Firezone GUI bilan Hailbytes VPN-ni o'rnatish bo'yicha bosqichma-bosqich ko'rsatmalar bu erda keltirilgan.
Boshqaruv: Server namunasini o'rnatish bevosita ushbu qism bilan bog'liq.
Foydalanuvchi uchun qoʻllanmalar: Firezone’dan qanday foydalanishni va odatiy muammolarni hal qilishni oʻrgatishi mumkin boʻlgan foydali hujjatlar. Server muvaffaqiyatli o'rnatilgandan so'ng, ushbu bo'limga qarang.
Split tunnel: VPN-dan faqat ma'lum IP diapazonlariga trafik jo'natish uchun foydalaning.
Oq ro'yxatga olish: Oq ro'yxatni ishlatish uchun VPN serverining statik IP manzilini o'rnating.
Teskari tunnellar: teskari tunnellardan foydalangan holda bir nechta tengdoshlar o'rtasida tunnellar yarating.
Hailbytes VPN-ni o'rnatish, sozlash yoki undan foydalanishda yordam kerak bo'lsa, biz sizga yordam berishdan mamnunmiz.
Foydalanuvchilar qurilma konfiguratsiya fayllarini ishlab chiqarish yoki yuklab olishdan oldin, Firezone autentifikatsiyani talab qiladigan tarzda sozlanishi mumkin. Foydalanuvchilar VPN ulanishini faol ushlab turish uchun vaqti-vaqti bilan qayta autentifikatsiya qilishlari kerak bo'lishi mumkin.
Firezone-ning standart kirish usuli mahalliy elektron pochta va parol bo'lsa-da, u har qanday standartlashtirilgan OpenID Connect (OIDC) identifikatsiya provayderi bilan birlashtirilishi mumkin. Foydalanuvchilar endi Okta, Google, Azure AD yoki shaxsiy identifikatsiya provayderi hisob ma’lumotlari yordamida Firezone’ga kirishlari mumkin.
Umumiy OIDC provayderini integratsiyalash
OIDC provayderi yordamida SSOga ruxsat berish uchun Firezone tomonidan zarur bo'lgan konfiguratsiya parametrlari quyidagi misolda ko'rsatilgan. /etc/firezon/firezone.rb sahifasida siz konfiguratsiya faylini topishingiz mumkin. Ilovani yangilash va o'zgarishlar kuchga kirishi uchun firezone-ctl reconfigure va firezone-ctl-ni qayta ishga tushiring.
# Bu Google va Okta-dan SSO identifikatori provayderi sifatida foydalanishga misol.
# Xuddi shu Firezone misoliga bir nechta OIDC konfiguratsiyasi qo'shilishi mumkin.
Agar urinishda xatolik aniqlansa, # Firezone foydalanuvchining VPN-ni o‘chirib qo‘yishi mumkin
# kirish_tokenini yangilash uchun. Bu Google, Okta va uchun ishlashi tasdiqlangan
# Azure SSO va agar ular o'chirilgan bo'lsa, foydalanuvchining VPN-ni avtomatik ravishda uzish uchun ishlatiladi
# OIDC provayderidan. OIDC provayderingiz bo'lsa, buni o'chirib qo'ying
# da kirish tokenlarini yangilashda muammolar bor, chunki u kutilmaganda a
# foydalanuvchining VPN seansi.
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = noto'g'ri
standart['firezon']['authentication']['oidc'] = {
google: {
Discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: " ”,
mijoz_siri: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
javob_turi: "kod",
doirasi: "ochiq elektron pochta profili",
yorliq: "Google"
},
okta: {
Discovery_document_uri: “https:// /.yaxshi ma'lum/openid-konfiguratsiya”,
client_id: " ”,
mijoz_siri: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
javob_turi: "kod",
doirasi: "ochilgan elektron pochta profili offline_access",
yorlig'i: "O'qta"
}
}
Integratsiya uchun quyidagi konfiguratsiya sozlamalari talab qilinadi:
Har bir OIDC provayderi uchun konfiguratsiya qilingan provayderning kirish URL manziliga yo'naltirish uchun mos keladigan chiroyli URL yaratiladi. Yuqoridagi misol uchun OIDC konfiguratsiyasi uchun URL manzillar:
Bizda hujjatlar mavjud provayderlar:
Agar sizning identifikator provayderingiz umumiy OIDC ulagichiga ega bo'lsa va yuqorida sanab o'tilmagan bo'lsa, kerakli konfiguratsiya sozlamalarini qanday olish haqida ma'lumot olish uchun ularning hujjatlariga o'ting.
Sozlamalar/xavfsizlik ostidagi sozlama davriy qayta autentifikatsiyani talab qilish uchun o'zgartirilishi mumkin. Bu foydalanuvchilarning VPN seansini davom ettirish uchun muntazam ravishda Firezone-ga kirishi talabini bajarish uchun ishlatilishi mumkin.
Seans davomiyligi bir soatdan to'qson kungacha sozlanishi mumkin. Buni “Hech qachon”ga o‘rnatish orqali istalgan vaqtda VPN seanslarini yoqishingiz mumkin. Bu standart.
Muddati o‘tgan VPN seansini (o‘rnatish vaqtida ko‘rsatilgan URL) qayta autentifikatsiya qilish uchun foydalanuvchi VPN seansini tugatishi va Firezone portaliga kirishi kerak.
Bu yerda topilgan mijozning aniq ko‘rsatmalariga amal qilib, sessiyangizni qayta autentifikatsiya qilishingiz mumkin.
VPN ulanish holati
Foydalanuvchilar sahifasining VPN ulanish jadvali ustuni foydalanuvchining ulanish holatini ko'rsatadi. Bu ulanish holatlari:
YOQILGAN - Ulanish yoqilgan.
O'CHIRILGAN - Ulanish administrator yoki OIDC yangilashda xatolik tufayli o'chirilgan.
Muddati tugadi - autentifikatsiya muddati tugagani yoki foydalanuvchi birinchi marta tizimga kirmagani sababli ulanish o'chirilgan.
Umumiy OIDC ulagichi orqali Firezone Google Workspace va Cloud Identity bilan bir martalik kirish (SSO) funksiyasini yoqadi. Ushbu qo'llanma integratsiya uchun zarur bo'lgan quyida keltirilgan konfiguratsiya parametrlarini qanday olish kerakligini ko'rsatadi:
1. OAuth konfiguratsiyasi ekraniمور
Agar siz birinchi marta yangi OAuth mijoz identifikatorini yaratayotgan bo'lsangiz, sizdan rozilik ekranini sozlash so'raladi.
*Foydalanuvchi turi uchun Ichki ni tanlang. Bu faqat Google Workspace tashkilotingizdagi foydalanuvchilarga tegishli hisoblar qurilma konfiguratsiyasini yaratishini taʼminlaydi. Yaroqli Google hisobiga ega bo‘lgan har kimga qurilma konfiguratsiyasini yaratishga ruxsat bermasangiz, “Tashqi”ni tanlamang.
Ilova ma'lumotlari ekranida:
2. OAuth mijoz identifikatorlarini yaratingمور
Ushbu bo'lim Google'ning o'z hujjatlariga asoslangan OAuth 2.0 ni sozlash.
Google Cloud Console-ga tashrif buyuring Hisob ma'lumotlari sahifasi sahifasida + Hisob ma'lumotlarini yaratish tugmasini bosing va OAuth mijoz identifikatorini tanlang.
OAuth mijoz identifikatorini yaratish ekranida:
OAuth mijoz identifikatorini yaratganingizdan so'ng, sizga mijoz identifikatori va mijoz siri beriladi. Ular keyingi bosqichda qayta yo'naltiruvchi URI bilan birgalikda ishlatiladi.
Edit /etc/firezon/firezon.rb quyidagi variantlarni kiritish uchun:
# Google'dan SSO identifikatori sifatida foydalanish
standart['firezon']['authentication']['oidc'] = {
google: {
Discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: " ”,
mijoz_siri: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
javob_turi: "kod",
doirasi: "ochiq elektron pochta profili",
yorliq: "Google"
}
}
Ilovani yangilash uchun firezone-ctl reconfigure-ni ishga tushiring va firezone-ctl-ni qayta ishga tushiring. Endi siz Firezone URL manzilida Google bilan tizimga kirish tugmasini ko'rishingiz kerak.
Firezone umumiy OIDC ulagichidan foydalanib, Okta bilan yagona tizimga kirishni (SSO) osonlashtiradi. Ushbu qo'llanma sizga integratsiya uchun zarur bo'lgan quyida keltirilgan konfiguratsiya parametrlarini qanday olish kerakligini ko'rsatib beradi:
Qo'llanmaning ushbu bo'limiga asoslanadi Okta hujjatlari.
Administrator konsolida Ilovalar > Ilovalar-ga o'ting va Ilova integratsiyasini yaratish-ni bosing. Kirish usulini OICD – OpenID Connect va Ilova turini Veb-ilovaga o‘rnating.
Ushbu sozlamalarni sozlang:
Sozlamalar saqlanganidan so'ng sizga mijoz identifikatori, mijoz siri va Okta domeni beriladi. Ushbu 3 ta qiymat 2-bosqichda Firezone-ni sozlash uchun ishlatiladi.
Edit /etc/firezon/firezon.rb quyidagi variantlarni kiritish uchun. Sizning Discovery_document_url bo'ladi /.yaxshi ma'lum/openid-konfiguratsiya so'zingizning oxiriga qo'shiladi okta_domeni.
# Okta-dan SSO identifikatori sifatida foydalanish
standart['firezon']['authentication']['oidc'] = {
okta: {
Discovery_document_uri: “https:// /.yaxshi ma'lum/openid-konfiguratsiya”,
client_id: " ”,
mijoz_siri: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
javob_turi: "kod",
doirasi: "ochilgan elektron pochta profili offline_access",
yorlig'i: "O'qta"
}
}
Ilovani yangilash uchun firezone-ctl reconfigure-ni ishga tushiring va firezone-ctl-ni qayta ishga tushiring. Endi siz Firezone URL manzilida Okta bilan tizimga kirish tugmachasini ko'rishingiz kerak.
Firezone ilovasiga kira oladigan foydalanuvchilar Okta tomonidan cheklanishi mumkin. Buni amalga oshirish uchun Okta Admin Console’ning Firezone App Integration’s Assignments sahifasiga o‘ting.
Umumiy OIDC ulagichi orqali Firezone Azure Active Directory bilan Yagona kirish (SSO) ni yoqadi. Ushbu qo'llanmada quyida sanab o'tilgan integratsiya uchun zarur bo'lgan konfiguratsiya parametrlarini qanday olish mumkinligi ko'rsatilgan:
Ushbu qo'llanma dan olingan Azure Active Directory hujjatlari.
Azure portalining Azure Active Directory sahifasiga o'ting. Menyuni boshqarish opsiyasini tanlang, Yangi ro‘yxatdan o‘tish-ni tanlang, so‘ng quyidagi ma’lumotlarni taqdim etish orqali ro‘yxatdan o‘ting:
Ro'yxatdan o'tgandan so'ng, ilovaning tafsilotlar ko'rinishini oching va nusxa oling Ilova (mijoz) identifikatori. Bu client_id qiymati bo'ladi. Keyin, olish uchun oxirgi nuqtalar menyusini oching OpenID Connect metama'lumotlar hujjati. Bu Discovery_document_uri qiymati bo'ladi.
Boshqaruv menyusi ostidagi Sertifikatlar va sirlar opsiyasini bosish orqali yangi mijoz sirini yarating. Mijoz sirini nusxalash; mijozning maxfiy qiymati bu bo'ladi.
