Firezone GUI ilə Hailbytes VPN-nin yerləşdirilməsi üçün addım-addım təlimatlar burada təqdim olunur.
İdarə et: Server instansiyasının qurulması birbaşa bu hissə ilə bağlıdır.
İstifadəçi təlimatları: Firezone-dan necə istifadə etməyi və tipik problemləri həll etməyi sizə öyrədə biləcək faydalı sənədlər. Server uğurla yerləşdirildikdən sonra bu bölməyə baxın.
Split Tunelləmə: Yalnız xüsusi IP diapazonlarına trafik göndərmək üçün VPN-dən istifadə edin.
Ağ siyahı: Ağ siyahıdan istifadə etmək üçün VPN serverinin statik IP ünvanını təyin edin.
Ters Tunellər: Əks tunellərdən istifadə edərək bir neçə həmyaşıd arasında tunellər yaradın.
Hailbytes VPN-i quraşdırmaq, fərdiləşdirmək və ya istifadə etmək üçün yardıma ehtiyacınız varsa, sizə kömək etməkdən məmnunuq.
İstifadəçilər cihaz konfiqurasiya fayllarını istehsal etməzdən və ya endirməzdən əvvəl, Firezone autentifikasiya tələb etmək üçün konfiqurasiya edilə bilər. İstifadəçilər həmçinin VPN bağlantılarını aktiv saxlamaq üçün vaxtaşırı yenidən autentifikasiya etməli ola bilərlər.
Firezone-un standart giriş metodu yerli e-poçt və parol olsa da, o, həmçinin istənilən standartlaşdırılmış OpenID Connect (OIDC) identifikasiya provayderi ilə inteqrasiya oluna bilər. İstifadəçilər indi Okta, Google, Azure AD və ya şəxsi identifikasiya provayderi etimadnaməsini istifadə edərək Firezone-a daxil ola bilərlər.
Ümumi OIDC Provayderini inteqrasiya edin
OIDC provayderindən istifadə edərək SSO-ya icazə vermək üçün Firezone tərəfindən lazım olan konfiqurasiya parametrləri aşağıdakı nümunədə göstərilmişdir. /etc/firezone/firezone.rb saytında siz konfiqurasiya faylını tapa bilərsiniz. Proqramı yeniləmək və dəyişikliklərin qüvvəyə minməsi üçün firezone-ctl reconfigure və firezone-ctl yenidən başladın.
# Bu, Google və Okta-dan SSO şəxsiyyət təminatçısı kimi istifadə edilən nümunədir.
# Eyni Firezone instansiyasına birdən çox OIDC konfiqurasiyası əlavə edilə bilər.
Sınaqda hər hansı bir xəta aşkar edilərsə, # Firezone istifadəçinin VPN-ni söndürə bilər
# giriş_tokenini yeniləmək üçün. Bunun Google, Okta və üçün işləməsi təsdiqlənib
# Azure SSO və istifadəçinin VPN-i silindikdə avtomatik olaraq ayırmaq üçün istifadə olunur
# OIDC provayderindən. OIDC provayderiniz varsa, bunu qeyri-aktiv buraxın
# gözlənilmədən müdaxilə edə biləcəyi üçün giriş nişanlarını yeniləməkdə problemlər var
# istifadəçinin VPN sessiyası.
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = yanlış
default['firezone']['authentication']['oidc'] = {
Google: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
müştəri_id: " ”,
müştəri_gizli: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
cavab_növü: "kod",
əhatə dairəsi: “açıq e-poçt profili”,
etiket: "Google"
},
okta: {
Discovery_document_uri: "https:// /.yaxşı tanınan/openid-konfiqurasiya”,
müştəri_id: " ”,
müştəri_gizli: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
cavab_növü: "kod",
əhatə dairəsi: “açıq e-poçt profili offline_access”,
etiket: "Okta"
}
}
İnteqrasiya üçün aşağıdakı konfiqurasiya parametrləri tələb olunur:
Hər bir OIDC provayderi üçün konfiqurasiya edilmiş provayderin daxil olma URL-inə yönləndirmək üçün müvafiq gözəl URL yaradılır. Yuxarıdakı nümunə OIDC konfiqurasiyası üçün URL-lər bunlardır:
Provayderlər üçün sənədlərimiz var:
Şəxsiyyət provayderinizin ümumi OIDC konnektoru varsa və yuxarıda qeyd olunmayıbsa, lazımi konfiqurasiya parametrlərini necə əldə etmək barədə məlumat üçün onların sənədlərinə daxil olun.
Parametrlər/təhlükəsizlik altındakı parametr dövri təkrar autentifikasiya tələb etmək üçün dəyişdirilə bilər. Bu, istifadəçilərin VPN sessiyasını davam etdirmək üçün müntəzəm olaraq Firezone-a daxil olma tələbini yerinə yetirmək üçün istifadə edilə bilər.
Sessiyanın uzunluğu bir saatla doxsan gün arasında konfiqurasiya edilə bilər. Bunu Heç vaxt təyin etməklə istənilən vaxt VPN seanslarını aktivləşdirə bilərsiniz. Bu standartdır.
İstifadəçi vaxtı keçmiş VPN sessiyasını (yerləşdirmə zamanı göstərilən URL) yenidən təsdiq etmək üçün VPN sessiyasını dayandırmalı və Firezone portalına daxil olmalıdır.
Burada tapılan dəqiq müştəri təlimatlarına əməl etməklə sessiyanızı yenidən təsdiq edə bilərsiniz.
VPN Bağlantısının Vəziyyəti
İstifadəçilər səhifəsinin VPN Bağlantısı cədvəli sütununda istifadəçinin əlaqə statusu göstərilir. Budur əlaqə statusları:
AKTİV - Bağlantı aktivləşdirilib.
QEYD EDİLDİ – Bağlantı administrator və ya OIDC yeniləmə xətası tərəfindən deaktiv edilib.
MÜDDƏTİ KEÇİB – İdentifikasiya müddəti bitdiyinə və ya istifadəçi ilk dəfə daxil olmadığına görə əlaqə deaktiv edilib.
Ümumi OIDC konnektoru vasitəsilə Firezone Google Workspace və Cloud Identity ilə Tək Girişə (SSO) imkan verir. Bu təlimat sizə inteqrasiya üçün zəruri olan aşağıda sadalanan konfiqurasiya parametrlərini necə əldə edəcəyinizi göstərəcək:
1. OAuth Konfiqurasiya Ekranıâ € <
Əgər siz ilk dəfədirsə, yeni OAuth müştəri ID-si yaradırsınızsa, sizdən razılıq ekranını konfiqurasiya etməyiniz xahiş olunacaq.
*İstifadəçi növü üçün Daxili seçin. Bu, yalnız Google Workspace Təşkilatındakı istifadəçilərə məxsus hesabların cihaz konfiqurasiyalarını yarada biləcəyini təmin edir. Etibarlı Google Hesabı olan hər kəsə cihaz konfiqurasiyaları yaratmağa imkan vermək istəmirsinizsə, Xarici seçimi ETMƏYİN.
Tətbiq məlumat ekranında:
2. OAuth Müştəri ID-lərini yaradınâ € <
Bu bölmə Google-un öz sənədlərinə əsaslanır OAuth 2.0-ın qurulması.
Google Bulud Konsoluna baş çəkin Etibarnamə səhifəsi səhifəsində + Credentials klikləyin və OAuth müştəri ID-sini seçin.
OAuth müştəri ID yaradılması ekranında:
OAuth müştəri ID-sini yaratdıqdan sonra sizə Müştəri ID-si və Müştəri Sirri veriləcək. Bunlar növbəti addımda yönləndirmə URI ilə birlikdə istifadə olunacaq.
Redaktə etmək /etc/firezon/firezon.rb aşağıdakı variantları daxil etmək üçün:
# Google-dan SSO şəxsiyyət təminatçısı kimi istifadə
default['firezone']['authentication']['oidc'] = {
Google: {
Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
müştəri_id: " ”,
müştəri_gizli: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
cavab_növü: "kod",
əhatə dairəsi: “açıq e-poçt profili”,
etiket: "Google"
}
}
Tətbiqi yeniləmək üçün firezone-ctl yenidən konfiqurasiya edin və firezone-ctl yenidən başladın. İndi kök Firezone URL-də Google ilə daxil olun düyməsini görməlisiniz.
Firezone Okta ilə Tək Girişi (SSO) asanlaşdırmaq üçün ümumi OIDC konnektorundan istifadə edir. Bu təlimat sizə inteqrasiya üçün zəruri olan aşağıda sadalanan konfiqurasiya parametrlərini necə əldə edəcəyinizi göstərəcək:
Bələdçinin bu bölməsinə əsaslanır Oktanın sənədləri.
İdarəetmə Konsolunda Proqramlar > Proqramlar bölməsinə keçin və Tətbiq İnteqrasiyasını Yarat üzərinə klikləyin. Giriş metodunu OICD – OpenID Connect və Tətbiq növünü Veb tətbiqinə təyin edin.
Bu parametrləri konfiqurasiya edin:
Parametrlər saxlandıqdan sonra sizə Müştəri ID-si, Müştəri Sirri və Okta Domain veriləcək. Bu 3 dəyər Firezone-u konfiqurasiya etmək üçün 2-ci addımda istifadə olunacaq.
Redaktə etmək /etc/firezon/firezon.rb aşağıdakı variantları daxil etmək. Sizin kəşf_sənəd_url olacaq /.yaxşı tanınan/openid-konfiqurasiya sonuna əlavə olunur okta_domen.
# Okta-dan SSO şəxsiyyət təminatçısı kimi istifadə
default['firezone']['authentication']['oidc'] = {
okta: {
Discovery_document_uri: "https:// /.yaxşı tanınan/openid-konfiqurasiya”,
müştəri_id: " ”,
müştəri_gizli: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
cavab_növü: "kod",
əhatə dairəsi: “açıq e-poçt profili offline_access”,
etiket: "Okta"
}
}
Tətbiqi yeniləmək üçün firezone-ctl yenidən konfiqurasiya edin və firezone-ctl yenidən başladın. İndi kök Firezone URL-də Okta ilə daxil olun düyməsini görməlisiniz.
Firezone tətbiqinə daxil ola bilən istifadəçilər Okta tərəfindən məhdudlaşdırıla bilər. Bunu yerinə yetirmək üçün Okta Admin Konsolunuzun Firezone Tətbiq İnteqrasiyasının Tapşırıqlar səhifəsinə keçin.
Ümumi OIDC konnektoru vasitəsilə Firezone Azure Active Directory ilə Tək Girişə (SSO) imkan verir. Bu təlimat sizə inteqrasiya üçün zəruri olan aşağıda sadalanan konfiqurasiya parametrlərini necə əldə edəcəyinizi göstərəcək:
Bu bələdçi buradan götürülüb Azure Active Directory Sənədləri.
Azure portalının Azure Active Directory səhifəsinə keçin. İdarəetmə menyusunu seçin, Yeni Qeydiyyatı seçin, sonra aşağıdakı məlumatları təqdim etməklə qeydiyyatdan keçin:
Qeydiyyatdan keçdikdən sonra tətbiqin təfərrüatlı görünüşünü açın və onu kopyalayın Tətbiq (müştəri) ID. Bu client_id dəyəri olacaq. Sonra, əldə etmək üçün son nöqtələr menyusunu açın OpenID Connect metadata sənədi. Bu, discovery_document_uri dəyəri olacaq.
