Menü
Hailbytes VPN'i Firezone GUI ile dağıtmak için adım adım talimatlar burada sağlanmaktadır.
Yönet: Sunucu örneğinin ayarlanması doğrudan bu bölümle ilgilidir.
Kullanım Kılavuzları: Size Firezone'u nasıl kullanacağınızı öğretebilecek ve tipik sorunları çözebilecek yardımcı belgeler. Sunucu başarıyla konuşlandırıldıktan sonra bu bölüme bakın.
Bölünmüş Tünel Oluşturma: Yalnızca belirli IP aralıklarına trafik göndermek için VPN kullanın.
Beyaz liste: Beyaz listeyi kullanmak için bir VPN sunucusunun statik IP adresini ayarlayın.
Ters Tüneller: Ters tünelleri kullanarak birkaç eş arasında tünel oluşturun.
Hailbytes VPN'i kurma, özelleştirme veya kullanma konusunda yardıma ihtiyacınız olursa size yardımcı olmaktan memnuniyet duyarız.
Kullanıcıların aygıt yapılandırma dosyalarını oluşturabilmesi veya indirebilmesi için Firezone, kimlik doğrulama gerektirecek şekilde yapılandırılabilir. Kullanıcıların, VPN bağlantılarını etkin tutmak için periyodik olarak yeniden kimlik doğrulaması yapmaları da gerekebilir.
Firezone'un varsayılan oturum açma yöntemi yerel e-posta ve parola olsa da, herhangi bir standart OpenID Connect (OIDC) kimlik sağlayıcısıyla da entegre edilebilir. Kullanıcılar artık Okta, Google, Azure AD veya özel kimlik sağlayıcı kimlik bilgilerini kullanarak Firezone'da oturum açabilir.
Genel Bir OIDC Sağlayıcısını Entegre Edin
Bir OIDC sağlayıcı kullanarak SSO'ya izin vermek için Firezone'un ihtiyaç duyduğu yapılandırma parametreleri aşağıdaki örnekte gösterilmektedir. Yapılandırma dosyasını /etc/firezone/firezone.rb adresinde bulabilirsiniz. Uygulamayı güncellemek ve değişikliklerin etkili olması için firezone-ctl reconfigure ve firezone-ctl restart çalıştırın.
# Bu, SSO kimlik sağlayıcısı olarak Google ve Okta'nın kullanıldığı bir örnektir.
# Aynı Firezone örneğine birden çok OIDC yapılandırması eklenebilir.
# Denenirken herhangi bir hata tespit edilirse, Firezone kullanıcının VPN'ini devre dışı bırakabilir
# erişim belirteçlerini yenilemek için. Bunun Google, Okta ve
# Azure SSO ve kaldırılırsa bir kullanıcının VPN bağlantısını otomatik olarak kesmek için kullanılır
# OIDC sağlayıcısından. OIDC sağlayıcınız varsa bunu devre dışı bırakın
# erişim belirteçlerini beklenmedik bir şekilde kesintiye uğratabileceğinden, erişim belirteçlerini yenileme sorunları var
# kullanıcının VPN oturumu.
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = false
varsayılan['firezone']['kimlik doğrulama']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
Müşteri Kimliği: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
yanıt_türü: “kod”,
kapsam: “openid e-posta profili”,
etiket: "Google"
},
tamam: {
discovery_document_uri: "https:// /.iyi bilinen/openid-yapılandırması”,
Müşteri Kimliği: " ”,
client_secret: " ”,
yönlendirme_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
yanıt_türü: “kod”,
kapsam: “openid e-posta profili offline_access”,
etiket: “okta”
}
}
Entegrasyon için aşağıdaki yapılandırma ayarları gereklidir:
Her OIDC sağlayıcısı için, yapılandırılan sağlayıcının oturum açma URL'sine yeniden yönlendirme için karşılık gelen güzel bir URL oluşturulur. Yukarıdaki örnek OIDC yapılandırması için URL'ler şunlardır:
Şunlar için belgelere sahip olduğumuz sağlayıcılar:
Kimlik sağlayıcınızın genel bir OIDC bağlayıcısı varsa ve yukarıda listelenmemişse, gerekli yapılandırma ayarlarının nasıl alınacağı hakkında bilgi için lütfen belgelerine bakın.
Ayarlar/güvenlik altındaki ayar, periyodik olarak yeniden kimlik doğrulama gerektirecek şekilde değiştirilebilir. Bu, kullanıcıların VPN oturumlarına devam etmek için düzenli olarak Firezone'a girme gerekliliğini uygulamak için kullanılabilir.
Oturum uzunluğu bir saat ile doksan gün arasında olacak şekilde yapılandırılabilir. Bunu Hiçbir Zaman olarak ayarlayarak VPN oturumlarını istediğiniz zaman etkinleştirebilirsiniz. Bu standarttır.
Bir kullanıcının, süresi dolmuş bir VPN oturumunun (dağıtım sırasında belirtilen URL) yeniden kimliğini doğrulamak için VPN oturumunu sonlandırması ve Firezone portalında oturum açması gerekir.
Burada bulunan kesin müşteri talimatlarını izleyerek oturumunuzun kimliğini yeniden doğrulayabilirsiniz.
VPN Bağlantısının Durumu
Kullanıcılar sayfasının VPN Bağlantı tablosu sütunu, bir kullanıcının bağlantı durumunu görüntüler. Bunlar bağlantı durumlarıdır:
ETKİN – Bağlantı etkinleştirildi.
DEVRE DIŞI – Bağlantı, bir yönetici veya OIDC yenileme hatası tarafından devre dışı bırakıldı.
SÜRESİ DOLDU – Kimlik doğrulama süresinin dolması veya bir kullanıcının ilk kez oturum açmaması nedeniyle bağlantı devre dışı bırakıldı.
Firezone, genel OIDC bağlayıcısı aracılığıyla Google Workspace ve Cloud Identity ile Çoklu Oturum Açmayı (SSO) etkinleştirir. Bu kılavuz, entegrasyon için gerekli olan aşağıda listelenen yapılandırma parametrelerini nasıl alacağınızı gösterecektir:
1. OAuth Yapılandırma Ekranı
İlk kez yeni bir OAuth istemci kimliği oluşturuyorsanız, bir onay ekranı yapılandırmanız istenecektir.
*Kullanıcı türü için Dahili'yi seçin. Bu, yalnızca Google Workspace Kuruluşunuzdaki kullanıcılara ait hesapların cihaz yapılandırmaları oluşturabilmesini sağlar. Geçerli bir Google Hesabı olan herhangi birinin cihaz yapılandırmaları oluşturmasını istemiyorsanız Harici'yi SEÇMEYİN.
Uygulama bilgileri ekranında:
2. OAuth İstemci Kimlikleri oluşturun
Bu bölüm, Google'ın şu konudaki kendi belgelerine dayanmaktadır: OAuth 2.0 kurulumu.
Google Cloud Console'u ziyaret edin Kimlik bilgileri sayfası sayfasında, + Kimlik Bilgileri Oluştur'a tıklayın ve OAuth istemci kimliği'ni seçin.
OAuth istemci kimliği oluşturma ekranında:
OAuth müşteri kimliğini oluşturduktan sonra, size bir Müşteri Kimliği ve Müşteri Sırrı verilecektir. Bunlar, bir sonraki adımda yönlendirme URI'si ile birlikte kullanılacaktır.
Düzenle /etc/firezone/firezone.rb aşağıdaki seçenekleri dahil etmek için:
# TOA kimlik sağlayıcısı olarak Google'ı kullanma
varsayılan['firezone']['kimlik doğrulama']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
Müşteri Kimliği: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
yanıt_türü: “kod”,
kapsam: “openid e-posta profili”,
etiket: "Google"
}
}
Uygulamayı güncellemek için firezone-ctl yeniden yapılandırmasını ve firezone-ctl yeniden başlatmayı çalıştırın. Artık kök Firezone URL'sinde bir Google ile oturum aç düğmesi görmelisiniz.
Firezone, Okta ile Çoklu Oturum Açmayı (SSO) kolaylaştırmak için genel OIDC konektörünü kullanır. Bu öğretici, entegrasyon için gerekli olan ve aşağıda listelenen yapılandırma parametrelerini nasıl alacağınızı gösterecektir:
Kılavuzun bu bölümü aşağıdakilere dayanmaktadır: Okta'nın belgeleri.
Admin Console'da Uygulamalar > Uygulamalar'a gidin ve Uygulama Entegrasyonu Oluştur'a tıklayın. Oturum açma yöntemini OICD – OpenID Connect olarak ve Uygulama türünü Web uygulaması olarak ayarlayın.
Bu ayarları yapılandırın:
Ayarlar kaydedildikten sonra size bir Müşteri Kimliği, Müşteri Sırrı ve Okta Etki Alanı verilecektir. Bu 3 değer, Firezone'u yapılandırmak için Adım 2'de kullanılacaktır.
Düzenle /etc/firezone/firezone.rb aşağıdaki seçenekleri dahil etmek için. Senin Discovery_document_url olacak /.iyi bilinen/openid-yapılandırması senin sonuna eklenen okta_domain.
# Okta'yı SSO kimlik sağlayıcısı olarak kullanmak
varsayılan['firezone']['kimlik doğrulama']['oidc'] = {
tamam: {
discovery_document_uri: "https:// /.iyi bilinen/openid-yapılandırması”,
Müşteri Kimliği: " ”,
client_secret: " ”,
yönlendirme_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
yanıt_türü: “kod”,
kapsam: “openid e-posta profili offline_access”,
etiket: “okta”
}
}
Uygulamayı güncellemek için firezone-ctl yeniden yapılandırmasını ve firezone-ctl yeniden başlatmayı çalıştırın. Artık kök Firezone URL'sinde Okta ile oturum aç düğmesini görmelisiniz.
Firezone uygulamasına erişebilen kullanıcılar Okta tarafından kısıtlanabilir. Bunu gerçekleştirmek için Okta Yönetici Konsolunuzun Firezone Uygulama Entegrasyonu'nun Atamalar sayfasına gidin.
Firezone, genel OIDC bağlayıcısı aracılığıyla Azure Active Directory ile Çoklu Oturum Açmayı (SSO) etkinleştirir. Bu kılavuz size entegrasyon için gerekli olan ve aşağıda listelenen yapılandırma parametrelerini nasıl alacağınızı gösterecektir:
Bu kılavuz şu adresten alınmıştır: Azure Active Directory Belgeleri.
Azure portalının Azure Active Directory sayfasına gidin. Yönet menü seçeneğini seçin, Yeni Kayıt'ı seçin, ardından aşağıdaki bilgileri sağlayarak kaydolun:
Kaydolduktan sonra, uygulamanın ayrıntılar görünümünü açın ve kopyalayın Uygulama (müşteri) kimliği. Bu, client_id değeri olacaktır. Ardından, almak için uç noktalar menüsünü açın. OpenID Connect meta veri belgesi. Bu discovery_document_uri değeri olacaktır.
Yönet menüsü altındaki Sertifikalar ve sırlar seçeneğine tıklayarak yeni bir müşteri sırrı oluşturun. İstemci sırrını kopyalayın; müşteri sırrı değeri bu olacaktır.
