Roghchlár
Tá treoracha céim ar chéim maidir le himscaradh Hailbytes VPN le Firezone GUI ar fáil anseo.
Riar: Baineann socrú an fhreastalaí amach go díreach leis an gcuid seo.
Treoracha Úsáideora: Doiciméid chabhracha a fhéadfaidh tú a mhúineadh conas Firezone a úsáid agus gnáthfhadhbanna a réiteach. Tar éis an freastalaí a imscaradh go rathúil, déan tagairt don chuid seo.
Tollánú Scoilte: Bain úsáid as an VPN chun trácht a sheoladh chuig raonta IP ar leith amháin.
Liosta Bán: Socraigh seoladh IP statach freastalaí VPN chun bánliosta a úsáid.
Tolláin Droim ar Ais: Cruthaigh tolláin idir roinnt piaraí ag baint úsáide as tolláin droim ar ais.
Tá áthas orainn cabhrú leat má tá cúnamh uait chun Hailbytes VPN a shuiteáil, a shaincheapadh nó a úsáid.
Sula bhféadfaidh úsáideoirí comhaid cumraíochta gléas a tháirgeadh nó a íoslódáil, is féidir Firezone a chumrú chun fíordheimhniú a éileamh. Seans go mbeidh ar úsáideoirí athfhíordheimhniú go tréimhsiúil freisin chun a nasc VPN a choinneáil gníomhach.
Cé gurb é modh logála isteach réamhshocraithe Firezone ná ríomhphost áitiúil agus pasfhocal, is féidir é a chomhtháthú freisin le haon soláthraí caighdeánaithe aitheantais OpenID Connect (OIDC). Is féidir le húsáideoirí logáil isteach i Firezone anois ag baint úsáide as a gcuid sonraí Okta, Google, Azure AD, nó soláthraí aitheantais phríobháideach.
Comhtháthaigh Soláthraí Cineálach OIDC
Taispeántar na paraiméadair chumraíochta a theastaíonn ó Firezone chun SSO a úsáid le soláthraí OIDC a cheadú sa sampla thíos. Ag /etc/firezone/firezone.rb, b'fhéidir go bhfaighidh tú an comhad cumraíochta. Rith firezone-ctl athchumrú agus firezone-ctl atosú chun an t-iarratas a nuashonrú agus éifeacht na n-athruithe a ghlacadh.
# Seo sampla a úsáideann Google agus Okta mar sholáthraí aitheantais SSO.
# Is féidir ilchumraíochtaí OIDC a chur leis an ásc Firezone céanna.
Is féidir le # Firezone VPN úsáideora a dhíchumasú má aimsítear aon earráid agus iarracht á déanamh
# chun a rochtain_token a athnuachan. Tá sé seo fíoraithe chun oibriú do Google, Okta, agus
# Azure SSO agus úsáidtear é chun VPN úsáideora a dhínascadh go huathoibríoch má bhaintear iad
# ón soláthraí OIDC. Fág é seo díchumasaithe má tá do sholáthraí OIDC
Tá saincheisteanna ag # chun comharthaí rochtana a athnuachan toisc go bhféadfadh sé cur isteach ar a
# seisiún VPN úsáideora.
réamhshocrú['firezone']['fíordheimhnithe']['disable_vpn_on_oidc_error'] = bréagach
réamhshocrú['firezone']['fíordheimhnithe']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ ”,
client_secret : “ ”,
athsheolaidh_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: "cód",
raon feidhme: “próifíl ríomhphoist oscailte”,
lipéad: “Google”
},
ceart go leor: {
discovery_document_uri : “ https:// /.well-known/openid-configuration”,
client_id: “ ”,
client_secret : “ ”,
athsheolaidh_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: "cód",
scóip: “próifíl ríomhphoist oscailte offline_access”,
lipéad: "Okta"
}
}
Tá na socruithe cumraíochta seo a leanas riachtanach don chomhtháthú:
Cruthaítear URL deas comhfhreagrach do gach soláthraí OIDC chun é a atreorú chuig URL sínithe isteach an tsoláthraí cumraithe. Mar shampla cumraíocht OIDC thuas, is iad na URLanna:
Soláthraithe a bhfuil doiciméadú againn dóibh:
Má tá nascóir cineálach OIDC ag do sholáthraí aitheantais agus nach bhfuil sé liostaithe thuas, téigh chuig a dhoiciméadú chun faisnéis a fháil faoi conas na socruithe cumraíochta riachtanacha a aisghabháil.