İdarəetmə menyusunun altında Sertifikatlar və sirrlər seçiminə klikləməklə yeni müştəri sirri yaradın. Müştəri sirrini kopyalayın; müştərinin gizli dəyəri bu olacaq.
Nəhayət, İdarəetmə menyusu altında API icazələri bağlantısını seçin, klikləyin İcazə əlavə edinseçin və seçin Microsoft Qrafiki, əlavə etmək e-poçt, açıq, offline_access və profil tələb olunan icazələrə.
Redaktə etmək /etc/firezon/firezon.rb aşağıdakı variantları daxil etmək üçün:
# Azure Active Directory-dən SSO şəxsiyyət təminatçısı kimi istifadə
default['firezone']['authentication']['oidc'] = {
mavi: {
Discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.yaxşı tanınan/açıq-konfiqurasiya”,
müştəri_id: " ”,
müştəri_gizli: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
cavab_növü: "kod",
əhatə dairəsi: “açıq e-poçt profili offline_access”,
etiket: "Azure"
}
}
Tətbiqi yeniləmək üçün firezone-ctl yenidən konfiqurasiya edin və firezone-ctl yenidən başladın. İndi kök Firezone URL-də Azure ilə daxil olun düyməsini görməlisiniz.
Azure AD administratorlara şirkətinizdəki xüsusi istifadəçilər qrupuna tətbiq girişini məhdudlaşdırmağa imkan verir. Bunu necə etmək barədə daha çox məlumatı Microsoft-un sənədlərində tapa bilərsiniz.
Chef Omnibus Firezone tərəfindən buraxılış qablaşdırması, prosesə nəzarət, logların idarə edilməsi və s. daxil olmaqla vəzifələri idarə etmək üçün istifadə olunur.
Ruby kodu /etc/firezone/firezone.rb ünvanında yerləşən əsas konfiqurasiya faylını təşkil edir. Bu faylda dəyişikliklər etdikdən sonra sudo firezone-ctl reconfigure-u yenidən işə salmaq Chef-in dəyişiklikləri tanımasına və onları cari əməliyyat sisteminə tətbiq etməsinə səbəb olur.
Konfiqurasiya dəyişənlərinin tam siyahısı və onların təsvirləri üçün konfiqurasiya faylı arayışına baxın.
Firezone instansiyanız vasitəsilə idarə oluna bilər firezone-ctl əmr, aşağıda göstərildiyi kimi. Əksər alt əmrlər prefiks tələb edir sudo.
root@demo:~# firezone-ctl
omnibus-ctl: komanda (alt komanda)
Ümumi əmrlər:
təmizləmək
Bütün * yanğın zonası məlumatlarını silin və sıfırdan başlayın.
yaradın və ya sıfırlayın-admin
Defolt olaraq['firezon']['admin_email'] təyin edilmiş e-poçt ilə admin üçün parolu sıfırlayır və ya bu e-poçt mövcud deyilsə, yeni admin yaradır.
kömək
Bu yardım mesajını çap edin.
yenidən qurmaq
Tətbiqi yenidən konfiqurasiya edin.
sıfırlama-şəbəkə
Nftables, WireGuard interfeysi və marşrutlaşdırma cədvəlini yenidən Firezone defoltlarına sıfırlayır.
göstər-konfiqurasiya
Yenidən konfiqurasiya ilə yaradılacaq konfiqurasiyanı göstərin.
sökmə şəbəkəsi
WireGuard interfeysini və firezone nftables cədvəlini silir.
məcburi sertifikat yenilənməsi
Sertifikat müddəti bitməmiş olsa belə, yenilənməsini indi məcbur edin.
dayandır-sertifikat-yenilənmə
Sertifikatları yeniləyən cronjobu silir.
aradan qaldırılması
Bütün prosesləri öldürün və proses nəzarətçisini silin (məlumatlar qorunacaq).
variant
Firezone-un cari versiyasını göstərin
Xidmət İdarəetmə Əmrləri:
zərif öldürmək
Zərif bir dayanmağa cəhd edin, sonra bütün proses qrupunu SIGKILL edin.
hup
Xidmətlərə HUP göndərin.
int
Xidmətlərə INT göndərin.
öldürmək
Xidmətlərə KILL göndərin.
dəfə
Xidmətlər işləmirsə, onları işə salın. Dayandıqları halda onları yenidən işə salmayın.
yenidən başladın
Əgər xidmətlər işləyirsə onları dayandırın, sonra yenidən başladın.
xidmət siyahısı
Bütün xidmətləri sadalayın (aktiv xidmətlər * işarəsi ilə görünür).
Başlamaq
Xidmətlər işləmirsə, işə salın və dayandıqda onları yenidən başladın.
vəziyyət
Bütün xidmətlərin vəziyyətini göstərin.
dayandırmaq
Xidmətləri dayandırın və onları yenidən başlatmayın.
quyruq
Bütün aktiv xidmətlərin xidmət qeydlərinə baxın.
müddət
Xidmətlərə TERM göndərin.
usr1
Xidmətləri USR1 göndərin.
usr2
Xidmətləri USR2 göndərin.
Firezone-u təkmilləşdirməzdən əvvəl bütün VPN seansları dayandırılmalıdır, bu da Veb UI-nin bağlanmasını tələb edir. Təkmilləşdirmə zamanı bir şey səhv olarsa, təmir üçün bir saat ayırmağı məsləhət görürük.
Firezone-u təkmilləşdirmək üçün aşağıdakı tədbirləri həyata keçirin:
Hər hansı bir problem yaranarsa, zəhmət olmasa, bizə bildirin dəstək biletinin təqdim edilməsi.
0.5.0-da həll edilməli olan bir neçə qırılma dəyişikliyi və konfiqurasiya modifikasiyası var. Aşağıda daha çox məlumat əldə edin.
Nginx artıq 0.5.0 versiyasından etibarən güc SSL və qeyri-SSL port parametrlərini dəstəkləmir. Firezone-un işləməsi üçün SSL tələb olunduğundan, defolt['firezone']['nginx']['enabled'] = false təyin edərək paket Nginx xidmətini silməyi və bunun əvəzinə 13000 portunda əks proksini Phoenix tətbiqinə yönəltməyi məsləhət görürük (defolt olaraq). ).
0.5.0 paketlənmiş Nginx xidməti ilə SSL sertifikatlarının avtomatik yenilənməsi üçün ACME protokol dəstəyini təqdim edir. Aktivləşdirmək üçün,
Dublikat təyinatlı qaydalar əlavə etmək imkanı Firezone 0.5.0-da yoxa çıxıb. Miqrasiya skriptimiz 0.5.0-a təkmilləşdirmə zamanı bu vəziyyətləri avtomatik tanıyacaq və yalnız təyinatına digər qaydanın daxil olduğu qaydaları saxlayacaq. Bu qaydasındadırsa, heç nə etməli deyilsiniz.
Əks halda, təkmilləşdirmədən əvvəl bu hallardan xilas olmaq üçün qaydalar dəstinizi dəyişdirməyi məsləhət görürük.
Firezone 0.5.0 yeni, daha çevik OIDC əsaslı konfiqurasiyanın xeyrinə köhnə üslublu Okta və Google SSO konfiqurasiyası üçün dəstəyi aradan qaldırır.
Defolt['firezone']['authentication']['okta'] və ya defolt['firezone']['authentication']['google'] açarları altında hər hansı konfiqurasiyanız varsa, bunları OIDC-yə köçürməlisiniz. aşağıdakı bələdçidən istifadə edərək əsaslı konfiqurasiya.
Mövcud Google OAuth konfiqurasiyası
Köhnə Google OAuth konfiqurasiyalarını ehtiva edən bu sətirləri /etc/firezone/firezone.rb ünvanında yerləşən konfiqurasiya faylınızdan silin.
default['firezone']['authentication']['google']['enabled']
default['firezone']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
default['firezone']['authentication']['google']['redirect_uri']
Sonra buradakı prosedurlara əməl etməklə Google-u OIDC provayderi kimi konfiqurasiya edin.
(Link təlimatlarını təmin edin)<<<<<<<<<<<<<<<<<
Mövcud Google OAuth-u konfiqurasiya edin
Köhnə Okta OAuth konfiqurasiyalarını ehtiva edən bu sətirləri ünvanında yerləşən konfiqurasiya faylınızdan silin /etc/firezon/firezon.rb
default['firezone']['authentication']['okta']['enabled']
default['firezone']['authentication']['okta']['client_id']
default['firezone']['authentication']['okta']['client_secret']
Defolt['firezon']['authentication']['okta']['sayt']
Daha sonra buradakı prosedurlara əməl etməklə Okta-nı OIDC provayderi kimi konfiqurasiya edin.
Cari quraşdırma və versiyanızdan asılı olaraq aşağıdakı təlimatlara əməl edin:
Əgər artıq OIDC inteqrasiyanız varsa:
Bəzi OIDC provayderləri üçün >= 0.3.16 səviyyəsinə yüksəldilməsi oflayn giriş dairəsi üçün yeniləmə nişanının alınmasını tələb edir. Bunu etməklə, Firezone-un şəxsiyyət provayderi ilə yenilənməsinə və istifadəçi silindikdən sonra VPN bağlantısının bağlanmasına əmin olur. Firezone-un əvvəlki iterasiyalarında bu xüsusiyyət yox idi. Bəzi hallarda, şəxsiyyət provayderinizdən silinmiş istifadəçilər hələ də VPN-ə qoşula bilər.
Oflayn giriş əhatə dairəsini dəstəkləyən OIDC provayderləri üçün OIDC konfiqurasiyanızın əhatə parametrinə oflayn girişi daxil etmək lazımdır. /etc/firezone/firezone.rb ünvanında yerləşən Firezone konfiqurasiya faylına dəyişiklikləri tətbiq etmək üçün Firezone-ctl reconfigure icra edilməlidir.
OIDC provayderiniz tərəfindən autentifikasiya edilmiş istifadəçilər üçün Firezone yeniləmə nişanını uğurla əldə edə bildiyi təqdirdə veb UI istifadəçi təfərrüatları səhifəsində OIDC Əlaqələri başlığını görəcəksiniz.
Bu işləmirsə, mövcud OAuth tətbiqinizi silməli və OIDC quraşdırma addımlarını təkrarlamalı olacaqsınız. yeni tətbiq inteqrasiyası yaradın .
Məndə mövcud OAuth inteqrasiyası var
0.3.11-dən əvvəl Firezone əvvəlcədən konfiqurasiya edilmiş OAuth2 provayderlərindən istifadə edirdi.
Təlimatları izləyin burada OIDC-yə köçmək.
Mən şəxsiyyət təminatçısı inteqrasiya etməmişəm
Heç bir tədbirə ehtiyac yoxdur.
Təlimatlara əməl edə bilərsiniz burada OIDC provayderi vasitəsilə SSO-nu aktivləşdirmək.
Onun yerinə default['firezone']['external url'] default['firezone']['fqdn'] konfiqurasiya seçimini əvəz etdi.
Bunu ümumi ictimaiyyət üçün əlçatan olan Firezone onlayn portalınızın URL-inə təyin edin. Defolt olaraq https:// üstəgəl serverinizin FQDN-si təyin olunmamış qalır.
Konfiqurasiya faylı /etc/firezone/firezone.rb ünvanında yerləşir. Konfiqurasiya dəyişənlərinin tam siyahısı və onların təsvirləri üçün konfiqurasiya faylı arayışına baxın.