Son olarak, Yönet menüsü altındaki API izinleri bağlantısını seçin, tıklayın İzin ekleSeçin ve Microsoft Grafiği. Ekle E-posta, açık kimlik, çevrimdışı_erişim ve profil gerekli izinlere.
Düzenle /etc/firezone/firezone.rb aşağıdaki seçenekleri dahil etmek için:
# Azure Active Directory'yi SSO kimlik sağlayıcısı olarak kullanma
varsayılan['firezone']['kimlik doğrulama']['oidc'] = {
gök mavisi: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
Müşteri Kimliği: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
yanıt_türü: “kod”,
kapsam: “openid e-posta profili offline_access”,
etiket: “Azure”
}
}
Uygulamayı güncellemek için firezone-ctl yeniden yapılandırmasını ve firezone-ctl yeniden başlatmayı çalıştırın. Artık kök Firezone URL'sinde Azure ile Oturum Aç düğmesini görmelisiniz.
Azure AD, yöneticilerin uygulama erişimini şirketinizdeki belirli bir kullanıcı grubuyla sınırlamasına olanak tanır. Bunun nasıl yapılacağı hakkında daha fazla bilgi Microsoft'un belgelerinde bulunabilir.
Chef Omnibus, Firezone tarafından sürüm paketleme, süreç denetimi, günlük yönetimi ve daha fazlasını içeren görevleri yönetmek için kullanılır.
Ruby kodu, /etc/firezone/firezone.rb konumunda bulunan birincil yapılandırma dosyasını oluşturur. Bu dosyada değişiklikler yaptıktan sonra sudo firezone-ctl reconfigure yeniden başlatmak, Chef'in değişiklikleri tanımasına ve mevcut işletim sistemine uygulamasına neden olur.
Yapılandırma değişkenlerinin tam listesi ve açıklamaları için yapılandırma dosyası referansına bakın.
Firezone örneğiniz şu adresten yönetilebilir: ateş bölgesi-ctl komut, aşağıda gösterildiği gibi. Çoğu alt komut, ile ön ek gerektirir sudo.
root@demo:~# firezone-ctl
omnibus-ctl: komut (alt komut)
Genel Komutlar:
temizlemek
*tüm* firezone verilerini silin ve sıfırdan başlayın.
yönetici oluştur veya sıfırla
Varsayılan olarak belirtilen e-postaya sahip yöneticinin parolasını sıfırlar['firezone']['admin_email'] veya bu e-posta mevcut değilse yeni bir yönetici oluşturur.
yardım et
Bu yardım mesajını yazdırın.
yeniden
Uygulamayı yeniden yapılandırın.
ağ sıfırlama
Nftable'ları, WireGuard arabirimini ve yönlendirme tablosunu Firezone varsayılanlarına sıfırlar.
show-config
Yeniden yapılandırma ile oluşturulacak yapılandırmayı gösterin.
sökme ağı
WireGuard arayüzünü ve firezone nftables tablosunu kaldırır.
zorunlu sertifika yenileme
Süresi dolmamış olsa bile sertifika yenilemeyi şimdi zorunlu kılın.
durdurma sertifikası yenileme
Sertifikaları yenileyen cronjob'u kaldırır.
kaldırma
Tüm işlemleri sonlandırın ve işlem süpervizörünü kaldırın (veriler korunacaktır).
versiyon
Firezone'un geçerli sürümünü göster
Hizmet Yönetimi Komutları:
zarif öldürme
Zarif bir şekilde durmayı deneyin, ardından tüm süreç grubunu SIGKILL yapın.
hup
Servislere bir HUP gönderin.
int
Hizmetlere bir INT gönderin.
öldürmek
Hizmetlere bir KILL gönderin.
bir Zamanlar
Hizmetleri kapalıysa başlatın. Dururlarsa yeniden başlatmayın.
yeniden
Hizmetleri çalışıyorsa durdurun, ardından yeniden başlatın.
hizmet listesi
Tüm servisleri listeleyin (etkin servisler * ile görünür.)
başlama
Hizmetleri kapalıysa başlatın ve dururlarsa yeniden başlatın.
durum
Tüm hizmetlerin durumunu göster.
durdurmak
Hizmetleri durdurun ve yeniden başlatmayın.
kuyruk
Tüm etkin servislerin servis günlüklerini izleyin.
dönem
Hizmetlere bir TERM gönderin.
usr1
Hizmetlere bir USR1 gönderin.
usr2
Hizmetlere bir USR2 gönderin.
Web kullanıcı arabiriminin kapatılmasını da gerektiren Firezone yükseltilmeden önce tüm VPN oturumları sonlandırılmalıdır. Yükseltme sırasında bir şeylerin ters gitmesi durumunda, bakım için bir saat ayırmanızı öneririz.
Firezone'u geliştirmek için aşağıdaki işlemleri yapın:
Herhangi bir sorun ortaya çıkarsa, lütfen bize bildirin destek bileti gönderme.
0.5.0'da ele alınması gereken birkaç önemli değişiklik ve yapılandırma değişikliği vardır. Aşağıda daha fazlasını öğrenin.
Nginx, 0.5.0 sürümünden itibaren artık zorunlu SSL ve SSL olmayan bağlantı noktası parametrelerini desteklememektedir. Firezone'un çalışması için SSL'ye ihtiyacı olduğundan, default['firezone']['nginx']['enabled'] = false olarak ayarlayarak ve ters proxy'nizi bunun yerine 13000 numaralı bağlantı noktasındaki Phoenix uygulamasına yönlendirerek (varsayılan olarak) Nginx hizmet paketini kaldırmanızı öneririz. ).
0.5.0, birlikte verilen Nginx hizmetiyle SSL sertifikalarının otomatik olarak yenilenmesi için ACME protokolü desteği sunar. Etkinleştirmek,
Firezone 0.5.0'da yinelenen hedeflerle kural ekleme olasılığı ortadan kalktı. Geçiş komut dosyamız, 0.5.0'a yükseltme sırasında bu durumları otomatik olarak tanıyacak ve yalnızca hedefi diğer kuralı içeren kuralları koruyacaktır. Bu uygunsa yapmanız gereken bir şey yok.
Aksi takdirde, yükseltme yapmadan önce, bu durumlardan kurtulmak için kural setinizi değiştirmenizi öneririz.
Firezone 0.5.0, eski tarz Okta ve Google SSO yapılandırması desteğini kaldırarak yeni, daha esnek OIDC tabanlı yapılandırma lehine.
Varsayılan['firezone']['authentication']['okta'] veya varsayılan['firezone']['authentication']['google'] anahtarları altında herhangi bir yapılandırmanız varsa, bunları OIDC'mize taşımanız gerekir Aşağıdaki kılavuzu kullanarak tabanlı yapılandırma.
Mevcut Google OAuth yapılandırması
/etc/firezone/firezone.rb konumunda bulunan yapılandırma dosyanızdan eski Google OAuth yapılandırmalarını içeren bu satırları kaldırın
varsayılan['firezone']['kimlik doğrulama']['google']['etkin']
varsayılan['firezone']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
varsayılan['firezone']['kimlik doğrulama']['google']['redirect_uri']
Ardından, buradaki prosedürleri izleyerek Google'ı bir OIDC sağlayıcısı olarak yapılandırın.
(Bağlantı talimatlarını sağlayın)<<<<<<<<<<<<<<<<
Mevcut Google OAuth'u Yapılandırın
Eski Okta OAuth yapılandırmalarını içeren bu satırları şu adreste bulunan yapılandırma dosyanızdan kaldırın: /etc/firezone/firezone.rb
varsayılan['firezone']['kimlik doğrulama']['okta']['etkin']
default['firezone']['authentication']['okta']['client_id']
default['firezone']['authentication']['okta']['client_secret']
Varsayılan['firezone']['kimlik doğrulama']['okta']['site']
Ardından, buradaki prosedürleri izleyerek Okta'yı bir OIDC sağlayıcısı olarak yapılandırın.
Mevcut kurulumunuza ve sürümünüze bağlı olarak aşağıdaki yönergelere uyun:
Zaten bir OIDC entegrasyonunuz varsa:
Bazı OIDC sağlayıcıları için >= 0.3.16'ya yükseltme, çevrimdışı erişim kapsamı için bir yenileme belirteci edinmeyi gerektirir. Bu sayede Firezone'un kimlik sağlayıcı ile güncellenmesi ve bir kullanıcı silindikten sonra VPN bağlantısının kesilmesi sağlanır. Firezone'un önceki yinelemelerinde bu özellik yoktu. Bazı durumlarda, kimlik sağlayıcınızdan silinen kullanıcılar hala bir VPN'e bağlı olabilir.
Çevrimdışı erişim kapsamını destekleyen OIDC sağlayıcıları için OIDC yapılandırmanızın kapsam parametresine çevrimdışı erişimi dahil etmeniz gerekir. Değişiklikleri /etc/firezone/firezone.rb konumunda bulunan Firezone yapılandırma dosyasına uygulamak için Firezone-ctl yeniden yapılandırması yürütülmelidir.
OIDC sağlayıcınız tarafından kimliği doğrulanan kullanıcılar için, Firezone yenileme belirtecini başarıyla alabilirse, web kullanıcı arayüzünün kullanıcı ayrıntıları sayfasında OIDC Bağlantıları başlığını göreceksiniz.
Bu işe yaramazsa mevcut OAuth uygulamanızı silmeniz ve OIDC kurulum adımlarını tekrarlamanız gerekir. yeni bir uygulama entegrasyonu oluştur .
Mevcut bir OAuth entegrasyonum var
0.3.11'den önce, Firezone önceden yapılandırılmış OAuth2 sağlayıcıları kullanıyordu.
Talimatları takip et okuyun OIDC'ye geçmek için.
Bir kimlik sağlayıcı entegre etmedim
Eyleme gerek yok.
Talimatları takip edebilirsiniz okuyun Bir OIDC sağlayıcı aracılığıyla SSO'yu etkinleştirmek için.
Onun yerine default['firezone']['external url'], default['firezone']['fqdn'] yapılandırma seçeneğinin yerini almıştır.
Bunu, herkesin erişebileceği Firezone çevrimiçi portalınızın URL'sine ayarlayın. Tanımsız bırakılırsa varsayılan olarak https:// artı sunucunuzun FQDN'si olacaktır.
Yapılandırma dosyası /etc/firezone/firezone.rb konumunda bulunur. Yapılandırma değişkenlerinin tam listesi ve açıklamaları için yapılandırma dosyası referansına bakın.
Firezone, 0.3.0 sürümünden itibaren artık cihaz özel anahtarlarını Firezone sunucusunda tutmamaktadır.
Firezone Web Kullanıcı Arayüzü, bu yapılandırmaları yeniden indirmenize veya görmenize izin vermez, ancak mevcut herhangi bir cihaz olduğu gibi çalışmaya devam etmelidir.
Firezone 0.1.x'ten yükseltme yapıyorsanız, manuel olarak ele alınması gereken birkaç yapılandırma dosyası değişikliği vardır.
