цэс
Firezone GUI-тэй Hailbytes VPN-ийг ашиглах алхам алхмаар зааварчилгааг эндээс өгөв.
Удирдах: Серверийн жишээг тохируулах нь энэ хэсэгтэй шууд холбоотой.
Хэрэглэгчийн гарын авлага: Firezone-г хэрхэн ашиглах, ердийн асуудлуудыг шийдвэрлэхэд тань туслах хэрэгтэй баримт бичиг. Серверийг амжилттай байрлуулсны дараа энэ хэсгийг үзнэ үү.
Хуваах туннел: Зөвхөн тодорхой IP муж руу траффик илгээхийн тулд VPN ашиглана уу.
Зөвшөөрөгдсөн жагсаалт: Зөвшөөрөгдсөн жагсаалтыг ашиглахын тулд VPN серверийн статик IP хаягийг тохируулна уу.
Урвуу хонгил: Урвуу хонгил ашиглан хэд хэдэн үе тэнгийн хооронд хонгил үүсгэ.
Хэрэв танд Hailbytes VPN суулгах, өөрчлөх, ашиглахад тусламж хэрэгтэй бол бид танд туслахдаа таатай байна.
Хэрэглэгчид төхөөрөмжийн тохиргооны файлуудыг үүсгэх эсвэл татаж авахаас өмнө Firezone-г баталгаажуулалт шаардахаар тохируулж болно. Хэрэглэгчид VPN холболтоо идэвхтэй байлгахын тулд үе үе дахин баталгаажуулах шаардлагатай болдог.
Firezone-ийн анхдагч нэвтрэх арга нь локал имэйл болон нууц үг боловч үүнийг ямар ч стандартчилсан OpenID Connect (OIDC) таних үйлчилгээ үзүүлэгчтэй нэгтгэж болно. Хэрэглэгчид одоо Okta, Google, Azure AD эсвэл хувийн таниулбар үйлчилгээ үзүүлэгчийн үнэмлэхээ ашиглан Firezone руу нэвтрэх боломжтой болсон.
Ерөнхий OIDC үйлчилгээ үзүүлэгчийг нэгтгэх
OIDC үйлчилгээ үзүүлэгчийг ашиглан SSO-г зөвшөөрөхийн тулд Firezone-д шаардлагатай тохиргооны параметрүүдийг доорх жишээнд үзүүлэв. /etc/firezone/firezone.rb хаягаас та тохиргооны файлыг олж болно. Аппликешныг шинэчлэх, өөрчлөлтийг хүчинтэй болгохын тулд firezone-ctl reconfigure болон firezone-ctl-г дахин эхлүүлнэ үү.
# Энэ бол Google болон Okta-г SSO таних үйлчилгээ үзүүлэгч болгон ашиглах жишээ юм.
# Нэг Firezone жишээнд олон OIDC тохиргоог нэмж болно.
Хэрэв оролдоод үзэхэд алдаа илэрсэн бол # Firezone хэрэглэгчийн VPN-г идэвхгүй болгох боломжтой
# хандалтын_токеныг сэргээх. Энэ нь Google, Okta, болон зэрэгт ажиллахыг баталгаажуулсан
# Azure SSO нь хэрэглэгчийн VPN-г устгасан тохиолдолд автоматаар салгахад ашиглагддаг
# OIDC үйлчилгээ үзүүлэгчээс. Хэрэв таны OIDC үйлчилгээ үзүүлэгч бол үүнийг идэвхгүй болго
# нь санамсаргүйгээр тасалдуулж болзошгүй тул хандалтын жетоныг сэргээхэд асуудалтай байна
# хэрэглэгчийн VPN сесс.
анхдагч['firezone']['authentication']['disable_vpn_on_oidc_error'] = худал
анхдагч['firezone']['authentication']['oidc'] = {
google: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " "
үйлчлүүлэгчийн нууц: " "
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
хариултын_төрөл: "код",
хамрах хүрээ: "нээлттэй имэйл профайл",
шошго: "Google"
},
окта: {
Discovery_document_uri: "https:// /.сайн мэддэг/openid-тохиргоо”,
client_id: " "
үйлчлүүлэгчийн нууц: " "
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
хариултын_төрөл: "код",
хамрах хүрээ: "нээлттэй имэйл профайл offline_access",
шошго: "Окта"
}
}
Интеграцид дараах тохиргооны тохиргоо шаардлагатай.
OIDC үйлчилгээ үзүүлэгч бүрийн хувьд тохируулсан үйлчилгээ үзүүлэгчийн нэвтрэх URL руу дахин чиглүүлэхийн тулд харгалзах хөөрхөн URL-г үүсгэсэн. Дээрх OIDC тохиргооны жишээний хувьд URL нь:
Бидэнд баримтжуулсан үйлчилгээ үзүүлэгчид:
Хэрэв таны таниулах үйлчилгээ үзүүлэгч ерөнхий OIDC холбогчтой бөгөөд дээр дурдаагүй бол шаардлагатай тохиргооны тохиргоог хэрхэн сэргээх талаар мэдээлэл авахын тулд тэдний баримт бичигт хандана уу.
Тохиргоо/аюулгүй байдлын тохиргоог үе үе дахин баталгаажуулах шаардлагатай болгож өөрчилж болно. Үүнийг хэрэглэгчид VPN сессээ үргэлжлүүлэхийн тулд Firezone руу тогтмол нэвтрэх шаардлагыг хэрэгжүүлэхэд ашиглаж болно.
Сеансын үргэлжлэх хугацааг нэг цагаас ерэн өдрийн хооронд тохируулж болно. Үүнийг Хэзээ ч үгүй гэж тохируулснаар та VPN сессийг хүссэн үедээ идэвхжүүлж болно. Энэ бол стандарт.
Хэрэглэгч хугацаа нь дууссан VPN сессийг (байршуулах явцад заасан URL) дахин баталгаажуулахын тулд VPN сессээ дуусгаад Firezone портал руу нэвтрэх ёстой.
Та энд байгаа үйлчлүүлэгчийн нарийн зааврыг дагаж сессээ дахин баталгаажуулах боломжтой.
VPN холболтын төлөв
Хэрэглэгчийн хуудасны VPN холболтын хүснэгтийн баганад хэрэглэгчийн холболтын төлөвийг харуулдаг. Эдгээр нь холболтын төлөвүүд юм:
ENABLEED – Холболт идэвхжсэн.
ИДВЭГЖҮҮЛСЭН – Администратор эсвэл OIDC-ийн шинэчлэлтийн алдаанаас болж холболтыг идэвхгүй болгосон.
ХУГАЦАА БОЛСОН – Баталгаажуулалтын хугацаа дууссан эсвэл хэрэглэгч анх удаа нэвтэрч ороогүйн улмаас холболт идэвхгүй болсон.
Ерөнхий OIDC холбогчоор дамжуулан Firezone нь Google Workspace болон Cloud Identity-тэй нэг удаа нэвтрэхийг (SSO) идэвхжүүлдэг. Энэхүү гарын авлага нь интеграцид шаардлагатай доор жагсаасан тохиргооны параметрүүдийг хэрхэн авахыг харуулах болно.
1. OAuth тохиргооны дэлгэцGg
Хэрэв та анх удаа OAuth хэрэглэгчийн ID-г шинээр үүсгэж байгаа бол зөвшөөрлийн дэлгэцийг тохируулахыг танаас хүсэх болно.
*Хэрэглэгчийн төрлийг сонгохдоо Дотоодыг сонгоно уу. Энэ нь зөвхөн таны Google Workspace Байгууллагын хэрэглэгчдийн бүртгэлүүд төхөөрөмжийн тохиргоог үүсгэж чадна. Хүчинтэй Google акаунттай хэн нэгэнд төхөөрөмжийн тохиргоо үүсгэхийг идэвхжүүлэхийг хүсэхгүй л бол "Гадаад"-ыг бүү сонго.
Програмын мэдээллийн дэлгэц дээр:
2. OAuth Client ID үүсгэхGg
Энэ хэсэг нь Google-ийн өөрийн баримт бичигт үндэслэсэн болно OAuth 2.0-г тохируулах.
Google Cloud Console-д зочилно уу Итгэмжлэлийн хуудас хуудсан дээр + Credentials дээр дарж OAuth клиент ID-г сонгоно уу.
OAuth үйлчлүүлэгчийн ID үүсгэх дэлгэц дээр:
OAuth клиент ID-г үүсгэсний дараа танд Client ID болон Client Secret-ийг өгөх болно. Эдгээрийг дараагийн алхамд дахин чиглүүлэх URI-тай хамт ашиглах болно.
Засах /etc/firezone/firezone.rb дараах сонголтуудыг оруулах:
# Google-ийг SSO таниулах үйлчилгээ үзүүлэгч болгон ашиглах
анхдагч['firezone']['authentication']['oidc'] = {
google: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " "
үйлчлүүлэгчийн нууц: " "
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
хариултын_төрөл: "код",
хамрах хүрээ: "нээлттэй имэйл профайл",
шошго: "Google"
}
}
Аппликешныг шинэчлэхийн тулд firezone-ctl-г дахин тохируулж, firezone-ctl-г дахин эхлүүлнэ үү. Та одоо Firezone үндсэн URL дээр Google-ээр нэвтрэх товчийг харах ёстой.
Firezone нь Окта-тай дангаар нэвтрэх (SSO)-г хөнгөвчлөхийн тулд ерөнхий OIDC холбогчийг ашигладаг. Энэхүү заавар нь интеграцид шаардлагатай доор жагсаасан тохиргооны параметрүүдийг хэрхэн авахыг харуулах болно.
Энэхүү гарын авлагын хэсэг нь дээр үндэслэсэн болно Октагийн баримт бичиг.
Админы консол дээр Програмууд > Програмууд руу очоод Апп Интеграц үүсгэх дээр дарна уу. Нэвтрэх аргыг OICD – OpenID Connect болгон, Програмын төрлийг вэб програмд тохируулна уу.
Эдгээр тохиргоог хийнэ үү:
Тохиргоог хадгалсны дараа танд Client ID, Client Secret, Okta Domain зэргийг өгөх болно. Эдгээр 3 утгыг 2-р алхамд Firezone-г тохируулахад ашиглана.
Засах /etc/firezone/firezone.rb доорх сонголтуудыг оруулах. Таны Discovery_document_url байх болно /.сайн мэдэх/openid-тохиргоо таны төгсгөлд хавсаргав окта_домэйн.
# Okta-г SSO таних үйлчилгээ үзүүлэгч болгон ашиглах
анхдагч['firezone']['authentication']['oidc'] = {
окта: {
Discovery_document_uri: "https:// /.сайн мэддэг/openid-тохиргоо”,
client_id: " "
үйлчлүүлэгчийн нууц: " "
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
хариултын_төрөл: "код",
хамрах хүрээ: "нээлттэй имэйл профайл offline_access",
шошго: "Окта"
}
}
Аппликешныг шинэчлэхийн тулд firezone-ctl-г дахин тохируулж, firezone-ctl-г дахин эхлүүлнэ үү. Та одоо Firezone үндсэн URL дээр Okta ашиглан нэвтрэх товчийг харах болно.
Firezone програм руу нэвтрэх боломжтой хэрэглэгчдийг Окта хязгаарлаж болно. Үүнийг хийхийн тулд Okta Admin Console-ийн Firezone App Integration-ийн даалгавар хуудас руу очно уу.
Ерөнхий OIDC холбогчоор дамжуулан Firezone нь Azure Active Directory-тэй нэг удаа нэвтрэхийг (SSO) идэвхжүүлдэг. Энэхүү гарын авлага нь интеграцид шаардлагатай доор жагсаасан тохиргооны параметрүүдийг хэрхэн авахыг харуулах болно.
Энэхүү гарын авлагыг эндээс авсан болно Azure Active Directory Docs.
Azure порталын Azure Active Directory хуудас руу очно уу. "Удирдах" цэсийн сонголтыг сонгоод "Шинэ бүртгэл"-ийг сонгоод, доорх мэдээллийг оруулан бүртгүүлнэ үү.
Бүртгүүлсний дараа програмын дэлгэрэнгүй харагдах хэсгийг нээж, хуулж авна уу Програм (үйлчлүүлэгч) -ийн үнэмлэх. Энэ нь client_id утга байх болно. Дараа нь төгсгөлийн цэгийн цэсийг нээнэ үү OpenID Connect мета өгөгдлийн баримт бичиг. Энэ нь Discovery_document_uri утга байх болно.
"Удирдах" цэсний "Сертификат ба нууц" сонголтыг дарж шинэ үйлчлүүлэгчийн нууцыг үүсгэнэ үү. Үйлчлүүлэгчийн нууцыг хуулах; үйлчлүүлэгчийн нууц үнэ цэнэ нь энэ байх болно.
