orodha
Maagizo ya hatua kwa hatua ya kupeleka Hailbytes VPN yenye Firezone GUI yametolewa hapa.
Msimamizi: Kuweka mfano wa seva kunahusiana moja kwa moja na sehemu hii.
Miongozo ya Watumiaji: Hati muhimu zinazoweza kukufundisha jinsi ya kutumia Firezone na kutatua matatizo ya kawaida. Baada ya seva kutumwa kwa mafanikio, rejelea sehemu hii.
Kugawanya Tunnel: Tumia VPN kutuma trafiki kwa safu maalum za IP pekee.
Uorodheshaji ulioidhinishwa: Weka anwani ya IP tuli ya seva ya VPN ili kutumia uidhinishaji.
Vichungi vya Nyuma: Unda vichuguu kati ya programu zingine kadhaa kwa kutumia vichuguu vya kurudi nyuma.
Tunafurahi kukusaidia ikiwa unahitaji usaidizi wa kusakinisha, kubinafsisha au kutumia Hailbytes VPN.
Kabla ya watumiaji kutoa au kupakua faili za usanidi wa kifaa, Firezone inaweza kusanidiwa ili kuhitaji uthibitishaji. Watumiaji wanaweza pia kuhitaji kuthibitisha upya mara kwa mara ili kuweka muunganisho wao wa VPN amilifu.
Ingawa njia chaguomsingi ya kuingia ya Firezone ni barua pepe na nenosiri la ndani, inaweza pia kuunganishwa na mtoaji wowote wa utambulisho wa OpenID Connect (OIDC). Watumiaji sasa wanaweza kuingia katika Firezone kwa kutumia Okta, Google, Azure AD au vitambulisho vyao vya mtoa vitambulisho vya kibinafsi.
Unganisha Mtoa Huduma wa OIDC wa Jumla
Vigezo vya usanidi vinavyohitajika na Firezone ili kuruhusu SSO kutumia mtoa huduma wa OIDC vinaonyeshwa katika mfano ulio hapa chini. Katika /etc/firezone/firezone.rb, unaweza kupata faili ya usanidi. Endesha usanidi upya wa firezone-ctl na uwashe tena firezone-ctl ili kusasisha programu na uanze mabadiliko.
# Huu ni mfano unaotumia Google na Okta kama mtoa huduma za kitambulisho cha SSO.
# Mipangilio mingi ya OIDC inaweza kuongezwa kwa mfano sawa wa Firezone.
# Firezone inaweza kulemaza VPN ya mtumiaji ikiwa kuna hitilafu yoyote iliyogunduliwa kujaribu
# ili kuonyesha upya ishara_ya_ufikiaji. Hii imethibitishwa kufanya kazi kwa Google, Okta, na
# Azure SSO na inatumika kukata kiotomatiki VPN ya mtumiaji ikiwa itaondolewa
# kutoka kwa mtoa huduma wa OIDC. Wacha hii ikiwa imezimwa ikiwa mtoa huduma wako wa OIDC
# ina matatizo ya kuonyesha upya tokeni za ufikiaji kwani inaweza kukatiza bila kutarajia a
Kipindi # cha VPN cha mtumiaji.
chaguo-msingi['firezone']['uthibitishaji']['disable_vpn_on_oidc_error'] = si kweli
chaguo-msingi['firezone']['uthibitishaji']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
mteja_id: " ”,
mteja_siri: “ ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: “code”,
wigo: "wasifu wa barua pepe wazi",
lebo: "Google"
},
sawa: {
ugunduzi_hati_uri: "https:// /.inajulikana/usanidi-wazi",
mteja_id: " ”,
mteja_siri: “ ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: “code”,
wigo: "wazi wasifu wa barua pepe offline_access",
lebo: "Okta"
}
}
Mipangilio ifuatayo ya usanidi inahitajika kwa ujumuishaji:
Kwa kila mtoa huduma wa OIDC URL nzuri inayolingana huundwa kwa ajili ya kuelekezwa upya kwa URL ya kuingia ya mtoa huduma aliyesanidiwa. Kwa mfano usanidi wa OIDC hapo juu, URL ni:
Watoa huduma tuna hati za:
Ikiwa mtoa huduma za kitambulisho chako ana kiunganishi cha kawaida cha OIDC na hakijaorodheshwa hapo juu, tafadhali nenda kwenye hati zake kwa maelezo kuhusu jinsi ya kurejesha mipangilio muhimu ya usanidi.
Mipangilio iliyo chini ya mipangilio/usalama inaweza kubadilishwa ili kuhitaji uthibitishaji upya wa mara kwa mara. Hii inaweza kutumika kutekeleza sharti kwamba watumiaji waingie kwenye Firezone mara kwa mara ili kuendelea na kipindi chao cha VPN.
Urefu wa kipindi unaweza kusanidiwa kuwa kati ya saa moja na siku tisini. Kwa kuweka hii kuwa Kamwe, unaweza kuwezesha vipindi vya VPN wakati wowote. Hiki ndicho kiwango.
Mtumiaji lazima akomeshe kipindi chake cha VPN na aingie kwenye tovuti ya Firezone ili athibitishe tena kipindi cha VPN ambacho muda wake umekwisha (URL iliyobainishwa wakati wa kutumia).
Unaweza kuthibitisha tena kipindi chako kwa kufuata maagizo sahihi ya mteja yanayopatikana hapa.
Hali ya Muunganisho wa VPN
Safu wima ya jedwali la Muunganisho wa VPN ya ukurasa wa Watumiaji huonyesha hali ya muunganisho wa mtumiaji. Hizi ndizo hali za uunganisho:
IMEWASHWA - Muunganisho umewezeshwa.
IMEZIMWA - Muunganisho umezimwa na msimamizi au kushindwa kuonyesha upya OIDC.
IMEMILIKA - Muunganisho umezimwa kwa sababu ya kuisha kwa muda wa uthibitishaji au mtumiaji hajaingia kwa mara ya kwanza.
Kupitia kiunganishi cha jumla cha OIDC, Firezone huwasha kipengele cha Kuingia Mtu Mmoja (SSO) kwa kutumia Google Workspace na Cloud Identity. Mwongozo huu utakuonyesha jinsi ya kupata vigezo vya usanidi vilivyoorodheshwa hapa chini, ambavyo ni muhimu kwa ujumuishaji:
1. Skrini ya Usanidi ya OAuthâ € <
Ikiwa hii ni mara ya kwanza unaunda Kitambulisho kipya cha mteja cha OAuth, utaombwa kusanidi skrini ya idhini.
*Chagua Ndani kwa aina ya mtumiaji. Hii inahakikisha kuwa ni akaunti za watumiaji katika Shirika lako la Google Workspace pekee ndizo zinazoweza kuunda mipangilio ya kifaa. USICHAGUE Vyombo vya Nje isipokuwa ungependa kuwezesha mtu yeyote aliye na Akaunti ya Google halali kuunda usanidi wa kifaa.
Kwenye skrini ya habari ya Programu:
2. Unda Vitambulisho vya Mteja wa OAuthâ € <
Sehemu hii inatokana na hati za Google yenyewe kwenye kuanzisha OAuth 2.0.
Tembelea Google Cloud Console Ukurasa wa vitambulisho ukurasa, bofya + Unda Kitambulisho na uchague Kitambulisho cha mteja cha OAuth.
Kwenye skrini ya kuunda kitambulisho cha mteja cha OAuth:
Baada ya kuunda Kitambulisho cha mteja cha OAuth, utapewa Kitambulisho cha Mteja na Siri ya Mteja. Hizi zitatumika pamoja na URI ya kuelekeza kwingine katika hatua inayofuata.
Hariri /etc/firezone/firezone.rb kujumuisha chaguzi hapa chini:
# Kutumia Google kama mtoa huduma za utambulisho wa SSO
chaguo-msingi['firezone']['uthibitishaji']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
mteja_id: " ”,
mteja_siri: “ ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: “code”,
wigo: "wasifu wa barua pepe wazi",
lebo: "Google"
}
}
Endesha usanidi upya wa firezone-ctl na uwashe tena firezone-ctl ili kusasisha programu. Unapaswa sasa kuona kitufe cha Ingia kwa kutumia Google kwenye mizizi ya URL ya Firezone.
Firezone hutumia kiunganishi cha kawaida cha OIDC kuwezesha Kuingia Mara Moja (SSO) kwa kutumia Okta. Mafunzo haya yatakuonyesha jinsi ya kupata vigezo vya usanidi vilivyoorodheshwa hapa chini, ambavyo ni muhimu kwa ujumuishaji:
Sehemu hii ya mwongozo inategemea Nyaraka za Okta.
Katika Dashibodi ya Msimamizi, nenda kwa Programu > Programu na ubofye Unda Ujumuishaji wa Programu. Weka Mbinu ya Kuingia kwa OICD - OpenID Unganisha na aina ya Programu kwenye programu ya Wavuti.
Sanidi mipangilio hii:
Mipangilio ikishahifadhiwa, utapewa Kitambulisho cha Mteja, Siri ya Mteja na Kikoa cha Okta. Thamani hizi 3 zitatumika katika Hatua ya 2 ili kusanidi Firezone.
Hariri /etc/firezone/firezone.rb kujumuisha chaguzi hapa chini. Wako url_hati_ya_ugunduzi itakuwa /.inajulikana/kufungua-usanidi imeongezwa hadi mwisho wako okta_domain.
# Kutumia Okta kama mtoaji wa kitambulisho cha SSO
chaguo-msingi['firezone']['uthibitishaji']['oidc'] = {
sawa: {
ugunduzi_hati_uri: "https:// /.inajulikana/usanidi-wazi",
mteja_id: " ”,
mteja_siri: “ ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: “code”,
wigo: "wazi wasifu wa barua pepe offline_access",
lebo: "Okta"
}
}
Endesha usanidi upya wa firezone-ctl na uwashe tena firezone-ctl ili kusasisha programu. Unapaswa sasa kuona Ingia kwa kutumia kitufe cha Okta kwenye mizizi ya URL ya Firezone.
Watumiaji wanaoweza kufikia programu ya Firezone wanaweza kuwekewa vikwazo na Okta. Nenda kwenye ukurasa wa Matendo ya Ujumuishaji wa Programu ya Firezone ya Okta Admin Console ili kukamilisha hili.
Kupitia kiunganishi cha kawaida cha OIDC, Firezone huwasha kipengele cha Kuingia Mara Moja (SSO) kwa kutumia Saraka Inayotumika ya Azure. Mwongozo huu utakuonyesha jinsi ya kupata vigezo vya usanidi vilivyoorodheshwa hapa chini, ambavyo ni muhimu kwa ujumuishaji:
Mwongozo huu umetolewa kutoka kwa Hati za Saraka ya Azure Active.
Nenda kwenye ukurasa wa Saraka ya Azure Active ya portal ya Azure. Chagua chaguo la menyu ya Dhibiti, chagua Usajili Mpya, kisha ujisajili kwa kutoa maelezo hapa chini:
Baada ya kujiandikisha, fungua mwonekano wa maelezo ya programu na unakili Kitambulisho cha maombi (mteja).. Hii itakuwa thamani ya kitambulisho cha mteja. Ifuatayo, fungua menyu ya mwisho ili kupata tena Hati ya metadata ya OpenID Unganisha. Hii itakuwa thamani ya discovery_document_uri.
Unda siri mpya ya mteja kwa kubofya chaguo la Vyeti na siri chini ya menyu ya Dhibiti. Nakili siri ya mteja; thamani ya siri ya mteja itakuwa hii.