Is féidir an socrú faoi shocruithe/slándáil a athrú chun athfhíordheimhniú tréimhsiúil a éileamh. Is féidir é seo a úsáid chun an ceanglas a fhorfheidhmiú go dtéann úsáideoirí isteach i Firezone ar bhonn rialta chun leanúint lena seisiún VPN.
Is féidir fad an tseisiúin a chumrú le bheith idir uair an chloig agus nócha lá. Trí é seo a shocrú mar Riamh, is féidir leat seisiúin VPN a chumasú am ar bith. Is é seo an caighdeán.
Ní mór d’úsáideoir deireadh a chur lena seisiún VPN agus logáil isteach ar thairseach Firezone chun seisiún VPN atá imithe in éag (URL a shonraítear le linn an imscartha) a athfhíordheimhniú.
Is féidir leat do sheisiún a fhíordheimhniú arís trí na treoracha beachta cliaint atá le fáil anseo a leanúint.
Stádas Ceangal VPN
Taispeánann colún tábla Nasc VPN an leathanaigh Úsáideoirí stádas ceangail úsáideora. Seo iad na stádais naisc:
CUMASAITHE - Tá an nasc cumasaithe.
FAOI MHÍCHUMAS - Tá an nasc díchumasaithe ag riarthóir nó teip athnuachana OIDC.
D' éag - Tá an nasc díchumasaithe mar gheall ar dhul in éag an fhíordheimhnithe nó nach bhfuil úsáideoir sínithe isteach den chéad uair.
Tríd an gcónascaire ginearálta OIDC, cumasaíonn Firezone Sign-On Aonair (SSO) le Google Workspace agus Cloud Identity. Taispeánfaidh an treoir seo duit conas na paraiméadair chumraíochta atá liostaithe thíos a fháil, atá riachtanach don chomhtháthú:
1. Scáileán Cumraíochta OAuth
Más é seo an chéad uair atá tú ag cruthú aitheantais cliant OAuth nua, iarrfar ort scáileán toilithe a chumrú.
* Roghnaigh Inmheánach le haghaidh cineál úsáideora. Cinntíonn sé seo nach féidir ach le cuntais a bhaineann le húsáideoirí i d'Eagraíocht Google Workspace cumraíochtaí gléis a chruthú. NÁ roghnaigh Seachtrach ach amháin má theastaíonn uait aon duine a bhfuil Cuntas Google bailí aige a chumasú chun cumraíochtaí gléis a chruthú.
Ar scáileán faisnéise an Aip:
2. Cruthaigh IDanna Cliant OAuth
Tá an chuid seo bunaithe ar dhoiciméadú Google féin ar socrú OAuth 2.0.
Tabhair cuairt ar an Google Cloud Console Leathanach dintiúir leathanach, cliceáil + Cruthaigh Dintiúir agus roghnaigh ID cliant OAuth.
Ar an scáileán cruthú aitheantais cliant OAuth:
Tar éis duit ID cliant OAuth a chruthú, tabharfar ID Cliant agus Rúnda Cliant duit. Úsáidfear iad seo in éineacht leis an URI atreoraithe sa chéad chéim eile.
Cuir /etc/firezone/firezone.rb na roghanna thíos a chur san áireamh:
# Google a úsáid mar sholáthraí aitheantais SSO
réamhshocrú['firezone']['fíordheimhnithe']['oidc'] = {
google: {
discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,
client_id: “ ”,
client_secret : “ ”,
athsheolaidh_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,
response_type: "cód",
raon feidhme: “próifíl ríomhphoist oscailte”,
lipéad: “Google”
}
}
Rith firezone-ctl athchumrú agus firezone-ctl atosú chun an feidhmchlár a nuashonrú. Ba cheart duit cnaipe Sínigh isteach le Google a fheiceáil anois ag an URL fhréamh Firezone.