Эцэст нь Удирдах цэсний API зөвшөөрлийн холбоосыг сонгоод товшино уу Зөвшөөрөл нэмнэ үү, сонгох Microsoft График, нэмэх И-мэйл, нээлттэй, офлайн_хандах болон Хувийн мэдээлэл харж байна шаардлагатай зөвшөөрлүүд рүү.
Засах /etc/firezone/firezone.rb дараах сонголтуудыг оруулах:
# Azure Active Directory-г SSO таних үйлчилгээ үзүүлэгч болгон ашиглах
анхдагч['firezone']['authentication']['oidc'] = {
номин: {
Discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.сайн мэдэх/нээлттэй тохиргоо”,
client_id: " "
үйлчлүүлэгчийн нууц: " "
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
хариултын_төрөл: "код",
хамрах хүрээ: "нээлттэй имэйл профайл offline_access",
шошго: "Azure"
}
}
Аппликешныг шинэчлэхийн тулд firezone-ctl-г дахин тохируулж, firezone-ctl-г дахин эхлүүлнэ үү. Та одоо Firezone үндсэн URL дээр Azure ашиглан нэвтрэх товчийг харах ёстой.
Azure AD нь администраторуудад танай компани доторх тодорхой бүлэг хэрэглэгчдийн програмын хандалтыг хязгаарлах боломжийг олгодог. Үүнийг хэрхэн хийх талаар дэлгэрэнгүй мэдээллийг Microsoft-ын баримт бичгүүдээс олж болно.
Chef Omnibus-ыг Firezone-д сав баглаа боодол, процессын хяналт, бүртгэлийн менежмент гэх мэт ажлуудыг удирдахад ашигладаг.
Ruby код нь /etc/firezone/firezone.rb хаягт байрлах үндсэн тохиргооны файлыг бүрдүүлдэг. Энэ файлд өөрчлөлт оруулсны дараа sudo firezone-ctl reconfigure-г дахин эхлүүлснээр тогооч өөрчлөлтийг таньж, одоогийн үйлдлийн системд хэрэглэх боломжтой болно.
Тохиргооны хувьсагчийн бүрэн жагсаалт болон тэдгээрийн тайлбарыг тохиргооны файлын лавлагааг харна уу.
Таны Firezone инстанцыг дараахаар удирдаж болно галын бүс-ctl командыг доор харуулав. Ихэнх дэд командуудад угтвар тавих шаардлагатай sudo.
root@demo:~# firezone-ctl
omnibus-ctl: тушаал (дэд команд)
Ерөнхий тушаалууд:
цэвэрлэ
*бүх* галын бүсийн өгөгдлийг устгаад эхнээс нь эхлүүлнэ үү.
үүсгэх-эсвэл-дахин тохируулах-админ
Өгөгдмөл['firezone']['admin_email']-д заасан и-мэйл хаягаар админы нууц үгийг шинэчлэх эсвэл хэрэв энэ имэйл байхгүй бол шинэ админ үүсгэнэ.
Туслаач
Энэ тусламжийн мессежийг хэвлэ.
дахин тохируулах
Програмыг дахин тохируулна уу.
дахин тохируулах-сүлжээ
Nftables, WireGuard интерфейс болон чиглүүлэлтийн хүснэгтийг Firezone-н өгөгдмөл рүү буцаана.
харуулах тохиргоо
Дахин тохируулснаар бий болох тохиргоог харуул.
задлах сүлжээ
WireGuard интерфейс болон firezone nftables хүснэгтийг устгана.
хүчээр баталгаажуулах-шинэчлэх
Хугацаа нь дуусаагүй байсан ч гэрчилгээг одоо хүчээр сунгана уу.
зогсоох-сертификат шинэчлэх
Сертификатуудыг шинэчилдэг cronjob устгана.
устгах
Бүх процессыг устгаж, процессын удирдагчийг устгана уу (мэдээлэл хадгалагдах болно).
хувилбар
Firezone-ийн одоогийн хувилбарыг харуулах
Үйлчилгээний удирдлагын тушаалууд:
өгөөмөр алах
Гоёмсог зогсолтыг оролдоод бүх процессын бүлгийг SIGKILL хийнэ үү.
өө
Үйлчилгээг HUP илгээнэ үү.
INT
Үйлчилгээнд INT илгээнэ үү.
алах
Үйлчилгээг KILL илгээнэ үү.
нэг удаа
Хэрэв үйлчилгээ тасарсан бол үйлчилгээг эхлүүлнэ үү. Хэрэв тэд зогссон бол дахин эхлүүлэх хэрэггүй.
дахин ачааллах
Үйлчилгээнүүд ажиллаж байгаа бол зогсоож, дахин эхлүүлнэ үү.
үйлчилгээний жагсаалт
Бүх үйлчилгээг жагсаах (идэвхжүүлсэн үйлчилгээ нь * тэмдэгтээр гарч ирнэ.)
эхлэх
Үйлчилгээ тасарсан бол эхлүүлж, зогссон бол дахин эхлүүлнэ үү.
байдал
Бүх үйлчилгээний статусыг харуулах.
Зогс
Үйлчилгээг зогсоож, дахин эхлүүлж болохгүй.
сүүл
Бүх идэвхжүүлсэн үйлчилгээний үйлчилгээний бүртгэлийг үзээрэй.
цаг
Үйлчилгээг НӨХЦӨЛ илгээнэ үү.
usr1
Үйлчилгээг USR1 илгээнэ үү.
usr2
Үйлчилгээг USR2 илгээнэ үү.
Firezone-г шинэчлэхийн өмнө бүх VPN сессийг дуусгах ёстой бөгөөд энэ нь вэб UI-г хаахыг шаарддаг. Шинэчлэлтийн явцад ямар нэг зүйл буруу болсон тохиолдолд засвар үйлчилгээнд нэг цаг зарцуулахыг зөвлөж байна.
Firezone-г сайжруулахын тулд дараах арга хэмжээг авна уу:
Хэрэв ямар нэгэн асуудал гарвал бидэнд мэдэгдэнэ үү дэмжлэг үзүүлэх тасалбар илгээх.
0.5.0-д хэд хэдэн эвдэрсэн өөрчлөлтүүд болон тохиргооны өөрчлөлтүүдийг шийдвэрлэх шаардлагатай байна. Дэлгэрэнгүйг доороос үзнэ үү.
Nginx нь 0.5.0 хувилбараас хойш SSL болон SSL бус портын параметрүүдийг дэмжихээ больсон. Firezone-д ажиллахын тулд SSL шаардлагатай байдаг тул бид Nginx үйлчилгээг өгөгдмөл['firezone']['nginx']['enabled'] = false гэж тохируулж устгаж, оронд нь 13000 порт дээрх Phoenix програм руу урвуу проксиг чиглүүлэхийг зөвлөж байна. ).
0.5.0 нь багцалсан Nginx үйлчилгээгээр SSL гэрчилгээг автоматаар шинэчлэх ACME протоколын дэмжлэгийг нэвтрүүлсэн. Идэвхжүүлэх,
Firezone 0.5.0 дээр давхардсан газартай дүрэм нэмэх боломж байхгүй болсон. Манай шилжилтийн скрипт нь 0.5.0 болгон шинэчлэх үед эдгээр нөхцөл байдлыг автоматаар таньж, зөвхөн өөр дүрэм агуулсан дүрмүүдийг л хадгална. Хэрэв энэ зүгээр бол та юу ч хийх шаардлагагүй.
Үгүй бол, шинэчлэхийн өмнө бид эдгээр нөхцөл байдлаас ангижрахын тулд дүрмийн багцаа өөрчлөхийг зөвлөж байна.
Firezone 0.5.0 нь хуучин загварын Okta болон Google SSO тохиргооны дэмжлэгийг устгаж, OIDC-д суурилсан шинэ, илүү уян хатан тохиргоонд нийцдэг.
Хэрэв танд өгөгдмөл['firezone']['authentication']['okta'] эсвэл өгөгдмөл['firezone']['authentication']['google'] түлхүүрийн дагуу ямар нэгэн тохиргоо байгаа бол та эдгээрийг манай OIDC рүү шилжүүлэх шаардлагатай. -доорх гарын авлагыг ашиглан тохиргоонд суурилсан.
Одоо байгаа Google OAuth тохиргоо
Хуучин Google OAuth тохиргоог агуулсан эдгээр мөрүүдийг /etc/firezone/firezone.rb дээр байрлах тохиргооны файлаасаа устгана уу.
анхдагч['firezone']['authentication']['google']['идэвхжүүлсэн']
анхдагч['firezone']['authentication']['google']['client_id']
анхдагч['firezone']['authentication']['google']['client_secret']
анхдагч['firezone']['authentication']['google']['redirect_uri']
Дараа нь энд байгаа процедурыг дагаж Google-г OIDC үйлчилгээ үзүүлэгчээр тохируулна уу.
(Холбоос зааварчилгаа өгнө үү)<<<<<<<<<<<<<<<<
Одоо байгаа Google OAuth-г тохируулах
Хуучин Okta OAuth тохиргоог агуулсан эдгээр мөрүүдийг өөрийн тохиргооны файлаас устгана уу /etc/firezone/firezone.rb
анхдагч['firezone']['authentication']['okta']['идэвхжүүлсэн']
анхдагч['firezone']['authentication']['okta']['client_id']
анхдагч['firezone']['authentication']['okta']['client_secret']
Өгөгдмөл['firezone']['authentication']['okta']['site']
Дараа нь энд байгаа процедурыг дагаж Okta-г OIDC үйлчилгээ үзүүлэгчээр тохируулна уу.
Таны одоогийн тохиргоо болон хувилбараас хамааран доорх зааврыг дагана уу.
Хэрэв танд OIDC интеграцчлал байгаа бол:
Зарим OIDC үйлчилгээ үзүүлэгчдийн хувьд >= 0.3.16 болгож шинэчлэх нь офлайн хандалтын хамрах хүрээг шинэчлэх токен авах шаардлагатай болдог. Үүнийг хийснээр Firezone нь таниулах үйлчилгээ үзүүлэгчтэй шинэчлэгдэж, хэрэглэгчийг устгасны дараа VPN холболт унтарсан эсэхийг шалгана. Firezone-ийн өмнөх давталтуудад энэ функц дутагдаж байсан. Зарим тохиолдолд таны таниулбар үйлчилгээ үзүүлэгчээс устгасан хэрэглэгчид VPN-тэй холбогдсон хэвээр байж болно.
Офлайн хандалтын хамрах хүрээг дэмждэг OIDC үйлчилгээ үзүүлэгчдийн OIDC тохиргооны хамрах хүрээний параметрт офлайн хандалтыг оруулах шаардлагатай. /etc/firezone/firezone.rb хаягт байрлах Firezone тохиргооны файлд өөрчлөлт оруулахын тулд Firezone-ctl reconfigure-г гүйцэтгэх ёстой.
Таны OIDC үйлчилгээ үзүүлэгчээр баталгаажуулсан хэрэглэгчдийн хувьд Firezone сэргээх токеныг амжилттай татаж чадвал вэб UI-ийн хэрэглэгчийн дэлгэрэнгүй хуудасны OIDC холболтын гарчигийг харах болно.
Хэрэв энэ нь ажиллахгүй бол та одоо байгаа OAuth програмаа устгаад OIDC-ийн тохиргооны алхмуудыг давтах шаардлагатай болно. шинэ програм интеграци үүсгэх .
Надад одоо байгаа OAuth интеграци байна
0.3.11-ээс өмнө Firezone нь урьдчилан тохируулсан OAuth2 үйлчилгээ үзүүлэгчдийг ашигладаг байсан.
Зааврыг дагаж мөрдөнө үү энд OIDC руу шилжих.
Би таних үйлчилгээ үзүүлэгчийг нэгтгээгүй байна
Ямар ч үйлдэл хийх шаардлагагүй.
Та зааврыг дагаж болно энд OIDC үйлчилгээ үзүүлэгчээр дамжуулан SSO-г идэвхжүүлэх.
Үүний оронд default['firezone']['external url'] нь анхдагч['firezone']['fqdn'] тохиргооны сонголтыг сольсон.
Үүнийг олон нийтэд нээлттэй Firezone онлайн порталын URL-д тохируулна уу. Тодорхойгүй орхисон тохиолдолд энэ нь https:// болон таны серверийн FQDN-г өгөгдмөл болгоно.
Тохируулгын файл нь /etc/firezone/firezone.rb хаягаар байрлана. Тохиргооны хувьсагчийн бүрэн жагсаалт болон тэдгээрийн тайлбарыг тохиргооны файлын лавлагааг харна уу.
