Tha stiùireadh ceum air cheum airson Hailbytes VPN a chleachdadh le Firezone GUI air a thoirt seachad an seo.
Rianachd: Tha stèidheachadh eisimpleir an fhrithealaiche ceangailte gu dìreach ris a’ phàirt seo.
Stiùiridhean Cleachdaiche: Sgrìobhainnean cuideachail a dh’ ionnsaicheas dhut mar a chleachdas tu Firezone agus a dh’ fhuasglas duilgheadasan àbhaisteach. Às deidh don fhrithealaiche a bhith air a chleachdadh gu soirbheachail, thoir sùil air an roinn seo.
Tunail Split: Cleachd an VPN gus trafaic a chuir gu raointean IP sònraichte a-mhàin.
Whitelisting: Suidhich seòladh IP statach frithealaiche VPN gus liosta geal a chleachdadh.
Tunailean air ais: Cruthaich tunailean eadar grunn cho-aoisean a’ cleachdadh tunailean cùil.
Tha sinn toilichte do chuideachadh ma tha feum agad air cuideachadh le bhith a’ stàladh, a’ gnàthachadh, no a’ cleachdadh Hailbytes VPN.
Mus urrainn do luchd-cleachdaidh faidhlichean rèiteachaidh innealan a thoirt gu buil no a luchdachadh sìos, faodar Firezone a rèiteachadh gus am feum iad dearbhadh. Is dòcha gum feum luchd-cleachdaidh cuideachd ath-dhearbhadh bho àm gu àm gus an ceangal VPN aca a chumail gnìomhach.
Ged is e post-d agus facal-faire ionadail an dòigh logaidh a-steach bunaiteach aig Firezone, faodar cuideachd a bhith air fhilleadh a-steach le solaraiche dearbh-aithne àbhaisteach OpenID Connect (OIDC). Faodaidh luchd-cleachdaidh a-nis logadh a-steach gu Firezone a’ cleachdadh an Okta, Google, Azure AD, no teisteanasan solaraiche dearbh-aithne prìobhaideach.
Amalachadh Solaraiche OIDC coitcheann
Tha na paramadairean rèiteachaidh a dh ’fheumas Firezone gus leigeil le SSO a’ cleachdadh solaraiche OIDC air an sealltainn san eisimpleir gu h-ìosal. Aig /etc/firezone/firezone.rb, is dòcha gum faigh thu am faidhle rèiteachaidh. Ruith ath-dhealbhadh firezone-ctl agus ath-thòiseachadh firezone-ctl gus an tagradh ùrachadh agus atharrachaidhean a thoirt gu buil.
# Seo eisimpleir a’ cleachdadh Google agus Okta mar sholaraiche dearbh-aithne SSO.
# Faodar ioma-rèiteachaidhean OIDC a chur ris an aon eisimpleir Firezone.
Faodaidh # Firezone VPN neach-cleachdaidh a chuir dheth ma lorgar mearachd sam bith a’ feuchainn
# gus an access_token aca ùrachadh. Tha seo air a dhearbhadh gus obrachadh airson Google, Okta, agus
# Azure SSO agus tha e air a chleachdadh gus VPN neach-cleachdaidh a dhì-cheangal gu fèin-ghluasadach ma thèid an toirt air falbh
# bhon t-solaraiche OIDC. Fàg seo à comas ma tha an solaraiche OIDC agad
Tha cùisean aig # ag ùrachadh comharran ruigsinneachd oir dh’ fhaodadh e casg a chuir air a
# seisean VPN neach-cleachdaidh.
default['firezone']['dearbhadh']['disable_vpn_on_oidc_error'] = meallta
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id : “ ”,
client_secret : “ ”,
ath-sheòladh_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: “còd”,
raon: “pròifil post-d fosgailte”,
leubail: “Google”
},
ceart gu leòr: {
discovery_document_uri : “ https:// /.well-known/openid-configuration",
client_id : “ ”,
client_secret : “ ”,
ath-sheòladh_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: “còd”,
raon: “pròifil post-d fosgailte offline_access”,
leubail: “Okta”
}
}
Tha feum air na roghainnean config a leanas airson an aonachadh:
Airson gach solaraiche OIDC tha URL breagha co-fhreagarrach air a chruthachadh airson ath-stiùireadh gu URL soidhnidh an t-solaraiche rèitichte. Airson an eisimpleir config OIDC gu h-àrd, is iad na URLan:
Solaraichean tha sgrìobhainnean againn airson:
Ma tha ceanglaiche coitcheann OIDC aig an t-solaraiche dearbh-aithne agad agus nach eil e air a liostadh gu h-àrd, feuch an tadhail thu air na sgrìobhainnean aca airson fiosrachadh air mar a gheibh thu air ais na roghainnean rèiteachaidh riatanach.
Faodar an suidheachadh fo shuidheachaidhean / tèarainteachd atharrachadh gus a bhith feumach air ath-dhearbhadh bho àm gu àm. Faodar seo a chleachdadh gus an riatanas a chuir an gnìomh gum bi luchd-cleachdaidh a’ dol a-steach gu Firezone gu cunbhalach gus leantainn air adhart leis an t-seisean VPN aca.
Faodar fad an t-seisein a rèiteachadh gus a bhith eadar uair a thìde agus ceithir fichead latha. Le bhith a’ suidheachadh seo gu Never, faodaidh tu seiseanan VPN a chomasachadh aig àm sam bith. Is e seo an inbhe.
Feumaidh neach-cleachdaidh an seisean VPN aca a thoirt gu crìch agus logadh a-steach don portal Firezone gus ath-dhearbhadh a dhèanamh air seisean VPN a dh’ fhalbh (URL air a shònrachadh aig àm cleachdadh).
Faodaidh tu do sheisean ath-dhearbhadh le bhith a’ leantainn an dearbh stiùireadh teachdaiche a lorgar an seo.
Inbhe Ceangal VPN
Tha colbh clàr Ceangal VPN duilleag luchd-cleachdaidh a’ taisbeanadh inbhe ceangail neach-cleachdaidh. Seo na h-inbhean ceangail:
ENABLED - Tha an ceangal air a chomasachadh.
CEANNACH - Tha an ceangal à comas le rianadair no fàilligeadh ùrachaidh OIDC.
Crìochnaichte - Tha an ceangal à comas air sgàth 's gu bheil an dearbhadh a' tighinn gu crìch no nach eil cleachdaiche air logadh a-steach airson a' chiad uair.
Tro cheangal coitcheann OIDC, tha Firezone a’ comasachadh Sign-On Singilte (SSO) le Google Workspace agus Cloud Identity. Seallaidh an iùl seo dhut mar a gheibh thu na paramadairean rèiteachaidh a tha air an liostadh gu h-ìosal, a tha riatanach airson an aonachadh:
1. Sgrion Config OAuthDefault
Mas e seo a’ chiad uair a tha thu a’ cruthachadh ID teachdaiche OAuth ùr, thèid iarraidh ort scrion cead a rèiteachadh.
* Tagh taobh a-staigh airson seòrsa neach-cleachdaidh. Nì seo cinnteach nach urrainn ach cunntasan a bhuineas do luchd-cleachdaidh sa Bhuidheann Google Workspace agad rèiteachaidhean innealan a chruthachadh. NA tagh Taobh a-muigh mura h-eil thu airson leigeil le duine sam bith aig a bheil Cunntas Google dligheach rèiteachaidhean inneal a chruthachadh.
Air scrion fiosrachaidh an aplacaid:
2. Cruthaich IDan Client OAuthDefault
Tha an earrann seo stèidhichte air na sgrìobhainnean aig Google fhèin air stèidheachadh OAuth 2.0.
Tadhail air an Google Cloud Console Duilleag teisteanais duilleag, cliog + Cruthaich teisteanasan agus tagh ID teachdaiche OAuth.
Air sgrion cruthachadh ID teachdaiche OAuth:
Às deidh dhut ID teachdaiche OAuth a chruthachadh, thèid ID Client agus Client Secret a thoirt dhut. Thèid iad sin a chleachdadh còmhla ris an URI ath-sheòlaidh san ath cheum.
Deasaich /etc/firezone/firezone.rb gus na roghainnean gu h-ìosal a ghabhail a-steach:
# A’ cleachdadh Google mar sholaraiche dearbh-aithne SSO
default['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ ”,
client_secret : “ ”,
ath-sheòladh_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: “còd”,
raon: “pròifil post-d fosgailte”,
leubail: “Google”
}
}
Ruith firezone-ctl ath-rèiteachadh agus firezone-ctl ath-thòiseachadh gus an aplacaid ùrachadh. Bu chòir dhut a-nis putan Clàraich a-steach le Google fhaicinn aig an URL freumh Firezone.
Bidh Firezone a’ cleachdadh an ceanglaiche OIDC coitcheann gus Soidhnigeadh Singilte (SSO) a dhèanamh comasach le Okta. Seallaidh an oideachadh seo dhut mar a gheibh thu na paramadairean rèiteachaidh a tha air an liostadh gu h-ìosal, a tha riatanach airson an aonachadh:
Tha an earrann seo den stiùireadh stèidhichte air Sgrìobhainnean Okta.
Anns an Admin Console, rachaibh gu Tagraidhean> Tagraidhean agus cliog Cruthaich Amalachadh App. Suidhich modh soidhnidh a-steach gu OICD - OpenID Connect agus seòrsa tagraidh gu tagradh lìn.
Dèan rèiteachadh air na roghainnean seo:
Aon uair ‘s gu bheil na roghainnean air an sàbhaladh, gheibh thu ID Client, Client Secret, agus Okta Domain. Thèid na 3 luachan sin a chleachdadh ann an Ceum 2 gus Firezone a rèiteachadh.
Deasaich /etc/firezone/firezone.rb gus na roghainnean gu h-ìosal a thoirt a-steach. Tha do lorg_document_url Bidh /.well-known/openid-configuration ceangailte ri deireadh do chuid okta_domain.
# A’ cleachdadh Okta mar sholaraiche dearbh-aithne SSO
default['firezone']['authentication']['oidc'] = {
ceart gu leòr: {
discovery_document_uri : “ https:// /.well-known/openid-configuration",
client_id: “ ”,
client_secret : “ ”,
ath-sheòladh_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: “còd”,
raon: “pròifil post-d fosgailte offline_access”,
leubail: “Okta”
}
}
Ruith firezone-ctl ath-rèiteachadh agus firezone-ctl ath-thòiseachadh gus an aplacaid ùrachadh. Bu chòir dhut a-nis putan Clàraich a-steach le Okta fhaicinn aig an URL freumh Firezone.
Faodaidh an luchd-cleachdaidh a gheibh cothrom air an app Firezone a bhith cuingealaichte le Okta. Rach gu duilleag Sònrachaidhean Integration App Firezone App Console Okta Admin agad gus seo a choileanadh.
Tro cheangal coitcheann OIDC, tha Firezone a’ comasachadh Sign-On Singilte (SSO) le Azure Active Directory. Seallaidh an leabhar-làimhe seo dhut mar a gheibh thu na paramadairean rèiteachaidh a tha air an liostadh gu h-ìosal, a tha riatanach airson an aonachadh:
Tha an stiùireadh seo air a tharraing bho na Sgrìobhainnean Azure Active Directory.
Rach gu duilleag Azure Active Directory aig portal Azure. Tagh an roghainn Stiùirich clàr, tagh Clàradh Ùr, an uairsin clàraich le bhith a’ toirt seachad am fiosrachadh gu h-ìosal:
Às deidh dhut clàradh, fosgail sealladh mion-fhiosrachaidh an tagraidh agus dèan lethbhreac den ID tagraidh (cliant).. Is e seo an luach client_id. An uairsin, fosgail clàr-taice nan puingean crìochnachaidh gus am faidhle fhaighinn air ais Sgrìobhainn meata-dàta OpenID Connect. Is e seo an luach discovery_document_uri.
Cruthaich dìomhaireachd teachdaiche ùr le bhith a’ cliogadh air an roghainn Teisteanasan & dìomhaireachdan fon chlàr Stiùirich. Dèan lethbhreac de dhìomhaireachd an neach-dèiligidh; bidh luach dìomhair an neach-dèiligidh seo.
