מעניו
שריט-דורך-שריט ינסטראַקשאַנז פֿאַר דיפּלויינג Hailbytes VPN מיט Firezone GUI זענען צוגעשטעלט דאָ.
אַדמיניסטרירן: באַשטעטיקן די סערווירער בייַשפּיל איז גלייַך שייך צו דעם טייל.
באַניצער גוידעס: נוציק דאָקומענטן וואָס קענען לערנען איר ווי צו נוצן Firezone און סאָלווע טיפּיש פּראָבלעמס. נאָך די סערווער איז הצלחה דיפּלויד, אָפּשיקן צו דעם אָפּטיילונג.
שפּאַלטן טוננעל: ניצן די VPN בלויז צו שיקן פאַרקער צו ספּעציפיש IP ריינדזשאַז.
ווייטליסטינג: באַשטעטיק די סטאַטיק IP אַדרעס פון אַ VPN סערווער צו נוצן ווייטליסטינג.
פאַרקערט טאַנאַלז: שאַפֿן טאַנאַלז צווישן עטלעכע פּירז ניצן פאַרקערט טאַנאַלז.
מיר זענען צופרידן צו אַרוישעלפן איר אויב איר דאַרפֿן הילף צו ינסטאַלירן, קאַסטאַמייז אָדער נוצן Hailbytes VPN.
איידער יוזערז קענען פּראָדוצירן אָדער אראפקאפיע מיטל קאַנפיגיעריישאַן טעקעס, Firezone קענען זיין קאַנפיגיערד צו דאַרפן אָטענטאַקיישאַן. יוזערז קען אויך דאַרפֿן צו פּיריאַדיקלי שייַעך-אָטענטאַקייט צו האַלטן זייער וופּן קשר אַקטיוו.
כאָטש Firezone ס פעליקייַט לאָגין אופֿן איז היגע E- בריוו און פּאַראָל, עס קענען אויך זיין ינאַגרייטיד מיט קיין סטאַנדערדייזד OpenID Connect (OIDC) אידענטיטעט שפּייַזער. יוזערז קענען איצט קלאָץ אין Firezone ניצן זייער Okta, Google, Azure AD אָדער פּריוואַט אידענטיטעט שפּייַזער קראַדענטשאַלז.
ויסשטימען אַ גענעריק OIDC פּראַוויידער
די קאַנפיגיעריישאַן פּאַראַמעטערס דארף דורך Firezone צו לאָזן SSO ניצן אַן OIDC שפּייַזער זענען געוויזן אין דעם בייַשפּיל אונטן. אין /etc/firezone/firezone.rb, איר קען געפֿינען די קאַנפיגיעריישאַן טעקע. לויפן Firezone-ctl רעקאָנפיגורע און Firezone-ctl ריסטאַרט צו דערהייַנטיקן די אַפּלאַקיישאַן און נעמען ווירקונג פון ענדערונגען.
# דאָס איז אַ ביישפּיל מיט Google און Okta ווי אַן SSO אידענטיטעט שפּייַזער.
# קייפל OIDC קאַנפיגיעריישאַנז קענען זיין מוסיף צו דער זעלביקער Firezone בייַשפּיל.
# Firezone קענען דיסייבאַל אַ וופּן פון אַ באַניצער אויב עס איז קיין טעות דיטעקטאַד
# צו דערפרישן זייער אַקסעס_טאָקען. דאָס איז וועראַפייד צו אַרבעטן פֿאַר Google, Okta און
# Azure SSO און איז געניצט צו אויטאָמאַטיש דיסקאַנעקט אַ וופּן פון אַ באַניצער אויב זיי זענען אַוועקגענומען
# פֿון די OIDC שפּייַזער. לאָזן דעם פאַרקריפּלט אויב דיין OIDC שפּייַזער
# האט ישוז רעפרעשינג אַקסעס טאָקענס ווייַל עס קען אומגעריכט יבעררייַסן אַ
# וופּן סעסיע פון באַניצער.
פעליקייַט['firezone']['authentication']['disable_vpn_on_oidc_error'] = פאַלש
default['firezone']['authentication']['oidc'] = {
גוגל: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
ענטפער_טיפּ: "קאָד",
scope: "אָפּענעד בליצפּאָסט פּראָפיל",
פירמע: "גוגל"
},
okta: {
discovery_document_uri: "https:// /.well-known/openid-configuration",
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
ענטפער_טיפּ: "קאָד",
scope: "אָפּענעד בליצפּאָסט פּראָפיל אָפפלינע_אַקסעס",
פירמע: "אָקטאַ"
}
}
די פאלגענדע קאַנפיגיעריישאַן סעטטינגס זענען פארלאנגט פֿאַר די ינאַגריישאַן:
פֿאַר יעדער OIDC שפּייַזער אַ קאָראַספּאַנדינג שיין URL איז באשאפן פֿאַר רידערעקטינג צו די קאַנפיגיערד שפּייַזער ס צייכן-אין URL. פֿאַר די ביישפּיל OIDC קאַנפיגיעריישאַן אויבן, די URL ס זענען:
פּראַוויידערז מיר האָבן דאַקיומענטיישאַן פֿאַר:
אויב דיין אידענטיטעט שפּייַזער האט אַ דזשאַנעריק OIDC קאַנעקטער און איז נישט ליסטעד אויבן, ביטע גיין צו זייער דאַקיומענטיישאַן פֿאַר אינפֿאָרמאַציע וועגן ווי צו צוריקקריגן די נייטיק קאַנפיגיעריישאַן סעטטינגס.
די באַשטעטיקן אונטער סעטטינגס / זיכערהייט קענען זיין פארענדערט צו דאַרפן פּעריאָדיש שייַעך-אָטענטאַקיישאַן. דאָס קענען זיין גענוצט צו דורכפירן די פאָדערונג אַז יוזערז אַרייַן Firezone אויף אַ רעגולער יקער אין סדר צו פאָרזעצן זייער וופּן סעסיע.
די סעסיע לענג קענען זיין קאַנפיגיערד צו זיין צווישן איין שעה און נייַנציק טעג. דורך באַשטעטיקן דעם צו קיינמאָל, איר קענען געבן VPN סעשאַנז אין קיין צייט. דאָס איז דער נאָרמאַל.
א באַניצער מוזן פאַרענדיקן זייער וופּן סעסיע און קלאָץ אין צו די Firezone טויער אין סדר צו שייַעך-אָטענטאַקייט אַ אויסגעגאנגען וופּן סעסיע (URL ספּעסיפיעד בעשאַס דיפּלוימאַנט).
איר קענען שייַעך-אָטענטאַקייט דיין סעסיע דורך נאָכפאָלגן די גענוי קליענט ינסטראַקשאַנז געפֿונען דאָ.
סטאַטוס פון VPN קאַנעקשאַן
די VPN קאַנעקשאַן טיש זייַל פון די יוזערז בלאַט דיספּלייז אַ באַניצער ס קשר סטאַטוס. דאס זענען די קשר סטאַטוס:
ENABLED - די קשר איז ענייבאַלד.
פאַרקריפּלט - די קשר איז פאַרקריפּלט דורך אַ אַדמיניסטראַטאָר אָדער OIDC דערפרישן דורכפאַל.
EXPIRED - דער קשר איז פאַרקריפּלט רעכט צו אָטענטאַקיישאַן עקספּעריישאַן אָדער אַ באַניצער האט נישט געחתמעט אין פֿאַר די ערשטער מאָל.
דורך די אַלגעמיינע OIDC קאַנעקטער, Firezone ינייבאַלז איין צייכן-אויף (SSO) מיט Google וואָרקספּאַסע און קלאָוד אידענטיטעט. דער פירער וועט ווייַזן איר ווי צו באַקומען די קאַנפיגיעריישאַן פּאַראַמעטערס ליסטעד אונטן, וואָס זענען נייטיק פֿאַר די ינאַגריישאַן:
1. OAuth Config סקרין
אויב דאָס איז דער ערשטער מאָל איר שאַפֿן אַ נייַע OAuth קליענט שייַן, איר וועט זיין געבעטן צו קאַנפיגיער אַ צושטימען פאַרשטעלן.
* סעלעקט אינערלעכער פֿאַר באַניצער טיפּ. דאָס ינשורז בלויז אַקאַונץ וואָס געהערן צו יוזערז אין דיין Google וואָרקספּאַסע אָרגאַניזאַציע קענען שאַפֿן מיטל קאַנפיגיעריישאַנז. צי ניט סעלעקטירן פונדרויסנדיק סייַדן איר ווילן צו געבן ווער עס יז מיט אַ גילטיק Google אַקאַונט צו שאַפֿן מיטל קאַנפיגיעריישאַנז.
אויף די אַפּ אינפֿאָרמאַציע פאַרשטעלן:
2. שאַפֿן OAuth קליענט ידס
דער אָפּטיילונג איז באזירט אויף Google ס אייגענע דאַקיומענטיישאַן אויף באַשטעטיקן OAuth 2.0.
באַזוכן די Google קלאָוד קאַנסאָול קראַדענטשאַלז בלאַט בלאַט, גיט + שאַפֿן קראַדענטשאַלז און סעלעקטירן OAuth קליענט שייַן.
אויף די שאַפונג פאַרשטעלן פון OAuth קליענט שייַן:
נאָך קריייטינג די OAuth קליענט שייַן, איר וועט באַקומען אַ קליענט שייַן און קליענט סוד. די וועט זיין געוויינט צוזאַמען מיט די רידערעקט URI אין דער ווייַטער שריט.
ויסרעדאַגירן /etc/firezone/firezone.rb צו אַרייַננעמען די אָפּציעס אונטן:
# ניצן Google ווי די SSO אידענטיטעט שפּייַזער
default['firezone']['authentication']['oidc'] = {
גוגל: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
ענטפער_טיפּ: "קאָד",
scope: "אָפּענעד בליצפּאָסט פּראָפיל",
פירמע: "גוגל"
}
}
לויפן Firezone-ctl רעקאָנפיגורע און Firezone-ctl ריסטאַרט צו דערהייַנטיקן די אַפּלאַקיישאַן. איר זאָל איצט זען אַ צייכן אין מיט Google קנעפּל אין דער וואָרצל Firezone URL.
Firezone ניצט די דזשאַנעריק OIDC קאַנעקטער צו פאַסילאַטייט איין צייכן-אויף (SSO) מיט Okta. דער טוטאָריאַל וועט ווייַזן איר ווי צו באַקומען די קאַנפיגיעריישאַן פּאַראַמעטערס ליסטעד אונטן, וואָס זענען נייטיק פֿאַר די ינאַגריישאַן:
דער אָפּטיילונג פון דער פירער איז באזירט אויף Okta ס דאַקיומענטיישאַן.
אין די אַדמיניסטראַטאָר קאַנסאָול, גיין צו אַפּפּליקאַטיאָנס > אַפּפּליקאַטיאָנס און גיט שאַפֿן אַפּ ינטעגראַטיאָן. שטעלן די לאָגין אופֿן צו OICD - OpenID Connect און אַפּפּליקאַטיאָן טיפּ צו וועב אַפּלאַקיישאַן.
קאַנפיגיער די סעטטינגס:
אַמאָל סעטטינגס זענען געראטעוועט, איר וועט באַקומען אַ קליענט שייַן, קליענט סוד און Okta דאָמאַין. די 3 וואַלועס וועט זיין געוויינט אין סטעפּ 2 צו קאַנפיגיער Firezone.
ויסרעדאַגירן /etc/firezone/firezone.rb צו אַרייַננעמען די אָפּציעס אונטן. דיין discovery_document_url וועט זיין /. געזונט-באקאנט / אָפּעניד-קאַנפיגיעריישאַן צוגעלייגט צו די סוף פון דיין okta_domain.
# ניצן Okta ווי די SSO אידענטיטעט שפּייַזער
default['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri: "https:// /.well-known/openid-configuration",
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
ענטפער_טיפּ: "קאָד",
scope: "אָפּענעד בליצפּאָסט פּראָפיל אָפפלינע_אַקסעס",
פירמע: "אָקטאַ"
}
}
לויפן Firezone-ctl רעקאָנפיגורע און Firezone-ctl ריסטאַרט צו דערהייַנטיקן די אַפּלאַקיישאַן. איר זאָל איצט זען אַ צייכן אין מיט Okta קנעפּל אין דער וואָרצל Firezone URL.
די יוזערז וואָס קענען אַקסעס די Firezone אַפּ קענען זיין לימיטעד דורך Okta. גיין צו דיין Okta Admin Console's Firezone אַפּ ינטעגראַטיאָן ס אַסיינמאַנץ בלאַט צו ויספירן דעם.
דורך די דזשאַנעריק OIDC קאַנעקטער, Firezone ינייבאַלז איין צייכן-אויף (SSO) מיט Azure Active Directory. דער מאַנואַל וועט ווייַזן איר ווי צו באַקומען די קאַנפיגיעריישאַן פּאַראַמעטערס ליסטעד אונטן, וואָס זענען נייטיק פֿאַר די ינאַגריישאַן:
דעם וועגווייַזער איז ציען פֿון די Azure Active Directory דאָקס.
גיין צו די Azure Active Directory בלאַט פון די Azure טויער. קלייַבן די אויפֿפּאַסן מעניו אָפּציע, סעלעקטירן ניו פאַרשרייבונג, און פאַרשרייַבן דורך צושטעלן די אינפֿאָרמאַציע אונטן:
נאָך רעדזשיסטערינג, עפֿענען די דעטאַילס מיינונג פון די אַפּלאַקיישאַן און נאָכמאַכן די אַפּפּליקאַטיאָן (קליענט) שייַן. דאָס וועט זיין די client_id ווערט. ווייַטער, עפֿענען די ענדפּאָינץ מעניו צו צוריקקריגן די OpenID Connect מעטאַדאַטאַ דאָקומענט. דאָס וועט זיין די Discovery_document_uri ווערט.