Úsáideann Firezone an cónascaire cineálach OIDC chun Síniú Aonair (SSO) le Okta a éascú. Taispeánfaidh an teagasc seo duit conas na paraiméadair chumraíochta atá liostaithe thíos a fháil, atá riachtanach don chomhtháthú:
Tá an chuid seo den treoir bunaithe ar Doiciméadú Okta.
Sa Chonsól Riaracháin, téigh go dtí Feidhmchláir > Feidhmchláir agus cliceáil Cruthaigh Comhtháthú Aipeanna. Socraigh modh síniú isteach chuig OICD – OpenID Connect agus Cineál Feidhmchláir le feidhmchlár Gréasáin.
Cumraigh na socruithe seo:
Nuair a bheidh socruithe sábháilte, tabharfar ID Cliant, Rúnda an Chliaint agus Fearann Okta duit. Úsáidfear na 3 luach seo i gCéim 2 chun Firezone a chumrú.
Cuir /etc/firezone/firezone.rb na roghanna thíos a chur san áireamh. Do fionnachtain_doiciméad_url Beidh /.well-known/openid-configuration i gceangal leis an deireadh do okta_domain.
# Okta a úsáid mar sholáthraí aitheantais SSO
réamhshocrú['firezone']['fíordheimhnithe']['oidc'] = {
ceart go leor: {
discovery_document_uri : “ https:// /.well-known/openid-configuration”,
client_id: “ ”,
client_secret : “ ”,
athsheolaidh_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,
response_type: "cód",
scóip: “próifíl ríomhphoist oscailte offline_access”,
lipéad: "Okta"
}
}
Rith firezone-ctl athchumrú agus firezone-ctl atosú chun an feidhmchlár a nuashonrú. Ba cheart duit cnaipe Sínigh isteach le Okta a fheiceáil anois ag an URL fhréamh Firezone.
Is féidir leis na húsáideoirí ar féidir leo rochtain a fháil ar an aip Firezone a bheith srianta ag Okta. Téigh chuig do leathanach Tascanna Comhtháthaithe Aipe Firezone App do Okta Admin Console chun é seo a bhaint amach.
Tríd an nascóir cineálach OIDC, cuireann Firezone ar chumas Síniú Aonair (SSO) le Azure Active Directory. Taispeánfaidh an lámhleabhar seo duit conas na paraiméadair chumraíochta atá liostaithe thíos a fháil, atá riachtanach don chomhtháthú:
Tá an treoir seo tarraingthe ó na Doiciméid Eolaire Gníomhach Azure.
Téigh go dtí leathanach Azure Active Directory ar thairseach Azure. Roghnaigh an rogha roghchlár Bainistigh, roghnaigh Clárú Nua, ansin cláraigh tríd an bhfaisnéis thíos a sholáthar:
Tar éis duit clárú, oscail radharc sonraí an iarratais agus cóipeáil an Aitheantas iarratais (cliant). Is é seo an luach cliant_id. Ansin, oscail an roghchlár críochphointí chun an roghchlár a fháil Doiciméad meiteashonraí OpenID Connect. Is é seo an luach discovery_document_uri.
Cruthaigh rún cliant nua trí chliceáil ar an rogha Deimhnithe & rúin faoin roghchlár Bainistigh. Cóipeáil an rún cliant; beidh an luach rúnda cliant seo.
Ar deireadh, roghnaigh an nasc ceadanna API faoin roghchlár Bainistigh, cliceáil Cuir cead leis, agus roghnaigh Graf Microsoft, Cuir ríomhphost, oscailte, as líne_rochtain agus próifíl leis na ceadanna riachtanacha.