Mu dheireadh, tagh an ceangal ceadan API fon chlàr Stiùirich, cliog Cuir cead a-steach, agus tagh Microsoft Graph, Cuir post-d, fosgailte, offline_ruigsinneachd agus profile gu na ceadan riatanach.
Deasaich /etc/firezone/firezone.rb gus na roghainnean gu h-ìosal a ghabhail a-steach:
# A’ cleachdadh Azure Active Directory mar sholaraiche dearbh-aithne SSO
default['firezone']['authentication']['oidc'] = {
adhar: {
discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
client_id: “ ”,
client_secret : “ ”,
ath-sheòladh_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
response_type: “còd”,
raon: “pròifil post-d fosgailte offline_access”,
leubail: “Azure”
}
}
Ruith firezone-ctl ath-rèiteachadh agus firezone-ctl ath-thòiseachadh gus an aplacaid ùrachadh. Bu chòir dhut a-nis putan Clàraich a-steach le Azure fhaicinn aig an URL freumh Firezone.
Tha Azure AD a’ toirt comas do luchd-rianachd ruigsinneachd app a chuingealachadh gu buidheann sònraichte de luchd-cleachdaidh taobh a-staigh do chompanaidh. Gheibhear tuilleadh fiosrachaidh mu mar a nì thu seo ann an sgrìobhainnean Microsoft.
Bidh Firezone a’ cleachdadh Chef Omnibus gus gnìomhan a riaghladh a’ toirt a-steach pacadh fuasglaidh, stiùireadh pròiseas, riaghladh logaichean, agus barrachd.
Tha còd Ruby a’ dèanamh suas am prìomh fhaidhle rèiteachaidh, a tha suidhichte aig /etc/firezone/firezone.rb. Le bhith ag ath-thòiseachadh ath-dhealbhadh sudo firezone-ctl às deidh atharrachaidhean a dhèanamh air an fhaidhle seo bidh an còcaire ag aithneachadh na h-atharrachaidhean agus gan cur an sàs san t-siostam obrachaidh gnàthach.
Faic iomradh an fhaidhle rèiteachaidh airson liosta iomlan de chaochladairean rèiteachaidh agus na tuairisgeulan aca.
Faodar an t-eisimpleir Firezone agad a riaghladh tro fhaidhle crios-teine-ctl òrdugh, mar a chithear gu h-ìosal. Feumaidh a’ mhòr-chuid de fo-òrdughan ro-leasachan le sudo.
root@demo: ~# firezone-ctl
omnibus-ctl: àithne (fo-cheannard)
Òrdughan Coitcheann:
glanadh
Sguab às * a h-uile * dàta firezone, agus tòisich bhon toiseach.
cruthaich-no-ath-shuidheachadh-admin
Ath-shuidhich am facal-faire airson an rianaire le post-d air a shònrachadh gu bunaiteach ['firezone']['admin_email'] no cruthaichidh e rianaire ùr mura h-eil am post-d sin ann.
cuideachadh
Clò-bhuail am brath cuideachaidh seo.
ath-rèiteachadh
Ath-rèiteachadh an aplacaid.
ath-shuidheachadh - lìonra
Ag ath-shuidheachadh nftables, eadar-aghaidh WireGuard, agus clàr slighe air ais gu bunaitean Firezone.
taisbeanadh-config
Seall an rèiteachadh a bhiodh air a chruthachadh le ath-dhealbhadh.
lìonra teardown
A’ toirt air falbh eadar-aghaidh WireGuard agus clàr firezone nftables.
force-cert-ùrachadh
Ath-nuadhaich an teisteanais an-dràsta ged nach eil e air tighinn gu crìch.
stad-cert-ùrachadh
A’ toirt air falbh cronjob a bhios ag ùrachadh theisteanasan.
dì-stàlaidh
Cuir às do na pròiseasan gu lèir agus dì-stàlaich an neach-stiùiridh pròiseas (thèid dàta a ghleidheadh).
dreach
Seall an tionndadh làithreach de Firezone
Òrdughan stiùiridh seirbheis:
gràsmhor-marbhadh
Feuch stad gràsmhor, an uairsin SIGKILL am buidheann pròiseas gu lèir.
hup
Cuir HUP gu na seirbheisean.
int
Cuir INT gu na seirbheisean.
mharbhadh
Cuir a-mach na seirbheisean KILL.
aon uair
Tòisich na seirbheisean ma tha iad sìos. Na cuir air ais iad ma stad iad.
ath-thòisich
Cuir stad air na seirbheisean ma tha iad gan ruith, an uairsin tòisich a-rithist iad.
liosta seirbheis
Dèan liosta de na seirbheisean gu lèir (bidh seirbheisean comasach a’ nochdadh le *.)
toiseach
Tòisich seirbheisean ma tha iad sìos, agus ath-thòisich iad ma stadas iad.
inbhe
Seall inbhe nan seirbheisean uile.
stad
Stad na seirbheisean, agus na ath-thòisich iad.
earball
Coimhead air clàran seirbheis a h-uile seirbheis a tha comasach.
ùine
Cuir teirm air na seirbheisean.
usr1
Cuir USR1 gu na seirbheisean.
usr2
Cuir USR2 gu na seirbheisean.
Feumar a h-uile seisean VPN a thoirt gu crìch mus ùraich Firezone, a tha cuideachd ag iarraidh gun tèid an eadar-aghaidh lìn a dhùnadh sìos. Ma thèid rudeigin ceàrr rè an ùrachaidh, tha sinn a’ moladh uair a thìde a chuir an dàrna taobh airson cumail suas.
Gus Firezone àrdachadh, gabh na gnìomhan a leanas:
Ma dh’ èiricheas duilgheadas sam bith, feuch an cuir thu fios thugainn le a’ cur a-steach tiogaid taic.
Tha beagan atharrachaidhean briseadh agus atharrachaidhean rèiteachaidh ann an 0.5.0 ris am feumar dèiligeadh. Faigh a-mach tuilleadh gu h-ìosal.
Chan eil Nginx a-nis a’ toirt taic do pharaimearan puirt SSL agus neo-SSL mar dreach 0.5.0. Leis gu bheil feum aig Firezone air SSL a bhith ag obair, tha sinn a’ moladh gun cuir thu air falbh seirbheis Nginx bundle le bhith a’ suidheachadh an rud bunaiteach['firezone']['nginx']['enabled'] = meallta agus a' stiùireadh do neach-ionaid cùil gu app Phoenix air port 13000 na àite (gu bunaiteach. ).
0.5.0 a’ toirt a-steach taic protocol ACME airson teisteanasan SSL ùrachadh gu fèin-ghluasadach leis an t-seirbheis Nginx cuachta. Gus a chur an comas,
Tha an comas riaghailtean a chuir ris le cinn-uidhe dùblaichte air falbh ann an Firezone 0.5.0. Aithnichidh an sgriobt imrich againn na suidheachaidhean sin gu fèin-ghluasadach rè ùrachadh gu 0.5.0 agus cha chùm e ach na riaghailtean aig a bheil ceann-uidhe a’ toirt a-steach an riaghailt eile. Chan eil dad a dh'fheumas tu a dhèanamh ma tha seo ceart gu leòr.
Rud eile, mus dèan thu ùrachadh, tha sinn a’ moladh do riaghailtean atharrachadh gus faighinn cuidhteas na suidheachaidhean sin.
Bidh Firezone 0.5.0 a’ toirt air falbh taic airson an t-seann-stoidhle Okta agus Google SSO rèiteachadh airson an rèiteachadh ùr, nas sùbailte stèidhichte air OIDC.
Ma tha rèiteachadh sam bith agad fo na h-iuchraichean bunaiteach ['firezone']['authentication']['okta'] no default['firezone']['authentication']['google'], feumaidh tu iad sin a ghluasad gu ar OIDC - rèiteachadh stèidhichte a’ cleachdadh an iùl gu h-ìosal.
An rèiteachadh Google OAuth a tha ann mu thràth
Thoir air falbh na loidhnichean seo anns a bheil na seann rèiteachaidhean Google OAuth bhon fhaidhle rèiteachaidh agad a tha suidhichte aig /etc/firezone/firezone.rb
bunaiteach['firezone']['dearbhadh']['google']['comas']
bunaiteach['firezone']['dearbhadh']['google']['client_id']
bunaiteach['firezone']['dearbhadh']['google']['client_secret']
bunaiteach['firezone']['dearbhadh']['google']['redirect_uri']
An uairsin, rèitich Google mar sholaraiche OIDC le bhith a’ leantainn nam modhan an seo.
(Thoir seachad stiùireadh ceangail)<<<<<<<<<<<<<<<
Dèan rèiteachadh air Google OAuth a tha ann mu thràth
Thoir air falbh na loidhnichean sin anns a bheil na seann rèiteachaidhean Okta OAuth bhon fhaidhle rèiteachaidh agad a tha suidhichte aig /etc/firezone/firezone.rb
bunaiteach['firezone']['dearbhadh']['okta']['comas']
bunaiteach['firezone']['dearbhadh']['okta']['client_id']
bunaiteach ['firezone']['dearbhadh']['okta']['client_secret']
Default ['firezone']['dearbhadh']['okta']['làrach']
An uairsin, rèitich Okta mar sholaraiche OIDC le bhith a’ leantainn nam modhan-obrach an seo.
A rèir an t-suidheachaidh agus an dreach gnàthach agad, cùm ris an stiùireadh gu h-ìosal:
Ma tha amalachadh OIDC agad mu thràth:
Airson cuid de sholaraichean OIDC, feumaidh ùrachadh gu > = 0.3.16 comharra ùrachaidh fhaighinn airson an raon ruigsinneachd far-loidhne. Le bhith a’ dèanamh seo, thathas a’ dèanamh cinnteach gu bheil Firezone ag ùrachadh leis an t-solaraiche dearbh-aithne agus gu bheil ceangal VPN air a dhùnadh dheth às deidh do neach-cleachdaidh a bhith air a dhubhadh às. Cha robh am feart seo aig ath-aithrisean na bu thràithe aig Firezone. Ann an cuid de shuidheachaidhean, faodaidh gum bi luchd-cleachdaidh a thèid a sguabadh às bhon t-solaraiche dearbh-aithne agad fhathast ceangailte ri VPN.
Feumar ruigsinneachd far-loidhne a thoirt a-steach ann am paramadair farsaingeachd an rèiteachaidh OIDC agad airson solaraichean OIDC a bheir taic don raon ruigsinneachd far-loidhne. Feumar ath-dhealbhadh Firezone-ctl a chuir gu bàs gus atharrachaidhean a chuir an sàs ann am faidhle rèiteachaidh Firezone, a tha suidhichte aig /etc/firezone/firezone.rb.
Do luchd-cleachdaidh a chaidh a dhearbhadh leis an t-solaraiche OIDC agad, chì thu an OIDC Connections an ceann air duilleag mion-fhiosrachadh an neach-cleachdaidh den UI lìn ma tha Firezone comasach air an tòcan ùrachaidh fhaighinn air ais gu soirbheachail.
Mura obraich seo, feumaidh tu an aplacaid OAuth a th’ agad a dhubhadh às agus na ceumannan rèiteachaidh OIDC ath-aithris cruthaich amalachadh app ùr .
Tha amalachadh OAuth agam mar-thà
Ro 0.3.11, chleachd Firezone solaraichean OAuth2 ro-shuidhichte.
Lean an stiùireadh an seo gluasad gu OIDC.
Chan eil mi air solaraiche dearbh-aithne a thoirt a-steach
Cha robh feum air gnìomh.
Faodaidh tu an stiùireadh a leantainn an seo gus SSO a chomasachadh tro sholaraiche OIDC.
Na àite, tha default ['firezone']['external url'] air a dhol an àite an roghainn rèiteachaidh bunaiteach['firezone']['fqdn'].
Suidhich seo gu URL do portal air-loidhne Firezone a tha ruigsinneach don mhòr-shluagh. Bidh e bunaiteach gu https: // a bharrachd air FQDN an fhrithealaiche agad ma thèid fhàgail neo-mhìnichte.
