Menu
Hailbytes VPN Firezone GUI-rekin inplementatzeko urratsez urrats argibideak hemen ematen dira.
Administratu: zerbitzariaren instantzia konfiguratzea zati honekin zuzenean lotuta dago.
Erabiltzaileen gidak: Firezone erabiltzen eta ohiko arazoak konpontzen irakatsi dezaketen dokumentu lagungarriak. Zerbitzaria behar bezala zabaldu ondoren, ikusi atal hau.
Split Tunneling: Erabili VPN trafikoa IP barruti jakin batzuetara soilik bidaltzeko.
Zerrenda zuria: ezarri VPN zerbitzari baten IP helbide estatikoa zerrenda zuria erabiltzeko.
Alderantzizko tunelak: Hainbat parekideren artean tunelak sortu alderantzizko tunelak erabiliz.
Pozik lagunduko dizugu Hailbytes VPN instalatzen, pertsonalizatzen edo erabiltzen laguntza behar baduzu.
Erabiltzaileek gailuaren konfigurazio-fitxategiak ekoitzi edo deskargatu aurretik, Firezone konfiguratu daiteke autentifikazioa eskatzeko. Baliteke erabiltzaileek aldizka berriro autentifikatu behar izatea VPN konexioa aktibo mantentzeko.
Firezone-ren saioa hasteko metodo lehenetsia tokiko posta elektronikoa eta pasahitza den arren, edozein OpenID Connect (OIDC) nortasun-hornitzaile estandarizaturekin ere integra daiteke. Erabiltzaileek orain Firezone-n saioa hasi dezakete beren Okta, Google, Azure AD edo nortasun hornitzaile pribatuaren kredentzialak erabiliz.
Integratu OIDC Hornitzaile generiko bat
Firezone-k OIDC hornitzaile bat erabiliz SSO baimentzeko behar dituen konfigurazio-parametroak beheko adibidean erakusten dira. /etc/firezone/firezone.rb helbidean, konfigurazio fitxategia aurki dezakezu. Exekutatu firezone-ctl reconfigure eta firezone-ctl berrabiarazi aplikazioa eguneratzeko eta aldaketak eragina izateko.
# Hau Google eta Okta SSO identitate-hornitzaile gisa erabiltzen dituen adibide bat da.
# OIDC konfigurazio anitz gehi daitezke Firezone instantzia berean.
# Firezone-k erabiltzailearen VPNa desgaitu dezake saiatzean erroreren bat hautematen bada
# bere access_token freskatzeko. Google, Okta eta Google-n funtzionatzen duela egiaztatu da
# Azure SSO eta erabiltzailearen VPN automatikoki deskonektatzeko erabiltzen da, kentzen badira
# OIDC hornitzailetik. Utzi hau desgaituta zure OIDC hornitzailea bada
# arazoak ditu sarbide-tokenak freskatzeko, ustekabean a eten baitezake
# erabiltzailearen VPN saioa.
default ['firezone']['authentication']['disable_vpn_on_oidc_error'] = faltsua
default ['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "kodea",
esparrua: "openid posta elektronikoko profila",
etiketa: "Google"
},
okta: {
discovery_document_uri: "https:// /.ezaguna/openid-konfigurazioa”,
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "kodea",
esparrua: "openid email profile offline_access",
Etiketa: "Okta"
}
}
Konfigurazio ezarpen hauek beharrezkoak dira integrazioa egiteko:
OIDC hornitzaile bakoitzarentzat dagokion URL polit bat sortzen da konfiguratutako hornitzailearen saioa hasteko URLra birbideratzeko. Goiko OIDC konfiguraziorako, URLak hauek dira:
Hornitzaileentzako dokumentazioa dugu:
Zure identitate-hornitzaileak OIDC konektore generiko bat badu eta goian agertzen ez bada, joan bere dokumentaziora beharrezko konfigurazio-ezarpenak nola berreskuratu jakiteko.
Ezarpenak/segurtasun azpian dagoen ezarpena alda daiteke aldizkako berriro autentifikazioa eskatzeko. Hau erabil daiteke erabiltzaileek Firezone-n aldian-aldian sartzeko eskakizuna betetzeko, VPN saioa jarraitzeko.
Saioaren iraupena ordubete eta laurogeita hamar egun artekoa izan dadin konfigura daiteke. Hau Inoiz ezartzean, VPN saioak gaitu ditzakezu edonoiz. Hau da estandarra.
Erabiltzaileak bere VPN saioa amaitu eta Firezone atarian saioa hasi behar du iraungitako VPN saio bat berriro autentifikatu ahal izateko (inplementazioan zehaztutako URLa).
Zure saioa berriro autentifikatu dezakezu hemen aurkitutako bezeroaren argibide zehatzak jarraituz.
VPN konexioaren egoera
Erabiltzaileak orriaren VPN konexioaren taula zutabeak erabiltzailearen konexio-egoera erakusten du. Hauek dira konexio-egoerak:
GAITATU – Konexioa gaituta dago.
DESABILITA – Konexioa administratzaile batek edo OIDC freskatze hutsegite batek desgaitu du.
IRAUNGIA - Konexioa desgaituta dago autentifikazioa iraungi delako edo erabiltzaile batek ez du lehen aldiz saioa hasi.
OIDC konektore orokorraren bidez, Firezone-k Single Sign-On (SSO) gaitzen du Google Workspace eta Cloud Identity-ekin. Gida honek behean zerrendatutako konfigurazio-parametroak nola lortu erakutsiko dizu, integraziorako beharrezkoak direnak:
1. OAuth konfigurazio pantaila
OAuth bezero ID berri bat sortzen ari zaren lehen aldia bada, baimen-pantaila bat konfiguratzeko eskatuko zaizu.
*Hautatu Barneko erabiltzaile motarako. Honek Google Workspace Erakundeko erabiltzaileen kontuek soilik sor ditzaketela gailuen konfigurazioak ziurtatzen du. EZ hautatu Kanpokoa baliozko Google kontua duen edonork gailuaren konfigurazioak sortzeko gaitu nahi ez baduzu.
Aplikazioaren informazio pantailan:
2. Sortu OAuth Bezero IDak
Atal hau Google-ren berezko dokumentazioan oinarritzen da OAuth 2.0 konfiguratzea.
Bisitatu Google Cloud Consolera Kredentzialak orria orrialdean, egin klik + Sortu kredentzialak eta hautatu OAuth bezero ID.
OAuth bezero IDa sortzeko pantailan:
OAuth bezero IDa sortu ondoren, Bezero IDa eta Bezeroaren sekretua emango zaizkizu. Hauek birbideratzeko URIarekin batera erabiliko dira hurrengo urratsean.
Editatu /etc/firezone/firezone.rb beheko aukerak sartzeko:
# Google erabiltzea SSO identitate-hornitzaile gisa
default ['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "kodea",
esparrua: "openid posta elektronikoko profila",
etiketa: "Google"
}
}
Exekutatu firezone-ctl reconfigure eta firezone-ctl berrabiarazi aplikazioa eguneratzeko. Orain saioa hasi Google botoia ikusi beharko zenuke Firezone URL erroan.
Firezone-k OIDC konektore generikoa erabiltzen du Okta-rekin Single Sign-On (SSO) errazteko. Tutorial honek behean zerrendatutako konfigurazio-parametroak nola lortu erakutsiko dizu, integraziorako beharrezkoak direnak:
Gidaren atal honetan oinarritzen da Oktaren dokumentazioa.
Admin kontsolan, joan Aplikazioak > Aplikazioak eta egin klik Sortu aplikazioen integrazioa. Ezarri Saioa hasteko metodoa OICD – OpenID Connect eta Aplikazio mota Web aplikazioan.
Konfiguratu ezarpen hauek:
Ezarpenak gorde ondoren, Bezeroaren IDa, Bezeroaren Sekretua eta Okta Domeinua emango zaizkizu. 3 balio hauek 2. urratsean erabiliko dira Firezone konfiguratzeko.
Editatu /etc/firezone/firezone.rb beheko aukerak sartzeko. Zure aurkikuntza_dokumentu_url izango da /.ezaguna/openid-konfigurazioa zure amaieran erantsita okta_domeinua.
# Okta SSO identitate-hornitzaile gisa erabiltzea
default ['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri: "https:// /.ezaguna/openid-konfigurazioa”,
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "kodea",
esparrua: "openid email profile offline_access",
Etiketa: "Okta"
}
}
Exekutatu firezone-ctl reconfigure eta firezone-ctl berrabiarazi aplikazioa eguneratzeko. Orain Firezone URLaren erroko URLan Hasi saioa Okta botoia ikusi beharko zenuke.
Firezone aplikaziora sar daitezkeen erabiltzaileak mugatu ditzake Oktak. Horretarako, joan Okta Admin Console-ren Firezone App Integration-en Esleipenak orrira.
OIDC konektore generikoaren bidez, Firezone-k Single Sign-On (SSO) gaitzen du Azure Active Directory-rekin. Eskuliburu honek behean zerrendatzen diren konfigurazio-parametroak nola lortu erakutsiko dizu, integraziorako beharrezkoak direnak:
Gida hau batetik aterata dago Azure Active Directory Docs.
Joan Azure atariko Azure Active Directory orrira. Aukeratu Kudeatu menu aukera, hautatu Erregistro berria, eta gero erregistratu beheko informazioa emanez:
Erregistratu ondoren, ireki aplikazioaren xehetasunen ikuspegia eta kopiatu Aplikazioaren (bezeroaren) IDa. Hau client_id balioa izango da. Ondoren, ireki amaierako puntuen menua berreskuratzeko OpenID Connect metadatuen dokumentua. Discovery_document_uri balioa izango da.
Sortu bezero-sekretu berri bat Kudeatu menuko Ziurtagiriak eta sekretuak aukeran klik eginez. Kopiatu bezeroaren sekretua; bezeroaren balio sekretua hau izango da.
Azkenik, hautatu Kudeatu menuko API baimenen esteka, egin klik Gehitu baimenaEta hautatu Microsoft grafikoa, Gehitu e-posta, irekia, lineaz kanpoko sarbidea profila behar diren baimenetara.
Editatu /etc/firezone/firezone.rb beheko aukerak sartzeko:
# Azure Active Directory SSO identitate-hornitzaile gisa erabiltzea
default ['firezone']['authentication']['oidc'] = {
azur: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: " ",
client_secret: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
response_type: "kodea",
esparrua: "openid email profile offline_access",
Etiketa: "Azure"
}
}
Exekutatu firezone-ctl reconfigure eta firezone-ctl berrabiarazi aplikazioa eguneratzeko. Orain Firezone URLaren erroko URLan Hasi saioa Azure botoia ikusi beharko zenuke.