Mwishowe, chagua kiungo cha ruhusa za API chini ya menyu ya Dhibiti, bofya Ongeza ruhusa, na uchague Grafu ya Microsoft, Kuongeza enamel, wazi, ufikiaji_nje ya mtandao na profile kwa ruhusa zinazohitajika.
Hariri /etc/firezone/firezone.rb kujumuisha chaguzi hapa chini:
# Kutumia Saraka ya Azure Active kama mtoaji wa kitambulisho cha SSO
chaguo-msingi['firezone']['uthibitishaji']['oidc'] = {
azure: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.inajulikana/usanidi-wazi",
mteja_id: " ”,
mteja_siri: “ ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
response_type: “code”,
wigo: "wazi wasifu wa barua pepe offline_access",
lebo: "Azure"
}
}
Endesha usanidi upya wa firezone-ctl na uwashe tena firezone-ctl ili kusasisha programu. Unapaswa sasa kuona Ingia kwa kutumia kitufe cha Azure kwenye mizizi ya URL ya Firezone.
Azure AD huwawezesha wasimamizi kupunguza ufikiaji wa programu kwa kikundi mahususi cha watumiaji ndani ya kampuni yako. Maelezo zaidi juu ya jinsi ya kufanya hivyo yanaweza kupatikana katika nyaraka za Microsoft.
Chef Omnibus hutumiwa na Firezone kudhibiti kazi zinazojumuisha upakiaji wa toleo, usimamizi wa mchakato, udhibiti wa kumbukumbu na zaidi.
Msimbo wa Ruby hufanya faili ya msingi ya usanidi, ambayo iko kwenye /etc/firezone/firezone.rb. Kuanzisha upya usanidi wa sudo firezone-ctl baada ya kufanya marekebisho kwenye faili hii husababisha Chef kutambua mabadiliko na kuyatumia kwenye mfumo wa uendeshaji wa sasa.
Tazama rejeleo la faili ya usanidi kwa orodha kamili ya anuwai za usanidi na maelezo yao.
Mfano wako wa Firezone unaweza kudhibitiwa kupitia firezone-ctl amri, kama inavyoonyeshwa hapa chini. Amri ndogo nyingi zinahitaji kiambishi awali na sudo.
mzizi@demo:~# firezone-ctl
omnibus-ctl: amri (amri ndogo)
Amri za Jumla:
kusafisha
Futa *data zote* za eneo la moto, na uanze kutoka mwanzo.
tengeneza-au-weka upya-admin
Huweka upya nenosiri la msimamizi kwa barua pepe iliyobainishwa kwa chaguomsingi['firezone']['admin_email'] au huunda msimamizi mpya ikiwa barua pepe hiyo haipo.
kusaidia
Chapisha ujumbe huu wa usaidizi.
kusanidi upya
Sanidi upya programu.
weka upya mtandao
Huweka upya nftables, kiolesura cha WireGuard, na jedwali la kuelekeza kurudi kwenye chaguomsingi za Firezone.
onyesha-config
Onyesha usanidi ambao utatolewa kwa kusanidi upya.
kubomoa-mtandao
Huondoa kiolesura cha WireGuard na jedwali la nftables za zone.
kulazimisha-cheti-upya
Lazimisha uundaji upya wa cheti sasa hata kama muda wake haujaisha.
kusitisha-cheti-upya
Huondoa cronjob inayosasisha vyeti.
Kibao
Ua michakato yote na uondoe msimamizi wa mchakato (data itahifadhiwa).
version
Onyesha toleo la sasa la Firezone
Amri za Usimamizi wa Huduma:
neema-kuua
Jaribu kusimama kwa njia nzuri, kisha SIGKILL kikundi kizima cha mchakato.
hup
Tuma huduma kwa HUP.
int
Tuma huduma INT.
kuua
Tuma huduma KILL.
mara moja
Anzisha huduma ikiwa iko chini. Usiwanzishe tena ikiwa wataacha.
fungua tena
Simamisha huduma ikiwa zinaendeshwa, kisha zianze tena.
orodha ya huduma
Orodhesha huduma zote (huduma zilizowezeshwa zinaonekana na *.)
Kuanza
Anzisha huduma ikiwa iko chini, na uwashe tena ikiwa zitaacha.
hadhi
Onyesha hali ya huduma zote.
kuacha
Simamisha huduma, na usiwanzishe tena.
mkia
Tazama kumbukumbu za huduma za huduma zote zilizowezeshwa.
mrefu
Tuma huduma kwa TERM.
usr1
Tuma huduma kwa USR1.
usr2
Tuma huduma kwa USR2.
Vipindi vyote vya VPN lazima vikomeshwe kabla ya kusasisha Firezone, ambayo pia inahitaji kuzima UI ya Wavuti. Katika tukio ambalo kitu kitaenda vibaya wakati wa kuboresha, tunashauri kutenga saa kwa ajili ya matengenezo.
Ili kuimarisha Firezone, chukua hatua zifuatazo:
Ikiwa shida yoyote itatokea, tafadhali tujulishe kupitia kuwasilisha tikiti ya usaidizi.
Kuna mabadiliko machache yanayovunja na marekebisho ya usanidi katika 0.5.0 ambayo lazima yashughulikiwe. Pata maelezo zaidi hapa chini.
Nginx haiauni tena nguvu ya SSL na vigezo vya bandari visivyo vya SSL kama toleo la 0.5.0. Kwa sababu Firezone inahitaji SSL kufanya kazi, tunashauri kuondoa kifurushi cha huduma ya Nginx kwa kuweka chaguo-msingi['firezone']['nginx']['enabled'] = sivyo na kuelekeza seva mbadala yako kwa programu ya Phoenix kwenye port 13000 badala yake (kwa chaguo-msingi. )
0.5.0 inatanguliza usaidizi wa itifaki ya ACME ya kusasisha kiotomatiki vyeti vya SSL kwa kutumia huduma iliyounganishwa ya Nginx. Ili kuwezesha,
Uwezekano wa kuongeza sheria zilizo na marudio ya marudio umetoweka katika Firezone 0.5.0. Hati yetu ya uhamiaji itatambua hali hizi kiotomatiki wakati wa kusasisha hadi 0.5.0 na kuweka tu sheria ambazo marudio yake yanajumuisha sheria nyingine. Hakuna unachohitaji kufanya ikiwa hii ni sawa.
Vinginevyo, kabla ya kuboresha, tunashauri kubadilisha kanuni yako ili kuondokana na hali hizi.
Firezone 0.5.0 huondoa utumiaji wa usanidi wa mtindo wa zamani wa Okta na Google SSO ili kupendelea usanidi mpya, unaonyumbulika zaidi kulingana na OIDC.
Iwapo una usanidi wowote chini ya funguo chaguomsingi['firezone']['uthibitishaji']['okta'] au chaguo-msingi['firezone']['uthibitishaji']['google'] funguo, unahitaji kuhamishia hizi kwenye OIDC yetu. -msingi usanidi kwa kutumia mwongozo hapa chini.
Usanidi uliopo wa Google OAuth
Ondoa laini hizi zilizo na usanidi wa zamani wa Google OAuth kutoka kwa faili yako ya usanidi iliyoko /etc/firezone/firezone.rb
chaguo-msingi['firezone']['uthibitishaji']['google']['imewezeshwa']
chaguo-msingi['firezone']['uthibitishaji']['google']['client_id']
chaguo-msingi['firezone']['uthibitishaji']['google']['client_secret']
chaguo-msingi['firezone']['uthibitishaji']['google']['redirect_uri']
Kisha, usanidi Google kama mtoa huduma wa OIDC kwa kufuata taratibu hapa.
(Toa maelekezo ya kiungo)<<<<<<<<<<<<<<<<
Sanidi Google OAuth Iliyopo
Ondoa mistari hii iliyo na usanidi wa zamani wa Okta OAuth kutoka kwa faili yako ya usanidi iliyoko /etc/firezone/firezone.rb
chaguo-msingi['firezone']['uthibitishaji']['okta']['umewashwa']
chaguo-msingi['firezone']['uthibitishaji']['okta']['client_id']
chaguo-msingi['firezone']['uthibitishaji']['okta']['siri_ya_mteja']
Chaguomsingi['firezone']['uthibitishaji']['okta']['tovuti']
Kisha, sanidi Okta kama mtoa huduma wa OIDC kwa kufuata taratibu hapa.
Kulingana na usanidi wako wa sasa na toleo, fuata maagizo yaliyo hapa chini:
Ikiwa tayari unayo muunganisho wa OIDC:
Kwa baadhi ya watoa huduma wa OIDC, kupata toleo jipya la >= 0.3.16 kunahitaji kupata tokeni ya kuonyesha upya kwa upeo wa ufikiaji wa nje ya mtandao. Kwa kufanya hivi, inahakikishwa kuwa Firezone inasasishwa na mtoa huduma za utambulisho na kwamba muunganisho wa VPN umezimwa baada ya mtumiaji kufutwa. Marudio ya awali ya Firezone hayana kipengele hiki. Katika baadhi ya matukio, watumiaji ambao wamefutwa kutoka kwa mtoa huduma wako wa utambulisho bado wanaweza kuwa wameunganishwa kwenye VPN.
Ni muhimu kujumuisha ufikiaji wa nje ya mtandao katika kigezo cha mawanda ya usanidi wako wa OIDC kwa watoa huduma wa OIDC wanaotumia upeo wa ufikiaji wa nje ya mtandao. Urekebishaji upya wa Firezone-ctl lazima utekelezwe ili kutekeleza mabadiliko kwenye faili ya usanidi ya Firezone, ambayo iko katika /etc/firezone/firezone.rb.
Kwa watumiaji ambao wameidhinishwa na mtoa huduma wako wa OIDC, utaona Viunganishi vya OIDC vinavyoelekeza kwenye ukurasa wa maelezo ya mtumiaji wa Kiolesura cha wavuti ikiwa Firezone inaweza kuepua tokeni ya kuonyesha upya upya.
Ikiwa hii haitafanya kazi, utahitaji kufuta programu yako iliyopo ya OAuth na kurudia hatua za usanidi wa OIDC ili unda muunganisho mpya wa programu .
Nina muunganisho uliopo wa OAuth
Kabla ya tarehe 0.3.11, Firezone ilitumia watoa huduma waliosanidiwa awali wa OAuth2.
Fuata maagizo hapa kuhamia OIDC.
Sijaunganisha mtoa huduma za utambulisho
Hakuna hatua inayohitajika.
Unaweza kufuata maelekezo hapa kuwezesha SSO kupitia mtoa huduma wa OIDC.
Mahali pake, chaguo-msingi['firezone']['external url'] imechukua nafasi ya chaguo-msingi la usanidi['firezone']['fqdn'].
Weka hii kwa URL ya tovuti yako ya mtandaoni ya Firezone ambayo inaweza kufikiwa na umma kwa ujumla. Itakuwa chaguomsingi kwa https:// pamoja na FQDN ya seva yako ikiwa itaachwa bila kufafanuliwa.
Faili ya usanidi iko kwenye /etc/firezone/firezone.rb. Tazama rejeleo la faili ya usanidi kwa orodha kamili ya anuwai za usanidi na maelezo yao.
Firezone haiweki tena funguo za faragha za kifaa kwenye seva ya Firezone kuanzia toleo la 0.3.0.
Kiolesura cha Wavuti cha Firezone hakitakuruhusu kupakua tena au kuona usanidi huu, lakini kifaa chochote kilichopo kinapaswa kuendelea kufanya kazi jinsi kilivyo.
