Dewislen
Darperir cyfarwyddiadau cam wrth gam ar gyfer defnyddio Hailbytes VPN gyda Firezone GUI yma.
Gweinyddu: Mae sefydlu'r enghraifft gweinydd yn uniongyrchol gysylltiedig â'r rhan hon.
Canllawiau Defnyddwyr: Dogfennau defnyddiol a all eich dysgu sut i ddefnyddio Firezone a datrys problemau nodweddiadol. Ar ôl i'r gweinydd gael ei ddefnyddio'n llwyddiannus, cyfeiriwch at yr adran hon.
Twnelu Hollti: Defnyddiwch y VPN i anfon traffig i ystodau IP penodol yn unig.
Rhestr wen: Gosod cyfeiriad IP sefydlog gweinydd VPN er mwyn defnyddio rhestr wen.
Twneli Gwrthdro: Creu twneli rhwng sawl cyfoedion gan ddefnyddio twneli gwrthdro.
Rydym yn falch o'ch cynorthwyo os oes angen cymorth arnoch i osod, addasu, neu ddefnyddio Hailbytes VPN.
Cyn y gall defnyddwyr gynhyrchu neu lawrlwytho ffeiliau ffurfweddu dyfais, gellir ffurfweddu Firezone i ofyn am ddilysu. Efallai y bydd angen i ddefnyddwyr hefyd ail-ddilysu o bryd i'w gilydd er mwyn cadw eu cysylltiad VPN yn weithredol.
Er mai e-bost a chyfrinair lleol yw dull mewngofnodi diofyn Firezone, gellir ei integreiddio hefyd ag unrhyw ddarparwr hunaniaeth OpenID Connect (OIDC) safonol. Mae defnyddwyr bellach yn gallu mewngofnodi i Firezone gan ddefnyddio eu manylion Okta, Google, Azure AD, neu ddarparwr hunaniaeth breifat.
Integreiddio Darparwr OIDC Generig
Dangosir y paramedrau cyfluniad sydd eu hangen ar Firezone i ganiatáu i SSO ddefnyddio darparwr OIDC yn yr enghraifft isod. Yn /etc/firezone/firezone.rb, efallai y byddwch yn dod o hyd i'r ffeil ffurfweddu. Rhedeg ail-ffurfweddu firezone-ctl ac ailgychwyn firezone-ctl i ddiweddaru'r cymhwysiad a gweithredu newidiadau.
# Dyma enghraifft sy'n defnyddio Google ac Okta fel darparwr hunaniaeth SSO.
# Gellir ychwanegu cyfluniadau OIDC lluosog at yr un enghraifft Firezone.
Gall # Firezone analluogi VPN defnyddiwr os canfyddir unrhyw wall wrth geisio
# i adnewyddu eu tocyn_mynediad. Mae hyn wedi'i wirio i weithio i Google, Okta, a
# Azure SSO ac fe'i defnyddir i ddatgysylltu VPN defnyddiwr yn awtomatig os cânt eu dileu
# gan y darparwr OIDC. Gadael hwn yn anabl os yw eich darparwr OIDC
Mae gan # broblemau wrth adnewyddu tocynnau mynediad gan y gallai dorri ar draws a
# sesiwn VPN defnyddiwr.
rhagosodedig['firezone']['dilysiad']['disable_vpn_on_oidc_error'] = ffug
rhagosodedig['firezone']['authentication']['oidc'] = {
Google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id : “ ” ,
client_secret : “ ” ,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
ymateb_math: "cod",
cwmpas: “proffil e-bost agored”,
label: "Google"
},
iawn: {
Discovery_document_uri : “ https:// /.well-known/openid-configuration",
client_id : “ ” ,
client_secret : “ ” ,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
ymateb_math: "cod",
cwmpas: “proffil e-bost openid offline_access”,
label: "Okta"
}
}
Mae angen y gosodiadau ffurfweddu canlynol ar gyfer integreiddio:
Ar gyfer pob darparwr OIDC mae URL pert cyfatebol yn cael ei greu i'w ailgyfeirio i URL mewngofnodi'r darparwr wedi'i ffurfweddu. Ar gyfer yr enghraifft config OIDC uchod, yr URLs yw:
Darparwyr y mae gennym ddogfennaeth ar eu cyfer:
Os oes gan eich darparwr hunaniaeth gysylltydd OIDC generig ac nad yw wedi'i restru uchod, ewch i'w dogfennaeth i gael gwybodaeth ar sut i adfer y gosodiadau ffurfweddu angenrheidiol.
Gellir newid y gosodiad o dan gosodiadau/diogelwch i ofyn am ail-ddilysu cyfnodol. Gellir defnyddio hwn i orfodi'r gofyniad bod defnyddwyr yn ymuno â Firezone yn rheolaidd er mwyn parhau â'u sesiwn VPN.
Gellir ffurfweddu hyd y sesiwn i fod rhwng awr a naw deg diwrnod. Trwy osod hwn i Byth, gallwch alluogi sesiynau VPN ar unrhyw adeg. Dyma'r safon.
Rhaid i ddefnyddiwr derfynu ei sesiwn VPN a mewngofnodi i borth Firezone er mwyn ail-ddilysu sesiwn VPN sydd wedi dod i ben (URL a nodir yn ystod y defnydd).
Gallwch ail-ddilysu eich sesiwn trwy ddilyn yr union gyfarwyddiadau cleient a geir yma.
Statws Cysylltiad VPN
Mae colofn tabl Cysylltiad VPN y dudalen Defnyddwyr yn dangos statws cysylltiad defnyddiwr. Dyma'r statws cysylltiad:
GALLUOGWYD - Mae'r cysylltiad wedi'i alluogi.
ANABL - Mae'r cysylltiad wedi'i analluogi gan weinyddwr neu fethiant adnewyddu OIDC.
WEDI EI DOD i ben - Mae'r cysylltiad wedi'i analluogi oherwydd bod y dilysu wedi dod i ben neu nad yw defnyddiwr wedi mewngofnodi am y tro cyntaf.
Trwy'r cysylltydd OIDC cyffredinol, mae Firezone yn galluogi Sign-On Sengl (SSO) gyda Google Workspace a Cloud Identity. Bydd y canllaw hwn yn dangos i chi sut i gael y paramedrau cyfluniad a restrir isod, sy'n angenrheidiol ar gyfer integreiddio:
1. Sgrin Ffurfweddu OAuth
Os mai dyma'r tro cyntaf i chi greu ID cleient OAuth newydd, gofynnir i chi ffurfweddu sgrin caniatâd.
* Dewiswch Fewnol ar gyfer y math o ddefnyddiwr. Mae hyn yn sicrhau mai dim ond cyfrifon sy'n perthyn i ddefnyddwyr yn eich Google Workspace Organisation all greu cyfluniadau dyfais. PEIDIWCH â dewis Allanol oni bai eich bod am alluogi unrhyw un sydd â Chyfrif Google dilys i greu cyfluniadau dyfais.
Ar sgrin wybodaeth yr App:
2. Creu IDau Cleient OAuth
Mae'r adran hon yn seiliedig ar ddogfennaeth Google ei hun ar sefydlu OAuth 2.0.
Ewch i Google Cloud Console Tudalen manylion tudalen, cliciwch + Creu Credentials a dewiswch ID cleient OAuth.
Ar sgrin creu ID cleient OAuth:
Ar ôl creu ID cleient OAuth, byddwch yn cael ID Cleient a Chyfrinach Cleient. Bydd y rhain yn cael eu defnyddio ynghyd â'r URI ailgyfeirio yn y cam nesaf.
golygu /etc/firezone/firezone.rb i gynnwys yr opsiynau isod:
# Defnyddio Google fel darparwr hunaniaeth SSO
rhagosodedig['firezone']['authentication']['oidc'] = {
Google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id : “ ” ,
client_secret : “ ” ,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
ymateb_math: "cod",
cwmpas: “proffil e-bost agored”,
label: "Google"
}
}
Rhedeg ail-ffurfweddu firezone-ctl ac ailgychwyn firezone-ctl i ddiweddaru'r cais. Dylech nawr weld botwm Mewngofnodi gyda Google wrth wraidd URL Firezone.
Mae Firezone yn defnyddio'r cysylltydd OIDC generig i hwyluso Sign-On Sengl (SSO) gydag Okta. Bydd y tiwtorial hwn yn dangos i chi sut i gael y paramedrau cyfluniad a restrir isod, sy'n angenrheidiol ar gyfer integreiddio:
Mae'r adran hon o'r canllaw yn seiliedig ar Dogfennaeth Okta.
Yn y Consol Gweinyddol, ewch i Ceisiadau > Ceisiadau a chliciwch ar Creu Integreiddio App. Gosod dull Mewngofnodi i OICD - OpenID Connect a Math o Gymhwysiad i raglen We.
Ffurfweddwch y gosodiadau hyn:
Unwaith y bydd gosodiadau wedi'u cadw, byddwch yn cael ID Cleient, Cleient Secret, ac Okta Domain. Bydd y 3 gwerth hyn yn cael eu defnyddio yng Ngham 2 i ffurfweddu Firezone.
golygu /etc/firezone/firezone.rb i gynnwys yr opsiynau isod. Eich darganfod_dogfen_url Bydd yn /.well-known/openid-configuration wedi ei atodi i ddiwedd eich okta_domain.
# Defnyddio Okta fel darparwr hunaniaeth SSO
rhagosodedig['firezone']['authentication']['oidc'] = {
iawn: {
Discovery_document_uri : “ https:// /.well-known/openid-configuration",
client_id : “ ” ,
client_secret : “ ” ,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
ymateb_math: "cod",
cwmpas: “proffil e-bost openid offline_access”,
label: "Okta"
}
}
Rhedeg ail-ffurfweddu firezone-ctl ac ailgychwyn firezone-ctl i ddiweddaru'r cais. Dylech nawr weld botwm Mewngofnodi gyda Okta wrth wraidd URL Firezone.
Gall y defnyddwyr sy'n gallu cyrchu'r ap Firezone gael eu cyfyngu gan Okta. Ewch i dudalen Aseiniadau Integreiddio Ap Firezone eich Okta Admin Console i gyflawni hyn.
Trwy'r cysylltydd OIDC generig, mae Firezone yn galluogi Sign-On Sengl (SSO) gyda Azure Active Directory. Bydd y llawlyfr hwn yn dangos i chi sut i gael y paramedrau cyfluniad a restrir isod, sy'n angenrheidiol ar gyfer integreiddio:
Tynnir y canllaw hwn o'r Dogfennau Cyfeiriadur Gweithredol Azure.
Ewch i dudalen Cyfeiriadur Gweithredol Azure porth Azure. Dewiswch yr opsiwn dewislen Rheoli, dewiswch Cofrestru Newydd, yna cofrestrwch trwy ddarparu'r wybodaeth isod:
Ar ôl cofrestru, agorwch olwg manylion y cais a chopïwch y ID cais (cleient).. Hwn fydd y gwerth client_id. Nesaf, agorwch y ddewislen endpoints i adfer y Dogfen metadata OpenID Connect. Hwn fydd y gwerth discover_document_uri.
Creu cyfrinach cleient newydd trwy glicio ar yr opsiwn Tystysgrifau a chyfrinachau o dan y ddewislen Rheoli. Copïwch gyfrinach y cleient; gwerth cyfrinachol y cleient fydd hyn.
Yn olaf, dewiswch y ddolen caniatâd API o dan y ddewislen Rheoli, cliciwch Ychwanegu caniatâd, a dethol Graff Microsoft, Ychwanegu e-bost, IDAgored, offline_mynediad ac proffil i'r caniatadau gofynnol.
golygu /etc/firezone/firezone.rb i gynnwys yr opsiynau isod:
# Defnyddio Azure Active Directory fel darparwr hunaniaeth SSO
rhagosodedig['firezone']['authentication']['oidc'] = {
asur: {
discovery_document_uri: “ https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
client_id : “ ” ,
client_secret : “ ” ,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
ymateb_math: "cod",
cwmpas: “proffil e-bost openid offline_access”,
label: "Azure"
}
}
Rhedeg ail-ffurfweddu firezone-ctl ac ailgychwyn firezone-ctl i ddiweddaru'r cais. Dylech nawr weld botwm Mewngofnodi gydag Azure wrth wraidd URL Firezone.