/etc/firezone/firezone.rb dosyanızda gerekli değişiklikleri yapmak için aşağıdaki komutları root olarak çalıştırın.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
yankı "default['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb
yankı “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl yeniden yapılandırma
firezone-ctl yeniden başlatma
Firezone günlüklerini kontrol etmek, oluşabilecek sorunlar için akıllıca bir ilk adımdır.
Firezone günlüklerini görüntülemek için sudo firezone-ctl tail komutunu çalıştırın.
Firezone ile bağlantı sorunlarının çoğu, uyumsuz iptables veya nftables kurallarından kaynaklanmaktadır. Yürürlükte olan herhangi bir kuralın Firezone kurallarıyla çakışmadığından emin olmalısınız.
WireGuard tünelinizi her etkinleştirdiğinizde İnternet bağlantınız bozulursa, FORWARD zincirinin WireGuard istemcilerinizden Firezone aracılığıyla izin vermek istediğiniz konumlara paketlere izin verdiğinden emin olun.
Bu, varsayılan yönlendirme politikasının şunlara izin vermesini sağlayarak ufw kullanıyorsanız elde edilebilir:
ubuntu@fz:~$ sudo ufw varsayılan yönlendirmeye izin ver
Varsayılan yönlendirme politikası "izin ver" olarak değiştirildi
(kurallarınızı buna göre güncellediğinizden emin olun)
A ufw Tipik bir Firezone sunucusunun durumu şöyle görünebilir:
ubuntu@fz:~$ sudo ufw durumu ayrıntılı
Durum: aktif
Günlüğe kaydetme: açık (düşük)
Varsayılan: reddet (gelen), izin ver (giden), izin ver (yönlendirilen)
Yeni profiller: atla
Eylem Kimden
— —— —-
22/tcp HER YERDE İZİN VER
80/tcp HER YERDE İZİN VER
443/tcp HER YERDE İZİN VER
51820/udp HERHANGİ BİR YERE İZİN VER
22/tcp (v6) Her Yerde İZİN VER (v6)
80/tcp (v6) Her Yerde İZİN VER (v6)
443/tcp (v6) Her Yerde İZİN VER (v6)
51820/udp (v6) Her Yerde İZİN VER (v6)
Aşağıda açıklandığı gibi, son derece hassas ve görev açısından kritik üretim dağıtımları için web arayüzüne erişimin sınırlandırılmasını tavsiye ediyoruz.
Hizmet | Varsayılan Bağlantı Noktası | Adresi Dinle | Açıklama |
nginx | 80, 443 | herşey | Firezone'u yönetmek ve kimlik doğrulamayı kolaylaştırmak için genel HTTP(S) bağlantı noktası. |
Wireguard | 51820 | herşey | VPN oturumları için kullanılan genel WireGuard bağlantı noktası. (ÜDP) |
postgreSQL | 15432 | 127.0.0.1 | Paketlenmiş Postgresql sunucusu için kullanılan yalnızca yerel bağlantı noktası. |
anka kuşu | 13000 | 127.0.0.1 | Yukarı akış iksiri uygulama sunucusu tarafından kullanılan yalnızca yerel bağlantı noktası. |
Firezone'un herkese açık web kullanıcı arayüzüne (varsayılan olarak 443/tcp ve 80/tcp bağlantı noktaları) erişimi kısıtlamayı düşünmenizi ve bunun yerine tek bir yöneticinin sorumlu olacağı üretim ve halka açık dağıtımlar için Firezone'u yönetmek üzere WireGuard tünelini kullanmanızı öneririz. cihaz yapılandırmalarını oluşturma ve son kullanıcılara dağıtma.
Örneğin, bir yönetici bir aygıt yapılandırması oluşturduysa ve yerel WireGuard adresi 10.3.2.2 ile bir tünel oluşturduysa, aşağıdaki ufw yapılandırması, yöneticinin varsayılan 10.3.2.1'i kullanarak sunucunun wg-firezone arayüzündeki Firezone web kullanıcı arayüzüne erişmesini sağlar. tünel adresi:
root@demo:~# ufw durumu ayrıntılı
Durum: aktif
Günlüğe kaydetme: açık (düşük)
Varsayılan: reddet (gelen), izin ver (giden), izin ver (yönlendirilen)
Yeni profiller: atla
Eylem Kimden
— —— —-
22/tcp HER YERDE İZİN VER
51820/udp HERHANGİ BİR YERE İZİN VER
Her yerde İZİN VER 10.3.2.2
22/tcp (v6) Her Yerde İZİN VER (v6)
51820/udp (v6) Her Yerde İZİN VER (v6)
Bu sadece bırakacak 22/tcp sunucuyu yönetmek için SSH erişimine açık (isteğe bağlı) ve 51820/udp WireGuard tünelleri oluşturmak için açığa çıkarıldı.
Firezone, bir Postgresql sunucusunu ve eşleştirmeyi paketler psql'in yerel kabuktan şu şekilde kullanılabilen yardımcı program:
/opt/firezone/gömülü/bin/psql \
-U yangın bölgesi \
-d yangın bölgesi \
-h yerel ana bilgisayar \
-p 15432 \
-c "SQL_STATEMENT"
Bu, hata ayıklama amaçları için yararlı olabilir.
Ortak görevler:
Tüm kullanıcıları listeleme:
/opt/firezone/gömülü/bin/psql \
-U yangın bölgesi \
-d yangın bölgesi \
-h yerel ana bilgisayar \
-p 15432 \
-c “Kullanıcılardan * SEÇİN;”
Tüm cihazları listeleme:
/opt/firezone/gömülü/bin/psql \
-U yangın bölgesi \
-d yangın bölgesi \
-h yerel ana bilgisayar \
-p 15432 \
-c “Cihazlardan * SEÇİN;”
Bir kullanıcı rolünü değiştirin:
Rolü "yönetici" veya "ayrıcalıksız" olarak ayarlayın:
/opt/firezone/gömülü/bin/psql \
-U yangın bölgesi \
-d yangın bölgesi \
-h yerel ana bilgisayar \
-p 15432 \
-c "GÜNCELLEME kullanıcıları SET rolü = 'admin' NEREDE e-posta = 'user@example.com';”
Veritabanının yedeklenmesi:
Ayrıca, veritabanının düzenli yedeklerini almak için kullanılabilecek pg dump programı da dahildir. Veritabanının bir kopyasını ortak SQL sorgu biçiminde dökmek için aşağıdaki kodu yürütün ( /path/to/backup.sql yerine SQL dosyasının oluşturulması gereken konumu yazın):
/opt/firezone/embedded/bin/pg_dump \
-U yangın bölgesi \
-d yangın bölgesi \
-h yerel ana bilgisayar \
-p 15432 > /yol/to/backup.sql
Firezone başarıyla dağıtıldıktan sonra, ağınıza erişmelerini sağlamak için kullanıcıları eklemelisiniz. Web kullanıcı arabirimi bunu yapmak için kullanılır.
/users altındaki “Kullanıcı Ekle” butonunu seçerek kullanıcı ekleyebilirsiniz. Kullanıcıya bir e-posta adresi ve şifre vermeniz istenecektir. Kuruluşunuzdaki kullanıcılara otomatik olarak erişim sağlamak için Firezone ayrıca bir kimlik sağlayıcıyla arayüz oluşturabilir ve senkronize edebilir. Daha fazla ayrıntı şu adreste mevcuttur: Kimlik doğrulaması. < Kimlik Doğrulaması için bir bağlantı ekleyin
Özel anahtarın yalnızca onlar tarafından görülebilmesi için kullanıcıların kendi cihaz yapılandırmalarını oluşturmalarını istemenizi öneririz. Kullanıcılar, sayfadaki yönergeleri izleyerek kendi cihaz yapılandırmalarını oluşturabilir. İstemci Talimatları sayfa.
Tüm kullanıcı cihazı yapılandırmaları, Firezone yöneticileri tarafından oluşturulabilir. /users konumunda bulunan kullanıcı profili sayfasında, bunu gerçekleştirmek için “Cihaz Ekle” seçeneğini seçin.
[Ekran görüntüsü ekle]
Cihaz profilini oluşturduktan sonra kullanıcıya WireGuard yapılandırma dosyasını e-posta ile gönderebilirsiniz.
Kullanıcılar ve cihazlar birbirine bağlıdır. Bir kullanıcının nasıl ekleneceği hakkında daha fazla bilgi için, bkz. Kullanıcı ekle.
Çekirdeğin netfilter sisteminin kullanılmasıyla Firezone, DROP veya ACCEPT paketlerini belirtmek için çıkış filtreleme yeteneklerini etkinleştirir. Normalde tüm trafiğe izin verilir.
IPv4 ve IPv6 CIDR'ler ve IP adresleri, sırasıyla İzin Verilenler Listesi ve Reddetme Listesi aracılığıyla desteklenir. Bir kuralı eklerken bir kullanıcıyı kapsama almayı seçebilirsiniz; bu, kuralı söz konusu kullanıcının tüm cihazlarına uygular.
Yükle ve yapılandır
Yerel WireGuard istemcisini kullanarak bir VPN bağlantısı kurmak için bu kılavuza bakın.
Burada bulunan Resmi WireGuard istemcileri Firezone uyumludur:
Yukarıda belirtilmeyen OS sistemleri için https://www.wireguard.com/install/ adresindeki resmi WireGuard web sitesini ziyaret edin.
Firezone yöneticiniz veya kendiniz, Firezone portalını kullanarak cihaz yapılandırma dosyasını oluşturabilirsiniz.
Kendi kendine bir cihaz yapılandırma dosyası oluşturmak için Firezone yöneticinizin sağladığı URL'yi ziyaret edin. Firmanızın bunun için benzersiz bir URL'si olacaktır; bu durumda https://instance-id.yourfirezone.com olur.
Firezone Okta SSO'da oturum açın
[Ekran Görüntüsü Ekle]
.conf dosyasını açarak WireGuard istemcisine aktarın. Etkinleştir düğmesini çevirerek bir VPN oturumu başlatabilirsiniz.
[Ekran Görüntüsü Ekle]
Ağ yöneticiniz, VPN bağlantınızı etkin tutmak için yinelenen kimlik doğrulamasını zorunlu kıldıysa, aşağıdaki talimatları izleyin.
İhtiyacınız olanlar:
Firezone portalının URL'si: Bağlantı için ağ yöneticinize danışın.
Ağ yöneticiniz kullanıcı adınızı ve parolanızı sunabilmelidir. Firezone sitesi, işvereninizin kullandığı tek oturum açma hizmetini (Google veya Okta gibi) kullanarak oturum açmanızı isteyecektir.
[Ekran Görüntüsü Ekle]
Firezone portalının URL'sine gidin ve ağ yöneticinizin sağladığı kimlik bilgilerini kullanarak oturum açın. Halihazırda oturum açtıysanız, yeniden oturum açmadan önce Yeniden Kimlik Doğrula düğmesini tıklayın.
[Ekran Görüntüsü Ekle]
[Ekran Görüntüsü Ekle]
Linux cihazlarda Network Manager CLI kullanarak WireGuard yapılandırma profilini içe aktarmak için bu talimatları izleyin (nmcli).