Ikiwa unasasisha kutoka Firezone 0.1.x, kuna mabadiliko machache ya faili ya usanidi ambayo lazima yashughulikiwe wewe mwenyewe.
Ili kufanya marekebisho yanayohitajika kwenye faili yako ya /etc/firezone/firezone.rb, endesha amri zilizo hapa chini kama mzizi.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['wezesha'\]/\['imewezeshwa'\]/” /etc/firezone/firezone.rb
mwangwi “chaguo-msingi['firezone']['connectivity_checks']['wezeshwa'] = kweli" >> /etc/firezone/firezone.rb
mwangwi “chaguo-msingi['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
usanidi upya wa firezone-ctl
firezone-ctl kuanzisha upya
Kuangalia kumbukumbu za Firezone ni hatua ya kwanza ya busara kwa masuala yoyote ambayo yanaweza kutokea.
Endesha mkia wa sudo firezone-ctl ili kutazama kumbukumbu za Firezone.
Shida nyingi za muunganisho na Firezone huletwa na iptables zisizolingana au sheria za nfttables. Lazima uhakikishe kuwa sheria zozote ulizo nazo hazipingani na sheria za Firezone.
Hakikisha kuwa msururu wa FORWARD unaruhusu pakiti kutoka kwa wateja wako wa WireGuard hadi kwenye maeneo unayotaka kuruhusu kupitia Firezone ikiwa muunganisho wako wa Intaneti utaharibika kila unapowasha kichuguu chako cha WireGuard.
Hili linaweza kufikiwa ikiwa unatumia ufw kwa kuhakikisha kuwa sera chaguo-msingi ya uelekezaji inaruhusiwa:
ubuntu@fz:~$ sudo ufw chaguo-msingi ruhusu kupitishwa
Sera chaguo-msingi iliyopitishwa imebadilishwa kuwa 'ruhusu'
(hakikisha unasasisha sheria zako ipasavyo)
A ufw hali ya seva ya kawaida ya Firezone inaweza kuonekana kama hii:
ubuntu@fz:~$ sudo ufw hali ya kitenzi
Hali: hai
Kuingia: imewashwa (chini)
Chaguo-msingi: kataa (zinazoingia), ruhusu (zinazotoka), ruhusu (zimeelekezwa)
Wasifu mpya: ruka
Kwa Hatua Kutoka
————-
22/tcp RUHUSU KUINGIA Popote
80/tcp RUHUSU KUINGIA Popote
443/tcp RUHUSU KUINGIA Popote
51820/udp RUHUSU KUINGIA Popote
22/tcp (v6) RUHUSU KUINGIA Popote (v6)
80/tcp (v6) RUHUSU KUINGIA Popote (v6)
443/tcp (v6) RUHUSU KUINGIA Popote (v6)
51820/udp (v6) RUHUSU INGIA Popote (v6)
Tunashauri kuzuia ufikiaji wa kiolesura cha wavuti kwa uwekaji nyeti sana na muhimu wa dhamira ya uzalishaji, kama ilivyoelezwa hapa chini.
huduma | Mlango Chaguomsingi | Sikiliza Anwani | Maelezo |
Nginx | 80, 443 | zote | Mlango wa HTTP(S) wa umma kwa ajili ya kusimamia Firezone na kuwezesha uthibitishaji. |
Walinzi | 51820 | zote | Mlango wa Public WireGuard unaotumika kwa vipindi vya VPN. (UDP) |
postgresql | 15432 | 127.0.0.1 | Lango la ndani pekee linalotumika kwa seva ya Postgresql iliyounganishwa. |
Phoenix | 13000 | 127.0.0.1 | Lango la ndani pekee linalotumiwa na seva ya juu ya programu ya elixir. |
Tunakushauri ufikirie kuhusu kuzuia ufikiaji wa Kiolesura cha wavuti cha Firezone kilichofichuliwa hadharani (kwa bandari chaguo-msingi 443/tcp na 80/tcp) na badala yake utumie kichuguu cha WireGuard kudhibiti Firezone kwa uzalishaji na utumaji unaoelekea umma ambapo msimamizi mmoja atasimamia. ya kuunda na kusambaza usanidi wa kifaa kwa watumiaji wa mwisho.
Kwa mfano, ikiwa msimamizi aliunda usanidi wa kifaa na kuunda mtaro kwa kutumia anwani ya ndani ya WireGuard 10.3.2.2, usanidi ufuatao wa ufw utamwezesha msimamizi kufikia UI ya wavuti ya Firezone kwenye kiolesura cha wg-firezone ya seva kwa kutumia chaguo-msingi 10.3.2.1 anwani ya handaki:
mzizi@demo:~# ufw hali ya kitenzi
Hali: hai
Kuingia: imewashwa (chini)
Chaguo-msingi: kataa (zinazoingia), ruhusu (zinazotoka), ruhusu (zimeelekezwa)
Wasifu mpya: ruka
Kwa Hatua Kutoka
————-
22/tcp RUHUSU KUINGIA Popote
51820/udp RUHUSU KUINGIA Popote
Mahali popote RUHUSU KATIKA 10.3.2.2
22/tcp (v6) RUHUSU KUINGIA Popote (v6)
51820/udp (v6) RUHUSU INGIA Popote (v6)
Hii ingeondoka tu 22/tcp wazi kwa ufikiaji wa SSH kudhibiti seva (hiari), na 51820/udp wazi ili kuanzisha vichuguu vya WireGuard.
Firezone hukusanya seva ya Postgresql na vinavyolingana psql matumizi ambayo yanaweza kutumika kutoka kwa ganda la ndani kama hivyo:
/opt/firezone/embedded/bin/psql \
-U eneo la moto \
-d eneo la moto \
-h mwenyeji \
-p 15432 \
-c "SQL_STATEMENT"
Hii inaweza kusaidia kwa madhumuni ya utatuzi.
Kazi za Kawaida:
Kuorodhesha watumiaji wote:
/opt/firezone/embedded/bin/psql \
-U eneo la moto \
-d eneo la moto \
-h mwenyeji \
-p 15432 \
-c "CHAGUA * KUTOKA KWA watumiaji;"
Kuorodhesha vifaa vyote:
/opt/firezone/embedded/bin/psql \
-U eneo la moto \
-d eneo la moto \
-h mwenyeji \
-p 15432 \
-c "CHAGUA * KUTOKA kwa vifaa;"
Badilisha jukumu la mtumiaji:
Weka jukumu kuwa 'admin' au 'isiyo na upendeleo':
/opt/firezone/embedded/bin/psql \
-U eneo la moto \
-d eneo la moto \
-h mwenyeji \
-p 15432 \
-c “SASISHA watumiaji SET role = 'admin' WHERE email = 'user@example.com';”
Inahifadhi hifadhidata:
Zaidi ya hayo, ni pamoja na programu ya pg ya kutupa, ambayo inaweza kutumika kuchukua chelezo za mara kwa mara za hifadhidata. Tekeleza msimbo ufuatao ili kutupa nakala ya hifadhidata katika umbizo la kawaida la SQL (badilisha /path/to/backup.sql na mahali ambapo faili ya SQL inapaswa kuundwa):
/opt/firezone/embedded/bin/pg_dump \
-U eneo la moto \
-d eneo la moto \
-h mwenyeji \
-p 15432 > /path/to/backup.sql
Baada ya Firezone kutumwa kwa mafanikio, lazima uongeze watumiaji ili kuwapa ufikiaji wa mtandao wako. Kiolesura cha Wavuti kinatumika kufanya hivi.
Kwa kuchagua kitufe cha "Ongeza Mtumiaji" chini ya/watumiaji, unaweza kuongeza mtumiaji. Utahitajika kumpa mtumiaji barua pepe na nenosiri. Ili kuruhusu ufikiaji wa watumiaji katika shirika lako kiotomatiki, Firezone inaweza pia kusawazisha na kusawazisha na mtoa huduma za utambulisho. Maelezo zaidi yanapatikana ndani Thibitisha. < Ongeza kiungo ili Kuthibitisha
Tunashauri kuwaomba watumiaji waunde usanidi wa kifaa chao ili ufunguo wa faragha uonekane kwao pekee. Watumiaji wanaweza kutengeneza usanidi wa kifaa chao kwa kufuata maelekezo kwenye Maagizo ya Mteja ukurasa.
Mipangilio yote ya kifaa cha mtumiaji inaweza kuundwa na wasimamizi wa Firezone. Kwenye ukurasa wa wasifu wa mtumiaji ulioko kwa/watumiaji, chagua chaguo la "Ongeza Kifaa" ili kukamilisha hili.
[Ingiza picha ya skrini]
Unaweza kutuma barua pepe kwa mtumiaji faili ya usanidi ya WireGuard baada ya kuunda wasifu wa kifaa.
Watumiaji na vifaa vimeunganishwa. Kwa maelezo zaidi juu ya jinsi ya kuongeza mtumiaji, ona Ongeza Watumiaji.
Kupitia matumizi ya mfumo wa kichujio cha kernel, Firezone huwezesha uwezo wa kuchuja egress kubainisha pakiti za DROP au ACCEPT. Trafiki yote inaruhusiwa kwa kawaida.
IPv4 na IPv6 CIDR na anwani za IP zinaauniwa kupitia Orodha ya Wanaoruhusiwa na Orodha ya Kunyimwa, mtawalia. Unaweza kuchagua kuweka sheria kwa mtumiaji unapoiongeza, ambayo inatumika sheria kwa vifaa vyote vya mtumiaji huyo.
Sakinisha na usanidi
Ili kuanzisha muunganisho wa VPN kwa kutumia mteja asilia wa WireGuard, rejelea mwongozo huu.
Wateja Rasmi wa WireGuard walio hapa ni Firezone inayotumika:
Tembelea tovuti rasmi ya WireGuard katika https://www.wireguard.com/install/ kwa mifumo ya Uendeshaji ambayo haijatajwa hapo juu.
Aidha msimamizi wako wa Firezone au wewe mwenyewe unaweza kutengeneza faili ya usanidi wa kifaa kwa kutumia lango la Firezone.
Tembelea URL ambayo msimamizi wako wa Firezone ametoa ili kujitengenezea faili ya usanidi wa kifaa. Kampuni yako itakuwa na URL ya kipekee kwa hili; katika kesi hii, ni https://instance-id.yourfirezone.com.
Ingia kwenye Firezone Okta SSO
[Ingiza Picha ya skrini]
Ingiza faili ya.conf kwenye kiteja cha WireGuard kwa kuifungua. Kwa kugeuza swichi ya Washa, unaweza kuanzisha kipindi cha VPN.
[Ingiza Picha ya skrini]
Fuata maagizo hapa chini ikiwa msimamizi wa mtandao wako ameamuru uthibitishaji wa mara kwa mara ili kudumisha muunganisho wako wa VPN.
Unahitaji:
URL ya tovuti ya Firezone: Uliza muunganisho wako kwa msimamizi wa mtandao wako.
Msimamizi wa mtandao wako anapaswa kuwa na uwezo wa kutoa kuingia kwako na nenosiri. Tovuti ya Firezone itakuomba uingie kwa kutumia huduma moja ya kuingia katika akaunti ambayo mwajiri wako hutumia (kama vile Google au Okta).
[Ingiza Picha ya skrini]
Nenda kwenye URL ya tovuti ya Firezone na uingie kwa kutumia vitambulisho ambavyo msimamizi wa mtandao wako ametoa. Ikiwa tayari umeingia, bofya kitufe cha Thibitisha Upya kabla ya kuingia tena.
[Ingiza Picha ya skrini]
[Ingiza Picha ya skrini]
Ili kuleta wasifu wa usanidi wa WireGuard kwa kutumia Kidhibiti cha Mtandao CLI kwenye vifaa vya Linux, fuata maagizo haya (nmcli).