שאַפֿן אַ נייַע קליענט סוד דורך געבן אַ קליק די סערטיפיקאַץ & סיקריץ אָפּציע אונטער די אויפֿפּאַסן מעניו. נאָכמאַכן דעם קליענט סוד; דער סוד ווערט פון דעם קליענט וועט זיין דאָס.
לעסאָף, אויסקלייַבן די אַפּי פּערמישאַנז לינק אונטער די אויפֿפּאַסן מעניו, גיט לייג אַ דערלויבעניש, און אויסקלייַבן מיקראָסאָפט גראַפיק, לייגן email, אָופּאַנדיד, offline_access און פּראָפיל צו די פארלאנגט פּערמישאַנז.
ויסרעדאַגירן /etc/firezone/firezone.rb צו אַרייַננעמען די אָפּציעס אונטן:
# ניצן Azure Active Directory ווי די SSO אידענטיטעט שפּייַזער
default['firezone']['authentication']['oidc'] = {
בלוי: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
ענטפער_טיפּ: "קאָד",
scope: "אָפּענעד בליצפּאָסט פּראָפיל אָפפלינע_אַקסעס",
פירמע: "Azure"
}
}
לויפן Firezone-ctl רעקאָנפיגורע און Firezone-ctl ריסטאַרט צו דערהייַנטיקן די אַפּלאַקיישאַן. איר זאָל איצט זען אַ צייכן אין מיט Azure קנעפּל אין דער וואָרצל Firezone URL.
Azure AD ינייבאַלז אַדמיניסטראַטאָרס צו באַגרענעצן אַפּ אַקסעס צו אַ ספּעציפיש גרופּע פון יוזערז אין דיין פירמע. מער אינפֿאָרמאַציע וועגן ווי צו טאָן דאָס קענען זיין געפֿונען אין די דאַקיומענטיישאַן פון Microsoft.
שעף אָמניבוס איז געניצט דורך Firezone צו פירן טאַסקס אַרייַנגערעכנט מעלדונג פּאַקקאַגינג, פּראָצעס השגחה, קלאָץ פאַרוואַלטונג און מער.
רובי קאָד איז די ערשטיק קאַנפיגיעריישאַן טעקע, וואָס איז ליגן אין /etc/firezone/firezone.rb. ריסטאַרטינג sudo firezone-ctl רעקאָנפיגירע נאָך מאכן מאָדיפיקאַטיאָנס צו דעם טעקע ז שעף צו דערקענען די ענדערונגען און צולייגן זיי צו די קראַנט אָפּערייטינג סיסטעם.
זען די קאַנפיגיעריישאַן טעקע רעפֿערענץ פֿאַר אַ גאַנץ רשימה פון קאַנפיגיעריישאַן וועריאַבאַלז און זייער דיסקריפּשאַנז.
דיין Firezone בייַשפּיל קענען זיין געראטן דורך די firezone-ctl באַפֿעלן, ווי געוויזן אונטן. רובֿ סאַבקאַמאַנדז דאַרפן פּרעפיקס מיט סודאָ.
root@demo:~# firezone-ctl
omnibus-ctl: באַפֿעל (סאַבקאַמאַנד)
אַלגעמיינע קאַמאַנדז:
רייניקן
ויסמעקן * אַלע * פירזאָנע דאַטן, און אָנהייבן פֿון קראַצן.
שאַפֿן-אָדער-באַשטעטיק-אַדמין
רעסעץ די פּאַראָל פֿאַר די אַדמין מיט E- בריוו ספּעסיפיעד דורך פעליקייַט ['firezone']['admin_email'] אָדער קריייץ אַ נייַ אַדמין אויב די E- בריוו איז נישט עקסיסטירט.
הילף
דרוק דעם הילף אָנזאָג.
רעקאָנפיגורירן
רעקאָנפיגורירן די אַפּלאַקיישאַן.
באַשטעטיק-נעטוואָרק
באַשטעטיק נפטאַבלעס, WireGuard צובינד און רוטינג טיש צוריק צו Firezone דיפאָלץ.
ווייַזן-קאָנפיג
ווייַזן די קאַנפיגיעריישאַן וואָס וואָלט זיין דזשענערייטאַד דורך ריקאַנפיגיער.
טעאַרדאָוון-נעץ
רימוווז WireGuard צובינד און Firezone nftables טיש.
קראַפט-סערט-רינואַל
קראַפט רינואַל באַווייַזן איצט אפילו אויב עס איז נישט אויסגעגאנגען.
האַלטן-סערט-רינואַל
רימוווז Cronjob וואָס רינוז סערטיפיקאַץ.
נעם אַוועק
טייטן אַלע פּראַסעסאַז און נעם אַוועק דעם פּראָצעס מאַשגיעך (די דאַטן וועט זיין אפגעהיט).
ווערסיע
ווייַז די קראַנט ווערסיע פון Firezone
סערוויס מאַנאַגעמענט קאַמאַנדז:
גראַציעז-טייטן
פּרוּווט אַ גראַציעז האַלטן, און SIGKILL די גאנצע פּראָצעס גרופּע.
hup
שיקן די סערוויסעס אַ HUP.
ינט
שיקן די סערוויסעס אַן INT.
טויטן
שיקן די סערוויסעס אַ קיל.
אַמאָל
אָנהייב די סערוויסעס אויב זיי זענען אַראָפּ. דו זאלסט נישט ריסטאַרט זיי אויב זיי האַלטן.
ריסטאַרט
האַלטן די סערוויסעס אויב זיי לויפן, און אָנהייב זיי ווידער.
סערוויס רשימה
רשימה אַלע די סערוויסעס (ענייבאַלד באַדינונגס דערשייַנען מיט אַ *.)
אָנהייב
אָנהייב סערוויסעס אויב זיי זענען אַראָפּ, און ריסטאַרט זיי אויב זיי האַלטן.
מאַצעוו
ווייַזן די סטאַטוס פון אַלע די סערוויסעס.
האַלטן
האַלטן די סערוויסעס און טאָן ניט ריסטאַרט זיי.
עק
היטן די סערוויס לאָגס פון אַלע ענייבאַלד באַדינונגס.
טערמין
שיקן די סערוויסעס אַ טערמין.
usr1
שיקן די סערוויסעס אַ USR1.
usr2
שיקן די סערוויסעס אַ USR2.
אַלע VPN סעשאַנז מוזן זיין טערמאַנייטיד איידער אַפּגריידינג Firezone, וואָס אויך רופט צו פאַרמאַכן די וועב וי. אין דער געשעעניש אַז עפּעס גייט פאַלש בעשאַס די אַפּגרייד, מיר רעקאָמענדירן צו שטעלן אַ שעה פֿאַר וישאַלט.
צו פֿאַרבעסערן Firezone, נעמען די פאלגענדע אַקשאַנז:
אויב עס זענען קיין פראבלעמען, ביטע לאָזן אונדז וויסן דורך פאָרלייגן אַ שטיצן בילעט.
עס זענען עטלעכע ברייקינג ענדערונגען און קאַנפיגיעריישאַן מאָדיפיקאַטיאָנס אין 0.5.0 וואָס מוזן זיין אַדרעסד. געפינען אויס מער אונטן.
Nginx שטיצט ניט מער די קראַפט ססל און ניט-ססל פּאָרט פּאַראַמעטערס זינט ווערסיע 0.5.0. ווייַל Firezone דאַרף SSL צו אַרבעטן, מיר רעקאָמענדירן צו באַזייַטיקן דעם פּעקל Nginx דינסט דורך באַשטעטיקן פעליקייַט['firezone']['nginx']['enabled'] = פאַלש און אָנפירן דיין פאַרקערט פּראַקסי צו די פיניקס אַפּ אויף פּאָרט 13000 אַנשטאָט (דורך פעליקייַט ).
0.5.0 ינטראַדוסיז ACME פּראָטאָקאָל שטיצן פֿאַר אויטאָמאַטיש רינוינג ססל סערטיפיקאַץ מיט די באַנדאַלד Nginx דינסט. צו געבן,
די מעגלעכקייט צו לייגן כּללים מיט דופּליקאַט דעסטאַניישאַנז איז ניטאָ אין Firezone 0.5.0. אונדזער מייגריישאַן שריפט וועט אויטאָמאַטיש דערקענען די סיטואַטיאָנס בעשאַס אַ אַפּגרייד צו 0.5.0 און בלויז האַלטן די כּללים וועמענס דעסטיניישאַן כולל די אנדערע הערשן. עס איז גאָרנישט איר דאַרפֿן צו טאָן אויב דאָס איז אָוקיי.
אַנדערש, איידער אַפּגריידינג, מיר רעקאָמענדירן טשאַנגינג דיין כּללים צו באַקומען באַפרייַען פון די סיטואַטיאָנס.
Firezone 0.5.0 רימוווז שטיצן פֿאַר די אַלט-נוסח Okta און Google SSO קאַנפיגיעריישאַן אין טויווע פון די נייַע, מער פלעקסאַבאַל אָידק-באזירט קאַנפיגיעריישאַן.
אויב איר האָט קיין קאַנפיגיעריישאַן אונטער די פעליקייַט['firezone']['authentication']['okta'] אָדער פעליקייַט['firezone']['authentication']['google'] שליסלען, איר דאַרפֿן צו מייגרייט די צו אונדזער OIDC -באזירט קאַנפיגיעריישאַן ניצן די פירן אונטן.
עקסיסטינג Google OAuth קאַנפיגיעריישאַן
אַראָפּנעמען די שורות מיט די אַלט Google OAuth קאַנפיגיעריישאַנז פון דיין קאַנפיגיעריישאַן טעקע אין /etc/firezone/firezone.rb
default['firezone']['authentication']['google']['enabled']
default['firezone']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
default['firezone']['authentication']['google']['redirect_uri']
דערנאָך, קאַנפיגיער Google ווי אַ OIDC שפּייַזער דורך נאָכפאָלגן די פּראָוסידזשערז דאָ.
(צושטעלן לינק אינסטרוקציעס) <<<<<<<<<<<<<<<<
קאַנפיגיער עקסיסטינג Google OAuth
אַראָפּנעמען די שורות מיט די אַלט Okta OAuth קאַנפיגיעריישאַנז פון דיין קאַנפיגיעריישאַן טעקע אין /etc/firezone/firezone.rb
default['firezone']['authentication']['okta']['enabled']
default['firezone']['authentication']['okta']['client_id']
default['firezone']['authentication']['okta']['client_secret']
פעליקייַט['firezone']['authentication']['okta']['site']
דערנאָך, קאַנפיגיער Okta ווי אַן OIDC שפּייַזער דורך נאָכפאָלגן די פּראָוסידזשערז דאָ.
דעפּענדינג אויף דיין קראַנט סעטאַפּ און ווערסיע, נאָכגיין די אינסטרוקציעס אונטן:
אויב איר שוין האָבן אַן OIDC ינאַגריישאַן:
פֿאַר עטלעכע OIDC פּראַוויידערז, אַפּגריידינג צו>= 0.3.16 דאַרף באַקומען אַ דערפרישן סימען פֿאַר די אָפפלינע אַקסעס פאַרנעם. דורך טאן דעם, עס איז זיכער אַז Firezone דערהייַנטיקונגען מיט די אידענטיטעט שפּייַזער און אַז VPN קשר איז פאַרמאַכן אַוועק נאָך אַ באַניצער איז אויסגעמעקט. Firezone ס פריער יטעריישאַנז פעלן דעם שטריך. אין עטלעכע ינסטאַנסיז, יוזערז וואָס זענען אויסגעמעקט פון דיין אידענטיטעט שפּייַזער קען נאָך זיין קאָננעקטעד צו אַ וופּן.
עס איז נייטיק צו אַרייַננעמען אָפפלינע אַקסעס אין די פאַרנעם פּאַראַמעטער פון דיין OIDC קאַנפיגיעריישאַן פֿאַר OIDC פּראַוויידערז וואָס שטיצן די אָפפלינע אַקסעס פאַרנעם. Firezone-ctl רעקאָנפיגורע מוזן זיין עקסאַקיוטאַד אין סדר צו צולייגן ענדערונגען צו די Firezone קאַנפיגיעריישאַן טעקע, וואָס איז ליגן אין /etc/firezone/firezone.rb.
פֿאַר יוזערז וואָס זענען אָטענטאַקייטאַד דורך דיין OIDC שפּייַזער, איר וועט זען די OIDC קאַנעקשאַנז כעדינג אין די באַניצער דעטאַילס בלאַט פון די וועב וי אויב Firezone איז ביכולת צו הצלחה צוריקקריגן די דערפרישן סימען.
אויב דאָס קען נישט אַרבעטן, איר דאַרפֿן צו ויסמעקן דיין יגזיסטינג OAuth אַפּ און איבערחזרן די OIDC סעטאַפּ סטעפּס צו שאַפֿן אַ נייַע אַפּ ינטאַגריישאַן .
איך האָבן אַן יגזיסטינג OAuth ינאַגריישאַן
איידער 0.3.11, Firezone געוויינט פאַר-קאַנפיגיערד OAuth2 פּראַוויידערז.
גיי די ינסטראַקשאַנז דאָ צו מייגרייט צו OIDC.
איך האב נישט ינאַגרייטיד אַ אידענטיטעט שפּייַזער
קיין קאַמף דארף.
איר קענען נאָכגיין די ינסטראַקשאַנז דאָ צו געבן SSO דורך אַן OIDC שפּייַזער.