Firezone 0.3.0 хувилбараас хойш Firezone сервер дээр төхөөрөмжийн хувийн түлхүүрүүдийг хадгалахаа больсон.
Firezone Web UI нь танд эдгээр тохиргоог дахин татаж авах, харахыг зөвшөөрөхгүй ч одоо байгаа бүх төхөөрөмж байгаагаар нь үргэлжлүүлэн ажиллах ёстой.
Хэрэв та Firezone 0.1.x хувилбарыг шинэчилж байгаа бол тохиргооны файлын цөөн хэдэн өөрчлөлтийг гараар хийх шаардлагатай.
/etc/firezone/firezone.rb файлдаа шаардлагатай өөрчлөлтүүдийг хийхийн тулд доорх тушаалуудыг root болгон ажиллуулна уу.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl дахин тохируулна уу
firezone-ctl дахин эхлүүлэх
Firezone бүртгэлийг шалгах нь гарч болзошгүй аливаа асуудлыг шийдэх ухаалаг алхам юм.
Firezone бүртгэлийг харахын тулд sudo firezone-ctl tail-г ажиллуулна уу.
Firezone-ийн холболттой холбоотой асуудлуудын дийлэнх нь iptables эсвэл nftables дүрмүүдтэй нийцэхгүй байгаатай холбоотой. Таны мөрдөж буй аливаа дүрэм Firezone-ийн дүрэмтэй зөрчилдөхгүй байх ёстой.
Хэрэв та WireGuard туннелээ идэвхжүүлэх бүрт таны интернетийн холболт муудаж байвал FORWARD сүлжээ нь таны WireGuard үйлчлүүлэгчээс Firezone-ээр дамжуулан илгээхийг хүссэн байршил руу илгээхийг зөвшөөрч байгаа эсэхийг шалгаарай.
Хэрэв та ufw-г ашиглаж байгаа бол өгөгдмөл чиглүүлэлтийн бодлогыг зөвшөөрч байгаа эсэхийг баталгаажуулснаар үүнийг хийж болно:
ubuntu@fz:~$ sudo ufw өгөгдмөл зөвшөөрлийг чиглүүлэх
Өгөгдмөл чиглүүлэлтийн бодлогыг "зөвшөөрөх" болгож өөрчилсөн
(дүрмээ зохих ёсоор нь шинэчлэхээ мартуузай)
A ufw ердийн Firezone серверийн төлөв дараах байдалтай байж болно.
ubuntu@fz:~$ sudo ufw байдлын дэлгэрэнгүй
Статус: идэвхтэй
Бүртгэл: асаалттай (бага)
Өгөгдмөл: үгүйсгэх (орж байгаа), зөвшөөрөх (гарч байгаа), зөвшөөрөх (чиглүүлсэн)
Шинэ профайл: алгасах
Үйлдэл рүү
——— —-
22/tcp Хаана ч ОРОХ
80/tcp Хаана ч ОРОХ
443/tcp Хаана ч ОРОХ
51820/udp Хаана ч ОРОХ
22/tcp (v6) Хаана ч ОРОХ (v6)
80/tcp (v6) Хаана ч ОРОХ (v6)
443/tcp (v6) Хаана ч ОРОХ (v6)
51820/udp (v6) Хаана ч ОРУУЛАХ (v6)
Доор тайлбарласны дагуу маш мэдрэмтгий, чухал ач холбогдолтой үйлдвэрлэлийн байршилд зориулсан вэб интерфэйсийн хандалтыг хязгаарлахыг бид зөвлөж байна.
үйлчилгээ | Өгөгдмөл порт | Сонсох хаяг | Тодорхойлолт |
Nginx | 80, 443 | бүх | Firezone-г удирдах, баталгаажуулалтыг хөнгөвчлөх нийтийн HTTP(S) порт. |
Утасны хамгаалалт | 51820 | бүх | Нийтийн WireGuard порт нь VPN сессүүдэд ашиглагддаг. (UDP) |
postgresql | 15432 | 127.0.0.1 | Зөвхөн локал портыг багцалсан Postgresql серверт ашигладаг. |
Phoenix | 13000 | 127.0.0.1 | Дээд талын eliksir програмын сервер ашигладаг зөвхөн дотоод порт. |
Бид танд Firezone-н олон нийтэд нээлттэй вэб UI-д хандах хандалтыг хязгаарлах талаар бодож үзэхийг зөвлөж байна (анхдагчаар 443/tcp болон 80/tcp портууд) ба оронд нь нэг администратор хариуцах үйлдвэрлэлийн болон олон нийтэд зориулсан байршилд зориулж Firezone-г удирдахын тулд WireGuard туннелийг ашиглахыг зөвлөж байна. төхөөрөмжийн тохиргоог бий болгох, эцсийн хэрэглэгчдэд түгээх.
Жишээлбэл, хэрэв администратор төхөөрөмжийн тохиргоог үүсгэж, локал WireGuard 10.3.2.2 хаягтай туннель үүсгэсэн бол дараах ufw тохиргоо нь администраторт өгөгдмөл 10.3.2.1-ийг ашиглан серверийн wg-firezone интерфейс дээрх Firezone вэб UI-д хандах боломжийг олгоно. туннелийн хаяг:
root@demo:~# ufw статус дэлгэрэнгүй
Статус: идэвхтэй
Бүртгэл: асаалттай (бага)
Өгөгдмөл: үгүйсгэх (орж байгаа), зөвшөөрөх (гарч байгаа), зөвшөөрөх (чиглүүлсэн)
Шинэ профайл: алгасах
Үйлдэл рүү
——— —-
22/tcp Хаана ч ОРОХ
51820/udp Хаана ч ОРОХ
10.3.2.2-д хаана ч хамаагүй ЗӨВШӨӨРӨХ
22/tcp (v6) Хаана ч ОРОХ (v6)
51820/udp (v6) Хаана ч ОРУУЛАХ (v6)
Энэ нь зөвхөн үлдэх болно 22/tcp серверийг удирдахын тулд SSH хандалтад нээлттэй (заавал биш) болон 51820/udp WireGuard хонгилуудыг бий болгохын тулд ил .
Firezone нь Postgresql сервер болон тохирохыг багцалдаг psql Орон нутгийн бүрхүүлээс дараах байдлаар ашиглаж болох хэрэгсэл:
/opt/firezone/embedded/bin/psql \
-U галын бүс \
-d галын бүс \
-h localhost \
-х 15432 \
-c "SQL_STATEMENT"
Энэ нь дибаг хийх зорилгоор тустай байж болно.
Нийтлэг даалгавар:
Бүх хэрэглэгчдийн жагсаалт:
/opt/firezone/embedded/bin/psql \
-U галын бүс \
-d галын бүс \
-h localhost \
-х 15432 \
-c “Хэрэглэгчдээс СОНГОХ *;”
Бүх төхөөрөмжүүдийн жагсаалт:
/opt/firezone/embedded/bin/psql \
-U галын бүс \
-d галын бүс \
-h localhost \
-х 15432 \
-c "Төхөөрөмжөөс сонгох *;"
Хэрэглэгчийн үүргийг өөрчлөх:
'Админ' эсвэл 'давуу эрхгүй' дүрд тохируулна уу:
/opt/firezone/embedded/bin/psql \
-U галын бүс \
-d галын бүс \
-h localhost \
-х 15432 \
-c “Хэрэглэгчдийг ШИНЭЧЛЭХ үүрэг = 'админ' ХААНА имэйл = 'user@example.com';”
Мэдээллийн санг нөөцлөх:
Цаашилбал, мэдээллийн сангийн байнгын нөөцлөлтийг хийхэд ашиглаж болох pg dump програмыг багтаасан болно. Өгөгдлийн сангийн хуулбарыг нийтлэг SQL асуулгын форматад буулгахын тулд дараах кодыг ажиллуулна уу (/path/to/backup.sql-г SQL файлыг үүсгэх байршлаар солино уу):
/opt/firezon/embedded/bin/pg_dump \
-U галын бүс \
-d галын бүс \
-h localhost \
-p 15432 > /path/to/backup.sql
Firezone-г амжилттай байрлуулсны дараа та сүлжээндээ нэвтрэх боломжийг олгохын тулд хэрэглэгчдийг нэмэх ёстой. Үүнийг хийхийн тулд Web UI ашигладаг.
"Хэрэглэгч нэмэх" товчийг сонгосноор хэрэглэгч нэмэх боломжтой. Та хэрэглэгчдэд имэйл хаяг, нууц үг оруулах шаардлагатай болно. Танай байгууллагын хэрэглэгчдэд автоматаар хандахыг зөвшөөрөхийн тулд Firezone нь таниулах үйлчилгээ үзүүлэгчтэй интерфейс болон синк хийх боломжтой. Дэлгэрэнгүй мэдээллийг эндээс авах боломжтой Баталгаажуулах. < Баталгаажуулах холбоосыг нэмнэ үү
Хувийн түлхүүрийг зөвхөн тэдэнд харагдуулахын тулд хэрэглэгчид өөрсдийн төхөөрөмжийн тохиргоог бий болгохыг бид зөвлөж байна. Хэрэглэгчид дээрх зааврыг дагаж өөрийн төхөөрөмжийн тохиргоог үүсгэж болно Үйлчлүүлэгчийн заавар хуудас.
Хэрэглэгчийн төхөөрөмжийн бүх тохиргоог Firezone админ үүсгэж болно. Үүнийг хийхийн тулд /users-д байрлах хэрэглэгчийн профайл хуудаснаас "Төхөөрөмж нэмэх" сонголтыг сонгоно уу.
[Дэлгэцийн агшинг оруулах]
Та төхөөрөмжийн профайлыг үүсгэсний дараа WireGuard тохиргооны файлыг хэрэглэгч рүү имэйлээр илгээх боломжтой.
Хэрэглэгчид болон төхөөрөмжүүд холбогдсон байна. Хэрэглэгчийг хэрхэн нэмэх талаар дэлгэрэнгүй мэдээллийг үзнэ үү Хэрэглэгч нэмэх.
Цөмийн сүлжээ шүүлтүүрийн системийг ашигласнаар Firezone нь DROP эсвэл ACCEPT багцуудыг зааж өгөх гарцыг шүүх боломжийг олгодог. Бүх замын хөдөлгөөнийг ихэвчлэн зөвшөөрдөг.
IPv4 ба IPv6 CIDR болон IP хаягийг Зөвшөөрөгдсөн жагсаалт болон Үгүйсгэх жагсаалтаар тус тус дэмждэг. Та дүрмийг нэмэхдээ хэрэглэгчдэд хамрах хүрээг сонгох боломжтой бөгөөд энэ нь тухайн хэрэглэгчийн бүх төхөөрөмжид дүрмийг хэрэглэнэ.
Суулгах болон тохируулах
Уугуул WireGuard клиент ашиглан VPN холболт үүсгэхийн тулд энэ гарын авлагыг үзнэ үү.
Энд байрлах WireGuard албан ёсны үйлчлүүлэгчид нь Firezone-тэй нийцдэг:
Дээр дурдаагүй үйлдлийн системүүдийн хувьд https://www.wireguard.com/install/ хаягаар WireGuard-н албан ёсны вэбсайтад зочилно уу.
Таны Firezone администратор эсвэл өөрөө Firezone портал ашиглан төхөөрөмжийн тохиргооны файлыг үүсгэж болно.
Төхөөрөмжийн тохиргооны файлыг өөрөө үүсгэхийн тулд Firezone администраторын өгсөн URL руу зочилно уу. Танай компани үүнд зориулсан өвөрмөц URL-тэй байх болно; энэ тохиолдолд энэ нь https://instance-id.yourfirezone.com юм.
Firezone Okta SSO руу нэвтэрнэ үү
[Дэлгэцийн агшин оруулах]
.conf файлыг нээж WireGuard клиент рүү импортлоорой. Идэвхжүүлэх шилжүүлэгчийг эргүүлснээр та VPN сессийг эхлүүлэх боломжтой.
[Дэлгэцийн агшин оруулах]
Хэрэв таны сүлжээний администратор таны VPN холболтыг идэвхтэй байлгахын тулд давтагдах баталгаажуулалтыг шаардсан бол доорх зааврыг дагана уу.
Танд хэрэгтэй:
Firezone порталын URL: Холболтыг сүлжээний админаасаа асуугаарай.
Таны сүлжээний админ таны нэвтрэх нэр, нууц үгийг санал болгох боломжтой байх ёстой. Firezone сайт нь таныг ажил олгогчийн ашигладаг нэг удаагийн үйлчилгээ (Google эсвэл Okta гэх мэт) ашиглан нэвтрэхийг танд сануулна.