Tha am faidhle rèiteachaidh suidhichte aig /etc/firezone/firezone.rb. Faic iomradh an fhaidhle rèiteachaidh airson liosta iomlan de chaochladairean rèiteachaidh agus na tuairisgeulan aca.
Chan eil Firezone a-nis a’ cumail iuchraichean prìobhaideach inneal air an t-seirbheisiche Firezone mar dreach 0.3.0.
Cha leig an Firezone Web UI leat na rèiteachaidhean sin ath-luchdachadh sìos no fhaicinn, ach bu chòir innealan sam bith a th’ ann mar-thà cumail orra ag obair mar a tha.
Ma tha thu ag ùrachadh bho Firezone 0.1.x, tha beagan atharrachaidhean faidhle rèiteachaidh ann ris am feumar dèiligeadh le làimh.
Gus na h-atharrachaidhean riatanach a dhèanamh air an fhaidhle /etc/firezone/firezone.rb agad, ruith na h-òrdughan gu h-ìosal mar fhreumh.
cp /etc/firezone/firezone.rb/etc/firezone/firezone.rb.bak
sed -i “s/ \['comasachadh'\]/\['comas'\]/” /etc/firezone/firezone.rb
mac-talla “default['firezone']['connectivity_checks']['comas'] = fìor" >> /etc/firezone/firezone.rb
mac-talla “default['firezone']['connectivity_checks']['interval'] = 3_600 ” >> /etc/firezone/firezone.rb
firezone-ctl ath-shuidheachadh
firezone-ctl ath-thòiseachadh
Tha a bhith a’ sgrùdadh nan logaichean Firezone na chiad cheum glic airson cùisean sam bith a dh’ fhaodadh tachairt.
Ruith earball sudo firezone-ctl gus na logaichean Firezone fhaicinn.
Tha a’ mhòr-chuid de dhuilgheadasan ceangail le Firezone air an toirt air adhart le riaghailtean iptables neo nftables neo-fhreagarrach. Feumaidh tu dèanamh cinnteach nach eil riaghailtean sam bith a th’ agad an-aghaidh riaghailtean Firezone.
Dèan cinnteach gu bheil an t-sèine FORWARD a’ ceadachadh pacaidean bhon teachdaichean WireGuard agad gu na h-àiteachan a tha thu airson a leigeil a-steach tro Firezone ma thig an ceangal eadar-lìn agad nas miosa a h-uile uair a chuireas tu an tunail WireGuard an gnìomh.
Faodar seo a choileanadh ma tha thu a’ cleachdadh ufw le bhith a’ dèanamh cinnteach gu bheil am poileasaidh slighe àbhaisteach ceadaichte:
ubuntu@fz: ~$ sudo ufw default cead a chur air dòigh
Poileasaidh àbhaisteach air atharrachadh gu 'ceadaich'
(Dèan cinnteach gun ùraich thu na riaghailtean agad a rèir sin)
A ufw is dòcha gum bi inbhe airson frithealaiche àbhaisteach Firezone a’ coimhead mar seo:
ubuntu@fz: ~$ sudo ufw status verbose
Inbhe: gnìomhach
Logadh: air (ìosal)
Default: diùltadh (a-steach), cead (a-mach), cead (slighe)
Pròifilean ùra: skip
Gu Gnìomh Bho
— —— --
22/tcp CEAD ANN AN àite sam bith
80/tcp CEAD ANN AN àite sam bith
443/tcp CUIR ANN AN àite sam bith
51820/udp CEAD ANN AN àite sam bith
22/tcp (v6) CEAD ANN AN àite sam bith (v6)
80/tcp (v6) CEAD ANN AN àite sam bith (v6)
443/tcp (v6) CEAD ANN AN àite sam bith (v6)
51820/udp (v6) Ceadaich ann an àite sam bith (v6)
Tha sinn a’ comhairleachadh casg a chuir air ruigsinneachd air an eadar-aghaidh lìn airson cleachdadh cinneasachaidh a tha gu math mothachail agus deatamach, mar a tha air a mhìneachadh gu h-ìosal.
seirbheis | Port bunaiteach | Èisteachd Seòladh | Tuairisgeul |
Nginx | 80, 443 | a h-uile | Port poblach HTTP(S) airson Firezone a rianachd agus dearbhadh a dhèanamh comasach. |
Geàrd-uèir | 51820 | a h-uile | Port poblach WireGuard air a chleachdadh airson seiseanan VPN. (UDP) |
postgresql | 15432 | 127.0.0.1 | Port ionadail a-mhàin air a chleachdadh airson frithealaiche Postgresql cuachta. |
Phoenix | 13000 | 127.0.0.1 | Port ionadail a-mhàin air a chleachdadh le frithealaiche app elixir shuas an abhainn. |
Tha sinn a ’toirt comhairle dhut smaoineachadh mu bhith a’ cuingealachadh ruigsinneachd air UI lìn fosgailte Firezone (le puirt àbhaisteach 443 / tcp agus 80 / tcp) agus an àite sin cleachd an tunail WireGuard gus Firezone a riaghladh airson cinneasachadh agus cleachdadh poblach far am bi aon rianadair an urra. de bhith a’ cruthachadh agus a’ sgaoileadh rèiteachaidhean innealan gu luchd-cleachdaidh deireannach.
Mar eisimpleir, ma chruthaich rianadair rèiteachadh inneal agus chruthaich e tunail leis an t-seòladh WireGuard ionadail 10.3.2.2, leigeadh an rèiteachadh ufw a leanas leis an rianaire faighinn gu UI lìn Firezone air eadar-aghaidh wg-firezone an fhrithealaiche a’ cleachdadh an 10.3.2.1 bunaiteach. seòladh tunail:
root@demo: ~# gnìomhair inbhe ufw
Inbhe: gnìomhach
Logadh: air (ìosal)
Default: diùltadh (a-steach), cead (a-mach), cead (slighe)
Pròifilean ùra: skip
Gu Gnìomh Bho
— —— --
22/tcp CEAD ANN AN àite sam bith
51820/udp CEAD ANN AN àite sam bith
An àite sam bith CEAD ANN AN 10.3.2.2
22/tcp (v6) CEAD ANN AN àite sam bith (v6)
51820/udp (v6) Ceadaich ann an àite sam bith (v6)
Bhiodh seo a’ fàgail a-mhàin 22/tc fosgailte airson ruigsinneachd SSH gus an fhrithealaiche a riaghladh (roghainneil), agus 51820/ud fosgailte gus tunailean WireGuard a stèidheachadh.
Bidh Firezone a 'ceangal frithealaiche Postgresql agus a' maidseadh psql goireas a ghabhas cleachdadh bhon t-slige ionadail mar seo:
/ tagh / firezone / freumhaichte / bin / psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
Faodaidh seo a bhith cuideachail airson adhbharan debugging.
Gnìomhan cumanta:
A’ liostadh a h-uile neach-cleachdaidh:
/ tagh / firezone / freumhaichte / bin / psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “SELECT *From luchd-cleachdaidh;”
A 'clàradh a h-uile inneal:
/ tagh / firezone / freumhaichte / bin / psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “SELECT *FROM innealan;”
Atharraich dreuchd neach-cleachdaidh:
Suidhich an dreuchd gu 'admin' no 'unprivileged':
/ tagh / firezone / freumhaichte / bin / psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “ÙRACHADH luchd-cleachdaidh SET role = 'admin' WHERE email = 'user@example.com';”
A’ cumail suas an stòr-dàta:
A bharrachd air an sin, tha am prògram dumpadh pg, a dh’ fhaodar a chleachdadh gus cùl-taic cunbhalach a dhèanamh den stòr-dàta. Cuir an gnìomh an còd a leanas gus leth-bhreac den stòr-dàta a dhumpadh ann an cruth ceist SQL cumanta (cuir an àite /path/to/backup.sql an àite far am bu chòir am faidhle SQL a chruthachadh):
/opt/firezone/embeded/bin/pg_dump\
-U firezone \
-d firezone \
-h localhost \
-p 15432 > /path/to/backup.sql
Às deidh Firezone a bhith air a chleachdadh gu soirbheachail, feumaidh tu luchd-cleachdaidh a chuir ris gus cothrom a thoirt dhaibh air an lìonra agad. Tha an UI lìn air a chleachdadh airson seo a dhèanamh.
Le bhith a’ taghadh am putan “Cuir cleachdaiche ris” fo / luchd-cleachdaidh, faodaidh tu cleachdaiche a chuir ris. Feumaidh tu seòladh puist-d agus facal-faire a thoirt don neach-cleachdaidh. Gus cothrom a thoirt do luchd-cleachdaidh sa bhuidheann agad gu fèin-obrachail, faodaidh Firezone cuideachd eadar-aghaidh agus sioncranachadh le solaraiche dearbh-aithne. Tha tuilleadh mion-fhiosrachaidh ri fhaighinn ann an dearbhadh. < Cuir ceangal ri Authenticate
Tha sinn a’ comhairleachadh iarraidh gun cruthaich luchd-cleachdaidh na rèiteachaidhean inneal aca fhèin gus nach fhaicear an iuchair phrìobhaideach ach dhaibh. Faodaidh luchd-cleachdaidh na rèiteachaidhean inneal aca fhèin a ghineadh le bhith a’ leantainn an stiùiridh air an Stiùireadh teachdaiche duilleag.
Faodar a h-uile rèiteachadh inneal cleachdaiche a chruthachadh le luchd-rianachd Firezone. Air duilleag pròifil an neach-cleachdaidh a tha suidhichte aig / luchd-cleachdaidh, tagh an roghainn “Cuir inneal ris” gus seo a choileanadh.
[Cuir a-steach dealbh-sgrìn]
Faodaidh tu am faidhle rèiteachaidh WireGuard a chuir chun neach-cleachdaidh às deidh dhut ìomhaigh an inneil a chruthachadh.
Tha luchd-cleachdaidh agus innealan ceangailte. Airson tuilleadh fiosrachaidh mu mar a chuireas tu cleachdaiche ris, faic Cuir cleachdaichean ris.
Tro bhith a’ cleachdadh siostam netfilter an kernel, tha Firezone a’ comasachadh comasan sìoltachaidh a-mach gus pacaidean DROP no ACCEPT a shònrachadh. Mar as trice tha a h-uile trafaic ceadaichte.
Tha IPv4 agus IPv6 CIDRs agus seòlaidhean IP a’ faighinn taic tron Liosta Ceadachaidh agus Denylist, fa leth. Faodaidh tu taghadh a bhith a’ cuairteachadh riaghailt do neach-cleachdaidh nuair a chuireas tu ris, a chuireas an riaghailt an sàs ann an innealan a’ chleachdaiche sin gu lèir.
Stàlaich is rèitich
Gus ceangal VPN a stèidheachadh a’ cleachdadh an neach-dèiligidh dùthchasach WireGuard, thoir sùil air an stiùireadh seo.
Tha na teachdaichean oifigeil WireGuard a tha suidhichte an seo co-chosmhail ri Firezone:
Tadhail air làrach-lìn oifigeil WireGuard aig https://www.wireguard.com/install/ airson siostaman OS nach deach ainmeachadh gu h-àrd.
Faodaidh an dàrna cuid an rianadair Firezone agad no thu fhèin am faidhle rèiteachaidh inneal a ghineadh a’ cleachdadh portal Firezone.
Tadhail air an URL a thug an rianadair Firezone agad seachad gus faidhle rèiteachaidh inneal a ghineadh gu fèin-ghluasadach. Bidh URL sònraichte aig a’ chompanaidh agad airson seo; sa chùis seo, is e https://instance-id.yourfirezone.com.
Log a-steach gu Firezone Okta SSO
[Cuir a-steach glacadh-sgrìn]
Cuir a-steach am faidhle.conf a-steach don neach-dèiligidh WireGuard le bhith ga fhosgladh. Le bhith a’ tionndadh an tionndadh Activate, faodaidh tu seisean VPN a thòiseachadh.
[Cuir a-steach glacadh-sgrìn]
Lean an stiùireadh gu h-ìosal ma tha rianadair an lìonraidh agad air dearbhadh ath-chuairteachaidh òrdachadh gus do cheangal VPN a chumail gnìomhach.
Feumaidh tu:
URL portal Firezone: Faighnich do rianadair an lìonraidh airson a' cheangail.