אין זיין אָרט, פעליקייַט['firezone']['external url'] האט ריפּלייסט די קאַנפיגיעריישאַן אָפּציע פעליקייַט['firezone']['fqdn'].
שטעלן דעם צו די URL פון דיין Firezone אָנליין טויער וואָס איז צוטריטלעך פֿאַר די אַלגעמיינע ציבור. עס וועט פעליקייַט צו הטטפּס: // פּלוס די FQDN פון דיין סערווער אויב לינקס אַנדיפיינד.
די קאַנפיגיעריישאַן טעקע איז ליגן אין /etc/firezone/firezone.rb. זען די קאַנפיגיעריישאַן טעקע רעפֿערענץ פֿאַר אַ גאַנץ רשימה פון קאַנפיגיעריישאַן וועריאַבאַלז און זייער דיסקריפּשאַנז.
Firezone האלט ניט מער מיטל פּריוואַט שליסלען אויף די Firezone סערווער זינט ווערסיע 0.3.0.
די Firezone וועב וי וועט נישט לאָזן איר צו אָפּלאָדירן אָדער זען די קאַנפיגיעריישאַנז, אָבער קיין יגזיסטינג דעוויסעס זאָל פאָרזעצן צו אַרבעטן ווי זיי זענען.
אויב איר אַפּגרייד פֿון Firezone 0.1.x, עס זענען עטלעכע ענדערונגען אין קאַנפיגיעריישאַן טעקע וואָס מוזן זיין אַדזשאַסטיד מאַניואַלי.
צו מאַכן די נייטיק מאָדיפיקאַטיאָנס צו דיין /etc/firezone/firezone.rb טעקע, לויפן די קאַמאַנדז אונטן ווי וואָרצל.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['ענאַבלע'\]/\['ענייבאַלד'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = אמת” >> /etc/firezone/firezone.rb
echo "Default['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
Firezone-ctl ריקאַנפיגיער
firezone-ctl ריסטאַרט
קאָנטראָלירונג די Firezone לאָגס איז אַ קלוג ערשטער שריט פֿאַר קיין ישוז וואָס קענען פּאַסירן.
לויפן sudo firezone-ctl עק צו זען די Firezone לאָגס.
די מערהייַט פון קאַנעקטיוויטי פּראָבלעמס מיט Firezone זענען געפֿירט דורך ינקאַמפּאַטאַבאַל יפּטאַבלעס אָדער נפטאַבלעס כּללים. איר מוזן מאַכן זיכער אַז קיין כּללים וואָס איר האָבן אין ווירקונג טאָן ניט קלאַשיז מיט די Firezone כּללים.
מאַכן זיכער אַז די FORWARD קייט דערלויבט פּאַקיץ פון דיין WireGuard קלייאַנץ צו די לאָוקיישאַנז איר ווילן צו לאָזן דורך Firezone אויב דיין אינטערנעט קאַנעקטיוויטי דיטיריערייץ יעדער מאָל ווען איר אַקטאַווייט דיין WireGuard טונעל.
דאָס קען זיין אַטשיווד אויב איר נוצן ufw דורך ינשורינג אַז די פעליקייַט רוטינג פּאָליטיק איז ערלויבט:
ubuntu@fz:~$ sudo ufw פעליקייַט לאָזן ראַוטיד
פעליקייַט רוטיד פּאָליטיק געביטן צו 'לאָזן'
(זייט זיכער צו דערהייַנטיקן דיין כּללים אַקאָרדינגלי)
A וואַו סטאַטוס פֿאַר אַ טיפּיש Firezone סערווער קען קוקן ווי דאָס:
ubuntu@fz:~$ sudo ufw סטאַטוס ווערבאָוס
סטאַטוס: אַקטיוו
לאָגינג: אויף (נידעריק)
פעליקייַט: לייקענען (ינקאַמינג), לאָזן (אַוטגאָוינג), לאָזן (ראַוטיד)
ניו פּראָופיילז: האָפּקען
צו קאַמף פֿון
— —— —-
22/טקפּ לאָזן אין ערגעץ
80/טקפּ לאָזן אין ערגעץ
443/טקפּ לאָזן אין ערגעץ
51820/udp לאָזן אין ערגעץ
22/tcp (v6) לאָזן אין ערגעץ (v6)
80/tcp (v6) לאָזן אין ערגעץ (v6)
443 / tcp (v6) לאָזן אין ערגעץ (v6)
51820/udp (v6) לאָזן אין ערגעץ (v6)
מיר רעקאָמענדירן לימיטעד אַקסעס צו די וועב צובינד פֿאַר גאָר שפּירעוודיק און מיסיע-קריטיש פּראָדוקציע דיפּלוימאַנץ, ווי דערקלערט אונטן.
דינסט | פעליקייַט פּאָרט | הערן אַדרעס | באַשרייַבונג |
נגינקס | קסנומקס, קסנומקס | אַלע | ציבור הטטפּ (S) פּאָרט פֿאַר אַדמיניסטראַטיאָן פון Firezone און פאַסילאַטייטינג אָטענטאַקיישאַן. |
ווירעאַרד | 51820 | אַלע | ציבור WireGuard פּאָרט געניצט פֿאַר VPN סעשאַנז. (UDP) |
פּאָסטגרעסקל | 15432 | 127.0.0.1 | לאקאלע-בלויז פּאָרט געניצט פֿאַר באַנדאַלד Postgresql סערווער. |
פיניקס | 13000 | 127.0.0.1 | לאקאלע-בלויז פּאָרט געניצט דורך אַפּסטרים עליקסיר אַפּ סערווער. |
מיר רעקאָמענדירן איר צו טראַכטן וועגן באַגרענעצן אַקסעס צו Firezone ס עפנטלעך יקספּאָוזד וועב וי (דורך פעליקייַט פּאָרץ 443/tcp און 80/tcp) און אַנשטאָט נוצן די WireGuard טונעל צו פירן Firezone פֿאַר פּראָדוקציע און עפנטלעך-פייסינג דיפּלוימאַנץ ווו אַ איין אַדמיניסטראַטאָר וועט זיין אין באַשולדיקונג פון קריייטינג און דיסטריביוטינג מיטל קאַנפיגיעריישאַנז צו סוף ניצערס.
פֿאַר בייַשפּיל, אויב אַ אַדמיניסטראַטאָר באשאפן אַ מיטל קאַנפיגיעריישאַן און באשאפן אַ טונעל מיט די היגע WireGuard אַדרעס 10.3.2.2, די פאלגענדע ufw קאַנפיגיעריישאַן וואָלט געבן די אַדמיניסטראַטאָר צו אַקסעס די Firezone וועב וי אויף די סערווער ס ווג-פירזאָנע צובינד ניצן די פעליקייַט 10.3.2.1. טונעל אַדרעס:
root@demo:~# וופוו סטאַטוס ווערבאָוס
סטאַטוס: אַקטיוו
לאָגינג: אויף (נידעריק)
פעליקייַט: לייקענען (ינקאַמינג), לאָזן (אַוטגאָוינג), לאָזן (ראַוטיד)
ניו פּראָופיילז: האָפּקען
צו קאַמף פֿון
— —— —-
22/טקפּ לאָזן אין ערגעץ
51820/udp לאָזן אין ערגעץ
ערגעץ לאָזן אין 10.3.2.2
22/tcp (v6) לאָזן אין ערגעץ (v6)
51820/udp (v6) לאָזן אין ערגעץ (v6)
דאס וואָלט לאָזן בלויז 22/טקפּ יקספּאָוזד פֿאַר סש אַקסעס צו פירן די סערווער (אַפּשאַנאַל), און 51820/ודפּ יקספּאָוזד אין סדר צו פאַרלייגן WireGuard טאַנאַלז.
Firezone באַנדאַלז אַ Postgresql סערווער און וואָס ריכטן זיך psql נוצן וואָס קענען זיין געוויינט פֿון די היגע שאָל ווי אַזוי:
/opt/firezone/embedded/bin/psql \
-ו פייערזאָנע \
-ד פייערזאָנע \
-ה לאָקאַלהאָסט \
-פּ 15432 \
-c "SQL_STATEMENT"
דאָס קען זיין נוציק פֿאַר דיבאַגינג צוועקן.
פּראָסט טאַסקס:
רשימה אַלע ניצערס:
/opt/firezone/embedded/bin/psql \
-ו פייערזאָנע \
-ד פייערזאָנע \
-ה לאָקאַלהאָסט \
-פּ 15432 \
-c "SELECT * FROM ניצערס;"
רשימה פון אַלע דעוויסעס:
/opt/firezone/embedded/bin/psql \
-ו פייערזאָנע \
-ד פייערזאָנע \
-ה לאָקאַלהאָסט \
-פּ 15432 \
-c "סעלעקטירן * פֿון דעוויסעס;"
טוישן אַ באַניצער ראָלע:
שטעלן די ראָלע צו 'אַדמין' אָדער 'ונפּריווילידזשד':
/opt/firezone/embedded/bin/psql \
-ו פייערזאָנע \
-ד פייערזאָנע \
-ה לאָקאַלהאָסט \
-פּ 15432 \
-c "דערהייַנטיקן יוזערז שטעלן ראָלע = 'אַדמין' WHERE email = 'user@example.com';"
באַקקופּ די דאַטאַבייס:
דערצו, אַרייַנגערעכנט די פּג דאַמפּ פּראָגראַם, וואָס קען זיין געוויינט צו נעמען רעגולער באַקאַפּס פון די דאַטאַבייס. ויספירן די פאלגענדע קאָד צו דאַמפּ אַ קאָפּיע פון די דאַטאַבייס אין דער פּראָסט SQL אָנפֿרעג פֿאָרמאַט (פאַרבייַטן /path/to/backup.sql מיט דעם אָרט ווו די SQL טעקע זאָל זיין באשאפן):
/opt/firezone/embedded/bin/pg_dump \
-ו פייערזאָנע \
-ד פייערזאָנע \
-ה לאָקאַלהאָסט \
-פּ 15432 > /path/to/backup.sql
נאָך Firezone איז הצלחה דיפּלויד, איר מוזן לייגן יוזערז צו צושטעלן זיי אַקסעס צו דיין נעץ. די וועב וי איז געניצט צו טאָן דאָס.
דורך סעלעקטירן דעם "לייג באַניצער" קנעפּל אונטער / יוזערז, איר קענען לייגן אַ באַניצער. איר וועט זיין פארלאנגט צו צושטעלן די באַניצער מיט אַ בליצפּאָסט אַדרעס און אַ פּאַראָל. אין סדר צו לאָזן אַקסעס צו יוזערז אין דיין אָרגאַניזאַציע אויטאָמאַטיש, Firezone קענען אויך צובינד און סינק מיט אַן אידענטיטעט שפּייַזער. מער דעטאַילס זענען בנימצא אין אַוטהענטיקאַטע. < לייג אַ לינק צו Authenticate
מיר רעקאָמענדירן צו בעטן אַז יוזערז מאַכן זייער אייגענע מיטל קאַנפיגיעריישאַנז אַזוי אַז די פּריוואַט שליסל איז קענטיק בלויז פֿאַר זיי. יוזערז קענען דזשענערייט זייער אייגענע מיטל קאַנפיגיעריישאַנז דורך נאָכפאָלגן די אינסטרוקציעס אויף די קליענט אינסטרוקציעס בלאַט.
כל באַניצער מיטל קאַנפיגיעריישאַנז קענען זיין באשאפן דורך Firezone אַדמין. אויף די באַניצער פּראָפיל בלאַט אין / יוזערז, סעלעקטירן דעם "לייג מיטל" אָפּציע צו ויספירן דעם.
[אַרייַנלייגן סקרעענשאָט]
איר קענען E- בריוו דעם באַניצער די WireGuard קאַנפיגיעריישאַן טעקע נאָך קריייטינג די מיטל פּראָפיל.
יוזערז און דעוויסעס זענען לינגקט. פֿאַר מער דעטאַילס וועגן ווי צו לייגן אַ באַניצער, זען לייג וסערס.
דורך די נוצן פון די קערן ס נעטפילטער סיסטעם, Firezone ינייבאַלז egress filtering קייפּאַבילאַטיז צו ספּעציפיצירן DROP אָדער ACCEPT פּאַקיץ. כל פאַרקער איז נאָרמאַלי דערלויבט.
IPv4 און IPv6 CIDRs און IP אַדרעסעס זענען געשטיצט דורך די אַללאָוליסט און דעניליסט ריספּעקטיוולי. איר קענען קלייַבן צו פאַרנעם אַ הערשן צו אַ באַניצער ווען אַדינג עס, וואָס אַפּלייז די הערשן צו אַלע פון די באַניצער ס דעוויסעס.
ינסטאַלירן און קאַנפיגיער
צו פאַרלייגן אַ VPN פֿאַרבינדונג ניצן די געבוירן WireGuard קליענט, אָפּשיקן צו דעם פירער.
די באַאַמטער WireGuard קלייאַנץ ליגן דאָ זענען Firezone קאַמפּאַטאַבאַל:
באַזוכן די באַאַמטער WireGuard וועבזייטל https://www.wireguard.com/install/ פֿאַר אַס סיסטעמען וואָס זענען נישט דערמאנט אויבן.
אָדער דיין Firezone אַדמיניסטראַטאָר אָדער זיך קענען דזשענערייט די מיטל קאַנפיגיעריישאַן טעקע ניצן די Firezone טויער.
באַזוכן די URL וואָס דיין Firezone אַדמיניסטראַטאָר האט צוגעשטעלט צו זיך-דזשענערירן אַ מיטל קאַנפיגיעריישאַן טעקע. דיין פירמע וועט האָבן אַ יינציק URL פֿאַר דעם; אין דעם פאַל, עס איז https://instance-id.yourfirezone.com.