[Дэлгэцийн агшин оруулах]
Firezone порталын URL руу очоод сүлжээний администраторын өгсөн итгэмжлэлүүдийг ашиглан нэвтэрнэ үү. Хэрэв та аль хэдийн нэвтэрсэн бол дахин нэвтрэхээсээ өмнө Дахин баталгаажуулах товчийг дарна уу.
[Дэлгэцийн агшин оруулах]
[Дэлгэцийн агшин оруулах]
Линукс төхөөрөмж дээрх Network Manager CLI ашиглан WireGuard тохиргооны профайлыг импортлохын тулд эдгээр зааврыг (nmcli) дагана уу.
Хэрэв профайл нь IPv6 дэмжлэгийг идэвхжүүлсэн бол Сүлжээний менежерийн GUI ашиглан тохиргооны файлыг импортлох оролдлого нь дараах алдаагаар бүтэлгүйтэж магадгүй юм.
ipv6.method: WireGuard-д "авто" аргыг дэмждэггүй
WireGuard хэрэглэгчийн орон зайн хэрэгслүүдийг суулгах шаардлагатай. Энэ нь Линукс түгээлтэд зориулсан wireguard эсвэл wireguard-tools нэртэй багц байх болно.
Ubuntu/Debian-д зориулсан:
sudo apt утас хамгаалалтыг суулгана
Fedora-г ашиглахын тулд:
sudo dnf wireguard-tools суулгана
Arch Linux:
sudo pacman -S wireguard-tools
WireGuard-н албан ёсны вэбсайтад зочилно уу https://www.wireguard.com/install/ Дээр дурдаагүй түгээлтүүд.
Таны Firezone администратор эсвэл өөрөө үүсгэгч нь Firezone порталыг ашиглан төхөөрөмжийн тохиргооны файлыг үүсгэж болно.
Төхөөрөмжийн тохиргооны файлыг өөрөө үүсгэхийн тулд Firezone администраторын өгсөн URL руу зочилно уу. Танай компани үүнд зориулсан өвөрмөц URL-тэй байх болно; энэ тохиолдолд энэ нь https://instance-id.yourfirezone.com юм.
[Дэлгэцийн агшин оруулах]
nmcli ашиглан нийлүүлсэн тохиргооны файлыг импортлох:
sudo nmcli холболтын импортын төрлийн wireguard файл /path/to/configuration.conf
Тохируулгын файлын нэр нь WireGuard холболт/интерфэйстэй тохирно. Импорт хийсний дараа шаардлагатай бол холболтын нэрийг өөрчилж болно:
nmcli холболтыг өөрчлөх [хуучин нэр] connection.id [шинэ нэр]
Тушаалын мөрөөр VPN-д дараах байдлаар холбогдоно уу.
nmcli холболт хүртэл [vpn нэр]
Салгахын тулд:
nmcli холболт доошоо [vpn нэр]
Хэрэв GUI ашиглаж байгаа бол холбогдох Сүлжээний менежерийн апплетыг холболтыг удирдахад ашиглаж болно.
Автоматаар холбогдох сонголтод "тийм" гэснийг сонгосноор VPN холболтыг автоматаар холбогдохоор тохируулж болно:
nmcli холболт [vpn нэр] холболтыг өөрчлөх. <<<<<<<<<<<<<<<<<<<<<<
автомат холболт тийм
Автомат холболтыг идэвхгүй болгохын тулд үүнийг үгүй болгож тохируулна уу:
nmcli холболт [vpn нэр] холболтыг өөрчлөх.
автомат холболтын дугаар
MFA-г идэвхжүүлэхийн тулд Firezone порталын /хэрэглэгчийн бүртгэл/mfa-г бүртгүүлэх хуудас руу очно уу. Authenticator програмаа ашиглан QR кодыг үүсгэсний дараа сканнердаж, зургаан оронтой кодыг оруулна уу.
Хэрэв та баталгаажуулагч програмаа буруу байршуулсан бол өөрийн бүртгэлийн хандалтын мэдээллийг шинэчлэхийн тулд админтайгаа холбогдоно уу.
Энэхүү заавар нь WireGuard-ын Firezone-тэй туннелийн хуваах функцийг тохируулах үйл явцад танд туслах бөгөөд ингэснээр зөвхөн тодорхой IP муж руу чиглэсэн урсгалыг VPN серверээр дамжуулдаг.
Үйлчлүүлэгчийн сүлжээний траффикийг чиглүүлэх IP мужийг /тохиргоо/өгөгдмөл хуудасны Зөвшөөрөгдсөн IP талбарт зааж өгсөн болно. Зөвхөн Firezone-ээс шинээр үүсгэсэн WireGuard туннелийн тохиргоонд энэ талбарт өөрчлөлт орох болно.
[Дэлгэцийн агшин оруулах]
Өгөгдмөл утга нь 0.0.0.0/0, ::/0 бөгөөд энэ нь бүх сүлжээний урсгалыг клиентээс VPN сервер рүү чиглүүлдэг.
Энэ талбар дахь утгуудын жишээнд:
0.0.0.0/0, ::/0 – бүх сүлжээний урсгалыг VPN сервер рүү чиглүүлэх болно.
192.0.2.3/32 – зөвхөн нэг IP хаяг руу чиглэсэн урсгалыг VPN сервер рүү чиглүүлэх болно.
3.5.140.0/22 – зөвхөн 3.5.140.1 – 3.5.143.254 муж дахь IP руу чиглэсэн урсгалыг VPN сервер рүү чиглүүлнэ. Энэ жишээнд зүүн хойд-2 AWS бүсийн CIDR мужийг ашигласан.
Firezone нь пакетыг хаашаа чиглүүлэхээ тодорхойлохдоо эхлээд хамгийн нарийн чиглүүлэлттэй холбоотой гарах интерфэйсийг сонгодог.
Хэрэглэгчид одоо байгаа хэрэглэгчийн төхөөрөмжүүдийг шинэ хуваах туннелийн тохиргоогоор шинэчлэхийн тулд тохиргооны файлуудыг дахин үүсгэж, төрөлх WireGuard клиентдээ нэмэх ёстой.
Зааварчилгааг үзнэ үү төхөөрөмж нэмэх. <<<<<<<<<<< Холбоос нэмнэ үү
Энэхүү гарын авлага нь Firezone-ийг реле болгон ашиглан хоёр төхөөрөмжийг хэрхэн холбохыг харуулах болно. Ердийн хэрэглээний нэг тохиолдол бол администраторыг NAT эсвэл галт ханаар хамгаалагдсан сервер, контейнер эсвэл машинд хандах боломжийг олгох явдал юм.
Энэ зураг нь А ба В төхөөрөмжүүдийн туннель барьж буй шууд хувилбарыг харуулж байна.
[Галын бүсийн архитектурын зургийг оруулах]
Эхлэхийн тулд /users/[user_id]/new_device руу шилжиж А төхөөрөмж болон В төхөөрөмжийг үүсгэнэ үү. Төхөөрөмж бүрийн тохиргоонд дараах параметрүүдийг доор жагсаасан утгуудаар тохируулсан эсэхийг шалгаарай. Та төхөөрөмжийн тохиргоог хийхдээ төхөөрөмжийн тохиргоог хийж болно (Төхөөрөмж нэмэх хэсгийг үзнэ үү). Хэрэв та одоо байгаа төхөөрөмжийн тохиргоог шинэчлэх шаардлагатай бол шинэ төхөөрөмжийн тохиргоог үүсгэж болно.
Бүх төхөөрөмжүүд PersistentKeepalive-г тохируулах боломжтой /тохиргоо/өгөгдмөл хуудастай болохыг анхаарна уу.
Зөвшөөрөгдсөн IP = 10.3.2.2/32
Энэ нь B төхөөрөмжийн IP буюу IP-ийн муж юм
PersistentKeepalive = 25
Хэрэв төхөөрөмж NAT-ийн ард байгаа бол энэ нь төхөөрөмж хонгилыг амьд байлгаж, WireGuard интерфэйсээс пакетуудыг үргэлжлүүлэн хүлээн авах боломжтой болно. Ихэвчлэн 25 гэсэн утга хангалттай байдаг ч та орчноосоо шалтгаалаад энэ утгыг багасгах хэрэгтэй.
Зөвшөөрөгдсөн IP = 10.3.2.3/32
Энэ нь А төхөөрөмжийн IP буюу IP-ийн муж юм
PersistentKeepalive = 25
Энэ жишээ нь А төхөөрөмж В-ээс D төхөөрөмжүүдтэй хоёр чиглэлд холбогдож болох нөхцөл байдлыг харуулж байна. Энэ тохиргоо нь янз бүрийн сүлжээгээр олон тооны нөөцөд (сервер, контейнер эсвэл машин) хандаж буй инженер эсвэл администраторыг төлөөлж болно.
[Архитектурын диаграмм]<<<<<<<<<<<<<<<<<<<<<<<
Дараах тохиргоог төхөөрөмж бүрийн тохиргоонд тохирох утгуудад тохируулсан эсэхийг шалгаарай. Төхөөрөмжийн тохиргоог үүсгэх үед та төхөөрөмжийн тохиргоог зааж өгч болно (Төхөөрөмж нэмэх хэсгийг үзнэ үү). Хэрэв одоо байгаа төхөөрөмж дээрх тохиргоог шинэчлэх шаардлагатай бол шинэ төхөөрөмжийн тохиргоог үүсгэж болно.
Зөвшөөрөгдсөн IP = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Энэ нь B-ээс D хүртэлх төхөөрөмжүүдийн IP юм. B-ээс D хүртэлх төхөөрөмжүүдийн IP нь таны тохируулахаар сонгосон IP мужид багтсан байх ёстой.
PersistentKeepalive = 25
Энэ нь төхөөрөмж NAT-аар хамгаалагдсан байсан ч WireGuard интерфэйсээс туннелийг хадгалж, пакетуудыг үргэлжлүүлэн хүлээн авах боломжтой гэдгийг баталгаажуулдаг. Ихэнх тохиолдолд 25-ын утга хангалттай байдаг ч хүрээлэн буй орчноос хамааран та энэ тоог багасгах хэрэгтэй.
Танай багийн бүх урсгалыг гадагшлуулах нэг статик IP хаягийг санал болгохын тулд Firezone-г NAT гарц болгон ашиглаж болно. Эдгээр нөхцөл байдал нь түүний байнгын хэрэглээтэй холбоотой:
Зөвлөх ажил: Ажилтан бүрийн өвөрмөц IP хаягаас илүү нэг статик IP хаягийг цагаан жагсаалтад оруулахыг харилцагчдаа хүс.
Аюулгүй байдал эсвэл нууцлалын зорилгоор прокси ашиглах эсвэл эх сурвалжийн IP-г далдлах.
Firezone-г ажиллуулж байгаа ганц цагаан жагсаалтад орсон статик IP-ээр өөрөө байршуулсан вэб програм руу нэвтрэх эрхийг хязгаарлах энгийн жишээг энэ нийтлэлд үзүүлэх болно. Энэ зураг дээр Firezone болон хамгаалагдсан нөөц нь өөр өөр VPC хэсэгт байна.
Энэхүү шийдлийг олон тооны эцсийн хэрэглэгчдийн IP зөвшөөрлийн жагсаалтыг удирдахын оронд ихэвчлэн ашигладаг бөгөөд энэ нь хандалтын жагсаалт өргөжих тусам цаг хугацаа их шаарддаг.
Бидний зорилго бол VPN урсгалыг хязгаарлагдмал нөөц рүү дахин чиглүүлэхийн тулд EC2 инстанц дээр Firezone серверийг тохируулах явдал юм. Энэ тохиолдолд Firezone нь сүлжээний прокси эсвэл NAT гарцаар үйлчилж байгаа бөгөөд холбогдсон төхөөрөмж бүрт олон нийтийн өвөрмөц IP хаягийг өгөх болно.
Энэ тохиолдолд tc2.micro нэртэй EC2 инстанс дээр Firezone инстанс суулгасан байна. Firezone-г байрлуулах талаар мэдээлэл авахыг хүсвэл Байршуулах гарын авлага руу очно уу. AWS-тай холбоотойгоор дараах зүйлсийг анхаараарай:
Firezone EC2 инстанцийн аюулгүй байдлын бүлэг нь хамгаалагдсан нөөцийн IP хаяг руу гадагш чиглэсэн урсгалыг зөвшөөрдөг.
Firezone жишээ нь уян хатан IP-тэй ирдэг. Firezone instance-ээр дамжуулан гадны чиглэл рүү дамжуулж буй траффик нь эх сурвалжийн IP хаягтай байх болно. Энэ IP хаяг нь 52.202.88.54.