Ikiwa wasifu umewashwa na usaidizi wa IPv6, kujaribu kuleta faili ya usanidi kwa kutumia GUI ya Kidhibiti cha Mtandao kunaweza kushindwa na hitilafu ifuatayo:
ipv6.method: njia ya "otomatiki" haitumiki kwa WireGuard
Ni muhimu kusakinisha huduma za nafasi ya mtumiaji ya WireGuard. Hiki kitakuwa kifurushi kinachoitwa wireguard au wireguard-zana za usambazaji wa Linux.
Kwa Ubuntu/Debian:
sudo apt install wireguard
Ili kutumia Fedora:
sudo dnf kusakinisha wireguard-zana
Arch Linux:
sudo pacman -S wireguard-zana
Tembelea tovuti rasmi ya WireGuard katika https://www.wireguard.com/install/ kwa usambazaji ambao haujatajwa hapo juu.
Aidha msimamizi wako wa Firezone au kizazi chako mwenyewe kinaweza kutengeneza faili ya usanidi wa kifaa kwa kutumia lango la Firezone.
Tembelea URL ambayo msimamizi wako wa Firezone ametoa ili kujitengenezea faili ya usanidi wa kifaa. Kampuni yako itakuwa na URL ya kipekee kwa hili; katika kesi hii, ni https://instance-id.yourfirezone.com.
[Ingiza Picha ya skrini]
Ingiza faili ya usanidi iliyotolewa kwa kutumia nmcli:
sudo nmcli kuingiza aina ya faili ya wireguard /path/to/configuration.conf
Jina la faili ya usanidi litalingana na muunganisho/kiolesura cha WireGuard. Baada ya kuagiza, muunganisho unaweza kubadilishwa jina ikiwa ni lazima:
muunganisho wa nmcli rekebisha [jina la zamani] connection.id [jina jipya]
Kupitia mstari wa amri, unganisha kwa VPN kama ifuatavyo:
muunganisho wa nmcli [jina la vpn]
Kukatika:
muunganisho wa nmcli chini [jina la vpn]
Appleti ya Kidhibiti cha Mtandao inayotumika pia inaweza kutumika kudhibiti muunganisho ikiwa unatumia GUI.
Kwa kuchagua "ndiyo" kwa chaguo la kuunganisha kiotomatiki, muunganisho wa VPN unaweza kusanidiwa kuunganishwa kiotomatiki:
muunganisho wa nmcli rekebisha [jina la vpn] muunganisho. <<<<<<<<<<<<<<<<<<<<<<
unganisha kiotomatiki ndiyo
Ili kuzima muunganisho wa kiotomatiki irudishe kuwa hapana:
muunganisho wa nmcli rekebisha [jina la vpn] muunganisho.
unganisha kiotomatiki no
Ili kuamilisha MFA Nenda kwenye ukurasa wa /user account/register mfa portal ya Firezone. Tumia programu yako ya kithibitishaji kuchanganua msimbo wa QR baada ya kutengenezwa, kisha uweke msimbo wa tarakimu sita.
Wasiliana na Msimamizi wako ili kuweka upya maelezo ya ufikiaji wa akaunti yako ikiwa utaweka vibaya programu yako ya uthibitishaji.
Mafunzo haya yatakuelekeza katika mchakato wa kusanidi kipengee cha kugawanyika cha WireGuard na Firezone ili trafiki pekee kwa masafa mahususi ya IP isambazwe kupitia seva ya VPN.
Masafa ya IP ambayo mteja ataelekeza trafiki ya mtandao yamebainishwa katika sehemu ya IPs Zinazoruhusiwa iliyo kwenye ukurasa wa /settings/default. Mipangilio mpya ya handaki ya WireGuard pekee iliyoundwa na Firezone ndiyo itakayoathiriwa na mabadiliko kwenye sehemu hii.
[Ingiza Picha ya skrini]
Thamani chaguo-msingi ni 0.0.0.0/0, ::/0, ambayo huelekeza trafiki yote ya mtandao kutoka kwa mteja hadi seva ya VPN.
Mifano ya maadili katika sehemu hii ni pamoja na:
0.0.0.0/0, ::/0 - trafiki yote ya mtandao itaelekezwa kwa seva ya VPN.
192.0.2.3/32 - trafiki tu kwa anwani moja ya IP itatumwa kwa seva ya VPN.
3.5.140.0/22 - trafiki tu kwa IPs katika safu ya 3.5.140.1 - 3.5.143.254 itaelekezwa kwa seva ya VPN. Katika mfano huu, safu ya CIDR ya eneo la ap-kaskazini-mashariki-2 AWS ilitumika.
Firezone huchagua kiolesura cha egress kinachohusishwa na njia sahihi zaidi kwanza wakati wa kubainisha mahali pa kuelekeza pakiti.
Watumiaji lazima watengeneze upya faili za usanidi na kuziongeza kwa mteja wao asilia wa WireGuard ili kusasisha vifaa vilivyopo vya watumiaji kwa usanidi mpya wa njia iliyogawanyika.
Kwa maagizo, angalia ongeza kifaa. <<<<<<<<<<< Ongeza kiungo
Mwongozo huu utaonyesha jinsi ya kuunganisha vifaa viwili kwa kutumia Firezone kama relay. Kesi moja ya kawaida ya utumiaji ni kuwezesha msimamizi kufikia seva, kontena au mashine ambayo inalindwa na NAT au ngome.
Mchoro huu unaonyesha hali ya moja kwa moja ambapo Vifaa A na B huunda handaki.
[Ingiza picha ya usanifu ya eneo la moto]
Anza kwa kuunda Kifaa A na Kifaa B kwa kuelekeza kwa /users/[user_id]/new_device. Katika mipangilio ya kila kifaa, hakikisha kuwa vigezo vifuatavyo vimewekwa kwa thamani zilizoorodheshwa hapa chini. Unaweza kuweka mipangilio ya kifaa unapounda usanidi wa kifaa (angalia Ongeza Vifaa). Ikiwa unahitaji kusasisha mipangilio kwenye kifaa kilichopo, unaweza kufanya hivyo kwa kutengeneza usanidi mpya wa kifaa.
Kumbuka kuwa vifaa vyote vina ukurasa wa /settings/defaults ambapo PersistentKeepalive inaweza kusanidiwa.
RuhusaIPs = 10.3.2.2/32
Hii ni IP au anuwai ya IP za Kifaa B
PersistentKeepalive = 25
Ikiwa kifaa kiko nyuma ya NAT, hii inahakikisha kuwa kifaa kinaweza kuweka handaki hai na kuendelea kupokea pakiti kutoka kwa kiolesura cha WireGuard. Kawaida thamani ya 25 inatosha, lakini unaweza kuhitaji kupunguza thamani hii kulingana na mazingira yako.
RuhusaIPs = 10.3.2.3/32
Hii ni IP au anuwai ya IP za Kifaa A
PersistentKeepalive = 25
Mfano huu unaonyesha hali ambayo Kifaa A kinaweza kuwasiliana na Vifaa B kupitia D katika pande zote mbili. Mipangilio hii inaweza kuwakilisha mhandisi au msimamizi anayefikia rasilimali nyingi (seva, kontena, au mashine) kwenye mitandao mbalimbali.
[Mchoro wa Usanifu]<<<<<<<<<<<<<<<<<<<<<<
Hakikisha mipangilio ifuatayo inafanywa katika mipangilio ya kila kifaa kwa maadili yanayolingana. Wakati wa kuunda usanidi wa kifaa, unaweza kubainisha mipangilio ya kifaa (angalia Ongeza Vifaa). Mipangilio mpya ya kifaa inaweza kuundwa ikiwa mipangilio kwenye kifaa kilichopo inahitaji kusasishwa.
IPs Zinazoruhusiwa = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Hii ni IP ya vifaa B hadi D. IP za Vifaa B hadi D lazima zijumuishwe katika anuwai ya IP unayochagua kuweka.
PersistentKeepalive = 25
Hii inahakikisha kuwa kifaa kinaweza kudumisha handaki na kuendelea kupokea pakiti kutoka kwa kiolesura cha WireGuard hata kama kimelindwa na NAT. Katika hali nyingi, thamani ya 25 inatosha, hata hivyo kulingana na mazingira yako, unaweza kuhitaji kupunguza takwimu hii.
Ili kutoa IP moja, tuli ya egress kwa trafiki yote ya timu yako kutoka, Firezone inaweza kutumika kama lango la NAT. Hali hizi zinahusisha matumizi yake ya mara kwa mara:
Ushirikiano wa Kushauriana: Omba mteja wako aidhinishe anwani moja ya IP isiyobadilika badala ya IP ya kifaa cha kipekee cha kila mfanyakazi.
Kutumia proksi au kuficha IP yako ya chanzo kwa madhumuni ya usalama au faragha.
Mfano rahisi wa kuzuia ufikiaji wa programu inayojipangisha ya wavuti kwa IP moja tuli iliyoidhinishwa inayoendesha Firezone itaonyeshwa katika chapisho hili. Katika kielelezo hiki, Firezone na rasilimali iliyolindwa ziko katika maeneo tofauti ya VPC.
Suluhisho hili hutumiwa mara kwa mara badala ya kudhibiti orodha iliyoidhinishwa ya IP kwa watumiaji wengi wa mwisho, ambayo inaweza kuchukua muda kadiri orodha ya ufikiaji inavyoongezeka.
Lengo letu ni kusanidi seva ya Firezone kwenye tukio la EC2 ili kuelekeza upya trafiki ya VPN kwenye rasilimali iliyowekewa vikwazo. Katika tukio hili, Firezone inatumika kama seva mbadala ya mtandao au lango la NAT ili kukipa kila kifaa kilichounganishwa IP ya kipekee ya kutokea kwa umma.
Katika hali hii, mfano wa EC2 unaoitwa tc2.micro una mfano wa Firezone uliosakinishwa juu yake. Kwa maelezo kuhusu kupeleka Firezone, nenda kwenye Mwongozo wa Usambazaji. Kuhusiana na AWS, hakikisha:
Kikundi cha usalama cha tukio la Firezone EC2 huruhusu trafiki inayotoka kwa anwani ya IP ya rasilimali iliyolindwa.
Mfano wa Firezone unakuja na IP elastic. Trafiki ambayo inasambazwa kupitia tukio la Firezone hadi maeneo ya nje itakuwa na hii kama anwani yake ya IP ya chanzo. Anwani ya IP inayohusika ni 52.202.88.54.
[Ingiza Picha ya skrini]<<<<<<<<<<<<<<<<<<<<<<<
Programu ya wavuti inayojiendesha yenyewe hutumika kama rasilimali iliyolindwa katika kesi hii. Programu ya wavuti inaweza tu kufikiwa na maombi yanayotoka kwa anwani ya IP 52.202.88.54. Kulingana na rasilimali, inaweza kuwa muhimu kuruhusu trafiki inayoingia kwenye bandari mbalimbali na aina za trafiki. Hili halijaangaziwa katika mwongozo huu.
[Ingiza picha ya skrini]<<<<<<<<<<<<<<<<<<<<<<<
Tafadhali mwambie mhusika wa tatu anayesimamia rasilimali inayolindwa kwamba trafiki kutoka kwa IP tuli iliyofafanuliwa katika Hatua ya 1 lazima iruhusiwe (katika kesi hii 52.202.88.54).