לאָגין צו Firezone Okta SSO
[אַרייַנלייגן סקרעענשאָט]
אַרייַנפיר די.קאָנף טעקע אין די WireGuard קליענט דורך עפן עס. דורך פליפּינג די אַקטיוואַטע באַשטימען, איר קענען אָנהייבן אַ וופּן סעסיע.
[אַרייַנלייגן סקרעענשאָט]
גיי די אינסטרוקציעס אונטן אויב דיין נעץ אַדמיניסטראַטאָר האט מאַנדייטיד ריקערינג אָטענטאַקיישאַן צו האַלטן דיין וופּן קשר אַקטיוו.
איר דאַרפֿן:
די URL פון Firezone טויער: פרעגן דיין נעץ אַדמיניסטראַטאָר פֿאַר די קשר.
דיין נעץ אַדמיניסטראַטאָר זאָל קענען צו פאָרשלאָגן דיין לאָגין און פּאַראָל. די Firezone פּלאַץ וועט בעטן איר צו קלאָץ אין מיט די איין צייכן-אויף דינסט וואָס דיין באַלעבאָס ניצט (אַזאַ ווי Google אָדער Okta).
[אַרייַנלייגן סקרעענשאָט]
גיין צו די URL פון די Firezone טויער און קלאָץ אין מיט די קראַדענטשאַלז וואָס דיין נעץ אַדמיניסטראַטאָר האט צוגעשטעלט. אויב איר זענט שוין געחתמעט אין, גיט די רעאַוטהענטיקאַטע קנעפּל איידער סיינינג צוריק אין.
[אַרייַנלייגן סקרעענשאָט]
[אַרייַנלייגן סקרעענשאָט]
צו אַרייַנפיר די WireGuard קאַנפיגיעריישאַן פּראָפיל ניצן נעטוואָרק מאַנאַגער CLI אויף לינוקס דעוויסעס, נאָכגיין די ינסטראַקשאַנז (נמקלי).
אויב דער פּראָפיל האט IPv6 שטיצן ענייבאַלד, פּרווון צו אַרייַנפיר די קאַנפיגיעריישאַן טעקע ניצן די נעטוואָרק מאַנאַגער GUI קען דורכפאַל מיט די פאלגענדע טעות:
ipv6.method: אופֿן "אַוטאָ" איז נישט געשטיצט פֿאַר WireGuard
עס איז נייטיק צו ינסטאַלירן די WireGuard Userspace יוטילאַטיז. דאָס וועט זיין אַ פּעקל גערופן wireguard אָדער wireguard-מכשירים פֿאַר לינוקס דיסטריביושאַנז.
פֿאַר ובונטו / דעביאַן:
sudo apt install wireguard
צו נוצן פעדאָראַ:
sudo dnf ינסטאַלירן wireguard-tools
אַרטש לינוקס:
sudo pacman -S wireguard-מכשירים
באַזוכן די באַאַמטער WireGuard וועבזייטל https://www.wireguard.com/install/ פֿאַר דיסטריביושאַנז וואָס זענען נישט דערמאנט אויבן.
אָדער דיין Firezone אַדמיניסטראַטאָר אָדער זיך-דור קענען דזשענערייט די מיטל קאַנפיגיעריישאַן טעקע ניצן די Firezone טויער.
באַזוכן די URL וואָס דיין Firezone אַדמיניסטראַטאָר האט צוגעשטעלט צו זיך-דזשענערירן אַ מיטל קאַנפיגיעריישאַן טעקע. דיין פירמע וועט האָבן אַ יינציק URL פֿאַר דעם; אין דעם פאַל, עס איז https://instance-id.yourfirezone.com.
[אַרייַנלייגן סקרעענשאָט]
אַרייַנפיר די סאַפּלייד קאַנפיגיעריישאַן טעקע ניצן nmcli:
sudo nmcli פֿאַרבינדונג אַרייַנפיר טיפּ wireguard טעקע /path/to/configuration.conf
דער נאָמען פון די קאַנפיגיעריישאַן טעקע וועט שטימען צו די WireGuard פֿאַרבינדונג / צובינד. נאָך אַרייַנפיר, די קשר קענען זיין ריניימד אויב נייטיק:
nmcli קשר מאָדיפיצירן [אַלט נאָמען] connection.id [נייַ נאָמען]
דורך די באַפֿעלן שורה, פאַרבינדן צו די VPN ווי גייט:
nmcli פֿאַרבינדונג אַרויף [vpn נאָמען]
צו דיסקאַנעקט:
nmcli פֿאַרבינדונג אַראָפּ [vpn נאָמען]
די אָנווענדלעך נעטוואָרק מאַנאַגער אַפּלאַט קענען אויך זיין געוויינט צו פירן די קשר אויב איר נוצן אַ GUI.
דורך סאַלעקטינג "יאָ" פֿאַר די אַוטאָקאָננעקט אָפּציע, די VPN פֿאַרבינדונג קענען זיין קאַנפיגיערד צו פאַרבינדן אויטאָמאַטיש:
nmcli קשר מאָדיפיצירן [vpn נאָמען] קשר. <<<<<<<<<<<<<<<<<<<<
אַוטאָקאָננעקט יאָ
צו דיסייבאַל די אָטאַמאַטיק קשר שטעלן עס צוריק צו קיין:
nmcli קשר מאָדיפיצירן [vpn נאָמען] קשר.
autoconnect no
צו אַקטאַווייט MFA גיין צו די Firezone טויער ס / באַניצער חשבון / רעגיסטרירן mfa בלאַט. ניצן דיין אָטענטאַקייטער אַפּ צו יבערקוקן די QR קאָד נאָך דזשענערייטאַד, און אַרייַן די זעקס-ציפֿער קאָד.
קאָנטאַקט דיין אַדמיניסטראַטאָר צו באַשטעטיק די אַקסעס אינפֿאָרמאַציע פון דיין חשבון אויב איר פאַרפירן דיין אָטענטאַקיישאַן אַפּ.
דער טוטאָריאַל וועט פירן איר דורך דעם פּראָצעס פון באַשטעטיקן WireGuard ס שפּאַלטן טאַנאַלינג שטריך מיט Firezone אַזוי אַז בלויז פאַרקער צו ספּעציפיש IP ריינדזשאַז איז פאָרווערדיד דורך די וופּן סערווער.
די IP ריינדזשאַז פֿאַר וואָס דער קליענט וועט מאַרשרוט נעץ פאַרקער זענען באַשטימט אין די דערלויבט IPs פעלד ליגן אויף די / סעטטינגס / פעליקייַט בלאַט. בלויז די ניי באשאפן WireGuard טונעל קאַנפיגיעריישאַנז געשאפן דורך Firezone וועט זיין אַפעקטאַד דורך ענדערונגען אין דעם פעלד.
[אַרייַנלייגן סקרעענשאָט]
די פעליקייַט ווערט איז 0.0.0.0/0, ::/0, וואָס רוץ אַלע נעץ פאַרקער פון דעם קליענט צו די וופּן סערווער.
ביישפילן פון וואַלועס אין דעם פעלד אַרייַננעמען:
0.0.0.0/0, ::/0 - אַלע נעץ פאַרקער וועט זיין ראַוטיד צו די וופּן סערווער.
192.0.2.3/32 - בלויז פאַרקער צו אַ איין IP אַדרעס וועט זיין ראַוטיד צו די וופּן סערווער.
3.5.140.0/22 - בלויז פאַרקער צו IPs אין די 3.5.140.1 - 3.5.143.254 קייט וועט זיין ראַוטיד צו די וופּן סערווער. אין דעם בייַשפּיל, די CIDR קייט פֿאַר די אַפּ-נאָרטהעאַסט-2 AWS געגנט איז געניצט.
Firezone סאַלעקץ די עגרעסס צובינד פֿאַרבונדן מיט די מערסט גענוי מאַרשרוט ערשטער ווען דיטערמאַנינג ווו צו מאַרשרוט אַ פּאַקאַט.
יוזערז מוזן רידזשענערייט די קאַנפיגיעריישאַן טעקעס און לייגן זיי צו זייער געבוירן WireGuard קליענט אין סדר צו דערהייַנטיקן יגזיסטינג באַניצער דעוויסעס מיט די נייַע שפּאַלטן טונעל קאַנפיגיעריישאַן.
פֿאַר ינסטראַקשאַנז, זען לייגן מיטל. <<<<<<<<<<< לייג לינק
דער מאַנואַל וועט באַווייַזן ווי צו פאַרבינדן צוויי דעוויסעס ניצן Firezone ווי אַ רעלע. איין טיפּיש נוצן פאַל איז צו געבן אַן אַדמיניסטראַטאָר צו אַקסעס אַ סערווער, קאַנטיינער אָדער מאַשין וואָס איז פּראָטעקטעד דורך אַ NAT אָדער פיירוואַל.
די געמעל ווייזט אַ פּשוט סצענאַר אין וואָס דיווייסאַז א און ב בויען אַ טונעל.
[אַרייַנגעלייגן Firezone אַרקאַטעקטשעראַל בילד]
אָנהייב דורך שאַפֿן דיווייס א און דיווייס ב דורך נאַוואַגייטינג צו /users/[user_id]/new_device. אין די סעטטינגס פֿאַר יעדער מיטל, מאַכן זיכער אַז די פאלגענדע פּאַראַמעטערס זענען באַשטימט צו די וואַלועס ליסטעד אונטן. איר קענען שטעלן מיטל סעטטינגס ווען קריייטינג די מיטל קאַנפיגיעריישאַן (זען לייג דעוויסעס). אויב איר דאַרפֿן צו דערהייַנטיקן סעטטינגס אויף אַ יגזיסטינג מיטל, איר קענען טאָן דאָס דורך דזשענערייטינג אַ נייַ מיטל קאַנפיגיעריישאַן.
באַמערקונג אַז אַלע דעוויסעס האָבן אַ /סעטטינגס/דיפאָלץ בלאַט ווו PersistentKeepalive קענען זיין קאַנפיגיערד.
אַללאָוועדיפּס = 10.3.2.2/32
דאָס איז די IP אָדער קייט פון IPs פון דיווייס ב
PersistentKeepalive = 25
אויב די מיטל איז הינטער אַ NAT, דאָס ינשורז אַז די מיטל איז ביכולת צו האַלטן דעם טונעל לעבעדיק און פאָרזעצן צו באַקומען פּאַקיץ פֿון די WireGuard צובינד. יוזשאַוואַלי אַ ווערט פון 25 איז גענוג, אָבער איר קען דאַרפֿן צו פאַרמינערן דעם ווערט דיפּענדינג אויף דיין סוויווע.
אַללאָוועדיפּס = 10.3.2.3/32
דאָס איז די IP אָדער קייט פון IPs פון דיווייס א
PersistentKeepalive = 25
דעם בייַשפּיל ווייזט אַ סיטואַציע אין וואָס מיטל א קענען יבערגעבן מיט דיווייסאַז ב דורך ד אין ביידע אינסטרוקציעס. דעם סעטאַפּ קענען פאָרשטעלן אַן ינזשעניר אָדער אַדמיניסטראַטאָר וואָס אַקסעס פילע רעסורסן (סערווערס, קאַנטיינערז אָדער מאשינען) אַריבער פאַרשידן נעטוואָרקס.
[אַרטשיטעקטשעראַל דיאַגראַמע]<<<<<<<<<<<<<<<<<<<<<<
מאַכן זיכער אַז די פאלגענדע סעטטינגס זענען געמאכט אין די סעטטינגס פון יעדער מיטל צו די קאָראַספּאַנדינג וואַלועס. ווען איר שאַפֿן די מיטל קאַנפיגיעריישאַן, איר קענען ספּעציפיצירן מיטל סעטטינגס (זען לייג דעוויסעס). א נייַע מיטל קאַנפיגיעריישאַן קענען זיין באשאפן אויב סעטטינגס אויף אַ יגזיסטינג מיטל דאַרפֿן צו זיין דערהייַנטיקט.
ערלויבט IPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
דאָס איז די IP פון דיווייסאַז B ביז D. די IP פון דעוויסעס B ביז D מוזן זיין אַרייַנגערעכנט אין קיין IP קייט איר קלייַבן צו שטעלן.
PersistentKeepalive = 25
דאָס געראַנטיז אַז די מיטל קענען האַלטן דעם טונעל און פאָרזעצן צו באַקומען פּאַקיץ פֿון די WireGuard צובינד אפילו אויב עס איז פּראָטעקטעד דורך אַ NAT. אין רובֿ קאַסעס, אַ ווערט פון 25 איז טויגן, אָבער דיפּענדינג אויף דיין סוויווע, איר קען דאַרפֿן צו נידעריקער דעם ציפער.
צו פאָרשלאָגן אַ איין סטאַטיק עגרעסס IP פֿאַר אַלע דיין מאַנשאַפֿט ס פאַרקער צו לויפן פֿון, Firezone קענען זיין געוויינט ווי אַ NAT גייטוויי. די סיטואַטיאָנס אַרייַננעמען זייַן אָפט נוצן:
קאַנסאַלטינג ענגיידזשמאַנץ: בעטן אַז דיין קונה ווייטליסט אַ איין סטאַטיק IP אַדרעס אלא ווי די יינציק מיטל IP פון יעדער אָנגעשטעלטער.
ניצן אַ פּראַקסי אָדער מאַסקע דיין מקור IP פֿאַר זיכערהייט אָדער פּריוואַטקייט צוועקן.
א פּשוט בייַשפּיל פון לימאַטינג אַקסעס צו אַ זיך-כאָוסטיד וועב אַפּלאַקיישאַן צו אַ איין ווייטליסטעד סטאַטיק IP פליסנדיק Firezone וועט זיין דעמאַנסטרייטיד אין דעם פּאָסטן. אין דעם געמעל, Firezone און די פּראָטעקטעד מיטל זענען אין פאַרשידענע VPC געביטן.
