN – TCP SYN|RST: “ \
komentář „Protokolování limitu rychlosti pro pakety TCP s neplatným nastaveným příznakem syn/rst“
tcp příznaky & (syn|rst) == (syn|rst) \
počítadlo \
pokles \
komentář „Zahoďte pakety TCP s neplatným nastaveným příznakem syn/rst“
## Zaznamenejte a odstraňte neplatné příznaky TCP
tcp příznaky & (fin|syn|rst|psh|ack|urg) < (fin) \
limitní sazba 100/minutový výboj 150 balíčky \
prefix protokolu „IN – FIN:“ \
komentář “Protokolování rychlostního limitu pro neplatné TCP příznaky (fin|syn|rst|psh|ack|urg) < (fin)”
tcp příznaky & (fin|syn|rst|psh|ack|urg) < (fin) \
počítadlo \
pokles \
komentář “Zahoďte TCP pakety s příznaky (fin|syn|rst|psh|ack|urg) < (fin)”
## Zaznamenejte a odstraňte neplatné příznaky TCP
tcp příznaky & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
limitní sazba 100/minutový výboj 150 balíčky \
prefix protokolu „IN – FIN|PSH|URG:“ \
komentář “Protokolování rychlostního limitu pro neplatné příznaky TCP (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
tcp příznaky & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
počítadlo \
pokles \
komentář “Zrušte pakety TCP s příznaky (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
## Pokles provozu s neplatným stavem připojení
ct stav neplatný \
limitní sazba 100/minutový výboj 150 balíčky \
log označuje všechny předpony „IN – Neplatné: “ \
komentář „Protokolování rychlostního limitu pro provoz s neplatným stavem připojení“
ct stav neplatný \
počítadlo \
pokles \
komentář „Pokles provozu s neplatným stavem připojení“
## Povolit IPv4 ping/ping odpovědi, ale rychlost limitu na 2000 PPS
ip protokol icmp icmp typ { echo-reply, echo-request } \
limitní sazba 2000/druhý \
počítadlo \
akceptovat \
komentář „Povolit příchozí IPv4 echo (ping) omezeno na 2000 PPS“
## Povolit všechny ostatní příchozí IPv4 ICMP
ip protokol icmp \
počítadlo \
akceptovat \
komentář „Povolit všechny ostatní IPv4 ICMP“
## Povolit IPv6 ping/ping odpovědi, ale rychlost limitu na 2000 PPS
icmpv6 type { echo-reply, echo-request } \
limitní sazba 2000/druhý \
počítadlo \
akceptovat \
komentář „Povolit příchozí IPv6 echo (ping) omezeno na 2000 PPS“
## Povolit všechny ostatní příchozí IPv6 ICMP
meta l4proto { icmpv6 } \
počítadlo \
akceptovat \
komentář „Povolit všechny ostatní IPv6 ICMP“
## Povolit příchozí porty traceroute UDP, ale omezit na 500 PPS
udp dport 33434-33524 \
limitní sazba 500/druhý \
počítadlo \
akceptovat \
komentář „Povolit příchozí trasovací směr UDP omezený na 500 PPS“
## Povolit příchozí SSH
tcp dport ssh ct stav nový \
počítadlo \
akceptovat \
komentář „Povolit příchozí připojení SSH“
## Povolit příchozí HTTP a HTTPS
tcp dport { http, https } stav ct nový \
počítadlo \
akceptovat \
komentář „Povolit příchozí připojení HTTP a HTTPS“
## Zaznamenejte veškerý nesrovnatelný provoz, ale rychlost protokolování omezte na maximálně 60 zpráv/minutu
## Na neodpovídající provoz se použije výchozí zásada
limitní sazba 60/minutový výboj 100 balíčky \
prefix protokolu „IN – Drop:“ \
komentář „Zaznamenejte veškerý nepřekonatelný provoz“
## Počítejte bezkonkurenční provoz
počítadlo \
komentář „Spočítejte veškerý nepřekonatelný provoz“
}
# Pravidla pro výstupní provoz
řetězový výstup {
typ filtru háček výstupní prioritní filtr; pokles politiky
## Povolit odchozí provoz do rozhraní zpětné smyčky
oif lo \
akceptovat \
komentář „Povolit veškerý provoz do rozhraní zpětné smyčky“
## Povolit navázaná a související připojení
ct stav zaveden, související \
počítadlo \
akceptovat \
komentář "Povolit navázaná/související připojení"
## Před přerušením připojení ve špatném stavu povolte odchozí provoz WireGuard
oif $DEV_WAN udp sport $WIREGUARD_PORT \
počítadlo \
akceptovat \
komentář „Povolit odchozí provoz WireGuard“
## Pokles provozu s neplatným stavem připojení
ct stav neplatný \
limitní sazba 100/minutový výboj 150 balíčky \
log označuje všechny předpony “OUT – Neplatné: “ \
komentář „Protokolování rychlostního limitu pro provoz s neplatným stavem připojení“
ct stav neplatný \
počítadlo \
pokles \
komentář „Pokles provozu s neplatným stavem připojení“
## Povolit všechny ostatní odchozí IPv4 ICMP
ip protokol icmp \
počítadlo \
akceptovat \
komentář „Povolit všechny typy IPv4 ICMP“
## Povolit všechny ostatní odchozí IPv6 ICMP
meta l4proto { icmpv6 } \
počítadlo \
akceptovat \
komentář „Povolit všechny typy IPv6 ICMP“
## Povolit odchozí traceroute UDP porty, ale omezit na 500 PPS
udp dport 33434-33524 \
limitní sazba 500/druhý \
počítadlo \
akceptovat \
komentář „Povolit odchozí trasovací směr UDP omezený na 500 PPS“