Mae Azure AD yn galluogi gweinyddwyr i gyfyngu mynediad ap i grŵp penodol o ddefnyddwyr yn eich cwmni. Mae rhagor o wybodaeth am sut i wneud hyn ar gael yn nogfennaeth Microsoft.
Defnyddir Chef Omnibws gan Firezone i reoli tasgau gan gynnwys pecynnu rhyddhau, goruchwylio prosesau, rheoli logiau, a mwy.
Mae cod Ruby yn ffurfio'r ffeil ffurfweddu sylfaenol, sydd wedi'i lleoli yn /etc/firezone/firezone.rb. Mae ailgychwyn ad-drefnu sudo firezone-ctl ar ôl gwneud addasiadau i'r ffeil hon yn achosi Chef i adnabod y newidiadau a'u cymhwyso i'r system weithredu gyfredol.
Gweler cyfeirnod y ffeil ffurfweddu am restr gyflawn o newidynnau cyfluniad a'u disgrifiadau.
Gellir rheoli eich enghraifft Firezone drwy'r parth tân-ctl gorchymyn, fel y dangosir isod. Mae angen rhagddodi â'r rhan fwyaf o is-orchmynion sudo.
root@demo: ~# firezone-ctl
omnibus-ctl: gorchymyn (is-orchymyn)
Gorchmynion Cyffredinol:
glanhau
Dileu * holl ddata firezone, a dechrau o'r dechrau.
creu-neu-ailosod-admin
Yn ailosod y cyfrinair ar gyfer y gweinyddwr gydag e-bost wedi'i nodi'n ddiofyn['firezone']['admin_email'] neu'n creu gweinyddwr newydd os nad yw'r e-bost hwnnw'n bodoli.
helpu
Argraffwch y neges help hon.
ad-drefnu
Ail-ffurfweddu'r cais.
ailosod-rhwydwaith
Yn ailosod nftables, rhyngwyneb WireGuard, a thabl llwybro yn ôl i ragosodiadau Firezone.
dangos-config
Dangoswch y ffurfweddiad a fyddai'n cael ei gynhyrchu trwy ail-ffurfweddu.
teardown-rhwydwaith
Yn dileu rhyngwyneb WireGuard a thabl nftables firezone.
grym-tyst-adnewyddu
Gorfodi adnewyddu tystysgrif nawr hyd yn oed os nad yw wedi dod i ben.
stop-cert-adnewyddu
Yn dileu cronjob sy'n adnewyddu tystysgrifau.
uninstall
Lladd pob proses a dadosod y goruchwyliwr proses (bydd data'n cael ei gadw).
fersiwn
Arddangos y fersiwn gyfredol o Firezone
Gorchmynion Rheoli Gwasanaeth:
gosgeiddig-ladd
Ceisiwch stop gosgeiddig, yna SIGKILL y grŵp proses cyfan.
hwp
Anfonwch HUP at y gwasanaethau.
int
Anfonwch INT at y gwasanaethau.
lladd
Anfonwch Lladd i'r gwasanaethau.
unwaith y bydd
Dechreuwch y gwasanaethau os ydyn nhw i lawr. Peidiwch â'u hailddechrau os byddant yn stopio.
ail-gychwyn
Stopiwch y gwasanaethau os ydynt yn rhedeg, yna dechreuwch nhw eto.
gwasanaeth-rhestr
Rhestrwch yr holl wasanaethau (mae gwasanaethau wedi'u galluogi yn ymddangos gyda *.)
dechrau
Dechreuwch wasanaethau os ydynt i lawr, a'u hailgychwyn os byddant yn dod i ben.
statws
Dangoswch statws yr holl wasanaethau.
rhoi'r gorau i
Stopiwch y gwasanaethau, a pheidiwch â'u hailddechrau.
cynffon
Gwyliwch logiau gwasanaeth yr holl wasanaethau sydd wedi'u galluogi.
dymor
Anfonwch TYMOR i'r gwasanaethau.
usr1
Anfonwch USR1 at y gwasanaethau.
usr2
Anfonwch USR2 at y gwasanaethau.
Rhaid terfynu pob sesiwn VPN cyn uwchraddio Firezone, sydd hefyd yn galw am gau'r UI Gwe i lawr. Os bydd rhywbeth yn mynd o'i le yn ystod yr uwchraddio, rydym yn cynghori neilltuo awr ar gyfer cynnal a chadw.
I wella Firezone, cymerwch y camau canlynol:
Os bydd unrhyw broblemau'n codi, rhowch wybod i ni erbyn cyflwyno tocyn cymorth.
Mae yna ychydig o newidiadau torri ac addasiadau cyfluniad yn 0.5.0 y mae'n rhaid rhoi sylw iddynt. Darganfyddwch fwy isod.
Nid yw Nginx bellach yn cefnogi paramedrau porthladd SSL a di-SSL o fersiwn 0.5.0. Oherwydd bod angen SSL ar Firezone i weithio, rydym yn cynghori dileu'r gwasanaeth bwndel Nginx trwy osod y rhagosodiad['firezone']['nginx']['enabled'] = ffug a chyfeirio'ch dirprwy gwrthdro i'r ap Phoenix ar borth 13000 yn lle (yn ddiofyn ).
Mae 0.5.0 yn cyflwyno cefnogaeth protocol ACME ar gyfer adnewyddu tystysgrifau SSL yn awtomatig gyda'r gwasanaeth Nginx wedi'i bwndelu. Er mwyn galluogi,
Mae'r posibilrwydd i ychwanegu rheolau gyda chyrchfannau dyblyg wedi diflannu yn Firezone 0.5.0. Bydd ein sgript mudo yn adnabod y sefyllfaoedd hyn yn awtomatig yn ystod uwchraddio i 0.5.0 a dim ond yn cadw'r rheolau y mae eu cyrchfan yn cynnwys y rheol arall. Nid oes angen i chi wneud dim os yw hyn yn iawn.
Fel arall, cyn uwchraddio, rydym yn cynghori newid eich set reolau i gael gwared ar y sefyllfaoedd hyn.
Mae Firezone 0.5.0 yn dileu cefnogaeth ar gyfer yr hen ffurfweddiad Okta a Google SSO o blaid y cyfluniad newydd, mwy hyblyg sy'n seiliedig ar OIDC.
Os oes gennych unrhyw ffurfweddiad o dan yr allweddi rhagosodedig['firezone']['authentication']['okta'] neu'r bysellau rhagosodedig['firezone']['authentication']['google'], mae angen i chi symud y rhain i'n OIDC -cyfluniad seiliedig gan ddefnyddio'r canllaw isod.
Cyfluniad Google OAuth presennol
Tynnwch y llinellau hyn sy'n cynnwys yr hen gyfluniadau Google OAuth o'ch ffeil ffurfweddu yn /etc/firezone/firezone.rb
rhagosodedig['firezone']['dilysiad']['google']['galluogi']
rhagosodedig['firezone']['dilysiad']['google']['client_id']
rhagosodedig['firezone']['dilysiad']['google']['client_secret']
rhagosodedig['firezone']['dilysiad']['google']['redirect_uri']
Yna, ffurfweddwch Google fel darparwr OIDC trwy ddilyn y gweithdrefnau yma.
(Darparwch gyfarwyddiadau cyswllt)<<<<<<<<<<<<<<<
Ffurfweddu OAuth Google Presennol
Tynnwch y llinellau hyn sy'n cynnwys yr hen gyfluniadau Okta OAuth o'ch ffeil ffurfweddu sydd wedi'i lleoli yn /etc/firezone/firezone.rb
rhagosodedig['firezone']['dilysiad']['okta']['galluogi']
rhagosodedig['firezone']['dilysu']['okta']['client_id']
rhagosodedig['firezone']['dilysiad']['okta']['client_secret']
Diofyn['firezone']['dilysiad']['okta']['safle']
Yna, ffurfweddwch Okta fel darparwr OIDC trwy ddilyn y gweithdrefnau yma.
Yn dibynnu ar eich gosodiad a'ch fersiwn gyfredol, cadwch at y cyfarwyddiadau isod:
Os oes gennych chi integreiddiad OIDC eisoes:
I rai darparwyr OIDC, mae uwchraddio i >= 0.3.16 yn golygu bod angen cael tocyn adnewyddu ar gyfer y cwmpas mynediad all-lein. Trwy wneud hyn, gwneir yn siŵr bod Firezone yn diweddaru gyda'r darparwr hunaniaeth a bod cysylltiad VPN yn cael ei gau i ffwrdd ar ôl i ddefnyddiwr gael ei ddileu. Roedd diffyg y nodwedd hon yn fersiynau cynharach Firezone. Mewn rhai achosion, efallai y bydd defnyddwyr sy'n cael eu dileu o'ch darparwr hunaniaeth yn dal i fod yn gysylltiedig â VPN.
Mae angen cynnwys mynediad all-lein ym mharamedr cwmpas eich cyfluniad OIDC ar gyfer darparwyr OIDC sy'n cefnogi'r cwmpas mynediad all-lein. Rhaid gweithredu ad-drefnu Firezone-ctl er mwyn cymhwyso newidiadau i ffeil ffurfweddu Firezone, sydd wedi'i lleoli yn /etc/firezone/firezone.rb.
Ar gyfer defnyddwyr sydd wedi'u dilysu gan eich darparwr OIDC, fe welwch bennawd OIDC Connections ar dudalen manylion defnyddiwr yr UI gwe os yw Firezone yn gallu adfer y tocyn adnewyddu yn llwyddiannus.
Os na fydd hyn yn gweithio, bydd angen i chi ddileu eich app OAuth presennol ac ailadrodd y camau gosod OIDC i creu integreiddio app newydd .
Mae gennyf integreiddiad OAuth presennol
Cyn 0.3.11, defnyddiodd Firezone ddarparwyr OAuth2 wedi'u ffurfweddu ymlaen llaw.
Dilynwch y cyfarwyddiadau yma i ymfudo i OIDC.
Nid wyf wedi integreiddio darparwr hunaniaeth
Nid oes angen gweithredu.
Gallwch ddilyn y cyfarwyddiadau yma i alluogi SSO trwy ddarparwr OIDC.
Yn ei le, mae'r rhagosodiad['firezone']['external url'] wedi disodli'r opsiwn ffurfweddu rhagosodedig['firezone']['fqdn'].
Gosodwch hwn i URL eich porth ar-lein Firezone sy'n hygyrch i'r cyhoedd. Bydd yn ddiofyn i https:// ynghyd â FQDN eich gweinydd os caiff ei adael heb ei ddiffinio.
Mae'r ffeil ffurfweddu wedi'i lleoli yn /etc/firezone/firezone.rb. Gweler cyfeirnod y ffeil ffurfweddu am restr gyflawn o newidynnau cyfluniad a'u disgrifiadau.
Nid yw Firezone bellach yn cadw allweddi preifat dyfais ar weinydd Firezone o fersiwn 0.3.0.
Ni fydd UI Gwe Firezone yn caniatáu ichi ail-lwytho i lawr na gweld y ffurfweddiadau hyn, ond dylai unrhyw ddyfeisiau sy'n bodoli eisoes barhau i weithredu fel y maent.
Os ydych chi'n uwchraddio o Firezone 0.1.x, mae yna rai newidiadau ffeil ffurfweddu y mae'n rhaid mynd i'r afael â nhw â llaw.