Nihoyat, Boshqaruv menyusi ostidagi API ruxsatnomalari havolasini tanlang, ustiga bosing Ruxsat qo'shingni tanlang Microsoft grafikasi. Qo'shing elektron pochta, OpenID, offline_access va profili kerakli ruxsatlarga.
Edit /etc/firezon/firezon.rb quyidagi variantlarni kiritish uchun:
# Azure Active Directory-dan SSO identifikatori provayderi sifatida foydalanish
standart['firezon']['authentication']['oidc'] = {
ko'k rang: {
Discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.yaxshi ma'lum/openid-konfiguratsiya”,
client_id: " ”,
mijoz_siri: " ”,
redirect_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
javob_turi: "kod",
doirasi: "ochilgan elektron pochta profili offline_access",
yorlig'i: "Azure"
}
}
Ilovani yangilash uchun firezone-ctl reconfigure-ni ishga tushiring va firezone-ctl-ni qayta ishga tushiring. Endi ildiz Firezone URL manzilida Azure bilan tizimga kirish tugmasini ko'rishingiz kerak.
Azure AD ma'murlarga kompaniyangiz ichidagi ma'lum bir foydalanuvchilar guruhiga ilovalarga kirishni cheklash imkonini beradi. Buni qanday qilish haqida batafsil ma'lumotni Microsoft hujjatlarida topishingiz mumkin.
Chef Omnibus Firezone tomonidan vazifalarni, jumladan, relizlar paketini, jarayonni nazorat qilish, jurnallarni boshqarish va boshqalarni boshqarish uchun ishlatiladi.
Ruby kodi /etc/firezon/firezone.rb manzilida joylashgan asosiy konfiguratsiya faylini tashkil qiladi. Ushbu faylga o'zgartirishlar kiritilgandan so'ng sudo firezone-ctl reconfigure-ni qayta ishga tushirish Chef o'zgarishlarni tanib olishiga va ularni joriy operatsion tizimga qo'llashiga olib keladi.
Konfiguratsiya o'zgaruvchilari va ularning tavsiflari to'liq ro'yxati uchun konfiguratsiya fayli ma'lumotnomasiga qarang.
Firezone namunangizni quyidagi orqali boshqarish mumkin firezone-ctl buyruq, quyida ko'rsatilganidek. Ko'pgina kichik buyruqlar prefiksni talab qiladi sudo.
root@demo:~# firezone-ctl
omnibus-ctl: buyruq (pastki buyruq)
Umumiy buyruqlar:
tozalash
* Barcha * yong'in zonasi ma'lumotlarini o'chiring va noldan boshlang.
yaratish yoki qayta tiklash-admin
Sukut boʻyicha['firezon']['admin_email'] belgilangan e-pochtaga ega administrator parolini tiklaydi yoki agar u mavjud boʻlmasa, yangi administrator yaratadi.
Yordam bering
Ushbu yordam xabarini chop eting.
qayta sozlash
Ilovani qayta sozlang.
qayta o'rnatish - tarmoq
Nftables, WireGuard interfeysi va marshrutlash jadvalini Firezone standart sozlamalariga qaytaradi.
konfiguratsiyani ko'rsatish
Qayta konfiguratsiya orqali yaratiladigan konfiguratsiyani ko'rsating.
parchalanish tarmog'i
WireGuard interfeysi va firezone nftables jadvalini olib tashlaydi.
majburiy sertifikat yangilash
Sertifikat muddati tugamagan boʻlsa ham, endi uni yangilashga majbur qiling.
to'xtatish-sertifikat-yangilash
Sertifikatlarni yangilaydigan cronjobni olib tashlaydi.
uninstall
Barcha jarayonlarni o'chiring va jarayon nazoratchisini o'chiring (ma'lumotlar saqlanib qoladi).
versiya
Firezone-ning joriy versiyasini ko'rsatish
Xizmatlarni boshqarish buyruqlari:
nafis o'ldirish
Aqlli to'xtashga harakat qiling, so'ngra butun jarayon guruhini SIGKILL qiling.
hup
Xizmatlarni HUP orqali yuboring.
int
Xizmatlarga INT yuboring.
o'ldirish
Xizmatlarga KILL yuboring.
bir marta
Xizmatlar ishlamay qolsa, ularni ishga tushiring. Agar ular to'xtasa, ularni qayta ishga tushirmang.
qayta ishga tushirish
Agar xizmatlar ishlayotgan bo'lsa, ularni to'xtatib, keyin ularni qayta ishga tushiring.
xizmat ro'yxati
Barcha xizmatlarni sanab o'ting (yoqilgan xizmatlar * belgisi bilan ko'rsatiladi).
start
Xizmatlar ishlamay qolsa, ularni ishga tushiring va agar ular to'xtab qolsa, ularni qayta ishga tushiring.
holat
Barcha xizmatlarning holatini ko'rsating.
To'xta
Xizmatlarni to'xtating va ularni qayta ishga tushirmang.
Quyruq
Barcha yoqilgan xizmatlarning xizmat jurnallarini tomosha qiling.
muddat
Xizmatlarga TERM yuboring.
usr1
Xizmatlarni USR1 yuboring.
usr2
Xizmatlarni USR2 yuboring.
Firezone-ni yangilashdan oldin barcha VPN seanslari tugatilishi kerak, bu esa Web UI-ni o'chirishni ham talab qiladi. Yangilash paytida biror narsa noto'g'ri bo'lsa, texnik xizmat ko'rsatish uchun bir soat vaqt ajratishni maslahat beramiz.
Firezone-ni yaxshilash uchun quyidagi amallarni bajaring:
Agar biron bir muammo yuzaga kelsa, iltimos, bizga xabar bering qo'llab-quvvatlash chiptasini yuborish.
0.5.0 da hal qilinishi kerak bo'lgan bir nechta o'zgarishlar va konfiguratsiya modifikatsiyalari mavjud. Quyida batafsilroq bilib oling.
Nginx endi 0.5.0 versiyasidan boshlab quvvatli SSL va SSL bo'lmagan port parametrlarini qo'llab-quvvatlamaydi. Firezone ishlashi uchun SSL kerak boʻlgani uchun Nginx xizmati toʻplamini sukut boʻyicha['firezone']['nginx']['enabled'] = false oʻrnatish orqali olib tashlashni maslahat beramiz va uning oʻrniga teskari proksi-serveringizni 13000-portdagi Feniks ilovasiga yoʻnaltiring (sukut boʻyicha). ).
0.5.0 paketli Nginx xizmati bilan SSL sertifikatlarini avtomatik ravishda yangilash uchun ACME protokolini qo'llab-quvvatlaydi. Yoqish uchun,
Firezone 0.5.0 da takroriy manzillar bilan qoidalar qo'shish imkoniyati yo'qolgan. Migratsiya skriptimiz 0.5.0 versiyasiga yangilanish vaqtida bu holatlarni avtomatik ravishda taniydi va faqat boshqa qoidani o‘z ichiga olgan qoidalarni saqlaydi. Agar bu yaxshi bo'lsa, hech narsa qilishingiz shart emas.
Aks holda, yangilashdan oldin ushbu vaziyatlardan xalos bo'lish uchun qoidalar to'plamini o'zgartirishni maslahat beramiz.
Firezone 0.5.0 eski uslubdagi Okta va Google SSO konfiguratsiyasini qo‘llab-quvvatlashni yangi, yanada moslashuvchan OIDC-ga asoslangan konfiguratsiya foydasiga olib tashlaydi.
Agar sizda standart['firezone']['authentication']['okta'] yoki birlamchi['firezone']['authentication']['google'] kalitlari ostida biron-bir konfiguratsiya mavjud bo'lsa, ularni OIDC-ga ko'chirishingiz kerak. Quyidagi qo'llanma yordamida -asoslangan konfiguratsiya.
Mavjud Google OAuth konfiguratsiyasi
Eski Google OAuth konfiguratsiyalarini o'z ichiga olgan ushbu qatorlarni /etc/firezone/firezone.rb manzilida joylashgan konfiguratsiya faylingizdan olib tashlang.
standart['firezone']['authentication']['google']['faoled']
standart['firezon']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
standart['firezone']['authentication']['google']['redirect_uri']
Keyin, bu yerdagi tartiblarni bajarib, Googleni OIDC provayderi sifatida sozlang.
(Havola ko'rsatmalarini taqdim eting)<<<<<<<<<<<<<<<<<
Mavjud Google OAuth-ni sozlang
Eski Okta OAuth konfiguratsiyalarini o'z ichiga olgan ushbu qatorlarni quyidagi manzilda joylashgan konfiguratsiya faylingizdan olib tashlang /etc/firezon/firezon.rb
default['firezon']['authentication']['okta']['faoled']
default['firezon']['authentication']['okta']['client_id']
default['firezone']['authentication']['okta']['client_secret']
Standart['firezon']['authentication']['okta']['sayt']
Keyin, bu yerdagi tartib-qoidalarni bajarib, Okta-ni OIDC provayderi sifatida sozlang.
Joriy sozlashingiz va versiyangizga qarab, quyidagi ko'rsatmalarga amal qiling:
Agar sizda allaqachon OIDC integratsiyasi mavjud bo'lsa:
Ayrim OIDC provayderlari uchun >= 0.3.16 ga yangilash oflayn kirish doirasi uchun yangilash tokenini olishni talab qiladi. Shunday qilib, Firezone identifikator provayderi bilan yangilanishi va foydalanuvchi o'chirilgandan so'ng VPN ulanishi o'chirilishiga ishonch hosil qilinadi. Firezone-ning oldingi iteratsiyalarida bu xususiyat yo'q edi. Ba'zi hollarda identifikatsiya provayderingizdan o'chirilgan foydalanuvchilar hali ham VPN-ga ulangan bo'lishi mumkin.
Oflayn kirish ko'lamini qo'llab-quvvatlaydigan OIDC provayderlari uchun OIDC konfiguratsiyasining qamrov parametriga oflayn kirishni kiritish kerak. Firezone-ctl reconfigure /etc/firezone/firezone.rb manzilida joylashgan Firezone konfiguratsiya fayliga o'zgartirishlar kiritish uchun bajarilishi kerak.
OIDC provayderingiz tomonidan autentifikatsiya qilingan foydalanuvchilar uchun, agar Firezone yangilash tokenini muvaffaqiyatli ololsa, veb-UI foydalanuvchi tafsilotlari sahifasida OIDC Connections sarlavhasini ko'rasiz.
Agar bu ishlamasa, mavjud OAuth ilovangizni oʻchirishingiz va OIDC sozlash bosqichlarini takrorlashingiz kerak boʻladi. yangi ilova integratsiyasini yarating .
Menda OAuth integratsiyasi mavjud
0.3.11 dan oldin Firezone oldindan tuzilgan OAuth2 provayderlaridan foydalangan.
Ko'rsatmalarga amal qiling Bu yerga OIDC ga o'tish.
Men identifikatsiya provayderini birlashtirganim yo'q
Hech qanday harakat kerak emas.
Siz ko'rsatmalarga amal qilishingiz mumkin Bu yerga OIDC provayderi orqali SSO ni yoqish.
Uning oʻrniga default['firezon']['external url'] standart konfiguratsiya parametri ['firezon']['fqdn'] o'rnini egalladi.
Buni umumiy foydalanishi mumkin bo'lgan Firezone onlayn portalingizning URL manziliga o'rnating. Agar belgilanmagan bo'lsa, u https:// va serveringizning FQDN-ga sukut bo'yicha bo'ladi.
Konfiguratsiya fayli /etc/firezon/firezone.rb manzilida joylashgan. Konfiguratsiya o'zgaruvchilari va ularning tavsiflari to'liq ro'yxati uchun konfiguratsiya fayli ma'lumotnomasiga qarang.