## Povolit odchozí připojení HTTP a HTTPS
tcp dport { http, https } stav ct nový \
počítadlo \
akceptovat \
komentář „Povolit odchozí připojení HTTP a HTTPS“
## Povolit odchozí odeslání SMTP
tcp dport odeslání ct stav nový \
počítadlo \
akceptovat \
komentář „Povolit odchozí odeslání SMTP“
## Povolit odchozí požadavky DNS
udp dport 53 \
počítadlo \
akceptovat \
komentář „Povolit odchozí požadavky DNS UDP“
tcp dport 53 \
počítadlo \
akceptovat \
komentář „Povolit odchozí požadavky TCP DNS“
## Povolit odchozí požadavky NTP
udp dport 123 \
počítadlo \
akceptovat \
komentář „Povolit odchozí požadavky NTP“
## Zaznamenejte veškerý nesrovnatelný provoz, ale rychlost protokolování omezte na maximálně 60 zpráv/minutu
## Na neodpovídající provoz se použije výchozí zásada
limitní sazba 60/minutový výboj 100 balíčky \
prefix protokolu „OUT – Drop:“ \
komentář „Zaznamenejte veškerý nepřekonatelný provoz“
## Počítejte bezkonkurenční provoz
počítadlo \
komentář „Spočítejte veškerý nepřekonatelný provoz“
}
}
# Hlavní tabulka filtrování NAT
tabulka inet nat {
# Pravidla pro předběžné směrování provozu NAT
řetězové předsměrování {
typ nat hook prerouting priority dstnat; politiku přijmout
}
# Pravidla pro následné směrování provozu NAT
# Tato tabulka je zpracována před řetězcem po směrování Firezone
řetězové posměrování {
zadejte prioritu postroutingu nat hook srcnat – 5; politiku přijmout
}
}
Firewall by měl být uložen v příslušném umístění pro distribuci Linuxu, která běží. Pro Debian/Ubuntu je to /etc/nftables.conf a pro RHEL je to /etc/sysconfig/nftables.conf.
nftables.service bude nutné nakonfigurovat tak, aby se spouštěl při spuštění (pokud již není):
systemctl povolit nftables.service
Při provádění jakýchkoli změn v šabloně brány firewall lze syntaxi ověřit spuštěním příkazu check:
nft -f /cesta/k/nftables.conf -c
Ujistěte se, že firewall funguje podle očekávání, protože některé funkce nftables nemusí být dostupné v závislosti na verzi běžící na serveru.
_______________________________________________________________
Tento dokument představuje přehled telemetrie, kterou Firezone shromažďuje z vaší vlastní hostované instance, a jak ji zakázat.
Požární zóna spoléhá na telemetrii, abychom upřednostnili naši cestovní mapu a optimalizovali inženýrské zdroje, které máme k tomu, aby byla Firezone lepší pro všechny.
Cílem telemetrie, kterou shromažďujeme, je odpovědět na následující otázky:
Ve Firezone jsou tři hlavní místa, kde se telemetrie shromažďuje:
V každém z těchto tří kontextů zachycujeme minimální množství dat nezbytné k zodpovězení otázek v části výše.
E-maily administrátorů se shromažďují pouze v případě, že se výslovně přihlásíte k odběru aktualizací produktu. V opačném případě se jedná o osobní údaje nikdy shromážděny.
Firezone ukládá telemetrii v samostatně hostované instanci PostHog spuštěné v soukromém clusteru Kubernetes, ke kterému má přístup pouze tým Firezone. Zde je příklad telemetrické události, která je odeslána z vaší instance Firezone na náš telemetrický server:
{
„ID“: “0182272d-0b88-0000-d419-7b9a413713f1”,
"časové razítko": “2022-07-22T18:30:39.748000+00:00”,
"událost": "fz_http_started",
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"vlastnosti": {
„$geoip_city_name“: "Ashburn",
„$geoip_continent_code“: "NA",
„$geoip_continent_name“: "Severní Amerika",
„$geoip_country_code“: "NÁS",
„$geoip_country_name“: "Spojené státy",
"$geoip_latitude": 39.0469,
„$geoip_longitude“: -77.4903,
„$geoip_postal_code“: "20149",
„$geoip_subdivision_1_code“: "VA",
„$geoip_subdivision_1_name“: "Virginie",
„$geoip_time_zone“: “Amerika/New_York”,
„$ip“: "52.200.241.107",
“$plugins_deferred”[]
“$plugins_failed”[]
“$plugins_succeeded”: [
"GeoIP (3)"
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"verze_kernelu": "linux 5.13.0",
"verze": "0.4.6"
},
"elements_chain": ""
}
POZNÁMKA
Vývojový tým Firezone spoléhá na analýzu produktů, aby byla Firezone lepší pro všechny. Ponechání zapnuté telemetrie je tím nejcennějším, co můžete přispět k rozvoji Firezone. Chápeme však, že někteří uživatelé mají vyšší požadavky na soukromí nebo zabezpečení a raději by telemetrii úplně zakázali. Pokud jste to vy, pokračujte ve čtení.
Telemetrie je ve výchozím nastavení povolena. Chcete-li telemetrii produktu úplně zakázat, nastavte v /etc/firezone/firezone.rb následující konfigurační volbu na hodnotu false a spusťte sudo firezone-ctl reconfigure, aby se změny projevily.
výchozí['firezone']['telemetrie']['povoleno'] = nepravdivý
To zcela zakáže veškerou telemetrii produktu.
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
E-mail: info@hailbytes.com