די לייזונג איז אָפט געניצט אין פּלאַץ פון אָנפירונג אַן IP ווהיטעליסט פֿאַר פילע סוף ניצערס, וואָס קענען זיין צייט-קאַנסומינג ווען די אַקסעס רשימה יקספּאַנדז.
אונדזער אָביעקטיוו איז צו שטעלן אַ Firezone סערווער אויף אַן EC2 בייַשפּיל צו רידערעקט VPN פאַרקער צו די לימיטעד מיטל. אין דעם בייַשפּיל, Firezone דינען ווי אַ נעץ פּראַקסי אָדער NAT גייטוויי צו געבן יעדער קאָננעקטעד מיטל אַ יינציק עפנטלעך עגרעסס IP.
אין דעם פאַל, אַן EC2 בייַשפּיל געהייסן tc2.micro האט אַ Firezone בייַשפּיל אינסטאַלירן אויף עס. פֿאַר אינפֿאָרמאַציע וועגן דיפּלויינג Firezone, גיין צו די דיפּלוימאַנט גייד. אין באַציונג צו AWS, זיין זיכער:
די זיכערהייט גרופּע פון Firezone EC2 ביישפּיל דערלויבט אַוטבאַונד פאַרקער צו די IP אַדרעס פון די פּראָטעקטעד מיטל.
די Firezone בייַשפּיל קומט מיט אַ גומע IP. פאַרקער וואָס איז פאָרווערדיד דורך די Firezone בייַשפּיל צו אַרויס דעסטאַניישאַנז וועט האָבן דעם ווי זיין מקור IP אַדרעס. די IP אַדרעס אין קשיא איז 52.202.88.54.
[אַרייַנלייגן סקרעענשאָט]<<<<<<<<<<<<<<<<<<<<<<
א זיך-כאָוסטיד וועב אַפּלאַקיישאַן דינען ווי די פּראָטעקטעד מיטל אין דעם פאַל. די וועב אַפּ קענען זיין אַקסעסט בלויז דורך ריקוועס וואָס קומען פֿון די IP אַדרעס 52.202.88.54. דעפּענדינג אויף די מיטל, עס קען זיין נייטיק צו לאָזן ינבאַונד פאַרקער אויף פאַרשידן פּאָרץ און פאַרקער טייפּס. דאָס איז נישט באדעקט אין דעם מאַנואַל.
[אַרייַנלייגן סקרעענשאָט]<<<<<<<<<<<<<<<<<<<<<<
ביטע זאָגן די דריט פּאַרטיי אין באַשולדיקונג פון די פּראָטעקטעד מיטל אַז פאַרקער פֿון די סטאַטיק IP דיפיינד אין סטעפּ 1 מוזן זיין דערלויבט (אין דעם פאַל 52.202.88.54).
דורך פעליקייַט, אַלע באַניצער פאַרקער וועט גיין דורך די וופּן סערווער און קומען פֿון די סטאַטיק IP וואָס איז געווען קאַנפיגיערד אין סטעפּ 1 (אין דעם פאַל 52.202.88.54). אָבער, אויב שפּאַלטן טאַנאַלינג איז ענייבאַלד, סעטטינגס קען זיין נייטיק צו מאַכן זיכער אַז די דעסטיניישאַן IP פון די פּראָטעקטעד מיטל איז ליסטעד צווישן די ערלויבט IP.
געוויזן אונטן איז אַ גאַנץ ליסטינג פון די קאַנפיגיעריישאַן אָפּציעס בנימצא אין /etc/firezone/firezone.rb.
בריירע | באַשרייַבונג | פעליקייַט ווערט |
default['firezone']['external_url'] | URL געניצט צו אַקסעס די וועב טויער פון דעם Firezone בייַשפּיל. | "הטטפּס://#{נאָדע['פקדן'] || נאָדע ['האָסטנאַמע']}" |
פעליקייַט['firezone']['config_directory'] | שפּיץ-מדרגה וועגווייַזער פֿאַר Firezone קאַנפיגיעריישאַן. | /etc/firezone' |
פעליקייַט['firezone']['install_directory'] | שפּיץ-מדרגה וועגווייַזער צו ינסטאַלירן Firezone צו. | /opt/firezone' |
פעליקייַט['firezone']['app_directory'] | שפּיץ-מדרגה וועגווייַזער צו ינסטאַלירן די Firezone וועב אַפּלאַקיישאַן. | "#{נאָדע['firezone']['install_directory']}/עמבעדיד/סערוויס/פירזאָנע" |
פעליקייַט['firezone']['log_directory'] | שפּיץ-מדרגה וועגווייַזער פֿאַר Firezone לאָגס. | /var/log/firezone' |
פעליקייַט['firezone']['var_directory'] | שפּיץ-מדרגה וועגווייַזער פֿאַר Firezone רונטימע טעקעס. | /var/opt/firezone' |
default['firezone']['user'] | דער נאָמען פון די אַנפּריווילידזשד לינוקס באַניצער די מערסט באַדינונגס און טעקעס וועט געהערן צו. | פייערזאָנע' |
default['firezone']['גרופע'] | נאָמען פון לינוקס גרופּע רובֿ באַדינונגס און טעקעס וועט געהערן צו. | פייערזאָנע' |
פעליקייַט['firezone']['admin_email'] | בליצפּאָסט אַדרעס פֿאַר ערשט Firezone באַניצער. | "firezone@localhost" |
פעליקייַט['firezone']['max_devices_per_user'] | מאַקסימום נומער פון דעוויסעס אַ באַניצער קענען האָבן. | 10 |
פעליקייַט['firezone']['allow_unprivileged_device_management'] | אַלאַוז ניט-אַדמין יוזערז צו שאַפֿן און ויסמעקן דעוויסעס. | אמת |
פעליקייַט['firezone']['allow_unprivileged_device_configuration'] | אַלאַוז ניט-אַדמין יוזערז צו מאָדיפיצירן מיטל קאַנפיגיעריישאַנז. ווען פאַרקריפּלט, פּריווענץ אַנפּריווילידזשד ניצערס פון טשאַנגינג אַלע מיטל פעלדער אַחוץ פֿאַר נאָמען און באַשרייַבונג. | אמת |
פעליקייַט['firezone']['egress_interface'] | צובינד נאָמען ווו טאַנאַלד פאַרקער וועט אַרויסגאַנג. אויב ניט, די פעליקייַט מאַרשרוט צובינד וועט זיין געוויינט. | נול |
default['firezone']['fips_enabled'] | געבן אָדער דיסייבאַל OpenSSL FIPs מאָדע. | נול |
default['firezone']['logging']['enabled'] | געבן אָדער דיסייבאַל לאָגינג אַריבער Firezone. שטעלן צו פאַלש צו דיסייבאַל לאָגינג לעגאַמרע. | אמת |
פעליקייַט['ענטערפּרייז']['נאָמען'] | נאָמען געניצט דורך די שעף 'ענטערפּרייז' קוקבוק. | פייערזאָנע' |
פעליקייַט['firezone']['install_path'] | ינסטאַלירן דרך געניצט דורך שעף 'ענטערפּרייז' קוקבוק. זאָל זיין באַשטימט צו די זעלבע ווי די install_directory אויבן. | נאָדע['firezone']['install_directory'] |
default['firezone']['sysvinit_id'] | א אידענטיפיציר געניצט אין /etc/inittab. עס מוזן זיין אַ יינציק סיקוואַנס פון 1-4 אותיות. | SUP' |
default['firezone']['authentication']['local']['enabled'] | געבן אָדער דיסייבאַל היגע E- בריוו / פּאַראָל אָטענטאַקיישאַן. | אמת |
default['firezone']['authentication']['auto_create_oidc_users'] | אָטאַמאַטיק שאַפֿן וסערס סיינינג אין פֿון OIDC פֿאַר די ערשטער מאָל. דיסייבאַל צו לאָזן בלויז יגזיסטינג ניצערס צו צייכן אין דורך OIDC. | אמת |
פעליקייַט['firezone']['authentication']['disable_vpn_on_oidc_error'] | דיסייבאַל אַ וופּן פון אַ באַניצער אויב אַ טעות איז דיטעקטאַד טריינג צו דערפרישן זייער OIDC סימען. | FALSE |
default['firezone']['authentication']['oidc'] | OpenID Connect config, אין דעם פֿאָרמאַט פון {“פּראַוויידער” => [config…]} - זען OpenIDConnect דאַקיומענטיישאַן פֿאַר קאַנפיגיער ביישפילן. | {} |
default['firezone']['nginx']['enabled'] | געבן אָדער דיסייבאַל די באַנדאַלד nginx סערווער. | אמת |
default['firezone']['nginx']['ssl_port'] | הטטפּס הערן פּאָרט. | 443 |
פעליקייַט['firezone']['nginx']['directory'] | Directory צו קראָם Firezone-פֿאַרבונדענע nginx ווירטועל באַלעבאָס קאַנפיגיעריישאַן. | "#{נאָדע['firezone']['var_directory']}/nginx/etc |
פעליקייַט['firezone']['nginx']['log_directory'] | Directory צו קראָם Firezone-פֿאַרבונדענע nginx קלאָץ טעקעס. | "#{נאָדע['firezone']['log_directory']}/nginx" |
default['firezone']['nginx']['log_rotation']['file_maxbytes'] | טעקע גרייס אין וואָס צו דרייען Nginx קלאָץ טעקעס. | 104857600 |
פעליקייַט['firezone']['nginx']['log_rotation']['num_to_keep'] | נומער פון Firezone nginx קלאָץ טעקעס צו האַלטן איידער אַוועקוואַרפן. | 10 |
פעליקייַט['firezone']['nginx']['log_x_forwarded_for'] | צי צו קלאָץ Firezone nginx X-Forwarded-for כעדער. | אמת |
default['firezone']['nginx']['hsts_header']['enabled'] | אמת | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | געבן אָדער דיסייבאַל כולל סובדאָמאַינס פֿאַר די HSTS כעדער. | אמת |
default['firezone']['nginx']['hsts_header']['max_age'] | מאַקסימום עלטער פֿאַר די HSTS כעדער. | 31536000 |
פעליקייַט['firezone']['nginx']['redirect_to_canonical'] | צי צו רידערעקט URL ס צו די קאַנאַנאַקאַל FQDN ספּעסיפיעד אויבן | FALSE |
default['firezone']['nginx']['cache']['enabled'] | געבן אָדער דיסייבאַל די Firezone nginx קאַש. | FALSE |
default['firezone']['nginx']['cache']['directory'] | Directory פֿאַר Firezone nginx קאַש. | "#{נאָדע['firezone']['var_directory']}/nginx/cache" |
default['firezone']['nginx']['user'] | Firezone nginx באַניצער. | נאָדע['firezone']['user'] |
default['firezone']['nginx']['group'] | Firezone nginx גרופּע. | נאָדע['firezone']['גרופע'] |
default['firezone']['nginx']['dir'] | שפּיץ-מדרגה nginx קאַנפיגיעריישאַן וועגווייַזער. | נאָדע['firezone']['nginx']['directory'] |
default['firezone']['nginx']['log_dir'] | שפּיץ-מדרגה nginx קלאָץ וועגווייַזער. | נאָדע['firezone']['nginx']['log_directory'] |
default['firezone']['nginx']['pid'] | אָרט פֿאַר nginx pid טעקע. | "#{נאָדע['firezone']['nginx']['directory']}/nginx.pid" |
default['firezone']['nginx']['daemon_disable'] | דיסייבאַל די nginx דיימאַן מאָדע אַזוי מיר קענען מאָניטאָר עס אַנשטאָט. | אמת |
פעליקייַט['firezone']['nginx']['gzip'] | קער nginx gzip קאַמפּרעשאַן אויף אָדער אַוועק. | אויף ' |
פעליקייַט['firezone']['nginx']['gzip_static'] | קער nginx gzip קאַמפּרעשאַן אויף אָדער אַוועק פֿאַר סטאַטיק טעקעס. | אַוועק' |
פעליקייַט['firezone']['nginx']['gzip_http_version'] | הטטפּ ווערסיע צו נוצן פֿאַר סערווינג סטאַטיק טעקעס. | קסנומקס ' |
פעליקייַט['firezone']['nginx']['gzip_comp_level'] | nginx gzip קאַמפּרעשאַן מדרגה. | קסנומקס ' |
פעליקייַט['firezone']['nginx']['gzip_proxied'] | ינייבאַלז אָדער דיסייבאַלז גזיפּינג פון רעספּאָנסעס פֿאַר פּראַקסייד ריקוועס דיפּענדינג אויף די בעטן און ענטפער. | קיין' |
פעליקייַט['firezone']['nginx']['gzip_vary'] | ינייבאַלז אָדער דיסייבאַלז ינסערטינג די ענטפער כעדער "פאַרשידן: אָננעמען-ענקאָדינג". | אַוועק' |
פעליקייַט['firezone']['nginx']['gzip_buffers'] | שטעלט די נומער און גרייס פון באַפערז געניצט צו קאָמפּרעס אַ ענטפער. אויב ניט, nginx פעליקייַט איז געניצט. | נול |
פעליקייַט['firezone']['nginx']['gzip_types'] | MIME טייפּס צו געבן gzip קאַמפּרעשאַן פֿאַר. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' טעקסט / דזשאַוואַסקריפּט', 'אַפּלאַקיישאַן / דזשאַוואַסקריפּט', 'אַפּפּליקאַטיאָן / דזשסאָן'] |
פעליקייַט['firezone']['nginx']['gzip_min_length'] | מינימום טעקע לענג צו געבן גזיפּ קאַמפּרעשאַן פֿאַר טעקע. | 1000 |
פעליקייַט['firezone']['nginx']['gzip_disable'] | באַניצער-אַגענט מאַטטשער צו דיסייבאַל גzip קאַמפּרעשאַן פֿאַר. | מסי [1-6]\.' |