Firezone endi qurilma shaxsiy kalitlarini Firezone serverida 0.3.0 versiyasidan boshlab saqlamaydi.
Firezone Web UI ushbu konfiguratsiyalarni qayta yuklab olish yoki ko'rishga ruxsat bermaydi, ammo mavjud qurilmalar avvalgidek ishlashda davom etishi kerak.
Agar siz Firezone 0.1.x versiyasini yangilayotgan bo'lsangiz, qo'lda hal qilinishi kerak bo'lgan bir nechta konfiguratsiya fayli o'zgarishlari mavjud.
/etc/firezon/firezone.rb faylingizga kerakli o'zgartirishlarni kiritish uchun quyidagi buyruqlarni root sifatida ishga tushiring.
cp /etc/firezone/firezone.rb /etc/firezon/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezon/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl qayta sozlang
firezone-ctl-ni qayta ishga tushiring
Firezone jurnallarini tekshirish yuzaga kelishi mumkin bo'lgan har qanday muammolar uchun birinchi oqilona qadamdir.
Firezone jurnallarini ko'rish uchun sudo firezone-ctl tail-ni ishga tushiring.
Firezone bilan bog'liq muammolarning aksariyati mos kelmaydigan iptables yoki nftables qoidalari bilan yuzaga keladi. Amaldagi har qanday qoidalar Firezone qoidalariga zid kelmasligiga ishonch hosil qilishingiz kerak.
Agar WireGuard tunnelingizni har safar faollashtirganingizda Internetga ulanishingiz yomonlashsa, FORWARD zanjiri WireGuard mijozlaringizdan siz Firezone orqali o‘tmoqchi bo‘lgan manzillarga paketlarni o‘tkazishga ruxsat berishiga ishonch hosil qiling.
Agar siz ufw dan foydalanayotgan bo'lsangiz, birlamchi marshrutlash siyosatiga ruxsat berilganligiga ishonch hosil qilsangiz, bunga erishish mumkin:
ubuntu@fz:~$ sudo ufw sukut bo'yicha marshrutga ruxsat berish
Birlamchi yoʻnaltirish siyosati “ruxsat berish”ga oʻzgartirildi
(qoidalaringizni mos ravishda yangilaganingizga ishonch hosil qiling)
A Qoyil Oddiy Firezone serverining holati quyidagicha ko'rinishi mumkin:
ubuntu@fz:~$ sudo ufw holati batafsil
Holati: faol
Tizimga kirish: yoqilgan (past)
Standart: rad etish (kirish), ruxsat berish (chiqish), ruxsat berish (yo'naltirilgan)
Yangi profillar: o'tkazib yuborish
Kimdan Harakatga
— —— —-
22/tcp Istalgan joyda KIRISHGA RUXSAT BERISH
80/tcp Istalgan joyda KIRISHGA RUXSAT BERISH
443/tcp Istalgan joyda KIRISHGA RUXSAT BERISH
51820/udp Istalgan joyda KIRISH
22/tcp (v6) Istalgan joyda KIRISHGA RUXSAT BERISH (v6)
80/tcp (v6) Istalgan joyda KIRISHGA RUXSAT BERISH (v6)
443/tcp (v6) Istalgan joyda KIRISHGA RUXSAT BERISH (v6)
51820/udp (v6) Istalgan joyda KIRISHGA RUXSAT BERISH (v6)
Quyida tushuntirilganidek, juda nozik va muhim ishlab chiqarishni joylashtirish uchun veb-interfeysga kirishni cheklashni maslahat beramiz.
xizmat | Standart port | Manzil tinglash | Tavsif |
nginx | 80, 443 | hamma | Firezone-ni boshqarish va autentifikatsiyani osonlashtirish uchun umumiy HTTP(S) porti. |
Siri | 51820 | hamma | Umumiy WireGuard porti VPN seanslari uchun ishlatiladi. (UDP) |
postgresql | 15432 | 127.0.0.1 | Birlashtirilgan Postgresql serveri uchun faqat mahalliy port ishlatiladi. |
Feniks | 13000 | 127.0.0.1 | Yuqori oqim eliksir ilovasi serveri tomonidan foydalaniladigan faqat mahalliy port. |
Sizga Firezone’ning hammaga ochiq bo‘lgan veb interfeysiga kirishni cheklash haqida o‘ylab ko‘rishingizni maslahat beramiz (standart bo‘yicha 443/tcp va 80/tcp portlari) va uning o‘rniga WireGuard tunnelidan Firezone’ni ishlab chiqarish va ommaviy joylashtirishlar uchun boshqarish uchun foydalaning, bunda bitta administrator javobgar bo‘ladi. oxirgi foydalanuvchilarga qurilma konfiguratsiyasini yaratish va tarqatish.
Misol uchun, agar ma'mur qurilma konfiguratsiyasini yaratgan bo'lsa va mahalliy WireGuard 10.3.2.2 manzili bilan tunnel yaratgan bo'lsa, quyidagi ufw konfiguratsiyasi administratorga standart 10.3.2.1 yordamida serverning wg-firezon interfeysidagi Firezone veb interfeysiga kirish imkonini beradi. tunnel manzili:
root@demo:~# ufw holati batafsil
Holati: faol
Tizimga kirish: yoqilgan (past)
Standart: rad etish (kirish), ruxsat berish (chiqish), ruxsat berish (yo'naltirilgan)
Yangi profillar: o'tkazib yuborish
Kimdan Harakatga
— —— —-
22/tcp Istalgan joyda KIRISHGA RUXSAT BERISH
51820/udp Istalgan joyda KIRISH
10.3.2.2.da har qanday joyda RUXSAT BERING
22/tcp (v6) Istalgan joyda KIRISHGA RUXSAT BERISH (v6)
51820/udp (v6) Istalgan joyda KIRISHGA RUXSAT BERISH (v6)
Bu faqat tark etadi 22/tsp serverni boshqarish uchun SSH kirish uchun ochiq (ixtiyoriy) va 51820/udp WireGuard tunnellarini o'rnatish uchun ochilgan.
Firezone Postgresql serverini birlashtiradi va mos keladi psql mahalliy qobiqdan foydalanish mumkin bo'lgan yordamchi dastur:
/opt/firezon/embedded/bin/psql \
-U olov zonasi \
-d yong'in zonasi \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
Bu nosozliklarni tuzatish maqsadlarida foydali bo'lishi mumkin.
Umumiy vazifalar:
Barcha foydalanuvchilar ro'yxati:
/opt/firezon/embedded/bin/psql \
-U olov zonasi \
-d yong'in zonasi \
-h localhost \
-p 15432 \
-c “Foydalanuvchilardan * TANLADI;”
Barcha qurilmalar ro'yxati:
/opt/firezon/embedded/bin/psql \
-U olov zonasi \
-d yong'in zonasi \
-h localhost \
-p 15432 \
-c “Qurilmalardan * SELECT;”
Foydalanuvchi rolini o'zgartirish:
Rolni "admin" yoki "imtiyozsiz" qilib belgilang:
/opt/firezon/embedded/bin/psql \
-U olov zonasi \
-d yong'in zonasi \
-h localhost \
-p 15432 \
-c “Foydalanuvchilar SET rolini yangilash = 'admin' WHERE email = 'user@example.com';”
Ma'lumotlar bazasini zaxiralash:
Bundan tashqari, ma'lumotlar bazasining muntazam zaxira nusxalarini olish uchun ishlatilishi mumkin bo'lgan pg dump dasturi mavjud. Ma'lumotlar bazasi nusxasini umumiy SQL so'rovi formatida o'chirish uchun quyidagi kodni bajaring (/path/to/backup.sql ni SQL fayli yaratilishi kerak bo'lgan joy bilan almashtiring):
/opt/firezon/embedded/bin/pg_dump \
-U olov zonasi \
-d yong'in zonasi \
-h localhost \
-p 15432 > /path/to/backup.sql
Firezone muvaffaqiyatli o'rnatilgandan so'ng, ularga tarmoqqa kirishni ta'minlash uchun foydalanuvchilarni qo'shishingiz kerak. Buning uchun Web UI ishlatiladi.
/users ostidagi “Foydalanuvchi qo'shish” tugmasini tanlab, siz foydalanuvchi qo'shishingiz mumkin. Sizdan foydalanuvchiga elektron pochta manzili va parolni kiritish talab qilinadi. Tashkilotingizdagi foydalanuvchilarga avtomatik ravishda kirishga ruxsat berish uchun Firezone shuningdek, identifikatsiya provayderi bilan interfeys va sinxronlashi mumkin. Batafsil ma'lumot sahifada mavjud rasmiylashtirmoq. < Haqiqiylikni tekshirish uchun havola qo'shing
Foydalanuvchilarga shaxsiy kalit faqat ularga ko'rinadigan qilib, o'zlarining qurilma konfiguratsiyalarini yaratishlarini so'rashni maslahat beramiz. Foydalanuvchilar quyidagi ko'rsatmalarga rioya qilish orqali o'zlarining qurilma konfiguratsiyalarini yaratishlari mumkin Mijoz ko'rsatmalari sahifa.
Barcha foydalanuvchi qurilmalari konfiguratsiyasi Firezone administratorlari tomonidan yaratilishi mumkin. Buni amalga oshirish uchun /users-da joylashgan foydalanuvchi profili sahifasida "Qurilma qo'shish" variantini tanlang.
[Skrinshotni kiritish]
Qurilma profilini yaratgandan so'ng foydalanuvchiga WireGuard konfiguratsiya faylini elektron pochta orqali yuborishingiz mumkin.
Foydalanuvchilar va qurilmalar bog'langan. Foydalanuvchini qanday qo'shish haqida batafsil ma'lumot olish uchun qarang Foydalanuvchilar qo'shish.
Yadroning netfiltr tizimidan foydalanish orqali Firezone DROP yoki ACCEPT paketlarini belgilash uchun chiqish filtrlash imkoniyatlarini beradi. Odatda barcha transportga ruxsat beriladi.
IPv4 va IPv6 CIDR va IP manzillari mos ravishda Allowlist va Deylist orqali qo'llab-quvvatlanadi. Siz qoidani qo‘shayotganda foydalanuvchi uchun qamrovni belgilashingiz mumkin, bu qoida ushbu foydalanuvchining barcha qurilmalariga qo‘llaniladi.
O'rnatish va sozlash
Mahalliy WireGuard mijozi yordamida VPN ulanishini o'rnatish uchun ushbu qo'llanmaga qarang.
Bu yerda joylashgan rasmiy WireGuard mijozlari Firezone bilan mos keladi:
Yuqorida qayd etilmagan OS tizimlari uchun https://www.wireguard.com/install/ manzilidagi rasmiy WireGuard veb-saytiga tashrif buyuring.
Firezone ma'muringiz yoki o'zingiz Firezone portali yordamida qurilma konfiguratsiya faylini yaratishingiz mumkin.
Qurilma konfiguratsiya faylini oʻz-oʻzidan yaratish uchun Firezone administratoringiz taqdim etgan URL manziliga tashrif buyuring. Sizning firmangiz buning uchun noyob URL manziliga ega bo'ladi; bu holda, bu https://instance-id.yourfirezone.com.
Firezone Okta SSO-ga kiring
[Skrinshotni kiritish]
.conf faylini ochish orqali WireGuard mijoziga import qiling. Faollashtirish tugmachasini bosish orqali siz VPN seansini boshlashingiz mumkin.
[Skrinshotni kiritish]
Agar sizning tarmoq ma'muringiz VPN ulanishingizni faol ushlab turish uchun takroriy autentifikatsiyani talab qilgan bo'lsa, quyidagi ko'rsatmalarga amal qiling.