Profilde IPv6 desteği etkinleştirilmişse, Ağ Yöneticisi GUI'sini kullanarak yapılandırma dosyasını içe aktarma girişimi aşağıdaki hatayla başarısız olabilir:
ipv6.method: "auto" yöntemi WireGuard için desteklenmiyor
WireGuard kullanıcı alanı yardımcı programlarının kurulması gereklidir. Bu, Linux dağıtımları için wireguard veya wireguard-tools adlı bir paket olacaktır.
Ubuntu/Debian için:
sudo apt wireguard'ı kur
Fedora'yı kullanmak için:
sudo dnf wireguard araçlarını kurun
Arch Linux:
sudo pacman -S wireguard araçları
Yukarıda belirtilmeyen dağıtımlar için https://www.wireguard.com/install/ adresindeki resmi WireGuard web sitesini ziyaret edin.
Firezone yöneticiniz veya kendi oluşturduğunuz kişi, Firezone portalını kullanarak cihaz yapılandırma dosyasını oluşturabilir.
Kendi kendine bir cihaz yapılandırma dosyası oluşturmak için Firezone yöneticinizin sağladığı URL'yi ziyaret edin. Firmanızın bunun için benzersiz bir URL'si olacaktır; bu durumda https://instance-id.yourfirezone.com olur.
[Ekran Görüntüsü Ekle]
Sağlanan yapılandırma dosyasını nmcli kullanarak içe aktarın:
sudo nmcli bağlantısı içe aktarma türü wireguard dosyası /yol/to/configuration.conf
Yapılandırma dosyasının adı, WireGuard bağlantısına/arayüzüne karşılık gelir. İçe aktarma işleminden sonra, gerekirse bağlantı yeniden adlandırılabilir:
nmcli bağlantısı değiştir [eski ad] connection.id [yeni ad]
Komut satırı aracılığıyla VPN'ye aşağıdaki gibi bağlanın:
nmcli bağlantısı [vpn adı]
Bağlantıyı kesmek için:
nmcli bağlantısı kesildi [vpn adı]
İlgili Ağ Yöneticisi uygulaması, bir GUI kullanılıyorsa bağlantıyı yönetmek için de kullanılabilir.
Otomatik bağlantı seçeneği için “evet” seçilerek, VPN bağlantısı otomatik olarak bağlanacak şekilde yapılandırılabilir:
nmcli bağlantısı [vpn adı] bağlantısını değiştirir. <<<<<<<<<<<<<<<<<<<<<
otomatik bağlantı evet
Otomatik bağlantıyı devre dışı bırakmak için hayır olarak ayarlayın:
nmcli bağlantısı [vpn adı] bağlantısını değiştirir.
otomatik bağlantı yok
MFA'yı etkinleştirmek için Firezone portalının /user account/register mfa sayfasına gidin. Oluşturulduktan sonra QR kodunu taramak için kimlik doğrulayıcı uygulamanızı kullanın, ardından altı haneli kodu girin.
Kimlik doğrulayıcı uygulamanızı kaybederseniz, hesabınızın erişim bilgilerini sıfırlamak için Yöneticinizle iletişime geçin.
Bu eğitim, WireGuard'ın bölünmüş tünel özelliğini Firezone ile kurma sürecinde size yol gösterecek, böylece yalnızca belirli IP aralıklarına giden trafik VPN sunucusu üzerinden iletilecektir.
/settings/default sayfasında bulunan Allowed IPs alanında client'ın network trafiğini yönlendireceği IP aralıkları belirtilir. Bu alandaki değişikliklerden yalnızca Firezone tarafından üretilen yeni oluşturulan WireGuard tünel yapılandırmaları etkilenecektir.
[Ekran Görüntüsü Ekle]
Varsayılan değer, istemciden VPN sunucusuna tüm ağ trafiğini yönlendiren 0.0.0.0/0, ::/0 şeklindedir.
Bu alandaki değer örnekleri şunları içerir:
0.0.0.0/0, ::/0 – tüm ağ trafiği VPN sunucusuna yönlendirilecektir.
192.0.2.3/32 – VPN sunucusuna yalnızca tek bir IP adresine giden trafik yönlendirilecektir.
3.5.140.0/22 – VPN sunucusuna yalnızca 3.5.140.1 – 3.5.143.254 aralığındaki IP'lere yönelik trafik yönlendirilecektir. Bu örnekte, ap-kuzeydoğu-2 AWS bölgesi için CIDR aralığı kullanılmıştır.
Firezone, bir paketin nereye yönlendirileceğini belirlerken ilk önce en kesin yolla ilişkili çıkış arayüzünü seçer.
Kullanıcılar, mevcut kullanıcı cihazlarını yeni bölünmüş tünel yapılandırmasıyla güncellemek için yapılandırma dosyalarını yeniden oluşturmalı ve bunları yerel WireGuard istemcilerine eklemelidir.
Talimatlar için bkz. cihaz ekle. <<<<<<<<<<< Bağlantı ekle
Bu kılavuz, Firezone'u geçiş olarak kullanarak iki cihazın nasıl bağlanacağını gösterecektir. Tipik bir kullanım örneği, bir yöneticinin NAT veya güvenlik duvarı tarafından korunan bir sunucuya, kapsayıcıya veya makineye erişmesini sağlamaktır.
Bu çizim, A ve B Cihazlarının bir tünel oluşturduğu basit bir senaryoyu göstermektedir.
[Yangın bölgesi mimari resmini ekleyin]
/users/[user_id]/new_device konumuna giderek Cihaz A ve Cihaz B oluşturarak başlayın. Her cihazın ayarlarında, aşağıdaki parametrelerin aşağıda listelenen değerlere ayarlandığından emin olun. Cihaz yapılandırmasını oluştururken cihaz ayarlarını belirleyebilirsiniz (bkz. Cihaz Ekleme). Mevcut bir cihazdaki ayarları güncellemeniz gerekirse, bunu yeni bir cihaz yapılandırması oluşturarak yapabilirsiniz.
Tüm aygıtların, PersistentKeepalive'in yapılandırılabileceği bir /settings/defaults sayfası olduğunu unutmayın.
İzin Verilen IP'ler = 10.3.2.2/32
Bu, B Cihazının IP'si veya IP aralığıdır
KalıcıKeepalive = 25
Aygıt bir NAT'ın arkasındaysa bu, aygıtın tüneli canlı tutabilmesini ve WireGuard arabiriminden paketleri almaya devam edebilmesini sağlar. Genellikle 25 değeri yeterlidir, ancak ortamınıza bağlı olarak bu değeri düşürmeniz gerekebilir.
İzin Verilen IP'ler = 10.3.2.3/32
Bu, A Cihazının IP'si veya IP aralığıdır.
KalıcıKeepalive = 25
Bu örnek, A Cihazının B ve D Cihazları ile her iki yönde de iletişim kurabildiği bir durumu göstermektedir. Bu kurulum, çeşitli ağlarda çok sayıda kaynağa (sunucular, konteynerler veya makineler) erişen bir mühendis veya yöneticiyi temsil edebilir.
[Mimari Şema]<<<<<<<<<<<<<<<<<<<<<<
Her cihazın ayarlarında aşağıdaki ayarların ilgili değerlere yapıldığından emin olun. Cihaz yapılandırmasını oluştururken, cihaz ayarlarını belirleyebilirsiniz (bkz. Cihaz Ekleme). Mevcut bir cihazdaki ayarların güncellenmesi gerekiyorsa yeni bir cihaz yapılandırması oluşturulabilir.
İzin Verilen IP'ler = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Bu, B'den D'ye kadar olan cihazların IP'sidir. B'den D'ye kadar olan Cihazların IP'leri, ayarlamayı seçtiğiniz herhangi bir IP aralığına dahil edilmelidir.
KalıcıKeepalive = 25
Bu, cihazın bir NAT tarafından korunuyor olsa bile tüneli koruyabilmesini ve WireGuard arayüzünden paket almaya devam edebilmesini garanti eder. Çoğu durumda 25 değeri yeterlidir, ancak çevrenize bağlı olarak bu rakamı düşürmeniz gerekebilir.
Firezone, ekibinizin tüm trafiğinin dışarı akacağı tek bir statik çıkış IP'si sunmak için bir NAT ağ geçidi olarak kullanılabilir. Bu durumlar, sık kullanımını içerir:
Danışmanlık Etkileşimleri: Müşterinizden, her çalışanın benzersiz cihaz IP'si yerine tek bir statik IP adresini beyaz listeye almasını isteyin.
Güvenlik veya gizlilik amacıyla bir proxy kullanma veya kaynak IP'nizi maskeleme.
Bu gönderide, şirket içinde barındırılan bir web uygulamasına erişimi Firezone çalıştıran beyaz listeye alınmış tek bir statik IP ile sınırlamanın basit bir örneği gösterilecektir. Bu çizimde, Firezone ve korunan kaynak farklı VPC alanlarındadır.
Bu çözüm, erişim listesi genişledikçe zaman alıcı olabilen çok sayıda son kullanıcı için bir IP beyaz listesini yönetmek yerine sıklıkla kullanılır.
Amacımız, VPN trafiğini kısıtlanmış kaynağa yönlendirmek için bir EC2 bulut sunucusunda bir Firezone sunucusu kurmaktır. Bu örnekte Firezone, bağlı her cihaza benzersiz bir genel çıkış IP'si vermek için bir ağ proxy'si veya NAT ağ geçidi olarak hizmet vermektedir.
Bu durumda, tc2.micro adlı bir EC2 bulut sunucusunun üzerinde bir Firezone bulut sunucusu kuruludur. Firezone'u dağıtma hakkında bilgi için Dağıtım Kılavuzu'na gidin. AWS ile ilgili olarak şunlardan emin olun:
Firezone EC2 bulut sunucusunun güvenlik grubu, korunan kaynağın IP adresine giden trafiğe izin verir.
Firezone örneği, esnek bir IP ile birlikte gelir. Firezone örneği aracılığıyla dış hedeflere iletilen trafik, kaynak IP adresi olarak buna sahip olacaktır. Söz konusu IP adresi 52.202.88.54'tür.
[Ekran Görüntüsü Ekle]<<<<<<<<<<<<<<<<<<<<<<<
Kendi kendine barındırılan bir web uygulaması, bu durumda korunan kaynak görevi görür. Web uygulamasına yalnızca 52.202.88.54 IP adresinden gelen istekler ile erişilebilir. Kaynağa bağlı olarak, çeşitli bağlantı noktalarında ve trafik türlerinde gelen trafiğe izin verilmesi gerekebilir. Bu, bu kılavuzda ele alınmamıştır.
[Ekran görüntüsü ekle]<<<<<<<<<<<<<<<<<<<<<<<
Lütfen korunan kaynaktan sorumlu üçüncü tarafa Adım 1'de tanımlanan statik IP'den gelen trafiğe izin verilmesi gerektiğini söyleyin (bu durumda 52.202.88.54).
Varsayılan olarak, tüm kullanıcı trafiği VPN sunucusundan geçer ve Adım 1'de yapılandırılan statik IP'den gelir (bu durumda 52.202.88.54). Ancak, bölünmüş tünel etkinleştirildiyse, korunan kaynağın hedef IP'sinin İzin Verilen IP'ler arasında listelendiğinden emin olmak için ayarlar gerekli olabilir.