Azure AD-k administratzaileei aplikazioen sarbidea mugatzeko aukera ematen die zure enpresa barruko erabiltzaile talde jakin bati. Hori egiteko moduari buruzko informazio gehiago Microsoft-en dokumentazioan aurki daiteke.
Chef Omnibus Firezone-k erabiltzen du zereginak kudeatzeko, besteak beste, kaleratze-ontziratzea, prozesuen gainbegiratzea, erregistroen kudeaketa eta abar.
Ruby kodeak osatzen du konfigurazio fitxategi nagusia, eta /etc/firezone/firezone.rb helbidean dago. Fitxategi honetan aldaketak egin ondoren sudo firezone-ctl berrabiarazten baduzu, Chef-ek aldaketak ezagutu eta uneko sistema eragilean aplikatzen ditu.
Ikusi konfigurazio-fitxategiaren erreferentzia konfigurazio-aldagaien zerrenda osoa eta haien deskribapenak ikusteko.
Zure Firezone instantzia honen bidez kudeatu daiteke firezone-ctl komandoa, behean erakusten den moduan. Azpikomando gehienek aurrizkia eskatzen dute sudo.
root@demo:~# firezone-ctl
omnibus-ctl: komandoa (azpikomandoa)
Agindu orokorrak:
garbitu
Ezabatu firezone datu guztiak* eta hasi hutsetik.
sortu-edo-berrezarri-admin
Adminaren pasahitza berrezartzen du lehenespenez zehaztutako mezu elektronikoarekin ['firezone']['admin_email'] edo administratzaile berri bat sortzen du mezu elektroniko hori existitzen ez bada.
laguntzeko
Inprimatu laguntza-mezu hau.
birkonfiguratu
Berriro konfiguratu aplikazioa.
berrezarri-sarea
nftables, WireGuard interfazea eta bideratze-taula Firezone lehenetsietara itzultzen ditu.
show-config
Erakutsi birkonfiguratuz sortuko litzatekeen konfigurazioa.
teardown-sarea
WireGuard interfazea eta firezone nftables taula kentzen ditu.
indar-cert-berritze
Behartu ziurtagiria berritzea orain iraungi ez bada ere.
stop-cert-berritzea
Ziurtagiriak berritzen dituen cronjob kentzen du.
desinstalatu
Amaitu prozesu guztiak eta desinstalatu prozesuaren gainbegiralea (datuak gordeko dira).
bertsioa
Bistaratu Firezone-ren uneko bertsioa
Zerbitzuak kudeatzeko komandoak:
grazioso-hil
Saiatu geldialdi dotore bat, gero SIGKILL prozesu-talde osoa.
hup
Bidali zerbitzuak HUP bat.
int
Bidali zerbitzuak INT.
hiltzeko
Bidali zerbitzuak KILL bat.
behin
Hasi zerbitzuak behera badaude. Ez itzazu berrabiarazi gelditzen badira.
berrabiarazi
Gelditu zerbitzuak martxan badaude, eta abiarazi berriro.
zerbitzu-zerrenda
Zerrendatu zerbitzu guztiak (gaitutako zerbitzuak * batekin agertzen dira.)
Hasi
Hasi zerbitzuak behera badaude, eta berrabiarazi gelditzen badira.
egoera
Erakutsi zerbitzu guztien egoera.
gelditu
Gelditu zerbitzuak, eta ez berrabiarazi.
buztana
Ikusi gaituta dauden zerbitzu guztien zerbitzuen erregistroak.
epe
Bidali zerbitzuak EPE bat.
usr1
Bidali zerbitzuak USR1 bat.
usr2
Bidali zerbitzuak USR2 bat.
Firezone berritu aurretik VPN saio guztiak amaitu behar dira, eta horrek Web UI-a ixtea eskatzen du. Bertsio-berritzean zerbait gaizki gertatuko balitz, mantentze-lanetarako ordu bat jartzea gomendatzen dugu.
Firezone hobetzeko, egin ekintza hauek:
Arazoren bat sortzen bada, mesedez, jakinarazi iezaguzu laguntza-txartel bat aurkeztuz.
0.5.0-n zenbait aldaketa eta konfigurazio aldaketa daude zuzendu behar direnak. Informazio gehiago behean.
Nginx-ek jada ez ditu indar SSL eta ez SSL ataka parametroak onartzen 0.5.0 bertsiotik aurrera. Firezone-k SSL behar duelako funtzionatzeko, Nginx zerbitzua sorta kentzea gomendatzen dugu default['firezone']['nginx']['enabled'] = false ezarriz eta zure alderantzizko proxy Phoenix aplikaziora 13000 atakan zuzentzea ordez (lehenespenez. ).
0.5.0-k ACME protokoloaren euskarria aurkezten du SSL ziurtagiriak automatikoki berritzeko Nginx zerbitzuarekin. Gaitzeko,
Helmuga bikoiztuekin arauak gehitzeko aukera desagertu egin da Firezone 0.5.0-n. Gure migrazio-gidoiak automatikoki ezagutuko ditu egoera hauek 0.5.0ra eguneratzean eta helmugan beste araua barne hartzen duten arauak soilik mantenduko ditu. Ez dago ezer egin beharrik hau ondo badago.
Bestela, bertsio berritu aurretik, zure arau multzoa aldatzea gomendatzen dugu egoera hauek kentzeko.
Firezone 0.5.0-k estilo zaharreko Okta eta Google SSO konfiguraziorako laguntza kentzen du, OIDCn oinarritutako konfigurazio malguagoa eta berriaren alde.
Lehenetsitako ['firezone']['authentication']['okta'] edo lehenetsitako ['firezone']['authentication']['google'] gakoetan konfiguraziorik baduzu, hauek gure OIDCra migratu behar dituzu. -oinarritutako konfigurazioa beheko gida erabiliz.
Lehendik dagoen Google OAuth konfigurazioa
Kendu Google OAuth konfigurazio zaharrak dituzten lerro hauek /etc/firezone/firezone.rb helbidean dagoen zure konfigurazio fitxategitik
lehenetsia['firezone']['autentifikazioa']['google']['gaituta']
lehenetsia['firezone']['authentication']['google']['client_id']
lehenetsia['firezone']['authentication']['google']['client_secret']
lehenetsia['firezone']['authentication']['google']['redirect_uri']
Ondoren, konfiguratu Google OIDC hornitzaile gisa hemengo prozedurak jarraituz.
(Eman esteka argibideak) <<<<<<<<<<<<<<<<<
Konfiguratu lehendik dagoen Google OAuth
Kendu Okta OAuth konfigurazio zaharrak dituzten lerro hauek helbidean dagoen konfigurazio fitxategitik /etc/firezone/firezone.rb
lehenetsia['firezone']['autentifikazioa']['okta']['gaituta']
lehenetsia['firezone']['authentication']['okta']['client_id']
lehenetsia['firezone']['authentication']['okta']['client_secret']
Lehenetsia ['firezone']['authentication']['okta']['gune']
Ondoren, konfiguratu Okta OIDC hornitzaile gisa hemengo prozedurak jarraituz.
Zure uneko konfigurazioaren eta bertsioaren arabera, jarraitu jarraibide hauek:
Dagoeneko OIDC integrazio bat baduzu:
OIDC hornitzaile batzuentzat, >= 0.3.16-ra eguneratzeak lineaz kanpoko sarbide-esparrurako freskatze-token bat lortzea beharrezkoa da. Hori eginez gero, ziurtatzen da Firezone identitate-hornitzailearekin eguneratzen dela eta VPN konexioa itzaltzen dela erabiltzailea ezabatu ondoren. Firezone-ren aurreko iterazioek ez zuten funtzio hori. Zenbait kasutan, baliteke zure identitate-hornitzailetik ezabatzen diren erabiltzaileak VPN batera konektatuta egotea.
Beharrezkoa da lineaz kanpoko sarbidea sartzea zure OIDC konfigurazioaren esparruaren parametroan lineaz kanpoko sarbidea onartzen duten OIDC hornitzaileentzat. Firezone-ctl berkonfiguratu behar da /etc/firezone/firezone.rb helbidean dagoen Firezone konfigurazio fitxategian aldaketak aplikatzeko.
Zure OIDC hornitzaileak autentifikatu dituen erabiltzaileentzat, OIDC Connections goiburua ikusiko duzu web UI-ko erabiltzailearen xehetasunen orrian, Firezone-k freskatze-tokena behar bezala berreskuratzen badu.
Honek funtzionatzen ez badu, lehendik dagoen OAuth aplikazioa ezabatu eta OIDC konfiguratzeko urratsak errepikatu beharko dituzu. sortu aplikazioen integrazio berri bat .
Dagoeneko OAuth integrazio bat daukat
0.3.11 baino lehen, Firezone-k aurrez konfiguratutako OAuth2 hornitzaileak erabiltzen zituen.
Jarraitu argibideak hemen OIDCra migratzeko.
Ez dut identitate-hornitzailerik integratu
Ez da ekintza behar.
Argibideak jarraitu ditzakezu hemen SSO gaitzeko OIDC hornitzaile baten bidez.
Bere ordez, default['firezone']['external url'] konfigurazio aukera default['firezone']['fqdn'] ordezkatu du.
Ezarri hau zure Firezone sareko atariaren URLan, publiko orokorrarentzat eskuragarri dagoena. Lehenetsia izango da https:// gehi zure zerbitzariaren FQDNa definitu gabe geratzen bada.
Konfigurazio fitxategia /etc/firezone/firezone.rb helbidean dago. Ikusi konfigurazio-fitxategiaren erreferentzia konfigurazio-aldagaien zerrenda osoa eta haien deskribapenak ikusteko.
Firezone-k jada ez ditu gailuko gako pribatuak Firezone zerbitzarian gordetzen 0.3.0 bertsiotik aurrera.
Firezone Web UI-k ez dizu konfigurazio hauek berriro deskargatu edo ikusten utziko, baina dauden gailuek bere horretan jarraitu beharko lukete funtzionatzen.
Firezone 0.1.x bertsiotik eguneratzen ari bazara, eskuz zuzendu behar diren konfigurazio fitxategien aldaketa batzuk daude.
Zure /etc/firezone/firezone.rb fitxategian beharrezko aldaketak egiteko, exekutatu beheko komandoak root gisa.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['gaitu'\]/\['gaituta'\]/” /etc/firezone/firezone.rb
echo "default ['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb
echo "default ['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
firezone-ctl birkonfiguratu
firezone-ctl berrabiarazi
Firezone erregistroak egiaztatzea lehen urrats jakintsua da gerta daitezkeen arazoetarako.