I wneud yr addasiadau angenrheidiol i'ch ffeil /etc/firezone/firezone.rb, rhedwch y gorchmynion isod fel gwraidd.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i "s/ \['galluogi'\]/\['galluogi'\]/" /etc/firezone/firezone.rb
adlais “diofyn['firezone']['connectivity_checks']['enabled'] = gwir” >> /etc/firezone/firezone.rb
adlais “diofyn['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
ailgyflunio firezone-ctl
ailgychwyn firezone-ctl
Mae gwirio logiau Firezone yn gam cyntaf doeth ar gyfer unrhyw faterion a all godi.
Rhedeg cynffon sudo firezone-ctl i weld y logiau Firezone.
Mae mwyafrif y problemau cysylltedd gyda Firezone yn cael eu hachosi gan reolau iptables neu nftables anghydnaws. Rhaid i chi sicrhau nad yw unrhyw reolau sydd gennych mewn gwirionedd yn gwrthdaro â rheolau Firezone.
Gwnewch yn siŵr bod y gadwyn FORWARD yn caniatáu pecynnau gan eich cleientiaid WireGuard i'r lleoliadau rydych chi am eu gosod trwy Firezone os bydd eich cysylltedd Rhyngrwyd yn dirywio bob tro y byddwch chi'n actifadu eich twnnel WireGuard.
Gellir cyflawni hyn os ydych yn defnyddio ufw trwy sicrhau bod y polisi llwybro rhagosodedig yn caniatáu:
ubuntu@fz: ~$ sudo ufw rhagosodedig caniatáu llwybro
Newidiwyd y polisi llwybr diofyn i 'caniatáu'
(gwnewch yn siŵr eich bod yn diweddaru eich rheolau yn unol â hynny)
A ufw gallai statws ar gyfer gweinydd Firezone nodweddiadol edrych fel hyn:
ubuntu@fz: ~$ gair statws sudo ufw
Statws: gweithredol
Logio: ymlaen (isel)
Diofyn: gwadu (dod i mewn), caniatáu (mynd allan), caniatáu (llwybro)
Proffiliau newydd: sgip
I Weithredu Oddi
— —— —-
22/tcp CANIATÁU MEWN Unrhyw Le
80/tcp CANIATÁU MEWN Unrhyw Le
443/tcp CANIATÁU MEWN Unrhyw Le
51820/udp CANIATÁU MEWN Unrhyw Le
22/tcp (v6) CANIATÁU MEWN Unrhyw Le (v6)
80/tcp (v6) CANIATÁU MEWN Unrhyw Le (v6)
443/tcp (v6) CANIATÁU MEWN Unrhyw Le (v6)
51820/udp (v6) CANIATÁU MEWN Unrhyw Le (v6)
Rydym yn cynghori cyfyngu mynediad i'r rhyngwyneb gwe ar gyfer gosodiadau cynhyrchu hynod sensitif a chenhadol, fel yr eglurir isod.
Gwasanaeth | Porthladd rhagosodedig | Gwrando Anerchiad | Disgrifiad |
Nginx | 80, 443 | bob | Porthladd HTTP(S) cyhoeddus ar gyfer gweinyddu Firezone a hwyluso dilysu. |
Gwarchodwr Gwifren | 51820 | bob | Porthladd WireGuard cyhoeddus a ddefnyddir ar gyfer sesiynau VPN. (CDU) |
postgresql | 15432 | 127.0.0.1 | Porth lleol yn unig a ddefnyddir ar gyfer gweinydd Postgresql wedi'i bwndelu. |
Phoenix | 13000 | 127.0.0.1 | Porthladd lleol yn unig a ddefnyddir gan weinydd ap elixir i fyny'r afon. |
Rydym yn eich cynghori i feddwl am gyfyngu mynediad i UI gwe sy'n agored i'r cyhoedd Firezone (yn ddiofyn porthladdoedd 443/tcp a 80/tcp) ac yn lle hynny defnyddio twnnel WireGuard i reoli Firezone ar gyfer cynhyrchu a defnyddio sy'n wynebu'r cyhoedd lle bydd gweinyddwr sengl yn gyfrifol. o greu a dosbarthu ffurfweddiadau dyfais i ddefnyddwyr terfynol.
Er enghraifft, pe bai gweinyddwr yn creu cyfluniad dyfais ac yn creu twnnel gyda'r cyfeiriad WireGuard lleol 10.3.2.2, byddai'r cyfluniad ufw canlynol yn galluogi'r gweinyddwr i gael mynediad i UI gwe Firezone ar ryngwyneb wg-firezone y gweinydd gan ddefnyddio'r rhagosodiad 10.3.2.1 cyfeiriad twnnel:
root@demo: ~# ufw statws verbose
Statws: gweithredol
Logio: ymlaen (isel)
Diofyn: gwadu (dod i mewn), caniatáu (mynd allan), caniatáu (llwybro)
Proffiliau newydd: sgip
I Weithredu Oddi
— —— —-
22/tcp CANIATÁU MEWN Unrhyw Le
51820/udp CANIATÁU MEWN Unrhyw Le
Unrhyw le CANIATÁU YN 10.3.2.2
22/tcp (v6) CANIATÁU MEWN Unrhyw Le (v6)
51820/udp (v6) CANIATÁU MEWN Unrhyw Le (v6)
Byddai hyn yn gadael yn unig 22/tcp agored ar gyfer mynediad SSH i reoli'r gweinydd (dewisol), a 51820/udp agored er mwyn sefydlu twneli WireGuard.
Mae Firezone yn bwndelu gweinydd Postgresql a pharu psql cyfleustodau y gellir eu defnyddio o'r gragen leol fel hyn:
/opt/firezone/fembedded/bin/psql \
-U parth tân \
-d firezone \
-h localhost \
-p 15432|
-c “SQL_STATEMENT”
Gall hyn fod yn ddefnyddiol at ddibenion dadfygio.
Tasgau Cyffredin:
Yn rhestru'r holl ddefnyddwyr:
/opt/firezone/fembedded/bin/psql \
-U parth tân \
-d firezone \
-h localhost \
-p 15432|
-c “SELECT * O ddefnyddwyr;”
Yn rhestru'r holl ddyfeisiau:
/opt/firezone/fembedded/bin/psql \
-U parth tân \
-d firezone \
-h localhost \
-p 15432|
-c “SELECT * O ddyfeisiau;”
Newid rôl defnyddiwr:
Gosodwch y rôl i 'weinyddol' neu 'ddifreintiedig':
/opt/firezone/fembedded/bin/psql \
-U parth tân \
-d firezone \
-h localhost \
-p 15432|
-c “DIWEDDARIAD defnyddwyr SET rôl = 'admin' LLE email = 'user@example.com';”
Wrthi'n gwneud copi wrth gefn o'r gronfa ddata:
Ymhellach, mae'r rhaglen dympio tud wedi'i chynnwys, y gellir ei defnyddio i wneud copïau wrth gefn rheolaidd o'r gronfa ddata. Gweithredwch y cod canlynol i ddympio copi o'r gronfa ddata yn y fformat ymholiad SQL cyffredin (yn lle /path/to/backup.sql gyda'r lleoliad lle dylid creu'r ffeil SQL):
/opt/firezone/embedded/bin/pg_dump \
-U parth tân \
-d firezone \
-h localhost \
-p 15432 > /path/to/backup.sql
Ar ôl i Firezone gael ei ddefnyddio'n llwyddiannus, rhaid i chi ychwanegu defnyddwyr i roi mynediad iddynt i'ch rhwydwaith. Defnyddir y UI Gwe i wneud hyn.
Trwy ddewis y botwm "Ychwanegu Defnyddiwr" o dan / defnyddwyr, gallwch ychwanegu defnyddiwr. Bydd gofyn i chi roi cyfeiriad e-bost a chyfrinair i'r defnyddiwr. Er mwyn caniatáu mynediad i ddefnyddwyr yn eich sefydliad yn awtomatig, gall Firezone hefyd ryngwynebu a chysoni â darparwr hunaniaeth. Mae rhagor o fanylion ar gael yn Dilysu. < Ychwanegu dolen i Authenticate
Rydym yn cynghori gofyn i ddefnyddwyr greu eu ffurfweddiadau dyfais eu hunain fel bod yr allwedd breifat yn weladwy iddynt yn unig. Gall defnyddwyr gynhyrchu eu ffurfweddiadau dyfais eu hunain trwy ddilyn y cyfarwyddiadau ar y Cyfarwyddiadau Cleient tudalen.
Gall gweinyddwyr Firezone greu pob ffurfweddiad dyfais defnyddiwr. Ar y dudalen proffil defnyddiwr sydd wedi'i lleoli yn /users, dewiswch yr opsiwn "Ychwanegu Dyfais" i gyflawni hyn.
[Mewnosod sgrinlun]
Gallwch e-bostio'r ffeil ffurfweddu WireGuard at y defnyddiwr ar ôl creu proffil y ddyfais.
Mae defnyddwyr a dyfeisiau wedi'u cysylltu. Am fanylion pellach ar sut i ychwanegu defnyddiwr, gweler Ychwanegu Defnyddwyr.
Trwy ddefnyddio system hidlo rhwyd y cnewyllyn, mae Firezone yn galluogi galluoedd hidlo allanfeydd i nodi pecynnau DROP neu DERBYN. Caniateir pob traffig fel arfer.
Cefnogir IPv4 a IPv6 CIDR a chyfeiriadau IP trwy'r Rhestr Ganiatáu a'r Gwadwr, yn y drefn honno. Gallwch ddewis cwmpasu rheol i ddefnyddiwr wrth ei ychwanegu, sy'n cymhwyso'r rheol i holl ddyfeisiau'r defnyddiwr hwnnw.
Gosod a ffurfweddu
I sefydlu cysylltiad VPN gan ddefnyddio'r cleient WireGuard brodorol, cyfeiriwch at y canllaw hwn.
Mae'r cleientiaid WireGuard Swyddogol sydd wedi'u lleoli yma yn gydnaws â Firezone:
Ewch i wefan swyddogol WireGuard yn https://www.wireguard.com/install/ ar gyfer systemau OS na chrybwyllwyd uchod.
Gall naill ai eich gweinyddwr Firezone neu chi'ch hun gynhyrchu ffeil ffurfweddu'r ddyfais gan ddefnyddio porth Firezone.
Ewch i'r URL y mae eich gweinyddwr Firezone wedi'i ddarparu i hunan-gynhyrchu ffeil ffurfweddu dyfais. Bydd gan eich cwmni URL unigryw ar gyfer hyn; yn yr achos hwn, mae'n https://instance-id.yourfirezone.com.
Mewngofnodi i Firezone Okta SSO
[Mewnosod Sgrinlun]
Mewnforio ffeil the.conf i'r cleient WireGuard trwy ei agor. Trwy fflipio'r switsh Activate, gallwch chi ddechrau sesiwn VPN.
[Mewnosod Sgrinlun]
Dilynwch y cyfarwyddiadau isod os yw gweinyddwr eich rhwydwaith wedi gorchymyn dilysu cylchol i gadw'ch cysylltiad VPN yn weithredol.
Mae angen i chi:
URL porth Firezone: Gofynnwch i'ch gweinyddwr rhwydwaith am y cysylltiad.
Dylai gweinyddwr eich rhwydwaith allu cynnig eich mewngofnodi a'ch cyfrinair. Bydd gwefan Firezone yn eich annog i fewngofnodi gan ddefnyddio'r gwasanaeth mewngofnodi sengl y mae eich cyflogwr yn ei ddefnyddio (fel Google neu Okta).
[Mewnosod Sgrinlun]
Ewch i URL porth Firezone a mewngofnodwch gan ddefnyddio'r manylion y mae gweinyddwr eich rhwydwaith wedi'u darparu. Os ydych chi eisoes wedi mewngofnodi, cliciwch y botwm Reauthenticate cyn mewngofnodi eto.
[Mewnosod Sgrinlun]
[Mewnosod Sgrinlun]
I fewnforio'r proffil cyfluniad WireGuard gan ddefnyddio Network Manager CLI ar ddyfeisiau Linux, dilynwch y cyfarwyddiadau hyn (nmcli).