[Дэлгэцийн агшин оруулах]<<<<<<<<<<<<<<<<<<<<<<<<
Өөрөө байршуулсан вэб програм нь энэ тохиолдолд хамгаалагдсан эх сурвалж болдог. Вэб програмд зөвхөн 52.202.88.54 IP хаягаас ирсэн хүсэлтээр хандах боломжтой. Нөөцөөс хамааран янз бүрийн портууд болон хөдөлгөөний төрлөөр орж ирж буй урсгалыг зөвшөөрөх шаардлагатай байж болно. Үүнийг энэ гарын авлагад тусгаагүй болно.
[Дэлгэцийн агшинг оруулах]<<<<<<<<<<<<<<<<<<<<<<<<
Хамгаалагдсан нөөцийг хариуцсан гуравдагч этгээдэд 1-р алхамд тодорхойлсон статик IP-ээс урсгалыг зөвшөөрөх ёстойг хэлнэ үү (энэ тохиолдолд 52.202.88.54).
Анхдагч байдлаар, бүх хэрэглэгчийн траффик VPN серверээр дамжих ба 1-р алхамд тохируулсан статик IP-ээс ирдэг (энэ тохиолдолд 52.202.88.54). Гэсэн хэдий ч, хэрэв хуваах туннелийг идэвхжүүлсэн бол хамгаалагдсан нөөцийн очих IP-г Зөвшөөрөгдсөн IP-ийн жагсаалтад оруулсан эсэхийг шалгах шаардлагатай байж болно.
Доор үзүүлсэн тохиргооны сонголтуудын бүрэн жагсаалтыг доор харуулав /etc/firezone/firezone.rb.
сонголт | танилцуулга | анхдагч утга |
анхдагч['firezone']['external_url'] | URL-г энэ Firezone жишээний вэб порталд хандахад ашигласан. | “https://#{зангилаа['fqdn'] || зангилаа['хостын нэр']}” |
анхдагч['firezone']['config_directory'] | Firezone тохиргооны дээд түвшний лавлах. | /etc/firezon' |
анхдагч['firezone']['install_directory'] | Firezone-г суулгах дээд түвшний лавлах. | /opt/firezon' |
анхдагч['firezone']['app_directory'] | Firezone вэб програмыг суулгах дээд түвшний лавлах. | “#{зангилаа['firezone']['install_directory']}/embedded/service/firezone” |
анхдагч['firezone']['log_directory'] | Firezone бүртгэлийн дээд түвшний лавлах. | /var/log/firezon' |
анхдагч['firezone']['var_directory'] | Firezone ажиллах үеийн файлуудын дээд түвшний лавлах. | /var/opt/firezon' |
анхдагч['firezone']['user'] | Ихэнх үйлчилгээ болон файлууд нь Линуксийн эрхгүй хэрэглэгчийн нэр. | галын бүс' |
анхдагч['firezon']['group'] | Линуксийн бүлгийн нэр ихэнх үйлчилгээ болон файлд хамаарах болно. | галын бүс' |
анхдагч['firezone']['admin_email'] | Firezone-н анхны хэрэглэгчдэд зориулсан имэйл хаяг. | "firezone@localhost" |
анхдагч['firezone']['max_devices_per_user'] | Хэрэглэгчийн байж болох төхөөрөмжийн хамгийн их тоо. | 10 |
анхдагч['firezone']['allow_unprivileged_device_management'] | Админ бус хэрэглэгчдэд төхөөрөмж үүсгэх, устгахыг зөвшөөрдөг. | ҮНЭН |
анхдагч['firezone']['allow_unprivileged_device_configuration'] | Админ бус хэрэглэгчдэд төхөөрөмжийн тохиргоог өөрчлөх боломжийг олгоно. Идэвхгүй болгосон тохиолдолд нэр, тайлбараас бусад төхөөрөмжийн бүх талбарыг өөрчлөх эрхгүй хэрэглэгчдэд саад болдог. | ҮНЭН |
анхдагч['firezone']['egress_interface'] | Хонгилтой урсгал гарах интерфэйсийн нэр. Хэрэв тэг байвал анхдагч чиглүүлэлтийн интерфейсийг ашиглана. | Үгүй |
анхдагч['firezone']['fips_enabled'] | OpenSSL FIPs горимыг идэвхжүүлэх эсвэл идэвхгүй болгох. | Үгүй |
анхдагч['firezone']['logging']['идэвхжүүлсэн'] | Firezone даяар бүртгэлийг идэвхжүүлэх эсвэл идэвхгүй болгох. Бүртгэлийг бүхэлд нь идэвхгүй болгохын тулд худал гэж тохируулна уу. | ҮНЭН |
анхдагч['enterprise']['name'] | Тогооч 'enterprise' хоолны номонд ашигласан нэр. | галын бүс' |
анхдагч['firezon']['install_path'] | Chef 'enterprise' хоолны номонд ашигладаг замыг суулгах. Дээрх install_directory-тай ижил тохиргоотой байх ёстой. | зангилаа['firezone']['install_directory'] |
анхдагч['firezone']['sysvinit_id'] | /etc/inittab-д хэрэглэгддэг танигч. 1-4 тэмдэгтээс бүрдэх өвөрмөц дараалал байх ёстой. | SUP' |
анхдагч['firezone']['authentication']['local']['идэвхжүүлсэн'] | Орон нутгийн имэйл/нууц үгийн баталгаажуулалтыг идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['authentication']['auto_create_oidc_users'] | OIDC-ээс анх удаа нэвтэрч буй хэрэглэгчдийг автоматаар үүсгэнэ үү. Зөвхөн одоо байгаа хэрэглэгчдэд OIDC-ээр нэвтрэхийг зөвшөөрөхийн тулд идэвхгүй болго. | ҮНЭН |
анхдагч['firezone']['authentication']['disable_vpn_on_oidc_error'] | Хэрэглэгчийн OIDC жетоныг сэргээх гэж оролдсон алдаа илэрвэл VPN-г идэвхгүй болго. | Буруу байна |
анхдагч['firezone']['authentication']['oidc'] | OpenID Connect тохиргоо, {“provider” => [тохиргоо…]} форматаар – Харна уу OpenIDConnect баримт бичиг тохиргооны жишээнүүдийн хувьд. | {} |
анхдагч['firezone']['nginx']['идэвхжүүлсэн'] | Багцлагдсан nginx серверийг идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['nginx']['ssl_port'] | HTTPS сонсох порт. | 443 |
анхдагч['firezone']['nginx']['лавлах'] | Firezone-тэй холбоотой nginx виртуал хостын тохиргоог хадгалах лавлах. | “#{зангилаа['firezone']['var_directory']}/nginx/etc” |
анхдагч['firezone']['nginx']['log_directory'] | Firezone-тэй холбоотой nginx бүртгэлийн файлуудыг хадгалах лавлах. | “#{зангилаа['firezone']['log_directory']}/nginx” |
анхдагч['firezone']['nginx']['log_rotation']['file_maxbytes'] | Nginx бүртгэлийн файлуудыг эргүүлэх файлын хэмжээ. | 104857600 |
өгөгдмөл['firezone']['nginx']['log_rotation']['to_keep'] | Хаахаас өмнө хадгалах ёстой Firezone nginx бүртгэлийн файлуудын тоо. | 10 |
анхдагч['firezone']['nginx']['log_x_forwarded_for'] | Firezone nginx x-forwarded-for header-г бүртгэх эсэх. | ҮНЭН |
анхдагч['firezone']['nginx']['hsts_header']['идэвхжүүлсэн'] | ҮНЭН | |
анхдагч['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS толгой хэсэгт includeSubDomains-ийг идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['nginx']['hsts_header']['max_age'] | HSTS толгой хэсгийн дээд нас. | 31536000 |
анхдагч['firezone']['nginx']['redirect_to_canonical'] | Дээр дурдсан каноник FQDN руу URL-уудыг дахин чиглүүлэх эсэх | Буруу байна |
анхдагч['firezone']['nginx']['cache']['идэвхжүүлсэн'] | Firezone nginx кэшийг идэвхжүүлэх эсвэл идэвхгүй болгох. | Буруу байна |
анхдагч['firezone']['nginx']['cache']['лавлах'] | Firezone nginx кэшийн лавлах. | “#{зангилаа['firezone']['var_directory']}/nginx/cache” |
анхдагч['firezone']['nginx']['user'] | Firezone nginx хэрэглэгч. | зангилаа['firezon']['хэрэглэгч'] |
анхдагч['firezone']['nginx']['group'] | Firezone nginx бүлэг. | зангилаа['firezon']['group'] |
анхдагч['firezone']['nginx']['dir'] | Дээд түвшний nginx тохиргооны лавлах. | зангилаа['firezone']['nginx']['лавлах'] |
анхдагч['firezone']['nginx']['log_dir'] | Дээд түвшний nginx бүртгэлийн лавлах. | зангилаа['firezone']['nginx']['log_directory'] |
анхдагч['firezone']['nginx']['pid'] | Nginx pid файлын байршил. | “#{зангилаа['firezone']['nginx']['директор']}/nginx.pid” |
анхдагч['firezone']['nginx']['daemon_disable'] | Nginx дэмон горимыг идэвхгүй болгосноор бид үүнийг хянах боломжтой. | ҮНЭН |
анхдагч['firezone']['nginx']['gzip'] | Nginx gzip шахалтыг асаах эсвэл унтраах. | дээр ' |
анхдагч['firezone']['nginx']['gzip_static'] | Статик файлуудын хувьд nginx gzip шахалтыг асааж эсвэл унтраа. | унтраах' |
анхдагч['firezone']['nginx']['gzip_http_version'] | Статик файлд үйлчлэх HTTP хувилбар. | 1.0 ' |
анхдагч['firezone']['nginx']['gzip_comp_level'] | nginx gzip шахалтын түвшин. | 2 ' |
анхдагч['firezone']['nginx']['gzip_proxied'] | Хүсэлт болон хариултаас хамааран прокси хүсэлтийн хариултын gzipping-г идэвхжүүлэх эсвэл идэвхгүй болгох. | ямар ч' |
анхдагч['firezone']['nginx']['gzip_vary'] | "Vary: Accept-Encoding" хариултын толгой хэсгийг оруулахыг идэвхжүүлэх эсвэл идэвхгүй болгоно. | унтраах' |
анхдагч['firezone']['nginx']['gzip_buffers'] | Хариултыг шахахад хэрэглэгдэх буферийн тоо болон хэмжээг тохируулна. Хэрэв тэг байвал nginx default-ыг ашиглана. | Үгүй |
анхдагч['firezone']['nginx']['gzip_types'] | Gzip шахалтыг идэвхжүүлэх MIME төрлүүд. | ['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
анхдагч['firezone']['nginx']['gzip_min_length'] | Файлын gzip шахалтыг идэвхжүүлэх хамгийн бага файлын урт. | 1000 |
анхдагч['firezone']['nginx']['gzip_disable'] | Gzip шахалтыг идэвхгүй болгохын тулд хэрэглэгчийн агент тохируулагч. | MSIE [1-6]\.' |
анхдагч['firezone']['nginx']['байх'] | Дээд талын серверүүдтэй холбогдох кэшийг идэвхжүүлдэг. | дээр ' |
анхдагч['firezone']['nginx']['keepalive_timeout'] | Дээд талын серверүүдтэй тогтвортой холболт хийхэд секундээр хугацаа хэтэрнэ. | 65 |
анхдагч['firezone']['nginx']['worker_processes'] | Nginx-ийн ажилчдын процессуудын тоо. | зангилаа['cpu'] && зангилаа['cpu']['нийт'] ? зангилаа['cpu']['total'] : 1 |
анхдагч['firezone']['nginx']['worker_connections'] | Ажилчны процессоор нээх боломжтой нэгэн зэрэг холболтын дээд тоо. | 1024 |
анхдагч['firezone']['nginx']['worker_rlimit_nofile'] | Ажилчдын процесст зориулсан нээлттэй файлуудын дээд хязгаарыг өөрчилдөг. Хэрэв тэг бол nginx-г ашигладаг. | Үгүй |
анхдагч['firezone']['nginx']['multi_accept'] | Ажилчид нэг удаад эсвэл олон холболтыг хүлээн зөвшөөрөх ёстой. | ҮНЭН |