Exekutatu sudo firezone-ctl tail Firezone erregistroak ikusteko.
Firezone-ren konexio-arazo gehienak iptables edo nftables arau bateraezinak dira. Ziurtatu behar duzu indarrean dituzun arauek Firezone arauekin bat egiten ez dutela.
Ziurtatu FORWARD kateak zure WireGuard bezeroetatik Firezone bidez utzi nahi dituzun kokapenetara paketeak baimentzen dituela zure Interneteko konexioa hondatzen bada WireGuard tunela aktibatzen duzun bakoitzean.
Hau ufw erabiltzen ari bazara lor daiteke bideratze-politika lehenetsia baimenduta dagoela ziurtatuz:
ubuntu@fz:~$ sudo ufw default allow routed
Bideratze-gidalerro lehenetsia "baimendu" gisa aldatu da
(ziurtatu zure arauak horren arabera eguneratzen dituzula)
A ufw Firezone zerbitzari tipiko baten egoera honelakoa izan daiteke:
ubuntu@fz:~$ sudo ufw egoera zehatza
Egoera: aktiboa
Saioa: aktibatuta (baxua)
Lehenetsia: ukatu (sarrera), baimendu (irteera), baimendu (bideratu)
Profil berriak: saltatu
Ekintzatik
— —— —-
22/tcp BAIMENDUA Edonon
80/tcp BAIMENDUA Edonon
443/tcp ONARTU Edonon
51820/udp BAIMENDUA Edonon
22/tcp (v6) BAIMENDUA Edonon SARTU (v6)
80/tcp (v6) BAIMENDUA Edonon SARTU (v6)
443/tcp (v6) BAIMENDUA Edonon SARTU (v6)
51820/udp (v6) BAIMENDUA Edonon SARTU (v6)
Web-interfazerako sarbidea mugatzea gomendatzen dugu produkzio-inplementazio oso sentikorrak eta misio-kritikoak direnetarako, behean azaltzen den moduan.
zerbitzua | Ataka lehenetsia | Entzun Helbidea | Deskribapena |
nginx | 80, 443 | guztiak | Firezone administratzeko eta autentifikazioa errazteko HTTP(S) ataka publikoa. |
alanbre babeslea | 51820 | guztiak | VPN saioetarako erabiltzen den WireGuard atak publikoa. (UDP) |
postgresql | 15432 | 127.0.0.1 | Postgresql zerbitzarian bildutako tokiko ataka soilik erabiltzen da. |
Phoenix | 13000 | 127.0.0.1 | Upstream elixir aplikazioaren zerbitzariak erabiltzen duen tokiko ataka soilik. |
Firezone-ren publikoki ikusgai dagoen web UI-rako sarbidea murriztea gomendatzen dizugu (443/tcp eta 80/tcp ataka lehenetsian) eta, horren ordez, WireGuard tunela erabiltzea Firezone kudeatzeko produkziorako eta publikoari begirako inplementazioetarako, non administratzaile bakarra arduratuko den. azken erabiltzaileei gailuen konfigurazioak sortzea eta banatzea.
Esate baterako, administratzaile batek gailuaren konfigurazioa sortu eta tunel bat sortuko balu WireGuard tokiko 10.3.2.2 helbidearekin, hurrengo ufw konfigurazio honek administratzaileak Firezone web UI-ra sartzeko aukera emango luke zerbitzariaren wg-firezone interfazean 10.3.2.1 lehenetsia erabiliz. tunelaren helbidea:
root@demo:~# ufw egoera zehatza
Egoera: aktiboa
Saioa: aktibatuta (baxua)
Lehenetsia: ukatu (sarrera), baimendu (irteera), baimendu (bideratu)
Profil berriak: saltatu
Ekintzatik
— —— —-
22/tcp BAIMENDUA Edonon
51820/udp BAIMENDUA Edonon
Edonon ONARTZEN 10.3.2.2
22/tcp (v6) BAIMENDUA Edonon SARTU (v6)
51820/udp (v6) BAIMENDUA Edonon SARTU (v6)
Honek bakarrik utziko luke 22/tcp zerbitzaria kudeatzeko SSH sarbidea izateko (aukerakoa), eta 51820/udp agerian WireGuard tunelak ezartzeko.
Firezone-k Postgresql zerbitzari bat eta parekatzea biltzen ditu psql Tokiko shell-etik erabil daitekeen erabilgarritasuna honela:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h host local \
-p 15432 \
-c "SQL_STATEMENT"
Hau lagungarria izan daiteke arazketa helburuetarako.
Zeregin arruntak:
Erabiltzaile guztien zerrenda:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h host local \
-p 15432 \
-c "HAUTATU * erabiltzaileetatik;"
Gailu guztien zerrenda:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h host local \
-p 15432 \
-c "HAUSTU * gailuetatik;"
Erabiltzaile rola aldatu:
Ezarri rola 'administratzailea' edo 'pribilegiorik gabeko' gisa:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h host local \
-p 15432 \
-c "EGUNERATU erabiltzaileak EZARRI rola = 'admin' WHERE posta elektronikoa = 'erabiltzailea@adibidea.com';"
Datu-basearen babeskopia egitea:
Gainera, pg dump programa sartzen da, datu-basearen ohiko babeskopiak egiteko erabil daitekeena. Exekutatu kode hau datu-basearen kopia bat SQL kontsulta formatuan ohikoa iraultzeko (ordeztu /path/to/backup.sql SQL fitxategia sortu behar den tokiarekin):
/opt/firezone/embedded/bin/pg_dump \
-U firezone \
-d firezone \
-h host local \
-p 15432 > /path/to/backup.sql
Firezone behar bezala zabaldu ondoren, erabiltzaileak gehitu behar dituzu zure sarerako sarbidea emateko. Web UI erabiltzen da horretarako.
/users azpian "Gehitu erabiltzailea" botoia hautatuta, erabiltzaile bat gehi dezakezu. Erabiltzaileari helbide elektronikoa eta pasahitza ematea eskatuko zaizu. Zure erakundeko erabiltzaileei automatikoki sarbidea ahalbidetzeko, Firezone-k identitate-hornitzaile batekin konektatu eta sinkroniza dezake. Xehetasun gehiago eskuragarri daude autentifikatu. < Gehitu esteka autentifikatzeko
Erabiltzaileek gailuen konfigurazio propioak sortzea eskatzea gomendatzen dugu, gako pribatua haiek bakarrik ikus dezaten. Erabiltzaileek gailuaren konfigurazio propioak sor ditzakete gailuko jarraibideak jarraituz Bezeroaren argibideak orrialdea.
Erabiltzaileen gailuen konfigurazio guztiak Firezone-ko administratzaileek sor ditzakete. /users helbidean dagoen erabiltzailearen profileko orrian, hautatu "Gehitu gailua" aukera hori lortzeko.
[Txertatu pantaila-argazkia]
Erabiltzaileari WireGuard konfigurazio fitxategia bidali diezaiokezu gailuaren profila sortu ondoren.
Erabiltzaileak eta gailuak lotuta daude. Erabiltzaile bat gehitzeko moduari buruzko xehetasun gehiago lortzeko, ikus Gehitu erabiltzaileak.
Nukleoaren netfilter sistemaren bidez, Firezone-k irteerak iragazteko gaitasunak ahalbidetzen ditu DROP edo ACCEPT paketeak zehazteko. Trafiko guztia baimenduta dago normalean.
IPv4 eta IPv6 CIDRak eta IP helbideak onartzen dira Allowzerren eta Denylisten bidez, hurrenez hurren. Erabiltzaile bati arau bat gehitzea aukera dezakezu, eta horrek araua erabiltzaile horren gailu guztietan aplikatzen du.
Instalatu eta konfiguratu
Jatorrizko WireGuard bezeroa erabiliz VPN konexio bat ezartzeko, ikusi gida hau.
Hemen kokatutako WireGuard bezero ofizialak Firezone bateragarriak dira:
Bisitatu WireGuard webgune ofiziala https://www.wireguard.com/install/ helbidean goian aipatu ez diren OS sistemetarako.
Firezone-ko administratzaileak edo zuk zeuk sor dezakezu gailuaren konfigurazio-fitxategia Firezone ataria erabiliz.
Bisitatu zure Firezone-ko administratzaileak eman duen URLa gailuaren konfigurazio-fitxategi bat sortzeko. Zure enpresak URL bakarra izango du horretarako; kasu honetan, https://instance-id.yourfirezone.com da.
Hasi saioa Firezone Okta SSO-n
[Txertatu pantaila-argazkia]
Inportatu.conf fitxategia WireGuard bezerora irekiz. Aktibatu etengailuari buelta emanez, VPN saio bat has dezakezu.
[Txertatu pantaila-argazkia]
Jarraitu beheko argibideak zure sare-administratzaileak behin eta berriz autentifikazioa eskatu badu zure VPN konexioa aktibo mantentzeko.
Behar duzu:
Firezone atariaren URLa: galdetu sare-administratzaileari konexioa.
Zure sareko administratzaileak zure saioa hasteko eta pasahitza eskaintzeko gai izan beharko luke. Firezone guneak zure enplegatzaileak erabiltzen duen saio-hasiera bakarreko zerbitzua erabiliz saioa hasteko eskatuko dizu (adibidez, Google edo Okta).
[Txertatu pantaila-argazkia]
Joan Firezone atariaren URLra eta hasi saioa zure sare-administratzaileak emandako kredentzialak erabiliz. Saioa hasita baduzu, egin klik Berriro autentifikatu botoian saioa hasi baino lehen.
[Txertatu pantaila-argazkia]
[Txertatu pantaila-argazkia]
WireGuard konfigurazio profila inportatzeko Network Manager CLI erabiliz Linux gailuetan, jarraitu argibide hauek (nmcli).
Profilak IPv6 euskarria gaituta badu, sareko kudeatzailearen GUI erabiliz konfigurazio-fitxategia inportatzen saiatzeak errore hau izan dezake:
ipv6.method: "auto" metodoa ez da WireGuard-en onartzen
Beharrezkoa da WireGuard erabiltzaile-espazioko utilitateak instalatzea. Linux banaketarako wireguard edo wireguard-tools izeneko paketea izango da.
Ubuntu/Debian-erako:
sudo apt instalatu wireguard
Fedora erabiltzeko:
sudo dnf instalatu wireguard-tools
Arch Linux:
sudo pacman -S wireguard-tools
Bisitatu WireGuard webgune ofiziala https://www.wireguard.com/install/ helbidean goian aipatzen ez diren banaketak ikusteko.