default['firezone']['nginx']['keepalive'] | אַקטאַווייץ קאַש פֿאַר קשר צו אַפּסטרים סערווערס. | אויף ' |
default['firezone']['nginx']['keepalive_timeout'] | טיימאַוט אין סעקונדעס פֿאַר אַ לעבעדיק פֿאַרבינדונג צו אַפּסטרים סערווערס. | 65 |
פעליקייַט['firezone']['nginx']['worker_processes'] | נומער פון nginx אַרבעט פּראַסעסאַז. | node['cpu'] && node['cpu']['total'] ? נאָדע['cpu']['total']: 1 |
default['firezone']['nginx']['worker_connections'] | מאַקסימום נומער פון סיימאַלטייניאַס קאַנעקשאַנז וואָס קענען זיין געעפנט דורך אַ אַרבעטער פּראָצעס. | 1024 |
פעליקייַט['firezone']['nginx']['worker_rlimit_nofile'] | ענדערונגען די שיעור אויף די מאַקסימום נומער פון עפענען טעקעס פֿאַר אַרבעט פּראַסעסאַז. ניצט nginx פעליקייַט אויב נול. | נול |
פעליקייַט['firezone']['nginx']['multi_accept'] | צי טוערס זאָל אָננעמען איין קשר אין אַ צייַט אָדער קייפל. | אמת |
default['firezone']['nginx']['event'] | ספּעסיפיעס די קשר פּראַסעסינג אופֿן צו נוצן אין nginx events קאָנטעקסט. | עפּאָל' |
פעליקייַט['firezone']['nginx']['server_tokens'] | ינייבאַלז אָדער דיסייבאַלז ימיטינג נגינקס ווערסיע אויף טעות בלעטער און אין די "סערווער" ענטפער כעדער פעלד. | נול |
פעליקייַט['firezone']['nginx']['server_names_hash_bucket_size'] | שטעלט די עמער גרייס פֿאַר די סערווער נעמען האַש טישן. | 64 |
default['firezone']['nginx']['sendfile'] | ינייבאַלז אָדער דיסייבאַלז די נוצן פון nginx ס sendfile (). | אויף ' |
פעליקייַט['firezone']['nginx']['access_log_options'] | באַשטעטיקט nginx אַקסעס קלאָץ אָפּציעס. | נול |
פעליקייַט['firezone']['nginx']['error_log_options'] | באַשטעטיקט nginx טעות קלאָץ אָפּציעס. | נול |
פעליקייַט['firezone']['nginx']['disable_access_log'] | דיסייבאַלז די nginx אַקסעס קלאָץ. | FALSE |
פעליקייַט['firezone']['nginx']['types_hash_max_size'] | nginx טייפּס האַש מאַקס גרייס. | 2048 |
פעליקייַט['firezone']['nginx']['types_hash_bucket_size'] | nginx טייפּס האַש עמער גרייס. | 64 |
פעליקייַט['firezone']['nginx']['proxy_read_timeout'] | nginx פּראַקסי לייענען טיימאַוט. שטעלן צו נול צו נוצן nginx פעליקייַט. | נול |
default['firezone']['nginx']['client_body_buffer_size'] | nginx קליענט גוף באַפער גרייס. שטעלן צו נול צו נוצן nginx פעליקייַט. | נול |
פעליקייַט['firezone']['nginx']['client_max_body_size'] | nginx קליענט מאַקס גוף גרייס. | 250 ם' |
default['firezone']['nginx']['default']['modules'] | ספּעציפיצירן נאָך nginx מאַדזשולז. | [] |
פעליקייַט['firezone']['nginx']['enable_rate_limiting'] | געבן אָדער דיסייבאַל nginx קורס לימיטינג. | אמת |
פעליקייַט['firezone']['nginx']['rate_limiting_zone_name'] | Nginx קורס לימאַטינג זאָנע נאָמען. | פייערזאָנע' |
פעליקייַט['firezone']['nginx']['rate_limiting_backoff'] | Nginx קורס לימאַטינג באַקאָפף. | 10 ם' |
פעליקייַט['firezone']['nginx']['rate_limit'] | Nginx קורס שיעור. | 10r/s' |
default['firezone']['nginx']['ipv6'] | לאָזן nginx צו הערן פֿאַר הטטפּ ריקוועס פֿאַר IPv6 אין אַדישאַן צו IPv4. | אמת |
default['firezone']['postgresql']['enabled'] | געבן אָדער דיסייבאַל באַנדאַלד Postgresql. שטעלן צו פאַלש און פּלאָמבירן די דאַטאַבייס אָפּציעס אונטן צו נוצן דיין אייגענע Postgresql בייַשפּיל. | אמת |
default['firezone']['postgresql']['username'] | נאמען פֿאַר Postgresql. | נאָדע['firezone']['user'] |
פעליקייַט['firezone']['postgresql']['data_directory'] | Postgresql דאַטן וועגווייַזער. | "#{נאָדע['firezone']['var_directory']}/postgresql/13.3/data" |
פעליקייַט['firezone']['postgresql']['log_directory'] | Postgresql קלאָץ וועגווייַזער. | "#{נאָדע['firezone']['log_directory']}/postgresql" |
default['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql קלאָץ טעקע מאַקסימום גרייס איידער עס איז ראָוטייטיד. | 104857600 |
default['firezone']['postgresql']['log_rotation']['num_to_keep'] | נומער פון Postgresql קלאָץ טעקעס צו האַלטן. | 10 |
default['firezone']['postgresql']['checkpoint_completion_target'] | פּאָסטגרעסקל טשעקפּוינט קאַמפּלישאַן ציל. | 0.5 |
default['firezone']['postgresql']['checkpoint_segments'] | נומער פון Postgresql טשעקפּוינט סעגמאַנץ. | 3 |
default['firezone']['postgresql']['checkpoint_timeout'] | Postgresql טשעקפּוינט טיימאַוט. | 5 מינוט |
default['firezone']['postgresql']['checkpoint_warning'] | Postgresql טשעקפּוינט ווארענונג צייט אין סעקונדעס. | 30 ס' |
default['firezone']['postgresql']['effective_cache_size'] | Postgresql עפעקטיוו קאַש גרייס. | 128MB' |
default['firezone']['postgresql']['listen_address'] | Postgresql הערן אַדרעס. | קסנומקס ' |
default['firezone']['postgresql']['max_connections'] | Postgresql מאַקס קאַנעקשאַנז. | 350 |
פעליקייַט['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs צו לאָזן md5 aut. | ['127.0.0.1/32', '::1/128'] |
default['firezone']['postgresql']['port'] | Postgresql הערן פּאָרט. | 15432 |
default['firezone']['postgresql']['shared_buffers'] | Postgresql שערד באַפערז גרייס. | "#{(נאָדע['זיקאָרן']['גאַנץ'].to_i / 4) / 1024}מב" |
default['firezone']['postgresql']['shmmax'] | Postgresql שמאַקס אין ביטעס. | 17179869184 |
default['firezone']['postgresql']['shmall'] | Postgresql shmall אין ביטעס. | 4194304 |
default['firezone']['postgresql']['work_mem'] | Postgresql אַרבעט זכּרון גרייס. | 8MB' |
פעליקייַט['firezone']['דאַטאַבייס']['באַניצער'] | ספּעציפיצירט די נאמען וואָס Firezone וועט נוצן צו פאַרבינדן צו די דב. | נאָדע['firezone']['postgresql']['username'] |
default['firezone']['database']['password'] | אויב איר נוצן אַ פונדרויסנדיק דב, ספּעציפיצירט די פּאַראָל וואָס Firezone וועט נוצן צו פאַרבינדן צו די דב. | טויש מיך' |
default['firezone']['database']['name'] | דאַטאַבאַסע וואָס Firezone וועט נוצן. וועט זיין באשאפן אויב עס טוט נישט עקסיסטירן. | פייערזאָנע' |
פעליקייַט['firezone']['דאַטאַבייס']['host'] | דאַטאַבאַסע באַלעבאָס וואָס Firezone וועט פאַרבינדן צו. | נאָדע['firezone']['postgresql']['listen_address'] |
פעליקייַט['firezone']['דאַטאַבייס']['פּאָרט'] | דאַטאַבאַסע פּאָרט וואָס Firezone וועט פאַרבינדן צו. | נאָדע['firezone']['postgresql']['פּאָרט'] |
פעליקייַט['firezone']['דאַטאַבייס']['pool'] | דאַטאַבאַסע בעקן גרייס Firezone וועט נוצן. | [10, עטק.נפּראַסעסערז].מאַקס |
default['firezone']['database']['ssl'] | צי צו פאַרבינדן צו די דאַטאַבייס איבער SSL. | FALSE |
פעליקייַט['firezone']['דאַטאַבייס']['ssl_opts'] | {} | |
פעליקייַט['firezone']['database']['parameters'] | {} | |
default['firezone']['database']['extensions'] | דאַטאַבאַסע יקסטענשאַנז צו געבן. | {'plpgsql' => אמת, 'pg_trgm' => אמת} |
default['firezone']['phoenix']['enabled'] | געבן אָדער דיסייבאַל די Firezone וועב אַפּלאַקיישאַן. | אמת |
default['firezone']['phoenix']['listen_address'] | Firezone וועב אַפּלאַקיישאַן הערן אַדרעס. דאָס וועט זיין די אַפּסטרים הערן אַדרעס וואָס nginx פּראַקסיז. | קסנומקס ' |
default['firezone']['phoenix']['port'] | Firezone וועב אַפּלאַקיישאַן הערן פּאָרט. דאָס וועט זיין די אַפּסטרים פּאָרט וואָס nginx פּראַקסיז. | 13000 |
פעליקייַט['firezone']['phoenix']['log_directory'] | Firezone וועב אַפּלאַקיישאַן קלאָץ וועגווייַזער. | "#{נאָדע['firezone']['log_directory']}/פיניקס" |
default['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone וועב אַפּלאַקיישאַן קלאָץ טעקע גרייס. | 104857600 |
default['firezone']['phoenix']['log_rotation']['num_to_keep'] | נומער פון Firezone וועב אַפּלאַקיישאַן קלאָץ טעקעס צו האַלטן. | 10 |
default['firezone']['phoenix']['crash_detection']['enabled'] | געבן אָדער דיסייבאַל ברענגען אַראָפּ די Firezone וועב אַפּלאַקיישאַן ווען אַ קראַך איז דיטעקטאַד. | אמת |
פעליקייַט['firezone']['phoenix']['external_trusted_proxies'] | רשימה פון טראַסטיד פאַרקערט פּראַקסיז פאָרמאַטטעד ווי אַ מענגע פון IPs און / אָדער CIDRs. | [] |
default['firezone']['phoenix']['private_clients'] | רשימה פון פּריוואַט נעץ הטטפּ קלייאַנץ, פאָרמאַטטעד אַ מענגע פון IPs און / אָדער CIDRs. | [] |
default['firezone']['wireguard']['enabled'] | געבן אָדער דיסייבאַל באַנדאַלד WireGuard פאַרוואַלטונג. | אמת |
פעליקייַט['firezone']['wireguard']['log_directory'] | קלאָץ וועגווייַזער פֿאַר באַנדאַלד WireGuard פאַרוואַלטונג. | "#{נאָדע['firezone']['log_directory']}/wireguard" |
default['firezone']['wireguard']['log_rotation']['file_maxbytes'] | די מאַקסימום גרייס פון WireGuard קלאָץ טעקע. | 104857600 |
default['firezone']['wireguard']['log_rotation']['num_to_keep'] | נומער פון WireGuard קלאָץ טעקעס צו האַלטן. | 10 |
default['firezone']['wireguard']['interface_name'] | WireGuard צובינד נאָמען. טשאַנגינג דעם פּאַראַמעטער קען פאַרשאַפן אַ צייַטווייַליק אָנווער אין VPN קאַנעקטיוויטי. | wg-firezone' |
default['firezone']['wireguard']['port'] | ווירעגואַרד הערן פּאָרט. | 51820 |
default['firezone']['wireguard']['mtu'] | WireGuard צובינד MTU פֿאַר דעם סערווער און פֿאַר מיטל קאַנפיגיעריישאַנז. | 1280 |
default['firezone']['wireguard']['endpoint'] | WireGuard ענדפּוינט צו נוצן פֿאַר דזשענערייטינג מיטל קאַנפיגיעריישאַנז. אויב ניט, דיפאָלץ צו די סערווער ס עפנטלעך IP אַדרעס. | נול |
default['firezone']['wireguard']['dns'] | WireGuard DNS צו נוצן פֿאַר דזשענערייטאַד מיטל קאַנפיגיעריישאַנז. | 1.1.1.1, 1.0.0.1′ |