Os oes gan y proffil gefnogaeth IPv6 wedi'i alluogi, mae'n bosibl y bydd ceisio mewnforio'r ffeil ffurfweddu gan ddefnyddio GUI Network Manager yn methu â'r gwall canlynol:
ipv6.method: ni chefnogir dull “auto” ar gyfer WireGuard
Mae angen gosod y cyfleustodau WireGuard userspace. Bydd hwn yn becyn o'r enw wireguard neu wireguard-tools ar gyfer dosbarthiadau Linux.
Ar gyfer Ubuntu/Debian:
sudo apt gosod wireguard
I ddefnyddio Fedora:
sudo dnf gosod wireguard-offer
Arch Linux:
sudo pacman -S wireguard-offer
Ewch i wefan swyddogol WireGuard yn https://www.wireguard.com/install/ ar gyfer dosraniadau nad ydynt wedi'u crybwyll uchod.
Gall naill ai eich gweinyddwr Firezone neu hunan-gynhyrchu gynhyrchu ffeil ffurfweddu'r ddyfais gan ddefnyddio porth Firezone.
Ewch i'r URL y mae eich gweinyddwr Firezone wedi'i ddarparu i hunan-gynhyrchu ffeil ffurfweddu dyfais. Bydd gan eich cwmni URL unigryw ar gyfer hyn; yn yr achos hwn, mae'n https://instance-id.yourfirezone.com.
[Mewnosod Sgrinlun]
Mewnforio'r ffeil ffurfweddu a gyflenwir gan ddefnyddio nmcli:
sudo nmcli cysylltiad mewnforio ffeil wireguard math /path/to/configuration.conf
Bydd enw'r ffeil ffurfweddu yn cyfateb i'r cysylltiad / rhyngwyneb WireGuard. Ar ôl mewnforio, gellir ailenwi'r cysylltiad os oes angen:
cysylltiad nmcli addasu [hen enw] connection.id [enw newydd]
Trwy'r llinell orchymyn, cysylltwch â'r VPN fel a ganlyn:
cysylltiad nmcli i fyny [enw vpn]
I ddatgysylltu:
cysylltiad nmcli i lawr [enw vpn]
Gellir defnyddio rhaglennig Rheolwr Rhwydwaith perthnasol hefyd i reoli'r cysylltiad os ydych yn defnyddio GUI.
Trwy ddewis “ie” ar gyfer yr opsiwn awtogysylltu, gellir ffurfweddu'r cysylltiad VPN i gysylltu yn awtomatig:
cysylltiad nmcli addasu cysylltiad [enw vpn]. <<<<<<
awtogysylltu ie
I analluogi'r cysylltiad awtomatig gosodwch ef yn ôl i ddim:
cysylltiad nmcli addasu cysylltiad [enw vpn].
awtogysylltu dim
I actifadu MFA Ewch i dudalen mfa'r porth Firezone/cyfrif defnyddiwr/cofrestru. Defnyddiwch eich ap dilysu i sganio'r cod QR ar ôl iddo gael ei gynhyrchu, yna nodwch y cod chwe digid.
Cysylltwch â'ch Gweinyddwr i ailosod gwybodaeth mynediad eich cyfrif os byddwch chi'n colli'ch ap dilysu.
Bydd y tiwtorial hwn yn eich tywys trwy'r broses o sefydlu nodwedd twnelu hollt WireGuard gyda Firezone fel mai dim ond traffig i ystodau IP penodol sy'n cael ei anfon ymlaen trwy'r gweinydd VPN.
Mae'r ystodau IP y bydd y cleient yn cyfeirio traffig rhwydwaith ar eu cyfer wedi'u nodi yn y maes IPs a Ganiateir sydd wedi'i leoli ar y dudalen / gosodiadau / diofyn. Dim ond y ffurfweddiadau twnnel WireGuard sydd newydd eu creu gan Firezone fydd yn cael eu heffeithio gan newidiadau i'r maes hwn.
[Mewnosod Sgrinlun]
Y gwerth diofyn yw 0.0.0.0/0, ::/0, sy'n llwybro'r holl draffig rhwydwaith o'r cleient i'r gweinydd VPN.
Mae enghreifftiau o werthoedd yn y maes hwn yn cynnwys:
0.0.0.0/0, ::/0 - bydd yr holl draffig rhwydwaith yn cael ei gyfeirio at y gweinydd VPN.
192.0.2.3/32 – dim ond traffig i un cyfeiriad IP fydd yn cael ei gyfeirio at y gweinydd VPN.
3.5.140.0/22 – dim ond traffig i IPs yn yr ystod 3.5.140.1 – 3.5.143.254 fydd yn cael ei gyfeirio at y gweinydd VPN. Yn yr enghraifft hon, defnyddiwyd yr ystod CIDR ar gyfer rhanbarth AWS ap-gogledd-ddwyrain-2.
Mae Firezone yn dewis y rhyngwyneb allanfa sy'n gysylltiedig â'r llwybr mwyaf manwl gywir yn gyntaf wrth benderfynu ble i lwybro pecyn.
Rhaid i ddefnyddwyr adfywio'r ffeiliau cyfluniad a'u hychwanegu at eu cleient WireGuard brodorol er mwyn diweddaru dyfeisiau defnyddwyr presennol gyda'r cyfluniad twnnel hollti newydd.
Am gyfarwyddiadau, gweler ychwanegu dyfais. <<<<<<<< Ychwanegu dolen
Bydd y llawlyfr hwn yn dangos sut i gysylltu dwy ddyfais gan ddefnyddio Firezone fel ras gyfnewid. Un achos defnydd nodweddiadol yw galluogi gweinyddwr i gael mynediad at weinydd, cynhwysydd, neu beiriant sydd wedi'i ddiogelu gan NAT neu wal dân.
Mae'r llun hwn yn dangos senario syml lle mae Dyfeisiau A a B yn adeiladu twnnel.
[Rhowch lun pensaernïol parth tân]
Dechreuwch trwy greu Dyfais A a Dyfais B trwy lywio i /users/[user_id]/new_device. Yn y gosodiadau ar gyfer pob dyfais, sicrhewch fod y paramedrau canlynol wedi'u gosod i'r gwerthoedd a restrir isod. Gallwch chi osod gosodiadau dyfais wrth greu ffurfweddiad y ddyfais (gweler Ychwanegu Dyfeisiau). Os oes angen i chi ddiweddaru gosodiadau ar ddyfais sy'n bodoli eisoes, gallwch wneud hynny trwy gynhyrchu ffurfwedd dyfais newydd.
Sylwch fod gan bob dyfais dudalen /settings/defaults lle gellir ffurfweddu PersistentKeepalive.
AllowedIPs = 10.3.2.2/32
Dyma'r IP neu ystod o IPs Dyfais B
PersistentKeepalive = 25
Os yw'r ddyfais y tu ôl i NAT, mae hyn yn sicrhau bod y ddyfais yn gallu cadw'r twnnel yn fyw a pharhau i dderbyn pecynnau o'r rhyngwyneb WireGuard. Fel arfer mae gwerth o 25 yn ddigon, ond efallai y bydd angen i chi leihau'r gwerth hwn yn dibynnu ar eich amgylchedd.
AllowedIPs = 10.3.2.3/32
Dyma'r IP neu ystod o IPs Dyfais A
PersistentKeepalive = 25
Mae'r enghraifft hon yn dangos sefyllfa lle gall Dyfais A gyfathrebu â Dyfeisiau B trwy D i'r ddau gyfeiriad. Gall y gosodiad hwn gynrychioli peiriannydd neu weinyddwr sy'n cyrchu adnoddau niferus (gweinyddwyr, cynwysyddion, neu beiriannau) ar draws amrywiol rwydweithiau.
[Diagram Pensaernïol]<<<<<<
Gwnewch yn siŵr bod y gosodiadau canlynol yn cael eu gwneud yng ngosodiadau pob dyfais i'r gwerthoedd cyfatebol. Wrth greu cyfluniad y ddyfais, gallwch chi nodi gosodiadau dyfais (gweler Ychwanegu Dyfeisiau). Gellir creu ffurfweddiad dyfais newydd os oes angen diweddaru gosodiadau ar ddyfais sy'n bodoli eisoes.
AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Dyma IP dyfeisiau B trwy D. Rhaid cynnwys IPs Dyfeisiau B trwy D mewn unrhyw ystod IP rydych chi'n dewis ei osod.
PersistentKeepalive = 25
Mae hyn yn gwarantu y gall y ddyfais gynnal y twnnel a pharhau i dderbyn pecynnau o ryngwyneb WireGuard hyd yn oed os yw wedi'i ddiogelu gan NAT. Yn y rhan fwyaf o achosion, mae gwerth o 25 yn ddigonol, fodd bynnag, yn dibynnu ar eich amgylchoedd, efallai y bydd angen i chi ostwng y ffigur hwn.
I gynnig un IP mynediad sefydlog i holl draffig eich tîm lifo allan ohono, gellir defnyddio Firezone fel porth NAT. Mae'r sefyllfaoedd hyn yn cynnwys ei ddefnyddio'n aml:
Ymrwymiadau Ymgynghori: Gofynnwch i'ch cwsmer restr wen o un cyfeiriad IP sefydlog yn hytrach nag IP dyfais unigryw pob gweithiwr.
Defnyddio dirprwy neu guddio eich IP ffynhonnell at ddibenion diogelwch neu breifatrwydd.
Bydd enghraifft syml o gyfyngu mynediad i raglen we hunangynhaliol i un IP sefydlog ar y rhestr wen sy'n rhedeg Firezone yn cael ei dangos yn y post hwn. Yn y llun hwn, mae Firezone a'r adnodd gwarchodedig mewn gwahanol ardaloedd VPC.
Defnyddir yr ateb hwn yn aml yn lle rheoli rhestr wen IP ar gyfer nifer o ddefnyddwyr terfynol, a all gymryd llawer o amser wrth i'r rhestr mynediad ehangu.
Ein nod yw sefydlu gweinydd Firezone ar enghraifft EC2 i ailgyfeirio traffig VPN i'r adnodd cyfyngedig. Yn yr achos hwn, mae Firezone yn gwasanaethu fel dirprwy rhwydwaith neu borth NAT i roi IP unigryw ar gyfer mynediad cyhoeddus i bob dyfais gysylltiedig.
Yn yr achos hwn, mae enghraifft EC2 o'r enw tc2.micro wedi gosod enghraifft Firezone arno. I gael gwybodaeth am ddefnyddio Firezone, ewch i'r Canllaw Defnyddio. Mewn perthynas ag AWS, gwnewch yn siŵr:
Mae grŵp diogelwch achos Firezone EC2 yn caniatáu traffig allan i gyfeiriad IP yr adnodd gwarchodedig.
Daw'r enghraifft Firezone ag IP elastig. Bydd traffig sy'n cael ei anfon ymlaen trwy'r achos Firezone i gyrchfannau allanol yn cael hwn fel ei gyfeiriad IP ffynhonnell. Y cyfeiriad IP dan sylw yw 52.202.88.54.
[Mewnosod Sgrinlun]<<<<<<<
Mae cymhwysiad gwe hunangynhaliol yn adnodd gwarchodedig yn yr achos hwn. Dim ond trwy geisiadau sy'n dod o'r cyfeiriad IP 52.202.88.54 y gellir cyrchu'r app gwe. Yn dibynnu ar yr adnodd, gall fod yn angenrheidiol caniatáu traffig i mewn ar wahanol borthladdoedd a mathau o draffig. Nid yw hyn wedi'i gynnwys yn y llawlyfr hwn.
[Mewnosod sgrinlun]<<<<<<<
Dywedwch wrth y trydydd parti sy'n gyfrifol am yr adnodd gwarchodedig bod yn rhaid caniatáu traffig o'r IP sefydlog a ddiffinnir yng Ngham 1 (yn yr achos hwn 52.202.88.54).