Zure Firezone administratzaileak edo auto-sorkuntzak gailuaren konfigurazio fitxategia sor dezake Firezone ataria erabiliz.
Bisitatu zure Firezone-ko administratzaileak eman duen URLa gailuaren konfigurazio-fitxategi bat sortzeko. Zure enpresak URL bakarra izango du horretarako; kasu honetan, https://instance-id.yourfirezone.com da.
[Txertatu pantaila-argazkia]
Inportatu emandako konfigurazio fitxategia nmcli erabiliz:
sudo nmcli konexio inportazio mota wireguard fitxategia /path/to/configuration.conf
Konfigurazio fitxategiaren izena WireGuard konexio/interfazeari dagokio. Inportatu ondoren, konexioa izena aldatu ahal izango da beharrezkoa izanez gero:
nmcli konexioa aldatu [izen zaharra] connection.id [izen berria]
Komando-lerroaren bidez, konektatu VPNra honela:
nmcli konexioa sortu [vpn izena]
Deskonektatzeko:
nmcli konexioa behera [vpn izena]
Sare-kudeatzailearen aplikazioa aplikagarria ere erabil daiteke konexioa kudeatzeko GUI bat erabiltzen baduzu.
Autokonektatzeko aukerarako "bai" hautatuz gero, VPN konexioa automatikoki konektatzeko konfigura daiteke:
nmcli konexioa aldatu [vpn izena] konexioa. <<<<<<<<<<<<<<<<<<<<<<<
konektatu automatikoa bai
Konexio automatikoa desgaitzeko, ezarri berriro ez gisa:
nmcli konexioa aldatu [vpn izena] konexioa.
autokonexio zk
MFA aktibatzeko Joan Firezone atariko /erabiltzaile kontua/erregistratu mfa orrira. Erabili zure autentifikatzailea aplikazioa QR kodea eskaneatzeko, sortu ondoren, eta idatzi sei digituko kodea.
Jarri zure administratzailearekin harremanetan zure konturako sarbide-informazioa berrezartzeko zure autentifikatzailearen aplikazioa galtzen baduzu.
Tutorial honek WireGuard-en zatitutako tunel-funtzioa Firezone-rekin konfiguratzeko prozesuan zehar gidatuko zaitu, VPN zerbitzariaren bidez IP barruti zehatzetarako trafikoa soilik birbidaltzeko.
Bezeroak sareko trafikoa bideratuko dituen IP barrutiak / ezarpenak / lehenetsitako orrialdean dagoen Baimendutako IP eremuan zehazten dira. Firezone-k sortutako WireGuard tunelaren konfigurazio sortu berriek soilik eragingo dute eremu honetan egindako aldaketek.
[Txertatu pantaila-argazkia]
Balio lehenetsia 0.0.0.0/0 da, ::/0, sareko trafiko guztia bezerotik VPN zerbitzarira bideratzen duena.
Eremu honetako balioen adibideak hauek dira:
0.0.0.0/0, ::/0 – sareko trafiko guztia VPN zerbitzarira bideratuko da.
192.0.2.3/32 - IP helbide bakarreko trafikoa soilik bideratuko da VPN zerbitzarira.
3.5.140.0/22 - 3.5.140.1 - 3.5.143.254 barrutian dauden IPetarako trafikoa soilik bideratuko da VPN zerbitzarira. Adibide honetan, ap-northeast-2 AWS eskualderako CIDR barrutia erabili da.
Firezone-k ibilbide zehatzenarekin erlazionatutako irteera-interfazea hautatzen du lehenik pakete bat non bideratu zehazten duenean.
Erabiltzaileek konfigurazio fitxategiak birsortu eta beren jatorrizko WireGuard bezeroari gehitu behar dituzte lehendik dauden erabiltzaileen gailuak zatitutako tunelaren konfigurazio berriarekin eguneratzeko.
Argibideak lortzeko, ikusi gehitu gailua. <<<<<<<<<<< Gehitu esteka
Eskuliburu honek Firezone errele gisa erabiliz bi gailu nola lotu erakutsiko du. Erabilera-kasu tipiko bat administratzaile bati NAT edo suebaki batek babestuta dagoen zerbitzari, edukiontzi edo makina batera sartzeko gaitzea da.
Ilustrazio honek A eta B gailuek tunel bat eraikitzen duten agertoki zuzen bat erakusten du.
[Txertatu firezone argazki arkitektonikoa]
Hasi A eta B gailua sortuz /users/[user_id]/new_device-ra nabigatuz. Gailu bakoitzaren ezarpenetan, ziurtatu ondoko parametroak behean zerrendatutako balioekin ezarrita daudela. Gailuaren ezarpenak ezar ditzakezu gailuaren konfigurazioa sortzean (ikus Gehitu gailuak). Lehendik dagoen gailu batean ezarpenak eguneratu behar badituzu, egin dezakezu gailuaren konfigurazio berri bat sortuz.
Kontuan izan gailu guztiek /ezarpenak/defaults orri bat dutela, non PersistentKeepalive konfiguratu daitekeen.
Baimendutako IPak = 10.3.2.2/32
Hau da B gailuaren IP edo IP sorta
PersistentKeepalive = 25
Gailua NAT baten atzean badago, gailuak tunela bizirik mantentzeko eta WireGuard interfazetik paketeak jasotzen jarraituko duela ziurtatzen du. Normalean 25 balio bat nahikoa da, baina baliteke balio hori murriztu behar izatea zure ingurunearen arabera.
Baimendutako IPak = 10.3.2.3/32
Hau da A gailuaren IP edo IP sorta
PersistentKeepalive = 25
Adibide honek A gailuak B eta D gailuekin bi noranzkoetan komunikatu dezakeen egoera erakusten du. Konfigurazio honek sare ezberdinetan baliabide ugari (zerbitzariak, edukiontziak edo makinak) atzitzen dituen ingeniari edo administratzaile bat irudika dezake.
[Arkitektura-diagrama]<<<<<<<<<<<<<<<<<<<<<<<
Ziurtatu ezarpen hauek gailu bakoitzaren ezarpenetan dagozkion balioekin eginda daudela. Gailuaren konfigurazioa sortzerakoan, gailuaren ezarpenak zehaztu ditzakezu (ikus Gehitu gailuak). Gailuaren konfigurazio berri bat sor daiteke lehendik dagoen gailu bateko ezarpenak eguneratu behar badira.
Baimendutako IPak = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Hau da B eta D bitarteko gailuen IPa. B eta D bitarteko gailuen IPak ezarri nahi dituzun IP barrutietan sartu behar dira.
PersistentKeepalive = 25
Honek bermatzen du gailuak tunela mantendu eta WireGuard interfazetik paketeak jasotzen jarrai dezakeela NAT batek babestuta egon arren. Kasu gehienetan, 25 balio bat egokia da, hala ere, zure inguruaren arabera, baliteke zifra hori jaitsi behar izatea.
Irteera IP estatiko bakarra eskaintzeko zure taldearen trafiko guztia kanpora ateratzeko, Firezone NAT atebide gisa erabil daiteke. Egoera hauek maiz erabiltzea dakar:
Aholkularitza-konpromisoak: eskatu zure bezeroak IP helbide estatiko bakar bat zerrenda zuria dezala langile bakoitzaren gailuaren IP bakarra baino.
Proxy bat erabiltzea edo zure iturburu IP ezkutatzea segurtasun edo pribatutasun helburuetarako.
Norberak ostatutako web aplikazio baterako sarbidea Firezone exekutatzen duen zerrenda zuriko IP estatiko bakar batera mugatzeko adibide sinple bat erakutsiko da argitalpen honetan. Ilustrazio honetan, Firezone eta babestutako baliabidea VPC eremu desberdinetan daude.
Irtenbide hau maiz erabiltzen da azken erabiltzaile ugariren IP zerrenda zuria kudeatzeko ordez, eta horrek denbora asko behar du sarbide zerrenda zabaltzen den heinean.
Gure helburua da Firezone zerbitzari bat konfiguratzea EC2 instantzia batean VPN trafikoa baliabide mugatuetara birbideratzeko. Kasu honetan, Firezone sareko proxy edo NAT atebide gisa balio du konektatutako gailu bakoitzari irteera-IP publiko bakarra emateko.
Kasu honetan, tc2.micro izeneko EC2 instantzia batek Firezone instantzia bat dauka instalatuta. Firezone inplementatzeari buruzko informazioa lortzeko, joan Inplementazio-gidara. AWS-ri dagokionez, ziurtatu:
Firezone EC2 instantziaren segurtasun taldeak irteerako trafikoa baimentzen du babestutako baliabidearen IP helbidera.
Firezone instantzia IP elastiko batekin dator. Firezone instantziaren bidez kanpoko helmugetara birbidaltzen den trafikoak hau izango du iturburuko IP helbide gisa. Aipatutako IP helbidea 52.202.88.54 da.
[Txertatu pantaila-argazkia]<<<<<<<<<<<<<<<<<<<<<<<<<
Auto-ostatatutako web-aplikazio batek babestutako baliabide gisa balio du kasu honetan. Web aplikaziora 52.202.88.54 IP helbidetik datozen eskaeren bidez soilik sar daiteke. Baliabidearen arabera, beharrezkoa izan daiteke sarrerako trafikoa baimentzea hainbat portu eta trafiko motatan. Hori ez da eskuliburu honetan jasotzen.
[Txertatu pantaila-argazkia]<<<<<<<<<<<<<<<<<<<<<<<<<
Mesedez, esan babestutako baliabidearen ardura duen hirugarrenari 1. urratsean definitutako IP estatikoko trafikoa baimendu behar dela (kasu honetan 52.202.88.54).
Lehenespenez, erabiltzailearen trafiko guztia VPN zerbitzaritik igaroko da eta 1. urratsean konfiguratu zen IP estatikotik etorriko da (kasu honetan 52.202.88.54). Hala ere, tunel zatitua gaituta badago, baliteke ezarpenak beharrezkoak izatea babestutako baliabidearen helmuga IP Baimendutako IPen artean zerrendatuta dagoela ziurtatzeko.