Senga kerak:
Firezone portalining URL manzili: ulanish uchun tarmoq administratoringizdan so'rang.
Sizning tarmoq administratoringiz login va parolingizni taklif qilishi kerak. Firezone sayti ish beruvchingiz foydalanadigan yagona kirish xizmati (masalan, Google yoki Okta) yordamida tizimga kirishingizni taklif qiladi.
[Skrinshotni kiritish]
Firezone portalining URL manziliga o'ting va tarmoq ma'muringiz taqdim etgan hisob ma'lumotlari yordamida tizimga kiring. Agar siz allaqachon tizimga kirgan bo'lsangiz, qayta kirishdan oldin "Qayta autentifikatsiya" tugmasini bosing.
[Skrinshotni kiritish]
[Skrinshotni kiritish]
Linux qurilmalarida Network Manager CLI yordamida WireGuard konfiguratsiya profilini import qilish uchun ushbu ko'rsatmalarga rioya qiling (nmcli).
Agar profilda IPv6 qo'llab-quvvatlashi yoqilgan bo'lsa, tarmoq menejeri GUI yordamida konfiguratsiya faylini import qilishga urinish quyidagi xato bilan muvaffaqiyatsiz bo'lishi mumkin:
ipv6.method: WireGuard uchun "avtomatik" usuli qo'llab-quvvatlanmaydi
WireGuard foydalanuvchi maydoni yordam dasturlarini o'rnatish kerak. Bu Linux tarqatish uchun wireguard yoki wireguard-tools deb nomlangan paket bo'ladi.
Ubuntu/Debian uchun:
sudo apt sim himoyasini o'rnating
Fedora-dan foydalanish uchun:
sudo dnf sim himoya vositalarini o'rnatadi
Arch Linux:
sudo pacman -S simli himoya vositalari
Yuqorida qayd etilmagan tarqatishlar uchun https://www.wireguard.com/install/ manzilidagi rasmiy WireGuard veb-saytiga tashrif buyuring.
Firezone ma'muringiz yoki o'z-o'zini yaratishingiz Firezone portali yordamida qurilma konfiguratsiya faylini yaratishi mumkin.
Qurilma konfiguratsiya faylini oʻz-oʻzidan yaratish uchun Firezone administratoringiz taqdim etgan URL manziliga tashrif buyuring. Sizning firmangiz buning uchun noyob URL manziliga ega bo'ladi; bu holda, bu https://instance-id.yourfirezone.com.
[Skrinshotni kiritish]
Taqdim etilgan konfiguratsiya faylini nmcli yordamida import qiling:
sudo nmcli ulanish import turi sim himoyasi fayli /path/to/configuration.conf
Konfiguratsiya faylining nomi WireGuard ulanishi/interfeysiga mos keladi. Importdan so'ng, agar kerak bo'lsa, ulanish nomini o'zgartirish mumkin:
nmcli ulanishini o'zgartirish [eski nom] connection.id [yangi nom]
Buyruqlar qatori orqali VPN-ga quyidagicha ulaning:
nmcli ulanishi [vpn nomi]
O'chirish uchun:
nmcli ulanishi pastga [vpn nomi]
Tegishli Tarmoq menejeri ilovasidan GUI ishlatilsa, ulanishni boshqarish uchun ham foydalanish mumkin.
Avtomatik ulanish opsiyasi uchun “ha” ni tanlab, VPN ulanishi avtomatik ravishda ulanish uchun sozlanishi mumkin:
nmcli ulanishi [vpn nomi] ulanishini o'zgartirish. <<<<<<<<<<<<<<<<<<<<<<<
avtomatik ulanish ha
Avtomatik ulanishni o'chirish uchun uni yo'q ga qaytaring:
nmcli ulanishi [vpn nomi] ulanishini o'zgartirish.
avtomatik ulanish raqami
TIVni faollashtirish uchun Firezone portalining /foydalanuvchi hisobi/mfa roʻyxatdan oʻtish sahifasiga oʻting. QR kod yaratilgandan keyin uni skanerlash uchun autentifikatsiya ilovasidan foydalaning, keyin olti xonali kodni kiriting.
Agar autentifikatsiya ilovasini notoʻgʻri joylashtirgan boʻlsangiz, hisobingizga kirish maʼlumotlarini tiklash uchun administratoringizga murojaat qiling.
Ushbu o'quv qo'llanma WireGuard-ning Firezone bilan ajratilgan tunnel qilish xususiyatini sozlash jarayoni bo'ylab sizga yo'l ko'rsatadi, shunda faqat ma'lum IP diapazonlariga trafik VPN serveri orqali uzatiladi.
Mijoz tarmoq trafigini yo'naltiradigan IP diapazonlari / sozlamalari / standart sahifasida joylashgan "Ruxsat etilgan IP" maydonida ko'rsatilgan. Faqat Firezone tomonidan ishlab chiqarilgan yangi yaratilgan WireGuard tunnel konfiguratsiyalariga ushbu maydondagi o'zgarishlar ta'sir qiladi.
[Skrinshotni kiritish]
Standart qiymat 0.0.0.0/0, ::/0 boʻlib, u barcha tarmoq trafigini mijozdan VPN serveriga yoʻnaltiradi.
Ushbu sohadagi qiymatlarga misollar:
0.0.0.0/0, ::/0 – barcha tarmoq trafigi VPN serveriga yo'naltiriladi.
192.0.2.3/32 - faqat bitta IP-manzilga trafik VPN serveriga yo'naltiriladi.
3.5.140.0/22 – faqat 3.5.140.1 – 3.5.143.254 diapazonidagi IP-larga trafik VPN serveriga yo'naltiriladi. Ushbu misolda ap-shimoli-sharq-2 AWS mintaqasi uchun CIDR diapazoni ishlatilgan.
Firezone paketni qayerga yo'naltirishni aniqlashda birinchi navbatda eng aniq marshrut bilan bog'liq chiqish interfeysini tanlaydi.
Mavjud foydalanuvchi qurilmalarini yangi ajratilgan tunnel konfiguratsiyasi bilan yangilash uchun foydalanuvchilar konfiguratsiya fayllarini qayta tiklashlari va ularni mahalliy WireGuard mijoziga qo'shishlari kerak.
Ko'rsatmalar uchun qarang qurilmani qo'shish. <<<<<<<<<<< Havola qo'shing
Ushbu qo'llanma ikkita qurilmani Firezone-dan o'rni sifatida qanday ulashni ko'rsatadi. Oddiy foydalanish holatlaridan biri administratorga NAT yoki xavfsizlik devori bilan himoyalangan server, konteyner yoki mashinaga kirish imkonini berishdir.
Ushbu rasmda A va B qurilmalari tunnel qurishning oddiy stsenariysi ko'rsatilgan.
[Yong'in zonasi arxitektura rasmini kiriting]
/users/[user_id]/new_device-ga o'tish orqali A va B qurilmasini yaratishdan boshlang. Har bir qurilma sozlamalarida quyidagi parametrlar quyida keltirilgan qiymatlarga oʻrnatilganligiga ishonch hosil qiling. Qurilma konfiguratsiyasini yaratishda siz qurilma sozlamalarini o'rnatishingiz mumkin (Qurilmalar qo'shish bo'limiga qarang). Agar siz mavjud qurilma sozlamalarini yangilashingiz kerak bo'lsa, uni yangi qurilma konfiguratsiyasini yaratish orqali qilishingiz mumkin.
E'tibor bering, barcha qurilmalarda PersistentKeepalive sozlanishi mumkin bo'lgan /settings/defaults sahifasi mavjud.
Ruxsat berilgan IPlar = 10.3.2.2/32
Bu B qurilmasining IP yoki IP diapazoni
PersistentKeepalive = 25
Agar qurilma NAT orqasida bo'lsa, bu qurilma tunnelni saqlab qolishi va WireGuard interfeysidan paketlarni qabul qilishda davom etishini ta'minlaydi. Odatda 25 qiymati etarli, lekin sizning muhitingizga qarab bu qiymatni kamaytirishingiz kerak bo'lishi mumkin.
Ruxsat berilgan IPlar = 10.3.2.3/32
Bu A qurilmasining IP yoki IP diapazoni
PersistentKeepalive = 25
Ushbu misolda A qurilmasi B dan D qurilmalari bilan har ikki yo'nalishda ham bog'lanishi mumkin bo'lgan vaziyatni ko'rsatadi. Ushbu o'rnatish muhandis yoki administratorning turli tarmoqlar bo'ylab ko'plab resurslarga (serverlar, konteynerlar yoki mashinalar) kirishini ko'rsatishi mumkin.
[Arxitektura diagrammasi]<<<<<<<<<<<<<<<<<<<<<<<
Quyidagi sozlamalar har bir qurilma sozlamalarida mos keladigan qiymatlarga o'rnatilganligiga ishonch hosil qiling. Qurilma konfiguratsiyasini yaratishda siz qurilma sozlamalarini belgilashingiz mumkin (qarang: Qurilmalar qo'shish). Mavjud qurilma sozlamalarini yangilash kerak bo'lsa, yangi qurilma konfiguratsiyasi yaratilishi mumkin.
Ruxsat berilgan IPlar = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Bu B dan D gacha bo‘lgan qurilmalarning IP manzilidir. B dan D gacha bo‘lgan qurilmalarning IP manzillari siz o‘rnatmoqchi bo‘lgan har qanday IP diapazoniga kiritilishi kerak.
PersistentKeepalive = 25
Bu qurilma tunnelni saqlab turishi va hatto NAT bilan himoyalangan bo'lsa ham WireGuard interfeysidan paketlarni qabul qilishda davom etishini kafolatlaydi. Ko'pgina hollarda, 25 qiymati etarli, ammo atrofingizdagi sharoitga qarab, bu ko'rsatkichni kamaytirishingiz kerak bo'lishi mumkin.
Jamoangizning barcha trafigini oqib chiqishi uchun yagona, statik chiqish IP-ni taklif qilish uchun Firezone-dan NAT shlyuzi sifatida foydalanish mumkin. Ushbu holatlar uning tez-tez ishlatilishini o'z ichiga oladi:
Consulting Engagements: Mijozdan har bir xodimning noyob qurilma IP manzilini emas, balki bitta statik IP manzilni oq roʻyxatga kiritishini soʻrang.
Xavfsizlik yoki maxfiylik maqsadlarida proksi-serverdan foydalanish yoki manba IP manzilingizni maskalash.
O'z-o'zidan joylashtirilgan veb-ilovaga kirishni Firezone-da ishlaydigan yagona oq ro'yxatga olingan statik IP-ga cheklashning oddiy misoli ushbu postda ko'rsatiladi. Ushbu rasmda Firezone va himoyalangan manba turli VPC hududlarida joylashgan.
Ushbu yechim ko'p sonli oxirgi foydalanuvchilar uchun IP oq ro'yxatini boshqarish o'rniga tez-tez ishlatiladi, bu kirish ro'yxati kengayishi bilan ko'p vaqt talab qilishi mumkin.
Bizning maqsadimiz VPN trafigini cheklangan manbaga yo'naltirish uchun EC2 misolida Firezone serverini o'rnatishdir. Bunday holda, Firezone tarmoq proksi-serveri yoki NAT shlyuzi bo'lib, har bir ulangan qurilmaga noyob umumiy chiqish IP-ni beradi.
Bunday holda, tc2.micro nomli EC2 nusxasida Firezone nusxasi o'rnatilgan. Firezone-ni joylashtirish haqida ma'lumot olish uchun Joylashtirish qo'llanmasiga o'ting. AWS bilan bog'liq holda, ishonch hosil qiling:
Firezone EC2 nusxasining xavfsizlik guruhi himoyalangan resursning IP manziliga chiquvchi trafikga ruxsat beradi.