Aşağıda gösterilen, mevcut yapılandırma seçeneklerinin tam listesidir. /etc/firezone/firezone.rb.
seçenek | tanım | varsayılan değer |
varsayılan['firezone']['external_url'] | Bu Firezone örneğinin web portalına erişmek için kullanılan URL. | “https://#{düğüm['fqdn'] || düğüm['hostname']}” |
varsayılan['firezone']['config_directory'] | Firezone yapılandırması için üst düzey dizin. | /etc/yangın bölgesi' |
varsayılan['firezone']['install_directory'] | Firezone'un kurulacağı en üst düzey dizin. | /seç/yangın bölgesi' |
varsayılan['firezone']['app_directory'] | Firezone web uygulamasını yüklemek için üst düzey dizin. | "#{node['firezone']['install_directory']}/embedded/service/firezone" |
varsayılan['firezone']['log_directory'] | Firezone günlükleri için üst düzey dizin. | /var/log/yangın bölgesi' |
varsayılan['firezone']['var_directory'] | Firezone çalışma zamanı dosyaları için üst düzey dizin. | /var/opt/yangın bölgesi' |
varsayılan['firezone']['kullanıcı'] | Çoğu hizmet ve dosyanın ait olacağı ayrıcalıksız Linux kullanıcısının adı. | ateş Bölgesi' |
varsayılan['yangın bölgesi']['grup'] | Çoğu hizmet ve dosyanın ait olacağı Linux grubunun adı. | ateş Bölgesi' |
varsayılan['firezone']['admin_email'] | İlk Firezone kullanıcısı için e-posta adresi. | “firezone@localhost” |
varsayılan['firezone']['max_devices_per_user'] | Bir kullanıcının sahip olabileceği maksimum cihaz sayısı. | 10 |
varsayılan['firezone']['allow_unprivileged_device_management'] | Yönetici olmayan kullanıcıların cihaz oluşturmasına ve silmesine izin verir. | DOĞRU |
varsayılan['firezone']['allow_unprivileged_device_configuration'] | Yönetici olmayan kullanıcıların cihaz yapılandırmalarını değiştirmesine izin verir. Devre dışı bırakıldığında, ayrıcalığı olmayan kullanıcıların ad ve açıklama dışındaki tüm cihaz alanlarını değiştirmesini engeller. | DOĞRU |
default['firezone']['egress_interface'] | Tünellenen trafiğin çıkacağı arayüz adı. nil ise, varsayılan rota arabirimi kullanılacaktır. | sıfır |
varsayılan['firezone']['fips_enabled'] | OpenSSL FIPs modunu etkinleştirin veya devre dışı bırakın. | sıfır |
varsayılan['firezone']['log']['etkin'] | Firezone genelinde günlüğe kaydetmeyi etkinleştirin veya devre dışı bırakın. Günlüğe kaydetmeyi tamamen devre dışı bırakmak için false olarak ayarlayın. | DOĞRU |
varsayılan['kurumsal']['ad'] | Şef tarafından kullanılan 'işletme' yemek kitabı adı. | ateş Bölgesi' |
varsayılan['firezone']['install_path'] | Şef 'kurumsal' yemek kitabı tarafından kullanılan yükleme yolu. Yukarıdaki install_directory ile aynı şekilde ayarlanmalıdır. | düğüm['firezone']['install_directory'] |
varsayılan['firezone']['sysvinit_id'] | /etc/inittab içinde kullanılan bir tanımlayıcı. 1-4 karakterlik benzersiz bir dizi olmalıdır. | SUP' |
varsayılan['firezone']['kimlik doğrulama']['yerel']['etkin'] | Yerel e-posta/parola kimlik doğrulamasını etkinleştirin veya devre dışı bırakın. | DOĞRU |
varsayılan['firezone']['kimlik doğrulama']['auto_create_oidc_users'] | OIDC'den ilk kez oturum açan kullanıcıları otomatik olarak oluşturun. Yalnızca mevcut kullanıcıların OIDC aracılığıyla oturum açmasına izin vermek için devre dışı bırakın. | DOĞRU |
default['firezone']['authentication']['disable_vpn_on_oidc_error'] | OIDC belirtecini yenilemeye çalışırken bir hata algılanırsa kullanıcının VPN'sini devre dışı bırakın. | YANLIŞ |
varsayılan['firezone']['kimlik doğrulama']['oidc'] | {“provider” => [config…]} biçiminde OpenID Connect yapılandırması – Bkz. OpenIDConnect belgeleri yapılandırma örnekleri için. | {} |
varsayılan['firezone']['nginx']['etkin'] | Birlikte verilen nginx sunucusunu etkinleştirin veya devre dışı bırakın. | DOĞRU |
varsayılan['firezone']['nginx']['ssl_port'] | HTTPS dinleme bağlantı noktası. | 443 |
varsayılan['firezone']['nginx']['dizin'] | Firezone ile ilgili nginx sanal ana bilgisayar yapılandırmasını depolamak için dizin. | "#{node['firezone']['var_directory']}/nginx/etc" |
varsayılan['firezone']['nginx']['log_directory'] | Firezone ile ilgili nginx günlük dosyalarını depolamak için dizin. | "#{node['firezone']['log_directory']}/nginx" |
varsayılan['firezone']['nginx']['log_rotation']['file_maxbytes'] | Nginx günlük dosyalarının döndürüleceği dosya boyutu. | 104857600 |
varsayılan['firezone']['nginx']['log_rotation']['num_to_keep'] | Atmadan önce saklanacak Firezone nginx günlük dosyalarının sayısı. | 10 |
varsayılan['firezone']['nginx']['log_x_forwarded_for'] | Firezone nginx x-forwarded-for başlığının günlüğe kaydedilip kaydedilmeyeceği. | DOĞRU |
varsayılan['firezone']['nginx']['hsts_header']['etkin'] | DOĞRU | |
varsayılan['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS başlığı için includeSubDomains'i etkinleştirin veya devre dışı bırakın. | DOĞRU |
default['firezone']['nginx']['hsts_header']['max_age'] | HSTS başlığı için maksimum yaş. | 31536000 |
default['firezone']['nginx']['redirect_to_canonical'] | URL'lerin yukarıda belirtilen standart FQDN'ye yönlendirilip yönlendirilmeyeceği | YANLIŞ |
varsayılan['firezone']['nginx']['önbellek']['etkin'] | Firezone nginx önbelleğini etkinleştirin veya devre dışı bırakın. | YANLIŞ |
varsayılan['firezone']['nginx']['önbellek']['dizin'] | Firezone nginx önbelleği için dizin. | "#{node['firezone']['var_directory']}/nginx/cache" |
varsayılan['firezone']['nginx']['kullanıcı'] | Firezone nginx kullanıcısı. | düğüm['firezone']['kullanıcı'] |
varsayılan['firezone']['nginx']['grup'] | Firezone nginx grubu. | düğüm['firezone']['grup'] |
varsayılan['firezone']['nginx']['dir'] | Üst düzey nginx yapılandırma dizini. | düğüm['firezone']['nginx']['dizin'] |
varsayılan['firezone']['nginx']['log_dir'] | Üst düzey nginx günlük dizini. | düğüm['firezone']['nginx']['log_directory'] |
varsayılan['firezone']['nginx']['pid'] | nginx pid dosyası için konum. | "#{node['firezone']['nginx']['dizin']}/nginx.pid" |
varsayılan['firezone']['nginx']['daemon_disable'] | Bunun yerine izleyebilmemiz için nginx daemon modunu devre dışı bırakın. | DOĞRU |
varsayılan['firezone']['nginx']['gzip'] | Nginx gzip sıkıştırmasını açın veya kapatın. | on ' |
default['firezone']['nginx']['gzip_static'] | Statik dosyalar için nginx gzip sıkıştırmasını açın veya kapatın. | kapalı' |
varsayılan['firezone']['nginx']['gzip_http_version'] | Statik dosyaları sunmak için kullanılacak HTTP sürümü. | 1.0 ' |
varsayılan['firezone']['nginx']['gzip_comp_level'] | nginx gzip sıkıştırma düzeyi. | 2 ' |
varsayılan['firezone']['nginx']['gzip_proxied'] | İsteğe ve yanıta bağlı olarak proxy'li istekler için yanıtların sıkıştırılmasını etkinleştirir veya devre dışı bırakır. | herhangi' |
varsayılan['firezone']['nginx']['gzip_vary'] | "Vary: Accept-Encoding" yanıt başlığının eklenmesini etkinleştirir veya devre dışı bırakır. | kapalı' |
varsayılan['firezone']['nginx']['gzip_buffers'] | Bir yanıtı sıkıştırmak için kullanılan arabelleklerin sayısını ve boyutunu ayarlar. Sıfır ise, nginx varsayılanı kullanılır. | sıfır |
varsayılan['firezone']['nginx']['gzip_types'] | Gzip sıkıştırmasını etkinleştirmek için MIME türleri. | ['metin/düz', 'metin/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' metin/javascript', 'uygulama/javascript', 'uygulama/json'] |
default['firezone']['nginx']['gzip_min_length'] | Dosya gzip sıkıştırmasını etkinleştirmek için minimum dosya uzunluğu. | 1000 |
varsayılan['firezone']['nginx']['gzip_disable'] | Gzip sıkıştırmasını devre dışı bırakmak için kullanıcı aracısı eşleştirici. | MSIE [1-6]\.' |
varsayılan['firezone']['nginx']['keepalive'] | Yukarı akış sunucularına bağlantı için önbelleği etkinleştirir. | on ' |
varsayılan['firezone']['nginx']['keepalive_timeout'] | Yukarı akış sunucularına canlı bağlantı için saniye cinsinden zaman aşımı. | 65 |
default['firezone']['nginx']['worker_processes'] | Nginx çalışan işlemlerinin sayısı. | düğüm['işlemci'] && düğüm['işlemci']['toplam'] ? düğüm['işlemci']['toplam'] : 1 |
varsayılan['firezone']['nginx']['worker_connections'] | Bir alt işlem tarafından açılabilen maksimum eşzamanlı bağlantı sayısı. | 1024 |
varsayılan['firezone']['nginx']['worker_rlimit_nofile'] | Çalışan işlemler için maksimum açık dosya sayısı sınırını değiştirir. Sıfır ise nginx varsayılanını kullanır. | sıfır |
default['firezone']['nginx']['multi_accept'] | Çalışanların aynı anda bir bağlantıyı mı yoksa birden çok bağlantıyı mı kabul etmesi gerektiği. | DOĞRU |
varsayılan['firezone']['nginx']['olay'] | Nginx olayları bağlamında kullanılacak bağlantı işleme yöntemini belirtir. | epol' |
default['firezone']['nginx']['server_tokens'] | Hata sayfalarında ve "Sunucu" yanıt başlık alanında nginx sürümünü yayınlamayı etkinleştirir veya devre dışı bırakır. | sıfır |