Jarraian eskuragarri dauden konfigurazio aukeren zerrenda osoa erakusten da /etc/firezone/firezone.rb.
aukera | deskribapena | balio lehenetsia |
lehenetsia['firezone']['external_url'] | Firezone instantzia honen web atarira sartzeko erabiltzen den URLa. | “https://#{nodoa['fqdn'] || nodo ['ostalari izena']}” |
lehenetsia['firezone']['config_directory'] | Firezone konfiguraziorako goi-mailako direktorioa. | /etc/firezone' |
lehenetsia['firezone']['install_directory'] | Firezone instalatzeko goi-mailako direktorioa. | /aukeratu/firezone' |
lehenetsia['firezone']['app_directory'] | Firezone web aplikazioa instalatzeko goi-mailako direktorioa. | "#{nodo['firezone']['install_directory']}/embedded/service/firezone" |
lehenetsia['firezone']['log_directory'] | Firezone erregistroetarako goi-mailako direktorioa. | /var/log/firezone' |
lehenetsia['firezone']['var_directory'] | Firezone exekutatzeko fitxategien goi-mailako direktorioa. | /var/opt/firezone' |
lehenetsia['firezone']['erabiltzailea'] | Pribilegiorik gabeko Linux erabiltzailearen izena zerbitzu eta fitxategi gehienak izango dira. | su eremua' |
lehenetsia['firezone']['taldea'] | Zerbitzu eta fitxategi gehienak izango diren Linux taldearen izena. | su eremua' |
lehenetsia['firezone']['admin_email'] | Firezone hasierako erabiltzailearen helbide elektronikoa. | "firezone@localhost" |
lehenetsia['firezone']['max_devices_per_user'] | Erabiltzaile batek izan ditzakeen gehienezko gailu kopurua. | 10 |
lehenetsia['firezone']['allow_unprivileged_device_management'] | Administratzaileak ez diren erabiltzaileei gailuak sortzeko eta ezabatzeko aukera ematen die. | TRUE |
lehenetsia['firezone']['allow_unprivileged_device_configuration'] | Administratzaileak ez diren erabiltzaileei gailuaren konfigurazioak aldatzeko aukera ematen die. Desgaituta dagoenean, pribilegiorik gabeko erabiltzaileei gailuaren eremu guztiak aldatzea eragozten die izena eta deskribapena izan ezik. | TRUE |
lehenetsia['firezone']['egress_interface'] | Tunel bidezko trafikoa irtengo den interfazearen izena. Ez bada, bide-interfaze lehenetsia erabiliko da. | nil |
lehenetsia['firezone']['fips_enabled'] | Gaitu edo desgaitu OpenSSL FIP modua. | nil |
lehenetsia['firezone']['erregistroa']['gaituta'] | Gaitu edo desgaitu saioa Firezone-n. Ezarri false gisa erregistroa guztiz desgaitzeko. | TRUE |
lehenetsia['enpresa']['izena'] | Chef 'enpresa' sukaldaritza liburuak erabiltzen duen izena. | su eremua' |
lehenetsia['firezone']['install_path'] | Instalatu Chef 'enterprise' sukaldaritza liburuak erabiltzen duen bidea. Goiko instalazio_direktorioaren berdina ezarri behar da. | nodo ['firezone']['install_directory'] |
lehenetsia['firezone']['sysvinit_id'] | /etc/inittab-en erabiltzen den identifikatzaile bat. 1-4 karaktereko sekuentzia berezia izan behar du. | SUP' |
lehenetsia['firezone']['autentifikazioa']['lokal']['gaituta'] | Gaitu edo desgaitu tokiko posta elektronikoa/pasahitz autentifikazioa. | TRUE |
lehenetsia['firezone']['authentication']['auto_create_oidc_users'] | Sortu automatikoki lehen aldiz OIDCtik saioa hasten duten erabiltzaileak. Desgaitu lehendik dauden erabiltzaileei soilik OIDC bidez saioa hastea baimentzeko. | TRUE |
lehenetsia['firezone']['authentication']['disable_vpn_on_oidc_error'] | Desgaitu erabiltzailearen VPNa bere OIDC tokena freskatzen saiatzean errore bat hautematen bada. | FALSE |
lehenetsia['firezone']['autentifikazioa']['oidc'] | OpenID Connect konfigurazioa, {“hornitzailea” => [konfigurazioa…]} formatuan – Ikus OpenIDConnect dokumentazioa konfigurazio adibideetarako. | {} |
lehenetsia['firezone']['nginx']['gaituta'] | Gaitu edo desgaitu nginx zerbitzaria. | TRUE |
lehenetsia['firezone']['nginx']['ssl_port'] | HTTPS entzuteko ataka. | 443 |
lehenetsia['firezone']['nginx']['direktorioa'] | Firezone-rekin erlazionatutako nginx ostalari birtualaren konfigurazioa gordetzeko direktorioa. | "#{nodo['firezone']['var_directory']}/nginx/etc" |
lehenetsia['firezone']['nginx']['log_directory'] | Firezone-rekin erlazionatutako nginx erregistro-fitxategiak gordetzeko direktorioa. | "#{nodo['firezone']['log_directory']}/nginx" |
lehenetsia['firezone']['nginx']['log_rotation']['file_maxbytes'] | Nginx erregistro-fitxategiak biratzeko fitxategiaren tamaina. | 104857600 |
lehenetsia['firezone']['nginx']['log_rotation']['num_to_keep'] | Baztertu aurretik gorde beharreko Firezone nginx erregistro-fitxategi kopurua. | 10 |
lehenetsia['firezone']['nginx']['log_x_forwarded_for'] | Firezone nginx x-forwarded-for goiburua erregistratu ala ez. | TRUE |
lehenetsia['firezone']['nginx']['hsts_header']['gaituta'] | TRUE | |
lehenetsia['firezone']['nginx']['hsts_header']['include_subdomains'] | Gaitu edo desgaitu includeSubDomains HSTS goibururako. | TRUE |
lehenetsia['firezone']['nginx']['hsts_header']['max_age'] | HSTS goiburuaren gehienezko adina. | 31536000 |
lehenetsia['firezone']['nginx']['redirect_to_canonical'] | URLak goian zehaztutako FQDN kanonikora birbideratu behar diren ala ez | FALSE |
lehenetsia['firezone']['nginx']['cache']['gaituta'] | Gaitu edo desgaitu Firezone nginx cachea. | FALSE |
lehenetsia['firezone']['nginx']['cache']['direktorioa'] | Firezone nginx cacherako direktorioa. | "#{nodo['firezone']['var_directory']}/nginx/cache" |
lehenetsia['firezone']['nginx']['erabiltzailea'] | Firezone nginx erabiltzailea. | nodo ['firezone']['erabiltzailea'] |
lehenetsia['firezone']['nginx']['taldea'] | Firezone nginx taldea. | nodo ['firezone']['taldea'] |
lehenetsia['firezone']['nginx']['dir'] | Goi-mailako nginx konfigurazio direktorioa. | nodo ['firezone']['nginx']['direktorioa'] |
lehenetsia['firezone']['nginx']['log_dir'] | Goi-mailako nginx erregistro-direktorioa. | nodo ['firezone']['nginx']['log_directory'] |
lehenetsia['firezone']['nginx']['pid'] | nginx pid fitxategiaren kokapena. | "#{nodoa['firezone']['nginx']['direktorioa']}/nginx.pid" |
lehenetsia['firezone']['nginx']['daemon_disable'] | Desgaitu nginx daemon modua, horren ordez kontrolatu ahal izateko. | TRUE |
lehenetsia['firezone']['nginx']['gzip'] | Aktibatu edo desaktibatu nginx gzip konpresioa. | on ' |
lehenetsia['firezone']['nginx']['gzip_static'] | Aktibatu edo desaktibatu nginx gzip konpresioa fitxategi estatikoetarako. | itzali' |
lehenetsia['firezone']['nginx']['gzip_http_version'] | Fitxategi estatikoak hornitzeko erabili beharreko HTTP bertsioa. | 1.0 ' |
lehenetsia['firezone']['nginx']['gzip_comp_level'] | nginx gzip konpresio maila. | 2 ' |
lehenetsia['firezone']['nginx']['gzip_proxied'] | Proxiatutako eskaeren erantzunen gzipping gaitu edo desgaitzen du eskaeraren eta erantzunaren arabera. | edozein' |
lehenetsia['firezone']['nginx']['gzip_vary'] | "Aldatu: Onartu-Kodeketa" erantzunaren goiburua txertatzea gaitu edo desgaitzen du. | itzali' |
lehenetsia['firezone']['nginx']['gzip_buffers'] | Erantzun bat konprimitzeko erabilitako buffer kopurua eta tamaina ezartzen du. Nil bada, nginx lehenetsia erabiltzen da. | nil |
lehenetsia['firezone']['nginx']['gzip_types'] | MIME motak gzip konpresioa gaitzeko. | ['testua/lautada', 'testua/css', 'aplikazioa/x-javascript', 'testua/xml', 'aplikazioa/xml', 'aplikazioa/rss+xml', 'aplikazioa/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
lehenetsia['firezone']['nginx']['gzip_min_length'] | Fitxategiaren gutxieneko luzera gzip konpresioa gaitzeko. | 1000 |
lehenetsia['firezone']['nginx']['gzip_disable'] | Erabiltzaile-agentearen parekatzea gzip konpresioa desgaitzeko. | MSIE [1-6]\.' |
lehenetsia['firezone']['nginx']['keepalive'] | Upstream zerbitzariekin konektatzeko cachea aktibatzen du. | on ' |
lehenetsia['firezone']['nginx']['keepalive_timeout'] | Denbora-muga segundotan gorako zerbitzariekin konektatzeko. | 65 |
lehenetsia['firezone']['nginx']['worker_processes'] | Nginx langile-prozesuen kopurua. | nodo['cpu'] && nodo['cpu']['guztira'] ? nodo ['cpu']['guztira'] : 1 |
lehenetsia['firezone']['nginx']['worker_connections'] | Langile prozesu batek ireki ditzakeen aldibereko konexioen gehienezko kopurua. | 1024 |
lehenetsia['firezone']['nginx']['worker_rlimit_nofile'] | Langile-prozesuen gehienezko fitxategi-kopuruaren muga aldatzen du. Nginx lehenetsia erabiltzen du nil bada. | nil |
lehenetsia['firezone']['nginx']['multi_accept'] | Langileek aldi berean konexio bat edo anitz onartu behar duten. | TRUE |
lehenetsia['firezone']['nginx']['gertaera'] | Nginx gertaeren testuinguruan erabiltzeko konexioa prozesatzeko metodoa zehazten du. | epela' |