Kwa chaguo-msingi, trafiki yote ya watumiaji itapitia seva ya VPN na itatoka kwa IP tuli ambayo ilisanidiwa katika Hatua ya 1 (katika kesi hii 52.202.88.54). Hata hivyo, ikiwa ugawaji wa tunnel umewashwa, mipangilio inaweza kuwa muhimu ili kuhakikisha kuwa IP lengwa la rasilimali iliyolindwa imeorodheshwa kati ya IPs Zinazoruhusiwa.
Inayoonyeshwa hapa chini ni orodha kamili ya chaguzi za usanidi zinazopatikana ndani /etc/firezone/firezone.rb.
chaguo | maelezo | thamani chaguo-msingi |
chaguo-msingi['firezone']['external_url'] | URL iliyotumika kufikia lango la wavuti la tukio hili la Firezone. | “https://#{nodi['fqdn'] || nodi['jina la mwenyeji']}" |
chaguo-msingi['firezone']['config_directory'] | Saraka ya kiwango cha juu ya usanidi wa Firezone. | /etc/firezone' |
chaguo-msingi['firezone']['install_directory'] | Saraka ya kiwango cha juu ya kusakinisha Firezone. | /chagua/eneo la moto' |
chaguo-msingi['firezone']['programu_directory'] | Saraka ya kiwango cha juu ya kusakinisha programu ya wavuti ya Firezone. | “#{nodi['firezone']['install_directory']}/embedded/service/firezone” |
chaguo-msingi['firezone']['log_directory'] | Saraka ya kiwango cha juu kwa kumbukumbu za Firezone. | /var/log/firezone' |
chaguo-msingi['firezone']['var_directory'] | Saraka ya kiwango cha juu ya faili za wakati wa utekelezaji wa Firezone. | /var/opt/firezone' |
chaguo-msingi['firezone']['user'] | Jina la mtumiaji wa Linux asiye na haki huduma na faili nyingi zitamilikiwa. | eneo la moto' |
chaguo-msingi['firezone']['group'] | Jina la kikundi cha Linux huduma na faili nyingi zitamilikiwa. | eneo la moto' |
chaguo-msingi['firezone']['admin_email'] | Anwani ya barua pepe ya mtumiaji wa awali wa Firezone. | "firezone@localhost" |
chaguo-msingi['firezone']['max_devices_per_user'] | Idadi ya juu zaidi ya vifaa ambavyo mtumiaji anaweza kuwa navyo. | 10 |
chaguo-msingi['firezone']['ruhusu_usimamizi_wa_kifaa_bila upendeleo'] | Huruhusu watumiaji wasio wasimamizi kuunda na kufuta vifaa. | KWELI |
chaguo-msingi['firezone']['ruhusu_unprivileged_device_configuration'] | Huruhusu watumiaji wasio wasimamizi kurekebisha usanidi wa kifaa. Inapozimwa, huzuia watumiaji wasio na haki kubadilisha sehemu zote za kifaa isipokuwa kwa jina na maelezo. | KWELI |
chaguo-msingi['firezone']['egress_interface'] | Jina la kiolesura ambapo trafiki iliyopigwa itatoka. Ikiwa hakuna, kiolesura cha njia chaguo-msingi kitatumika. | nil |
chaguo-msingi['firezone']['fips_enabled'] | Washa au zima hali ya OpenSSL FIPs. | nil |
chaguo-msingi['firezone']['logi']['imewezeshwa'] | Washa au uzime kuingia kwenye Firezone. Weka kuwa sivyo ili kuzima ukataji miti kabisa. | KWELI |
chaguo-msingi['biashara']['jina'] | Jina linalotumiwa na kitabu cha kupikia cha Chef 'enterprise'. | eneo la moto' |
chaguo-msingi['firezone']['install_path'] | Sakinisha njia inayotumiwa na kitabu cha kupikia cha Chef 'enterprise'. Inapaswa kuwekwa sawa na install_directory hapo juu. | nodi['firezone']['install_directory'] |
chaguo-msingi['firezone']['sysvinit_id'] | Kitambulisho kinachotumika katika /etc/inittab. Lazima iwe mfuatano wa kipekee wa vibambo 1-4. | SUP' |
chaguo-msingi['firezone']['uthibitishaji']['local']['umewashwa'] | Washa au zima uthibitishaji wa barua pepe/nenosiri la ndani. | KWELI |
chaguo-msingi['firezone']['uthibitishaji']['auto_create_oidc_users'] | Unda kiotomatiki watumiaji wanaoingia kutoka OIDC kwa mara ya kwanza. Zima kuruhusu watumiaji waliopo pekee kuingia kupitia OIDC. | KWELI |
chaguo-msingi['firezone']['uthibitishaji']['lemaza_vpn_on_oidc_error'] | Zima VPN ya mtumiaji ikiwa hitilafu itagunduliwa kujaribu kuonyesha upya tokeni yao ya OIDC. | UONGO |
chaguo-msingi['firezone']['uthibitishaji']['oidc'] | Usanidi wa OpenID Connect, katika umbizo la {"mtoa huduma" => [config...]} - Tazama Nyaraka za OpenIDConnect kwa mifano ya usanidi. | {} |
chaguo-msingi['firezone']['nginx']['imewezeshwa'] | Washa au zima seva ya nginx iliyounganishwa. | KWELI |
chaguo-msingi['firezone']['nginx']['ssl_port'] | Lango la kusikiliza la HTTPS. | 443 |
chaguo-msingi['firezone']['nginx']['saraka'] | Saraka ya kuhifadhi usanidi wa mwenyeji wa nginx unaohusiana na Firezone. | “#{nodi['firezone']['var_directory']}/nginx/etc” |
chaguo-msingi['firezone']['nginx']['log_directory'] | Saraka ya kuhifadhi faili za kumbukumbu za nginx zinazohusiana na Firezone. | “#{nodi['firezone']['log_directory']}/nginx” |
chaguo-msingi['firezone']['nginx']['log_rotation']['file_maxbytes'] | Saizi ya faili ambayo unaweza kuzungusha faili za kumbukumbu za Nginx. | 104857600 |
chaguo-msingi['firezone']['nginx']['logi_rotation']['nambari_ya_kuweka'] | Idadi ya faili za kumbukumbu za nginx za Firezone za kuweka kabla ya kutupa. | 10 |
chaguo-msingi['firezone']['nginx']['logi_x_forwarded_for'] | Iwapo utaingia Firezone nginx iliyosambazwa-kwa kichwa. | KWELI |
chaguo-msingi['firezone']['nginx']['hsts_header']['imewezeshwa'] | KWELI | |
chaguo-msingi['firezone']['nginx']['hsts_header']['include_subdomains'] | Washa au uzime includeSubDomains kwa kichwa cha HSTS. | KWELI |
chaguo-msingi['firezone']['nginx']['hsts_header']['max_age'] | Umri wa juu zaidi wa kichwa cha HSTS. | 31536000 |
chaguo-msingi['firezone']['nginx']['redirect_to_canonical'] | Kama zitaelekeza upya URL kwa FQDN ya kisheria iliyobainishwa hapo juu | UONGO |
chaguo-msingi['firezone']['nginx']['cache']['imewezeshwa'] | Washa au zima kache ya nginx ya Firezone. | UONGO |
chaguo-msingi['firezone']['nginx']['cache']['directory'] | Saraka ya akiba ya nginx ya Firezone. | “#{nodi['firezone']['var_directory']}/nginx/cache” |
chaguo-msingi['firezone']['nginx']['user'] | Mtumiaji wa nginx wa Firezone. | nodi['firezone']['user'] |
chaguo-msingi['firezone']['nginx']['group'] | Kikundi cha nginx cha Firezone. | nodi['firezone']['group'] |
chaguo-msingi['firezone']['nginx']['dir'] | Saraka ya usanidi ya nginx ya kiwango cha juu. | nodi['firezone']['nginx']['directory'] |
chaguo-msingi['firezone']['nginx']['log_dir'] | Saraka ya kumbukumbu ya nginx ya kiwango cha juu. | nodi['firezone']['nginx']['log_directory'] |
chaguo-msingi['firezone']['nginx']['pid'] | Mahali pa faili ya nginx pid. | “#{nodi['firezone']['nginx']['directory']}/nginx.pid” |
chaguo-msingi['firezone']['nginx']['daemon_disable'] | Lemaza modi ya daemon ya nginx ili tuweze kuifuatilia badala yake. | KWELI |
chaguo-msingi['firezone']['nginx']['gzip'] | Washa au zima mbano ya nginx gzip. | juu ya ' |
chaguo-msingi['firezone']['nginx']['gzip_static'] | Washa au zima mbano ya nginx gzip kwa faili tuli. | mbali' |
chaguo-msingi['firezone']['nginx']['gzip_http_version'] | Toleo la HTTP la kutumia kuhudumia faili tuli. | 1.0 ' |
chaguo-msingi['firezone']['nginx']['gzip_comp_level'] | kiwango cha mgandamizo wa nginx gzip. | 2 ' |
chaguo-msingi['firezone']['nginx']['gzip_proxied'] | Huwasha au kulemaza gzipping ya majibu kwa maombi ya proksi kulingana na ombi na majibu. | yoyote' |
chaguo-msingi['firezone']['nginx']['gzip_vary'] | Huwasha au kulemaza uwekaji wa kichwa cha jibu cha "Bay: Kubali-Usimbaji". | mbali' |
chaguo-msingi['firezone']['nginx']['gzip_buffers'] | Huweka nambari na ukubwa wa vibafa vinavyotumika kubana jibu. Ikiwa hakuna, chaguomsingi ya nginx inatumika. | nil |
chaguo-msingi['firezone']['nginx']['gzip_types'] | Aina za MIME ili kuwezesha mgandamizo wa gzip kwa. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' maandishi/javascript', 'application/javascript', 'application/json'] |
chaguo-msingi['firezone']['nginx']['gzip_min_length'] | Kiwango cha chini cha urefu wa faili ili kuwezesha mgandamizo wa faili wa gzip kwa. | 1000 |
chaguo-msingi['firezone']['nginx']['gzip_disable'] | Kilinganishi cha wakala wa mtumiaji ili kuzima mbano ya gzip kwa. | MSIE [1-6]\.' |
chaguo-msingi['firezone']['nginx']['keepalive'] | Huwasha akiba ya muunganisho kwa seva za juu. | juu ya ' |
chaguo-msingi['firezone']['nginx']['keepalive_timeout'] | Muda umeisha kwa sekunde kwa muunganisho wa Keepalive kwa seva za mkondo. | 65 |
default['firezone']['nginx']['worker_processes'] | Idadi ya michakato ya mfanyakazi wa nginx. | nodi['cpu'] && node['cpu']['total'] ? nodi['cpu']['jumla'] : 1 |
chaguo-msingi['firezone']['nginx']['worker_connections'] | Idadi ya juu zaidi ya miunganisho ya wakati mmoja ambayo inaweza kufunguliwa na mchakato wa mfanyakazi. | 1024 |
chaguo-msingi['firezone']['nginx']['worker_rlimit_nofile'] | Hubadilisha kikomo cha idadi ya juu zaidi ya faili zilizofunguliwa kwa michakato ya wafanyikazi. Inatumia chaguo-msingi ya nginx if nil. | nil |
chaguo-msingi['firezone']['nginx']['multi_accept'] | Ikiwa wafanyikazi wanapaswa kukubali muunganisho mmoja kwa wakati mmoja au nyingi. | KWELI |
chaguo-msingi['firezone']['nginx']['tukio'] | Hubainisha mbinu ya kuchakata muunganisho wa kutumia ndani ya muktadha wa matukio ya nginx. | epoll' |