Yn ddiofyn, bydd yr holl draffig defnyddwyr yn mynd trwy'r gweinydd VPN ac yn dod o'r IP statig a gafodd ei ffurfweddu yng Ngham 1 (yn yr achos hwn 52.202.88.54). Fodd bynnag, os yw twnelu hollt wedi'i alluogi, gallai fod angen gosodiadau i sicrhau bod IP cyrchfan yr adnodd gwarchodedig wedi'i restru ymhlith yr IPs a Ganiateir.
Isod mae rhestr gyflawn o'r opsiynau ffurfweddu sydd ar gael yn /etc/firezone/firezone.rb.
opsiwn | disgrifiad | gwerth diofyn |
rhagosodedig['firezone']['external_url'] | URL a ddefnyddir i gyrchu porth gwe yr enghraifft Firezone hon. | “ https://#{nod['fqdn'] || nod['enw gwesteiwr']}" |
rhagosodedig['firezone']['config_directory'] | Cyfeiriadur lefel uchaf ar gyfer cyfluniad Firezone. | /etc/firezone' |
rhagosodedig['firezone']['install_directory'] | Cyfeiriadur lefel uchaf i osod Firezone iddo. | /optio/parth tân' |
rhagosodedig['firezone']['app_directory'] | Cyfeiriadur lefel uchaf i osod cymhwysiad gwe Firezone. | “#{node['firezone']['install_directory']}/wedi'i fewnosod/gwasanaeth/parth tân” |
rhagosodedig['firezone']['log_directory'] | Cyfeiriadur lefel uchaf ar gyfer logiau Firezone. | /var/log/firezone' |
rhagosodedig['firezone']['var_directory'] | Cyfeiriadur lefel uchaf ar gyfer ffeiliau amser rhedeg Firezone. | /var/opt/firezone' |
rhagosodedig['firezone']['defnyddiwr'] | Enw defnyddiwr Linux di-freintiedig y bydd y rhan fwyaf o wasanaethau a ffeiliau yn perthyn iddo. | parth tân' |
rhagosodedig['firezone']['group'] | Enw'r grŵp Linux y bydd y rhan fwyaf o wasanaethau a ffeiliau yn perthyn iddo. | parth tân' |
rhagosodedig['firezone']['admin_email'] | Cyfeiriad e-bost ar gyfer defnyddiwr cychwynnol Firezone. | “firezone@localhost” |
rhagosodedig['firezone']['max_devices_per_user'] | Uchafswm nifer y dyfeisiau y gall defnyddiwr eu cael. | 10 |
rhagosodedig['firezone']['caniatáu_rheolaeth_dyfais_ddifreintiedig'] | Caniatáu i ddefnyddwyr nad ydynt yn weinyddol greu a dileu dyfeisiau. | TRUE |
rhagosodedig['firezone']['caniatáu_cyfluniad_dyfais_unprivileged'] | Yn caniatáu i ddefnyddwyr nad ydynt yn weinyddol addasu ffurfweddiadau dyfeisiau. Pan fydd yn anabl, mae'n atal defnyddwyr difreintiedig rhag newid pob maes dyfais heblaw am enw a disgrifiad. | TRUE |
rhagosodedig['firezone']['egress_interface'] | Enw rhyngwyneb lle bydd traffig twnel yn gadael. Os yn ddim, bydd y rhyngwyneb llwybr rhagosodedig yn cael ei ddefnyddio. | dim |
rhagosodedig['firezone']['fips_enabled'] | Galluogi neu analluogi modd FIPs OpenSSL. | dim |
rhagosodedig['firezone']['logio']['galluogi'] | Galluogi neu analluogi logio ar draws Firezone. Gosod i ffug i analluogi logio yn gyfan gwbl. | TRUE |
rhagosodedig['enterprise']['name'] | Enw a ddefnyddir gan lyfr coginio 'menter' y Cogydd. | parth tân' |
rhagosodedig['firezone']['install_path'] | Gosod y llwybr a ddefnyddir gan lyfr coginio 'menter' y Cogydd. Dylid ei osod i'r un peth â'r install_directory uchod. | nod['firezone']['install_directory'] |
rhagosodedig['firezone']['sysvinit_id'] | Dynodwr a ddefnyddir yn /etc/inittab. Rhaid iddo fod yn ddilyniant unigryw o 1-4 nod. | SUP' |
rhagosodedig['firezone']['dilysiad']['lleol']['galluogi'] | Galluogi neu analluogi dilysu e-bost/cyfrinair lleol. | TRUE |
rhagosodedig['firezone']['dilysu']['auto_create_oidc_users'] | Creu defnyddwyr sy'n mewngofnodi o OIDC yn awtomatig am y tro cyntaf. Analluogi i ganiatáu dim ond defnyddwyr presennol i fewngofnodi drwy OIDC. | TRUE |
rhagosodedig['firezone']['dilysu']['disable_vpn_on_oidc_error'] | Analluoga VPN defnyddiwr os canfyddir gwall wrth geisio adnewyddu eu tocyn OIDC. | Anghywir |
rhagosodedig['firezone']['dilysu']['oidc'] | Ffurfwedd OpenID Connect, yn y fformat {"darparwr" => [config…]} - Gweler Dogfennaeth OpenIDConnect ar gyfer enghreifftiau ffurfweddu. | {} |
rhagosodedig['firezone']['nginx']['galluogi'] | Galluogi neu analluogi'r gweinydd nginx bwndelu. | TRUE |
rhagosodedig['firezone']['nginx']['ssl_port'] | Porth gwrando HTTPS. | 443 |
rhagosodedig['firezone']['nginx']['cyfeiriadur'] | Cyfeiriadur i storio cyfluniad gwesteiwr rhithwir nginx sy'n gysylltiedig â Firezone. | “#{node['firezone']['var_directory']}/nginx/etc" |
rhagosodedig['firezone']['nginx']['log_directory'] | Cyfeiriadur i storio ffeiliau log nginx sy'n gysylltiedig â Firezone. | “#{nod['firezone']['log_directory']}/nginx" |
rhagosodedig['firezone']['nginx']['log_rotation']['file_maxbytes'] | Maint ffeil ar gyfer cylchdroi ffeiliau log Nginx. | 104857600 |
rhagosodedig['firezone']['nginx']['log_rotation']['num_to_keep'] | Nifer y ffeiliau log Firezone nginx i'w cadw cyn eu taflu. | 10 |
rhagosodedig['firezone']['nginx']['log_x_forwarded_for'] | A ddylid mewngofnodi Firezone nginx x-forwarded-for header. | TRUE |
rhagosodedig['firezone']['nginx']['hsts_header']['galluogi'] | TRUE | |
rhagosodedig['firezone']['nginx']['hsts_header']['cynnwys_subdomains'] | Galluogi neu analluogi cynnwysSubDomains ar gyfer pennyn HSTS. | TRUE |
rhagosodedig['firezone']['nginx']['hsts_header']['max_age'] | Uchafswm oedran ar gyfer y pennawd HSTS. | 31536000 |
rhagosodedig['firezone']['nginx']['redirect_to_canonical'] | A ddylid ailgyfeirio URLau i'r FQDN canonaidd a nodir uchod | Anghywir |
rhagosodedig['firezone']['nginx']['cache']['galluogi'] | Galluogi neu analluogi storfa Firezone nginx. | Anghywir |
rhagosodedig['firezone']['nginx']['cache']['cyfeiriadur'] | Cyfeiriadur ar gyfer storfa Firezone nginx. | “#{node['firezone']['var_directory']}/nginx/cache" |
rhagosodedig['firezone']['nginx']['user'] | Defnyddiwr nginx Firezone. | nod['firezone']['defnyddiwr'] |
rhagosodedig['firezone']['nginx']['group'] | Firezone grŵp nginx. | nod['firezone']['group'] |
rhagosodedig['firezone']['nginx']['dir'] | Cyfeiriadur cyfluniad nginx lefel uchaf. | nod['firezone']['nginx']['cyfeiriadur'] |
rhagosodedig['firezone']['nginx']['log_dir'] | Cyfeiriadur log nginx lefel uchaf. | nod['firezone']['nginx']['log_directory'] |
rhagosodedig['firezone']['nginx']['pid'] | Lleoliad ar gyfer ffeil nginx pid. | “#{nod['firezone']['nginx']['cyfeiriadur']}/nginx.pid” |
rhagosodedig['firezone']['nginx']['daemon_disable'] | Analluogi modd daemon nginx fel y gallwn ei fonitro yn lle hynny. | TRUE |
rhagosodedig['firezone']['nginx']['gzip'] | Trowch gywasgiad gzip nginx ymlaen neu i ffwrdd. | ar ' |
rhagosodedig['firezone']['nginx']['gzip_static'] | Trowch gywasgiad gzip nginx ymlaen neu i ffwrdd ar gyfer ffeiliau statig. | i ffwrdd' |
rhagosodedig['firezone']['nginx']['gzip_http_version'] | Fersiwn HTTP i'w ddefnyddio ar gyfer gweini ffeiliau statig. | 1.0 ' |
rhagosodedig['firezone']['nginx']['gzip_comp_level'] | lefel cywasgu gzip nginx. | 2 ' |
rhagosodedig['firezone']['nginx']['gzip_proxied'] | Yn galluogi neu'n analluogi gzipio ymatebion ar gyfer ceisiadau dirprwyol yn dibynnu ar y cais a'r ymateb. | unrhyw' |
rhagosodedig['firezone']['nginx']['gzip_vary'] | Yn galluogi neu'n analluogi mewnosod y pennawd ymateb “Amrywio: Derbyn-Amgodio”. | i ffwrdd' |
rhagosodedig['firezone']['nginx']['gzip_buffers'] | Yn gosod nifer a maint y byfferau a ddefnyddir i gywasgu ymateb. Os dim, defnyddir rhagosodiad nginx. | dim |
rhagosodedig['firezone']['nginx']['gzip_types'] | Mathau MIME i alluogi cywasgu gzip ar gyfer. | ['testun/plaen', 'testun/css', 'cais/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' testun/javascript', 'cais/javascript', 'cais/json'] |
rhagosodedig['firezone']['nginx']['gzip_min_length'] | Hyd ffeil lleiaf i alluogi cywasgu ffeil gzip ar gyfer. | 1000 |
rhagosodedig['firezone']['nginx']['gzip_disable'] | Paru asiant defnyddiwr i analluogi cywasgu gzip ar ei gyfer. | MSIE [1-6]\.' |
rhagosodedig['firezone']['nginx']['keepalive'] | Yn actifadu storfa ar gyfer cysylltu â gweinyddwyr i fyny'r afon. | ar ' |
rhagosodedig['firezone']['nginx']['keepalive_timeout'] | Goramser mewn eiliadau ar gyfer cysylltiad cadw'n fyw i weinyddion i fyny'r afon. | 65 |
rhagosodedig['firezone']['nginx']['worker_processes'] | Nifer y prosesau gweithiwr nginx. | nod['cpu'] && nod['cpu']['cyfanswm'] ? nod['cpu']['cyfanswm'] : 1 |
rhagosodedig['firezone']['nginx']['cysylltiadau_gweithiwr'] | Uchafswm nifer y cysylltiadau cydamserol y gellir eu hagor gan broses gweithiwr. | 1024 |
rhagosodedig['firezone']['nginx']['worker_rlimit_nofile'] | Yn newid y terfyn ar y nifer uchaf o ffeiliau agored ar gyfer prosesau gweithwyr. Yn defnyddio rhagosodiad nginx os dim. | dim |
rhagosodedig['firezone']['nginx']['multi_derbyn'] | A ddylai gweithwyr dderbyn un cysylltiad ar y tro neu fwy nag un. | TRUE |
rhagosodedig['firezone']['nginx']['digwyddiad'] | Yn pennu'r dull prosesu cysylltiad i'w ddefnyddio y tu mewn i gyd-destun digwyddiadau nginx. | ebol' |