Firezone artıq 0.3.0 versiyasından etibarən cihazın şəxsi açarlarını Firezone serverində saxlamır.
Firezone Web UI sizə bu konfiqurasiyaları yenidən yükləməyə və ya görməyə imkan verməyəcək, lakin hər hansı mövcud qurğular olduğu kimi işləməyə davam etməlidir.
Firezone 0.1.x-dən təkmilləşdirirsinizsə, əl ilə həll edilməli olan bir neçə konfiqurasiya faylı dəyişikliyi var.
/etc/firezone/firezone.rb faylınıza lazımi dəyişikliklər etmək üçün aşağıdakı əmrləri root olaraq işlədin.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
firezone-ctl yenidən konfiqurasiya edin
firezone-ctl yenidən başladın
Firezone qeydlərini yoxlamaq baş verə biləcək hər hansı bir problem üçün ilk müdrik addımdır.
Firezone qeydlərinə baxmaq üçün sudo firezone-ctl tail-i işə salın.
Firezone ilə əlaqə problemlərinin əksəriyyəti uyğun olmayan iptables və ya nftables qaydalarına görə yaranır. Siz qüvvədə olan hər hansı qaydaların Firezone qaydaları ilə ziddiyyət təşkil etmədiyinə əmin olmalısınız.
WireGuard tunelinizi hər dəfə aktivləşdirdiyiniz zaman İnternet bağlantınız pisləşərsə, FORWARD zəncirinin WireGuard müştərilərinizdən paketləri Firezone vasitəsilə buraxmaq istədiyiniz yerlərə icazə verdiyinə əmin olun.
Defolt marşrutlaşdırma siyasətinə icazə verilməsini təmin etməklə ufw istifadə edirsinizsə, buna nail olmaq olar:
ubuntu@fz:~$ sudo ufw default olaraq marşruta icazə verir
Defolt yönləndirmə siyasəti "icazə vermək" olaraq dəyişdirildi
(qaydalarınızı müvafiq olaraq yenilədiyinizə əmin olun)
A Heyrət! Vay tipik bir Firezone serverinin statusu belə görünə bilər:
ubuntu@fz:~$ sudo ufw statusu ətraflı
Vəziyyəti: aktivdir
Giriş: aktiv (aşağı)
Defolt: rədd et (daxil olan), icazə (giden), icazə (marşrutlu)
Yeni profillər: keçin
Fəaliyyət üçün
— —— —-
22/tcp İstənilən yerə İCAZƏ VERİR
80/tcp İstənilən yerə İCAZƏ VERİR
443/tcp İstənilən yerə İCAZƏ VERİR
51820/udp İstənilən yerə İCAZƏ VERİR
22/tcp (v6) İstənilən yerdə İCAZƏ VERİN (v6)
80/tcp (v6) İstənilən yerdə İCAZƏ VERİN (v6)
443/tcp (v6) İstənilən yerə İCAZƏ VERİN (v6)
51820/udp (v6) İstənilən yerdə İCAZƏ VERİN (v6)
Aşağıda izah edildiyi kimi, son dərəcə həssas və missiya baxımından kritik istehsal yerləşdirmələri üçün veb interfeysinə girişi məhdudlaşdırmağı məsləhət görürük.
xidmət | Defolt Port | Ünvanı dinləyin | Təsvir: Hər maşın üçün dəqiq və cəlbedici təsvir yazmağınız daha yaxşı olar. Bunun üçün chat.openai.com saytına daxil olaraq, orada aşağıdakı kimi sorğu yarada bilərsiniz: "Create the most powerful SEO-friendly text about [avtomobil modeli] for rentacarXNUMX.az site." Qeyd: "[avtomobil modeli]" yerinə təsvirini yazmaq istədiyiniz avtomobilin adını qeyd edin. |
Nginx | 80, 443 | hər | Firezone-u idarə etmək və autentifikasiyanı asanlaşdırmaq üçün ictimai HTTP(S) portu. |
Qulaq asmaq | 51820 | hər | VPN seansları üçün istifadə edilən ictimai WireGuard portu. (UDP) |
postgresql | 15432 | 127.0.0.1 | Paketlənmiş Postgresql serveri üçün istifadə edilən yalnız yerli port. |
Phoenix | 13000 | 127.0.0.1 | Yuxarı eliksir tətbiq serveri tərəfindən istifadə edilən yalnız yerli port. |
Sizə Firezone-un ictimaiyyətə açıqlanan veb interfeysinə (defolt olaraq 443/tcp və 80/tcp portları) girişi məhdudlaşdırmaq barədə düşünməyinizi və bunun əvəzinə tək bir idarəçinin cavabdeh olacağı istehsal və ictimaiyyət üçün nəzərdə tutulmuş yerləşdirmələr üçün Firezone-u idarə etmək üçün WireGuard tunelindən istifadə etməyi məsləhət görürük. cihaz konfiqurasiyalarının yaradılması və son istifadəçilərə paylanması.
Məsələn, inzibatçı cihaz konfiqurasiyasını yaratmışsa və yerli WireGuard ünvanı 10.3.2.2 ilə tunel yaratmışsa, aşağıdakı ufw konfiqurasiyası administratora standart 10.3.2.1-dən istifadə edərək serverin wg-firezon interfeysində Firezone veb UI-yə daxil olmaq imkanı verəcəkdir. tunel ünvanı:
root@demo:~# ufw statusu ətraflı
Vəziyyəti: aktivdir
Giriş: aktiv (aşağı)
Defolt: rədd et (daxil olan), icazə (giden), icazə (marşrutlu)
Yeni profillər: keçin
Fəaliyyət üçün
— —— —-
22/tcp İstənilən yerə İCAZƏ VERİR
51820/udp İstənilən yerə İCAZƏ VERİR
10.3.2.2-də hər yerdə İCAZƏ VERİN
22/tcp (v6) İstənilən yerdə İCAZƏ VERİN (v6)
51820/udp (v6) İstənilən yerdə İCAZƏ VERİN (v6)
Bu yalnız tərk edəcək 22/tcp serveri idarə etmək üçün SSH girişinə məruz qalır (isteğe bağlı) və 51820/udp WireGuard tunelləri yaratmaq üçün ifşa edilmişdir.
Firezone Postgresql serverini və uyğunluğunu birləşdirir psql yerli qabıqdan belə istifadə edilə bilən yardım proqramı:
/opt/firezon/embedded/bin/psql \
-U yanğın zonası \
-d yanğın zonası \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
Bu, sazlama məqsədləri üçün faydalı ola bilər.
Ümumi Tapşırıqlar:
Bütün istifadəçilərin siyahısı:
/opt/firezon/embedded/bin/psql \
-U yanğın zonası \
-d yanğın zonası \
-h localhost \
-p 15432 \
-c “İstifadəçilərdən * SEÇİN;”
Bütün cihazların siyahısı:
/opt/firezon/embedded/bin/psql \
-U yanğın zonası \
-d yanğın zonası \
-h localhost \
-p 15432 \
-c “Cihazlardan * SEÇİN;”
İstifadəçi rolunu dəyişdirin:
Rolu "admin" və ya "imtiyazsız" olaraq təyin edin:
/opt/firezon/embedded/bin/psql \
-U yanğın zonası \
-d yanğın zonası \
-h localhost \
-p 15432 \
-c “İstifadəçiləri YENİLƏNİN SET rolu = 'admin' E-poçt = 'user@example.com';”
Verilənlər bazasının ehtiyat nüsxəsinin çıxarılması:
Bundan əlavə, verilənlər bazasının müntəzəm ehtiyat nüsxələrini çıxarmaq üçün istifadə edilə bilən pg dump proqramı daxildir. Verilənlər bazasının surətini ümumi SQL sorğu formatına atmaq üçün aşağıdakı kodu yerinə yetirin (/path/to/backup.sql SQL faylının yaradılmalı olduğu yerlə əvəz edin):
/opt/firezon/embedded/bin/pg_dump \
-U yanğın zonası \
-d yanğın zonası \
-h localhost \
-p 15432 > /path/to/backup.sql
Firezone uğurla yerləşdirildikdən sonra, onların şəbəkənizə girişini təmin etmək üçün istifadəçilər əlavə etməlisiniz. Bunun üçün Web UI istifadə olunur.
/users altındakı “İstifadəçi əlavə et” düyməsini seçməklə siz istifadəçi əlavə edə bilərsiniz. Sizdən istifadəçiyə e-poçt ünvanı və parol təqdim etməyiniz tələb olunacaq. Təşkilatınızdakı istifadəçilərə avtomatik daxil olmağa icazə vermək üçün Firezone həmçinin şəxsiyyət provayderi ilə interfeys və sinxronizasiya edə bilər. Ətraflı məlumat bölməsində mövcuddur Doğrulamaq. < Doğrulama üçün keçid əlavə edin
Biz istifadəçilərdən şəxsi açarın yalnız onlara görünməsi üçün öz cihaz konfiqurasiyalarını yaratmağı xahiş etməyi məsləhət görürük. İstifadəçilər üzərindəki göstərişlərə əməl etməklə öz cihaz konfiqurasiyalarını yarada bilərlər Müştəri Təlimatları səhifə.
Bütün istifadəçi cihaz konfiqurasiyaları Firezone adminləri tərəfindən yaradıla bilər. /users-də yerləşən istifadəçi profili səhifəsində bunu yerinə yetirmək üçün “Cihaz əlavə et” seçimini seçin.
[Skrinşot daxil edin]
Siz cihaz profilini yaratdıqdan sonra istifadəçiyə WireGuard konfiqurasiya faylını e-poçtla göndərə bilərsiniz.
İstifadəçilər və cihazlar əlaqələndirilir. İstifadəçini necə əlavə etmək barədə ətraflı məlumat üçün baxın İstifadəçilər əlavə edin.
Nüvənin şəbəkə filtri sistemindən istifadə etməklə, Firezone DROP və ya QƏBUL paketlərini təyin etmək üçün çıxış filtrləmə imkanlarına imkan verir. Normalda bütün trafikə icazə verilir.
IPv4 və IPv6 CIDR və IP ünvanları müvafiq olaraq Allowlist və Deylist vasitəsilə dəstəklənir. Siz qaydanı istifadəçiyə əlavə edərkən onun əhatə dairəsini seçə bilərsiniz, bu qayda həmin istifadəçinin bütün cihazlarına tətbiq edilir.
Quraşdırın və konfiqurasiya edin
Doğma WireGuard müştərisindən istifadə edərək VPN bağlantısı qurmaq üçün bu təlimata baxın.
Burada yerləşən Rəsmi WireGuard müştəriləri Firezone ilə uyğundur:
Yuxarıda qeyd olunmayan OS sistemləri üçün https://www.wireguard.com/install/ ünvanında rəsmi WireGuard veb saytına daxil olun.
Ya Firezone inzibatçınız, ya da özünüz Firezone portalından istifadə edərək cihaz konfiqurasiya faylını yarada bilər.
Cihaz konfiqurasiya faylını özü yaratmaq üçün Firezone administratorunuzun təmin etdiyi URL-ə daxil olun. Firmanızın bunun üçün unikal URL-i olacaq; bu halda, bu https://instance-id.yourfirezone.com-dur.
Firezone Okta SSO-ya daxil olun
[Skrinshot daxil edin]
Conf faylını açaraq WireGuard müştərisinə idxal edin. Aktivləşdir düyməsini çevirməklə siz VPN sessiyasına başlaya bilərsiniz.