анхдагч['firezone']['nginx']['event'] | Nginx үйл явдлын контекст дотор ашиглах холболт боловсруулах аргыг зааж өгнө. | epoll' |
анхдагч['firezone']['nginx']['server_tokens'] | Алдааны хуудас болон "Сервер" хариултын толгой талбарт nginx хувилбарыг ялгаруулахыг идэвхжүүлэх эсвэл идэвхгүй болгоно. | Үгүй |
анхдагч['firezone']['nginx']['server_names_hash_bucket_size'] | Серверийн нэрсийн хэш хүснэгтүүдийн хувин хэмжээг тохируулна. | 64 |
анхдагч['firezone']['nginx']['sendfile'] | Nginx-ийн sendfile()-г ашиглахыг идэвхжүүлдэг эсвэл идэвхгүй болгодог. | дээр ' |
анхдагч['firezone']['nginx']['access_log_options'] | Nginx хандалтын бүртгэлийн сонголтыг тохируулна. | Үгүй |
анхдагч['firezone']['nginx']['error_log_options'] | Nginx алдааны бүртгэлийн сонголтыг тохируулна. | Үгүй |
анхдагч['firezone']['nginx']['disable_access_log'] | Nginx хандалтын бүртгэлийг идэвхгүй болгодог. | Буруу байна |
анхдагч['firezone']['nginx']['types_hash_max_size'] | nginx төрлийн хэш хамгийн их хэмжээ. | 2048 |
анхдагч['firezone']['nginx']['types_hash_bucket_size'] | nginx төрлийн хэш хувин хэмжээ. | 64 |
анхдагч['firezone']['nginx']['proxy_read_timeout'] | nginx прокси унших хугацаа. Nginx өгөгдмөл тохиргоог ашиглахын тулд тэг болгож тохируулна уу. | Үгүй |
анхдагч['firezone']['nginx']['client_body_buffer_size'] | nginx үйлчлүүлэгчийн биеийн буферийн хэмжээ. Nginx өгөгдмөл тохиргоог ашиглахын тулд тэг болгож тохируулна уу. | Үгүй |
анхдагч['firezone']['nginx']['client_max_body_size'] | nginx үйлчлүүлэгчийн хамгийн их биеийн хэмжээ. | 250м' |
анхдагч['firezone']['nginx']['default']['modules'] | Нэмэлт nginx модулиудыг зааж өгнө үү. | [] |
анхдагч['firezone']['nginx']['enable_rate_limiting'] | Nginx хурдны хязгаарлалтыг идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['nginx']['rate_limiting_zone_name'] | Nginx хурдыг хязгаарлах бүсийн нэр. | галын бүс' |
анхдагч['firezone']['nginx']['rate_limiting_backoff'] | Nginx хурдыг хязгаарлах буцаалт. | 10м' |
анхдагч['firezone']['nginx']['rate_limit'] | Nginx хурдны хязгаар. | 10р/с' |
анхдагч['firezone']['nginx']['ipv6'] | Nginx-д IPv6-ээс гадна IPv4-д зориулсан HTTP хүсэлтийг сонсохыг зөвшөөрнө үү. | ҮНЭН |
анхдагч['firezone']['postgresql']['идэвхжүүлсэн'] | Багцлагдсан Postgresql-г идэвхжүүлэх эсвэл идэвхгүй болгох. Худал гэж тохируулаад доорх мэдээллийн баазын сонголтуудыг бөглөж өөрийн Postgresql жишээг ашиглана уу. | ҮНЭН |
анхдагч['firezone']['postgresql']['хэрэглэгчийн нэр'] | Postgresql хэрэглэгчийн нэр. | зангилаа['firezon']['хэрэглэгч'] |
анхдагч['firezone']['postgresql']['data_directory'] | Postgresql мэдээллийн сан. | “#{зангилаа['firezone']['var_directory']}/postgresql/13.3/data” |
анхдагч['firezone']['postgresql']['log_directory'] | Postgresql бүртгэлийн лавлах. | “#{зангилаа['firezone']['log_directory']}/postgresql” |
анхдагч['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql бүртгэлийн файлыг эргүүлэхээс өмнөх дээд хэмжээ. | 104857600 |
өгөгдмөл['firezone']['postgresql']['log_rotation']['хадгалах_тоо'] | Хадгалах Postgresql бүртгэлийн файлуудын тоо. | 10 |
анхдагч['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql шалгах цэгийг дуусгах зорилт. | 0.5 |
анхдагч['firezone']['postgresql']['checkpoint_segments'] | Postgresql хяналтын цэгийн сегментүүдийн тоо. | 3 |
анхдагч['firezone']['postgresql']['checkpoint_timeout'] | Postgresql шалгах цэгийн хугацаа дууссан. | 5 мин |
анхдагч['firezone']['postgresql']['checkpoint_warning'] | Postgresql хяналтын цэгийн анхааруулах хугацаа секундээр. | 30-аад он |
анхдагч['firezone']['postgresql']['effective_cache_size'] | Postgresql үр дүнтэй кэшийн хэмжээ. | 128MB' |
анхдагч['firezone']['postgresql']['сонсох_хаяг'] | Postgresql сонсох хаяг. | 127.0.0.1 ' |
анхдагч['firezone']['postgresql']['max_connections'] | Postgresql max холболтууд. | 350 |
анхдагч['firezone']['postgresql']['md5_auth_cidr_addresses'] | Md5 баталгаажуулалтыг зөвшөөрөх Postgresql CIDR. | ['127.0.0.1/32', '::1/128'] |
анхдагч['firezone']['postgresql']['port'] | Postgresql сонсох порт. | 15432 |
анхдагч['firezone']['postgresql']['shared_buffers'] | Postgresql хуваалцсан буферийн хэмжээ. | “#{(зангилаа['санах ой']['нийт'].to_i / 4) / 1024}МБ” |
анхдагч['firezone']['postgresql']['shmmax'] | Postgresql shmmax байтаар. | 17179869184 |
анхдагч['firezone']['postgresql']['shmal'] | Postgresql shmal байтаар. | 4194304 |
анхдагч['firezone']['postgresql']['work_mem'] | Postgresql ажлын санах ойн хэмжээ. | 8MB' |
анхдагч['firezone']['өгөгдлийн сан']['хэрэглэгч'] | Firezone нь DB-тэй холбогдоход ашиглах хэрэглэгчийн нэрийг заана. | зангилаа['firezone']['postgresql']['хэрэглэгчийн нэр'] |
анхдагч['firezone']['өгөгдлийн сан']['нууц үг'] | Хэрэв гадаад DB ашиглаж байгаа бол Firezone нь DB-тэй холбогдохын тулд ашиглах нууц үгийг зааж өгнө. | намайг өөрчил' |
анхдагч['firezone']['өгөгдлийн сан']['нэр'] | Firezone-ийн ашиглах мэдээллийн сан. Хэрэв байхгүй бол бий болно. | галын бүс' |
анхдагч['firezone']['database']['host'] | Firezone-н холбогдох мэдээллийн сангийн хост. | зангилаа['firezone']['postgresql']['сонсох_хаяг'] |
анхдагч['firezone']['өгөгдлийн сан']['порт'] | Firezone-н холбогдох өгөгдлийн сангийн порт. | зангилаа['firezone']['postgresql']['port'] |
анхдагч['firezone']['мэдээллийн сан']['суурь'] | Firezone-ийн мэдээллийн сангийн санг ашиглах болно. | [10, Etc.nprocessors].макс |
анхдагч['firezone']['өгөгдлийн сан']['ssl'] | SSL-ээр мэдээллийн санд холбогдох эсэх. | Буруу байна |
анхдагч['firezone']['database']['ssl_opts'] | {} | |
анхдагч['firezone']['өгөгдлийн сан']['параметрүүд'] | {} | |
анхдагч['firezone']['өгөгдлийн сан']['өргөтгөлүүд'] | Өгөгдлийн сангийн өргөтгөлүүдийг идэвхжүүлэх. | { 'plpgsql' => үнэн, 'pg_trgm' => үнэн } |
анхдагч['firezone']['phoenix']['идэвхжүүлсэн'] | Firezone вэб програмыг идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['phoenix']['сонсох_хаяг'] | Firezone вэб програмыг сонсох хаяг. Энэ нь nginx прокси-ийн дээд сонсох хаяг байх болно. | 127.0.0.1 ' |
анхдагч['firezone']['phoenix']['port'] | Firezone вэб програм сонсох порт. Энэ нь nginx прокси хийдэг дээд талын порт байх болно. | 13000 |
анхдагч['firezone']['phoenix']['log_directory'] | Firezone вэб програмын бүртгэлийн лавлах. | “#{зангилаа['firezone']['log_directory']}/фоникс” |
анхдагч['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone вэб програмын бүртгэлийн файлын хэмжээ. | 104857600 |
өгөгдмөл['firezone']['phoenix']['log_rotation']['хадгалах_тоо'] | Хадгалах Firezone вэб програмын бүртгэлийн файлын тоо. | 10 |
анхдагч['firezone']['phoenix']['crash_detection']['идэвхжүүлсэн'] | Гэмтэл илэрсэн үед Firezone вэб програмыг буулгахыг идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['phoenix']['external_trusted_proxies'] | IP болон/эсвэл CIDR-ийн массив хэлбэрээр форматлагдсан итгэмжлэгдсэн урвуу проксигийн жагсаалт. | [] |
анхдагч['firezone']['phoenix']['private_clients'] | IP болон/эсвэл CIDR-ийн массив форматлагдсан хувийн сүлжээний HTTP клиентүүдийн жагсаалт. | [] |
анхдагч['firezone']['wireguard']['идэвхжүүлсэн'] | Багцлагдсан WireGuard менежментийг идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['wireguard']['log_directory'] | Багцлагдсан WireGuard менежментийн бүртгэлийн лавлах. | “#{зангилаа['firezon']['log_directory']}/wireguard” |
анхдагч['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard бүртгэлийн файлын дээд хэмжээ. | 104857600 |
өгөгдмөл['firezone']['wireguard']['log_rotation']['to_keep'] | Хадгалах WireGuard бүртгэлийн файлуудын тоо. | 10 |
анхдагч['firezone']['wireguard']['interface_name'] | WireGuard интерфейсийн нэр. Энэ параметрийг өөрчлөх нь VPN холболтын түр зуурын алдагдалд хүргэж болзошгүй. | wg-firezon' |
анхдагч['firezone']['wireguard']['port'] | WireGuard сонсох порт. | 51820 |
анхдагч['firezone']['wireguard']['mtu'] | Энэ сервер болон төхөөрөмжийн тохиргоонд зориулсан WireGuard интерфейс MTU. | 1280 |
анхдагч['firezon']['wireguard']['төгсгөлийн цэг'] | Төхөөрөмжийн тохиргоог бий болгоход ашиглах WireGuard Endpoint. Хэрэв тэг байвал серверийн нийтийн IP хаягийг өгөгдмөл болгоно. | Үгүй |
анхдагч['firezone']['wireguard']['dns'] | Үүсгэсэн төхөөрөмжийн тохиргоонд ашиглах WireGuard DNS. | 1.1.1.1, 1.0.0.1′ |
анхдагч['firezone']['wireguard']['allowed_ips'] | WireGuard-ыг үүсгэсэн төхөөрөмжийн тохиргоонд ашиглахыг зөвшөөрнө. | 0.0.0.0/0, ::/0′ |
анхдагч['firezone']['wireguard']['persistent_keepalive'] | Үүсгэсэн төхөөрөмжийн тохиргоонд зориулсан өгөгдмөл PersistentKeepalive тохиргоо. 0 утга нь идэвхгүй болно. | 0 |
анхдагч['firezone']['wireguard']['ipv4']['идэвхжүүлсэн'] | WireGuard сүлжээнд IPv4-г идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['wireguard']['ipv4']['masquerade'] | IPv4 хонгилоос гарч буй пакетуудад зориулсан хувиргалтыг идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['wireguard']['ipv4']['сүлжээ'] | WireGuard сүлжээний IPv4 хаягийн сан. | 10.3.2.0/24 ′ |