chaguo-msingi['firezone']['nginx']['server_tokens'] | Huwasha au kuzima utoaji wa toleo la nginx kwenye kurasa za hitilafu na katika sehemu ya kichwa cha majibu ya "Seva". | nil |
chaguo-msingi['firezone']['nginx']['majina_ya_seva_hash_bucket_size'] | Huweka ukubwa wa ndoo kwa majedwali ya heshi ya majina ya seva. | 64 |
chaguo-msingi['firezone']['nginx']['sendfile'] | Huwasha au kulemaza utumiaji wa faili ya nginx(). | juu ya ' |
chaguo-msingi['firezone']['nginx']['access_log_options'] | Huweka chaguzi za kumbukumbu za ufikiaji wa nginx. | nil |
chaguo-msingi['firezone']['nginx']['error_log_options'] | Inaweka chaguzi za kumbukumbu ya makosa ya nginx. | nil |
chaguo-msingi['firezone']['nginx']['disable_access_log'] | Inalemaza kumbukumbu ya ufikiaji ya nginx. | UONGO |
chaguo-msingi['firezone']['nginx']['types_hash_max_size'] | aina za nginx hash max size. | 2048 |
chaguo-msingi['firezone']['nginx']['types_hash_bucket_size'] | aina za nginx saizi ya ndoo ya heshi. | 64 |
chaguo-msingi['firezone']['nginx']['proxy_read_timeout'] | kuisha kwa proksi ya nginx. Weka kuwa nil ili kutumia chaguo-msingi la nginx. | nil |
chaguo-msingi['firezone']['nginx']['client_body_buffer_size'] | saizi ya bafa ya mteja wa nginx. Weka kuwa nil ili kutumia chaguo-msingi la nginx. | nil |
chaguo-msingi['firezone']['nginx']['client_max_body_size'] | mteja wa nginx ukubwa wa juu wa mwili. | 250m' |
chaguo-msingi['firezone']['nginx']['default']['modules'] | Bainisha moduli za ziada za nginx. | [] |
chaguo-msingi['firezone']['nginx']['wezesha_rate_limiting'] | Washa au lemaza kikomo cha kiwango cha nginx. | KWELI |
chaguo-msingi['firezone']['nginx']['rate_limiting_zone_name'] | Jina la eneo linalopunguza kiwango cha Nginx. | eneo la moto' |
chaguo-msingi['firezone']['nginx']['rate_limiting_backoff'] | Nginx inayopunguza kiwango cha kurudi nyuma. | 10m' |
chaguo-msingi['firezone']['nginx']['rate_limit'] | Kikomo cha kiwango cha Nginx. | 10r/s' |
chaguo-msingi['firezone']['nginx']['ipv6'] | Ruhusu nginx kusikiliza maombi ya HTTP ya IPv6 pamoja na IPv4. | KWELI |
chaguo-msingi['firezone']['postgresql']['imewezeshwa'] | Washa au zima Postgresql iliyounganishwa. Weka kuwa sivyo na ujaze chaguo la hifadhidata hapa chini ili kutumia mfano wako wa Postgresql. | KWELI |
chaguo-msingi['firezone']['postgresql']['jina la mtumiaji'] | Jina la mtumiaji la Postgresql. | nodi['firezone']['user'] |
chaguo-msingi['firezone']['postgresql']['data_directory'] | Orodha ya data ya Postgresql. | “#{nodi['firezone']['var_directory']}/postgresql/13.3/data” |
chaguo-msingi['firezone']['postgresql']['log_directory'] | Saraka ya logi ya Postgresql. | "#{nodi['firezone']['log_directory']}/postgresql" |
chaguo-msingi['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Saizi ya juu zaidi ya faili ya kumbukumbu ya Postgresql kabla ya kuzungushwa. | 104857600 |
chaguo-msingi['firezone']['postgresql']['logi_rotation']['num_to_keep'] | Idadi ya faili za kumbukumbu za Postgresql za kuweka. | 10 |
chaguo-msingi['firezone']['postgresql']['checkpoint_completion_target'] | Lengo la kukamilisha kituo cha ukaguzi cha Postgresql. | 0.5 |
chaguo-msingi['firezone']['postgresql']['checkpoint_segments'] | Idadi ya sehemu za ukaguzi wa Postgresql. | 3 |
chaguo-msingi['firezone']['postgresql']['checkpoint_timeout'] | Muda wa ukaguzi wa Postgresql umekwisha. | dakika 5 |
chaguo-msingi['firezone']['postgresql']['checkpoint_warning'] | Muda wa onyo wa kituo cha ukaguzi cha Postgresql kwa sekunde. | Miaka ya 30' |
chaguo-msingi['firezone']['postgresql']['effective_cache_size'] | Saizi ya kache inayofaa ya Postgresql. | 128MB' |
chaguo-msingi['firezone']['postgresql']['sikiliza_anwani'] | Anwani ya kusikiliza ya Postgresql. | 127.0.0.1 ' |
chaguo-msingi['firezone']['postgresql']['max_connections'] | Viunganisho vya juu vya Postgresql. | 350 |
chaguo-msingi['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs kuruhusu md5 auth. | ['127.0.0.1/32', '::1/128'] |
chaguo-msingi['firezone']['postgresql']['bandari'] | Lango la kusikiliza la Postgresql. | 15432 |
chaguo-msingi['firezone']['postgresql']['shared_buffers'] | Saizi ya bafa ya Postgresql iliyoshirikiwa. | “#{(nodi['kumbukumbu']['jumla'].to_i / 4) / 1024}MB” |
chaguo-msingi['firezone']['postgresql']['shmmax'] | Postgresql shmmax kwa baiti. | 17179869184 |
chaguo-msingi['firezone']['postgresql']['shmall'] | Postgresql shmall kwa baiti. | 4194304 |
chaguo-msingi['firezone']['postgresql']['work_mem'] | Saizi ya kumbukumbu ya Postgresql. | 8MB' |
chaguo-msingi['firezone']['database']['user'] | Hubainisha jina la mtumiaji Firezone itatumia kuunganisha kwa DB. | nodi['firezone']['postgresql']['jina la mtumiaji'] |
chaguo-msingi['firezone']['database']['nenosiri'] | Ikiwa unatumia DB ya nje, inabainisha nenosiri ambalo Firezone itatumia kuunganisha kwenye DB. | nibadilishe' |
chaguo-msingi['firezone']['database']['name'] | Hifadhidata ambayo Firezone itatumia. Itaundwa ikiwa haipo. | eneo la moto' |
chaguo-msingi['firezone']['database']['mwenyeji'] | Mpangishi wa hifadhidata ambayo Firezone itaunganishwa kwake. | nodi['firezone']['postgresql']['sikiliza_anwani'] |
chaguo-msingi['firezone']['database']['bandari'] | Lango la hifadhidata ambalo Firezone itaunganishwa. | nodi['firezone']['postgresql']['bandari'] |
chaguo-msingi['firezone']['database']['pool'] | Saizi ya hifadhidata ya Firezone itatumia. | [10, Nk.nprocessors].max |
chaguo-msingi['firezone']['database']['ssl'] | Kama itaunganishwa kwenye hifadhidata kupitia SSL. | UONGO |
chaguo-msingi['firezone']['database']['ssl_opts'] | {} | |
chaguo-msingi['firezone']['database']['parameters'] | {} | |
chaguo-msingi['firezone']['database']['viendelezi'] | Viendelezi vya hifadhidata ili kuwezesha. | { 'plpgsql' => kweli, 'pg_trgm' => kweli } |
chaguo-msingi['firezone']['phoenix']['imewezeshwa'] | Washa au zima programu ya wavuti ya Firezone. | KWELI |
chaguo-msingi['firezone']['phoenix']['sikiliza_anwani'] | Anwani ya kusikiliza ya programu ya wavuti ya Firezone. Hii itakuwa anwani ya juu ya kusikiliza ambayo seva mbadala za nginx. | 127.0.0.1 ' |
chaguo-msingi['firezone']['phoenix']['bandari'] | Lango la kusikiliza la programu ya wavuti ya Firezone. Hii itakuwa bandari ya juu ambayo ninx proxies. | 13000 |
chaguo-msingi['firezone']['phoenix']['log_directory'] | Saraka ya kumbukumbu ya programu ya wavuti ya Firezone. | “#{nodi['firezone']['log_directory']}/phoenix” |
chaguo-msingi['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Saizi ya faili ya logi ya programu ya wavuti ya Firezone. | 104857600 |
chaguo-msingi['firezone']['phoenix']['logi_rotation']['namba_ya_kuweka'] | Idadi ya faili za kumbukumbu za programu ya Firezone za kuhifadhi. | 10 |
chaguo-msingi['firezone']['phoenix']['kugundua_kuanguka']['imewezeshwa'] | Washa au lemaza kuleta programu ya wavuti ya Firezone tukio la kuacha kufanya kazi linapogunduliwa. | KWELI |
chaguo-msingi['firezone']['phoenix']['external_trusted_proxies'] | Orodha ya seva mbadala zinazoaminika zilizoumbizwa kama Msururu wa IPs na/au CIDR. | [] |
chaguo-msingi['firezone']['phoenix']['private_clients'] | Orodha ya viteja vya HTTP vya mtandao wa kibinafsi, iliyoumbizwa Msururu wa IPs na/au CIDR. | [] |
chaguo-msingi['firezone']['wireguard']['imewezeshwa'] | Washa au uzime usimamizi uliounganishwa wa WireGuard. | KWELI |
chaguo-msingi['firezone']['wireguard']['log_directory'] | Saraka ya kumbukumbu kwa usimamizi uliounganishwa wa WireGuard. | "#{nodi['firezone']['log_directory']}/wireguard" |
chaguo-msingi['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Upeo wa faili ya kumbukumbu ya WireGuard. | 104857600 |
chaguo-msingi['firezone']['wireguard']['logi_rotation']['nambari_ya_kuweka'] | Idadi ya faili za kumbukumbu za WireGuard za kuhifadhi. | 10 |
chaguo-msingi['firezone']['wireguard']['interface_name'] | Jina la kiolesura cha WireGuard. Kubadilisha kigezo hiki kunaweza kusababisha hasara ya muda katika muunganisho wa VPN. | wg-firezone' |
chaguo-msingi['firezone']['wireguard']['bandari'] | Lango la kusikiliza la WireGuard. | 51820 |
chaguo-msingi['firezone']['wireguard']['mtu'] | Kiolesura cha WireGuard MTU kwa seva hii na kwa usanidi wa kifaa. | 1280 |
chaguo-msingi['firezone']['wireguard']['endpoint'] | WireGuard Endpoint ya kutumia kutengeneza usanidi wa kifaa. Ikiwa hakuna, chaguo-msingi kwa anwani ya IP ya umma ya seva. | nil |
chaguo-msingi['firezone']['wireguard']['dns'] | WireGuard DNS ya kutumia kwa ajili ya usanidi wa kifaa. | 1.1.1.1, 1.0.0.1′ |
chaguo-msingi['firezone']['wireguard']['allowed_ips'] | WireGuard Inaruhusiwa kutumia kwa usanidi wa kifaa. | 0.0.0.0/0, ::/0′ |
chaguo-msingi['firezone']['wireguard']['persistent_keepalive'] | Mpangilio chaguomsingi wa PersistentKeepalive kwa usanidi wa kifaa kilichozalishwa. Thamani ya 0 imezimwa. | 0 |