Firezone namunasi elastik IP bilan birga keladi. Firezone misoli orqali tashqi yo'nalishlarga yo'naltirilgan trafik bu manba IP manziliga ega bo'ladi. Ko'rib chiqilayotgan IP manzil - 52.202.88.54.
[Skrinshotni kiritish]<<<<<<<<<<<<<<<<<<<<<<<<<
O'z-o'zidan joylashtirilgan veb-ilova bu holda himoyalangan manba bo'lib xizmat qiladi. Veb-ilovaga faqat 52.202.88.54 IP manzilidan kelgan so'rovlar orqali kirish mumkin. Resursga qarab, turli portlar va trafik turlari bo'yicha kiruvchi trafikga ruxsat berish kerak bo'lishi mumkin. Bu ushbu qo'llanmada yoritilgan.
[Skrinshotni kiritish]<<<<<<<<<<<<<<<<<<<<<<<<<
Iltimos, himoyalangan resurs uchun mas'ul bo'lgan uchinchi shaxsga 1-bosqichda belgilangan statik IP-dan trafikga ruxsat berilishi kerakligini ayting (bu holda 52.202.88.54).
Odatiy bo'lib, barcha foydalanuvchi trafigi VPN serveri orqali o'tadi va 1-bosqichda sozlangan statik IP-dan keladi (bu holda 52.202.88.54). Biroq, agar split tunnellash yoqilgan bo'lsa, himoyalangan manbaning IP manzili Ruxsat etilgan IPlar qatoriga kiritilganligiga ishonch hosil qilish uchun sozlamalar kerak bo'lishi mumkin.
Quyida mavjud konfiguratsiya opsiyalarining to'liq ro'yxati ko'rsatilgan /etc/firezon/firezon.rb.
variant | tavsifi | standart qiymat |
standart['firezon']['external_url'] | URL manzili ushbu Firezone misolining veb-portaliga kirish uchun ishlatiladi. | “https://#{tugun['fqdn'] || tugun['hostname']}” |
standart['firezon']['config_directory'] | Firezone konfiguratsiyasi uchun yuqori darajadagi katalog. | /etc/firezon' |
standart['firezon']['install_directory'] | Firezone-ni o'rnatish uchun yuqori darajadagi katalog. | /opt/firezon' |
standart['firezon']['app_directory'] | Firezone veb-ilovasini o'rnatish uchun yuqori darajadagi katalog. | “#{tugun['firezon']['install_directory']}/embedded/service/firezon” |
standart['firezon']['log_directory'] | Firezone jurnallari uchun yuqori darajadagi katalog. | /var/log/firezon' |
standart['firezon']['var_directory'] | Firezone ish vaqti fayllari uchun yuqori darajadagi katalog. | /var/opt/firezon' |
standart['firezon']['user'] | Imtiyozsiz Linux foydalanuvchisining nomi ko'pgina xizmatlar va fayllarga tegishli bo'ladi. | olov zonasi |
standart['firezon']['guruh'] | Ko'pgina xizmatlar va fayllar Linux guruhi nomiga tegishli bo'ladi. | olov zonasi |
standart['firezon']['admin_email'] | Firezone-ning boshlang'ich foydalanuvchisi uchun elektron pochta manzili. | “firezone@localhost” |
standart['firezon']['max_devices_per_user'] | Foydalanuvchi ega bo'lishi mumkin bo'lgan maksimal qurilmalar soni. | 10 |
default['firezon']['allow_unprivileged_device_management'] | Administrator boʻlmagan foydalanuvchilarga qurilmalar yaratish va oʻchirish imkonini beradi. | HAQ |
default['firezon']['allow_unprivileged_device_configuration'] | Administrator bo‘lmagan foydalanuvchilarga qurilma konfiguratsiyasini o‘zgartirishga ruxsat beradi. Oʻchirib qoʻyilsa, imtiyozsiz foydalanuvchilarning nom va tavsifdan tashqari barcha qurilma maydonlarini oʻzgartirishiga yoʻl qoʻymaydi. | HAQ |
standart['firezon']['egress_interface'] | Tunnelli trafik chiqadigan interfeys nomi. Agar nol bo'lsa, standart marshrut interfeysi ishlatiladi. | nil |
standart['firezon']['fips_enabled'] | OpenSSL FIPs rejimini yoqing yoki o'chiring. | nil |
default['firezon']['logging']['faoled'] | Firezone bo'ylab logni yoqish yoki o'chirish. Jurnalga kirishni butunlay o‘chirib qo‘yish uchun “false” qiymatini o‘rnating. | HAQ |
default['enterprise']['name'] | Chef 'korxona' oshpaz kitobida ishlatiladigan ism. | olov zonasi |
standart['firezon']['install_path'] | Chef 'korxona' oshpazlik kitobi tomonidan ishlatiladigan o'rnatish yo'li. Yuqoridagi install_directory bilan bir xil qilib o'rnatilishi kerak. | tugun['firezon']['install_directory'] |
standart['firezon']['sysvinit_id'] | /etc/inittab da ishlatiladigan identifikator. 1-4 belgidan iborat noyob ketma-ketlik bo'lishi kerak. | SUP' |
default['firezon']['authentication']['local']['faoled'] | Mahalliy elektron pochta/parol autentifikatsiyasini yoqing yoki oʻchiring. | HAQ |
default['firezone']['authentication']['auto_create_oidc_users'] | OIDC dan birinchi marta kiradigan foydalanuvchilarni avtomatik ravishda yarating. Faqat mavjud foydalanuvchilarga OIDC orqali kirishga ruxsat berish uchun o'chirib qo'ying. | HAQ |
default['firezone']['authentication']['disable_vpn_on_oidc_error'] | OIDC tokenini yangilashda xatolik aniqlansa, foydalanuvchining VPN-ni o‘chiring. | FALSE |
standart['firezon']['authentication']['oidc'] | OpenID Connect konfiguratsiyasi, {“provayder” => [config…]} formatida – qarang. OpenIDConnect hujjatlari konfiguratsiya misollari uchun. | {} |
default['firezon']['nginx']['faoled'] | Birlashtirilgan nginx serverini yoqing yoki o'chiring. | HAQ |
default['firezon']['nginx']['ssl_port'] | HTTPS tinglash porti. | 443 |
standart['firezon']['nginx']['katalog'] | Firezone bilan bog'liq nginx virtual xost konfiguratsiyasini saqlash uchun katalog. | “#{tugun['firezon']['var_directory']}/nginx/etc” |
default['firezon']['nginx']['log_directory'] | Firezone bilan bog'liq nginx jurnal fayllarini saqlash uchun katalog. | “#{tugun['firezon']['log_directory']}/nginx” |
default['firezon']['nginx']['log_rotation']['file_maxbytes'] | Nginx jurnali fayllarini aylantirish uchun fayl hajmi. | 104857600 |
default['firezon']['nginx']['log_rotation']['to_saqlash_num'] | Yo'q qilishdan oldin saqlanishi kerak bo'lgan Firezone nginx jurnali fayllari soni. | 10 |
default['firezon']['nginx']['log_x_forwarded_for'] | Firezone nginx x-forwarded-for sarlavhasini jurnalga kiritish kerakmi. | HAQ |
default['firezon']['nginx']['hsts_header']['faoled'] | HAQ | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | HSTS sarlavhasi uchun includeSubDomainsni yoqing yoki oʻchiring. | HAQ |
default['firezon']['nginx']['hsts_header']['max_age'] | HSTS sarlavhasi uchun maksimal yosh. | 31536000 |
default['firezon']['nginx']['redirect_to_canonical'] | URL manzillarini yuqorida ko'rsatilgan kanonik FQDN ga yo'naltirish kerakmi | FALSE |
default['firezon']['nginx']['cache']['faoled'] | Firezone nginx keshini yoqing yoki o'chiring. | FALSE |
default['firezon']['nginx']['cache']['katalog'] | Firezone nginx kesh uchun katalog. | “#{tugun['firezon']['var_directory']}/nginx/cache” |
default['firezon']['nginx']['user'] | Firezone nginx foydalanuvchisi. | tugun['firezon']['user'] |
default['firezon']['nginx']['group'] | Firezone nginx guruhi. | tugun['firezon']['guruh'] |
default['firezon']['nginx']['dir'] | Yuqori darajadagi nginx konfiguratsiya katalogi. | tugun['firezon']['nginx']['katalog'] |
default['firezon']['nginx']['log_dir'] | Yuqori darajadagi nginx jurnali katalogi. | tugun['firezon']['nginx']['log_directory'] |
default['firezon']['nginx']['pid'] | Nginx pid fayli uchun joy. | “#{tugun['firezon']['nginx']['katalog']}/nginx.pid” |
default['firezon']['nginx']['daemon_disable'] | Buning o'rniga biz uni kuzatishimiz uchun nginx demon rejimini o'chirib qo'ying. | HAQ |
default['firezon']['nginx']['gzip'] | Nginx gzip siqishni yoqing yoki o'chiring. | yonida |
default['firezon']['nginx']['gzip_static'] | Statik fayllar uchun nginx gzip siqishni yoqing yoki o'chiring. | o'chirilgan |
default['firezone']['nginx']['gzip_http_version'] | Statik fayllarga xizmat ko'rsatish uchun ishlatiladigan HTTP versiyasi. | 1.0 " |
default['firezon']['nginx']['gzip_comp_level'] | nginx gzip siqish darajasi. | 2 " |
default['firezon']['nginx']['gzip_proxied'] | So'rov va javobga qarab, proksilangan so'rovlar uchun javoblarni gzippingni yoqadi yoki o'chiradi. | har qanday' |
default['firezon']['nginx']['gzip_vary'] | “Vary: Accept-Encoding” javob sarlavhasini kiritishni yoqadi yoki o‘chiradi. | o'chirilgan |
default['firezon']['nginx']['gzip_buffers'] | Javobni siqish uchun ishlatiladigan buferlar soni va hajmini belgilaydi. Agar nol bo'lsa, standart nginx ishlatiladi. | nil |
default['firezon']['nginx']['gzip_types'] | Gzip siqishni yoqish uchun MIME turlari. | ['matn/plain', 'text/css', 'application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' matn/javascript', 'ilova/javascript', 'ilova/json'] |
default['firezon']['nginx']['gzip_min_length'] | Fayl gzip siqishni yoqish uchun minimal fayl uzunligi. | 1000 |
default['firezon']['nginx']['gzip_disable'] | Gzip siqishni o'chirish uchun foydalanuvchi-agent moslagichi. | MSIE [1-6]\.' |
default['firezon']['nginx']['keepalive'] | Yuqori serverlarga ulanish uchun keshni faollashtiradi. | yonida |
default['firezon']['nginx']['keepalive_timeout'] | Yuqori serverlar bilan uzluksiz ulanish uchun soniyalarda kutish vaqti. | 65 |
default['firezon']['nginx']['worker_processes'] | Nginx ishchi jarayonlari soni. | tugun['cpu'] && tugun['cpu']['jami'] ? tugun['cpu']['jami'] : 1 |
default['firezon']['nginx']['worker_connections'] | Ishchi jarayoni tomonidan ochilishi mumkin bo'lgan bir vaqtning o'zida ulanishlarning maksimal soni. | 1024 |
default['firezon']['nginx']['worker_rlimit_nofile'] | Ishchi jarayonlari uchun ochiq fayllarning maksimal soni chegarasini o'zgartiradi. Agar nol bo'lsa, standart nginx dan foydalanadi. | nil |