анхдагч['firezone']['wireguard']['ipv4']['хаяг'] | WireGuard интерфейсийн IPv4 хаяг. WireGuard хаягийн санд байх ёстой. | 10.3.2.1 ' |
анхдагч['firezone']['wireguard']['ipv6']['идэвхжүүлсэн'] | WireGuard сүлжээнд IPv6-г идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['wireguard']['ipv6']['masquerade'] | IPv6 хонгилоос гарч буй пакетуудад зориулсан хувиргалтыг идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['wireguard']['ipv6']['сүлжээ'] | WireGuard сүлжээний IPv6 хаягийн сан. | fd00::3:2:0/120′ |
анхдагч['firezone']['wireguard']['ipv6']['хаяг'] | WireGuard интерфейсийн IPv6 хаяг. IPv6 хаягийн санд байх ёстой. | fd00::3:2:1′ |
анхдагч['firezone']['runit']['svlogd_bin'] | svlogd хогийн байршлыг ажиллуул. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
анхдагч['firezone']['ssl']['лавлах'] | Үүсгэсэн гэрчилгээг хадгалах SSL лавлах. | /var/opt/firezon/ssl' |
анхдагч['firezone']['ssl']['email_address'] | Өөрөө гарын үсэг зурсан гэрчилгээ болон ACME протоколыг шинэчлэх мэдэгдэлд ашиглах имэйл хаяг. | you@example.com' |
анхдагч['firezone']['ssl']['acme']['идэвхжүүлсэн'] | ACME-г автоматаар SSL гэрчилгээ олгоход идэвхжүүлнэ үү. Nginx-г 80-р порт дээр сонсохоос сэргийлэхийн тулд үүнийг идэвхгүй болго. Харна уу энд дэлгэрэнгүй заавар авах. | Буруу байна |
анхдагч['firezone']['ssl']['acme']['сервер'] | Сертификат олгох/сунгахад ашиглах ACME сервер. Ямар ч байж болно хүчинтэй acme.sh сервер | letsencrypt |
анхдагч['firezone']['ssl']['acme']['keylength'] | SSL сертификатын түлхүүрийн төрөл, уртыг зааж өгнө үү. Харна уу энд | ec-256 |
анхдагч['firezone']['ssl']['сертификат'] | Таны FQDN-ийн гэрчилгээний файлд хүрэх зам. Хэрэв заасан бол дээрх ACME тохиргоог хүчингүй болгоно. Хэрэв ACME болон энэ нь хоёулаа тэг байвал өөрөө гарын үсэг зурсан гэрчилгээ үүснэ. | Үгүй |
анхдагч['firezone']['ssl']['certificate_key'] | Сертификат файл руу орох зам. | Үгүй |
анхдагч['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | Үгүй |
анхдагч['firezone']['ssl']['улсын_нэр'] | Өөрөө гарын үсэг зурсан гэрчилгээний улсын нэр. | АНУ' |
анхдагч['firezone']['ssl']['state_name'] | Өөрөө гарын үсэг зурсан гэрчилгээний улсын нэр. | CA ' |
анхдагч['firezone']['ssl']['locality_name'] | Өөрөө гарын үсэг зурсан гэрчилгээний нутаг дэвсгэрийн нэр. | Сан Франциско' |
анхдагч['firezone']['ssl']['company_name'] | Компанийн нэр өөрөө гарын үсэг зурсан гэрчилгээ. | Миний компани' |
анхдагч['firezone']['ssl']['байгууллагын_нэгжийн_нэр'] | Өөрөө гарын үсэг зурсан гэрчилгээний байгууллагын нэгжийн нэр. | Үйл ажиллагаа' |
анхдагч['firezone']['ssl']['ciphers'] | Nginx-д ашиглах SSL шифрүүд. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
өгөгдмөл['firezone']['ssl']['fips_ciphers'] | FIP горимд зориулсан SSL шифр. | FIPS@STRENGTH:!aNULL:!eNULL' |
анхдагч['firezone']['ssl']['протоколууд'] | Ашиглах TLS протоколууд. | TLSv1 TLSv1.1 TLSv1.2′ |
анхдагч['firezone']['ssl']['session_cache'] | SSL сессийн кэш. | хуваалцсан:SSL:4м' |
анхдагч['firezone']['ssl']['session_timeout'] | SSL сессийн завсарлага. | 5м' |
анхдагч['firezone']['robots_allow'] | nginx роботууд зөвшөөрдөг. | /' |
анхдагч['firezone']['robots_disallow'] | nginx роботууд хориглодог. | Үгүй |
анхдагч['firezone']['outbound_email']['from'] | Хаягнаас гарах имэйл. | Үгүй |
анхдагч['firezone']['outbound_email']['provider'] | Гадагш имэйлийн үйлчилгээ үзүүлэгч. | Үгүй |
анхдагч['firezone']['outbound_email']['configs'] | Гадагш имэйл үйлчилгээ үзүүлэгчийн тохиргоо. | omnibus/cookbooks/firezone/attributes/default.rb-г үзнэ үү |
анхдагч['firezone']['temetry']['идэвхжүүлсэн'] | Бүтээгдэхүүний нэргүй телеметрийг идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['connectivity_checks']['идэвхжүүлсэн'] | Firezone холболт шалгах үйлчилгээг идэвхжүүлэх эсвэл идэвхгүй болгох. | ҮНЭН |
анхдагч['firezone']['connectivity_checks']['interval'] | Холболтыг шалгах хоорондын зай секундээр. | 3_600 |
________________________________________________________________
Эндээс та ердийн Firezone суулгацтай холбоотой файлууд болон лавлахуудын жагсаалтыг олох болно. Эдгээр нь таны тохиргооны файлын өөрчлөлтөөс хамаарч өөрчлөгдөж болно.
зам | танилцуулга |
/var/opt/firezon | Firezone багц үйлчилгээнд зориулсан өгөгдөл болон үүсгэсэн тохиргоог агуулсан дээд түвшний лавлах. |
/opt/firezon | Firezone-д шаардлагатай бүтээгдсэн номын сан, хоёртын файлууд болон ажиллах үеийн файлуудыг агуулсан дээд түвшний лавлах. |
/usr/bin/firezon-ctl | Firezone-ийн суулгацыг удирдах зориулалттай firezone-ctl хэрэгсэл. |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runsvdir супервайзерын процессыг эхлүүлэхэд зориулагдсан systemd нэгж файл. |
/etc/firezon | Firezone тохиргооны файлууд. |
__________________________________________________________
Энэ хуудас баримт бичигт хоосон байсан
________________________________________________________
Дараах nftables галт ханын загварыг Firezone ажиллаж байгаа серверийг хамгаалахад ашиглаж болно. Загвар нь зарим таамаглал дэвшүүлдэг; Та өөрийн хэрэглээний нөхцөлд тохируулан дүрмийг өөрчлөх шаардлагатай байж магадгүй:
Firezone нь вэб интерфэйс дээр тохируулагдсан чиглэл рүү чиглэсэн урсгалыг зөвшөөрөх/татгалзах, мөн үйлчлүүлэгчийн урсгалыг гадагшаа гарах NAT зохицуулах зорилгоор өөрийн nftables дүрмийг тохируулдаг.
Доорх галт ханын загварыг аль хэдийн ажиллаж байгаа сервер дээр (ачаалах үед биш) ашигласнаар Firezone дүрмийг арилгах болно. Энэ нь аюулгүй байдлын үр дагавартай байж магадгүй юм.
Үүнийг арилгахын тулд Phoenix үйлчилгээг дахин эхлүүлнэ үү:
firezone-ctl Phoenix-г дахин эхлүүлэх
#!/usr/sbin/nft -f
## Одоо байгаа бүх дүрмийг арилгах/усгах
угаах дүрмийн багц
############################## ХУВЬСАГЧ ################ ##############
## Интернэт/WAN интерфейсийн нэр
DEV_WAN = eth0 гэж тодорхойлно
## WireGuard интерфейсийн нэр
DEV_WIREGUARD = wg-галын бүсийг тодорхойлно
## WireGuard сонсох порт
WIREGUARD_PORT = тодорхойлох 51820
############################ ХУВЬСАГЧ НЬ ################# ###########
# Inet гэр бүлийн үндсэн шүүлтүүрийн хүснэгт
хүснэгтийн инет шүүлтүүр {
# Дамжуулсан замын хөдөлгөөний дүрэм
# Энэ хэлхээг Firezone урагшлах хэлхээний өмнө боловсруулдаг
урагш гинж {
төрөл шүүлтүүр дэгээ урагш тэргүүлэх шүүлтүүр – 5; бодлогыг хүлээн зөвшөөрнө
}
# Оролтын хөдөлгөөний дүрэм
гинжин оролт {
төрлийн шүүлтүүр дэгээ оролтын тэргүүлэх шүүлтүүр; бодлогын уналт
## Дотогшоо урсгалыг буцаах интерфэйс рүү зөвшөөрөх
хэрэв тэгвэл \
хүлээн авах \
сэтгэгдэл "Бүх урсгалыг буцаах интерфэйсээс зөвшөөрөх"
## Тогтсон болон холбогдох холболтыг зөвшөөрөх
ct төр байгуулагдсан, холбоотой \
хүлээн авах \
сэтгэгдэл "Тогтоосон/холбогдох холболтыг зөвшөөрөх"
## Ирж буй WireGuard урсгалыг зөвшөөрөх
iif $DEV_WAN udp dport $WIREGUARD_PORT \
тоолуур \
хүлээн авах \
сэтгэгдэл "Дотоод WireGuard урсгалыг зөвшөөрөх"
## SYN бус шинэ TCP пакетуудыг бүртгэж буулгана уу
tcp тугууд != syn ct төлөв шинэ \
хязгаар ханш 100/минут тэсрэлт 150 пакетууд \
бүртгэлийн угтвар “IN – Шинэ !SYN: “ \
сэтгэгдэл "SYN TCP тугийг тохируулаагүй шинэ холболтуудын бүртгэлийн хурдны хязгаар"
tcp тугууд != syn ct төлөв шинэ \
тоолуур \
унах \
сэтгэгдэл "SYN TCP туг суулгаагүй шинэ холболтыг устгах"
## Хүчингүй fin/syn туг бүхий TCP пакетуудыг бүртгэж буулгана уу
tcp тугууд & (fin|syn) == (fin|syn) \
хязгаар ханш 100/минут тэсрэлт 150 пакетууд \
бүртгэлийн угтвар “IN – TCP FIN|SIN:” \
сэтгэгдэл "Хүчингүй fin/syn туг тохируулсан TCP пакетуудын тарифын хязгаарлалтын бүртгэл"
tcp тугууд & (fin|syn) == (fin|syn) \
тоолуур \
унах \
сэтгэгдэл "Хүчингүй fin/syn туг бүхий TCP пакетуудыг буулгах"
## Хүчингүй синхрончлол/эхний туг тохируулсан TCP пакетуудыг бүртгэж орхи
tcp тугууд & (syn|rst) == (syn|rst) \
хязгаар ханш 100/минут тэсрэлт 150 пакетууд \
бүртгэлийн угтвар “IN – TCP SYN|RST:” \
сэтгэгдэл "Хүчингүй синхрончлол/эхний туг тохируулсан TCP пакетуудын тарифын хязгаарлалтын бүртгэл"
tcp тугууд & (syn|rst) == (syn|rst) \
тоолуур \
унах \
сэтгэгдэл "Хүчингүй синхрончлол/эхний туг тохируулсан TCP пакетуудыг буулгах"
## Хүчингүй TCP тугуудыг бүртгэж буулгана уу
tcp тугууд & (fin|syn|rst|psh|ack|urg) < (фин) \
хязгаар ханш 100/минут тэсрэлт 150 пакетууд \
бүртгэлийн угтвар "IN - FIN:" \
сэтгэгдэл "Хүчингүй TCP тугуудын тарифын хязгаарыг бүртгэх (fin|syn|rst|psh|ack|urg) < (fin)"
tcp тугууд & (fin|syn|rst|psh|ack|urg) < (фин) \
тоолуур \
унах \
сэтгэгдэл “Тугтай TCP пакетуудыг буулгах (fin|syn|rst|psh|ack|urg) < (fin)”
## Хүчингүй TCP тугуудыг бүртгэж буулгана уу
tcp тугууд & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
хязгаар ханш 100/минут тэсрэлт 150 пакетууд \
бүртгэлийн угтвар “IN – FIN|PSH|URG:” \