default['firezone']['wireguard']['allowed_ips'] | WireGuard ערלויבט IPs צו נוצן פֿאַר דזשענערייטאַד מיטל קאַנפיגיעריישאַנז. | 0.0.0.0/0, ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | פעליקייַט PersistentKeepalive באַשטעטיקן פֿאַר דזשענערייטאַד מיטל קאַנפיגיעריישאַנז. א ווערט פון 0 דיסייבאַלז. | 0 |
default['firezone']['wireguard']['ipv4']['enabled'] | געבן אָדער דיסייבאַל IPv4 פֿאַר WireGuard נעץ. | אמת |
default['firezone']['wireguard']['ipv4']['masquerade'] | געבן אָדער דיסייבאַל מאַסקערייד פֿאַר פּאַקיץ וואָס לאָזן די IPv4 טונעל. | אמת |
default['firezone']['wireguard']['ipv4']['נעטוואָרק'] | WireGuard נעץ IPv4 אַדרעס בעקן. | 10.3.2.0/24 ′ |
default['firezone']['wireguard']['ipv4']['address'] | IPv4 אַדרעס פון WireGuard צובינד. מוזן זיין אין WireGuard אַדרעס בעקן. | קסנומקס ' |
default['firezone']['wireguard']['ipv6']['enabled'] | געבן אָדער דיסייבאַל IPv6 פֿאַר WireGuard נעץ. | אמת |
default['firezone']['wireguard']['ipv6']['masquerade'] | געבן אָדער דיסייבאַל מאַסקערייד פֿאַר פּאַקיץ וואָס לאָזן די IPv6 טונעל. | אמת |
default['firezone']['wireguard']['ipv6']['נעטוואָרק'] | WireGuard נעץ IPv6 אַדרעס בעקן. | fd00::3:2:0/120′ |
default['firezone']['wireguard']['ipv6']['address'] | IPv6 אַדרעס פון WireGuard צובינד. מוזן זיין אין IPv6 אַדרעס בעקן. | fd00::3:2:1′ |
default['firezone']['runit']['svlogd_bin'] | לויפן די Svlogd Bin אָרט. | "#{נאָדע['firezone']['install_directory']}/embedded/bin/svlogd" |
default['firezone']['ssl']['directory'] | SSL וועגווייַזער פֿאַר סטאָרינג דזשענערייטאַד סערץ. | /var/opt/firezone/ssl' |
default['firezone']['ssl']['email_address'] | בליצפּאָסט אַדרעס צו נוצן פֿאַר זיך-געחתמעט סערץ און ACME פּראָטאָקאָל רינואַל נאָטיץ. | you@example.com' |
default['firezone']['ssl']['acme']['enabled'] | געבן ACME פֿאַר אָטאַמאַטיק ססל סערט פּראַוויזשאַנז. דיסייבאַל דעם צו פאַרמייַדן Nginx פון צוגעהערט אויף פּאָרט 80. זען דאָ פֿאַר מער ינסטראַקשאַנז. | FALSE |
default['firezone']['ssl']['acme']['server'] | ACME סערווער צו נוצן פֿאַר סערטיפיקאַט ישואַנס / רינואַל. קענען זיין קיין גילטיק acme.sh סערווער | לעצענקריפּט |
default['firezone']['ssl']['acme']['keylength'] | ספּעציפיצירן די שליסל טיפּ און לענג פֿאַר SSL סערטיפיקאַץ. זען דאָ | Ec-256 |
default['firezone']['ssl']['certificate'] | וועג צו די באַווייַזן טעקע פֿאַר דיין FQDN. אָווועררייד ACME באַשטעטיקן אויבן אויב ספּעסיפיעד. אויב ביידע ACME און דאָס זענען נייל, אַ זיך-געחתמעט סערט וועט זיין דזשענערייטאַד. | נול |
default['firezone']['ssl']['certificate_key'] | וועג צו די באַווייַזן טעקע. | נול |
default['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | נול |
default['firezone']['ssl']['country_name'] | לאַנד נאָמען פֿאַר זיך-געחתמעט סערט. | יו. |
default['firezone']['ssl']['state_name'] | שטאַט נאָמען פֿאַר זיך-געחתמעט סערט. | CA ' |
default['firezone']['ssl']['locality_name'] | לאָקאַל נאָמען פֿאַר זיך-געחתמעט סערט. | סאַן פֿראַנסיסקאָ' |
default['firezone']['ssl']['company_name'] | פירמע נאָמען זיך-געחתמעט סערט. | מיין פירמע' |
default['firezone']['ssl']['organizational_unit_name'] | אָרגאַנאַזיישאַנאַל אַפּאַראַט נאָמען פֿאַר זיך-געחתמעט סערט. | אפעראציעס' |
default['firezone']['ssl']['סיפערס'] | ססל סיפערס פֿאַר nginx צו נוצן. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default['firezone']['ssl']['fips_ciphers'] | SSL סיפערס פֿאַר פיפּס מאָדע. | FIPS@STRENGTH:!aNULL:!eNULL' |
default['firezone']['ssl']['פּראָטאָקאָלס'] | TLS פּראָטאָקאָלס צו נוצן. | TLSv1 TLSv1.1 TLSv1.2′ |
default['firezone']['ssl']['session_cache'] | SSL סעסיע קאַש. | שערד:SSL:4ם' |
default['firezone']['ssl']['session_timeout'] | SSL סעסיע טיימאַוט. | 5 ם' |
פעליקייַט['firezone']['robots_allow'] | נגינקס ראָובאַץ לאָזן. | /' |
פעליקייַט['firezone']['robots_disallow'] | נגינקס ראָובאַץ דיסאַלאַו. | נול |
default['firezone']['outbound_email']['from'] | אַוטבאַונד email פון אַדרעס. | נול |
default['firezone']['outbound_email']['provider'] | אַוטבאַונד email סערוויס שפּייַזער. | נול |
default['firezone']['outbound_email']['configs'] | אַוטבאַונד email שפּייַזער קאַנפיגיעריישאַנז. | זען אָמניבוס/קוקבוקס/firezone/attributes/default.rb |
default['firezone']['telemetry']['enabled'] | געבן אָדער דיסייבאַל אַנאָנימייזד פּראָדוקט טעלעמעטרי. | אמת |
default['firezone']['connectivity_checks']['enabled'] | געבן אָדער דיסייבאַל די Firezone קאַנעקטיוויטי טשעקס דינסט. | אמת |
default['firezone']['connectivity_checks']['interval'] | מעהאַלעך צווישן קאַנעקטיוויטי טשעקס אין סעקונדעס. | קסנומקס_קסנומקס |
________________________________________________________________
דאָ איר וועט געפֿינען אַ רשימה פון טעקעס און דירעקטעריז שייַכות צו אַ טיפּיש Firezone ינסטאַלירונג. די קען טוישן דיפּענדינג אויף ענדערונגען צו דיין קאַנפיגיעריישאַן טעקע.
וועג | באַשרייַבונג |
/var/opt/firezone | שפּיץ-מדרגה וועגווייַזער מיט דאַטן און דזשענערייטאַד קאַנפיגיעריישאַן פֿאַר Firezone באַנדאַלד באַדינונגס. |
/אָפּט/פירזאָנע | שפּיץ-מדרגה וועגווייַזער מיט געבויט לייברעריז, בינאַריעס און רונטימע טעקעס דארף דורך Firezone. |
/usr/bin/firezone-ctl | Firezone-ctl נוצן פֿאַר אָנפירונג דיין Firezone ינסטאַלירונג. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd אַפּאַראַט טעקע פֿאַר סטאַרטינג די Firezone runsvdir מאַשגיעך פּראָצעס. |
/etc/firezone | Firezone קאַנפיגיעריישאַן טעקעס. |
__________________________________________________________
דער בלאַט איז געווען ליידיק אין דאָקומענטן
_____________________________________________________________
די פאלגענדע nftables פיירוואַל מוסטער קענען זיין געוויינט צו באַוואָרענען די סערווער פליסנדיק Firezone. דער מוסטער מאכט עטלעכע אַסאַמפּשאַנז; איר קען דאַרפֿן צו סטרויערן די כּללים צו פּאַסן דיין נוצן פאַל:
Firezone קאַנפיגיער זיין אייגענע Nftables כּללים צו דערלויבן / אָפּוואַרפן פאַרקער צו דעסטאַניישאַנז קאַנפיגיערד אין די וועב צובינד און צו שעפּן אַוטבאַונד NAT פֿאַר קליענט פאַרקער.
אַפּלייינג די אונטן פיירוואַל מוסטער אויף אַ שוין פליסנדיק סערווער (נישט אין שטיוול צייט) וועט רעזולטאַט אין די פירזאָנע כּללים. דאָס קען האָבן זיכערהייט ימפּלאַקיישאַנז.
צו אַרבעטן אַרום דעם ריסטאַרט די פיניקס דינסט:
firezone-ctl ריסטאַרט פיניקס
#!/usr/sbin/nft -f
## ויסמעקן / ויסשעפּן אַלע יגזיסטינג כּללים
גלייַך כּללים
############################### וועריאַבאַלז ################# ##############
## אינטערנעט / וואַן צובינד נאָמען
דעפינירן דעוו_וואַן = עטה0
## WireGuard צובינד נאָמען
דעפינירן DEV_WIREGUARD = ווג-פירזאָנע
## ווירעגואַרד הערן פּאָרט
דעפינירן WIREGUARD_PORT = 51820
############################# Variables END ################# ###########
# הויפּט ינעט משפּחה פֿילטרירונג טיש
טאַבלע ינעט פילטער {
# כּללים פֿאַר פאָרווערדיד פאַרקער
# די קייט איז פּראַסעסט איידער די Firezone פאָרויס קייט
קייט פאָרויס {
טיפּ פילטער קרוק פאָרויס בילכערקייַט פילטער - 5; פּאָליטיק אָננעמען
}
# כּללים פֿאַר אַרייַנשרייַב פאַרקער
קייט אַרייַנשרייַב {
טיפּ פילטער קרוק אַרייַנשרייַב בילכערקייַט פילטער; פּאָליטיק קאַפּ
## דערלויבן ינבאַונד פאַרקער צו לופּבאַקק צובינד
אויב יא \
אָננעמען \
באַמערקן "דערלויבן אַלע פאַרקער פֿון די לופּבאַקק צובינד"
## דערלויבן געגרינדעט און פֿאַרבונדענע קאַנעקשאַנז
קט שטאַט געגרינדעט, שייַכות \
אָננעמען \
באַמערקן "דערלויבן געגרינדעט / פֿאַרבונדענע קאַנעקשאַנז"
## דערלויבן ינבאַונד WireGuard פאַרקער
iif $DEV_WAN udp dport $WIREGUARD_PORT \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן ינבאַונד WireGuard פאַרקער"
## קלאָץ און קאַפּ נייַ TCP ניט-SYN פּאַקיץ
tcp פלאַגס != סינ קט שטאַט נייַ \
שיעור קורס 100/מינוט פּלאַצן 150 פּאַקאַץ \
קלאָץ פּרעפיקס "אין - נייַ !SYN: " \
באַמערקן "קורס לימיט לאָגינג פֿאַר נייַע קאַנעקשאַנז וואָס טאָן ניט האָבן די SYN TCP פאָן שטעלן"
tcp פלאַגס != סינ קט שטאַט נייַ \
טאָמבאַנק \
פאַלן \
באַמערקן "דראָפּ נייַ קאַנעקשאַנז וואָס טאָן ניט האָבן די SYN TCP פאָן שטעלן"
## קלאָץ און פאַלן TCP פּאַקיץ מיט פאַרקריפּלט פלוספעדער / סינ פאָן שטעלן
tcp פלאַגס & (fin|syn) == (fin|syn) \
שיעור קורס 100/מינוט פּלאַצן 150 פּאַקאַץ \
קלאָץ פּרעפיקס "IN - TCP FIN|SIN: " \
באַמערקן "קורס לימיט לאָגינג פֿאַר TCP פּאַקיץ מיט פאַרקריפּלט פלוספעדער / סינ פאָן שטעלן"
tcp פלאַגס & (fin|syn) == (fin|syn) \
טאָמבאַנק \
פאַלן \
באַמערקן "דראָפּ טקפּ פּאַקיץ מיט פאַרקריפּלט פלוספעדער / סינ פאָן שטעלן"
## קלאָץ און פאַלן טקפּ פּאַקיץ מיט פאַרקריפּלט סינ / ערשטער פאָן שטעלן
tcp פלאַגס & (סינ|רסט) == (סינ|רסט) \
שיעור קורס 100/מינוט פּלאַצן 150 פּאַקאַץ \
קלאָץ פּרעפיקס "IN - TCP SYN|RST: " \
באַמערקן "קורס לימיט לאָגינג פֿאַר טקפּ פּאַקיץ מיט פאַרקריפּלט סינ / רסט פאָן שטעלן"
tcp פלאַגס & (סינ|רסט) == (סינ|רסט) \
טאָמבאַנק \
פאַלן \
באַמערקן "דראָפּ טקפּ פּאַקיץ מיט פאַרקריפּלט סינ / רסט פאָן שטעלן"
## קלאָץ און פאַלן פאַרקריפּלט TCP פלאַגס
tcp פלאַגס & (fin|syn|rst|psh|ack|urg) <(fin) \
שיעור קורס 100/מינוט פּלאַצן 150 פּאַקאַץ \
קלאָץ פּרעפיקס "IN - FIN:" \
באַמערקן "קורס לימיט לאָגינג פֿאַר פאַרקריפּלט TCP פלאַגס (fin|syn|rst|psh|ack|urg) <(fin)"
tcp פלאַגס & (fin|syn|rst|psh|ack|urg) <(fin) \
טאָמבאַנק \
פאַלן \
באַמערקן "דראָפּ טקפּ פּאַקיץ מיט פלאַגס (fin|syn|rst|psh|ack|urg) <(fin)"