rhagosodedig['firezone']['nginx']['server_tokens'] | Yn galluogi neu'n analluogi fersiwn nginx sy'n allyrru ar dudalennau gwall ac yn y maes pennawd ymateb “Gweinydd”. | dim |
rhagosodedig['firezone']['nginx']['server_names_hash_bucket_size'] | Yn gosod maint y bwced ar gyfer tablau hash enwau'r gweinydd. | 64 |
rhagosodedig['firezone']['nginx']['sendfile'] | Yn galluogi neu'n analluogi defnyddio ffeil anfon nginx (). | ar ' |
rhagosodedig['firezone']['nginx']['access_log_options'] | Yn gosod opsiynau log mynediad nginx. | dim |
rhagosodedig['firezone']['nginx']['error_log_options'] | Yn gosod opsiynau log gwall nginx. | dim |
rhagosodedig['firezone']['nginx']['disable_access_log'] | Yn analluogi log mynediad nginx. | Anghywir |
rhagosodedig['firezone']['nginx']['types_hash_max_size'] | nginx mathau hash max maint. | 2048 |
rhagosodedig['firezone']['nginx']['types_hash_bucket_size'] | nginx mathau maint bwced hash. | 64 |
rhagosodedig['firezone']['nginx']['proxy_read_timeout'] | goramser darllen dirprwy nginx. Wedi'i osod i ddim i ddefnyddio rhagosodiad nginx. | dim |
rhagosodedig['firezone']['nginx']['client_body_buffer_size'] | maint clustogi corff cleient nginx. Wedi'i osod i ddim i ddefnyddio rhagosodiad nginx. | dim |
rhagosodedig['firezone']['nginx']['client_max_body_size'] | nginx cleient uchafswm maint y corff. | 250m ' |
rhagosodedig['firezone']['nginx']['default']['modiwlau'] | Nodwch fodiwlau nginx ychwanegol. | [] |
rhagosodedig['firezone']['nginx']['enable_rate_limiting'] | Galluogi neu analluogi cyfyngu ar gyfradd nginx. | TRUE |
rhagosodedig['firezone']['nginx']['rate_limiting_zone_name'] | Enw parth cyfyngu cyfradd Nginx. | parth tân' |
rhagosodedig['firezone']['nginx']['rate_limiting_backoff'] | Cyfradd Nginx cyfyngu wrth gefn. | 10m ' |
rhagosodedig['firezone']['nginx']['rate_limit'] | Terfyn cyfradd Nginx. | 10r/e |
rhagosodedig['firezone']['nginx']['ipv6'] | Caniatáu i nginx wrando am geisiadau HTTP am IPv6 yn ogystal ag IPv4. | TRUE |
rhagosodedig['firezone']['postgresql']['galluogi'] | Galluogi neu analluogi Postgresql wedi'i bwndelu. Gosodwch i ffug a llenwch yr opsiynau cronfa ddata isod i ddefnyddio'ch enghraifft Postgresql eich hun. | TRUE |
rhagosodedig['firezone']['postgresql']['enw defnyddiwr'] | Enw defnyddiwr ar gyfer Postgresql. | nod['firezone']['defnyddiwr'] |
rhagosodedig['firezone']['postgresql']['data_directory'] | Cyfeiriadur data Postgresql. | “#{node['firezone']['var_directory']}/postgresql/13.3/data" |
rhagosodedig['firezone']['postgresql']['log_directory'] | Cyfeiriadur log Postgresql. | “#{node['firezone']['log_directory']}/postgresql" |
rhagosodedig['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Maint mwyaf ffeil log Postgresql cyn iddi gael ei chylchdroi. | 104857600 |
rhagosodedig['firezone']['postgresql']['log_rotation']['num_to_keep'] | Nifer y ffeiliau log Postgresql i'w cadw. | 10 |
rhagosodedig['firezone']['postgresql']['checkpoint_completion_target'] | Targed cwblhau pwynt gwirio Postgresql. | 0.5 |
rhagosodedig['firezone']['postgresql']['checkpoint_segments'] | Nifer y segmentau pwynt gwirio Postgresql. | 3 |
rhagosodedig['firezone']['postgresql']['timeout_checkpoint'] | Terfyn amser pwynt gwirio Postgresql. | 5 munud |
rhagosodedig['firezone']['postgresql']['checkpoint_warning'] | Amser rhybuddio pwynt gwirio Postgresql mewn eiliadau. | 30au |
rhagosodedig['firezone']['postgresql']['effeithiol_cache_size'] | Maint cache effeithiol Postgresql. | 128MB' |
rhagosodedig['firezone']['postgresql']['gwrando_cyfeiriad'] | Cyfeiriad gwrando postgresql. | 127.0.0.1 ' |
rhagosodedig['firezone']['postgresql']['max_connections'] | Cysylltiadau postgresql max. | 350 |
rhagosodedig['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs i ganiatáu ar gyfer md5 auth. | ['127.0.0.1/32', '::1/128'] |
rhagosodedig['firezone']['postgresql']['port'] | Porth gwrando postgresql. | 15432 |
rhagosodedig['firezone']['postgresql']['buffers_shared'] | Maint byfferau rhannu Postgresql. | “#{(nôd['cof']['cyfanswm'].to_i / 4) / 1024}MB" |
rhagosodedig['firezone']['postgresql']['shmmax'] | Shmmax postgresql mewn bytes. | 17179869184 |
rhagosodedig['firezone']['postgresql']['shmall'] | Postgresql shmall mewn bytes. | 4194304 |
rhagosodedig['firezone']['postgresql']['work_mem'] | Maint cof gweithio postgresql. | 8MB' |
rhagosodedig['firezone']['cronfa ddata']['defnyddiwr'] | Yn nodi'r enw defnyddiwr y bydd Firezone yn ei ddefnyddio i gysylltu â'r DB. | nod['firezone']['postgresql']['enw defnyddiwr'] |
rhagosodedig['firezone']['cronfa ddata']['cyfrinair'] | Os ydych chi'n defnyddio DB allanol, mae'n nodi'r cyfrinair y bydd Firezone yn ei ddefnyddio i gysylltu â'r DB. | newid_fi' |
rhagosodedig['firezone']['cronfa ddata']['enw'] | Cronfa ddata y bydd Firezone yn ei defnyddio. Bydd yn cael ei greu os nad yw'n bodoli. | parth tân' |
rhagosodedig['firezone']['cronfa ddata']['gwesteiwr'] | Gwesteiwr cronfa ddata y bydd Firezone yn cysylltu ag ef. | nod['firezone']['postgresql']['gwrando_cyfeiriad'] |
rhagosodedig['firezone']['cronfa ddata']['port'] | Porth cronfa ddata y bydd Firezone yn cysylltu ag ef. | nod['firezone']['postgresql']['port'] |
rhagosodedig['firezone']['cronfa ddata']['cronfa'] | Maint cronfa gronfa ddata y bydd Firezone yn ei ddefnyddio. | [10, Etc.nprocessors].max |
rhagosodedig['firezone']['cronfa ddata']['ssl'] | A ddylid cysylltu â'r gronfa ddata dros SSL. | Anghywir |
rhagosodedig['firezone']['cronfa ddata']['ssl_opts'] | {} | |
rhagosodedig['firezone']['cronfa ddata']['paramedrau'] | {} | |
rhagosodedig['firezone']['cronfa ddata']['estyniadau'] | Estyniadau cronfa ddata i alluogi. | { 'plpgsql' => gwir, 'pg_trgm' => gwir } |
rhagosodedig['firezone']['ffenix']['galluogi'] | Galluogi neu analluogi cymhwysiad gwe Firezone. | TRUE |
rhagosodedig['firezone']['phoenix']['gwrando_cyfeiriad'] | Cyfeiriad gwrando cymhwysiad gwe Firezone. Hwn fydd y cyfeiriad gwrando i fyny'r afon y mae nginx yn ei ddirprwyo. | 127.0.0.1 ' |
rhagosodedig['firezone']['phoenix']['port'] | Porth gwrando cymhwysiad gwe Firezone. Hwn fydd y porthladd i fyny'r afon y mae nginx yn ei ddirprwyo. | 13000 |
rhagosodedig['firezone']['phoenix']['log_directory'] | Cyfeiriadur log cymhwysiad gwe Firezone. | “#{node['firezone']['log_directory']}/ffenix” |
rhagosodedig['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Maint ffeil log cymhwysiad gwe Firezone. | 104857600 |
rhagosodedig['firezone']['phoenix']['log_rotation']['num_to_keep'] | Nifer y ffeiliau log cymhwysiad gwe Firezone i'w cadw. | 10 |
rhagosodedig['firezone']['phoenix']['crash_detection']['galluogi'] | Galluogi neu analluogi dod â rhaglen we Firezone i lawr pan ganfyddir damwain. | TRUE |
rhagosodedig['firezone']['phoenix']['proxies_trusted_external_trusted'] | Rhestr o ddirprwyon gwrthdro dibynadwy wedi'u fformatio fel Arae o IPs a/neu CIDRs. | [] |
rhagosodedig['firezone']['phoenix']['cleientiaid_preifat'] | Rhestr o gleientiaid HTTP rhwydwaith preifat, wedi fformatio Arae o IPs a / neu CIDRs. | [] |
rhagosodedig['firezone']['gwireguard']['galluogi'] | Galluogi neu analluogi rheolaeth WireGuard wedi'i bwndelu. | TRUE |
rhagosodedig['firezone']['gwireguard']['log_directory'] | Cyfeiriadur log ar gyfer rheoli WireGuard wedi'i bwndelu. | “#{node['firezone']['log_directory']}/gweinyddwr gwifren” |
rhagosodedig['firezone']['gwireguard']['log_rotation']['file_maxbytes'] | Maint mwyaf ffeil log WireGuard. | 104857600 |
rhagosodedig['firezone']['gwireguard']['log_rotation']['num_to_keep'] | Nifer y ffeiliau log WireGuard i'w cadw. | 10 |
rhagosodedig['firezone']['gwireguard']['interface_name'] | Enw rhyngwyneb WireGuard. Gall newid y paramedr hwn achosi colled dros dro mewn cysylltedd VPN. | wg-firezone' |
rhagosodedig['firezone']['gwireguard']['port'] | porthladd gwrando WireGuard. | 51820 |
rhagosodedig['firezone']['gwireguard']['mtu'] | MTU rhyngwyneb WireGuard ar gyfer y gweinydd hwn ac ar gyfer ffurfweddiadau dyfais. | 1280 |
rhagosodedig['firezone']['gwireguard']['endpoint'] | WireGuard Endpoint i'w ddefnyddio ar gyfer cynhyrchu ffurfweddiadau dyfais. Os yn ddim, mae'n mynd yn ddiofyn i gyfeiriad IP cyhoeddus y gweinydd. | dim |
rhagosodedig['firezone']['gwireguard']['dns'] | WireGuard DNS i'w ddefnyddio ar gyfer ffurfweddiadau dyfais a gynhyrchir. | 1.1.1.1, 1.0.0.1′ |
rhagosodedig['firezone']['gwireguard']['allowed_ips'] | WireGuard Caniateir IPs i'w defnyddio ar gyfer ffurfweddiadau dyfais a gynhyrchir. | 0.0.0.0/0, ::/0′ |
rhagosodedig['firezone']['gwireguard']['persistent_keepalive'] | Gosodiad diofyn PersistentKeepalive ar gyfer ffurfweddiadau dyfais a gynhyrchir. Mae gwerth o 0 yn analluogi. | 0 |
rhagosodedig['firezone']['gwireguard']['ipv4']['galluogi'] | Galluogi neu analluogi IPv4 ar gyfer rhwydwaith WireGuard. | TRUE |