chaguo-msingi['firezone']['wireguard']['ipv4']['imewezeshwa'] | Washa au zima IPv4 kwa mtandao wa WireGuard. | KWELI |
chaguo-msingi['firezone']['wireguard']['ipv4']['masquerade'] | Washa au zima kinyago kwa pakiti zinazoondoka kwenye handaki ya IPv4. | KWELI |
chaguo-msingi['firezone']['wireguard']['ipv4']['network'] | Dimbwi la anwani za IPv4 za mtandao wa WireGuard. | 10.3.2.0/24 ′ |
chaguo-msingi['firezone']['wireguard']['ipv4']['anwani'] | Anwani ya IPv4 ya interface ya WireGuard. Lazima iwe ndani ya bwawa la anwani la WireGuard. | 10.3.2.1 ' |
chaguo-msingi['firezone']['wireguard']['ipv6']['imewezeshwa'] | Washa au zima IPv6 kwa mtandao wa WireGuard. | KWELI |
chaguo-msingi['firezone']['wireguard']['ipv6']['masquerade'] | Washa au zima kinyago kwa pakiti zinazoondoka kwenye handaki ya IPv6. | KWELI |
chaguo-msingi['firezone']['wireguard']['ipv6']['network'] | Dimbwi la anwani za IPv6 za mtandao wa WireGuard. | fd00::3:2:0/120′ |
chaguo-msingi['firezone']['wireguard']['ipv6']['anwani'] | Anwani ya IPv6 ya interface ya WireGuard. Lazima iwe ndani ya hifadhi ya anwani ya IPv6. | fd00::3:2:1′ |
chaguo-msingi['firezone']['runit']['svlogd_bin'] | Runit svlogd eneo la bin. | “#{nodi['firezone']['install_directory']}/embedded/bin/svlogd” |
chaguo-msingi['firezone']['ssl']['saraka'] | Saraka ya SSL ya kuhifadhi vyeti vilivyozalishwa. | /var/opt/firezone/ssl' |
chaguo-msingi['firezone']['ssl']['email_address'] | Anwani ya barua pepe ya kutumia kwa vyeti vya kujiandikisha na arifa za kusasisha itifaki ya ACME. | wewe@mfano.com' |
chaguo-msingi['firezone']['ssl']['acme']['imewezeshwa'] | Washa ACME kwa utoaji otomatiki wa cheti cha SSL. Zima hii ili kuzuia Nginx isisikilize kwenye bandari 80. Tazama hapa kwa maagizo zaidi. | UONGO |
chaguo-msingi['firezone']['ssl']['acme']['server'] | Seva ya ACME ya kutumia kutoa/kusasisha cheti. Inaweza kuwa yoyote seva halali ya acme.sh | letencrypt |
chaguo-msingi['firezone']['ssl']['acme']['keylength'] | Bainisha aina ya ufunguo na urefu wa vyeti vya SSL. Tazama hapa | 256 |
chaguo-msingi['firezone']['ssl']['cheti'] | Njia ya faili ya cheti kwa FQDN yako. Inabatilisha mpangilio wa ACME hapo juu ikiwa imebainishwa. Ikiwa ACME na hii sio cheti cha kujiandikisha kitatolewa. | nil |
chaguo-msingi['firezone']['ssl']['certificate_key'] | Njia ya faili ya cheti. | nil |
chaguo-msingi['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nil |
chaguo-msingi['firezone']['ssl']['jina_la_nchi'] | Jina la nchi kwa cheti cha kujiandikisha. | Marekani' |
chaguo-msingi['firezone']['ssl']['state_name'] | Jina la serikali kwa cheti cha kujiandikisha. | CA ' |
chaguo-msingi['firezone']['ssl']['locality_name'] | Jina la eneo la cheti cha kujiandikisha. | San Francisco' |
chaguo-msingi['firezone']['ssl']['jina_la_kampuni'] | Hati iliyosainiwa ya jina la kampuni. | Kampuni yangu' |
chaguo-msingi['firezone']['ssl']['organizational_unit_name'] | Jina la kitengo cha shirika la cheti cha kujiandikisha. | Operesheni' |
chaguo-msingi['firezone']['ssl']['ciphers'] | Sifa za SSL za nginx kutumia. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
chaguo-msingi['firezone']['ssl']['fips_ciphers'] | Sifa za SSL za modi ya FIPs. | FIPS@STRENGTH:!null:!eNULL' |
chaguo-msingi['firezone']['ssl']['protocols'] | Itifaki za TLS za kutumia. | TLSv1 TLSv1.1 TLSv1.2′ |
chaguo-msingi['firezone']['ssl']['cache_ya_session'] | Akiba ya kipindi cha SSL. | imeshirikiwa:SSL:4m' |
chaguo-msingi['firezone']['ssl']['session_timeout'] | Muda wa kipindi cha SSL umekwisha. | 5m' |
chaguo-msingi['firezone']['robots_allow'] | roboti za nginx zinaruhusu. | /' |
chaguo-msingi['firezone']['robots_disallow'] | roboti za nginx haziruhusu. | nil |
chaguo-msingi['firezone']['outbound_email']['kutoka'] | Barua pepe ya nje kutoka kwa anwani. | nil |
chaguo-msingi['firezone']['outbound_email']['mtoa huduma'] | Mtoa huduma wa barua pepe wa nje. | nil |
chaguo-msingi['firezone']['outbound_email']['configs'] | Mipangilio ya mtoa huduma wa barua pepe ya nje. | tazama omnibus/cookbooks/firezone/attributes/default.rb |
chaguo-msingi['firezone']['telemetry']['imewezeshwa'] | Washa au zima telemetry ya bidhaa isiyojulikana. | KWELI |
chaguo-msingi['firezone']['connectivity_checks']['imewezeshwa'] | Washa au zima huduma ya ukaguzi wa muunganisho wa Firezone. | KWELI |
chaguo-msingi['firezone']['connectivity_checks']['interval'] | Muda kati ya hundi ya muunganisho katika sekunde. | 3_600 |
________________________________________________________________
Hapa utapata orodha ya faili na saraka zinazohusiana na usakinishaji wa kawaida wa Firezone. Hizi zinaweza kubadilika kulingana na mabadiliko kwenye faili yako ya usanidi.
njia | maelezo |
/var/opt/firezone | Saraka ya kiwango cha juu iliyo na data na usanidi uliotengenezwa kwa huduma zilizounganishwa za Firezone. |
/opt/firezone | Saraka ya kiwango cha juu iliyo na maktaba zilizojengwa, jozi na faili za wakati wa kutekeleza zinazohitajika na Firezone. |
/usr/bin/firezone-ctl | shirika la firezone-ctl la kudhibiti usakinishaji wako wa Firezone. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd faili ya kitengo cha kuanzisha mchakato wa msimamizi wa Firezone runsvdir. |
/etc/firezone | Faili za usanidi wa Firezone. |
__________________________________________________________
Ukurasa huu ulikuwa tupu katika hati
_____________________________________________________________
Kiolezo kifuatacho cha ngome ya nftables kinaweza kutumika kulinda seva inayoendesha Firezone. Template haina kufanya baadhi ya mawazo; unaweza kuhitaji kurekebisha sheria ili kuendana na kesi yako ya utumiaji:
Firezone husanidi sheria zake za nftables ili kuruhusu/kukataa trafiki kwa maeneo yaliyosanidiwa katika kiolesura cha wavuti na kushughulikia NAT inayotoka nje kwa trafiki ya mteja.
Utumiaji wa kiolezo cha ngome iliyo hapa chini kwenye seva ambayo tayari inaendeshwa (si wakati wa kuwasha) kutasababisha sheria za Firezone kufutwa. Hii inaweza kuwa na athari za usalama.
Ili kufanya kazi kuzunguka hii anzisha tena huduma ya phoenix:
firezone-ctl anzisha upya phoenix
#!/usr/sbin/nft -f
## Futa/safisha sheria zote zilizopo
flush kanuni
################################# # ################## ################
## Jina la kiolesura cha Mtandao/WAN
fafanua DEV_WAN = eth0
## Jina la kiolesura cha WireGuard
fafanua DEV_WIREGUARD = wg-firezone
## WireGuard kusikiliza bandari
fafanua WIREGUARD_PORT = 51820
################################### ################################### #############
# Jedwali kuu la kuchuja familia la inet
kichujio cha inet ya meza {
# Sheria za trafiki iliyotumwa
# Mlolongo huu huchakatwa kabla ya mnyororo wa mbele wa Firezone
mnyororo mbele {
chapa kichujio cha ndoano ya mbele kichujio cha kipaumbele - 5; kukubali sera
}
# Sheria za trafiki ya pembejeo
ingizo la mnyororo {
kichujio cha aina ya kichujio cha pembejeo cha kipaumbele cha ndoano; kushuka kwa sera
## Ruhusu trafiki inayoingia kwenye kiolesura cha kurudi nyuma
ikiwa tazama \
kukubali \
maoni "Ruhusu trafiki yote kuingia kutoka kwa kiolesura cha nyuma"
## Ruhusa imeanzishwa na miunganisho inayohusiana
ct hali imara, inayohusiana \
kukubali \
maoni "Ruhusa iliyoanzishwa / miunganisho inayohusiana"
## Ruhusu trafiki ya ndani ya WireGuard
ikiwa $DEV_WAN udp dport $WIREGUARD_PORT \
kaunta \
kukubali \
maoni "Ruhusu trafiki ya ndani ya WireGuard"
## Ingia na udondoshe pakiti mpya za TCP zisizo za SYN
tcp bendera != syn ct state new \
kiwango cha kikomo 100/ dakika kupasuka 150 pakiti \
logi kiambishi awali “IN – Mpya !SYN: “ \
maoni "Kadiria uwekaji kumbukumbu kwa miunganisho mipya ambayo haina alama ya SYN TCP"
tcp bendera != syn ct state new \
kaunta \
dondosha \
maoni "Angusha miunganisho mipya ambayo haina seti ya bendera ya SYN TCP"
## Weka na udondoshe pakiti za TCP zilizo na seti batili ya bendera ya fin/syn
bendera za tcp & (fin|syn) == (fin|syn) \
kiwango cha kikomo 100/ dakika kupasuka 150 pakiti \
logi kiambishi awali “IN – TCP FIN|SIN: “ \
maoni "Kadiria kikomo cha ukataji miti kwa pakiti za TCP zilizo na bendera batili ya fin/syn"
bendera za tcp & (fin|syn) == (fin|syn) \
kaunta \
dondosha \
maoni "Dondosha pakiti za TCP zilizo na bendera batili ya fin/syn"
## Weka na udondoshe pakiti za TCP zilizo na seti batili ya syn/rst bendera
tcp bendera & (syn|rst) == (syn|rst) \
kiwango cha kikomo 100/ dakika kupasuka 150 pakiti \
logi kiambishi awali “IN – TCP SYN|RST: “ \
maoni "Kadiria kikomo cha ukataji miti kwa pakiti za TCP zilizo na seti batili ya syn/bendera ya kwanza"
tcp bendera & (syn|rst) == (syn|rst) \
kaunta \
dondosha \
maoni "Dondosha pakiti za TCP zilizo na seti batili ya syn/bendera ya kwanza"
## Weka na udondoshe bendera za TCP zisizo sahihi
bendera za tcp & (fin|syn|rst|psh|ack|urg) < (fin) \
kiwango cha kikomo 100/ dakika kupasuka 150 pakiti \
logi kiambishi awali "IN - FIN:" \