Bu chòir gum biodh e comasach do rianadair an lìonraidh do logadh a-steach agus facal-faire a thabhann. Brosnaichidh làrach Firezone thu gus logadh a-steach a’ cleachdadh an t-seirbheis soidhnidh shingilte a bhios am fastaiche agad a’ cleachdadh (leithid Google no Okta).
[Cuir a-steach glacadh-sgrìn]
Rach gu URL portal Firezone agus log a-steach a’ cleachdadh na teisteasan a thug rianadair an lìonraidh dhut. Ma tha thu air logadh a-steach mu thràth, cliog air a’ phutan Reauthenticate mus clàraich thu a-steach air ais.
[Cuir a-steach glacadh-sgrìn]
[Cuir a-steach glacadh-sgrìn]
Gus am pròifil rèiteachaidh WireGuard a thoirt a-steach a’ cleachdadh Network Manager CLI air innealan Linux, lean an stiùireadh seo (nmcli).
Ma tha taic IPv6 aig a’ phròifil air a chomasachadh, dh’ fhaodadh gun fheuch thu ris am faidhle rèiteachaidh a thoirt a-steach a’ cleachdadh GUI Network Manager leis a’ mhearachd a leanas:
ipv6.method: chan eil an dòigh “auto” a’ faighinn taic airson WireGuard
Feumar na goireasan WireGuard userspace a stàladh. Is e seo pasgan ris an canar geàrd-uèir no innealan dìon-uèir airson sgaoilidhean Linux.
Airson Ubuntu/Debian:
sudo apt stàlaich geàrd uèir
Gus Fedora a chleachdadh:
sudo dnf stàlaich innealan dìon-uèir
Arch Linux:
sudo pacman -S wireguard-innealan
Tadhail air làrach-lìn oifigeil WireGuard aig https://www.wireguard.com/install/ airson sgaoilidhean nach eil air an ainmeachadh gu h-àrd.
Faodaidh an dàrna cuid do rianadair Firezone no fèin-ghinealach am faidhle rèiteachaidh inneal a ghineadh a’ cleachdadh portal Firezone.
Tadhail air an URL a thug an rianadair Firezone agad seachad gus faidhle rèiteachaidh inneal a ghineadh gu fèin-ghluasadach. Bidh URL sònraichte aig a’ chompanaidh agad airson seo; sa chùis seo, is e https://instance-id.yourfirezone.com.
[Cuir a-steach glacadh-sgrìn]
Cuir a-steach am faidhle rèiteachaidh a chaidh a thoirt seachad a’ cleachdadh nmcli:
sudo nmcli ceangal in-mhalairt seòrsa faidhle geàrd uèir /path/to/configuration.conf
Bidh ainm an fhaidhle rèiteachaidh a 'freagairt ris a' cheangal / eadar-aghaidh WireGuard. Às deidh an in-mhalairt, faodar an ceangal ath-ainmeachadh ma tha sin riatanach:
nmcli connection atharraich [seann ainm] connection.id [ainm ùr]
Tron loidhne-àithne, ceangail ris an VPN mar a leanas:
ceangal nmcli suas [ainm vpn]
Gus dì-cheangal:
ceangal nmcli sìos [ainm vpn]
Faodar an applet Manaidsear Lìonra iomchaidh a chleachdadh cuideachd gus an ceangal a riaghladh ma chleachdas tu GUI.
Le bhith a’ taghadh “tha” airson an roghainn autoconnect, faodar an ceangal VPN a rèiteachadh gus ceangal gu fèin-ghluasadach:
nmcli connection atharraich [ainm vpn] ceangal. <<< <<< <<<<<<<<<<<<
fèin-cheangail tha
Gus an ceangal fèin-ghluasadach a dhì-cheadachadh cuir air ais e gu:
nmcli connection atharraich [ainm vpn] ceangal.
autoconnect no
Gus MFA a ghnìomhachadh Rach gu duilleag mfa portal Firezone / cunntas cleachdaiche / clàr. Cleachd an aplacaid dearbhaidh agad gus an còd QR a sganadh às deidh dha a bhith air a chruthachadh, agus an uairsin cuir a-steach an còd sia-dhigitach.
Cuir fios chun rianaire agad gus fiosrachadh ruigsinneachd a’ chunntais agad ath-shuidheachadh ma chailleas tu an aplacaid dearbhaidh agad.
Coisichidh an oideachadh seo thu tron phròiseas gus feart tunail roinnte WireGuard a stèidheachadh le Firezone gus nach tèid ach trafaic gu raointean IP sònraichte a chuir air adhart tron t-seirbheisiche VPN.
Tha na raointean IP airson am bi an neach-dèiligidh a’ seòladh trafaic lìonra air am mìneachadh anns an raon IPs ceadaichte a tha suidhichte air an / roghainnean / duilleag bunaiteach. Is e dìreach na rèiteachaidhean tunail WireGuard a chaidh a chruthachadh às ùr le Firezone a bheir buaidh air atharrachaidhean san raon seo.
[Cuir a-steach glacadh-sgrìn]
Is e an luach bunaiteach 0.0.0.0/0, ::/0, a bhios a’ ruith a h-uile trafaic lìonra bhon neach-dèiligidh chun t-seirbheisiche VPN.
Am measg eisimpleirean de luachan san raon seo tha:
0.0.0.0/0, ::/0 - thèid a h-uile trafaic lìonraidh a chuir chun t-seirbheisiche VPN.
192.0.2.3/32 - cha tèid ach trafaic gu aon sheòladh IP a chuir chun t-seirbheisiche VPN.
3.5.140.0/22 - cha tèid ach trafaic gu IPan anns an raon 3.5.140.1 - 3.5.143.254 a chuir chun t-seirbheisiche VPN. San eisimpleir seo, chaidh an raon CIDR airson roinn ap-ear-thuath-2 AWS a chleachdadh.
Bidh Firezone a’ taghadh an eadar-aghaidh egress co-cheangailte ris an t-slighe as mionaidiche an-toiseach nuair a bhios iad a’ dearbhadh càite an tèid iad air pasgan.
Feumaidh luchd-cleachdaidh na faidhlichean rèiteachaidh ath-nuadhachadh agus an cur ris an neach-dèiligidh dùthchasach WireGuard aca gus na h-innealan cleachdaiche a th’ ann ùrachadh leis an rèiteachadh tunail ùr.
Airson stiùireadh, faic cuir inneal ris. <<<<<<<<< Cuir ceangal
Seallaidh an leabhar-làimhe seo mar a cheanglas tu dà inneal a’ cleachdadh Firezone mar shealaidheachd. Is e aon chùis cleachdaidh àbhaisteach leigeil le rianaire faighinn gu frithealaiche, soitheach, no inneal a tha air a dhìon le NAT no balla-teine.
Tha an dealbh seo a’ sealltainn suidheachadh dìreach far am bi Innealan A agus B a’ togail tunail.
[Cuir a-steach dealbh ailtireachd firezone]
Tòisich le bhith a’ cruthachadh inneal A agus inneal B le bhith a’ seòladh gu / Users/[user_id]/new_device. Anns na roghainnean airson gach inneal, dèan cinnteach gu bheil na crìochan a leanas air an suidheachadh gu na luachan gu h-ìosal. Faodaidh tu roghainnean inneal a shuidheachadh nuair a chruthaicheas tu rèiteachadh an uidheim (faic Cuir Innealan ris). Ma dh’ fheumas tu na roghainnean ùrachadh air inneal a tha ann mu thràth, faodaidh tu sin a dhèanamh le bhith a’ gineadh rèiteachadh inneal ùr.
Thoir an aire gu bheil duilleag / roghainnean / roghainnean bunaiteach aig a h-uile inneal far an urrainnear PersistentKeepalive a rèiteachadh.
CeadaichteIPs = 10.3.2.2/32
Is e seo an IP no an raon IP aig inneal B
SeasmhachKeepalive = 25
Ma tha an inneal air cùl NAT, nì seo cinnteach gum bi e comasach don inneal an tunail a chumail beò agus cumail a’ faighinn pacaidean bhon eadar-aghaidh WireGuard. Mar as trice tha luach 25 gu leòr, ach is dòcha gum feum thu an luach seo a lughdachadh a rèir na h-àrainneachd agad.
CeadaichteIPs = 10.3.2.3/32
Is e seo an IP no an raon IP de dh'Inneal A
SeasmhachKeepalive = 25
Tha an eisimpleir seo a’ sealltainn suidheachadh far an urrainn do dh’Inneal A conaltradh le Innealan B tro D anns gach taobh. Faodaidh an suidheachadh seo riochdachadh innleadair no rianadair a gheibh cothrom air grunn ghoireasan (frithealaichean, soithichean, no innealan) thar diofar lìonraidhean.
[Diagram Ailtireachd]<<<<
Dèan cinnteach gu bheil na roghainnean a leanas air an dèanamh ann an roghainnean gach inneal gu na luachan co-fhreagarrach. Nuair a chruthaicheas tu rèiteachadh an uidheim, faodaidh tu roghainnean inneal a shònrachadh (faic Cuir Innealan ris). Faodar rèiteachadh inneal ùr a chruthachadh ma tha feum air roghainnean air inneal a tha ann mu thràth ùrachadh.
CeadaichteIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Is e seo IP innealan B tro D. Feumaidh IPan Innealan B tro D a bhith air an toirt a-steach do raon IP sam bith a thaghas tu a shuidheachadh.
SeasmhachKeepalive = 25
Tha seo a’ gealltainn gun urrainn don inneal an tunail a chumail agus leantainn air adhart a’ faighinn phasganan bhon eadar-aghaidh WireGuard eadhon ged a tha e air a dhìon le NAT. Anns a’ mhòr-chuid de chùisean, tha luach 25 iomchaidh, ach a rèir na tha timcheall ort, is dòcha gum feum thu am figear seo ìsleachadh.
Gus aon IP dol-a-mach statach a thabhann airson trafaic na sgioba agad gu lèir sruthadh a-mach às, faodar Firezone a chleachdadh mar gheata NAT. Tha na suidheachaidhean sin a 'toirt a-steach a bhith ga chleachdadh gu tric:
Com-pàirtean comhairleachaidh: Iarr gun dèan an neach-ceannach agad aon sheòladh IP statach an àite an inneal sònraichte aig gach neach-obrach.
A’ cleachdadh neach-ionaid no a’ falach an stòr IP agad airson adhbharan tèarainteachd no prìobhaideachd.
Bidh eisimpleir shìmplidh de bhith a’ cuingealachadh ruigsinneachd air tagradh lìn fèin-aoigheachd gu aon IP statach le liosta gheal a tha a’ ruith Firezone ri fhaicinn anns an dreuchd seo. Anns an dealbh seo, tha Firezone agus an goireas dìonta ann an diofar raointean VPC.
Tha am fuasgladh seo air a chleachdadh gu tric an àite a bhith a’ riaghladh liosta geal IP airson grunn luchd-cleachdaidh deireannach, a dh’ fhaodadh a bhith a ’toirt ùine mar a bhios an liosta ruigsinneachd a’ leudachadh.
Is e an t-amas againn frithealaiche Firezone a stèidheachadh air eisimpleir EC2 gus trafaic VPN ath-stiùireadh chun ghoireas cuibhrichte. Anns an t-suidheachadh seo, tha Firezone a’ frithealadh mar neach-ionaid lìonraidh no geata NAT gus IP slighe poblach sònraichte a thoirt do gach inneal ceangailte.
Anns a’ chùis seo, tha eisimpleir Firezone air a chuir air eisimpleir EC2 leis an t-ainm tc2.micro. Airson fiosrachadh mu bhith a’ cleachdadh Firezone, rachaibh chun an Stiùireadh Cleachdaidh. A thaobh AWS, dèan cinnteach:
Tha buidheann tèarainteachd eisimpleir Firezone EC2 a’ ceadachadh trafaic a-mach gu seòladh IP a’ ghoireas dìonta.
Tha an eisimpleir Firezone a’ tighinn le IP elastagach. Bidh seo mar an seòladh IP tùsail aig trafaic a thèid a chuir air adhart tro eisimpleir Firezone gu cinn-uidhe taobh a-muigh. Is e an seòladh IP sin 52.202.88.54.