rhagosodedig['firezone']['gwireguard']['ipv4']['masquerade'] | Galluogi neu analluogi masquerade ar gyfer pecynnau sy'n gadael y twnnel IPv4. | TRUE |
rhagosodedig['firezone']['gwireguard']['ipv4']['rhwydwaith'] | Rhwydwaith WireGuard rhwydwaith cyfeiriad IPv4 pwll. | 10.3.2.0/24 ′ |
rhagosodedig['firezone']['gwireguard']['ipv4']['cyfeiriad'] | Cyfeiriad IPv4 rhyngwyneb WireGuard. Rhaid iddo fod o fewn cronfa cyfeiriadau WireGuard. | 10.3.2.1 ' |
rhagosodedig['firezone']['gwireguard']['ipv6']['galluogi'] | Galluogi neu analluogi IPv6 ar gyfer rhwydwaith WireGuard. | TRUE |
rhagosodedig['firezone']['gwireguard']['ipv6']['masquerade'] | Galluogi neu analluogi masquerade ar gyfer pecynnau sy'n gadael y twnnel IPv6. | TRUE |
rhagosodedig['firezone']['gwireguard']['ipv6']['rhwydwaith'] | Rhwydwaith WireGuard rhwydwaith cyfeiriad IPv6 pwll. | fd00::3:2:0/120′ |
rhagosodedig['firezone']['gwireguard']['ipv6']['cyfeiriad'] | Cyfeiriad IPv6 rhyngwyneb WireGuard. Rhaid iddo fod o fewn cronfa cyfeiriadau IPv6. | fd00::3:2:1 |
rhagosodedig['firezone']['runit']['svlogd_bin'] | Runit svlogd bin lleoliad. | “#{node['firezone']['install_directory']}/wedi'i fewnosod/bin/svlogd" |
rhagosodedig['firezone']['ssl']['cyfeiriadur'] | Cyfeiriadur SSL ar gyfer storio tystysgrifau a gynhyrchir. | /var/opt/firezone/ssl' |
rhagosodedig['firezone']['ssl']['email_address'] | Cyfeiriad e-bost i'w ddefnyddio ar gyfer tystysgrifau hunan-lofnodedig a hysbysiadau adnewyddu protocol ACME. | ti@enghraifft.com' |
rhagosodedig['firezone']['ssl']['acme']['galluogi'] | Galluogi ACME ar gyfer darparu tystysgrif SSL yn awtomatig. Analluoga hyn i atal Nginx rhag gwrando ar borthladd 80. Gweler yma am fwy o gyfarwyddiadau. | Anghywir |
rhagosodedig['firezone']['ssl']['acme']['gweinydd'] | letsencrypt | |
rhagosodedig['firezone']['ssl']['acme']['keylength'] | Nodwch y math o allwedd a'r hyd ar gyfer tystysgrifau SSL. Gwel yma | ec-256 |
rhagosodedig['firezone']['ssl']['tystysgrif'] | Llwybr i'r ffeil dystysgrif ar gyfer eich FQDN. Yn diystyru'r gosodiad ACME uchod os yw wedi'i nodi. Os nad yw ACME a hwn yn ddim, bydd tystysgrif hunan-lofnodedig yn cael ei chynhyrchu. | dim |
rhagosodedig['firezone']['ssl']['certificate_key'] | Llwybr i ffeil y dystysgrif. | dim |
rhagosodedig['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | dim |
rhagosodedig['firezone']['ssl']['country_name'] | Enw gwlad ar gyfer tystysgrif hunan-lofnodedig. | UD' |
rhagosodedig['firezone']['ssl']['state_name'] | Nodwch yr enw ar gyfer tystysgrif hunan-lofnodedig. | CA ' |
rhagosodedig['firezone']['ssl']['locality_name'] | Enw ardal ar gyfer tystysgrif hunan-lofnodedig. | SAN FRANCISCO' |
rhagosodedig['firezone']['ssl']['name_name'] | Tystysgrif hunan-lofnodedig enw'r cwmni. | Fy Nghwmni' |
rhagosodedig['firezone']['ssl']['organisational_unit_name'] | Enw uned sefydliadol ar gyfer tystysgrif hunan-lofnodedig. | Gweithrediadau' |
rhagosodedig['firezone']['ssl']['ciphers'] | Seiffrau SSL i nginx eu defnyddio. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
rhagosodedig['firezone']['ssl']['fips_ciphers'] | seiffrau SSL ar gyfer modd FIPs. | FIPS@STRENGTH :!aNULL:!eNULL' |
rhagosodedig['firezone']['ssl']['protocolau'] | Protocolau TLS i'w defnyddio. | TLSv1 TLSv1.1 TLSv1.2′ |
rhagosodedig['firezone']['ssl']['session_cache'] | storfa sesiwn SSL. | wedi'i rannu: SSL: 4m' |
rhagosodedig['firezone']['ssl']['sesiwn_amser terfyn'] | Goramser sesiwn SSL. | 5m ' |
rhagosodedig['firezone']['robots_allow'] | mae robotiaid nginx yn caniatáu. | /' |
rhagosodedig['firezone']['robots_disallow'] | mae robotiaid nginx yn gwrthod. | dim |
rhagosodedig['firezone']['outbound_email']['from'] | E-bost allan o'r cyfeiriad. | dim |
rhagosodedig['firezone']['outbound_email']['darparwr'] | Darparwr gwasanaeth e-bost allanol. | dim |
rhagosodedig['firezone']['outbound_email']['configs'] | Ffurfweddau darparwr e-bost allanol. | gweler omnibws/llyfrau coginio/firezone/priodweddau/default.rb |
rhagosodedig['firezone']['telemetry']['galluogi'] | Galluogi neu analluogi telemetreg cynnyrch dienw. | TRUE |
rhagosodedig['firezone']['connectivity_checks']['galluogi'] | Galluogi neu analluogi gwasanaeth gwiriadau cysylltedd Firezone. | TRUE |
rhagosodedig['firezone']['connectivity_ checks']['cyfwng'] | Ysbaid rhwng gwiriadau cysylltedd mewn eiliadau. | 3_600 |
________________________________________________________________
Yma fe welwch restr o ffeiliau a chyfeiriaduron yn ymwneud â gosodiad Firezone nodweddiadol. Gallai'r rhain newid yn dibynnu ar newidiadau i'ch ffeil ffurfweddu.
llwybr | disgrifiad |
/var/opt/firezone | Cyfeiriadur lefel uchaf yn cynnwys data a ffurfwedd a gynhyrchir ar gyfer gwasanaethau wedi'u bwndelu gan Firezone. |
/opt/firezone | Cyfeiriadur lefel uchaf yn cynnwys llyfrgelloedd adeiledig, deuaidd a ffeiliau amser rhedeg sydd eu hangen ar Firezone. |
/usr/bin/firezone-ctl | cyfleustodau firezone-ctl ar gyfer rheoli eich gosodiad Firezone. |
/etc/systemd/system/firezone-runsvdir-start.service | ffeil uned systemd ar gyfer cychwyn proses goruchwyliwr runvdir Firezone. |
/etc/firezone | Ffeiliau cyfluniad Firezone. |
__________________________________________________________
Roedd y dudalen hon yn wag mewn dogfennau
_____________________________________________________________
Gellir defnyddio'r templed wal dân nftables canlynol i ddiogelu'r gweinydd sy'n rhedeg Firezone. Mae'r templed yn gwneud rhai rhagdybiaethau; efallai y bydd angen i chi addasu'r rheolau i weddu i'ch achos defnydd:
Mae Firezone yn ffurfweddu ei reolau nftables ei hun i ganiatáu/gwrthod traffig i gyrchfannau sydd wedi'u ffurfweddu yn y rhyngwyneb gwe ac i drin NAT sy'n mynd allan ar gyfer traffig cleientiaid.
Bydd cymhwyso'r templed wal dân isod ar weinydd sydd eisoes yn rhedeg (nid ar amser cychwyn) yn arwain at glirio rheolau Firezone. Gall hyn fod â goblygiadau diogelwch.
I weithio o gwmpas hyn ailgychwynwch y gwasanaeth phoenix:
firezone-ctl ailgychwyn phoenix
#!/usr/sbin/nft -f
## Clirio/fflysio'r holl reolau presennol
set reolau fflysio
###########################AMRYWADAU ############### #############
## Enw rhyngwyneb Rhyngrwyd/WAN
diffinio DEV_WAN = eth0
## Enw rhyngwyneb WireGuard
define DEV_WIREGUARD = wg-firezone
## WireGuard gwrando porthladd
diffinio WIREGUARD_PORT = 51820
######################### NEWYNION DIWEDD ############### ###########
# Prif dabl hidlo teulu inet
hidlydd inet tabl {
# Rheolau ar gyfer traffig a anfonir ymlaen
# Mae'r gadwyn hon yn cael ei phrosesu cyn cadwyn flaen Firezone
cadwyn ymlaen {
math bachyn hidlydd ymlaen hidlydd blaenoriaeth - 5; derbyn polisi
}
# Rheolau ar gyfer traffig mewnbwn
mewnbwn cadwyn {
math bachyn hidlydd mewnbwn hidlydd blaenoriaeth; gollwng polisi
## Caniatáu traffig i mewn i'r rhyngwyneb loopback
iif lo \
derbyn \
sylwadau “Caniatáu pob traffig i mewn o'r rhyngwyneb loopback”
## Sefydlu caniatâd a chysylltiadau cysylltiedig
cyflwr ct sefydledig, cysylltiedig \
derbyn \
sylwadau “Caniatáu cysylltiadau sefydledig/cysylltiedig”
## Caniatáu traffig WireGuard sy'n dod i mewn
iif $DEV_WAN udp dport $WIREGUARD_PORT \
cownter \
derbyn \
sylwadau “Caniatáu traffig WireGuard i mewn”
## Logio a gollwng pecynnau newydd TCP nad ydynt yn SYN
baneri tcp!= sync cyflwr newydd \
cyfradd terfyn 100/munud byrstio 150 pecynnau \
rhagddodiad log “YN – Newydd !SYN: “ \
sylwadau “Cofnodi terfyn cyfradd ar gyfer cysylltiadau newydd nad oes ganddynt set baner SYN TCP”
baneri tcp!= sync cyflwr newydd \
cownter \
gollwng \
sylwadau “Gollyngwch gysylltiadau newydd nad oes ganddynt set baner SYN TCP”
## Logio a gollwng pecynnau TCP gyda set baner fin/syn annilys
tcp flags & (fin|syn) == (fin|syn) \
cyfradd terfyn 100/munud byrstio 150 pecynnau \
rhagddodiad log “YN – TCP FIN | SIN: “ \
sylwadau “Cofnodi terfyn cyfradd ar gyfer pecynnau TCP gyda set baner fin/syn annilys”
tcp flags & (fin|syn) == (fin|syn) \
cownter \
gollwng \
sylwadau “Gollyngwch becynnau TCP gyda set baner fin/syn annilys”
## Logio a gollwng pecynnau TCP gyda set baner syn/rst annilys
baneri tcp & (syn|rst) == (syn|rst) \
cyfradd terfyn 100/munud byrstio 150 pecynnau \
rhagddodiad log “YN – TCP SYN|RST: “ \
sylwadau “Cofnodi terfyn cyfradd ar gyfer pecynnau TCP gyda set baner syn/rst annilys”
baneri tcp & (syn|rst) == (syn|rst) \
cownter \
gollwng \
sylwadau “Gollyngwch becynnau TCP gyda set baner syn/rst annilys”
## Logio a gollwng baneri TCP annilys
baneri tcp & (fin|syn|rst|psh|ack|urg) < (fin) \
cyfradd terfyn 100/munud byrstio 150 pecynnau \
rhagddodiad log “YN – FIN:" \
sylwadau “Cofnodi terfyn cyfradd ar gyfer baneri TCP annilys (fin|syn|rst|psh|ack|urg) < (fin)”
baneri tcp & (fin|syn|rst|psh|ack|urg) < (fin) \
cownter \
gollwng \