lehenetsia['firezone']['nginx']['server_tokens'] | Errore-orrietan eta "Zerbitzaria" erantzunen goiburuko eremuan nginx bertsioa igortzea gaitzen edo desgaitzen du. | nil |
lehenetsia['firezone']['nginx']['server_names_hash_bucket_size'] | Zerbitzarien izenen hash-taulen kuboaren tamaina ezartzen du. | 64 |
lehenetsia['firezone']['nginx']['sendfile'] | Nginx-en sendfile() erabiltzea gaitzen edo desgaitzen du. | on ' |
lehenetsia['firezone']['nginx']['access_log_options'] | nginx sarbide-erregistroaren aukerak ezartzen ditu. | nil |
lehenetsia['firezone']['nginx']['error_log_options'] | Nginx errore-erregistroaren aukerak ezartzen ditu. | nil |
lehenetsia['firezone']['nginx']['disable_access_log'] | Nginx sarbide-erregistroa desgaitzen du. | FALSE |
lehenetsia['firezone']['nginx']['types_hash_max_size'] | nginx motak hash gehienezko tamaina. | 2048 |
lehenetsia['firezone']['nginx']['types_hash_bucket_size'] | nginx motak hash bucket tamaina. | 64 |
lehenetsia['firezone']['nginx']['proxy_read_timeout'] | nginx proxy irakurtzeko denbora-muga. Ezarri nul gisa nginx lehenetsia erabiltzeko. | nil |
lehenetsia['firezone']['nginx']['client_body_buffer_size'] | nginx bezeroaren gorputzaren buffer tamaina. Ezarri nul gisa nginx lehenetsia erabiltzeko. | nil |
lehenetsia['firezone']['nginx']['client_max_body_size'] | nginx bezeroaren gehienezko gorputzaren tamaina. | 250 m' |
lehenetsia['firezone']['nginx']['lehenetsia']['moduluak'] | Zehaztu nginx modulu gehigarriak. | [] |
lehenetsia['firezone']['nginx']['enable_rate_limiting'] | Gaitu edo desgaitu nginx tasa mugatzea. | TRUE |
lehenetsia['firezone']['nginx']['rate_limiting_zone_name'] | Nginx tasa mugatzeko zonaren izena. | su eremua' |
lehenetsia['firezone']['nginx']['rate_limiting_backoff'] | Nginx tasa atzerapena mugatzen du. | 10 m' |
lehenetsia['firezone']['nginx']['rate_limit'] | Nginx tasaren muga. | 10r/s' |
lehenetsia['firezone']['nginx']['ipv6'] | Baimendu nginx-ek IPv6-rako HTTP eskaerak entzuteko IPv4az gain. | TRUE |
lehenetsia['firezone']['postgresql']['gaituta'] | Gaitu edo desgaitu bildutako Postgresql. Ezarri false gisa eta bete beheko datu-basearen aukerak zure Postgresql instantzia erabiltzeko. | TRUE |
lehenetsia['firezone']['postgresql']['erabiltzaile izena'] | Postgresql-ren erabiltzaile-izena. | nodo ['firezone']['erabiltzailea'] |
lehenetsia['firezone']['postgresql']['data_directory'] | Postgresql datuen direktorioa. | "#{nodo['firezone']['var_directory']}/postgresql/13.3/data" |
lehenetsia['firezone']['postgresql']['log_directory'] | Postgresql erregistro-direktorioa. | "#{nodo['firezone']['log_directory']}/postgresql" |
lehenetsia['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql erregistro-fitxategiaren gehienezko tamaina biratu aurretik. | 104857600 |
lehenetsia['firezone']['postgresql']['log_rotation']['num_to_keep'] | Gorde beharreko Postgresql erregistro-fitxategi kopurua. | 10 |
lehenetsia['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql kontrol-puntua osatzeko helburua. | 0.5 |
lehenetsia['firezone']['postgresql']['checkpoint_segments'] | Postgresql checkpoint segmentu kopurua. | 3 |
lehenetsia['firezone']['postgresql']['checkpoint_timeout'] | Postgresql checkpoint denbora-muga. | 5 minutu |
lehenetsia['firezone']['postgresql']['checkpoint_warning'] | Postgresql checkpoint abisu-denbora segundotan. | 30eko hamarkada |
lehenetsia['firezone']['postgresql']['effective_cache_size'] | Postgresql cachearen tamaina eraginkorra. | 128 MB' |
lehenetsia['firezone']['postgresql']['listen_address'] | Postgresql entzuteko helbidea. | 127.0.0.1 ' |
lehenetsia['firezone']['postgresql']['max_connections'] | Postgresql max konexioak. | 350 |
lehenetsia['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRak md5 autentifikazioa ahalbidetzeko. | ['127.0.0.1/32', '::1/128'] |
lehenetsia['firezone']['postgresql']['ataka'] | Postgresql entzuteko ataka. | 15432 |
lehenetsia['firezone']['postgresql']['shared_buffers'] | Postgresql-ek partekatutako bufferen tamaina. | "#{(nodoa['memoria']['guztira'].to_i / 4) / 1024}MB" |
lehenetsia['firezone']['postgresql']['shmmax'] | Postgresql shmmax bytetan. | 17179869184 |
lehenetsia['firezone']['postgresql']['shmall'] | Postgresql shmall bytetan. | 4194304 |
lehenetsia['firezone']['postgresql']['work_mem'] | Postgresql laneko memoriaren tamaina. | 8 MB' |
lehenetsia['firezone']['database']['erabiltzailea'] | Firezone-k DB-ra konektatzeko erabiliko duen erabiltzaile-izena zehazten du. | nodo ['firezone']['postgresql']['erabiltzaile izena'] |
lehenetsia['firezone']['datu-basea']['pasahitza'] | Kanpoko DB bat erabiltzen baduzu, Firezone-k DBra konektatzeko erabiliko duen pasahitza zehazten du. | Alda nazazu' |
lehenetsia['firezone']['database']['izena'] | Firezonek erabiliko duen datu-basea. Existitzen ez bada sortuko da. | su eremua' |
lehenetsia['firezone']['database']['host'] | Firezone konektatuko den datu-base ostalaria. | nodo ['firezone']['postgresql']['listen_address'] |
lehenetsia['firezone']['database']['ataka'] | Firezone konektatuko den datu-basearen ataka. | nodo ['firezone']['postgresql']['ataka'] |
lehenetsia['firezone']['database']['pool'] | Firezone-k datu-baseen igerilekuaren tamaina erabiliko du. | [10, etab.nprozesadoreak].max |
lehenetsia['firezone']['database']['ssl'] | Datu-basera SSL bidez konektatu behar den. | FALSE |
lehenetsia['firezone']['database']['ssl_opts'] | {} | |
lehenetsia['firezone']['datu-basea']['parametroak'] | {} | |
lehenetsia['firezone']['database']['extensions'] | Datu-basearen luzapenak gaitzeko. | { 'plpgsql' => egia, 'pg_trgm' => egia } |
lehenetsia['firezone']['phoenix']['gaituta'] | Gaitu edo desgaitu Firezone web aplikazioa. | TRUE |
lehenetsia['firezone']['phoenix']['listen_address'] | Firezone web aplikazioaren entzuteko helbidea. Hau izango da nginx-ek proxy-k ematen duen gorako entzuteko helbidea. | 127.0.0.1 ' |
lehenetsia['firezone']['phoenix']['portu'] | Firezone web aplikazioaren entzuteko ataka. Hau izango da nginx-ek proxy-a egiten duen upstream ataka. | 13000 |
lehenetsia['firezone']['phoenix']['log_directory'] | Firezone web aplikazioen erregistro direktorioa. | "#{nodo['firezone']['log_directory']}/phoenix" |
lehenetsia['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone web aplikazioaren erregistro-fitxategiaren tamaina. | 104857600 |
lehenetsia['firezone']['phoenix']['log_rotation']['num_to_keep'] | Gorde beharreko Firezone web aplikazioen erregistro-fitxategi kopurua. | 10 |
lehenetsia['firezone']['phoenix']['crash_detection']['gaituta'] | Gaitu edo desgaitu Firezone web aplikazioa kentzea hutsegite bat hautematen denean. | TRUE |
lehenetsia['firezone']['phoenix']['external_trusted_proxies'] | IP eta/edo CIDR array gisa formateatutako alderantzizko proxy fidagarrien zerrenda. | [] |
lehenetsia['firezone']['phoenix']['pribatu_bezero'] | Sare pribatuko HTTP bezeroen zerrenda, IP eta/edo CIDR array formateatua. | [] |
lehenetsia['firezone']['wireguard']['gaituta'] | Gaitu edo desgaitu WireGuard-en kudeaketa. | TRUE |
lehenetsia['firezone']['wireguard']['log_directory'] | WireGuard kudeatzeko erregistro-direktorioa. | "#{nodo['firezone']['log_directory']}/wireguard" |
lehenetsia['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard erregistro-fitxategiaren gehienezko tamaina. | 104857600 |
lehenetsia['firezone']['wireguard']['log_rotation']['num_to_keep'] | Gorde beharreko WireGuard erregistro-fitxategi kopurua. | 10 |
lehenetsia['firezone']['wireguard']['interface_name'] | WireGuard interfazearen izena. Parametro hau aldatzeak VPN konexioa aldi baterako galtzea eragin dezake. | wg-firezone' |
lehenetsia['firezone']['wireguard']['ataka'] | WireGuard entzuteko ataka. | 51820 |
lehenetsia['firezone']['wireguard']['mtu'] | WireGuard interfaze MTU zerbitzari honetarako eta gailuen konfigurazioetarako. | 1280 |
lehenetsia['firezone']['wireguard']['endpoint'] | WireGuard Endpoint gailuaren konfigurazioak sortzeko erabiltzeko. Ez bada, zerbitzariaren IP helbide publikoa lehenesten du. | nil |
lehenetsia['firezone']['wireguard']['dns'] | Sortutako gailuen konfigurazioetarako erabiltzeko WireGuard DNS. | 1.1.1.1, 1.0.0.1′ |
lehenetsia['firezone']['wireguard']['allowed_ips'] | Sortutako gailuen konfigurazioetarako erabiltzeko WireGuard AllowedIPs. | 0.0.0.0/0, ::/0′ |
lehenetsia['firezone']['wireguard']['persistent_keepalive'] | Sortutako gailuen konfigurazioetarako PersistentKeepalive ezarpen lehenetsia. 0 balio batek desgaitu egiten du. | 0 |
lehenetsia['firezone']['wireguard']['ipv4']['gaituta'] | Gaitu edo desgaitu IPv4 WireGuard sarerako. | TRUE |