default['firezon']['nginx']['multi_accept'] | Ishchilar bir vaqtning o'zida bir yoki bir nechta ulanishni qabul qilishlari kerakmi. | HAQ |
default['firezon']['nginx']['event'] | Nginx hodisalari kontekstida foydalanish uchun ulanishni qayta ishlash usulini belgilaydi. | epoll |
default['firezon']['nginx']['server_tokens'] | Xato sahifalarida va "Server" javob sarlavhasi maydonida nginx versiyasini chiqarishni yoqadi yoki o'chiradi. | nil |
default['firezon']['nginx']['server_names_hash_bucket_size'] | Server nomlari xesh-jadvallari uchun chelak hajmini o'rnatadi. | 64 |
default['firezon']['nginx']['sendfile'] | Nginx's sendfile() dan foydalanishni yoqadi yoki o'chiradi. | yonida |
default['firezon']['nginx']['access_log_options'] | Nginx kirish jurnali parametrlarini o'rnatadi. | nil |
default['firezon']['nginx']['error_log_options'] | Nginx xato jurnali parametrlarini o'rnatadi. | nil |
default['firezon']['nginx']['disable_access_log'] | Nginx kirish jurnalini o'chiradi. | FALSE |
default['firezon']['nginx']['types_hash_max_size'] | nginx turlari hash maksimal hajmi. | 2048 |
default['firezon']['nginx']['types_hash_bucket_size'] | nginx turlari hash paqir hajmi. | 64 |
default['firezon']['nginx']['proxy_read_timeout'] | nginx proksi-serverini o'qish vaqti tugashi. Nginx standartidan foydalanish uchun nolga sozlang. | nil |
default['firezon']['nginx']['client_body_buffer_size'] | nginx mijoz tanasi bufer hajmi. Nginx standartidan foydalanish uchun nolga sozlang. | nil |
default['firezon']['nginx']['client_max_body_size'] | nginx mijozining maksimal tana hajmi. | 250 m' |
default['firezon']['nginx']['default']['modullar'] | Qo'shimcha nginx modullarini belgilang. | [] |
default['firezon']['nginx']['enable_rate_limiting'] | Nginx tezligini cheklashni yoqing yoki o'chiring. | HAQ |
default['firezon']['nginx']['rate_limiting_zone_name'] | Nginx tezligini cheklovchi zona nomi. | olov zonasi |
default['firezon']['nginx']['rate_limiting_backoff'] | Nginx tezligini cheklovchi orqaga qaytish. | 10 m' |
default['firezon']['nginx']['rate_limit'] | Nginx tezligi chegarasi. | 10r/s' |
standart['firezon']['nginx']['ipv6'] | Nginx-ga IPv6-dan tashqari IPv4 uchun HTTP so'rovlarini tinglashiga ruxsat bering. | HAQ |
default['firezon']['postgresql']['faoled'] | Birlashtirilgan Postgresql-ni yoqish yoki o'chirish. O'zingizning Postgresql misolingizdan foydalanish uchun "false" ni sozlang va quyidagi ma'lumotlar bazasi parametrlarini to'ldiring. | HAQ |
default['firezon']['postgresql']['foydalanuvchi nomi'] | Postgresql uchun foydalanuvchi nomi. | tugun['firezon']['user'] |
default['firezon']['postgresql']['data_directory'] | Postgresql ma'lumotlar katalogi. | “#{tugun['firezon']['var_directory']}/postgresql/13.3/data” |
default['firezon']['postgresql']['log_directory'] | Postgresql jurnali katalogi. | “#{tugun['firezon']['log_directory']}/postgresql” |
default['firezon']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql jurnali fayli aylantirilgunga qadar maksimal hajmi. | 104857600 |
default['firezone']['postgresql']['log_rotation']['to_saqlash_num'] | Saqlash uchun Postgresql jurnali fayllari soni. | 10 |
default['firezon']['postgresql']['checkpoint_completion_target'] | Postgresql nazorat nuqtasini yakunlash maqsadi. | 0.5 |
default['firezon']['postgresql']['checkpoint_segments'] | Postgresql nazorat nuqtasi segmentlari soni. | 3 |
default['firezon']['postgresql']['checkpoint_timeout'] | Postgresql nazorat nuqtasini kutish vaqti. | 5 daqiqa |
default['firezon']['postgresql']['checkpoint_warning'] | Postgresql nazorat nuqtasini ogohlantirish vaqti soniyalarda. | 30-yillar |
default['firezone']['postgresql']['effective_cache_size'] | Postgresql samarali kesh hajmi. | 128 MB' |
default['firezon']['postgresql']['listen_address'] | Postgresql tinglash manzili. | 127.0.0.1 " |
default['firezon']['postgresql']['max_connections'] | Postgresql maksimal ulanishlar. | 350 |
default['firezone']['postgresql']['md5_auth_cidr_addresses'] | Md5 authiga ruxsat berish uchun Postgresql CIDR'lari. | ['127.0.0.1/32', '::1/128'] |
default['firezon']['postgresql']['port'] | Postgresql tinglash porti. | 15432 |
default['firezon']['postgresql']['shared_buffers'] | Postgresql umumiy buferlar hajmi. | “#{(tugun['xotira']['jami'].to_i / 4) / 1024}MB” |
default['firezon']['postgresql']['shmmax'] | Postgresql shmmax baytlarda. | 17179869184 |
default['firezon']['postgresql']['shmal'] | Postgresql shmal baytlarda. | 4194304 |
default['firezon']['postgresql']['work_mem'] | Postgresql ishchi xotira hajmi. | 8 MB' |
standart['firezon']['ma'lumotlar bazasi']['foydalanuvchi'] | Firezone JBga ulanish uchun foydalanadigan foydalanuvchi nomini belgilaydi. | tugun['firezon']['postgresql']['foydalanuvchi nomi'] |
standart['firezon']['ma'lumotlar bazasi']['parol'] | Agar tashqi ma'lumotlar bazasidan foydalansangiz, Firezone ma'lumotlar bazasiga ulanish uchun foydalanadigan parolni belgilaydi. | meni o'zgartir' |
default['firezon']['ma'lumotlar bazasi']['name'] | Firezone foydalanadigan ma'lumotlar bazasi. Agar u mavjud bo'lmasa, yaratiladi. | olov zonasi |
standart['firezon']['ma'lumotlar bazasi']['host'] | Firezone ulanadigan ma'lumotlar bazasi xosti. | tugun['firezon']['postgresql']['listen_address'] |
standart['firezon']['ma'lumotlar bazasi']['port'] | Firezone ulanadigan ma'lumotlar bazasi porti. | tugun['firezon']['postgresql']['port'] |
standart['firezon']['ma'lumotlar bazasi']['hovuz'] | Firezone maʼlumotlar bazasi hajmidan foydalanadi. | [10, Etc.nprocessors].maks |
default['firezon']['ma'lumotlar bazasi']['ssl'] | SSL orqali ma'lumotlar bazasiga ulanish kerakmi. | FALSE |
default['firezon']['ma'lumotlar bazasi']['ssl_opts'] | {} | |
default['firezon']['ma'lumotlar bazasi']['parameters'] | {} | |
standart['firezon']['ma'lumotlar bazasi']['kengaytmalar'] | Yoqish uchun ma'lumotlar bazasi kengaytmalari. | { 'plpgsql' => rost, 'pg_trgm' => rost } |
standart['firezon']['feniks']['yoqilgan'] | Firezone veb-ilovasini yoqing yoki o'chiring. | HAQ |
default['firezon']['feniks']['listen_address'] | Firezone veb-ilovasi tinglash manzili. Bu nginx proksi-serverlarining yuqori oqimidagi tinglash manzili bo'ladi. | 127.0.0.1 " |
standart['firezon']['feniks']['port'] | Firezone veb-ilovasini tinglash porti. Bu nginx proksi-serverlarining yuqori oqim porti bo'ladi. | 13000 |
standart['firezon']['feniks']['log_directory'] | Firezone veb-ilovalar jurnali katalogi. | “#{tugun['firezon']['log_directory']}/feniks” |
default['firezon']['phoenix']['log_rotation']['file_maxbytes'] | Firezone veb-ilovasi jurnali fayl hajmi. | 104857600 |
default['firezone']['feniks']['log_rotation']['to_saqlash_num'] | Saqlanadigan Firezone veb-ilovasi jurnali fayllari soni. | 10 |
default['firezone']['phoenix']['crash_detection']['faoled'] | Nosozlik aniqlanganda Firezone veb-ilovasini o'chirishni yoqing yoki o'chiring. | HAQ |
standart['firezon']['feniks']['external_trusted_proxies'] | IP va/yoki CIDR massivi sifatida formatlangan ishonchli teskari proksi-serverlar roʻyxati. | [] |
default['firezon']['feniks']['private_clients'] | IP va/yoki CIDR massivi formatlangan xususiy tarmoq HTTP mijozlari roʻyxati. | [] |
default['firezon']['wireguard']['faoled'] | Birlashtirilgan WireGuard boshqaruvini yoqing yoki o'chiring. | HAQ |
default['firezon']['wireguard']['log_directory'] | Birlashtirilgan WireGuard boshqaruvi uchun jurnallar katalogi. | “#{tugun['firezon']['log_directory']}/wireguard” |
default['firezon']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard jurnali faylining maksimal hajmi. | 104857600 |
default['firezon']['wireguard']['log_rotation']['to_keep_num'] | Saqlash uchun WireGuard jurnali fayllari soni. | 10 |
default['firezon']['wireguard']['interface_name'] | WireGuard interfeysi nomi. Ushbu parametrni o'zgartirish VPN ulanishining vaqtincha yo'qolishiga olib kelishi mumkin. | wg-firezon' |
standart['firezon']['wireguard']['port'] | WireGuard tinglash porti. | 51820 |
default['firezon']['wireguard']['mtu'] | Ushbu server va qurilma konfiguratsiyasi uchun WireGuard interfeysi MTU. | 1280 |
default['firezon']['wireguard']['endpoint'] | Qurilma konfiguratsiyasini yaratishda foydalanish uchun WireGuard Endpoint. Agar nol bo'lsa, serverning umumiy IP-manziliga o'rnatiladi. | nil |
default['firezon']['wireguard']['dns'] | Yaratilgan qurilma konfiguratsiyasi uchun foydalanish uchun WireGuard DNS. | 1.1.1.1, 1.0.0.1' |
default['firezon']['wireguard']['allowed_ips'] | WireGuard AllowedIP-larni yaratilgan qurilma konfiguratsiyasi uchun ishlatish. | 0.0.0.0/0, ::/0′ |
default['firezon']['wireguard']['persistent_keepalive'] | Yaratilgan qurilma konfiguratsiyasi uchun birlamchi PersistentKeepalive sozlamasi. 0 qiymati o'chirib qo'yadi. | 0 |
default['firezon']['wireguard']['ipv4']['faoled'] | WireGuard tarmog'i uchun IPv4 ni yoqing yoki o'chiring. | HAQ |
default['firezon']['wireguard']['ipv4']['maskarad'] | IPv4 tunnelidan chiqadigan paketlar uchun maskaradni yoqing yoki o'chiring. | HAQ |