sylwadau “Gollyngwch becynnau TCP gyda fflagiau (fin|syn|rst|psh|ack|urg) < (fin)”
## Logio a gollwng baneri TCP annilys
baneri tcp & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
cyfradd terfyn 100/munud byrstio 150 pecynnau \
rhagddodiad log “YN – FIN|PSH|URG:" \
sylwadau “Cofnodi terfyn cyfradd ar gyfer baneri TCP annilys (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
baneri tcp & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
cownter \
gollwng \
sylwadau “Gollyngwch becynnau TCP gyda fflagiau (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Gollwng traffig gyda chyflwr cysylltiad annilys
cyflwr ct annilys \
cyfradd terfyn 100/munud byrstio 150 pecynnau \
baneri log holl rhagddodiad “YN – Annilys:” \
sylwadau “Cofnodi terfyn cyfradd ar gyfer traffig gyda chyflwr cysylltiad annilys”
cyflwr ct annilys \
cownter \
gollwng \
sylwadau “Gollwng traffig gyda chyflwr cysylltiad annilys”
## Caniatáu ymatebion ping/ping IPv4 ond terfyn y gyfradd i 2000 PPS
ip protocol icmp icmp math { adleisio-ateb, adleisio cais } \
cyfradd terfyn 2000/eiliad \
cownter \
derbyn \
sylwadau “Caniatáu adlais IPv4 sy'n dod i mewn (ping) wedi'i gyfyngu i 2000 PPS”
## Caniatáu pob ICMP IPv4 arall sy'n dod i mewn
ip protocol icmp \
cownter \
derbyn \
sylwadau “Caniatáu pob ICMP IPv4 arall”
## Caniatáu ymatebion ping/ping IPv6 ond terfyn y gyfradd i 2000 PPS
math icmpv6 { adleisio-ateb, cais adleisio } \
cyfradd terfyn 2000/eiliad \
cownter \
derbyn \
sylwadau “Caniatáu adlais IPv6 sy'n dod i mewn (ping) wedi'i gyfyngu i 2000 PPS”
## Caniatáu pob ICMP IPv6 arall sy'n dod i mewn
meta l4proto { icmpv6 } \
cownter \
derbyn \
sylwadau “Caniatáu pob ICMP IPv6 arall”
## Caniatáu porthladdoedd CDU traceroute i mewn ond cyfyngu i 500 PPS
udp dport 33434-33524
cyfradd terfyn 500/eiliad \
cownter \
derbyn \
sylwadau “Caniatáu tracio llwybr CDU i mewn wedi'i gyfyngu i 500 PPS”
## Caniatáu SSH i mewn
tcp dport ssh cyflwr ct newydd \
cownter \
derbyn \
sylwadau “Caniatáu cysylltiadau SSH i mewn”
## Caniatáu i mewn HTTP a HTTPS
tcp dport { http, https } cyflwr newydd ct \
cownter \
derbyn \
sylwadau “Caniatáu cysylltiadau HTTP a HTTPS i mewn”
## Logio unrhyw draffig heb ei gyfateb ond logio terfyn cyfradd hyd at uchafswm o 60 neges/munud
## Bydd y polisi diofyn yn cael ei gymhwyso i draffig heb ei gyfateb
cyfradd terfyn 60/munud byrstio 100 pecynnau \
rhagddodiad log “IN – Galw Heibio:” \
sylwadau “Cofnodwch unrhyw draffig heb ei ail”
## Cyfrwch y traffig heb ei gyfateb
cownter \
sylwadau “Cyfrifwch unrhyw draffig heb ei ail”
}
# Rheolau ar gyfer traffig allbwn
allbwn cadwyn {
math bachyn hidlydd allbwn blaenoriaeth hidlo; gollwng polisi
## Caniatáu traffig allan i'r rhyngwyneb loopback
oif lo \
derbyn \
sylwadau “Caniatáu pob traffig i ryngwyneb loopback”
## Sefydlu caniatâd a chysylltiadau cysylltiedig
cyflwr ct sefydledig, cysylltiedig \
cownter \
derbyn \
sylwadau “Caniatáu cysylltiadau sefydledig/cysylltiedig”
## Caniatáu traffig WireGuard allan cyn gollwng cysylltiadau â chyflwr gwael
oif $DEV_WAN chwaraeon udp $WIREGUARD_PORT \
cownter \
derbyn \
sylwadau “Caniatáu traffig allan WireGuard”
## Gollwng traffig gyda chyflwr cysylltiad annilys
cyflwr ct annilys \
cyfradd terfyn 100/munud byrstio 150 pecynnau \
baneri log holl rhagddodiad “ ALLAN - Annilys: “ \
sylwadau “Cofnodi terfyn cyfradd ar gyfer traffig gyda chyflwr cysylltiad annilys”
cyflwr ct annilys \
cownter \
gollwng \
sylwadau “Gollwng traffig gyda chyflwr cysylltiad annilys”
## Caniatáu pob ICMP IPv4 arall sy'n mynd allan
ip protocol icmp \
cownter \
derbyn \
sylwadau “Caniatáu pob math IPv4 ICMP”
## Caniatáu pob ICMP IPv6 arall sy'n mynd allan
meta l4proto { icmpv6 } \
cownter \
derbyn \
sylwadau “Caniatáu pob math IPv6 ICMP”
## Caniatáu porthladdoedd CDU traceroute allan ond cyfyngu i 500 PPS
udp dport 33434-33524
cyfradd terfyn 500/eiliad \
cownter \
derbyn \
sylwadau “Caniatáu tracio allan CDU wedi'i gyfyngu i 500 PPS”
## Caniatáu cysylltiadau HTTP a HTTPS allanol
tcp dport { http, https } cyflwr newydd ct \
cownter \
derbyn \
sylwadau “Caniatáu cysylltiadau HTTP a HTTPS allanol”
## Caniatáu cyflwyniad SMTP allanol
tcp dport cyflwyniad ct cyflwr newydd \
cownter \
derbyn \
sylwadau “Caniatáu cyflwyniad SMTP allanol”
## Caniatáu ceisiadau DNS allanol
udp dport 53 \
cownter \
derbyn \
sylwadau “Caniatáu ceisiadau DNS CDU allanol”
tcp dport 53 \
cownter \
derbyn \
sylwadau “Caniatáu ceisiadau DNS TCP allan”
## Caniatáu ceisiadau NTP allanol
udp dport 123 \
cownter \
derbyn \
sylwadau “Caniatáu ceisiadau NTP allanol”
## Logio unrhyw draffig heb ei gyfateb ond logio terfyn cyfradd hyd at uchafswm o 60 neges/munud
## Bydd y polisi diofyn yn cael ei gymhwyso i draffig heb ei gyfateb
cyfradd terfyn 60/munud byrstio 100 pecynnau \
rhagddodiad log “ ALLAN - Gollwng: “ \
sylwadau “Cofnodwch unrhyw draffig heb ei ail”
## Cyfrwch y traffig heb ei gyfateb
cownter \
sylwadau “Cyfrifwch unrhyw draffig heb ei ail”
}
}
# Prif dabl hidlo NAT
tabl inet nat {
# Rheolau ar gyfer traffig NAT ymlaen llaw
rhaggyfeirio cadwyn {
math nat bachyn rhagflaenu blaenoriaeth dstnat; derbyn polisi
}
# Rheolau ar gyfer traffig NAT ar ôl llwybro
# Mae'r tabl hwn yn cael ei brosesu cyn cadwyn ôl-lwybro Firezone
llwybro cadwyn {
teipiwch nat hook postrouting blaenoriaeth srcnat – 5; derbyn polisi
}
}
Dylid storio'r wal dân yn y lleoliad perthnasol ar gyfer y dosbarthiad Linux sy'n rhedeg. Ar gyfer Debian/Ubuntu dyma /etc/nftables.conf ac ar gyfer RHEL dyma /etc/sysconfig/nftables.conf.
Bydd angen ffurfweddu nftables.service i gychwyn ar y cychwyn (os nad yw eisoes) set:
systemctl galluogi nftables.service
Os ydych yn gwneud unrhyw newidiadau i'r templed wal dân, gellir dilysu'r gystrawen trwy redeg y gorchymyn gwirio:
nft -f /path/to/nftables.conf -c
Gwnewch yn siŵr eich bod yn dilysu'r gwaith wal dân yn ôl y disgwyl oherwydd efallai na fydd rhai nodweddion nftables ar gael yn dibynnu ar y datganiad sy'n rhedeg ar y gweinydd.
_______________________________________________________________
Mae'r ddogfen hon yn cyflwyno trosolwg o'r telemetreg y mae Firezone yn ei gasglu o'ch achos hunangynhaliol a sut i'w analluogi.
Parth Tân yn dibynnu ar delemetreg i flaenoriaethu ein map ffordd a gwneud y gorau o'r adnoddau peirianneg sydd gennym i wneud Firezone yn well i bawb.
Nod y telemetreg a gasglwn yw ateb y cwestiynau canlynol:
Mae tri phrif le lle cesglir telemetreg yn Firezone:
Ym mhob un o’r tri chyd-destun hyn, rydym yn casglu’r lleiafswm o ddata sydd ei angen i ateb y cwestiynau yn yr adran uchod.
Cesglir e-byst gweinyddol dim ond os byddwch yn optio i mewn i ddiweddariadau cynnyrch yn benodol. Fel arall, mae gwybodaeth bersonol adnabyddadwy byth casglu.
Mae Firezone yn storio telemetreg mewn enghraifft hunangynhaliol o PostHog yn rhedeg mewn clwstwr Kubernetes preifat, dim ond tîm Firezone y gellir ei gyrraedd. Dyma enghraifft o ddigwyddiad telemetreg sy'n cael ei anfon o'ch achos chi o Firezone i'n gweinydd telemetreg:
{
"Id": “0182272d-0b88-0000-d419-7b9a413713f1”,
“stamp amser”: “2022-07-22T18:30:39.748000+00:00”,
“digwyddiad”: “fz_http_dechrau”,
“ID_diwahanol”: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
“eiddo”:{
“$geoip_city_name”: “Ashburn”,
“$geoip_continent_code”: “NA”,
“$geoip_continent_name”: "Gogledd America",
“$geoip_cod_gwlad”: “UD”,
“$geoip_country_name”: "Unol Daleithiau",
“$geoip_lledred”: 39.0469,
“$geoip_longitude”: 77.4903-,
“$geoip_cod_post”: "20149",
“$geoip_subdivision_1_code”: “VA”,
“$geoip_subdivision_1_name”: “Virginia”,
“$geoip_ardal_amser”: “America/Efrog_Newydd”,
“$ip”: "52.200.241.107",
“$plugins_gohiriedig”: [],
“Methodd $plugins_”: [],
“$plugins_llwyddiannus”: [
“GeoIP (3)”
],
“ID_diwahanol”: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
“Fqdn”: “awsdemo.firezone.dev”,
“fersiwn_cnewyllyn”: “linux 5.13.0”,
“fersiwn”: "0.4.6"
},
“gadwyn_elfennau”: ""
}
NODYN
Tîm datblygu Firezone yn dibynnu ar ddadansoddeg cynnyrch i wneud Firezone yn well i bawb. Gadael telemetreg wedi'i alluogi yw'r cyfraniad mwyaf gwerthfawr y gallwch ei wneud i ddatblygiad Firezone. Wedi dweud hynny, rydym yn deall bod gan rai defnyddwyr ofynion preifatrwydd neu ddiogelwch uwch ac y byddai'n well ganddynt analluogi telemetreg yn gyfan gwbl. Os mai dyna chi, daliwch ati i ddarllen.
Mae telemetreg wedi'i alluogi yn ddiofyn. I analluogi telemetreg cynnyrch yn llwyr, gosodwch yr opsiwn cyfluniad canlynol i ffug yn /etc/firezone/firezone.rb a rhedeg ad-drefnu sudo firezone-ctl i godi'r newidiadau.
rhagosodedig['parth tân']['telemetreg']['galluogi'] = ffug
Bydd hynny'n analluogi holl delemetreg cynnyrch yn llwyr.
Hailbytes
9511 Gwarchodlu'r Frenhines Ct.
Laurel, MD 20723
Ffôn: (732) 771-9995
E-bost: info@hailbytes.com