[Skrinshot daxil edin]
Şəbəkə administratorunuz VPN bağlantınızı aktiv saxlamaq üçün təkrarlanan autentifikasiyanı tapşırıbsa, aşağıdakı təlimatlara əməl edin.
Ehtiyacınız var:
Firezone portalının URL-i: Bağlantı üçün şəbəkə administratorunuzdan soruşun.
Şəbəkə administratorunuz giriş və şifrənizi təklif edə bilməlidir. Firezone saytı işəgötürəninizin istifadə etdiyi tək giriş xidmətindən (məsələn, Google və ya Okta) istifadə edərək daxil olmanızı təklif edəcək.
[Skrinshot daxil edin]
Firezone portalının URL-inə keçin və şəbəkə administratorunuzun təqdim etdiyi etimadnamələrdən istifadə edərək daxil olun. Artıq daxil olmusunuzsa, yenidən daxil olmamışdan əvvəl Yenidən Doğrula düyməsini klikləyin.
[Skrinshot daxil edin]
[Skrinshot daxil edin]
Linux cihazlarında Network Manager CLI istifadə edərək WireGuard konfiqurasiya profilini idxal etmək üçün bu təlimatlara əməl edin (nmcli).
Profildə IPv6 dəstəyi aktivdirsə, Şəbəkə Meneceri GUI-dən istifadə edərək konfiqurasiya faylını idxal etməyə cəhd aşağıdakı xəta ilə uğursuz ola bilər:
ipv6.method: “auto” metodu WireGuard üçün dəstəklənmir
WireGuard istifadəçi sahəsi utilitlərini quraşdırmaq lazımdır. Bu, Linux paylamaları üçün wireguard və ya wireguard-tools adlı paket olacaq.
Ubuntu/Debian üçün:
sudo apt tel qoruyucu quraşdırın
Fedora istifadə etmək üçün:
sudo dnf wireguard alətlərini quraşdırın
Arch Linux:
sudo pacman -S tel qoruyucu alətləri
Yuxarıda qeyd olunmayan paylamalar üçün https://www.wireguard.com/install/ ünvanında rəsmi WireGuard veb saytına daxil olun.
Firezone inzibatçınız və ya özünün nəsilləri Firezone portalından istifadə edərək cihaz konfiqurasiya faylını yarada bilər.
Cihaz konfiqurasiya faylını özü yaratmaq üçün Firezone administratorunuzun təmin etdiyi URL-ə daxil olun. Firmanızın bunun üçün unikal URL-i olacaq; bu halda, bu https://instance-id.yourfirezone.com-dur.
[Skrinshot daxil edin]
Nmcli istifadə edərək təqdim edilmiş konfiqurasiya faylını idxal edin:
sudo nmcli bağlantısı idxal növü wireguard faylı /path/to/configuration.conf
Konfiqurasiya faylının adı WireGuard bağlantısına/interfeysinə uyğun olacaq. İdxaldan sonra, zəruri hallarda əlaqənin adı dəyişdirilə bilər:
nmcli bağlantısı dəyişdirin [köhnə ad] connection.id [yeni ad]
Komanda xətti ilə VPN-ə aşağıdakı kimi qoşulun:
nmcli bağlantısı yuxarı [vpn adı]
Bağlamaq üçün:
nmcli bağlantısı aşağı [vpn adı]
Tətbiq olunan Şəbəkə Meneceri proqramından GUI istifadə edildikdə əlaqəni idarə etmək üçün də istifadə edilə bilər.
Avtomatik qoşulma seçimi üçün “bəli” seçimi ilə VPN bağlantısı avtomatik qoşulmaq üçün konfiqurasiya edilə bilər:
nmcli bağlantısı [vpn adı] bağlantısını dəyişdirin. <<<<<<<<<<<<<<<<<<<<<<<
avtomatik qoşulma bəli
Avtomatik əlaqəni söndürmək üçün onu yenidən yox olaraq təyin edin:
nmcli bağlantısı [vpn adı] bağlantısını dəyişdirin.
avtomatik qoşulma nömrəsi
MFA-nı aktivləşdirmək üçün Firezone portalının /istifadəçi hesabı/qeydiyyat mfa səhifəsinə keçin. QR kodu yaradıldıqdan sonra onu skan etmək üçün autentifikator proqramından istifadə edin, sonra altı rəqəmli kodu daxil edin.
Doğrulayıcı tətbiqinizi səhv yerləşdirsəniz, hesabınıza giriş məlumatını sıfırlamaq üçün Admininizlə əlaqə saxlayın.
Bu dərslik sizə WireGuard-ın Firezone ilə split tunelləmə funksiyasının qurulması prosesini öyrədəcək ki, VPN serveri vasitəsilə yalnız xüsusi IP diapazonlarına trafik ötürülsün.
Müştərinin şəbəkə trafikini yönləndirəcəyi IP diapazonları /parametrlər/defolt səhifəsində yerləşən İcazəli İP-lər sahəsində göstərilmişdir. Bu sahəyə edilən dəyişikliklər yalnız Firezone tərəfindən istehsal edilən yeni yaradılmış WireGuard tunel konfiqurasiyalarına təsir edəcək.
[Skrinshot daxil edin]
Defolt dəyər bütün şəbəkə trafikini müştəridən VPN serverinə yönləndirən 0.0.0.0/0, ::/0-dır.
Bu sahədəki dəyərlərə nümunələr daxildir:
0.0.0.0/0, ::/0 – bütün şəbəkə trafiki VPN serverinə yönləndiriləcək.
192.0.2.3/32 – yalnız bir IP ünvanına trafik VPN serverinə yönləndiriləcək.
3.5.140.0/22 – yalnız 3.5.140.1 – 3.5.143.254 diapazonunda IP-lərə trafik VPN serverinə yönləndiriləcək. Bu nümunədə ap-şimal-şərq-2 AWS bölgəsi üçün CIDR diapazonundan istifadə edilmişdir.
Firezone paketin hara yönləndiriləcəyini təyin edərkən əvvəlcə ən dəqiq marşrutla əlaqəli çıxış interfeysini seçir.
İstifadəçilər mövcud istifadəçi cihazlarını yeni split tunel konfiqurasiyası ilə yeniləmək üçün konfiqurasiya fayllarını yenidən yaratmalı və onları doğma WireGuard müştərisinə əlavə etməlidirlər.
Təlimatlar üçün baxın cihaz əlavə edin. <<<<<<<<<<< Link əlavə edin
Bu təlimatda Firezone-dan rele kimi istifadə edərək iki cihazı necə əlaqələndirmək olar. Tipik istifadə hallarından biri administratora NAT və ya firewall tərəfindən qorunan server, konteyner və ya maşına daxil olmaq imkanı verməkdir.
Bu təsvir A və B cihazlarının tunel qurduğu sadə ssenarini göstərir.
[Yanğın zonasının memarlıq şəklini daxil edin]
/users/[user_id]/new_device bölməsinə keçərək A Cihazını və B Cihazını yaratmaqla başlayın. Hər bir cihaz üçün parametrlərdə aşağıdakı parametrlərin aşağıda sadalanan dəyərlərə uyğun olduğundan əmin olun. Cihaz konfiqurasiyasını yaratarkən cihaz parametrlərini təyin edə bilərsiniz (bax: Cihazlar əlavə edin). Mövcud cihazda parametrləri yeniləməlisinizsə, yeni cihaz konfiqurasiyasını yaradaraq bunu edə bilərsiniz.
Qeyd edək ki, bütün cihazların PersistentKeepalive-in konfiqurasiya oluna biləcəyi /parametrlər/defaults səhifəsi var.
İcazə verilən IP-lər = 10.3.2.2/32
Bu, B Cihazının IP və ya IP diapazonudur
PersistentKeepalive = 25
Əgər cihaz NAT-ın arxasındadırsa, bu, cihazın tuneli canlı saxlamağa və WireGuard interfeysindən paketləri qəbul etməyə davam etməsini təmin edir. Adətən 25 dəyəri kifayətdir, lakin mühitinizdən asılı olaraq bu dəyəri azaltmalı ola bilərsiniz.
İcazə verilən IP-lər = 10.3.2.3/32
Bu, A cihazının IP və ya IP diapazonudur
PersistentKeepalive = 25
Bu nümunə A Cihazının B və D Cihazları ilə hər iki istiqamətdə əlaqə qura biləcəyi vəziyyəti göstərir. Bu quraşdırma müxtəlif şəbəkələrdə çoxsaylı resurslara (serverlər, konteynerlər və ya maşınlar) daxil olan mühəndis və ya administratoru təmsil edə bilər.
[Memarlıq diaqramı]<<<<<<<<<<<<<<<<<<<<<<<
Aşağıdakı parametrlərin hər bir cihazın parametrlərində müvafiq dəyərlərə uyğun olduğundan əmin olun. Cihaz konfiqurasiyasını yaratarkən siz cihaz parametrlərini təyin edə bilərsiniz (bax: Cihazlar əlavə edin). Mövcud cihazdakı parametrlərin yenilənməsi tələb olunarsa, yeni cihaz konfiqurasiyası yaradıla bilər.
İcazə verilən IP-lər = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Bu, B-dən D cihazların IP-sidir. B-dən D-yə qədər cihazların IP-ləri təyin etmək üçün seçdiyiniz istənilən IP diapazonuna daxil edilməlidir.
PersistentKeepalive = 25
Bu, cihazın NAT ilə qorunduğu halda belə, tuneli saxlamağa və WireGuard interfeysindən paketləri qəbul etməyə davam edə biləcəyinə zəmanət verir. Əksər hallarda 25 dəyəri adekvatdır, lakin ətrafınızdan asılı olaraq bu rəqəmi aşağı salmağınız lazım ola bilər.
Komandanızın bütün trafikinin çıxması üçün vahid, statik çıxış IP təklif etmək üçün Firezone NAT şlüz kimi istifadə edilə bilər. Bu hallar onun tez-tez istifadəsini əhatə edir:
Məsləhətləşmələr: Müştərinizdən hər bir işçinin unikal cihaz IP-si əvəzinə tək statik IP ünvanını ağ siyahıya salmasını tələb edin.
Təhlükəsizlik və ya məxfilik məqsədləri üçün proksidən istifadə etmək və ya mənbə IP-nizi maskalamaq.
Bu yazıda Firezone ilə işləyən tək ağ siyahıya alınmış statik IP ilə öz-özünə yerləşdirilən veb tətbiqinə girişin məhdudlaşdırılmasının sadə nümunəsi nümayiş etdiriləcək. Bu təsvirdə Firezone və qorunan resurs müxtəlif VPC sahələrindədir.
Bu həll, giriş siyahısı genişləndikcə çox vaxt apara bilən çoxsaylı son istifadəçilər üçün IP ağ siyahısının idarə edilməsi əvəzinə tez-tez istifadə olunur.
Məqsədimiz VPN trafikini məhdudlaşdırılmış resursa yönləndirmək üçün EC2 instansiyasında Firezone server qurmaqdır. Bu halda, Firezone hər bir qoşulmuş cihaza unikal ictimai çıxış IP vermək üçün şəbəkə proksisi və ya NAT şluz kimi xidmət edir.