сэтгэгдэл “Хүчингүй TCP тугуудын тарифын хязгаарыг бүртгэх (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
tcp тугууд & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
тоолуур \
унах \
сэтгэгдэл “Дарцагтай TCP пакетуудыг буулгах (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
## Холболтын буруу төлөвтэй замын хөдөлгөөнийг бууруулна
ct төлөв буруу \
хязгаар ханш 100/минут тэсрэлт 150 пакетууд \
бүх угтварыг тэмдэглэнэ "IN - Хүчингүй:" \
сэтгэгдэл "Холболтын буруу төлөвтэй замын хөдөлгөөний тарифын хязгаарыг бүртгэх"
ct төлөв буруу \
тоолуур \
унах \
сэтгэгдэл "Холболтын буруу төлөвтэй замын хөдөлгөөнийг хасах"
## IPv4 ping/ping хариултыг зөвшөөрөх боловч хурдыг 2000 PPS хүртэл хязгаарлана
ip протокол icmp icmp төрөл { echo-reply, echo-request } \
хязгаар ханш 2000/хоёр дахь\
тоолуур \
хүлээн авах \
сэтгэгдэл "Ирж буй IPv4 цуурайг (ping) 2000 PPS-ээр хязгаарлахыг зөвшөөрөх"
## Бусад бүх дотогшоо IPv4 ICMP-г зөвшөөрөх
ip протокол icmp \
тоолуур \
хүлээн авах \
сэтгэгдэл "Бусад бүх IPv4 ICMP-г зөвшөөрөх"
## IPv6 ping/ping хариултыг зөвшөөрөх боловч хурдыг 2000 PPS хүртэл хязгаарлана
icmpv6 төрөл { echo-reply, echo-request} \
хязгаар ханш 2000/хоёр дахь\
тоолуур \
хүлээн авах \
сэтгэгдэл "Ирж буй IPv6 цуурайг (ping) 2000 PPS-ээр хязгаарлахыг зөвшөөрөх"
## Бусад бүх дотогшоо IPv6 ICMP-г зөвшөөрөх
мета l4proto {icmpv6} \
тоолуур \
хүлээн авах \
сэтгэгдэл "Бусад бүх IPv6 ICMP-г зөвшөөрөх"
## Inbound traceroute UDP портуудыг зөвшөөрөх боловч 500 PPS хүртэл хязгаарлах
udp dport 33434-33524 \
хязгаар ханш 500/хоёр дахь\
тоолуур \
хүлээн авах \
сэтгэгдэл "500 PPS-ээр хязгаарлагдмал орж ирж буй UDP traceroute-г зөвшөөрөх"
## Ирж буй SSH-г зөвшөөрөх
tcp dport SSH ct төлөв шинэ \
тоолуур \
хүлээн авах \
сэтгэгдэл "Дотогшоо SSH холболтыг зөвшөөрөх"
## Ирж буй HTTP болон HTTPS-г зөвшөөрөх
tcp dport { http, https } ct төлөв шинэ \
тоолуур \
хүлээн авах \
сэтгэгдэл "Дотогшоо HTTP болон HTTPS холболтыг зөвшөөрөх"
## Ямар ч давтагдашгүй урсгалыг бүртгээрэй, гэхдээ бүртгэлийг минутад хамгийн ихдээ 60 мессежээр хязгаарла
## Өгөгдмөл бодлогыг үл давтагдах урсгалд хэрэглэнэ
хязгаар ханш 60/минут тэсрэлт 100 пакетууд \
бүртгэлийн угтвар "IN - Drop:" \
сэтгэгдэл "Тохироогүй замын хөдөлгөөнийг бүртгэх"
## Тохироогүй замын хөдөлгөөнийг тоол
тоолуур \
сэтгэгдэл "Холбоотой замын хөдөлгөөнийг тоолох"
}
# Гаралтын хөдөлгөөний дүрэм
гинжин гаралт {
төрлийн шүүлтүүр дэгээ гаралтын тэргүүлэх шүүлтүүр; бодлогын уналт
## Гүйцэтгэх интерфэйс рүү гадагш чиглэсэн урсгалыг зөвшөөрөх
уу \
хүлээн авах \
сэтгэгдэл "Бүх урсгалыг буцаах интерфэйс рүү гаргахыг зөвшөөрөх"
## Тогтсон болон холбогдох холболтыг зөвшөөрөх
ct төр байгуулагдсан, холбоотой \
тоолуур \
хүлээн авах \
сэтгэгдэл "Тогтоосон/холбогдох холболтыг зөвшөөрөх"
## Муу төлөвтэй холболтыг таслахаас өмнө гадагш чиглэсэн WireGuard урсгалыг зөвшөөрнө үү
oif $DEV_WAN udp спорт $WIREGUARD_PORT \
тоолуур \
хүлээн авах \
сэтгэгдэл "WireGuard-н гадагш чиглэсэн урсгалыг зөвшөөрөх"
## Холболтын буруу төлөвтэй замын хөдөлгөөнийг бууруулна
ct төлөв буруу \
хязгаар ханш 100/минут тэсрэлт 150 пакетууд \
бүх угтварыг тэмдэглэнэ “OUT – Хүчингүй:” \
сэтгэгдэл "Холболтын буруу төлөвтэй замын хөдөлгөөний тарифын хязгаарыг бүртгэх"
ct төлөв буруу \
тоолуур \
унах \
сэтгэгдэл "Холболтын буруу төлөвтэй замын хөдөлгөөнийг хасах"
## Бусад бүх гадагш чиглэсэн IPv4 ICMP-г зөвшөөрөх
ip протокол icmp \
тоолуур \
хүлээн авах \
сэтгэгдэл "Бүх IPv4 ICMP төрлийг зөвшөөрөх"
## Бусад бүх гадагш чиглэсэн IPv6 ICMP-г зөвшөөрөх
мета l4proto {icmpv6} \
тоолуур \
хүлээн авах \
сэтгэгдэл "Бүх IPv6 ICMP төрлийг зөвшөөрөх"
## Гадагш чиглүүлэх UDP портуудыг зөвшөөрөх боловч 500 PPS хүртэл хязгаарлах
udp dport 33434-33524 \
хязгаар ханш 500/хоёр дахь\
тоолуур \
хүлээн авах \
сэтгэгдэл “500 PPS-ээр хязгаарлагдсан гадагш чиглэсэн UDP traceroute-г зөвшөөрөх”
## гадагш чиглэсэн HTTP болон HTTPS холболтыг зөвшөөрөх
tcp dport { http, https } ct төлөв шинэ \
тоолуур \
хүлээн авах \
сэтгэгдэл "Гадагч HTTP болон HTTPS холболтыг зөвшөөрөх"
## Гадагшаа SMTP илгээхийг зөвшөөрөх
tcp dport илгээх ct төлөв шинэ \
тоолуур \
хүлээн авах \
сэтгэгдэл "Гадагш SMTP илгээхийг зөвшөөрөх"
## Гадагш DNS хүсэлтийг зөвшөөрөх
udp dport 53 \
тоолуур \
хүлээн авах \
сэтгэгдэл "Гадагч UDP DNS хүсэлтийг зөвшөөрөх"
tcp dport 53 \
тоолуур \
хүлээн авах \
сэтгэгдэл "Гадагш TCP DNS хүсэлтийг зөвшөөрөх"
## Гадаадын NTP хүсэлтийг зөвшөөрөх
udp dport 123 \
тоолуур \
хүлээн авах \
сэтгэгдэл "Гадагш NTP хүсэлтийг зөвшөөрөх"
## Ямар ч давтагдашгүй урсгалыг бүртгээрэй, гэхдээ бүртгэлийг минутад хамгийн ихдээ 60 мессежээр хязгаарла
## Өгөгдмөл бодлогыг үл давтагдах урсгалд хэрэглэнэ
хязгаар ханш 60/минут тэсрэлт 100 пакетууд \
бүртгэлийн угтвар “OUT – Унах:” \
сэтгэгдэл "Тохироогүй замын хөдөлгөөнийг бүртгэх"
## Тохироогүй замын хөдөлгөөнийг тоол
тоолуур \
сэтгэгдэл "Холбоотой замын хөдөлгөөнийг тоолох"
}
}
# NAT шүүлтүүрийн үндсэн хүснэгт
хүснэгт inet nat {
# NAT замын хөдөлгөөний урьдчилсан чиглүүлэлтийн дүрэм
гинжин чиглэл {
төрөл nat hook prerouting priority dstnat; бодлогыг хүлээн зөвшөөрнө
}
# NAT замын хөдөлгөөний дараах чиглүүлэлтийн дүрэм
# Энэ хүснэгтийг Firezone чиглүүлэлтийн дараах хэлхээний өмнө боловсруулдаг
гинжин чиглэл {
nat hook postrouting priority srcnat гэж бичнэ үү – 5; бодлогыг хүлээн зөвшөөрнө
}
}
Галт ханыг ажиллаж байгаа Linux түгээлтийн холбогдох байршилд хадгалах ёстой. Debian/Ubuntu-ийн хувьд энэ нь /etc/nftables.conf, RHEL-ийн хувьд энэ нь /etc/sysconfig/nftables.conf юм.
nftables.service-г ачаалах үед эхлүүлэхийн тулд тохируулах шаардлагатай (хэрэв болоогүй бол):
systemctl nftables.service-г идэвхжүүлнэ
Хэрэв галт ханын загварт ямар нэгэн өөрчлөлт хийвэл шалгах командыг ажиллуулснаар синтаксийг баталгаажуулж болно.
nft -f /path/to/nftables.conf -c
Сервер дээр ажиллаж байгаа хувилбараас хамааран nftables-ийн зарим функцууд ажиллахгүй байж болзошгүй тул галт хана нь хүлээгдэж буй байдлаар ажиллаж байгааг баталгаажуулах хэрэгтэй.
_______________________________________________________________
Энэхүү баримт бичиг нь Firezone-ийн өөрийн эзэмшдэг инстанцаас цуглуулдаг телеметрийн тойм болон үүнийг хэрхэн идэвхгүй болгох талаар танилцуулж байна.
Галын бүс найддаг Замын зурагтаа тэргүүлэх ач холбогдол өгч, бид Firezone-г хүн бүрт илүү сайн болгох инженерийн нөөцийг оновчтой болгохын тулд телеметрийн талаар.
Бидний цуглуулсан телеметр нь дараах асуултуудад хариулах зорилготой.
Firezone-д телеметрийг цуглуулдаг гурван үндсэн газар байдаг.
Эдгээр гурван контекст бүрт бид дээрх хэсгийн асуултуудад хариулахад шаардагдах хамгийн бага хэмжээний өгөгдлийн хэмжээг авдаг.
Хэрэв та бүтээгдэхүүний шинэчлэлтийг шууд зөвшөөрсөн тохиолдолд админ имэйлийг цуглуулна. Үгүй бол хувийн мэдээллийг тань тодорхойлох боломжтой хэзээ ч цуглуулсан.
Firezone нь телеметрийг хувийн Kubernetes кластерт ажилладаг PostHog-ийн өөрөө зохион байгуулсан жишээнд хадгалдаг бөгөөд зөвхөн Firezone багийнхан хандах боломжтой. Таны Firezone-ийн жишээнээс манай телеметрийн сервер рүү илгээсэн телеметрийн үйл явдлын жишээ энд байна:
{
"Id": “0182272d-0b88-0000-d419-7b9a413713f1”,
"цаг хугацааны тэмдэг": “2022-07-22T18:30:39.748000+00:00”,
"үйл явдал": “fz_http_started”,
"ялгаатай_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"шинж чанар":{
“$geoip_хотын_нэр”: "Үнсберн",
“$geoip_continent_code”: "Үгүй",
“$geoip_continent_name”: "Хойд америк",
“$geoip_country_code”: "АНУ",
“$geoip_улсын_нэр”: "Нэгдсэн Улс",
“$geoip_latitude”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_шуудангийн_код”: "20149",
“$geoip_subdivision_1_код”: "VA",
“$geoip_subdivision_1_name”: "Виржиниа",
“$geoip_цагын_бүс”: "Америк/Нью_Йорк",
“$ip”: "52.200.241.107",
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_амжилттай”: [
"GeoIP (3)"
],
"ялгаатай_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": “awsdemo.firezone.dev”,
"цөмийн_хувилбар": "linux 5.13.0",
"хувилбар": "0.4.6"
},
“элементийн_гинж”: ""
}
ТАЙЛБАР:
Firezone хөгжүүлэлтийн баг найддаг Firezone-г хүн бүрт илүү сайн болгохын тулд бүтээгдэхүүний аналитик дээр. Телеметрийг идэвхжүүлэх нь таны Firezone-ийн хөгжилд оруулж чадах хамгийн үнэтэй хувь нэмэр юм. Зарим хэрэглэгчид нууцлал эсвэл аюулгүй байдлын шаардлага өндөр байгаа тул телеметрийг бүхэлд нь идэвхгүй болгохыг илүүд үздэгийг бид ойлгож байна. Хэрэв энэ нь та мөн бол үргэлжлүүлэн уншаарай.
Телеметрийг анхдагчаар идэвхжүүлсэн. Бүтээгдэхүүний телеметрийг бүрэн идэвхгүй болгохын тулд /etc/firezone/firezone.rb-д дараах тохиргооны сонголтыг худал болгож, өөрчлөлтийг авахын тулд sudo firezone-ctl reconfigure-г ажиллуулна уу.
анхдагч['галын бүс']["телеметр"]['идэвхжүүлсэн'] = хуурамч
Энэ нь бүтээгдэхүүний бүх телеметрийг бүрэн идэвхгүй болгоно.
Баяртай
9511 Queens Guard Ct.
Лаурел, MD 20723
Утас: (732) 771-9995
Имэйл: info@hailbytes.com