varsayılan['firezone']['nginx']['server_names_hash_bucket_size'] | Sunucu adları karma tabloları için grup boyutunu ayarlar. | 64 |
varsayılan['firezone']['nginx']['sendfile'] | nginx'in sendfile() kullanımını etkinleştirir veya devre dışı bırakır. | on ' |
varsayılan['firezone']['nginx']['access_log_options'] | Nginx erişim günlüğü seçeneklerini ayarlar. | sıfır |
varsayılan['firezone']['nginx']['error_log_options'] | Nginx hata günlüğü seçeneklerini ayarlar. | sıfır |
varsayılan['firezone']['nginx']['disable_access_log'] | Nginx erişim günlüğünü devre dışı bırakır. | YANLIŞ |
varsayılan['firezone']['nginx']['types_hash_max_size'] | nginx türleri karma maksimum boyut. | 2048 |
varsayılan['firezone']['nginx']['types_hash_bucket_size'] | nginx türleri karma kova boyutu. | 64 |
varsayılan['firezone']['nginx']['proxy_read_timeout'] | nginx proxy okuma zaman aşımı. Nginx varsayılanını kullanmak için sıfır olarak ayarlayın. | sıfır |
varsayılan['firezone']['nginx']['client_body_buffer_size'] | nginx istemci gövdesi arabellek boyutu. Nginx varsayılanını kullanmak için sıfır olarak ayarlayın. | sıfır |
varsayılan['firezone']['nginx']['client_max_body_size'] | nginx istemcisi maksimum gövde boyutu. | 250 m' |
varsayılan['firezone']['nginx']['varsayılan']['modüller'] | Ek nginx modülleri belirtin. | [] |
varsayılan['firezone']['nginx']['enable_rate_limiting'] | Nginx hız sınırlamasını etkinleştirin veya devre dışı bırakın. | DOĞRU |
default['firezone']['nginx']['rate_limiting_zone_name'] | Nginx hız sınırlayıcı bölge adı. | ateş Bölgesi' |
varsayılan['firezone']['nginx']['rate_limiting_backoff'] | Nginx hız sınırlayıcı geri çekilme. | 10 m' |
varsayılan['firezone']['nginx']['rate_limit'] | Nginx hız sınırı. | 10r/s' |
varsayılan['firezone']['nginx']['ipv6'] | Nginx'in IPv6'e ek olarak IPv4 için HTTP isteklerini dinlemesine izin verin. | DOĞRU |
varsayılan['firezone']['postgresql']['etkin'] | Paketlenmiş Postgresql'i etkinleştirin veya devre dışı bırakın. Kendi Postgresql örneğinizi kullanmak için false olarak ayarlayın ve aşağıdaki veritabanı seçeneklerini doldurun. | DOĞRU |
varsayılan['firezone']['postgresql']['kullanıcı adı'] | Postgresql için kullanıcı adı. | düğüm['firezone']['kullanıcı'] |
varsayılan['firezone']['postgresql']['data_directory'] | Postgresql veri dizini. | "#{node['firezone']['var_directory']}/postgresql/13.3/data" |
varsayılan['firezone']['postgresql']['log_directory'] | Postgresql günlük dizini. | "#{node['firezone']['log_directory']}/postgresql" |
varsayılan['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql günlük dosyası döndürülmeden önceki maksimum boyut. | 104857600 |
varsayılan['firezone']['postgresql']['log_rotation']['num_to_keep'] | Saklanacak Postgresql günlük dosyalarının sayısı. | 10 |
varsayılan['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql kontrol noktası tamamlama hedefi. | 0.5 |
default['firezone']['postgresql']['checkpoint_segments'] | Postgresql kontrol noktası segmentlerinin sayısı. | 3 |
varsayılan['firezone']['postgresql']['checkpoint_timeout'] | Postgresql kontrol noktası zaman aşımı. | 5 dakika' |
varsayılan['firezone']['postgresql']['checkpoint_warning'] | Saniye cinsinden Postgresql kontrol noktası uyarı süresi. | 30'lar |
varsayılan['firezone']['postgresql']['effici_cache_size'] | Postgresql etkili önbellek boyutu. | 128 MB' |
varsayılan['firezone']['postgresql']['listen_address'] | Postgresql dinleme adresi. | 127.0.0.1 ' |
varsayılan['firezone']['postgresql']['max_connections'] | Postgresql maksimum bağlantıları. | 350 |
varsayılan['firezone']['postgresql']['md5_auth_cidr_addresses'] | md5 kimlik doğrulamasına izin vermek için Postgresql CIDR'ler. | ['127.0.0.1/32', '::1/128'] |
varsayılan['firezone']['postgresql']['port'] | Postgresql dinleme bağlantı noktası. | 15432 |
varsayılan['firezone']['postgresql']['shared_buffers'] | Postgresql paylaşılan arabellek boyutu. | "#{(düğüm['bellek']['toplam'].to_i / 4) / 1024}MB" |
varsayılan['firezone']['postgresql']['shmmax'] | Bayt cinsinden Postgresql shmmax. | 17179869184 |
varsayılan['firezone']['postgresql']['shmall'] | Bayt cinsinden Postgresql shmall. | 4194304 |
varsayılan['firezone']['postgresql']['work_mem'] | Postgresql çalışma belleği boyutu. | 8 MB' |
varsayılan['firezone']['veritabanı']['kullanıcı'] | Firezone'un veritabanına bağlanmak için kullanacağı kullanıcı adını belirtir. | düğüm['firezone']['postgresql']['kullanıcı adı'] |
varsayılan['firezone']['veritabanı']['şifre'] | Harici bir DB kullanılıyorsa, Firezone'un DB'ye bağlanmak için kullanacağı parolayı belirtir. | Beni değiştir' |
varsayılan['firezone']['veritabanı']['ad'] | Firezone'un kullanacağı veritabanı. Mevcut değilse oluşturulur. | ateş Bölgesi' |
varsayılan['firezone']['veritabanı']['ana bilgisayar'] | Firezone'un bağlanacağı veritabanı ana bilgisayarı. | düğüm['firezone']['postgresql']['listen_address'] |
varsayılan['firezone']['veritabanı']['bağlantı noktası'] | Firezone'un bağlanacağı veritabanı bağlantı noktası. | düğüm['firezone']['postgresql']['port'] |
varsayılan['firezone']['veritabanı']['havuz'] | Firezone'un kullanacağı veritabanı havuzu boyutu. | [10, Etc.nişlemciler].maks |
varsayılan['firezone']['veritabanı']['ssl'] | Veritabanına SSL üzerinden bağlanılıp bağlanılmayacağı. | YANLIŞ |
varsayılan['firezone']['veritabanı']['ssl_opts'] | {} | |
varsayılan['firezone']['veritabanı']['parametreler'] | {} | |
varsayılan['firezone']['veritabanı']['uzantılar'] | Etkinleştirilecek veritabanı uzantıları. | {'plpgsql' => doğru, 'pg_trgm' => doğru } |
varsayılan['firezone']['phoenix']['etkin'] | Firezone web uygulamasını etkinleştirin veya devre dışı bırakın. | DOĞRU |
default['firezone']['phoenix']['listen_address'] | Firezone web uygulaması dinleme adresi. Bu, nginx proxy'lerinin yukarı akış dinleme adresi olacaktır. | 127.0.0.1 ' |
varsayılan['firezone']['phoenix']['port'] | Firezone web uygulaması dinleme bağlantı noktası. Bu, nginx proxy'lerinin kullandığı yukarı akış bağlantı noktası olacaktır. | 13000 |
varsayılan['firezone']['phoenix']['log_directory'] | Firezone web uygulaması günlük dizini. | "#{node['firezone']['log_directory']}/phoenix" |
varsayılan['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone web uygulaması günlük dosyası boyutu. | 104857600 |
default['firezone']['phoenix']['log_rotation']['num_to_keep'] | Saklanacak Firezone web uygulaması günlük dosyalarının sayısı. | 10 |
default['firezone']['phoenix']['crash_detection']['etkin'] | Bir kilitlenme algılandığında Firezone web uygulamasını kapatmayı etkinleştirin veya devre dışı bırakın. | DOĞRU |
default['firezone']['phoenix']['external_trusted_proxies'] | Bir IP Dizisi ve/veya CIDR olarak biçimlendirilmiş güvenilir ters proxy'lerin listesi. | [] |
default['firezone']['phoenix']['private_clients'] | Bir IP Dizisi ve/veya CIDR olarak biçimlendirilmiş özel ağ HTTP istemcilerinin listesi. | [] |
varsayılan['firezone']['wireguard']['etkin'] | Birlikte verilen WireGuard yönetimini etkinleştirin veya devre dışı bırakın. | DOĞRU |
varsayılan['firezone']['wireguard']['log_directory'] | Birlikte verilen WireGuard yönetimi için günlük dizini. | "#{node['firezone']['log_directory']}/wireguard" |
varsayılan['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard günlük dosyası maksimum boyutu. | 104857600 |
varsayılan['firezone']['wireguard']['log_rotation']['num_to_keep'] | Saklanacak WireGuard günlük dosyalarının sayısı. | 10 |
default['firezone']['wireguard']['interface_name'] | WireGuard arayüz adı. Bu parametrenin değiştirilmesi, VPN bağlantısında geçici bir kayba neden olabilir. | wg-yangın bölgesi' |
varsayılan['firezone']['wireguard']['port'] | WireGuard dinleme bağlantı noktası. | 51820 |
varsayılan['firezone']['wireguard']['mtu'] | Bu sunucu ve cihaz konfigürasyonları için WireGuard arayüzü MTU. | 1280 |
varsayılan['firezone']['wireguard']['endpoint'] | Cihaz yapılandırmaları oluşturmak için kullanılacak WireGuard Endpoint. nil ise, varsayılan olarak sunucunun genel IP adresidir. | sıfır |
varsayılan['firezone']['wireguard']['dns'] | Oluşturulan cihaz yapılandırmaları için kullanılacak WireGuard DNS. | 1.1.1.1, 1.0.0.1' |
default['firezone']['wireguard']['allowed_ips'] | WireGuard, oluşturulan cihaz yapılandırmaları için kullanılacak IP'lere İzin Verdi. | 0.0.0.0/0, ::/0' |
default['firezone']['wireguard']['persistent_keepalive'] | Oluşturulan cihaz yapılandırmaları için varsayılan PersistentKeepalive ayarı. 0 değeri devre dışı bırakır. | 0 |
varsayılan['firezone']['wireguard']['ipv4']['etkin'] | WireGuard ağı için IPv4'ü etkinleştirin veya devre dışı bırakın. | DOĞRU |
varsayılan['firezone']['wireguard']['ipv4']['maskeli balo'] | IPv4 tünelinden ayrılan paketler için maskelemeyi etkinleştirin veya devre dışı bırakın. | DOĞRU |