lehenetsia['firezone']['wireguard']['ipv4']['masquerade'] | Gaitu edo desgaitu maskaradak IPv4 tuneletik irteten diren paketeetarako. | TRUE |
lehenetsia['firezone']['wireguard']['ipv4']['sarea'] | WireGuard sareko IPv4 helbide multzoa. | 10.3.2.0/24 ′ |
lehenetsia['firezone']['wireguard']['ipv4']['helbidea'] | WireGuard interfazearen IPv4 helbidea. WireGuard helbide multzoan egon behar du. | 10.3.2.1 ' |
lehenetsia['firezone']['wireguard']['ipv6']['gaituta'] | Gaitu edo desgaitu IPv6 WireGuard sarerako. | TRUE |
lehenetsia['firezone']['wireguard']['ipv6']['masquerade'] | Gaitu edo desgaitu maskaradak IPv6 tuneletik irteten diren paketeetarako. | TRUE |
lehenetsia['firezone']['wireguard']['ipv6']['sarea'] | WireGuard sareko IPv6 helbide multzoa. | fd00::3:2:0/120′ |
lehenetsia['firezone']['wireguard']['ipv6']['helbidea'] | WireGuard interfazearen IPv6 helbidea. IPv6 helbide multzoan egon behar du. | fd00::3:2:1′ |
lehenetsia['firezone']['runit']['svlogd_bin'] | Runit svlogd bin kokapena. | "#{nodo['firezone']['install_directory']}/embedded/bin/svlogd" |
lehenetsia['firezone']['ssl']['direktorioa'] | Sortutako ziurtagiriak gordetzeko SSL direktorioa. | /var/opt/firezone/ssl' |
lehenetsia['firezone']['ssl']['email_address'] | Norberak sinatutako ziurtagirietarako eta ACME protokoloa berritzeko jakinarazpenetarako erabiltzeko helbide elektronikoa. | zu@adibidea.com' |
lehenetsia['firezone']['ssl']['acme']['gaituta'] | Gaitu ACME SSL ziurtagiri automatikoa hornitzeko. Desgaitu hau Nginx-ek 80 atakan entzutea saihesteko. Ikus hemen argibide gehiagorako. | FALSE |
lehenetsia['firezone']['ssl']['acme']['zerbitzaria'] | letsencrypt | |
lehenetsia['firezone']['ssl']['acme']['keylength'] | ec-256 | |
lehenetsia['firezone']['ssl']['ziurtagiria'] | Zure FQDNrako ziurtagiri fitxategirako bidea. Goiko ACME ezarpena gainidazten du zehazten bada. Bi ACME eta hau hutsik badaude autosinatutako ziurtagiri bat sortuko da. | nil |
lehenetsia['firezone']['ssl']['certificate_key'] | Ziurtagiriaren fitxategirako bidea. | nil |
lehenetsia['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nil |
lehenetsia['firezone']['ssl']['country_name'] | Norberak sinatutako ziurtagiriaren herrialdearen izena. | AEB' |
lehenetsia['firezone']['ssl']['state_name'] | Norberak sinatutako ziurtagiriaren izena adierazi. | CA ' |
lehenetsia['firezone']['ssl']['locality_name'] | Autosinatutako ziurtagiriaren lokalaren izena. | San Frantzisko' |
lehenetsia['firezone']['ssl']['company_name'] | Enpresaren izena norberak sinatutako ziurtagiria. | Nire konpainia' |
lehenetsia['firezone']['ssl']['organizational_unit_name'] | Norberak sinatutako ziurtagiriaren erakunde-unitatearen izena. | Eragiketak' |
lehenetsia['firezone']['ssl']['zifratuak'] | Nginx erabiltzeko SSL zifraketak. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
lehenetsia['firezone']['ssl']['fips_ciphers'] | SSL zifraketak FIP modurako. | FIPS@STRENGTH:!aNULL:!eNULL' |
lehenetsia['firezone']['ssl']['protokoloak'] | Erabili beharreko TLS protokoloak. | TLSv1 TLSv1.1 TLSv1.2′ |
lehenetsia['firezone']['ssl']['session_cache'] | SSL saioen cachea. | partekatua:SSL:4m' |
lehenetsia['firezone']['ssl']['session_timeout'] | SSL saioaren denbora-muga. | 5 m' |
lehenetsia['firezone']['robots_allow'] | nginx robotek onartzen dute. | /' |
lehenetsia['firezone']['robots_disallow'] | nginx robotek ez dute onartzen. | nil |
lehenetsia['firezone']['outbound_email']['tik'] | Helbidetik irteerako mezu elektronikoa. | nil |
lehenetsia['firezone']['outbound_email']['hornitzailea'] | Irteerako posta elektronikoko zerbitzu hornitzailea. | nil |
lehenetsia['firezone']['outbound_email']['configs'] | Irteerako posta-hornitzailearen konfigurazioak. | ikusi omnibus/cookbooks/firezone/attributes/default.rb |
lehenetsia['firezone']['telemetria']['gaituta'] | Gaitu edo desgaitu anonimizatutako produktuen telemetria. | TRUE |
lehenetsia['firezone']['connectivity_checks']['gaituta'] | Gaitu edo desgaitu Firezone konexio-egiaztapenen zerbitzua. | TRUE |
lehenetsia['firezone']['connectivity_checks']['tartea'] | Konektibitate-egiaztapenen arteko tartea segundotan. | 3_600 |
________________________________________________________________
Hemen Firezone instalazio tipiko batekin lotutako fitxategi eta direktorioen zerrenda aurkituko duzu. Hauek zure konfigurazio fitxategian egindako aldaketen arabera alda daitezke.
bidea | deskribapena |
/var/opt/firezone | Firezone zerbitzuen sortarako datuak eta sortutako konfigurazioa dituen goi-mailako direktorioa. |
/opt/firezone | Firezone-k behar dituen liburutegiak, bitarrak eta exekuzio denborako fitxategiak dituen goi-mailako direktorioa. |
/usr/bin/firezone-ctl | firezone-ctl zure Firezone instalazioa kudeatzeko erabilgarritasuna. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd unitate fitxategia Firezone runsvdir gainbegiratzaile prozesua abiarazteko. |
/etc/firezone | Firezone konfigurazio fitxategiak. |
__________________________________________________________
Orrialde hau hutsik zegoen dokumentuetan
_____________________________________________________________
Ondorengo nftables suebaki txantiloia erabil daiteke Firezone exekutatzen duen zerbitzaria ziurtatzeko. Txantiloiak hipotesi batzuk egiten ditu; Baliteke arauak zure erabilera kasurako egokitu behar izatea:
Firezone-k bere nftables arauak konfiguratzen ditu web interfazean konfiguratutako helmugetarako trafikoa baimentzeko/baztertzeko eta bezeroen trafikorako irteerako NAT kudeatzeko.
Beheko suebaki txantiloia dagoeneko martxan dagoen zerbitzari batean (ez abiaraztean) aplikatuz gero, Firezone arauak garbituko dira. Horrek segurtasun ondorioak izan ditzake.
Hau konpontzeko, berrabiarazi phoenix zerbitzua:
firezone-ctl berrabiarazi Phoenix
#!/usr/sbin/nft -f
## Garbitu/garbitu lehendik dauden arau guztiak
hustu arau-multzoa
############################### ALDAKARRIAK ################# ###############
## Internet/WAN interfazearen izena
definitu DEV_WAN = eth0
## WireGuard interfazearen izena
definitu DEV_WIREGUARD = wg-firezone
## WireGuard entzuteko ataka
definitu WIREGUARD_PORT = 51820
############################# ALDAGAIAK BUKAERA ################## ############
# Inet familiaren iragazketa taula nagusia
taula inet iragazkia {
# Bidalitako trafikorako arauak
# Kate hau Firezone aurrerapen katearen aurretik prozesatzen da
katea aurrera {
mota iragazkia amua aurrera lehentasunezko iragazkia - 5; politika onartu
}
# Sarrerako trafikorako arauak
kate sarrera {
motako iragazkia hook sarrerako lehentasun-iragazkia; politika jaitsiera
## Baimendu sarrerako trafikoa loopback interfazera
bada \
onartu \
duzu "Baimendu trafiko guztia loopback interfazetik"
## Ezarritako eta erlazionatutako konexioak baimendu
ct egoera ezarri, erlazionatuta \
onartu \
duzu "Baimendu ezarritako/lotutako konexioak"
## Baimendu sarrerako WireGuard trafikoa
bada $DEV_WAN udp dport $WIREGUARD_PORT \
kontagailua \
onartu \
duzu "Baimendu sarrerako WireGuard trafikoa"
## Erregistratu eta jaregin SYN ez diren TCP pakete berriak
tcp banderak != syn ct egoera berria \
muga tasa 100/minutu leherketa 150 paketeak \
log aurrizkia "IN - Berria !SYN: " \
duzu " SYN TCP bandera ezarrita ez duten konexio berrietarako tasa-muga erregistratzea"
tcp banderak != syn ct egoera berria \
kontagailua \
jaregin \
duzu "Janetsi SYN TCP bandera ezarrita ez duten konexio berriak"
## Erregistratu eta askatu TCP paketeak fin/syn bandera baliogabea ezarrita
tcp banderak & (fin|syn) == (fin|syn) \
muga tasa 100/minutu leherketa 150 paketeak \
log aurrizkia “IN – TCP FIN|SIN:” \
duzu "Fin/syn bandera baliogabea duten TCP paketeen tasa-muga erregistratzea"
tcp banderak & (fin|syn) == (fin|syn) \
kontagailua \
jaregin \
duzu "Janetsi TCP paketeak fin/syn bandera baliogabea ezarrita"
## Erregistratu eta askatu TCP paketeak syn/rst bandera baliogabea ezarrita
tcp banderak & (syn|rst) == (syn|rst) \
muga tasa 100/minutu leherketa 150 paketeak \
log aurrizkia “IN – TCP SYN|RST:” \
duzu "TCP paketeen tasa-muga erregistratzea syn/rst bandera baliogabea ezarrita"
tcp banderak & (syn|rst) == (syn|rst) \
kontagailua \
jaregin \
duzu "Janetsi TCP paketeak syn/rst bandera baliogabea ezarrita"
## Erregistratu eta askatu TCP bandera baliogabeak
tcp banderak & (fin|syn|rst|psh|ack|urg) < (fin) \
muga tasa 100/minutu leherketa 150 paketeak \
log aurrizkia "IN - FIN:" \
duzu "TCP baliogabeentzako tasa-mugaren erregistroa (fin|syn|rst|psh|ack|urg) < (fin)"
tcp banderak & (fin|syn|rst|psh|ack|urg) < (fin) \
kontagailua \
jaregin \