default['firezon']['wireguard']['ipv4']['tarmoq'] | WireGuard tarmoq IPv4 manzillar hovuzi. | 10.3.2.0 / 24 ′ |
default['firezon']['wireguard']['ipv4']['manzil'] | WireGuard interfeysi IPv4 manzili. WireGuard manzillar hovuzida bo'lishi kerak. | 10.3.2.1 " |
default['firezon']['wireguard']['ipv6']['faoled'] | WireGuard tarmog'i uchun IPv6 ni yoqing yoki o'chiring. | HAQ |
default['firezon']['wireguard']['ipv6']['maskarad'] | IPv6 tunnelidan chiqadigan paketlar uchun maskaradni yoqing yoki o'chiring. | HAQ |
default['firezon']['wireguard']['ipv6']['tarmoq'] | WireGuard tarmoq IPv6 manzillar hovuzi. | fd00::3:2:0/120′ |
default['firezon']['wireguard']['ipv6']['manzil'] | WireGuard interfeysi IPv6 manzili. IPv6 manzillar hovuzida bo'lishi kerak. | fd00::3:2:1′ |
default['firezon']['runit']['svlogd_bin'] | Svlogd quti manzilini ishga tushiring. | “#{tugun['firezon']['install_directory']}/embedded/bin/svlogd” |
default['firezon']['ssl']['katalog'] | Yaratilgan sertifikatlarni saqlash uchun SSL katalogi. | /var/opt/firezon/ssl' |
default['firezon']['ssl']['email_address'] | O'z-o'zidan imzolangan sertifikatlar va ACME protokolini yangilash to'g'risidagi bildirishnomalar uchun foydalanish uchun elektron pochta manzili. | you@example.com' |
default['firezon']['ssl']['acme']['faoled'] | Avtomatik SSL sertifikatini tayyorlash uchun ACME-ni yoqing. Nginx-ni 80-portda tinglashiga yo'l qo'ymaslik uchun buni o'chiring. Qarang Bu yerga qo'shimcha ko'rsatmalar uchun. | FALSE |
default['firezon']['ssl']['acme']['server'] | shifrlash | |
default['firezone']['ssl']['acme']['keylength'] | SSL sertifikatlari uchun kalit turi va uzunligini belgilang. Qarang Bu yerga | ec-256 |
standart['firezon']['ssl']['sertifikat'] | FQDN uchun sertifikat fayliga yoʻl. Belgilangan bo'lsa, yuqoridagi ACME sozlamasini bekor qiladi. Agar ACME va bu nol bo'lsa, o'z-o'zidan imzolangan sertifikat yaratiladi. | nil |
standart['firezon']['ssl']['certificate_key'] | Sertifikat fayliga yo'l. | nil |
default['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nil |
default['firezon']['ssl']['country_name'] | O'z-o'zidan imzolangan sertifikat uchun mamlakat nomi. | BIZ' |
default['firezon']['ssl']['state_name'] | O'z-o'zidan imzolangan sertifikatning davlat nomi. | CA ' |
default['firezon']['ssl']['locality_name'] | Oʻz-oʻzidan imzolangan sertifikat uchun hudud nomi. | San-Fransisko' |
default['firezon']['ssl']['company_name'] | Kompaniya nomi o'z-o'zidan imzolangan sertifikat. | Mening kompaniyam' |
default['firezon']['ssl']['organizational_unit_name'] | O'z-o'zidan imzolangan sertifikat uchun tashkiliy birlik nomi. | Operatsiyalar |
default['firezon']['ssl']['ciphers'] | Nginx foydalanishi uchun SSL shifrlari. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default['firezone']['ssl']['fips_ciphers'] | FIP rejimi uchun SSL shifrlari. | FIPS@STRENGTH:!aNULL:!eNULL' |
default['firezon']['ssl']['protocols'] | Foydalanish uchun TLS protokollari. | TLSv1 TLSv1.1 TLSv1.2' |
default['firezon']['ssl']['session_cache'] | SSL seans keshi. | umumiy: SSL: 4m' |
default['firezon']['ssl']['session_timeout'] | SSL seansining kutish vaqti. | 5 m' |
standart['firezon']['robots_allow'] | nginx robotlari ruxsat beradi. | /' |
standart['firezon']['robots_disallow'] | nginx robotlari ruxsat bermaydi. | nil |
default['firezon']['outbound_email']['from'] | Manzildan chiquvchi elektron pochta. | nil |
standart['firezon']['outbound_email']['provayder'] | Chiquvchi elektron pochta xizmati provayderi. | nil |
standart['firezon']['outbound_email']['configs'] | Chiquvchi elektron pochta provayderi konfiguratsiyasi. | omnibus/cookbooks/firezon/attributes/default.rb-ga qarang |
default['firezon']['telemetry']['faoled'] | Anonim mahsulot telemetriyasini yoqing yoki o‘chiring. | HAQ |
standart['firezon']['connectivity_checks']['faoled'] | Firezone ulanishni tekshirish xizmatini yoqing yoki o'chiring. | HAQ |
standart['firezon']['connectivity_checks']['interval'] | Ulanishni tekshirish oralig'i soniyalarda. | 3_600 |
________________________________________________________________
Bu yerda siz odatiy Firezone o'rnatilishi bilan bog'liq fayllar va kataloglar ro'yxatini topasiz. Ular konfiguratsiya faylingizdagi o'zgarishlarga qarab o'zgarishi mumkin.
Yo'l | tavsifi |
/var/opt/firezon | Firezone to'plami xizmatlari uchun ma'lumotlar va yaratilgan konfiguratsiyani o'z ichiga olgan yuqori darajadagi katalog. |
/opt/firezon | Firezone uchun zarur bo'lgan o'rnatilgan kutubxonalar, ikkilik va ish vaqti fayllarini o'z ichiga olgan yuqori darajadagi katalog. |
/usr/bin/firezon-ctl | Firezone o'rnatishingizni boshqarish uchun firezone-ctl yordam dasturi. |
/etc/systemd/system/firezone-runsvdir-start.service | Firezone runsvdir supervayzer jarayonini boshlash uchun systemd birligi fayli. |
/etc/firezon | Firezone konfiguratsiya fayllari. |
__________________________________________________________
Hujjatlarda bu sahifa boʻsh edi
_____________________________________________________________
Quyidagi nftables xavfsizlik devori shablonidan Firezone bilan ishlaydigan serverni himoyalash uchun foydalanish mumkin. Shablon ba'zi taxminlarni keltirib chiqaradi; Foydalanish holatlaringizga mos ravishda qoidalarni o'zgartirishingiz kerak bo'lishi mumkin:
Firezone o'zining nftables qoidalarini veb-interfeysda sozlangan yo'nalishlarga trafikni ruxsat berish/rad etish va mijoz trafigi uchun chiquvchi NATni boshqarish uchun sozlaydi.
Quyidagi xavfsizlik devori shablonini allaqachon ishlayotgan serverda (yuklash vaqtida emas) qo'llash Firezone qoidalarini o'chirishga olib keladi. Bu xavfsizlikka ta'sir qilishi mumkin.
Buni hal qilish uchun Feniks xizmatini qayta ishga tushiring:
firezone-ctl Feniksni qayta ishga tushiring
#!/usr/sbin/nft -f
## Barcha mavjud qoidalarni tozalash/tozalash
yuvish qoidalari
############################### O'ZGARCHILAR ###############
## Internet/WAN interfeysi nomi
DEV_WAN = eth0 ni aniqlang
## WireGuard interfeysi nomi
DEV_WIREGUARD = wg-firezonni aniqlang
## WireGuard tinglash porti
WIREGUARD_PORT = ni aniqlang 51820
############################## VARIABLES END ################## ############
# Inet oilasining asosiy filtrlash jadvali
jadval inet filtri {
# Yo'naltirilgan trafik qoidalari
# Ushbu zanjir Firezone oldinga siljishidan oldin qayta ishlanadi
oldinga zanjir {
turi filtri kanca oldinga ustuvor filtri – 5; siyosatni qabul qiladi
}
# Kirish trafigining qoidalari
zanjir kiritish {
turi filtri kancasi kirish ustuvor filtri; siyosatning pasayishi
## Qayta interfeysga kiruvchi trafikga ruxsat bering
agar lo \
qabul qilish \
izoh "Tekshirish interfeysidan barcha trafikga ruxsat berish"
## O'rnatilgan va tegishli ulanishlarga ruxsat berish
ct davlat tashkil etilgan, bog'liq \
qabul qilish \
izoh "O'rnatilgan/tegishli ulanishlarga ruxsat berish"
## Kiruvchi WireGuard trafigiga ruxsat bering
agar $DEV_WAN udp dport $WIREGUARD_PORT \
hisoblagich \
qabul qilish \
izoh "Kiruvchi WireGuard trafigiga ruxsat berish"
## SYN bo'lmagan yangi TCP paketlarini yozib oling va qoldiring
tcp bayroqlari != syn ct holati yangi \
chegara stavkasi 100/daqiqa portlashi 150 paketlar \
log prefiksi “IN – Yangi !SYN: “ \
izoh "SYN TCP bayrog'i o'rnatilmagan yangi ulanishlar uchun tarif chegarasi jurnali"
tcp bayroqlari != syn ct holati yangi \
hisoblagich \
tushirish \
izoh "SYN TCP bayrog'i o'rnatilmagan yangi ulanishlarni o'chiring"
## Noto'g'ri fin/syn bayrog'i o'rnatilgan TCP paketlarini yozib oling va qoldiring
tcp bayroqlari & (fin|syn) == (fin|syn) \
chegara stavkasi 100/daqiqa portlashi 150 paketlar \
log prefiksi "IN - TCP FIN | SIN: " \
izoh “Fin/syn bayrog‘i noto‘g‘ri o‘rnatilgan TCP paketlar uchun tarif chegarasi jurnali”
tcp bayroqlari & (fin|syn) == (fin|syn) \
hisoblagich \
tushirish \
izoh “Yaroqsiz fin/syn bayroqlari bilan TCP paketlarini tashlab yuborish”
## Noto'g'ri sinxronlash/birinchi bayroq o'rnatilgan TCP paketlarini yozib oling va qoldiring
tcp bayroqlari & (syn|rst) == (syn|rst) \
chegara stavkasi 100/daqiqa portlashi 150 paketlar \
log prefiksi “IN – TCP SYN|RST:” \
izoh “Yaroqsiz sinxronlash/birinchi bayroq o‘rnatilgan TCP paketlar uchun tarif chegarasi jurnali”
tcp bayroqlari & (syn|rst) == (syn|rst) \
hisoblagich \
tushirish \
izoh "Noto'g'ri sinxronlash/ilk bayroq o'rnatilgan TCP paketlarini tashlang"
## Yaroqsiz TCP bayroqlarini jurnalga kiriting va o'chiring
tcp bayroqlari & (fin|syn|rst|psh|ack|urg) < (fin) \
chegara stavkasi 100/daqiqa portlashi 150 paketlar \
log prefiksi "IN - FIN:" \
izoh “Yaroqsiz TCP bayroqlari uchun tarif chegarasi jurnali (fin|syn|rst|psh|ack|urg) < (fin)”
tcp bayroqlari & (fin|syn|rst|psh|ack|urg) < (fin) \
hisoblagich \
tushirish \
izoh “TCP paketlarini bayroqlar bilan tashlang (fin|syn|rst|psh|ack|urg) < (fin)”
## Yaroqsiz TCP bayroqlarini jurnalga kiriting va o'chiring
tcp bayroqlari & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
chegara stavkasi 100/daqiqa portlashi 150 paketlar \
log prefiksi “IN – FIN|PSH|URG:” \
izoh “Yaroqsiz TCP bayroqlari uchun tarif chegarasi jurnali (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