maoni "Kadiria kikomo cha ukataji miti kwa bendera batili za TCP (fin|syn|st|psh|ack|urg) < (fin)"
bendera za tcp & (fin|syn|rst|psh|ack|urg) < (fin) \
kaunta \
dondosha \
maoni “Dondosha pakiti za TCP zilizo na bendera (fin|syn|syn|rst|psh|ack|urg) < (fin)”
## Weka na udondoshe bendera za TCP zisizo sahihi
bendera za tcp & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
kiwango cha kikomo 100/ dakika kupasuka 150 pakiti \
logi kiambishi awali “IN – FIN|PSH|URG:” \
maoni "Kadiria kikomo cha ukataji wa bendera za TCP batili (fin|syn|syn|st|psh|ack|urg) == (fin|psh|urg)"
bendera za tcp & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
kaunta \
dondosha \
maoni "Dondosha pakiti za TCP zenye bendera (fin|syn|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Weka trafiki iliyo na hali ya muunganisho batili
ct hali ni batili \
kiwango cha kikomo 100/ dakika kupasuka 150 pakiti \
log huashiria kiambishi awali chote "IN - Batili:" \
maoni "Kadiria kikomo cha ukataji wa trafiki na hali ya muunganisho batili"
ct hali ni batili \
kaunta \
dondosha \
maoni "Dondosha trafiki na hali ya muunganisho batili"
## Ruhusu majibu ya ping/ping ya IPv4 lakini kiwango kikomo cha PPS 2000
ip itifaki icmp aina ya icmp { echo-reply, echo-request } \
kiwango cha kikomo 2000/pili\
kaunta \
kukubali \
maoni "Ruhusu mwangwi wa IPv4 wa kuingia (ping) mdogo kwa PPS 2000"
## Ruhusu ICMP nyingine zote zinazoingia za IPv4
ip itifaki icmp \
kaunta \
kukubali \
maoni "Ruhusu IPv4 ICMP zingine zote"
## Ruhusu majibu ya ping/ping ya IPv6 lakini kiwango kikomo cha PPS 2000
icmpv6 aina { echo-reply, echo-request } \
kiwango cha kikomo 2000/pili\
kaunta \
kukubali \
maoni "Ruhusu mwangwi wa IPv6 wa kuingia (ping) mdogo kwa PPS 2000"
## Ruhusu ICMP nyingine zote zinazoingia za IPv6
meta l4proto { icmpv6 } \
kaunta \
kukubali \
maoni "Ruhusu IPv6 ICMP zingine zote"
## Ruhusu bandari za traceroute za UDP lakini punguze hadi 500 PPS
udp dport 33434-33524 \
kiwango cha kikomo 500/pili\
kaunta \
kukubali \
maoni "Ruhusu njia ya kuingia ya UDP yenye mipaka ya PPS 500"
## Ruhusu kuingia kwa SSH
tcp dport SSH ct hali mpya \
kaunta \
kukubali \
maoni "Ruhusu miunganisho ya SSH inayoingia"
## Ruhusu HTTP na HTTPS zinazoingia
tcp dport { http, https } ct hali mpya \
kaunta \
kukubali \
maoni "Ruhusu miunganisho ya ndani ya HTTP na HTTPS"
## Rekodi trafiki yoyote ambayo haijalinganishwa lakini kiwango kikomo cha ukataji hadi ujumbe 60 kwa dakika
## Sera chaguomsingi itatumika kwa trafiki isiyolingana
kiwango cha kikomo 60/ dakika kupasuka 100 pakiti \
logi kiambishi awali "IN - Drop:" \
maoni "Weka trafiki yoyote isiyolingana"
## Hesabu trafiki isiyolingana
kaunta \
maoni "Hesabu trafiki yoyote isiyolingana"
}
# Sheria za trafiki ya pato
pato la mnyororo {
chujio cha kipaumbele cha pato la ndoano ya chujio cha chujio; kushuka kwa sera
## Ruhusu trafiki inayotoka kwa kiolesura cha kurudi nyuma
haya \
kukubali \
maoni "Ruhusu trafiki yote nje kwa kiolesura cha kurudi nyuma"
## Ruhusa imeanzishwa na miunganisho inayohusiana
ct hali imara, inayohusiana \
kaunta \
kukubali \
maoni "Ruhusa iliyoanzishwa / miunganisho inayohusiana"
## Ruhusu trafiki ya WireGuard inayotoka kabla ya kuacha miunganisho yenye hali mbaya
oif $DEV_WAN udp mchezo $WIREGUARD_PORT \
kaunta \
kukubali \
maoni "Ruhusu trafiki ya nje ya WireGuard"
## Weka trafiki iliyo na hali ya muunganisho batili
ct hali ni batili \
kiwango cha kikomo 100/ dakika kupasuka 150 pakiti \
log huashiria kiambishi awali chote "OUT - Batili:" \
maoni "Kadiria kikomo cha ukataji wa trafiki na hali ya muunganisho batili"
ct hali ni batili \
kaunta \
dondosha \
maoni "Dondosha trafiki na hali ya muunganisho batili"
## Ruhusu IPv4 nyingine zote zinazotoka ICMP
ip itifaki icmp \
kaunta \
kukubali \
maoni "Ruhusu aina zote za IPv4 ICMP"
## Ruhusu IPv6 nyingine zote zinazotoka ICMP
meta l4proto { icmpv6 } \
kaunta \
kukubali \
maoni "Ruhusu aina zote za IPv6 ICMP"
## Ruhusu bandari za UDP za traceroute lakini punguze hadi 500 PPS
udp dport 33434-33524 \
kiwango cha kikomo 500/pili\
kaunta \
kukubali \
maoni "Ruhusu njia ya UDP inayotoka nje hadi 500 PPS"
## Ruhusu miunganisho ya nje ya HTTP na HTTPS
tcp dport { http, https } ct hali mpya \
kaunta \
kukubali \
maoni "Ruhusu miunganisho ya nje ya HTTP na HTTPS"
## Ruhusu uwasilishaji wa SMTP inayotoka
uwasilishaji wa tcp dport ct hali mpya \
kaunta \
kukubali \
maoni "Ruhusu uwasilishaji wa SMTP inayotoka nje"
## Ruhusu maombi ya nje ya DNS
udp dport 53 \
kaunta \
kukubali \
maoni "Ruhusu maombi ya nje ya UDP ya DNS"
tcp dport 53 \
kaunta \
kukubali \
maoni "Ruhusu maombi ya TCP DNS ya nje"
## Ruhusu maombi ya nje ya NTP
udp dport 123 \
kaunta \
kukubali \
maoni "Ruhusu maombi ya nje ya NTP"
## Rekodi trafiki yoyote ambayo haijalinganishwa lakini kiwango kikomo cha ukataji hadi ujumbe 60 kwa dakika
## Sera chaguomsingi itatumika kwa trafiki isiyolingana
kiwango cha kikomo 60/ dakika kupasuka 100 pakiti \
logi kiambishi awali "NJE - Acha:" \
maoni "Weka trafiki yoyote isiyolingana"
## Hesabu trafiki isiyolingana
kaunta \
maoni "Hesabu trafiki yoyote isiyolingana"
}
}
# Jedwali kuu la kuchuja la NAT
meza inet nat {
Sheria # za uelekezaji wa trafiki wa NAT mapema
utangulizi wa mnyororo {
aina nat ndoano prerouting kipaumbele dstnat; kukubali sera
}
Sheria # za trafiki ya NAT baada ya uelekezaji
# Jedwali hili linachakatwa kabla ya mnyororo wa baada ya uelekezaji wa Firezone
uwasilishaji wa mnyororo {
chapa nat hook postrouting kipaumbele srcnat - 5; kukubali sera
}
}
Ngome inapaswa kuhifadhiwa katika eneo husika kwa usambazaji wa Linux unaofanya kazi. Kwa Debian/Ubuntu hii ni /etc/nftables.conf na kwa RHEL hii ni /etc/sysconfig/nftables.conf.
nftables.service itahitaji kusanidiwa ili kuanza kwenye buti (ikiwa haijawekwa tayari):
systemctl wezesha nftables.service
Ikiwa kufanya mabadiliko yoyote kwenye kiolezo cha firewall syntax inaweza kuthibitishwa kwa kuendesha amri ya kuangalia:
nft -f /path/to/nftables.conf -c
Hakikisha umeidhinisha kazi za ngome kama inavyotarajiwa kwani vipengele fulani vya nfttables huenda visipatikane kulingana na toleo linaloendeshwa kwenye seva.
_______________________________________________________________
Hati hii inawasilisha muhtasari wa telemetry Firezone inayokusanywa kutoka kwa tukio ulilopangisha mwenyewe na jinsi ya kuizima.
Eneo la moto hutegemea kwenye telemetry ili kuipa kipaumbele ramani yetu ya barabara na kuboresha rasilimali za uhandisi tulizonazo ili kufanya Firezone kuwa bora zaidi kwa kila mtu.
Telemetry tunayokusanya inalenga kujibu maswali yafuatayo:
Kuna sehemu tatu kuu ambapo telemetry inakusanywa katika Firezone:
Katika kila moja ya miktadha hii mitatu, tunanasa kiwango cha chini kabisa cha data muhimu ili kujibu maswali katika sehemu iliyo hapo juu.
Barua pepe za wasimamizi hukusanywa tu ikiwa utachagua kuingia kwenye sasisho za bidhaa. Vinginevyo, habari inayotambulika kibinafsi ni kamwe zilizokusanywa.
Firezone huhifadhi telemetry katika mfano unaojiendesha wa PostHog inayoendesha katika kundi la kibinafsi la Kubernetes, linaloweza kufikiwa na timu ya Firezone pekee. Huu hapa ni mfano wa tukio la telemetry ambalo hutumwa kutoka kwa mfano wako wa Firezone hadi kwenye seva yetu ya telemetry:
{
"Kitambulisho": “0182272d-0b88-0000-d419-7b9a413713f1”,
"muhuri wa wakati": “2022-07-22T18:30:39.748000+00:00”,
"tukio": "fz_http_imeanza",
"kitambulisho_cha_tofauti": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"mali":{
"$geoip_city_name": "Ashburn",
"$geoip_continent_code": "NA",
"$geoip_continent_name": "Marekani Kaskazini",
"$geoip_country_code": "Marekani",
"$geoip_country_name": "Marekani",
“latitudo_ya_$geoip”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "Virginia",
"$geoip_time_zone": “Amerika/New_York”,
"$ip": "52.200.241.107",
"$plugins_deferred": [],
"$plugins_imeshindwa": [],
"$plugins_imefanikiwa": [
"GeoIP (3)"
],
"kitambulisho_cha_tofauti": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "linux 5.13.0",
"toleo": "0.4.6"
},
"mnyororo_wa_vipengele": ""
}
KUMBUKA
Timu ya maendeleo ya Firezone hutegemea kwenye uchanganuzi wa bidhaa ili kufanya Firezone kuwa bora kwa kila mtu. Kuacha kipengele cha telemetry kukiwashwa ndio mchango muhimu zaidi unaoweza kutoa kwa maendeleo ya Firezone. Hiyo ilisema, tunaelewa kuwa baadhi ya watumiaji wana mahitaji ya juu zaidi ya faragha au usalama na tungependelea kuzima telemetry kabisa. Ikiwa ni wewe, endelea kusoma.
Telemetry imewezeshwa kwa chaguo-msingi. Ili kuzima kabisa telemetry ya bidhaa, weka chaguo lifuatalo la usanidi kuwa sivyo katika /etc/firezone/firezone.rb na utekeleze usanidi upya wa sudo firezone-ctl ili kuchukua mabadiliko.
chaguo-msingi['eneo la moto']['telemetry']['imewezeshwa'] = uongo
Hiyo italemaza kabisa telemetry yote ya bidhaa.
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Simu: (732) 771-9995
Barua pepe: info@hailbytes.com