duzu "Janegin TCP paketeak banderadun (fin|syn|rst|psh|ack|urg) < (fin)"
## Erregistratu eta askatu TCP bandera baliogabeak
tcp banderak & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
muga tasa 100/minutu leherketa 150 paketeak \
log aurrizkia “IN – FIN|PSH|URG:” \
duzu "TCP baliogabeko banderaren tasa-mugaren erregistroa (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp banderak & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
kontagailua \
jaregin \
duzu "Janegin TCP paketeak banderadun (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Jarri trafikoa konexio-egoera baliogabea duen
ct egoera baliogabea \
muga tasa 100/minutu leherketa 150 paketeak \
log aurrizki guztiak markatzen ditu “IN – Baliogabea:” \
duzu "Tasa mugatzea konexio-egoera baliogabea duen trafikorako"
ct egoera baliogabea \
kontagailua \
jaregin \
duzu "Utzi trafikoa konexio-egoera baliogabearekin"
## Baimendu IPv4 ping/ping erantzunak baina tasa muga 2000 PPSra arte
ip protocol icmp icmp mota { oihartzuna-erantzuna, oihartzuna-eskaera } \
muga tasa 2000/segundo \
kontagailua \
onartu \
duzu "Baimendu sarrerako IPv4 oihartzuna (ping) 2000 PPSra mugatuta"
## Baimendu sarrerako beste IPv4 ICMP guztiak
ip protokolo icmp \
kontagailua \
onartu \
duzu "Baimendu beste IPv4 ICMP guztiak"
## Baimendu IPv6 ping/ping erantzunak baina tasa muga 2000 PPSra arte
icmpv6 mota { echo-reply, echo-request } \
muga tasa 2000/segundo \
kontagailua \
onartu \
duzu "Baimendu sarrerako IPv6 oihartzuna (ping) 2000 PPSra mugatuta"
## Baimendu sarrerako beste IPv6 ICMP guztiak
meta l4proto {icmpv6} \
kontagailua \
onartu \
duzu "Baimendu beste IPv6 ICMP guztiak"
## Onartu sarrerako traceroute UDP atakak baina mugatu 500 PPSra
udp dport 33434-33524 \
muga tasa 500/segundo \
kontagailua \
onartu \
duzu "Baimendu sarrerako UDP traceroute 500 PPSra mugatuta"
## Baimendu sarrerako SSH
tcp dport ssh ct egoera berria \
kontagailua \
onartu \
duzu "Baimendu sarrerako SSH konexioak"
## Baimendu sarrerako HTTP eta HTTPS
tcp dport { http, https } ct egoera berria \
kontagailua \
onartu \
duzu "Baimendu sarrerako HTTP eta HTTPS konexioak"
## Erregistratu paregabeko trafikoa, baina tasa-saioa gehienez 60 mezu/minutura mugatu
## Politika lehenetsia paregabeko trafikoari aplikatuko zaio
muga tasa 60/minutu leherketa 100 paketeak \
log aurrizkia “IN – Jaregin:” \
duzu "Erregistratu paregabeko trafikoa"
## Kontatu paregabeko trafikoa
kontagailua \
duzu "Zentatu paregabeko trafikoa"
}
# Irteerako trafikorako arauak
kate irteera {
motako iragazkia kako irteera lehentasunezko iragazkia; politika jaitsiera
## Baimendu irteerako trafikoa loopback interfazera
oif lo \
onartu \
duzu "Baimendu trafiko guztia loopback interfazera"
## Ezarritako eta erlazionatutako konexioak baimendu
ct egoera ezarri, erlazionatuta \
kontagailua \
onartu \
duzu "Baimendu ezarritako/lotutako konexioak"
## Baimendu irteerako WireGuard trafikoa egoera txarra duten konexioak kendu aurretik
oif $DEV_WAN udp kirola $WIREGUARD_PORT \
kontagailua \
onartu \
duzu "Baimendu WireGuard irteerako trafikoa"
## Jarri trafikoa konexio-egoera baliogabea duen
ct egoera baliogabea \
muga tasa 100/minutu leherketa 150 paketeak \
log aurrizki guztiak markatzen ditu “OUT – Baliogabea:” \
duzu "Tasa mugatzea konexio-egoera baliogabea duen trafikorako"
ct egoera baliogabea \
kontagailua \
jaregin \
duzu "Utzi trafikoa konexio-egoera baliogabearekin"
## Baimendu beste irteerako IPv4 ICMP guztiak
ip protokolo icmp \
kontagailua \
onartu \
duzu "Baimendu IPv4 ICMP mota guztiak"
## Baimendu beste irteerako IPv6 ICMP guztiak
meta l4proto {icmpv6} \
kontagailua \
onartu \
duzu "Baimendu IPv6 ICMP mota guztiak"
## Onartu irteerako traceroute UDP atakak baina mugatu 500 PPSra
udp dport 33434-33524 \
muga tasa 500/segundo \
kontagailua \
onartu \
duzu "Baimendu irteerako UDP traceroute 500 PPSra mugatuta"
## Baimendu irteerako HTTP eta HTTPS konexioak
tcp dport { http, https } ct egoera berria \
kontagailua \
onartu \
duzu "Baimendu irteerako HTTP eta HTTPS konexioak"
## Baimendu irteerako SMTP bidalketa
tcp dport bidalketa ct egoera berria \
kontagailua \
onartu \
duzu "Baimendu irteerako SMTP bidalketa"
## Onartu irteerako DNS eskaerak
udp dport 53 \
kontagailua \
onartu \
duzu "Baimendu irteerako UDP DNS eskaerak"
tcp dport 53 \
kontagailua \
onartu \
duzu "Baimendu irteerako TCP DNS eskaerak"
## Onartu irteerako NTP eskaerak
udp dport 123 \
kontagailua \
onartu \
duzu "Baimendu irteerako NTP eskaerak"
## Erregistratu paregabeko trafikoa, baina tasa-saioa gehienez 60 mezu/minutura mugatu
## Politika lehenetsia paregabeko trafikoari aplikatuko zaio
muga tasa 60/minutu leherketa 100 paketeak \
log aurrizkia "KANPO - Jaregin:" \
duzu "Erregistratu paregabeko trafikoa"
## Kontatu paregabeko trafikoa
kontagailua \
duzu "Zentatu paregabeko trafikoa"
}
}
# NAT iragazteko taula nagusia
taula inet nat {
# NAT trafikoaren aurrebideratzeko arauak
katearen aurrebideratzea {
idatzi nat hook prerouting lehentasuna dstnat; politika onartu
}
# NAT trafikoaren ondorengo bideratze-arauak
# Taula hau Firezone bideratze osteko katearen aurretik prozesatzen da
katearen postrouting {
idatzi nat hook postrouting lehentasuna srcnat - 5; politika onartu
}
}
Suebakia exekutatzen ari den Linux banaketarako dagokion tokian gorde behar da. Debian/Ubunturentzat hau /etc/nftables.conf da eta RHELrentzat hau /etc/sysconfig/nftables.conf.
nftables.service abioan abiarazteko (dagoeneko ez bada) konfiguratu beharko da:
systemctl gaitu nftables.service
Suebakiaren txantiloian aldaketak egiten badituzu, sintaxia balioztatu daiteke check komandoa exekutatuz:
nft -f /path/to/nftables.conf -c
Ziurtatu suebakiak espero bezala funtzionatzen duela egiaztatzea, baliteke nftables funtzio jakin batzuk erabilgarri ez egotea zerbitzarian exekutatzen den bertsioaren arabera.
_______________________________________________________________
Dokumentu honek Firezone-k zure auto-ostatatutako instantziatik biltzen duen telemetriaren ikuspegi orokorra aurkezten du eta nola desgaitu.
Firezona oinarritzen telemetrian gure bide-orria lehenesteko eta Firezone guztiontzat hobea izan dadin ditugun ingeniaritza baliabideak optimizatzeko.
Biltzen dugun telemetriak honako galdera hauei erantzutea du helburu:
Firezone-n telemetria biltzen den hiru leku nagusi daude:
Hiru testuinguru horietako bakoitzean, goiko ataleko galderei erantzuteko beharrezkoa den gutxieneko datu kopurua jasotzen dugu.
Administratzaileen mezuak produktuen eguneraketak espresuki aukeratzen badituzu soilik biltzen dira. Bestela, pertsonalki identifikatzeko informazioa da inoiz ez bildu.
Firezone-k Kubernetes kluster pribatu batean exekutatzen den PostHog-en auto-ostatatutako instantzia batean gordetzen du telemetria, Firezone taldeak soilik eskura dezake. Hona hemen Firezone-ren instantziatik gure telemetria zerbitzarira bidaltzen den telemetria-gertaera baten adibidea:
{
"Id": “0182272d-0b88-0000-d419-7b9a413713f1”,
"denbora-zigilua": “2022-07-22T18:30:39.748000+00:00”,
"gertaera": "fz_http_hasi",
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"propietateak":{
"$geoip_city_name": "Ashburn",
"$geoip_continent_code": "NA",
"$geoip_continent_name": "Ipar Amerika",
"$geoip_country_code": "AEB",
"$geoip_country_name": "Ameriketako Estatu Batuak",
"$geoip_latitude": 39.0469,
"$geoip_longitude": -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "Virginia",
"$geoip_time_zone": “Amerika/New_York”,
"$ip": "52.200.241.107",
"$plugins_deferred": [],
"$plugins_failed": [],
"$plugins_succeeded": [
"GeoIP (3)"
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_bertsioa": "Linux 5.13.0",
"bertsioa": "0.4.6"
},
"elementu_katea": ""
}
OHAR
Firezone garapen taldea oinarritzen produktuen analitiketan, Firezone guztientzako hobea izan dadin. Telemetria gaituta uztea Firezone-ren garapenean egin dezakezun ekarpenik baliotsuena da. Hori bai, ulertzen dugu erabiltzaile batzuek pribatutasun- edo segurtasun-eskakizun handiagoak dituztela eta nahiago luketela telemetria guztiz desgaitu. Hori bazara, jarraitu irakurtzen.
Telemetria lehenespenez gaituta dago. Produktuen telemetria guztiz desgaitzeko, ezarri hurrengo konfigurazio aukera false gisa /etc/firezone/firezone.rb-en eta exekutatu sudo firezone-ctl reconfigure aldaketak jasotzeko.
lehenetsia['su-zona']['telemetria']['gaituta'] = false
Horrek produktuen telemetria guztiak erabat desgaituko ditu.
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telefonoa:: (732) 771-9995
Posta elektronikoa: info@hailbytes.com