[Cuir a-steach glacadh-sgrìn]<<< <<< <<<<<<<<<<<<
Tha tagradh lìn fèin-aoigheachd mar ghoireas dìonta sa chùis seo. Chan fhaighear cothrom air an aplacaid lìn ach le iarrtasan a’ tighinn bhon t-seòladh IP 52.202.88.54. A rèir an stòrais, faodaidh e a bhith riatanach trafaic a-steach a cheadachadh air diofar phuirt agus seòrsachan trafaic. Chan eil seo air a chòmhdach san leabhar-làimhe seo.
[Cuir a-steach dealbh-sgrìn]<<< <<< <<<<<<<<<<<<
Feuch an innis thu don treas phàrtaidh a tha os cionn a’ ghoireas dìonta gum feumar trafaic bhon IP statach a tha air a mhìneachadh ann an Ceum 1 a cheadachadh (sa chùis seo 52.202.88.54).
Gu gnàthach, thèid a h-uile trafaic luchd-cleachdaidh tron t-seirbheisiche VPN agus thig e bhon IP statach a chaidh a dhealbhadh ann an Ceum 1 (sa chùis seo 52.202.88.54). Ach, ma tha tunail roinnte air a chomasachadh, dh’ fhaodadh gum biodh feum air suidheachaidhean gus dèanamh cinnteach gu bheil IP ceann-uidhe a’ ghoireas dìonta air a liostadh am measg nan IPan ceadaichte.
Gu h-ìosal tha liosta iomlan de na roghainnean rèiteachaidh a tha rim faighinn ann /etc/firezone/firezone.rb.
roghainn | Tuairisgeul | luach bunaiteach |
bunaiteach['firezone']['external_url'] | URL air a chleachdadh gus faighinn gu portal lìn an eisimpleir Firezone seo. | “https://#{ nód['fqdn'] || nód['ainm òstair']}" |
bunaiteach['firezone']['config_directory'] | Eòlaire àrd-ìre airson rèiteachadh Firezone. | /etc/firezone' |
bunaiteach['firezone']['install_directory'] | Eòlaire àrd-ìre gus Firezone a stàladh gu. | /togh/sòn-teine' |
bunaiteach['firezone']['app_directory'] | Eòlaire àrd-ìre gus an aplacaid lìn Firezone a stàladh. | “#{node['firezone']['install_directory']}/ freumhaichte/seirbheis/sòn-teine" |
bunaiteach['firezone']['log_directory'] | Eòlaire àrd-ìre airson logaichean Firezone. | /var/log/firezone' |
bunaiteach['firezone']['var_directory'] | Eòlaire àrd-ìre airson faidhlichean ùine ruith Firezone. | /var/opt/firezone' |
bunaiteach['firezone']['cleachdaiche'] | Ainm neach-cleachdaidh Linux gun bhuannachd buinidh a’ mhòr-chuid de sheirbheisean is fhaidhlichean. | raon-teine' |
bunaiteach['firezone']['buidheann'] | Ainm a’ bhuidheann Linux buinidh a’ mhòr-chuid de sheirbheisean is fhaidhlichean. | raon-teine' |
bunaiteach['firezone']['admin_email'] | Seòladh post-d airson a’ chiad neach-cleachdaidh Firezone. | “firezone@localhost” |
bunaiteach['firezone']['max_devices_per_user'] | An àireamh as motha de dh’ innealan a dh’ fhaodas a bhith aig neach-cleachdaidh. | 10 |
bunaiteach['firezone']['allow_unprivileged_device_management'] | A’ leigeil le luchd-cleachdaidh neo-rianachd innealan a chruthachadh agus a sguabadh às. | CEART |
bunaiteach['firezone']['allow_unprivileged_device_configuration'] | A’ leigeil le luchd-cleachdaidh neo-rianachd rèiteachadh an uidheim atharrachadh. Nuair a tha e ciorramach, cuiridh e casg air luchd-cleachdaidh gun bhuannachd bho bhith ag atharrachadh a h-uile raon inneal ach a-mhàin ainm agus tuairisgeul. | CEART |
bunaiteach['firezone']['egress_interface'] | Ainm eadar-aghaidh far am fàg trafaic tunail. Mura h-eil, thèid an eadar-aghaidh slighe bunaiteach a chleachdadh. | nil |
bunaiteach['firezone']['fips_enabled'] | Dèan comas no cuir à comas modh OpenSSL FIPs. | nil |
bunaiteach['firezone']['logadh']['comas'] | Dèan comas no cuir à comas logadh thairis air Firezone. Suidhich gu meallta gus logadh a chuir dheth gu tur. | CEART |
bunaiteach['iomairt']['ainm'] | Ainm air a chleachdadh leis an leabhar còcaireachd 'iomairt' còcaire. | raon-teine' |
bunaiteach['firezone']['install_path'] | Stàlaich slighe a chleachd leabhar còcaireachd 'iomairt' còcaire. Bu chòir a shuidheachadh chun an aon rud ris an install_directory gu h-àrd. | nód['firezone']['install_directory'] |
bunaiteach['firezone']['sysvinit_id'] | Aithniche air a chleachdadh ann an /etc/inittab. Feumaidh a bhith ann an sreath sònraichte de 1-4 caractaran. | SUP' |
bunaiteach['firezone']['dearbhadh']['ionadail']['comas'] | Dèan comas no cuir à comas dearbhadh post-d / facal-faire ionadail. | CEART |
bunaiteach['firezone']['dearbhadh']['auto_create_oidc_users'] | Cruthaich gu fèin-ghluasadach luchd-cleachdaidh a bhios a’ clàradh a-steach bho OIDC airson a’ chiad uair. Cuir à comas leigeil le luchd-cleachdaidh a-mhàin clàradh a-steach tro OIDC. | CEART |
bunaiteach['firezone']['dearbhadh']['disable_vpn_on_oidc_error'] | Cuir dheth VPN neach-cleachdaidh ma lorgar mearachd a’ feuchainn ris an tòcan OIDC aca ùrachadh. | CEÀRR |
bunaiteach['firezone']['dearbhadh']['oidc'] | OpenID Connect config, ann an cruth {"solaraiche" => [config…]} - Faic Sgrìobhainnean OpenIDConnect Airson eisimpleirean config. | {} |
bunaiteach['firezone']['nginx']['comas'] | Dèan comas no cuir à comas am frithealaiche nginx cuachta. | CEART |
bunaiteach ['firezone']['nginx']['ssl_port'] | Port èisteachd HTTPS. | 443 |
bunaiteach['firezone']['nginx']['eòlaire'] | Leabhar-seòlaidh gus rèiteachadh aoigheachd brìgheil nginx co-cheangailte ri Firezone a stòradh. | “#{ nód ['firezone']['var_directory']}/nginx/etc" |
bunaiteach['firezone']['nginx']['log_directory'] | Leabhar-seòlaidh gus faidhlichean log nginx co-cheangailte ri Firezone a stòradh. | “#{node['firezone']['log_directory']}/nginx" |
bunaiteach['firezone']['nginx']['log_rotation']['file_maxbytes'] | Meud faidhle aig am faodar faidhlichean log Nginx a thionndadh. | 104857600 |
bunaiteach ['firezone']['nginx']['log_rotation']['num_to_keep'] | An àireamh de fhaidhlichean log Firezone nginx ri chumail mus tèid an tilgeil air falbh. | 10 |
bunaiteach['firezone']['nginx']['log_x_forwarded_for'] | Co-dhiù an dèan thu logadh a-steach Firezone nginx x-forwarded-for header. | CEART |
bunaiteach['firezone']['nginx']['hsts_header']['comas'] | CEART | |
bunaiteach['firezone']['nginx']['hsts_header']['cuir a-steach_subdomains'] | Dèan comas no cuir à comas gabhail a-steach SubDomains airson bann-cinn HSTS. | CEART |
bunaiteach['firezone']['nginx']['hsts_header']['max_age'] | An aois as àirde airson bann-cinn HSTS. | 31536000 |
bunaiteach['firezone']['nginx']['redirect_to_canonical'] | Am bu chòir URLan ath-stiùireadh chun an FQDN canonical a chaidh a shònrachadh gu h-àrd | CEÀRR |
bunaiteach['firezone']['nginx']['cache']['comas'] | Dèan comas no cuir à comas an tasgadan Firezone nginx. | CEÀRR |
bunaiteach ['firezone']['nginx']['cache']['directory'] | Leabhar-seòlaidh airson Firezone nginx tasgadan. | “#{node['firezone']['var_directory']}/nginx/cache" |
bunaiteach['firezone']['nginx']['cleachdaiche'] | Cleachdaiche firezone nginx. | nód['firezone']['cleachdaiche'] |
bunaiteach['firezone']['nginx']['buidheann'] | Buidheann firezone nginx saor an asgaidh. | nód['firezone']['buidheann'] |
bunaiteach['firezone']['nginx']['dir'] | Eòlaire rèiteachaidh nginx aig an ìre as àirde. | nód['firezone']['nginx']['eòlaire'] |
bunaiteach['firezone']['nginx']['log_dir'] | Eòlaire log nginx aig an ìre as àirde. | nód['firezone']['nginx']['log_directory'] |
bunaiteach['firezone']['nginx']['pid'] | Àite airson faidhle nginx pid. | “#{ nód ['firezone']['nginx']['eòlaire']}/nginx.pid" |
bunaiteach['firezone']['nginx']['daemon_disable'] | Cuir à comas modh daemon nginx gus an urrainn dhuinn sùil a chumail air na àite. | CEART |
bunaiteach['firezone']['nginx']['gzip'] | Tionndaidh teannachadh nginx gzip air no dheth. | air ' |
bunaiteach ['firezone']['nginx'][ 'gzip_static'] | Tionndaidh teannachadh nginx gzip air no dheth airson faidhlichean statach. | dheth' |
bunaiteach ['firezone']['nginx']['gzip_http_version'] | Tionndadh HTTP ri chleachdadh airson faidhlichean statach a fhrithealadh. | 1.0 ' |
bunaiteach ['firezone']['nginx']['gzip_comp_level'] | ìre teannachaidh nginx gzip. | 2 ' |
bunaiteach ['firezone']['nginx'][ 'gzip_proxied'] | A’ comasachadh no a’ cur à comas gzipping de fhreagairtean airson iarrtasan proxised a rèir an iarrtais agus an fhreagairt. | sam bith' |
bunaiteach ['firezone']['nginx']['gzip_vary'] | A’ comasachadh no a’ cuir à comas cuir a-steach bann-cinn freagairt “Vary: Accept-Encoding”. | dheth' |
bunaiteach ['firezone']['nginx']['gzip_buffers'] | A’ suidheachadh àireamh agus meud nam bufairean a thathar a’ cleachdadh gus freagairt a dhlùthadh. Ma tha neoni, thèid nginx default a chleachdadh. | nil |
bunaiteach ['firezone']['nginx']['gzip_types'] | Seòrsan MIME gus teannachadh gzip a chomasachadh airson. | ['text/plain', 'text/css', 'application/x-javascript', 'text/xml', 'app/xml', 'application/rss+xml', 'app/atom+xml',' teacsa/javascript', 'tagradh/javascript', 'tagradh/json'] |
bunaiteach ['firezone']['nginx']['gzip_min_length'] | Faid faidhle as ìsle gus teannachadh faidhle gzip a chomasachadh airson. | 1000 |
bunaiteach ['firezone']['nginx'][ 'gzip_disable'] | Matcher àidseant-cleachdaidh gus teannachadh gzip a dhì-cheadachadh airson. | MSIE [1-6]\.' |
bunaiteach ['firezone']['nginx']['keepalive'] | Cuir an gnìomh tasgadan airson ceangal ri frithealaichean shuas an abhainn. | air ' |
bunaiteach['firezone']['nginx']['keepalive_timeout'] | Ùine ùine ann an diogan airson ceangal cumail beò ri frithealaichean shuas an abhainn. | 65 |
bunaiteach ['firezone']['nginx']['worker_processes'] | An àireamh de phròiseasan luchd-obrach nginx. | nód ['cpu'] && nód['cpu']['iomlan'] ? nód['cpu']['iomlan'] : 1 |