## קלאָץ און פאַלן פאַרקריפּלט TCP פלאַגס
tcp פלאַגס & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
שיעור קורס 100/מינוט פּלאַצן 150 פּאַקאַץ \
קלאָץ פּרעפיקס "IN - FIN|PSH|URG:" \
באַמערקן "קורס לימיט לאָגינג פֿאַר פאַרקריפּלט TCP פלאַגס (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp פלאַגס & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
טאָמבאַנק \
פאַלן \
באַמערקן "דראָפּ טקפּ פּאַקיץ מיט פלאַגס (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## קאַפּ פאַרקער מיט פאַרקריפּלט קשר שטאַט
ct שטאַט פאַרקריפּלט \
שיעור קורס 100/מינוט פּלאַצן 150 פּאַקאַץ \
קלאָץ פלאַגס אַלע פּרעפיקס "IN - Invalid: " \
באַמערקן "קורס לימיט לאָגינג פֿאַר פאַרקער מיט פאַרקריפּלט קשר שטאַט"
ct שטאַט פאַרקריפּלט \
טאָמבאַנק \
פאַלן \
באַמערקן "אָפּלאָזן פאַרקער מיט פאַרקריפּלט קשר שטאַט"
## דערלויבן IPv4 פּינג / פּינג רעספּאָנסעס אָבער קורס שיעור צו 2000 פּפּס
ip פּראָטאָקאָל icmp icmp טיפּ {עקאָ-ענטפער, עקאָו-בעטן} \
שיעור קורס 2000/סעקונדע \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן ינבאַונד IPv4 עקאָו (פּינג) לימיטעד צו 2000 פּפּס"
## דערלויבן אַלע אנדערע ינבאַונד IPv4 ICMP
ip פּראָטאָקאָל יקמפּ \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן אַלע אנדערע IPv4 ICMP"
## דערלויבן IPv6 פּינג / פּינג רעספּאָנסעס אָבער קורס שיעור צו 2000 פּפּס
icmpv6 טיפּ {עקאָ-ענטפער, עקאָו-בעטן} \
שיעור קורס 2000/סעקונדע \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן ינבאַונד IPv6 עקאָו (פּינג) לימיטעד צו 2000 פּפּס"
## דערלויבן אַלע אנדערע ינבאַונד IPv6 ICMP
מעטאַ ל4פּראָטאָ {יקמפּוו6} \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן אַלע אנדערע IPv6 ICMP"
## דערלויבן ינבאַונד טראַסעראָוטע UDP פּאָרץ אָבער באַגרענעצן צו 500 פּפּס
udp dport 33434-33524 \
שיעור קורס 500/סעקונדע \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן ינבאַונד UDP טראַסעראָוטע לימיטעד צו 500 פּפּס"
## דערלויבן אריינגעבונדן סש
tcp dport סש קט שטאַט נייַ \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן ינבאַונד SSH קאַנעקשאַנז"
## דערלויבן ינבאַונד הטטפּ און הטטפּס
tcp dport {הטטפּ, הטטפּס} קט שטאַט נייַ \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן ינבאַונד הטטפּ און הטטפּס קאַנעקשאַנז"
## קלאָץ קיין גלייַכן פאַרקער, אָבער שיעור לאָגינג צו אַ מאַקסימום פון 60 אַרטיקלען / מינוט
## די פעליקייַט פּאָליטיק וועט זיין געווענדט צו גלייַכן פאַרקער
שיעור קורס 60/מינוט פּלאַצן 100 פּאַקאַץ \
קלאָץ פּרעפיקס "IN - דראָפּ:" \
באַמערקן "לאָגין קיין גלייבן פאַרקער"
## ציילן די גלייבן פאַרקער
טאָמבאַנק \
באַמערקן "ציילן קיין גלייבן פאַרקער"
}
# כּללים פֿאַר רעזולטאַט פאַרקער
קייט רעזולטאַט {
טיפּ פילטער קרוק רעזולטאַט בילכערקייַט פילטער; פּאָליטיק קאַפּ
## דערלויבן אַוטבאַונד פאַרקער צו לופּבאַקק צובינד
אוי ווי
אָננעמען \
באַמערקן "דערלויבן אַלע פאַרקער צו די לופּבאַקק צובינד"
## דערלויבן געגרינדעט און פֿאַרבונדענע קאַנעקשאַנז
קט שטאַט געגרינדעט, שייַכות \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן געגרינדעט / פֿאַרבונדענע קאַנעקשאַנז"
## דערלויבן אַוטבאַונד WireGuard פאַרקער איידער דראַפּינג קאַנעקשאַנז מיט אַ שלעכט שטאַט
oif $DEV_WAN udp sport $WIREGUARD_PORT \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן WireGuard אַוטבאַונד פאַרקער"
## קאַפּ פאַרקער מיט פאַרקריפּלט קשר שטאַט
ct שטאַט פאַרקריפּלט \
שיעור קורס 100/מינוט פּלאַצן 150 פּאַקאַץ \
קלאָץ פלאַגס אַלע פּרעפיקס "אויס - פאַרקריפּלט: " \
באַמערקן "קורס לימיט לאָגינג פֿאַר פאַרקער מיט פאַרקריפּלט קשר שטאַט"
ct שטאַט פאַרקריפּלט \
טאָמבאַנק \
פאַלן \
באַמערקן "אָפּלאָזן פאַרקער מיט פאַרקריפּלט קשר שטאַט"
## דערלויבן אַלע אנדערע אַוטבאַונד IPv4 ICMP
ip פּראָטאָקאָל יקמפּ \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן אַלע IPv4 ICMP טייפּס"
## דערלויבן אַלע אנדערע אַוטבאַונד IPv6 ICMP
מעטאַ ל4פּראָטאָ {יקמפּוו6} \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן אַלע IPv6 ICMP טייפּס"
## דערלויבן אַוטבאַונד טראַסעראָוטע UDP פּאָרץ אָבער באַגרענעצן צו 500 פּפּס
udp dport 33434-33524 \
שיעור קורס 500/סעקונדע \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן אַוטבאַונד UDP טראַסעראָוטע לימיטעד צו 500 פּפּס"
## דערלויבן אַוטבאַונד הטטפּ און הטטפּס קאַנעקשאַנז
tcp dport {הטטפּ, הטטפּס} קט שטאַט נייַ \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן אַוטבאַונד הטטפּ און הטטפּס קאַנעקשאַנז"
## דערלויבן אַוטבאַונד סמטפּ סאַבמישאַן
tcp dport סאַבמישאַן קט שטאַט נייַ \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן אַוטבאַונד SMTP סאַבמישאַן"
## דערלויבן אַוטבאַונד דנס ריקוועס
udp dport 53 \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן אַוטבאַונד UDP DNS ריקוועס"
tcp dport 53 \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן אַוטבאַונד TCP DNS ריקוועס"
## דערלויבן אַוטבאַונד NTP ריקוועס
udp dport 123 \
טאָמבאַנק \
אָננעמען \
באַמערקן "דערלויבן אַוטבאַונד NTP ריקוועס"
## קלאָץ קיין גלייַכן פאַרקער, אָבער שיעור לאָגינג צו אַ מאַקסימום פון 60 אַרטיקלען / מינוט
## די פעליקייַט פּאָליטיק וועט זיין געווענדט צו גלייַכן פאַרקער
שיעור קורס 60/מינוט פּלאַצן 100 פּאַקאַץ \
קלאָץ פּרעפיקס "אויס - פאַלן:" \
באַמערקן "לאָגין קיין גלייבן פאַרקער"
## ציילן די גלייבן פאַרקער
טאָמבאַנק \
באַמערקן "ציילן קיין גלייבן פאַרקער"
}
}
# הויפּט NAT פֿילטרירונג טיש
טיש אינעט נאט {
# כּללים פֿאַר NAT פאַרקער פאַר - רוטינג
קייט פּריראָוטינג {
טיפּ נאַט פאַרטשעפּען פּריראָוטינג בילכערקייַט דסטנאַט; פּאָליטיק אָננעמען
}
# כּללים פֿאַר NAT פאַרקער נאָך רוטינג
# דעם טיש איז פּראַסעסט איידער די Firezone פּאָסט-רוטינג קייט
קייט פּאָסטראָוטינג {
טיפּ נאַט פאַרטשעפּען פּאָסטראָוטינג בילכערקייַט סרקנאַט - 5; פּאָליטיק אָננעמען
}
}
די פיירוואַל זאָל זיין סטאָרד אין די באַטייַטיק אָרט פֿאַר די לינוקס פאַרשפּרייטונג וואָס איז פליסנדיק. פֿאַר דעביאַן / ובונטו דאָס איז /etc/nftables.conf און פֿאַר RHEL דאָס איז /etc/sysconfig/nftables.conf.
nftables.service וועט זיין קאַנפיגיערד צו אָנהייבן מיט שטיוול (אויב ניט שוין) שטעלן:
systemctl געבן nftables.service
אויב איר מאַכן ענדערונגען צו די פיירוואַל מוסטער, די סינטאַקס קענען זיין וואַלאַדייטאַד דורך לויפן די טשעק באַפֿעל:
nft -f /path/to/nftables.conf -c
זייט זיכער צו וואַלאַדייט די פיירוואַל אַרבעט ווי דערוואַרט, ווייַל זיכער Nftables פֿעיִקייטן קען נישט זיין בארעכטיגט דיפּענדינג אויף די מעלדונג פליסנדיק אויף די סערווער.
_______________________________________________________________
דער דאָקומענט גיט אַן איבערבליק פון די טעלעמעטרי Firezone קאַלעקץ פֿון דיין זיך-כאָוסטיד בייַשפּיל און ווי צו דיסייבאַל עס.
פייַער זאָנע רילייז אויף טעלעמעטרי צו פּרייאָראַטייז אונדזער ראָאַדמאַפּ און אַפּטאַמייז די ינזשעניעריע רעסורסן מיר האָבן צו מאַכן Firezone בעסער פֿאַר אַלעמען.
די טעלעמעטרי וואָס מיר קלייַבן יימז צו ענטפֿערן די פאלגענדע פֿראגן:
עס זענען דריי הויפּט ערטער ווו טעלעמעטרי איז געזאמלט אין Firezone:
אין יעדער פון די דריי קאַנטעקסץ, מיר כאַפּן די מינימום סומע פון דאַטן נייטיק צו ענטפֿערן די פֿראגן אין די אָפּטיילונג אויבן.
אַדמיניסטראַטאָר ימיילז זענען געזאמלט בלויז אויב איר בפירוש אָפּט-אין צו פּראָדוקט דערהייַנטיקונגען. אַנדערש, פּערסאַנאַלי יידענאַפייד אינפֿאָרמאַציע איז קיינמאָל געזאמלט.
Firezone סטאָרז טעלעמעטרי אין אַ זיך-כאָוסטיד בייַשפּיל פון PostHog פליסנדיק אין אַ פּריוואַט Kubernetes קנויל, בלויז צוטריטלעך דורך די Firezone מאַנשאַפֿט. דאָ איז אַ ביישפּיל פון אַ טעלעמעטרי געשעעניש וואָס איז געשיקט פֿון דיין בייַשפּיל פון Firezone צו אונדזער טעלעמעטרי סערווער:
{
גיין: “0182272d-0b88-0000-d419-7b9a413713f1”,
"צייטשטעמפּל": “2022-07-22T18:30:39.748000+00:00”,
"געשעעניש": "fz_http_ סטאַרטעד",
"דיstinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"נכסים":{
"$געאָיפּ_שטאָט_נאָמען": "אשבורן",
"$geoip_continent_code": "NA",
"$געאָיפּ_קאַנטינענט_נאָמען": "צפון אַמעריקע",
"$געאָיפּ_לאַנד_קאָדע": "יו.עס.",
"$געאָיפּ_לאַנד_נאָמען": "פאַרייניקטע שטאַטן",
"$געאָיפּ_לאַטודע": 39.0469,
"$געאָיפּ_לאָנגיטודע": -קסנומקס,
"$געאָיפּ_פּאָסטאַל_קאָדע": "קסנומקס",
"$geoip_subdivision_1_code": "וואַ",
"$geoip_subdivision_1_name": "ווירדזשיניע",
"$געאָיפּ_צימע_זאָנע": "אַמעריקע / ניו_יאָרק",
"$יפּ": "קסנומקס",
"$plugins_deferred": [],
"$plugins_failed": [],
"$plugins_succeded": [
"GeoIP (3)"
],
"דיstinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"פקדן": "awsdemo.firezone.dev",
"קערנעל_ווערסיע": "לינוקס 5.13.0",
"ווערסיע": "קסנומקס"
},
"עלעמענץ_קייט": ""
}
הערות
די Firezone אַנטוויקלונג מאַנשאַפֿט רילייז אויף פּראָדוקט אַנאַליטיקס צו מאַכן Firezone בעסער פֿאַר אַלעמען. לאָזן טעלעמעטרי ענייבאַלד איז די איין מערסט ווערטפול צושטייַער איר קענען מאַכן צו Firezone ס אַנטוויקלונג. ווי געזאָגט, מיר פֿאַרשטיין אַז עטלעכע יוזערז האָבן העכער פּריוואַטקייט אָדער זיכערהייט רעקווירעמענץ און וואָלט בעסער וועלן צו דיסייבאַל טעלעמעטרי בעסאַכאַקל. אויב דאָס איז איר, האַלטן לייענען.
טעלעמעטרי איז ענייבאַלד דורך פעליקייַט. צו גאָר דיסייבאַל פּראָדוקט טעלעמעטרי, שטעלן די פאלגענדע קאַנפיגיעריישאַן אָפּציע צו פאַלש אין /etc/firezone/firezone.rb און לויפן sudo firezone-ctl reconfigure צו קלייַבן די ענדערונגען.
פעליקייַט['פירזאָנע']['טעלעמעטרי']['ערמעגליכט'] = פאַלש
דאָס וועט גאָר דיסייבאַל אַלע פּראָדוקט טעלעמעטרי.
היילביטעס
9511 קווינס גאַרד קט.
לאַורעל, מד 20723
טעלעפאָנירן: (קסנומקס) קסנומקס-קסנומקס
בליצפּאָסט: info@hailbytes.com