varsayılan['firezone']['wireguard']['ipv4']['ağ'] | WireGuard ağı IPv4 adres havuzu. | 10.3.2.0/24 ′ |
varsayılan['firezone']['wireguard']['ipv4']['adres'] | WireGuard arayüzü IPv4 adresi. WireGuard adres havuzunda olmalıdır. | 10.3.2.1 ' |
varsayılan['firezone']['wireguard']['ipv6']['etkin'] | WireGuard ağı için IPv6'ü etkinleştirin veya devre dışı bırakın. | DOĞRU |
varsayılan['firezone']['wireguard']['ipv6']['maskeli balo'] | IPv6 tünelinden ayrılan paketler için maskelemeyi etkinleştirin veya devre dışı bırakın. | DOĞRU |
varsayılan['firezone']['wireguard']['ipv6']['ağ'] | WireGuard ağı IPv6 adres havuzu. | fd00::3:2:0/120′ |
varsayılan['firezone']['wireguard']['ipv6']['adres'] | WireGuard arayüzü IPv6 adresi. IPv6 adres havuzu içinde olmalıdır. | fd00::3:2:1' |
default['firezone']['runit']['svlogd_bin'] | Runit svlogd depo yeri. | "#{node['firezone']['install_directory']}/embedded/bin/svlogd" |
varsayılan['firezone']['ssl']['dizin'] | Oluşturulan sertifikaları depolamak için SSL dizini. | /var/opt/firezone/ssl' |
varsayılan['firezone']['ssl']['email_address'] | Kendinden imzalı sertifikalar ve ACME protokolü yenileme bildirimleri için kullanılacak e-posta adresi. | sen@example.com' |
varsayılan['firezone']['ssl']['acme']['etkin'] | Otomatik SSL sertifikası sağlama için ACME'yi etkinleştirin. Nginx'in 80 numaralı bağlantı noktasını dinlemesini önlemek için bunu devre dışı bırakın. Bkz. okuyun daha fazla talimat için. | YANLIŞ |
varsayılan['firezone']['ssl']['acme']['sunucu'] | Let'sencrypt | |
default['firezone']['ssl']['acme']['keylength'] | SSL sertifikaları için anahtar tipini ve uzunluğunu belirtin. Görmek okuyun | ec-256 |
varsayılan['firezone']['ssl']['sertifika'] | FQDN'niz için sertifika dosyasının yolu. Belirtilmişse yukarıdaki ACME ayarını geçersiz kılar. Hem ACME hem de bu sıfırsa, kendinden imzalı bir sertifika üretilecektir. | sıfır |
default['firezone']['ssl']['certificate_key'] | Sertifika dosyasının yolu. | sıfır |
varsayılan['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | sıfır |
default['firezone']['ssl']['country_name'] | Kendinden imzalı sertifika için ülke adı. | BİZ' |
default['firezone']['ssl']['state_name'] | Kendinden imzalı sertifika için eyalet adı. | CA' |
default['firezone']['ssl']['locality_name'] | Kendinden imzalı sertifika için yerellik adı. | San Francisco' |
varsayılan['firezone']['ssl']['şirket_adı'] | Şirket adı kendinden imzalı sertifika. | Benim şirketim' |
default['firezone']['ssl']['organizational_unit_name'] | Kendinden imzalı sertifika için kuruluş birimi adı. | Operasyonlar' |
varsayılan['firezone']['ssl']['şifreler'] | Nginx'in kullanması için SSL şifreleri. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
varsayılan['firezone']['ssl']['fips_ciphers'] | FIP modu için SSL şifreleri. | FIPS@STRENGTH:!aNULL:!eNULL' |
varsayılan['firezone']['ssl']['protocols'] | Kullanılacak TLS protokolleri. | TLSv1 TLSv1.1 TLSv1.2' |
default['firezone']['ssl']['session_cache'] | SSL oturum önbelleği. | paylaşılan:SSL:4m' |
default['firezone']['ssl']['session_timeout'] | SSL oturum zaman aşımı. | 5 m' |
varsayılan['firezone']['robots_allow'] | nginx robotları izin verir. | /' |
varsayılan['firezone']['robots_disallow'] | nginx robotları izin vermiyor. | sıfır |
default['firezone']['outbound_email']['from'] | adresinden giden e-posta. | sıfır |
default['firezone']['outbound_email']['sağlayıcı'] | Giden e-posta servis sağlayıcısı. | sıfır |
default['firezone']['outbound_email']['configs'] | Giden e-posta sağlayıcı yapılandırmaları. | bkz. omnibus/yemek kitapları/firezone/attributes/default.rb |
varsayılan['firezone']['telemetri']['etkin'] | Anonimleştirilmiş ürün telemetrisini etkinleştirin veya devre dışı bırakın. | DOĞRU |
varsayılan['firezone']['connectivity_checks']['etkin'] | Firezone bağlantı kontrolleri hizmetini etkinleştirin veya devre dışı bırakın. | DOĞRU |
varsayılan['firezone']['connectivity_checks']['interval'] | Saniye cinsinden bağlantı kontrolleri arasındaki aralık. | 3_600 |
________________________________________________________________
Burada, tipik bir Firezone kurulumuyla ilgili dosya ve dizinlerin bir listesini bulacaksınız. Bunlar, yapılandırma dosyanızdaki değişikliklere bağlı olarak değişebilir.
yol | tanım |
/var/opt/yangın bölgesi | Firezone paket servisleri için verileri ve oluşturulan yapılandırmayı içeren üst düzey dizin. |
/opt/yangın bölgesi | Firezone'un ihtiyaç duyduğu yerleşik kitaplıkları, ikili dosyaları ve çalışma zamanı dosyalarını içeren üst düzey dizin. |
/usr/bin/firezone-ctl | Firezone kurulumunuzu yönetmek için firezone-ctl yardımcı programı. |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runvdir denetim sürecini başlatmak için systemd birim dosyası. |
/etc/yangın bölgesi | Firezone yapılandırma dosyaları. |
__________________________________________________________
Bu sayfa dokümanlarda boştu
_____________________________________________________________
Aşağıdaki nftables güvenlik duvarı şablonu, Firezone çalıştıran sunucunun güvenliğini sağlamak için kullanılabilir. Şablon bazı varsayımlarda bulunur; kullanım durumunuza uyacak şekilde kuralları ayarlamanız gerekebilir:
Firezone, web arayüzünde yapılandırılan hedeflere giden trafiğe izin vermek/reddedilmek ve istemci trafiği için giden NAT'ı işlemek üzere kendi nftables kurallarını yapılandırır.
Aşağıdaki güvenlik duvarı şablonunun zaten çalışan bir sunucuya uygulanması (önyükleme sırasında değil) Firezone kurallarının silinmesine neden olur. Bunun güvenlik etkileri olabilir.
Bu soruna geçici bir çözüm bulmak için phoenix hizmetini yeniden başlatın:
firezone-ctl phoenix'i yeniden başlat
#!/usr/sbin/nft -f
## Mevcut tüm kuralları temizle/temizle
floş kural seti
################################ DEĞİŞKENLER ################# #############
## İnternet/WAN arayüz adı
DEV_WAN = eth0 tanımlayın
## WireGuard arayüz adı
DEV_WIREGUARD = wg-firezone'u tanımlayın
## WireGuard dinleme bağlantı noktası
WIREGUARD_PORT'u tanımla = 51820
########################## DEĞİŞKENLER SON ################ ###########
# Ana giriş ailesi filtreleme tablosu
tablo giriş filtresi {
# İletilen trafik için kurallar
# Bu zincir, Firezone ileri zincirinden önce işlenir
zincir ileri {
tip filtre kancası ileri öncelik filtresi – 5; politika kabul
}
# Giriş trafiği için kurallar
zincir girişi {
tip filtre kancası giriş önceliği filtresi; politika düşüşü
## Geridöngü arabirimine gelen trafiğe izin ver
eğer öyleyse \
kabul etmek \
yorum Yap "Geri döngü arayüzünden gelen tüm trafiğe izin ver"
## Kurulan ve ilgili bağlantılara izin ver
ct durumu kuruldu, ilgili \
kabul etmek \
yorum Yap “Kurulan/ilgili bağlantılara izin ver”
## Gelen WireGuard trafiğine izin ver
iif $DEV_WAN udp dportu $WIREGUARD_PORT \
tezgah \
kabul etmek \
yorum Yap "Gelen WireGuard trafiğine izin ver"
## Yeni TCP SYN olmayan paketleri günlüğe kaydet ve bırak
tcp bayrakları != senkronizasyon ct durumu yeni \
sınır oranı 100/dakika patlaması 150 paketler \
günlük öneki “IN – Yeni !SYN: “ \
yorum Yap "SYN TCP bayrağı ayarlanmamış yeni bağlantılar için hız sınırı günlüğü"
tcp bayrakları != senkronizasyon ct durumu yeni \
tezgah \
düşürmek \
yorum Yap "SYN TCP bayrağı ayarlanmamış yeni bağlantıları bırakın"
## Geçersiz fin/syn bayrak seti ile TCP paketlerini günlüğe kaydet ve bırak
tcp bayrakları & (fin|syn) == (fin|syn) \
sınır oranı 100/dakika patlaması 150 paketler \
günlük öneki “GİRİŞ – TCP FIN|SIN: “ \
yorum Yap "Geçersiz fin/syn bayrağı ayarlı TCP paketleri için hız sınırı kaydı"
tcp bayrakları & (fin|syn) == (fin|syn) \
tezgah \
düşürmek \
yorum Yap "Geçersiz fin/syn bayrağı ayarlanmış TCP paketlerini bırak"
## Geçersiz senkronizasyon/rst bayrak seti ile TCP paketlerini günlüğe kaydet ve bırak
tcp bayrakları & (syn|rst) == (syn|rst) \
sınır oranı 100/dakika patlaması 150 paketler \
günlük öneki “GİRİŞ – TCP SYN|RST: “ \
yorum Yap "Geçersiz senkronizasyon/rst bayrağı ayarlı TCP paketleri için hız sınırı kaydı"
tcp bayrakları & (syn|rst) == (syn|rst) \
tezgah \
düşürmek \
yorum Yap "Geçersiz senkronizasyon/ilk bayrağı ayarlı TCP paketlerini bırak"
## Geçersiz TCP bayraklarını günlüğe kaydedin ve bırakın
tcp bayrakları & (fin|syn|rst|psh|ack|urg) < (fin) \
sınır oranı 100/dakika patlaması 150 paketler \
günlük öneki "GİRİŞ - SON:" \
yorum Yap "Geçersiz TCP bayrakları için hız sınırı kaydı (fin|syn|rst|psh|ack|urg) < (fin)"
tcp bayrakları & (fin|syn|rst|psh|ack|urg) < (fin) \
tezgah \
düşürmek \
yorum Yap "Bayraklı TCP paketlerini bırakın (fin|syn|rst|psh|ack|urg) < (fin)"
## Geçersiz TCP bayraklarını günlüğe kaydedin ve bırakın
tcp bayrakları & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