Cuir /etc/firezone/firezone.rb na roghanna thíos a chur san áireamh:
# Azure Active Directory a úsáid mar sholáthraí aitheantais SSO
réamhshocrú['firezone']['fíordheimhnithe']['oidc'] = {
azure: {
discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,
client_id: “ ”,
client_secret : “ ”,
athsheolaidh_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,
response_type: "cód",
scóip: “próifíl ríomhphoist oscailte offline_access”,
lipéad: "Azure"
}
}
Rith firezone-ctl athchumrú agus firezone-ctl atosú chun an feidhmchlár a nuashonrú. Ba cheart duit cnaipe Sínigh isteach le Azure a fheiceáil anois ag an URL fhréamh Firezone.
Cuireann Azure AD ar chumas riarthóirí rochtain aipe a theorannú do ghrúpa ar leith úsáideoirí laistigh de do chuideachta. Tá tuilleadh eolais ar conas é seo a dhéanamh le fáil i gcáipéisíocht Microsoft.
Baineann Firezone úsáid as Chef Omnibus chun tascanna a bhainistiú lena n-áirítear pacáistiú scaoilte, maoirseacht próisis, bainistíocht loga, agus go leor eile.
Is é cód Ruby an príomhchomhad cumraíochta, atá suite ag /etc/firezone/firezone.rb. Má atosaítear an t-athchumrú sudo firezone-ctl tar éis mionathruithe a dhéanamh ar an gcomhad seo, aithníonn Chef na hathruithe agus cuireann siad i bhfeidhm ar an gcóras oibriúcháin reatha iad.
Féach ar thagairt an chomhaid chumraíochta le haghaidh liosta iomlán d’athróga cumraíochta agus a gcur síos.
Is féidir do chás Firezone a bhainistiú tríd an crios tine-ctl ordú, mar a thaispeántar thíos. Teastaíonn réimír le formhór na bhfo-orduithe sudo.
root@demo:~# firezone-ctl
omnibus-ctl: ordú (fo-ordú)
Orduithe Ginearálta:
cleanse
Scrios * na sonraí crios tine * go léir, agus tosú ón tús.
cruthaigh-nó-athshocraigh-admin
Athshocraigh an pasfhocal don riarthóir le ríomhphost sonraithe de réir réamhshocraithe['firezone']['admin_email'] nó cruthaíonn sé riarthóir nua mura bhfuil an ríomhphost sin ann.
cabhrú
Priontáil an teachtaireacht cabhrach seo.
athchumrú
Athchumraigh an feidhmchlár.
athshocrú-líonra
Athshocraigh nftables, comhéadan WireGuard, agus tábla ródaithe ar ais go dtí réamhshocruithe Firezone.
seó-config
Taispeáin an chumraíocht a ghinfí trí athchumrú.
líonra teardown
Baintear comhéadan WireGuard agus tábla nftables firezone.
fórsa-teastas-athnuachan
Cuir i bhfeidhm athnuachan teastais anois fiú mura bhfuil sé imithe in éag.
stad-teastas-athnuachan
Baintear cronjob a dhéanann athnuachan ar dheimhnithe.
dhíshuiteáil
Déan na próisis go léir a mharú agus an maoirseoir próisis a dhíshuiteáil (caomhnófar na sonraí).
leagan
Taispeáin an leagan reatha de Firezone
Orduithe Bainistíochta Seirbhíse:
graceful-mharú
Déan iarracht stad galánta, ansin SIGKILL an grúpa próisis ar fad.
hup
Seol HUP chuig na seirbhísí.
int
Seol INT chuig na seirbhísí.
mharú
Seol na seirbhísí a mharú.
uair amháin
Tosaigh na seirbhísí má tá siad síos. Ná atosú iad má stopann siad.
atosú
Stop na seirbhísí má tá siad ag rith, ansin cuir tús leo arís.
seirbhís-liosta
Déan liosta de na seirbhísí go léir (tá seirbhísí cumasaithe le feiceáil le *.)
tús
Tosaigh seirbhísí má tá siad síos, agus atosú iad má stopann siad.
stádas
Taispeáin stádas na seirbhísí go léir.
stop a chur
Stop na seirbhísí, agus ná atosú iad.
eireaball
Féach ar logaí seirbhíse na seirbhísí cumasaithe go léir.
téarma
Seol TÉARM ar na seirbhísí.
usr1
Seol USR1 chuig na seirbhísí.
usr2
Seol USR2 chuig na seirbhísí.