tcp bayroqlari & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
hisoblagich \
tushirish \
izoh “Bayroqlar bilan TCP paketlarini tashlang (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)”
## Noto'g'ri ulanish holati bilan trafikni to'xtatish
ct holati noto'g'ri \
chegara stavkasi 100/daqiqa portlashi 150 paketlar \
log bayroqlari barcha prefiks “IN – Yaroqsiz:” \
izoh "Ulanish holati noto'g'ri bo'lgan trafik uchun tarif limitini qayd qilish"
ct holati noto'g'ri \
hisoblagich \
tushirish \
izoh “Ulanish holati noto‘g‘ri bo‘lgan trafikni to‘xtatish”
## IPv4 ping/ping javoblariga ruxsat bering, lekin tezlik chegarasi 2000 PPS
ip protokol icmp icmp turi { echo-reply, echo-request } \
chegara stavkasi 2000/ikkinchi \
hisoblagich \
qabul qilish \
izoh “Kiruvchi IPv4 echo (ping) ga 2000 PPS bilan cheklangan ruxsat berish”
## Boshqa barcha kiruvchi IPv4 ICMP ga ruxsat bering
ip protokol icmp \
hisoblagich \
qabul qilish \
izoh "Boshqa barcha IPv4 ICMPga ruxsat berish"
## IPv6 ping/ping javoblariga ruxsat bering, lekin tezlik chegarasi 2000 PPS
icmpv6 turi {echo-reply, echo-request} \
chegara stavkasi 2000/ikkinchi \
hisoblagich \
qabul qilish \
izoh “Kiruvchi IPv6 echo (ping) ga 2000 PPS bilan cheklangan ruxsat berish”
## Boshqa barcha kiruvchi IPv6 ICMP ga ruxsat bering
meta l4proto {icmpv6} \
hisoblagich \
qabul qilish \
izoh "Boshqa barcha IPv6 ICMPga ruxsat berish"
## Kiruvchi traceroute UDP portlariga ruxsat bering, lekin 500 PPS bilan cheklang
udp dport 33434-33524 \
chegara stavkasi 500/ikkinchi \
hisoblagich \
qabul qilish \
izoh “500 PPS bilan cheklangan kirish UDP traceroutiga ruxsat bering”
## Kiruvchi SSHga ruxsat bering
tcp dport sSH ct holati yangi \
hisoblagich \
qabul qilish \
izoh "Kiruvchi SSH ulanishlariga ruxsat berish"
## Kiruvchi HTTP va HTTPSga ruxsat berish
tcp dport { http, https } ct holati yangi \
hisoblagich \
qabul qilish \
izoh “Kiruvchi HTTP va HTTPS ulanishlariga ruxsat berish”
## Har qanday teng bo'lmagan trafikni qayd qiling, lekin qayd qilish tezligini maksimal 60 ta xabar/daqiqa bilan cheklang
## Standart siyosat mos kelmaydigan trafik uchun qo'llaniladi
chegara stavkasi 60/daqiqa portlashi 100 paketlar \
log prefiksi "IN - Drop:" \
izoh "Har qanday tengsiz trafikni qayd etish"
## Tegishlanmagan trafikni hisoblang
hisoblagich \
izoh “Har qanday tengsiz trafikni hisoblang”
}
# Chiqish trafigining qoidalari
zanjir chiqishi {
turi filtri kancasi chiqish ustuvor filtri; siyosatning pasayishi
## Qayta interfeysga chiquvchi trafikga ruxsat berish
oif lo \
qabul qilish \
izoh "Barcha trafikni orqaga qaytarish interfeysiga ruxsat berish"
## O'rnatilgan va tegishli ulanishlarga ruxsat berish
ct davlat tashkil etilgan, bog'liq \
hisoblagich \
qabul qilish \
izoh "O'rnatilgan/tegishli ulanishlarga ruxsat berish"
## Yomon holatdagi ulanishlarni uzishdan oldin WireGuard trafigiga chiqishga ruxsat bering
oif $DEV_WAN udp sport $WIREGUARD_PORT \
hisoblagich \
qabul qilish \
izoh "WireGuard chiquvchi trafigiga ruxsat berish"
## Noto'g'ri ulanish holati bilan trafikni to'xtatish
ct holati noto'g'ri \
chegara stavkasi 100/daqiqa portlashi 150 paketlar \
log bayroqlari barcha prefiks “OUT – Yaroqsiz:” \
izoh "Ulanish holati noto'g'ri bo'lgan trafik uchun tarif limitini qayd qilish"
ct holati noto'g'ri \
hisoblagich \
tushirish \
izoh “Ulanish holati noto‘g‘ri bo‘lgan trafikni to‘xtatish”
## Boshqa barcha chiquvchi IPv4 ICMP ga ruxsat bering
ip protokol icmp \
hisoblagich \
qabul qilish \
izoh "Barcha IPv4 ICMP turlariga ruxsat berish"
## Boshqa barcha chiquvchi IPv6 ICMP ga ruxsat bering
meta l4proto {icmpv6} \
hisoblagich \
qabul qilish \
izoh "Barcha IPv6 ICMP turlariga ruxsat berish"
## Chiquvchi traceroute UDP portlariga ruxsat bering, lekin 500 PPS bilan cheklang
udp dport 33434-33524 \
chegara stavkasi 500/ikkinchi \
hisoblagich \
qabul qilish \
izoh “500 PPS bilan cheklangan chiqish UDP traceroutiga ruxsat bering”
## Chiquvchi HTTP va HTTPS ulanishlariga ruxsat berish
tcp dport { http, https } ct holati yangi \
hisoblagich \
qabul qilish \
izoh "Chiqish HTTP va HTTPS ulanishlariga ruxsat berish"
## Chiquvchi SMTP yuborishga ruxsat bering
tcp dport yuborish ct holati yangi \
hisoblagich \
qabul qilish \
izoh "Chiqish SMTP yuborishga ruxsat berish"
## Chiquvchi DNS so'rovlariga ruxsat berish
udp dport 53 \
hisoblagich \
qabul qilish \
izoh "Chiqish UDP DNS so'rovlariga ruxsat berish"
tcp dport 53 \
hisoblagich \
qabul qilish \
izoh "Chiqish TCP DNS so'rovlariga ruxsat berish"
## Chiquvchi NTP soʻrovlariga ruxsat berish
udp dport 123 \
hisoblagich \
qabul qilish \
izoh "Chiqish NTP so'rovlariga ruxsat berish"
## Har qanday teng bo'lmagan trafikni qayd qiling, lekin qayd qilish tezligini maksimal 60 ta xabar/daqiqa bilan cheklang
## Standart siyosat mos kelmaydigan trafik uchun qo'llaniladi
chegara stavkasi 60/daqiqa portlashi 100 paketlar \
log prefiksi “OUT – tashlab yuborish:” \
izoh "Har qanday tengsiz trafikni qayd etish"
## Tegishlanmagan trafikni hisoblang
hisoblagich \
izoh “Har qanday tengsiz trafikni hisoblang”
}
}
# Asosiy NAT filtrlash jadvali
jadval inet nat {
# NAT trafigini oldindan marshrutlash qoidalari
zanjirni oldindan yo'naltirish {
nat hook prerouting priority dstnat yozing; siyosatni qabul qiladi
}
# NAT trafigini post-marshrutlash qoidalari
# Ushbu jadval Firezone post-marshrutlash zanjiridan oldin qayta ishlanadi
zanjirni yo'naltirish {
nat hook postrouting priority srcnat yozing – 5; siyosatni qabul qiladi
}
}
Xavfsizlik devori ishlayotgan Linux tarqatish uchun tegishli joyda saqlanishi kerak. Debian/Ubuntu uchun bu /etc/nftables.conf va RHEL uchun bu /etc/sysconfig/nftables.conf.
nftables.service yuklashda ishga tushirish uchun sozlanishi kerak (agar hali bo'lmasa):
systemctl nftables.service ni yoqing
Agar xavfsizlik devori shabloniga biron bir o'zgartirish kiritilsa, sintaksisni tekshirish buyrug'ini bajarish orqali tekshirish mumkin:
nft -f /path/to/nftables.conf -c
Xavfsizlik devori kutilganidek ishlashini tekshirib ko'ring, chunki serverda ishlayotgan versiyaga qarab ba'zi nftables xususiyatlari mavjud bo'lmasligi mumkin.
_______________________________________________________________
Ushbu hujjatda Firezone oʻz-oʻzidan joylashtirilgan instansiyadan yigʻadigan telemetriya va uni qanday oʻchirish mumkinligi haqida umumiy maʼlumot berilgan.
Yong'in zonasi tayanadi telemetriya bo'yicha yo'l xaritamizga ustuvor ahamiyat berish va Firezone-ni hamma uchun yaxshiroq qilishimiz kerak bo'lgan muhandislik resurslarini optimallashtirish.
Biz to'playdigan telemetriya quyidagi savollarga javob berishga qaratilgan:
Firezone-da telemetriya yig'iladigan uchta asosiy joy mavjud:
Ushbu uchta kontekstning har birida biz yuqoridagi bo'limdagi savollarga javob berish uchun zarur bo'lgan minimal ma'lumot miqdorini olamiz.
Administratorning elektron pochta xabarlari faqat mahsulot yangilanishlariga ochiq ro'yxatdan o'tgan bo'lsangiz yig'iladi. Aks holda, shaxsni aniqlash mumkin bo'lgan ma'lumotlar hech qachon yig'ilgan.
Firezone telemetriyani shaxsiy Kubernetes klasterida ishlaydigan PostHog-ning mustaqil nusxasida saqlaydi, faqat Firezone jamoasi kirishi mumkin. Firezone misolingizdan telemetriya serverimizga yuborilgan telemetriya hodisasiga misol:
{
"id": “0182272d-0b88-0000-d419-7b9a413713f1”,
"vaqt tamg'asi": “2022-07-22T18:30:39.748000+00:00”,
"voqea": “fz_http_started”,
"ajralmas_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"xususiyatlar":{
“$geoip_city_name”: "Ashburn",
“$geoip_continent_code”: "NA",
“$geoip_continent_name”: "Shimoliy Amerika",
“$geoip_country_code”: "BIZ",
“$geoip_country_name”: "Qo'shma Shtatlar",
“$geoip_latitude”: 39.0469,
“$geoip_uzunlik”: -77.4903,
“$geoip_post_kodi”: "20149",
“$geoip_subdivision_1_code”: "VA",
“$geoip_subdivision_1_name”: "Virjiniya",
“$geoip_time_zone”: "Amerika/Nyu_York",
“$ip”: "52.200.241.107",
“$plugins_deferred”: [],
“$plugins_failed”: [],
“$plugins_succeeded”: [
"GeoIP (3)"
],
"ajralmas_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": “awsdemo.firezon.dev”,
"yadro_versiyasi": "linux 5.13.0",
"versiya": "0.4.6"
},
"elementlar_zanjir": ""
}
ESLATMA
Firezone ishlab chiqish jamoasi tayanadi Firezone-ni hamma uchun yaxshiroq qilish uchun mahsulot tahlili haqida. Telemetriyani faol qoldirish Firezone rivojlanishiga qo'shishingiz mumkin bo'lgan eng qimmatli hissadir. Aytgancha, ba'zi foydalanuvchilarning maxfiylik yoki xavfsizlik talablari yuqori ekanligini va telemetriyani butunlay o'chirib qo'yishni afzal ko'rishini tushunamiz. Agar bu siz bo'lsangiz, o'qishni davom eting.
Telemetriya sukut bo'yicha yoqilgan. Mahsulot telemetriyasini butunlay oʻchirib qoʻyish uchun /etc/firezon/firezone.rb sahifasida quyidagi konfiguratsiya parametrini “false”ga oʻrnating va oʻzgarishlarni qabul qilish uchun sudo firezone-ctl reconfigure-ni ishga tushiring.
standart["yong'in zonasi"][telemetriya]["yoqilgan"] = yolg'on
Bu barcha mahsulot telemetriyasini butunlay o'chirib qo'yadi.
Hailbaytlar
9511 Queens Guard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
Elektron pochta: info@hailbytes.com