bunaiteach ['firezone']['nginx']['worker_connections'] | An àireamh as motha de cheanglaichean aig an aon àm a dh'fhaodar fhosgladh le pròiseas neach-obrach. | 1024 |
bunaiteach['firezone']['nginx']['worker_rlimit_nofile'] | Ag atharrachadh a’ chrìoch air an àireamh as motha de fhaidhlichean fosgailte airson pròiseasan luchd-obrach. A’ cleachdadh nginx default ma tha neoni. | nil |
bunaiteach['firezone']['nginx']['multi_accept'] | Am bu chòir do luchd-obrach gabhail ri aon cheangal aig aon àm no barrachd. | CEART |
bunaiteach['firezone']['nginx']['tachartas'] | Sònraich an dòigh giollachd ceangail airson a chleachdadh taobh a-staigh co-theacsa tachartasan nginx. | eapol' |
bunaiteach['firezone']['nginx']['server_tokens'] | A’ comasachadh no a’ cuir à comas dreach nginx a’ sgaoileadh air duilleagan mearachd agus ann an raon bann-freagairt freagairt “Frithealaiche”. | nil |
bunaiteach['firezone']['nginx']['server_names_hash_bucket_size'] | Suidhich meud bucaid airson clàran hash ainmean an fhrithealaiche. | 64 |
bunaiteach['firezone']['nginx']['sendfile'] | A’ comasachadh no a’ cur à comas cleachdadh faidhle send nginx (). | air ' |
bunaiteach['firezone']['nginx']['access_log_options'] | Suidhich roghainnean log ruigsinneachd nginx. | nil |
bunaiteach['firezone']['nginx']['error_log_options'] | Suidhich roghainnean loga mearachd nginx. | nil |
bunaiteach['firezone']['nginx']['disable_access_log'] | Cuir à comas log ruigsinneachd nginx. | CEÀRR |
bunaiteach['firezone']['nginx']['types_hash_max_size'] | seòrsaichean nginx hash meud as motha. | 2048 |
bunaiteach['firezone']['nginx']['types_hash_bucket_size'] | seòrsaichean nginx meud bucaid hash. | 64 |
bunaiteach['firezone']['nginx']['proxy_read_timeout'] | Ùine leughaidh proxy nginx. Suidhich gu neoni gus cleachdadh nginx default. | nil |
bunaiteach['firezone']['nginx']['client_body_buffer_size'] | meud bufair buidheann teachdaiche nginx. Suidhich gu neoni gus cleachdadh nginx default. | nil |
bunaiteach['firezone']['nginx']['client_max_body_size'] | neach-dèiligidh nginx meud bodhaig as motha. | 250m ' |
bunaiteach['firezone']['nginx']['default']['modalan'] | Sònraich modalan nginx a bharrachd. | [] |
bunaiteach['firezone']['nginx']['enable_rate_limiting'] | Dèan comas no cuir à comas cuingealachadh reata nginx. | CEART |
bunaiteach['firezone']['nginx']['rate_limiting_zone_name'] | Ainm sòn cuibhreachaidh reata Nginx. | raon-teine' |
bunaiteach['firezone']['nginx']['rate_limiting_backoff'] | Ìre Nginx a’ cuingealachadh cùl-taic. | 10m ' |
bunaiteach['firezone']['nginx']['rate_limit'] | Crìochan ìre Nginx. | 10r/s' |
bunaiteach['firezone']['nginx']['ipv6'] | Leig le nginx èisteachd ri iarrtasan HTTP airson IPv6 a bharrachd air IPv4. | CEART |
bunaiteach['firezone']['postgresql']['comas'] | Dèan comas no cuir à comas Postgresql cuachta. Suidhich gu meallta agus lìon a-steach na roghainnean stòr-dàta gu h-ìosal gus an eisimpleir Postgresql agad fhèin a chleachdadh. | CEART |
bunaiteach['firezone']['postgresql']['ainm-cleachdaidh'] | Ainm-cleachdaidh airson Postgresql. | nód['firezone']['cleachdaiche'] |
bunaiteach['firezone']['postgresql']['data_directory'] | Leabhar-dàta postgresql. | “#{ nód ['firezone']['var_directory']}/postgresql/13.3/data" |
bunaiteach['firezone']['postgresql']['log_directory'] | Clàr-innse postgresql saor an asgaidh. | “#{ nód ['firezone']['log_directory']}/postgresql" |
bunaiteach['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Meud as motha ann am faidhle log Postgresql mus tèid a thionndadh. | 104857600 |
bunaiteach ['firezone']['postgresql']['log_rotation']['num_to_keep'] | An àireamh de fhaidhlichean loga Postgresql ri chumail. | 10 |
bunaiteach['firezone']['postgresql']['checkpoint_completion_target'] | Targaid crìochnachaidh puing-seic Postgresql. | 0.5 |
bunaiteach['firezone']['postgresql']['seicpoint_segments'] | An àireamh de earrannan puing-seic Postgresql. | 3 |
bunaiteach['firezone']['postgresql']['seicpoint_timeout'] | Ùine ùine puing-seic Postgresql. | 5mion' |
bunaiteach['firezone']['postgresql']['rabhadh_seic'] | Ùine rabhaidh puing-seic Postgresql ann an diogan. | 30an |
bunaiteach['firezone']['postgresql']['èifeachdach_cache_size'] | Meud tasgadan postgresql èifeachdach. | 128MB' |
bunaiteach['firezone']['postgresql']['èisteachd_seòladh'] | Postgresql seòladh èisteachd. | 127.0.0.1 ' |
bunaiteach['firezone']['postgresql']['max_connections'] | Ceanglaichean postgresql max. | 350 |
bunaiteach ['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs gus cead a thoirt do md5 auth. | ['127.0.0.1/32', '::1/128'] |
bunaiteach['firezone']['postgresql']['port'] | Postgresql port èisteachd. | 15432 |
bunaiteach['firezone']['postgresql']['buffers_roinnte'] | Meud bufairean co-roinnte Postgresql. | “#{(node['cuimhne']['iomlan'].to_i / 4) / 1024}MB" |
bunaiteach ['firezone']['postgresql']['shmmax'] | Postgresql shmmax ann am bytes. | 17179869184 |
bunaiteach['firezone']['postgresql']['shmall'] | Postgresql shmall ann am bytes. | 4194304 |
bunaiteach ['firezone']['postgresql']['work_mem'] | Meud cuimhne obrach postgresql. | 8MB' |
bunaiteach['firezone']['stòr-dàta']['cleachdaiche'] | Sònraich an t-ainm-cleachdaidh a chleachdas Firezone gus ceangal ris an DB. | nód ['firezone']['postgresql']['ainm-cleachdaidh'] |
bunaiteach['firezone']['stòr-dàta']['facal-faire'] | Ma chleachdas tu DB taobh a-muigh, sònraich am facal-faire a chleachdas Firezone gus ceangal ris an DB. | atharraich_mi' |
bunaiteach['firezone']['stòr-dàta']['ainm'] | Stòr-dàta a chleachdas Firezone. Thèid a chruthachadh mura h-eil e ann. | raon-teine' |
bunaiteach ['firezone']['stòr-dàta']['host'] | Neach-aoigheachd stòr-dàta ris am bi Firezone a 'ceangal. | nód ['firezone']['postgresql'][ 'èisteachd_seòladh'] |
bunaiteach['firezone']['stòr-dàta']['port'] | Port stòr-dàta ris an dèan Firezone ceangal. | nód ['firezone']['postgresql']['port'] |
bunaiteach['firezone']['stòr-dàta']['pool'] | Meud amar stòr-dàta Cleachdaidh Firezone. | [10, Etc.nprocessors].max |
bunaiteach['firezone']['stòr-dàta']['ssl'] | Am bu chòir ceangal a dhèanamh ris an stòr-dàta thairis air SSL. | CEÀRR |
bunaiteach['firezone']['stòr-dàta']['ssl_opts'] | {} | |
bunaiteach['firezone']['stòr-dàta']['parameters'] | {} | |
bunaiteach['firezone']['stòr-dàta']['leudachadh'] | Leudachain stòr-dàta gus a chomasachadh. | { 'plpgsql' => fìor, 'pg_trgm' => fìor } |
bunaiteach['firezone']['phoenix']['comas'] | Dèan comas no cuir à comas an aplacaid lìn Firezone. | CEART |
bunaiteach['firezone']['phoenix']['listen_address'] | Seòladh èisteachd aplacaid-lìn Firezone. Is e seo an seòladh èisteachd shuas an abhainn a bhios nginx a’ proxies. | 127.0.0.1 ' |
bunaiteach['firezone'][' phoenix']['port'] | Firezone lìn aplacaid èisteachd port. Is e seo am port shuas an abhainn a bhios nginx a’ proxies. | 13000 |
bunaiteach['firezone']['phoenix']['log_directory'] | Clàr loga aplacaid lìn Firezone. | “#{ nód ['firezone']['log_directory']}/ phoenix” |
bunaiteach['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Meud faidhle log tagradh lìn Firezone. | 104857600 |
bunaiteach['firezone']['phoenix']['log_rotation']['num_to_keep'] | An àireamh de fhaidhlichean loga tagradh lìn Firezone ri chumail. | 10 |
bunaiteach['firezone']['phoenix']['crash_detection']['comas'] | Dèan comas no cuir à comas toirt sìos an aplacaid lìn Firezone nuair a lorgar tubaist. | CEART |
bunaiteach['firezone']['phoenix']['external_trusted_proxies'] | Liosta de luchd-ionaid earbsach air an cruth mar raon de IPs agus / no CIDR. | [] |
bunaiteach['firezone']['phoenix']['luchd-cleachdaidh_prìobhaideach'] | Liosta de luchd-dèiligidh HTTP lìonra prìobhaideach, air cruth a chuir air sreath de IPs agus / no CIDRs. | [] |
bunaiteach['firezone']['wireguard']['comas'] | Dèan comas no cuir à comas stiùireadh WireGuard cuachta. | CEART |
bunaiteach['firezone']['wireguard']['log_directory'] | Eòlaire log airson riaghladh WireGuard cuachta. | “#{ nód ['firezone']['log_directory']}/geàrd-uèir" |
bunaiteach['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Faidhle log WireGuard meud as motha. | 104857600 |
bunaiteach['firezone']['wireguard']['log_rotation']['num_to_keep'] | An àireamh de fhaidhlichean log WireGuard ri chumail. | 10 |
bunaiteach['firezone']['wireguard']['interface_name'] | Ainm eadar-aghaidh WireGuard. Dh’ fhaodadh gun atharraich am paramadair seo call sealach ann an ceangal VPN. | wg-firezone' |
bunaiteach['firezone']['wireguard']['port'] | Port èisteachd WireGuard. | 51820 |
bunaiteach['firezone']['wireguard']['mtu'] | Eadar-aghaidh WireGuard MTU airson an fhrithealaiche seo agus airson rèiteachadh innealan. | 1280 |
bunaiteach['firezone']['wireguard']['endpoint'] | WireGuard Endpoint ri chleachdadh airson rèiteachadh innealan a ghineadh. Mura h-eil, thig e gu seòladh IP poblach an fhrithealaiche. | nil |
bunaiteach['firezone']['wireguard']['dns'] | WireGuard DNS ri chleachdadh airson rèiteachadh innealan gineadh. | 1.1.1.1, 1.0.0.1 ′ |
bunaiteach['firezone']['wireguard']['allowed_ips'] | WireGuard Ceadaichte IPs a chleachdadh airson rèiteachadh innealan gineadh. | 0.0.0.0/0, ::/0′ |
bunaiteach['firezone']['wireguard']['seasmhach_keepalive'] | Suidheachadh bunaiteach PersistentKeepalive airson rèiteachadh innealan gineadh. Tha luach 0 ga chur à comas. | 0 |