Bu halda, tc2.micro adlı EC2 instansiyasında Firezone instansiyası quraşdırılmışdır. Firezone-un yerləşdirilməsi haqqında məlumat üçün Yerləşdirmə Bələdçisinə keçin. AWS ilə əlaqədar olaraq əmin olun:
Firezone EC2 instansiyasının təhlükəsizlik qrupu qorunan resursun IP ünvanına gedən trafikə icazə verir.
Firezone nümunəsi elastik IP ilə gəlir. Firezone instansiyası vasitəsilə kənar təyinatlara yönləndirilən trafikin mənbə IP ünvanı bu olacaq. Sözügedən IP ünvanı 52.202.88.54-dür.
[Skrinshot daxil edin]<<<<<<<<<<<<<<<<<<<<<<<<<
Öz-özünə yerləşdirilən veb tətbiqi bu halda qorunan resurs rolunu oynayır. Veb proqrama yalnız 52.202.88.54 IP ünvanından gələn sorğular vasitəsilə daxil olmaq olar. Resursdan asılı olaraq, müxtəlif limanlar və trafik növləri üzrə daxil olan trafikə icazə vermək lazım ola bilər. Bu, bu təlimatda əhatə olunmur.
[Skrinşot daxil edin]<<<<<<<<<<<<<<<<<<<<<<<<<
Zəhmət olmasa qorunan resursdan məsul olan üçüncü tərəfə deyin ki, 1-ci addımda müəyyən edilmiş statik IP-dən trafikə icazə verilməlidir (bu halda 52.202.88.54).
Varsayılan olaraq, bütün istifadəçi trafiki VPN serverindən keçəcək və 1-ci Addımda konfiqurasiya edilmiş statik IP-dən gələcək (bu halda 52.202.88.54). Bununla belə, split tunel aktivləşdirilibsə, qorunan resursun təyinat IP-sinin İcazə verilən IP-lər arasında qeyd edildiyinə əmin olmaq üçün parametrlər tələb oluna bilər.
Aşağıda mövcud konfiqurasiya seçimlərinin tam siyahısı göstərilir /etc/firezon/firezon.rb.
seçimi | təsvir | cari dəyər |
default['firezon']['external_url'] | URL bu Firezone instansiyasının veb portalına daxil olmaq üçün istifadə olunur. | “https://#{node['fqdn'] || node['hostname']}” |
default['firezon']['config_directory'] | Firezone konfiqurasiyası üçün yüksək səviyyəli kataloq. | /etc/firezon' |
default['firezon']['install_directory'] | Firezone-u quraşdırmaq üçün yüksək səviyyəli kataloq. | /opt/firezon' |
default['firezon']['app_directory'] | Firezone veb tətbiqini quraşdırmaq üçün yüksək səviyyəli kataloq. | “#{node['firezone']['install_directory']}/embedded/service/firezone” |
default['firezon']['log_directory'] | Firezone qeydləri üçün yüksək səviyyəli kataloq. | /var/log/firezon' |
default['firezon']['var_directory'] | Firezone işləmə faylları üçün yüksək səviyyəli kataloq. | /var/opt/firezon' |
default['firezon']['user'] | İmtiyazsız Linux istifadəçisinin adı əksər xidmətlər və fayllara aid olacaq. | yanğın zonası' |
default['firezon']['group'] | Əksər xidmət və faylların aid olacağı Linux qrupunun adı. | yanğın zonası' |
default['firezon']['admin_email'] | İlkin Firezone istifadəçisi üçün e-poçt ünvanı. | “firezone@localhost” |
default['firezon']['max_devices_per_user'] | İstifadəçinin sahib ola biləcəyi maksimum cihazların sayı. | 10 |
default['firezone']['allow_unprivileged_device_management'] | Admin olmayan istifadəçilərə cihazlar yaratmağa və silməyə imkan verir. | TRUE |
default['firezone']['allow_unprivileged_device_configuration'] | Admin olmayan istifadəçilərə cihaz konfiqurasiyalarını dəyişməyə imkan verir. Deaktiv edildikdə, imtiyazsız istifadəçilərin ad və təsvirdən başqa bütün cihaz sahələrini dəyişməsinin qarşısını alır. | TRUE |
default['firezone']['egress_interface'] | Tunellənmiş trafikin çıxacağı interfeys adı. Sıfır olarsa, standart marşrut interfeysi istifadə olunacaq. | sıfır |
default['firezone']['fips_enabled'] | OpenSSL FIPs rejimini aktivləşdirin və ya söndürün. | sıfır |
default['firezon']['logging']['enabled'] | Firezone-da girişi aktivləşdirin və ya söndürün. Girişi tamamilə söndürmək üçün false olaraq təyin edin. | TRUE |
default['enterprise']['name'] | Aşpaz 'müəssisə' yemək kitabı tərəfindən istifadə edilən ad. | yanğın zonası' |
default['firezon']['install_path'] | Chef "müəssisə" yemək kitabı tərəfindən istifadə olunan yolu quraşdırın. Yuxarıdakı install_directory ilə eyni təyin edilməlidir. | node['firezon']['install_directory'] |
default['firezon']['sysvinit_id'] | /etc/inittab-da istifadə olunan identifikator. 1-4 simvoldan ibarət unikal ardıcıllıq olmalıdır. | SUP' |
default['firezone']['authentication']['local']['enabled'] | Yerli e-poçt/parol autentifikasiyasını aktivləşdirin və ya söndürün. | TRUE |
default['firezone']['authentication']['auto_create_oidc_users'] | OIDC-dən ilk dəfə daxil olan istifadəçiləri avtomatik olaraq yaradın. Yalnız mövcud istifadəçilərin OIDC vasitəsilə daxil olmasına icazə vermək üçün söndürün. | TRUE |
default['firezone']['authentication']['disable_vpn_on_oidc_error'] | OIDC işarəsini yeniləməyə cəhd edərkən xəta aşkar edilərsə, istifadəçinin VPN-ni deaktiv edin. | SAXTA |
default['firezone']['authentication']['oidc'] | OpenID Connect konfiqurasiyası, {“provayder” => [config…]} formatında – Baxın OpenIDConnect sənədləri konfiqurasiya nümunələri üçün. | {} |
default['firezon']['nginx']['enabled'] | Birləşdirilmiş nginx serverini aktivləşdirin və ya söndürün. | TRUE |
default['firezone']['nginx']['ssl_port'] | HTTPS dinləmə portu. | 443 |
default['firezon']['nginx']['kataloq'] | Firezone ilə əlaqəli nginx virtual host konfiqurasiyasını saxlamaq üçün kataloq. | “#{node['firezone']['var_directory']}/nginx/etc” |
default['firezone']['nginx']['log_directory'] | Firezone ilə əlaqəli nginx log fayllarını saxlamaq üçün kataloq. | “#{node['firezon']['log_directory']}/nginx” |
default['firezon']['nginx']['log_rotation']['file_maxbytes'] | Nginx log fayllarını çevirmək üçün fayl ölçüsü. | 104857600 |
default['firezone']['nginx']['log_rotation']['saxlanacaqlar_num'] | Atılmadan əvvəl saxlamaq üçün Firezone nginx log fayllarının sayı. | 10 |
default['firezone']['nginx']['log_x_forwarded_for'] | Firezone nginx x-forwarded-for header-a daxil olub-olmaması. | TRUE |
default['firezone']['nginx']['hsts_header']['enabled'] | TRUE | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS başlığı üçün includeSubDomains-i aktivləşdirin və ya söndürün. | TRUE |
default['firezone']['nginx']['hsts_header']['max_age'] | HSTS başlığı üçün maksimum yaş. | 31536000 |
default['firezone']['nginx']['redirect_to_canonical'] | URL-lərin yuxarıda göstərilən kanonik FQDN-ə yönləndirilməsi | SAXTA |
default['firezone']['nginx']['cache']['enabled'] | Firezone nginx keşini aktivləşdirin və ya söndürün. | SAXTA |
default['firezon']['nginx']['cache']['kataloq'] | Firezone nginx önbelleği üçün kataloq. | “#{node['firezon']['var_directory']}/nginx/cache” |
default['firezon']['nginx']['user'] | Firezone nginx istifadəçisi. | node['firezon']['user'] |
default['firezon']['nginx']['group'] | Firezone nginx qrupu. | node['firezon']['group'] |
default['firezon']['nginx']['dir'] | Ən yüksək səviyyəli nginx konfiqurasiya kataloqu. | node['firezon']['nginx']['kataloq'] |
default['firezon']['nginx']['log_dir'] | Ən yüksək səviyyəli nginx jurnal kataloqu. | node['firezon']['nginx']['log_directory'] |
default['firezon']['nginx']['pid'] | Nginx pid faylı üçün yer. | “#{node['firezone']['nginx']['directory']}/nginx.pid” |
default['firezone']['nginx']['daemon_disable'] | Nginx demon rejimini söndürün ki, biz onun əvəzinə ona nəzarət edək. | TRUE |
default['firezon']['nginx']['gzip'] | Nginx gzip sıxılmasını yandırın və ya söndürün. | ' |
default['firezone']['nginx']['gzip_static'] | Statik fayllar üçün nginx gzip sıxılmasını yandırın və ya söndürün. | off' |
default['firezone']['nginx']['gzip_http_version'] | Statik fayllara xidmət göstərmək üçün istifadə ediləcək HTTP versiyası. | 1.0 ' |
default['firezone']['nginx']['gzip_comp_level'] | nginx gzip sıxılma səviyyəsi. | 2 ' |
default['firezone']['nginx']['gzip_proxied'] | Sorğu və cavabdan asılı olaraq proksiləşdirilmiş sorğular üçün cavabların gziplənməsini aktiv edir və ya qeyri-aktiv edir. | hər hansı' |
default['firezone']['nginx']['gzip_vary'] | “Vary: Accept-Encoding” cavab başlığının daxil edilməsini aktiv edir və ya qeyri-aktiv edir. | off' |
default['firezone']['nginx']['gzip_buffers'] | Cavabın sıxılması üçün istifadə olunan buferlərin sayını və ölçüsünü təyin edir. Sıfır olarsa, nginx default istifadə olunur. | sıfır |
default['firezone']['nginx']['gzip_types'] | Gzip sıxılmasını aktivləşdirmək üçün MIME növləri. | ['mətn/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' mətn/javascript', 'application/javascript', 'application/json'] |
default['firezone']['nginx']['gzip_min_length'] | Faylın gzip sıxılmasını aktivləşdirmək üçün minimum fayl uzunluğu. | 1000 |
default['firezone']['nginx']['gzip_disable'] | Gzip sıxılmasını deaktiv etmək üçün istifadəçi agent uyğunlaşdırıcısı. | MSIE [1-6]\.' |
default['firezon']['nginx']['saxlama'] | Yuxarı serverlərə qoşulmaq üçün keşi aktivləşdirir. | ' |
default['firezone']['nginx']['keepalive_timeout'] | Yuxarı serverlərə canlı qoşulma üçün saniyələrlə vaxt aşımı. | 65 |
default['firezone']['nginx']['worker_processes'] | Nginx işçi proseslərinin sayı. | node['cpu'] && node['cpu']['total'] ? node['cpu']['total'] : 1 |