sınır oranı 100/dakika patlaması 150 paketler \
günlük öneki "IN – FIN|PSH|URG:" \
yorum Yap "Geçersiz TCP bayrakları için hız sınırı kaydı (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp bayrakları & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
tezgah \
düşürmek \
yorum Yap "Bayraklı TCP paketlerini bırakın (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Geçersiz bağlantı durumuyla trafiği bırakın
ct durumu geçersiz \
sınır oranı 100/dakika patlaması 150 paketler \
günlük tüm önekleri işaretler “IN – Geçersiz: “ \
yorum Yap "Geçersiz bağlantı durumuna sahip trafik için hız sınırı günlüğü"
ct durumu geçersiz \
tezgah \
düşürmek \
yorum Yap "Geçersiz bağlantı durumuyla trafiği bırak"
## IPv4 ping/ping yanıtlarına izin verin, ancak hız sınırı 2000 PPS
ip protokol icmp icmp tipi { yankı yanıtı, yankı isteği } \
sınır oranı 2000/ikinci \
tezgah \
kabul etmek \
yorum Yap "Gelen IPv4 yankısına (ping) 2000 PPS ile sınırlı izin ver"
## Diğer tüm gelen IPv4 ICMP'lerine izin ver
ip protokol icmp \
tezgah \
kabul etmek \
yorum Yap "Diğer tüm IPv4 ICMP'lerine izin ver"
## IPv6 ping/ping yanıtlarına izin verin, ancak hız sınırı 2000 PPS
icmpv6 türü { yankı yanıtı, yankı isteği } \
sınır oranı 2000/ikinci \
tezgah \
kabul etmek \
yorum Yap "Gelen IPv6 yankısına (ping) 2000 PPS ile sınırlı izin ver"
## Diğer tüm gelen IPv6 ICMP'lerine izin ver
meta l4proto {icmpv6} \
tezgah \
kabul etmek \
yorum Yap "Diğer tüm IPv6 ICMP'lerine izin ver"
## Gelen traceroute UDP bağlantı noktalarına izin verin ancak 500 PPS ile sınırlayın
udp dportu 33434-33524 \
sınır oranı 500/ikinci \
tezgah \
kabul etmek \
yorum Yap "500 PPS ile sınırlı gelen UDP izleme yoluna izin ver"
## Gelen SSH'ye izin ver
tcp dportu ssh ct durumu yeni \
tezgah \
kabul etmek \
yorum Yap "Gelen SSH bağlantılarına izin ver"
## Gelen HTTP ve HTTPS'ye izin ver
tcp dport { http, https } ct durumu yeni \
tezgah \
kabul etmek \
yorum Yap "Gelen HTTP ve HTTPS bağlantılarına izin ver"
## Eşleşmeyen trafiği günlüğe kaydedin, ancak günlük kaydını maksimum 60 mesaj/dakika ile sınırlayın
## Eşleşmeyen trafiğe varsayılan politika uygulanacak
sınır oranı 60/dakika patlaması 100 paketler \
günlük öneki “IN – Bırak: “ \
yorum Yap "Eşleşmeyen trafiği günlüğe kaydet"
## Eşleşmeyen trafiği sayın
tezgah \
yorum Yap "Eşleşmeyen trafiği say"
}
# Çıktı trafiği için kurallar
zincir çıkışı {
tip filtre kancası çıkış önceliği filtresi; politika düşüşü
## Geridöngü arayüzüne giden trafiğe izin ver
eğer öyleyse \
kabul etmek \
yorum Yap "Tüm trafiğin geridöngü arayüzüne çıkmasına izin ver"
## Kurulan ve ilgili bağlantılara izin ver
ct durumu kuruldu, ilgili \
tezgah \
kabul etmek \
yorum Yap “Kurulan/ilgili bağlantılara izin ver”
## Kötü durumdaki bağlantıları bırakmadan önce giden WireGuard trafiğine izin ver
oif $DEV_WAN udp sporu $WIREGUARD_PORT \
tezgah \
kabul etmek \
yorum Yap "WireGuard giden trafiğine izin ver"
## Geçersiz bağlantı durumuyla trafiği bırakın
ct durumu geçersiz \
sınır oranı 100/dakika patlaması 150 paketler \
günlük tüm önekleri işaretler “OUT – Geçersiz: “ \
yorum Yap "Geçersiz bağlantı durumuna sahip trafik için hız sınırı günlüğü"
ct durumu geçersiz \
tezgah \
düşürmek \
yorum Yap "Geçersiz bağlantı durumuyla trafiği bırak"
## Diğer tüm giden IPv4 ICMP'lerine izin ver
ip protokol icmp \
tezgah \
kabul etmek \
yorum Yap "Tüm IPv4 ICMP türlerine izin ver"
## Diğer tüm giden IPv6 ICMP'lerine izin ver
meta l4proto {icmpv6} \
tezgah \
kabul etmek \
yorum Yap "Tüm IPv6 ICMP türlerine izin ver"
## Giden traceroute UDP bağlantı noktalarına izin verin, ancak 500 PPS ile sınırlayın
udp dportu 33434-33524 \
sınır oranı 500/ikinci \
tezgah \
kabul etmek \
yorum Yap "500 PPS ile sınırlı giden UDP izleme yoluna izin ver"
## Giden HTTP ve HTTPS bağlantılarına izin ver
tcp dport { http, https } ct durumu yeni \
tezgah \
kabul etmek \
yorum Yap "Giden HTTP ve HTTPS bağlantılarına izin ver"
## Giden SMTP gönderimine izin ver
tcp dport gönderimi ct durumu yeni \
tezgah \
kabul etmek \
yorum Yap "Giden SMTP gönderimine izin ver"
## Giden DNS isteklerine izin ver
udp dportu 53 \
tezgah \
kabul etmek \
yorum Yap "Giden UDP DNS isteklerine izin ver"
tcp dportu 53 \
tezgah \
kabul etmek \
yorum Yap "Giden TCP DNS isteklerine izin ver"
## Giden NTP isteklerine izin ver
udp dportu 123 \
tezgah \
kabul etmek \
yorum Yap "Giden NTP isteklerine izin ver"
## Eşleşmeyen trafiği günlüğe kaydedin, ancak günlük kaydını maksimum 60 mesaj/dakika ile sınırlayın
## Eşleşmeyen trafiğe varsayılan politika uygulanacak
sınır oranı 60/dakika patlaması 100 paketler \
günlük öneki “OUT – Bırak: “ \
yorum Yap "Eşleşmeyen trafiği günlüğe kaydet"
## Eşleşmeyen trafiği sayın
tezgah \
yorum Yap "Eşleşmeyen trafiği say"
}
}
# Ana NAT filtreleme tablosu
tablo girişi nat {
# NAT trafik ön yönlendirmesi için kurallar
zincir ön yönlendirme {
nat kancası ön yönlendirme önceliği dstnat yazın; politika kabul
}
# Yönlendirme sonrası NAT trafiği için kurallar
# Bu tablo, Firezone yönlendirme sonrası zincirinden önce işlenir
zincir yeniden yönlendirme {
nat kancası postrouting önceliği srcnat yazın – 5; politika kabul
}
}
Güvenlik duvarı, çalışmakta olan Linux dağıtımı için ilgili lokasyonda saklanmalıdır. Debian/Ubuntu için bu /etc/nftables.conf ve RHEL için bu /etc/sysconfig/nftables.conf'tur.
nftables.service'in açılışta (henüz değilse) başlayacak şekilde yapılandırılması gerekir:
systemctl nftables.service'i etkinleştir
Güvenlik duvarı şablonunda herhangi bir değişiklik yapılırsa sözdizimi check komutu çalıştırılarak doğrulanabilir:
nft -f /yol/to/nftables.conf -c
Sunucuda çalışan sürüme bağlı olarak belirli nftables özellikleri kullanılamayabilir, güvenlik duvarının beklendiği gibi çalıştığını doğruladığınızdan emin olun.
_______________________________________________________________
Bu belge, Firezone'un şirket içinde barındırılan bulut sunucunuzdan topladığı telemetriye ve bunun nasıl devre dışı bırakılacağına ilişkin bir genel bakış sunmaktadır.
Ateş Bölgesi dayanır Firezone'u herkes için daha iyi hale getirmek için yol haritamıza öncelik vermek ve mühendislik kaynaklarını optimize etmek için telemetri üzerinde çalışıyoruz.
Topladığımız telemetri aşağıdaki soruları yanıtlamayı amaçlamaktadır:
Firezone'da telemetrinin toplandığı üç ana yer vardır:
Bu üç bağlamın her birinde, yukarıdaki bölümde yer alan soruları yanıtlamak için gereken minimum miktarda veriyi toplarız.
Yönetici e-postaları, yalnızca açıkça ürün güncellemelerini etkinleştirirseniz toplanır. Aksi takdirde, kişisel olarak tanımlanabilir bilgiler asla toplanmış.
Firezone, telemetriyi yalnızca Firezone ekibi tarafından erişilebilen, özel bir Kubernetes kümesinde çalışan, kendi kendine barındırılan bir PostHog örneğinde depolar. Burada, Firezone örneğinizden telemetri sunucumuza gönderilen bir telemetri olayı örneği verilmiştir:
{
Git: “0182272d-0b88-0000-d419-7b9a413713f1”,
“zaman damgası”: “2022-07-22T18:30:39.748000+00:00”,
"etkinlik": "fz_http_started",
"farklı_kimlik": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"özellikler"{
"$geoip_şehir_adı": “Külburnu”,
“$geoip_continent_code”: "Hayır",
“$geoip_kıta_adı”: "Kuzey Amerika",
“$geoip_ülke_kodu”: "BİZ",
"$geoip_ülke_adı": "Amerika Birleşik Devletleri",
“$geoip_latitude”: 39.0469,
“$geoip_boylam”: -77.4903,
“$geoip_posta_kodu”: "20149",
"$geoip_subdivision_1_code": “VA”,
"$geoip_altdivision_1_name": “Virginia”,
“$geoip_time_zone”: “Amerika/New_York”,
“$ ip”: "52.200.241.107",
"$plugins_deferred": [],
"$plugins_failed": [],
"$plugins_başarılı": [
“Geo IP (3)”
],
"farklı_kimlik": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
“fqdn”: “awsdemo.firezone.dev”,
"Çekirdek sürümü": “Linux 5.13.0”,
"Sürüm": "0.4.6"
},
"element_zincir": ' "
}
NOT
Firezone geliştirme ekibi dayanır Firezone'u herkes için daha iyi hale getirmek için ürün analizinde. Telemetriyi etkin bırakmak, Firezone'un gelişimine yapabileceğiniz en değerli katkıdır. Bununla birlikte, bazı kullanıcıların daha yüksek gizlilik veya güvenlik gereksinimleri olduğunu ve telemetriyi tamamen devre dışı bırakmayı tercih edeceğini anlıyoruz. Eğer öyleysen, okumaya devam et.
Telemetri varsayılan olarak etkindir. Ürün telemetrisini tamamen devre dışı bırakmak için /etc/firezone/firezone.rb'de aşağıdaki yapılandırma seçeneğini false olarak ayarlayın ve değişiklikleri almak için sudo firezone-ctl reconfigure komutunu çalıştırın.
varsayılan['ateş Bölgesi']["telemetri"]['etkinleştirilmiş'] = yanlış
Bu, tüm ürün telemetrisini tamamen devre dışı bırakacaktır.
dolu bayt
9511 Queens Muhafız Ct.
Defne, MD 20723
Telefon: (732) 771-9995
E-posta: info@hailbytes.com