bunaiteach['firezone']['wireguard']['ipv4']['comas'] | Dèan comas no cuir à comas IPv4 airson lìonra WireGuard. | CEART |
bunaiteach['firezone']['wireguard']['ipv4']['masquerade'] | Dèan comas no cuir à comas masquerade airson pacaidean a’ fàgail an tunail IPv4. | CEART |
bunaiteach ['firezone']['wireguard']['ipv4']['lìonra'] | Lìonra WireGuard lìonra seòladh IPv4 amar. | 10.3.2.0/24 ′ |
bunaiteach ['firezone']['wireguard']['ipv4']['seòladh'] | Seòladh IPv4 eadar-aghaidh WireGuard. Feumaidh a bhith taobh a-staigh amar seòlaidh WireGuard. | 10.3.2.1 ' |
bunaiteach['firezone']['wireguard']['ipv6']['comas'] | Dèan comas no cuir à comas IPv6 airson lìonra WireGuard. | CEART |
bunaiteach['firezone']['wireguard']['ipv6']['masquerade'] | Dèan comas no cuir à comas masquerade airson pacaidean a’ fàgail an tunail IPv6. | CEART |
bunaiteach ['firezone']['wireguard']['ipv6']['lìonra'] | Lìonra WireGuard lìonra seòladh IPv6 amar. | fd00::3:2:0/120′ |
bunaiteach ['firezone']['wireguard']['ipv6']['seòladh'] | Seòladh IPv6 eadar-aghaidh WireGuard. Feumaidh a bhith taobh a-staigh amar seòladh IPv6. | fd00::3:2:1 |
bunaiteach['firezone']['runit']['svlogd_bin'] | Suidheachadh bin runit svlogd. | “#{node['firezone']['install_directory']}/ freumhaichte/bin/svlogd” |
bunaiteach ['firezone']['ssl']['directory'] | Eòlaire SSL airson teisteanasan gineadh a stòradh. | /var/opt/firezone/ssl' |
bunaiteach['firezone']['ssl']['email_address'] | Seòladh post-d ri chleachdadh airson teisteanasan fèin-shoidhnichte agus fiosan ùrachadh protocol ACME. | thu@example.com' |
bunaiteach ['firezone']['ssl']['acme']['comas'] | Dèan comas air ACME airson solar teisteanas SSL fèin-ghluasadach. Cuir seo à comas gus casg a chuir air Nginx bho bhith ag èisteachd air port 80. Faic an seo airson tuilleadh stiùiridh. | CEÀRR |
bunaiteach ['firezone']['ssl']['acme']['server'] | letsencrypt | |
bunaiteach ['firezone']['ssl']['acme']['keylength'] | Sònraich am prìomh sheòrsa agus fad airson teisteanasan SSL. Faic an seo | eug-256 |
bunaiteach ['firezone']['ssl']['teisteanas'] | Slighe chun fhaidhle teisteanais airson an FQDN agad. A’ dol thairis air suidheachadh ACME gu h-àrd ma tha e air a shònrachadh. Ma tha an dà chuid ACME agus seo neoni, thèid teisteanas fèin-shoidhnichte a chruthachadh. | nil |
bunaiteach ['firezone']['ssl']['certificate_key'] | An t-slighe gu faidhle an teisteanais. | nil |
bunaiteach['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nil |
bunaiteach ['firezone']['ssl']['country_name'] | Ainm dùthcha airson teisteanas fèin-shoidhnichte. | na SA' |
bunaiteach['firezone']['ssl']['state_name'] | Thoir ainm airson teisteanas fèin-shoidhnichte. | CA ' |
bunaiteach ['firezone']['ssl']['locality_name'] | Ainm sgìre airson teisteanas fèin-shoidhnichte. | San Francisco' |
bunaiteach['firezone']['ssl']['name_name'] | Teisteanas ainm companaidh le ainm fhèin. | Mo chompanaidh' |
bunaiteach['firezone']['ssl']['organisational_unit_name'] | Ainm aonad eagrachaidh airson teisteanas fèin-shoidhnichte. | Obrachaidhean' |
bunaiteach['firezone']['ssl']['ciphers'] | Ciphers SSL airson nginx a chleachdadh. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
bunaiteach['firezone']['ssl']['fips_ciphers'] | Ciphers SSL airson modh FIPs. | FIPS@STRENGTH :!aNULL:!eNULL' |
bunaiteach['firezone']['ssl']['pròtacalan'] | Pròtacalan TLS ri chleachdadh. | TLSv1 TLSv1.1 TLSv1.2′ |
bunaiteach ['firezone']['ssl']['session_cache'] | Tasgadh seisean SSL. | co-roinnte: SSL: 4m' |
bunaiteach ['firezone']['ssl']['session_timeout'] | Ùine seisean SSL. | 5m ' |
bunaiteach['firezone']['robots_allow'] | Leigidh robots nginx. | / ' |
bunaiteach['firezone']['robots_disallow'] | Tha robots nginx a’ dì-cheadachadh. | nil |
bunaiteach ['firezone']['outbound_email']['bho'] | Post-d a-mach bhon t-seòladh. | nil |
bunaiteach['firezone']['outbound_email']['solaraiche'] | Solaraiche seirbheis post-d a-muigh. | nil |
bunaiteach['firezone']['outbound_email']['configs'] | Cumaidhean solaraiche post-d a-muigh. | faic omnibus/leabhraichean còcaireachd/firezone/buadhan/default.rb |
bunaiteach['firezone']['telemetry']['comas'] | Dèan comas no cuir à comas telemetry toraidh gun urra. | CEART |
bunaiteach['firezone']['connectivity_checks']['comas'] | Dèan comas no cuir à comas seirbheis sgrùdaidh ceangail Firezone. | CEART |
bunaiteach['firezone']['connectivity_checks']['interval'] | Eadar-ama eadar sgrùdaidhean ceangail ann an diogan. | 3_600 |
________________________________________________________________
Lorgaidh tu an seo liosta de fhaidhlichean agus chlàran co-cheangailte ri stàladh àbhaisteach Firezone. Dh’ fhaodadh iad sin atharrachadh a rèir atharrachaidhean air an fhaidhle rèiteachaidh agad.
slighe | Tuairisgeul |
/var/opt/ firezone | Eòlaire àrd-ìre anns a bheil dàta agus rèiteachadh gineadh airson seirbheisean cuachta Firezone. |
/roghainn/sòn-teine | Eòlaire àrd-ìre anns a bheil leabharlannan togte, binaries agus faidhlichean ùine ruith a dh ’fheumas Firezone. |
/usr/bin/firezone-ctl | goireas firezone-ctl airson an stàladh Firezone agad a riaghladh. |
/etc/systemd/system/firezone-runsvdir-start.service | faidhle aonad systemd airson pròiseas stiùiridh ruith Firezone a thòiseachadh. |
/etc/sòn teine | Faidhlichean rèiteachaidh Firezone. |
__________________________________________________________
Bha an duilleag seo falamh ann an docaichean
_____________________________________________________________
Faodar an teamplaid balla-teine nftables a leanas a chleachdadh gus am frithealaiche a tha a’ ruith Firezone a dhèanamh tèarainte. Tha cuid de bharailean anns an teamplaid; is dòcha gum feum thu na riaghailtean atharrachadh a rèir do chùis cleachdaidh:
Bidh Firezone a’ rèiteachadh a riaghailtean nftables fhèin gus trafaic a cheadachadh / a dhiùltadh gu cinn-uidhe a tha air an rèiteachadh san eadar-aghaidh lìn agus gus NAT a-muigh a làimhseachadh airson trafaic teachdaiche.
Ma chuireas tu an teamplaid balla-teine gu h-ìosal air frithealaiche a tha a’ ruith mar-thà (chan ann aig àm tòiseachaidh) thèid na riaghailtean Firezone a ghlanadh. Dh’ fhaodadh seo buaidh a thoirt air tèarainteachd.
Gus obrachadh timcheall air seo ath-thòisich an t-seirbheis phoenix:
firezone-ctl ath-thòiseachadh phoenix
#!/usr/sbin/nft -f
## Glan / sruthadh a h-uile riaghailt a tha ann
sruth riaghailtean
########################### VARIABLES ############### #############
## Ainm eadar-aghaidh eadar-lìn / WAN
mìneachadh DEV_WAN = eth0
## Ainm eadar-aghaidh WireGuard
define DEV_WIREGUARD = wg-sòn-teine
## Port èisteachd WireGuard
mìneachadh WIREGUARD_PORT = 51820
######################### VARIABLES CRÌOCH ############### ###########
# Prìomh chlàr sìoltachaidh teaghlaich inet
sìoltachan inet clàr {
# Riaghailtean airson trafaic air adhart
# Tha an t-sèine seo air a phròiseasadh ron t-sèine air adhart Firezone
slabhraidh air adhart {
seòrsa dubhan sìoltachain air adhart sìoltachan prìomhachais - 5; gabhail ri poileasaidh
}
# Riaghailtean airson trafaic a-steach
cuir a-steach slabhraidh {
seòrsa criathrag cuir a-steach dubhan prìomhachais; tuiteam poileasaidh
## Ceadaich trafaic a-steach gu eadar-aghaidh loopback
iif lo \
gabhail ri \
beachd “Ceadaich a h-uile trafaic a-steach bhon eadar-aghaidh loopback”
## Ceadaich ceanglaichean stèidhichte agus co-cheangailte
ct stàite stèidhichte, co-cheangailte \
gabhail ri \
beachd “Ceadaich ceanglaichean stèidhichte/co-cheangailte”
## Ceadaich trafaic WireGuard a tha a’ tighinn a-steach
iif $DEV_WAN udp dport $WIREGUARD_PORT \
cuntair \
gabhail ri \
beachd “Ceadaich trafaic WireGuard a-steach”
## Log agus leig às pacaidean ùra TCP neo-SYN
tcp flags!= sync ct stàite ùr \
ìre crìche 100/sgaradh mionaid 150 pacaidean \
ro-leasachan log “IN – Ùr !SYN: “ \
beachd “Logadh crìochan reata airson ceanglaichean ùra aig nach eil seata bratach SYN TCP”
tcp flags!= sync ct stàite ùr \
cuntair \
leig às \
beachd “Cuir às do cheanglaichean ùra aig nach eil seata bratach SYN TCP”
## Log agus leig às pacaidean TCP le seata bratach fin / syn neo-dhligheach
brataichean tcp & (fin|syn) == (fin | syn) \
ìre crìche 100/sgaradh mionaid 150 pacaidean \
ro-leasachan log "IN - TCP FIN | SIN:" \
beachd “Logadh crìoch ìre airson pacaidean TCP le seata bratach fin / syn neo-dhligheach”
brataichean tcp & (fin|syn) == (fin | syn) \
cuntair \
leig às \
beachd “Leig às pacaidean TCP le seata bratach fin / syn neo-dhligheach”
## Log a-steach agus leig às pacaidean TCP le seata bratach syn/rst neo-dhligheach
brataichean tcp & (syn|rst) == (syn|rst) \
ìre crìche 100/sgaradh mionaid 150 pacaidean \
ro-leasachan log "IN - TCP SYN | RST:" \
beachd “Logadh crìoch ìre airson pacaidean TCP le seata bratach syn/rst neo-dhligheach”
brataichean tcp & (syn|rst) == (syn|rst) \
cuntair \
leig às \
beachd “Leig às pacaidean TCP le seata bratach syn/rst neo-dhligheach”
## Log agus leig às brataichean TCP neo-dhligheach
brataichean tcp & (fin|syn|rst|psh|ack|urg) < (fin) \
ìre crìche 100/sgaradh mionaid 150 pacaidean \
ro-leasachan log "IN - FIN:" \
beachd “Logadh crìoch ìre airson brataichean TCP neo-dhligheach (fin | syn | an toiseach | psh | ack | urg) < (fin)"
brataichean tcp & (fin|syn|rst|psh|ack|urg) < (fin) \
cuntair \
leig às \
beachd “Leig às pacaidean TCP le brataichean (fin | syn | an toiseach | psh | ack | urg) < (fin)”