default['firezone']['nginx']['worker_connections'] | İşçi prosesi tərəfindən açıla bilən eyni vaxtda qoşulmaların maksimum sayı. | 1024 |
default['firezone']['nginx']['worker_rlimit_nofile'] | İşçi prosesləri üçün açıq faylların maksimum sayı limitini dəyişir. Sıfır olduqda nginx default istifadə edir. | sıfır |
default['firezone']['nginx']['multi_accept'] | İşçilərin bir dəfə və ya birdən çox əlaqəni qəbul etməsi. | TRUE |
default['firezon']['nginx']['event'] | Nginx hadisələri kontekstində istifadə etmək üçün əlaqə emal üsulunu müəyyən edir. | epoll' |
default['firezone']['nginx']['server_tokens'] | Səhv səhifələrində və “Server” cavab başlığı sahəsində nginx versiyasının yayılmasını aktivləşdirir və ya söndürür. | sıfır |
default['firezone']['nginx']['server_names_hash_bucket_size'] | Server adlarının hash cədvəlləri üçün kovanın ölçüsünü təyin edir. | 64 |
default['firezone']['nginx']['sendfile'] | Nginx-in sendfile() istifadəsini aktivləşdirir və ya söndürür. | ' |
default['firezone']['nginx']['access_log_options'] | Nginx giriş jurnalı seçimlərini təyin edir. | sıfır |
default['firezone']['nginx']['error_log_options'] | Nginx xəta jurnalı seçimlərini təyin edir. | sıfır |
default['firezone']['nginx']['disable_access_log'] | Nginx giriş jurnalını deaktiv edir. | SAXTA |
default['firezone']['nginx']['types_hash_max_size'] | nginx növləri hash maksimum ölçüsü. | 2048 |
default['firezone']['nginx']['types_hash_bucket_size'] | nginx növləri hash bucket ölçüsü. | 64 |
default['firezone']['nginx']['proxy_read_timeout'] | nginx proxy-nin oxunma müddəti. Nginx default istifadə etmək üçün sıfıra təyin edin. | sıfır |
default['firezone']['nginx']['client_body_buffer_size'] | nginx müştəri bədən bufer ölçüsü. Nginx default istifadə etmək üçün sıfıra təyin edin. | sıfır |
default['firezone']['nginx']['client_max_body_size'] | nginx müştəri maksimum bədən ölçüsü. | 250m ' |
default['firezone']['nginx']['default']['modullar'] | Əlavə nginx modullarını təyin edin. | [] |
default['firezone']['nginx']['enable_rate_limiting'] | Nginx sürətinin məhdudlaşdırılmasını aktivləşdirin və ya söndürün. | TRUE |
default['firezone']['nginx']['rate_limiting_zone_name'] | Nginx dərəcəsi məhdudlaşdıran zona adı. | yanğın zonası' |
default['firezon']['nginx']['rate_limiting_backoff'] | Nginx sürətini məhdudlaşdıran geri çəkilmə. | 10m ' |
default['firezon']['nginx']['rate_limit'] | Nginx dərəcəsi həddi. | 10r/s' |
default['firezon']['nginx']['ipv6'] | Nginx-ə IPv6-ə əlavə olaraq IPv4 üçün HTTP sorğularını dinləməyə icazə verin. | TRUE |
default['firezone']['postgresql']['aktiv'] | Paketlənmiş Postgresql-i aktivləşdirin və ya söndürün. Öz Postgresql nümunənizi istifadə etmək üçün false olaraq təyin edin və aşağıdakı verilənlər bazası seçimlərini doldurun. | TRUE |
default['firezone']['postgresql']['username'] | Postgresql üçün istifadəçi adı. | node['firezon']['user'] |
default['firezone']['postgresql']['data_directory'] | Postgresql məlumat kataloqu. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
default['firezone']['postgresql']['log_directory'] | Postgresql log qovluğu. | “#{node['firezone']['log_directory']}/postgresql” |
default['firezon']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql log faylı fırlanmadan əvvəl maksimum ölçüsü. | 104857600 |
default['firezone']['postgresql']['log_rotation']['saxlanacaq_num'] | Saxlanılacaq Postgresql log fayllarının sayı. | 10 |
default['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql yoxlama nöqtəsi tamamlama hədəfi. | 0.5 |
default['firezone']['postgresql']['checkpoint_segments'] | Postgresql yoxlama nöqtəsi seqmentlərinin sayı. | 3 |
default['firezone']['postgresql']['checkpoint_timeout'] | Postgresql yoxlama nöqtəsi fasiləsi. | 5 dəq |
default['firezone']['postgresql']['checkpoint_warning'] | Postgresql yoxlama nöqtəsi xəbərdarlıq müddəti saniyələrlə. | 30-cu illər |
default['firezone']['postgresql']['effective_cache_size'] | Postgresql effektiv keş ölçüsü. | 128MB' |
default['firezone']['postgresql']['dinlə_ünvanı'] | Postgresql qulaq asmaq ünvanı. | 127.0.0.1 ' |
default['firezone']['postgresql']['max_connections'] | Postgresql maksimum əlaqələri. | 350 |
default['firezone']['postgresql']['md5_auth_cidr_addresses'] | Md5 auth üçün icazə vermək üçün Postgresql CIDR-lər. | ['127.0.0.1/32', '::1/128'] |
default['firezon']['postgresql']['port'] | Postgresql qulaq asmaq portu. | 15432 |
default['firezone']['postgresql']['shared_buffers'] | Postgresql paylaşılan bufer ölçüsü. | “#{(node['memory']['total'].to_i / 4) / 1024}MB” |
default['firezone']['postgresql']['shmmax'] | Baytlarda Postgresql shmmax. | 17179869184 |
default['firezone']['postgresql']['shmal'] | Baytlarda Postgresql shmal. | 4194304 |
default['firezone']['postgresql']['work_mem'] | Postgresql iş yaddaşının ölçüsü. | 8MB' |
default['firezone']['database']['user'] | Firezone-un DB-yə qoşulmaq üçün istifadə edəcəyi istifadəçi adını müəyyən edir. | node['firezone']['postgresql']['username'] |
default['firezon']['verilənlər bazası']['parol'] | Xarici verilənlər bazasından istifadə edirsinizsə, Firezone-un DB-yə qoşulmaq üçün istifadə edəcəyi parolu müəyyən edir. | məni_dəyişdir' |
default['firezone']['database']['name'] | Firezone-un istifadə edəcəyi verilənlər bazası. Əgər mövcud deyilsə yaradılacaq. | yanğın zonası' |
default['firezone']['database']['host'] | Firezone-un qoşulacağı verilənlər bazası hostu. | node['firezone']['postgresql']['dinləyin_ünvanı'] |
default['firezon']['verilənlər bazası']['port'] | Firezone-un qoşulacağı verilənlər bazası portu. | node['firezon']['postgresql']['port'] |
default['firezone']['verilənlər bazası']['hovuz'] | Verilənlər bazası hovuz ölçüsü Firezone istifadə edəcək. | [10, Etc.nprocessors].maks |
default['firezone']['database']['ssl'] | SSL üzərindən verilənlər bazasına qoşulub-qoşulmayacağı. | SAXTA |
default['firezone']['database']['ssl_opts'] | {} | |
default['firezone']['database']['parameters'] | {} | |
default['firezone']['database']['uzantılar'] | Aktivləşdirmək üçün verilənlər bazası uzantıları. | { 'plpgsql' => doğru, 'pg_trgm' => doğru } |
default['firezone']['phoenix']['aktiv'] | Firezone veb tətbiqini aktivləşdirin və ya söndürün. | TRUE |
default['firezone']['phoenix']['dinlə_ünvanı'] | Firezone veb tətbiqi qulaq asmaq ünvanı. Bu, nginx proksilərinin yuxarı axın dinləmə ünvanı olacaq. | 127.0.0.1 ' |
default['firezone']['phoenix']['port'] | Firezone veb proqram qulaq asmaq portu. Bu, nginx-in proksiləri göndərdiyi yuxarı axın portu olacaq. | 13000 |
default['firezone']['phoenix']['log_directory'] | Firezone veb tətbiqi jurnalı kataloqu. | “#{node['firezone']['log_directory']}/phoenix” |
default['firezon']['phoenix']['log_rotation']['file_maxbytes'] | Firezone veb tətbiqi jurnalının fayl ölçüsü. | 104857600 |
default['firezone']['phoenix']['log_rotation']['saxlanacaq_num'] | Saxlanılacaq Firezone veb tətbiqi qeyd fayllarının sayı. | 10 |
default['firezone']['phoenix']['crash_detection']['enabled'] | Qəza aşkar edildikdə Firezone veb proqramını işə salın və ya söndürün. | TRUE |
default['firezone']['phoenix']['external_trusted_proxies'] | IP və/və ya CIDR massivi kimi formatlanmış etibarlı əks proksilərin siyahısı. | [] |
default['firezone']['phoenix']['private_clients'] | IP və/yaxud CIDR massivi formatlanmış özəl şəbəkə HTTP müştərilərinin siyahısı. | [] |
default['firezon']['wireguard']['aktiv'] | Birləşdirilmiş WireGuard idarəetməsini aktivləşdirin və ya söndürün. | TRUE |
default['firezon']['wireguard']['log_directory'] | Birləşdirilmiş WireGuard idarəetməsi üçün jurnal kataloqu. | “#{node['firezon']['log_directory']}/wireguard” |
default['firezon']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard log faylının maksimum ölçüsü. | 104857600 |
default['firezone']['wireguard']['log_rotation']['saxlanacaq_num'] | Saxlanılacaq WireGuard log fayllarının sayı. | 10 |
default['firezon']['wireguard']['interface_name'] | WireGuard interfeys adı. Bu parametrin dəyişdirilməsi VPN bağlantısında müvəqqəti itkiyə səbəb ola bilər. | wg-firezon' |
default['firezon']['wireguard']['port'] | WireGuard qulaq asmaq portu. | 51820 |
default['firezon']['wireguard']['mtu'] | Bu server və cihaz konfiqurasiyaları üçün WireGuard interfeysi MTU. | 1280 |
default['firezon']['wireguard']['endpoint'] | Cihaz konfiqurasiyalarını yaratmaq üçün istifadə ediləcək WireGuard Endpoint. Sıfır olarsa, defolt olaraq serverin ictimai IP ünvanına verilir. | sıfır |
default['firezon']['wireguard']['dns'] | Yaradılmış cihaz konfiqurasiyaları üçün istifadə etmək üçün WireGuard DNS. | 1.1.1.1, 1.0.0.1′ |
default['firezon']['wireguard']['allowed_ips'] | WireGuard AllowedIP-lərin yaradılan cihaz konfiqurasiyaları üçün istifadəsinə icazə verilir. | 0.0.0.0/0, ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | Yaradılmış cihaz konfiqurasiyaları üçün defolt PersistentKeepalive parametri. 0 dəyəri qeyri-aktiv edir. | 0 |
default['firezone']['wireguard']['ipv4']['enabled'] | WireGuard şəbəkəsi üçün IPv4-ü aktivləşdirin və ya söndürün. | TRUE |
default['firezone']['wireguard']['ipv4']['maskarad'] | IPv4 tunelindən çıxan paketlər üçün maskaradı aktivləşdirin və ya söndürün. | TRUE |
default['firezon']['wireguard']['ipv4']['şəbəkə'] | WireGuard şəbəkəsi IPv4 ünvan hovuzu. | 10.3.2.0 / 24 ′ |
default['firezon']['wireguard']['ipv4']['ünvan'] | WireGuard interfeysi IPv4 ünvanı. WireGuard ünvan hovuzunda olmalıdır. | 10.3.2.1 ' |
default['firezone']['wireguard']['ipv6']['enabled'] | WireGuard şəbəkəsi üçün IPv6-ü aktivləşdirin və ya söndürün. | TRUE |
default['firezone']['wireguard']['ipv6']['maskarad'] | IPv6 tunelindən çıxan paketlər üçün maskaradı aktivləşdirin və ya söndürün. | TRUE |
default['firezon']['wireguard']['ipv6']['şəbəkə'] | WireGuard şəbəkəsi IPv6 ünvan hovuzu. | fd00::3:2:0/120′ |
default['firezon']['wireguard']['ipv6']['ünvan'] | WireGuard interfeysi IPv6 ünvanı. IPv6 ünvan hovuzu daxilində olmalıdır. | fd00::3:2:1′ |
default['firezone']['runit']['svlogd_bin'] | Svlogd qutusunun yerini işə salın. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
default['firezon']['ssl']['kataloq'] | Yaradılmış sertifikatları saxlamaq üçün SSL kataloqu. | /var/opt/firezon/ssl' |
default['firezone']['ssl']['email_address'] | Öz-özünə imzalanmış sertifikatlar və ACME protokolunun yenilənməsi bildirişləri üçün istifadə ediləcək e-poçt ünvanı. | you@example.com' |
default['firezone']['ssl']['acme']['enabled'] | Avtomatik SSL sertifikat təminatı üçün ACME-ni aktivləşdirin. Nginx-in 80-ci portda dinləməsinin qarşısını almaq üçün bunu söndürün. Bax burada daha çox təlimat üçün. | SAXTA |
default['firezone']['ssl']['acme']['server'] | şifrələyin | |
default['firezone']['ssl']['acme']['keylength'] | SSL sertifikatları üçün açar növünü və uzunluğunu göstərin. Görmək burada | Ec-256 |
default['firezone']['ssl']['sertifikat'] | FQDN üçün sertifikat faylına yol. Göstərildiyi təqdirdə yuxarıdakı ACME parametrini ləğv edir. Əgər həm ACME, həm də bu sıfırdırsa, öz-özünə imzalanmış sertifikat yaradılacaq. | sıfır |
default['firezone']['ssl']['certificate_key'] | Sertifikat faylına yol. | sıfır |
default['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | sıfır |
default['firezone']['ssl']['country_name'] | Öz-özünə imzalanmış sertifikat üçün ölkə adı. | ABŞ' |
default['firezon']['ssl']['state_name'] | Öz-özünə imzalanmış sertifikat üçün dövlət adı. | CA ' |
default['firezone']['ssl']['locality_name'] | Öz-özünə imzalanmış sertifikat üçün ərazi adı. | San Francisco' |
default['firezone']['ssl']['company_name'] | Şirkət adı öz imzası olan sertifikat. | Mənim Şirkətim' |
default['firezone']['ssl']['organizational_unit_name'] | Öz imzası olan sertifikat üçün təşkilat bölməsinin adı. | Əməliyyatlar' |
default['firezone']['ssl']['ciphers'] | Nginx-in istifadə etməsi üçün SSL şifrələri. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default['firezone']['ssl']['fips_ciphers'] | FIPs rejimi üçün SSL şifrələri. | FIPS@STRENGTH:!aNULL:!eNULL' |
default['firezon']['ssl']['protokollar'] | İstifadə ediləcək TLS protokolları. | TLSv1 TLSv1.1 TLSv1.2′ |
default['firezone']['ssl']['session_cache'] | SSL sessiya önbelleği. | paylaşıldı:SSL:4m' |
default['firezone']['ssl']['session_timeout'] | SSL sessiyasının fasiləsi. | 5m ' |
default['firezone']['robots_allow'] | nginx robotları icazə verir. | /' |
default['firezone']['robots_disallow'] | nginx robotları icazə vermir. | sıfır |
default['firezone']['outbound_email']['from'] | Ünvandan gələn e-poçt. | sıfır |
default['firezone']['outbound_email']['provider'] | Giden e-poçt xidməti təminatçısı. | sıfır |
default['firezone']['outbound_email']['configs'] | Giden e-poçt provayderi konfiqurasiyaları. | omnibus/cookbooks/firezone/attributes/default.rb-ə baxın |
default['firezon']['telemetry']['enabled'] | Anonim məhsul telemetriyasını aktivləşdirin və ya söndürün. | TRUE |
default['firezone']['connectivity_checks']['aktiv'] | Firezone bağlantı yoxlamaları xidmətini aktivləşdirin və ya söndürün. | TRUE |
default['firezone']['connectivity_checks']['interval'] | Bağlantı yoxlamaları arasındakı interval saniyələrlə. | 3_600 |
________________________________________________________________
Burada siz tipik Firezone quraşdırılması ilə əlaqəli fayl və qovluqların siyahısını tapa bilərsiniz. Bunlar konfiqurasiya faylınızdakı dəyişikliklərdən asılı olaraq dəyişə bilər.
yol | təsvir |
/var/opt/firezon | Firezone paketli xidmətləri üçün verilənlər və yaradılan konfiqurasiyadan ibarət yüksək səviyyəli kataloq. |
/opt/firezon | Firezone üçün lazım olan daxili kitabxanalar, binalar və işləmə faylları olan yüksək səviyyəli kataloq. |
/usr/bin/firezon-ctl | Firezone quraşdırmanızı idarə etmək üçün firezone-ctl yardım proqramı. |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runsvdir nəzarətçi prosesini başlamaq üçün systemd vahid faylı. |
/etc/firezon | Firezone konfiqurasiya faylları. |
__________________________________________________________
Sənədlərdə bu səhifə boş idi
_____________________________________________________________
Aşağıdakı nftables firewall şablonu Firezone ilə işləyən serverin təhlükəsizliyini təmin etmək üçün istifadə edilə bilər. Şablon bəzi fərziyyələr irəli sürür; istifadə vəziyyətinizə uyğun olaraq qaydaları tənzimləməlisiniz:
Firezone veb-interfeysdə konfiqurasiya edilmiş təyinatlara trafikə icazə vermək/rədd etmək və müştəri trafiki üçün gedən NAT-ı idarə etmək üçün öz nftables qaydalarını konfiqurasiya edir.
Aşağıdakı firewall şablonunu artıq işləyən serverə tətbiq etmək (yükləmə zamanı deyil) Firezone qaydalarının silinməsi ilə nəticələnəcək. Bunun təhlükəsizliklə bağlı təsiri ola bilər.
Bunun aradan qaldırılması üçün Phoenix xidmətini yenidən başladın:
firezone-ctl Phoenix-i yenidən başladın
#!/usr/sbin/nft -f
## Bütün mövcud qaydaları təmizləyin/təmizləyin
yuyulma qaydaları dəsti
############################### DƏYƏNENLƏR ################# ###############
## İnternet/WAN interfeysinin adı
DEV_WAN = eth0 təyin edin
## WireGuard interfeys adı
DEV_WIREGUARD = wg-yanğın zonasını təyin edin
## WireGuard qulaq asmaq portu
WIREGUARD_PORT = müəyyən edin 51820
############################# DƏYƏNİŞLƏR SON EDİR ############
# Əsas inet ailəsinin filtrasiya cədvəli
masa inet filtri {
# Yönləndirilmiş trafik qaydaları
# Bu zəncir Firezone irəli zəncirindən əvvəl işlənir
zəncir irəli {
tip filtr çəngəl irəli prioritet filter – 5; siyasəti qəbul edir
}
# Daxiletmə trafiki qaydaları
zəncir girişi {
tip filter çəngəl giriş prioritet filter; siyasətin düşməsi
## Geri dönmə interfeysinə daxil olan trafikə icazə verin
varsa \
qəbul etmək \
Şərhlər "Dövlət interfeysindən bütün trafikə icazə verin"
## Qurulmuş və əlaqəli əlaqələrə icazə verin
ct dövlət qurulmuş, əlaqəli \
qəbul etmək \
Şərhlər “Qurulmuş/əlaqəli əlaqələrə icazə verin”
## Daxil olan WireGuard trafikinə icazə verin
iif $DEV_WAN udp dport $WIREGUARD_PORT \
sayğac \
qəbul etmək \
Şərhlər “Gələn WireGuard trafikinə icazə verin”
## Yeni TCP qeyri-SYN paketlərini daxil edin və buraxın
tcp bayraqları != syn ct vəziyyəti yeni \
limit dərəcəsi 100/dəqiqə partlama 150 paketlər \
log prefiksi “IN – Yeni !SYN: “ \
Şərhlər “SYN TCP bayrağı təyin edilməyən yeni bağlantılar üçün tarif limitinin qeydi”
tcp bayraqları != syn ct vəziyyəti yeni \
sayğac \
damcı \
Şərhlər "SYN TCP bayrağı təyin olunmayan yeni əlaqələri buraxın"
## Yanlış fin/syn bayraq dəsti ilə TCP paketlərini daxil edin və buraxın
tcp bayraqları & (fin|syn) == (fin|syn) \
limit dərəcəsi 100/dəqiqə partlama 150 paketlər \
log prefiksi “IN – TCP FIN|SIN:” \
Şərhlər “Yanlış fin/syn bayrağı təyin edilmiş TCP paketləri üçün tarif limitinin qeydi”
tcp bayraqları & (fin|syn) == (fin|syn) \
sayğac \
damcı \
Şərhlər “Yanlış fin/syn bayraq dəsti ilə TCP paketlərini buraxın”
## Yanlış sinxronizasiya/ilk bayraq dəsti ilə TCP paketlərini daxil edin və buraxın
tcp bayraqları & (syn|rst) == (syn|rst) \
limit dərəcəsi 100/dəqiqə partlama 150 paketlər \
log prefiksi “IN – TCP SYN|RST:” \
Şərhlər “Yanlış sinxronizasiya/ilk bayraq dəsti ilə TCP paketləri üçün tarif limitinin qeydi”
tcp bayraqları & (syn|rst) == (syn|rst) \
sayğac \
damcı \
Şərhlər “Yanlış sinxronizasiya/ilk bayraq dəsti ilə TCP paketlərini buraxın”
## Etibarsız TCP bayraqlarını qeyd edin və buraxın
tcp bayraqları & (fin|syn|rst|psh|ack|urg) < (fin) \
limit dərəcəsi 100/dəqiqə partlama 150 paketlər \
log prefiksi "IN - FIN:" \
Şərhlər “Etibarsız TCP bayraqları üçün tarif limitinin qeydi (fin|syn|rst|psh|ack|urg) < (fin)”
tcp bayraqları & (fin|syn|rst|psh|ack|urg) < (fin) \
sayğac \
damcı \
Şərhlər “Bayraqlı TCP paketlərini buraxın (fin|syn|rst|psh|ack|urg) < (fin)”