## Log agus leig às brataichean TCP neo-dhligheach
brataichean tcp & (fin|syn|an toiseach|psh|ack|urg) == (fin|psh|urg) \
ìre crìche 100/sgaradh mionaid 150 pacaidean \
ro-leasachan log "IN - FIN | PSH | URG:" \
beachd “Logadh crìoch ìre airson brataichean TCP neo-dhligheach (fin | syn | an toiseach | psh | ack | urg) == (fin | psh | urg)"
brataichean tcp & (fin|syn|an toiseach|psh|ack|urg) == (fin|psh|urg) \
cuntair \
leig às \
beachd “Leig às pacaidean TCP le brataichean (fin | syn | an toiseach | psh | ack | urg) == (fin | psh | urg)”
## Leig às trafaic le staid ceangail neo-dhligheach
staid ct neo-dhligheach \
ìre crìche 100/sgaradh mionaid 150 pacaidean \
log flags uile ro-leasachan "IN - Neo-dhligheach:" \
beachd “Logadh crìochan reata airson trafaic le staid ceangail mì-dhligheach”
staid ct neo-dhligheach \
cuntair \
leig às \
beachd “Lùghdaich trafaic le staid ceangail mì-dhligheach”
## Ceadaich freagairtean IPv4 ping/ping ach crìoch reata gu 2000 PPS
ip protocol icmp icmp seòrsa { mac-talla, freagairt mac-talla } \
ìre crìche 2000/an dàrna \
cuntair \
gabhail ri \
beachd “Ceadaich mac-talla IPv4 a-steach (ping) cuibhrichte gu 2000 PPS”
## Ceadaich a h-uile ICMP IPv4 eile a tha a’ tighinn a-steach
ip protocol icmp \
cuntair \
gabhail ri \
beachd “Ceadaich a h-uile IPv4 ICMP eile”
## Ceadaich freagairtean IPv6 ping/ping ach crìoch reata gu 2000 PPS
seòrsa icmpv6 { mac-talla-freagairt, iarrtas mac-talla } \
ìre crìche 2000/an dàrna \
cuntair \
gabhail ri \
beachd “Ceadaich mac-talla IPv6 a-steach (ping) cuibhrichte gu 2000 PPS”
## Ceadaich a h-uile ICMP IPv6 eile a tha a’ tighinn a-steach
meta l4proto { icmpv6 } \
cuntair \
gabhail ri \
beachd “Ceadaich a h-uile IPv6 ICMP eile”
## Ceadaich puirt UDP traceroute a-steach ach cuingealaich gu 500 PPS
udp dport 33434-33524 \
ìre crìche 500/an dàrna \
cuntair \
gabhail ri \
beachd “Ceadaich traceroute UDP a-steach cuibhrichte gu 500 PPS”
## Ceadaich SSH a-steach
tcp dport ssh ct stàite ùr \
cuntair \
gabhail ri \
beachd “Ceadaich ceanglaichean SSH a-steach”
## Ceadaich HTTP agus HTTPS a-steach
tcp dport { http, https } ct stàite ùr \
cuntair \
gabhail ri \
beachd “Ceadaich ceanglaichean HTTP agus HTTPS a-steach”
## Log a-steach trafaic gun choimeas ach logadh crìoch ìre gu 60 teachdaireachd / mionaid aig a’ char as àirde
## Thèid am poileasaidh bunaiteach a chuir an sàs ann an trafaic gun choimeas
ìre crìche 60/sgaradh mionaid 100 pacaidean \
ro-leasachan log “IN - Slaod:" \
beachd “Log a-steach trafaic gun choimeas”
## Cunnt an trafaic gun choimeas
cuntair \
beachd “Cunnt trafaic gun choimeas”
}
# Riaghailtean airson trafaic toraidh
toradh slabhraidh {
seòrsa sìoltachan prìomhachais toraidh dubhan sìoltachain; tuiteam poileasaidh
## Ceadaich trafaic a-muigh gu eadar-aghaidh loopback
oif lo \
gabhail ri \
beachd “Ceadaich a h-uile trafaic a-mach gu eadar-aghaidh loopback”
## Ceadaich ceanglaichean stèidhichte agus co-cheangailte
ct stàite stèidhichte, co-cheangailte \
cuntair \
gabhail ri \
beachd “Ceadaich ceanglaichean stèidhichte/co-cheangailte”
## Ceadaich trafaic WireGuard a-muigh mus leig thu às ceanglaichean le droch staid
oif $DEV_WAN spòrs udp $WIREGUARD_PORT \
cuntair \
gabhail ri \
beachd “Ceadaich trafaic a-muigh WireGuard”
## Leig às trafaic le staid ceangail neo-dhligheach
staid ct neo-dhligheach \
ìre crìche 100/sgaradh mionaid 150 pacaidean \
log flags uile ro-leasachan “A-MHÀIN - Neo-dhligheach:" \
beachd “Logadh crìochan reata airson trafaic le staid ceangail mì-dhligheach”
staid ct neo-dhligheach \
cuntair \
leig às \
beachd “Lùghdaich trafaic le staid ceangail mì-dhligheach”
## Ceadaich a h-uile ICMP IPv4 eile a tha a’ dol a-mach
ip protocol icmp \
cuntair \
gabhail ri \
beachd “Ceadaich a h-uile seòrsa IPv4 ICMP”
## Ceadaich a h-uile ICMP IPv6 eile a tha a’ dol a-mach
meta l4proto { icmpv6 } \
cuntair \
gabhail ri \
beachd “Ceadaich a h-uile seòrsa IPv6 ICMP”
## Ceadaich puirt UDP traceroute a-muigh ach cuingealaich gu 500 PPS
udp dport 33434-33524 \
ìre crìche 500/an dàrna \
cuntair \
gabhail ri \
beachd “Ceadaich traceroute UDP a-muigh cuibhrichte gu 500 PPS”
## Ceadaich ceanglaichean HTTP agus HTTPS a-muigh
tcp dport { http, https } ct stàite ùr \
cuntair \
gabhail ri \
beachd “Ceadaich ceanglaichean HTTP agus HTTPS a-muigh”
## Ceadaich tagradh SMTP a-mach
tagradh tcp dport ct stàite ùr \
cuntair \
gabhail ri \
beachd “Ceadaich tagradh SMTP a-mach”
## Ceadaich iarrtasan DNS a-muigh
udp dport 53 \
cuntair \
gabhail ri \
beachd “Ceadaich iarrtasan DNS a-muigh”
tcp dport 53 \
cuntair \
gabhail ri \
beachd “Ceadaich iarrtasan TCP DNS a-muigh”
## Ceadaich iarrtasan NTP a-mach
udp dport 123 \
cuntair \
gabhail ri \
beachd “Ceadaich iarrtasan NTP a-muigh”
## Log a-steach trafaic gun choimeas ach logadh crìoch ìre gu 60 teachdaireachd / mionaid aig a’ char as àirde
## Thèid am poileasaidh bunaiteach a chuir an sàs ann an trafaic gun choimeas
ìre crìche 60/sgaradh mionaid 100 pacaidean \
ro-leasachan log “A-MHÀIN - Slaod:" \
beachd “Log a-steach trafaic gun choimeas”
## Cunnt an trafaic gun choimeas
cuntair \
beachd “Cunnt trafaic gun choimeas”
}
}
# Prìomh bhòrd sìolaidh NAT
clàr inet nat {
# Riaghailtean airson ro-slighe trafaic NAT
ro-aithris slabhraidh {
seòrsa nat hook ro-làimh prìomhachas dstnat; gabhail ri poileasaidh
}
# Riaghailtean airson trafaic NAT às deidh an t-slighe
# Tha an clàr seo air a phròiseasadh ron t-sreath post-slighe Firezone
postrouting slabhraidh {
dèan seòrsa nat hook postrouting prìomhachas srcnat - 5; gabhail ri poileasaidh
}
}
Bu chòir am balla-teine a stòradh san àite iomchaidh airson an sgaoileadh Linux a tha a’ ruith. Airson Debian/Ubuntu is e seo /etc/nftables.conf agus airson RHEL is e seo /etc/sysconfig/nftables.conf.
Feumaidh nftables.service a bhith air a rèiteachadh gus tòiseachadh air bròg (mura h-eil e mar-thà) seata:
systemctl comas a thoirt do nftables.service
Ma nì thu atharrachadh sam bith air an teamplaid balla-teine faodar an co-chòrdadh a dhearbhadh le bhith a’ ruith an àithne seic:
nft -f /path/to/nftables.conf -c
Dèan cinnteach gun dearbhaich thu na h-obraichean balla-teine mar a bhiodh dùil oir is dòcha nach bi cuid de fheartan nftables rim faighinn a rèir an sgaoileadh a tha a’ ruith air an fhrithealaiche.
_______________________________________________________________
Tha an sgrìobhainn seo a’ toirt sealladh farsaing air an telemetry Firezone a’ cruinneachadh bhon t-suidheachadh fèin-aoigheachd agad agus mar a chuireas tu dheth e.
Sòn teine earbsa air telemetry gus ar mapa-rathaid a phrìomhachadh agus na goireasan innleadaireachd as fheàrr a th’ againn gus Firezone a dhèanamh nas fheàrr don h-uile duine.
Tha an telemetry a chruinnicheas sinn ag amas air na ceistean a leanas a fhreagairt:
Tha trì prìomh àiteachan far a bheil telemetry air a chruinneachadh ann an Firezone:
Anns gach aon de na trì co-theacsan sin, bidh sinn a’ glacadh an ìre as lugha de dhàta a tha riatanach gus na ceistean san earrann gu h-àrd a fhreagairt.
Cha tèid puist-d rianachd a chruinneachadh ach ma roghnaicheas tu gu sònraichte a-steach gu ùrachadh toraidh. Mur eil, tha fiosrachadh a dh'aithnichear gu pearsanta riamh air a chruinneachadh.
Bidh Firezone a’ stòradh telemetry ann an eisimpleir fèin-aoigheachd de PostHog a’ ruith ann am buidheann prìobhaideach Kubernetes, nach fhaighear ach leis an sgioba Firezone. Seo eisimpleir de thachartas telemetry a thèid a chuir bhon eisimpleir agad de Firezone chun t-seirbheisiche telemetry againn:
{
"Id": “0182272d-0b88-0000-d419-7b9a413713f1”,
"stampa-ùine": “2022-07-22T18:30:39.748000+00:00”,
“tachartas”: “fz_http_thòisich”,
“distinct_id”: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
“fearainn”:{
“$ geoip_city_name”: "Ashburn",
“$geoip_continent_code”: "NA",
“$geoip_continent_name”: "Aimeireaga a Tuath",
“$geoip_country_code”: "US",
“$geoip_country_name”: "Na Stàitean Aonaichte",
“$ geoip_latitude”: 39.0469,
"$geoip_longitude": -77.4903,
“$geoip_postal_code”: "20149",
“$geoip_subdivision_1_code”: "VA",
“$geoip_subdivision_1_name”: "Virginia",
“$geoip_time_zone”: “America/New_York”,
"$ip": "52.200.241.107",
“$plugins_deferred”: [],
"Dh'fhàillig $plugins_": [],
"$plugins_soirbheachadh": [
"GeoIP (3)"
],
“distinct_id”: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": “awsdemo.firezone.dev”,
“kernel_version”: "linux 5.13.0",
"dreach": "0.4.6"
},
“eileamaidean_slabhraidh”: ""
}
NOTA
Sgioba leasachaidh Firezone earbsa air mion-sgrùdadh toraidh gus Firezone a dhèanamh nas fheàrr don h-uile duine. Is e a bhith a’ fàgail telemetry comasach an tabhartas singilte as luachmhoire as urrainn dhut a dhèanamh do leasachadh Firezone. Thuirt sin, tha sinn a’ tuigsinn gu bheil riatanasan prìobhaideachd no tèarainteachd nas àirde aig cuid de luchd-cleachdaidh agus gum b’ fheàrr leotha telemetry a chuir dheth gu tur. Mas e sin thu, cùm a’ leughadh.
Tha telemetry air a chomasachadh gu bunaiteach. Gus telemetry toraidh a dhì-cheadachadh gu tur, suidhich an roghainn rèiteachaidh a leanas gu meallta ann an /etc/firezone/firezone.rb agus ruith sudo firezone-ctl ath-dhealbhadh gus na h-atharrachaidhean a thogail.
bunaiteach['sòn-teine']['telemetry']['comas'] = ceàrr
Cuiridh sin à comas telemetry toraidh gu tur.
Hailbytes
9511 Freiceadan na Banrigh Ct.
Laurel, MD 20723
Fòn: (732) 771-9995
Post-d: info@hailbytes.com