## Etibarsız TCP bayraqlarını qeyd edin və buraxın
tcp bayraqları & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
limit dərəcəsi 100/dəqiqə partlama 150 paketlər \
log prefiksi “IN – FIN|PSH|URG:” \
Şərhlər “Etibarsız TCP bayraqları üçün tarif limitinin qeydi (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
tcp bayraqları & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
sayğac \
damcı \
Şərhlər “Bayraqlı TCP paketlərini buraxın (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
## Etibarsız əlaqə vəziyyəti ilə trafiki buraxın
ct vəziyyəti etibarsızdır \
limit dərəcəsi 100/dəqiqə partlama 150 paketlər \
bütün prefiksləri qeyd edir "IN - Etibarsız:" \
Şərhlər "Yanlış əlaqə vəziyyəti ilə trafik üçün tarif limitinin qeydi"
ct vəziyyəti etibarsızdır \
sayğac \
damcı \
Şərhlər "Yanlış əlaqə vəziyyəti ilə trafiki buraxın"
## IPv4 ping/ping cavablarına icazə verin, lakin sürət həddi 2000 PPS ilə
ip protokol icmp icmp növü { əks-səda cavabı, əks-səda sorğusu } \
limit dərəcəsi 2000/ikinci \
sayğac \
qəbul etmək \
Şərhlər “4 PPS ilə məhdudlaşan daxil olan IPv2000 əks-sədasına (ping) icazə verin”
## Bütün digər daxil olan IPv4 ICMP-yə icazə verin
ip protokol icmp \
sayğac \
qəbul etmək \
Şərhlər “Bütün digər IPv4 ICMP-yə icazə verin”
## IPv6 ping/ping cavablarına icazə verin, lakin sürət həddi 2000 PPS ilə
icmpv6 növü { əks-səda cavabı, əks-səda sorğusu } \
limit dərəcəsi 2000/ikinci \
sayğac \
qəbul etmək \
Şərhlər “6 PPS ilə məhdudlaşan daxil olan IPv2000 əks-sədasına (ping) icazə verin”
## Bütün digər daxil olan IPv6 ICMP-yə icazə verin
meta l4proto { icmpv6 } \
sayğac \
qəbul etmək \
Şərhlər “Bütün digər IPv6 ICMP-yə icazə verin”
## Daxil olan traceroute UDP portlarına icazə verin, lakin 500 PPS ilə məhdudlaşdırın
udp dport 33434-33524 \
limit dərəcəsi 500/ikinci \
sayğac \
qəbul etmək \
Şərhlər “500 PPS ilə məhdudlaşan daxil olan UDP traceroute icazə verin”
## Daxil olan SSH-yə icazə verin
tcp dport ssh ct dövlət yeni \
sayğac \
qəbul etmək \
Şərhlər "Daxil olan SSH bağlantılarına icazə verin"
## Gələn HTTP və HTTPS-ə icazə verin
tcp dport { http, https } ct vəziyyəti yeni \
sayğac \
qəbul etmək \
Şərhlər “Gələn HTTP və HTTPS bağlantılarına icazə verin”
## İstənilən bənzərsiz trafiki qeyd edin, lakin qeydi maksimum 60 mesaj/dəqiqəyə qədər məhdudlaşdırın
## Defolt siyasət bənzərsiz trafikə tətbiq olunacaq
limit dərəcəsi 60/dəqiqə partlama 100 paketlər \
log prefiksi "IN - Drop:" \
Şərhlər “Ənsiz trafiki qeyd edin”
## Bənzərsiz trafiki sayın
sayğac \
Şərhlər "Ənsiz trafiki hesablayın"
}
# Çıxış trafiki qaydaları
zəncir çıxışı {
tip filter çəngəl çıxış prioritet filter; siyasətin düşməsi
## Geri dönmə interfeysinə gedən trafikə icazə verin
oif lo \
qəbul etmək \
Şərhlər "Bütün trafikin geri dönmə interfeysinə çıxmasına icazə verin"
## Qurulmuş və əlaqəli əlaqələrə icazə verin
ct dövlət qurulmuş, əlaqəli \
sayğac \
qəbul etmək \
Şərhlər “Qurulmuş/əlaqəli əlaqələrə icazə verin”
## Pis vəziyyətdə olan əlaqələri kəsməzdən əvvəl gedən WireGuard trafikinə icazə verin
oif $DEV_WAN udp idmanı $WIREGUARD_PORT \
sayğac \
qəbul etmək \
Şərhlər "WireGuard-a gedən trafikə icazə verin"
## Etibarsız əlaqə vəziyyəti ilə trafiki buraxın
ct vəziyyəti etibarsızdır \
limit dərəcəsi 100/dəqiqə partlama 150 paketlər \
bütün prefiksləri qeyd edir “OUT – Yanlış:” \
Şərhlər "Yanlış əlaqə vəziyyəti ilə trafik üçün tarif limitinin qeydi"
ct vəziyyəti etibarsızdır \
sayğac \
damcı \
Şərhlər "Yanlış əlaqə vəziyyəti ilə trafiki buraxın"
## Bütün digər gedən IPv4 ICMP-yə icazə verin
ip protokol icmp \
sayğac \
qəbul etmək \
Şərhlər “Bütün IPv4 ICMP növlərinə icazə verin”
## Bütün digər gedən IPv6 ICMP-yə icazə verin
meta l4proto { icmpv6 } \
sayğac \
qəbul etmək \
Şərhlər “Bütün IPv6 ICMP növlərinə icazə verin”
## Giden traceroute UDP portlarına icazə verin, lakin 500 PPS ilə məhdudlaşdırın
udp dport 33434-33524 \
limit dərəcəsi 500/ikinci \
sayğac \
qəbul etmək \
Şərhlər “Gidən UDP traceroute 500 PPS ilə məhdudlaşmağa icazə verin”
## Gedən HTTP və HTTPS bağlantılarına icazə verin
tcp dport { http, https } ct vəziyyəti yeni \
sayğac \
qəbul etmək \
Şərhlər “Gidən HTTP və HTTPS bağlantılarına icazə verin”
## Giden SMTP göndərilməsinə icazə verin
tcp dport təqdim ct dövlət yeni \
sayğac \
qəbul etmək \
Şərhlər “Gidən SMTP göndərilməsinə icazə verin”
## Giden DNS sorğularına icazə verin
udp dport 53 \
sayğac \
qəbul etmək \
Şərhlər “Gidən UDP DNS sorğularına icazə verin”
tcp dport 53 \
sayğac \
qəbul etmək \
Şərhlər “Gidən TCP DNS sorğularına icazə verin”
## Giden NTP sorğularına icazə verin
udp dport 123 \
sayğac \
qəbul etmək \
Şərhlər "Gidən NTP sorğularına icazə verin"
## İstənilən bənzərsiz trafiki qeyd edin, lakin qeydi maksimum 60 mesaj/dəqiqəyə qədər məhdudlaşdırın
## Defolt siyasət bənzərsiz trafikə tətbiq olunacaq
limit dərəcəsi 60/dəqiqə partlama 100 paketlər \
log prefiksi “OUT – Düşmək:” \
Şərhlər “Ənsiz trafiki qeyd edin”
## Bənzərsiz trafiki sayın
sayğac \
Şərhlər "Ənsiz trafiki hesablayın"
}
}
# Əsas NAT filtrləmə cədvəli
cədvəl inet nat {
# NAT trafikinin əvvəlcədən marşrutlaşdırma qaydaları
zəncir marşrutu {
yazın nat hook prerouting priority dstnat; siyasəti qəbul edir
}
# NAT trafikinin post-marşrutlaşdırma qaydaları
# Bu cədvəl Firezone post-marşrutlama zəncirindən əvvəl işlənir
zəncir marşrutu {
nat çəngəl post-marşrutlama prioriteti srcnat yazın – 5; siyasəti qəbul edir
}
}
Firewall işləyən Linux paylanması üçün müvafiq yerdə saxlanmalıdır. Debian/Ubuntu üçün bu /etc/nftables.conf, RHEL üçün isə /etc/sysconfig/nftables.conf.
nftables.service açılışda başlamaq üçün konfiqurasiya edilməlidir (əgər artıq deyilsə):
systemctl nftables.service-i aktivləşdirin
Firewall şablonunda hər hansı dəyişiklik edilərsə, yoxlama əmri ilə sintaksis təsdiqlənə bilər:
nft -f /path/to/nftables.conf -c
Firewall-un gözlənildiyi kimi işlədiyini yoxladığınızdan əmin olun, çünki serverdə işləyən buraxılışdan asılı olaraq müəyyən nftables xüsusiyyətləri mövcud olmaya bilər.
_______________________________________________________________
Bu sənəd Firezone-un öz-özünə yerləşdirilən nümunənizdən topladığı telemetriya və onu necə söndürmək barədə icmalı təqdim edir.
Yanğın zonası sonradan yığılmış yol xəritəmizi prioritetləşdirmək və Firezone-u hər kəs üçün daha yaxşı etmək üçün mühəndislik resurslarını optimallaşdırmaq üçün telemetriya.
Topladığımız telemetriya aşağıdakı suallara cavab vermək məqsədi daşıyır:
Firezone-da telemetriyanın toplandığı üç əsas yer var:
Bu üç kontekstin hər birində yuxarıdakı bölmədəki suallara cavab vermək üçün lazım olan minimum məlumat miqdarını götürürük.
Admin e-poçtları yalnız məhsul yeniləmələrinə açıq şəkildə qoşulduğunuz halda toplanır. Əks halda, şəxsiyyəti müəyyən edən məlumatlardır heç toplanmış.
Firezone telemetriyanı özəl Kubernetes klasterində işləyən PostHog-un özünə məxsus nümunəsində saxlayır, yalnız Firezone komandası tərəfindən əlçatandır. Firezone nümunənizdən telemetriya serverimizə göndərilən telemetriya hadisəsinin nümunəsi budur:
{
"id": “0182272d-0b88-0000-d419-7b9a413713f1”,
"zaman damğası": “2022-07-22T18:30:39.748000+00:00”,
"hadisə": “fz_http_started”,
"fərqli_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"xassələr":{
“$geoip_city_name”: "Aşburn",
“$geoip_continent_code”: "NA",
“$geoip_continent_name”: "Şimali Amerika",
“$geoip_ölkə_kodu”: "ABŞ",
“$geoip_ölkə_adı”: “Amerika Birləşmiş Ştatları”,
“$geoip_enlem”: 39.0469,
“$geoip_uzunluğu”: 77.4903-,
“$geoip_poçt_kodu”: "20149",
“$geoip_alt bölmə_1_kodu”: "VA",
“$geoip_subdivision_1_name”: "Virciniya",
“$geoip_time_zone”: "Amerika/Nyu_York",
“$ip”: "52.200.241.107",
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”[
“GeoIP (3)”
],
"fərqli_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": “awsdemo.firezone.dev”,
“kernel_version”: “linux 5.13.0”,
"versiya": "0.4.6"
},
"elementlər_zəncir": ""
}
QEYD
Firezone inkişaf komandası sonradan yığılmış Firezone-u hər kəs üçün daha yaxşı etmək üçün məhsul analitikasında. Telemetriyanı aktiv buraxmaq Firezone-un inkişafına verə biləcəyiniz ən dəyərli töhfədir. Bununla belə, başa düşürük ki, bəzi istifadəçilər daha yüksək məxfilik və ya təhlükəsizlik tələblərinə malikdir və telemetriyanı tamamilə söndürməyi üstün tuturlar. Əgər bu sənsənsə, oxumağa davam et.
Telemetriya defolt olaraq aktivdir. Məhsulun telemetriyasını tamamilə söndürmək üçün /etc/firezone/firezone.rb-də aşağıdakı konfiqurasiya seçimini false olaraq təyin edin və dəyişiklikləri qəbul etmək üçün sudo firezone-ctl reconfigure proqramını işə salın.
defolt['yanğın zonası'][telemetriya]['aktiv'] = saxta
Bu, məhsulun bütün telemetriyasını tamamilə söndürəcək.
Salamlar
9511 Queens Guard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
E-poçt: info@hailbytes.com
Ən son kibertəhlükəsizlik xəbərlərini birbaşa gələnlər qutunuzda alın.