Ní mór gach seisiún VPN a fhoirceannadh sula n-uasghrádaítear Firezone, rud a éilíonn freisin an Chomhéadain Gréasáin a dhúnadh síos. Sa chás go dtéann rud éigin mícheart le linn an uasghrádaithe, moltar dúinn uair an chloig a chur ar leataobh le haghaidh cothabhála.
Chun Firezone a fheabhsú, déan na bearta seo a leanas:
Má thagann aon fhadhbanna chun cinn, cuir in iúl dúinn le do thoil ticéad tacaíochta a chur isteach.
Tá roinnt athruithe briseadh agus modhnuithe cumraíochta i 0.5.0 nach mór aghaidh a thabhairt orthu. Faigh amach níos mó thíos.
Ní thacaíonn Nginx le paraiméadair an fhórsa SSL agus calafoirt neamh-SSL mar leagan 0.5.0. Toisc go bhfuil SSL ag teastáil ó Firezone chun oibriú, moltar dúinn an tseirbhís cuachta Nginx a bhaint trí réamhshocrú a shocrú['firezone']['nginx']['enabled'] = bréagach agus do sheachvótálaí droim ar ais a threorú chuig an aip Phoenix ar phort 13000 (de réir réamhshocraithe ).
Tugann 0.5.0 tacaíocht prótacal ACME isteach chun deimhnithe SSL a athnuachan go huathoibríoch leis an tseirbhís cuachta Nginx. Chun a chumasú,
Tá an fhéidearthacht rialacha a chur le cinn scríbe dúblacha imithe i Firezone 0.5.0. Aithneoidh ár script imirce na cásanna seo go huathoibríoch le linn uasghrádaithe go 0.5.0 agus ní choinneoidh sé ach na rialacha a bhfuil an riail eile mar cheann scríbe acu. Níl aon rud is gá duit a dhéanamh má tá sé seo ceart go leor.
Seachas sin, roimh uasghrádú a dhéanamh, molaimid do shraith rialacha a athrú chun fáil réidh leis na cásanna seo.
Baineann Firezone 0.5.0 tacaíocht don chumraíocht sean-stíl Okta agus Google SSO i bhfabhar na cumraíochta nua, níos solúbtha atá bunaithe ar OIDC.
Má tá aon chumraíocht agat faoi na heochracha réamhshocraithe['firezone']['fíordheimhnithe']['okta'] nó réamhshocraithe['firezone']['fíordheimhniú']['google'], ní mór duit iad seo a aistriú chuig ár OIDC -bhunaithe cumraíocht ag baint úsáide as an treoir thíos.
Cumraíocht Google OAuth reatha
Bain na línte seo ina bhfuil na seanchumraíochtaí Google OAuth de do chomhad cumraíochta atá suite ag /etc/firezone/firezone.rb
réamhshocrú['firezone']['fíordheimhnithe']['google']['cumasaithe']
réamhshocrú['firezone']['fíordheimhnithe']['google']['client_id']
réamhshocrú['firezone']['fíordheimhnithe']['google']['client_secret']
réamhshocrú['firezone']['fíordheimhnithe']['google']['redirect_uri']
Ansin, cumraigh Google mar sholáthraí OIDC trí na nósanna imeachta anseo a leanúint.
(Cuir treoracha naisc ar fáil)<<<<<<<<<<<<<<<
Cumraigh Google OAuth atá ann cheana
Bain na línte seo ina bhfuil na seanchumraíochtaí Okta OAuth ó do chomhad cumraíochta atá suite ag /etc/firezone/firezone.rb
réamhshocrú['firezone']['fíordheimhnithe']['okta']['cumasaithe']
réamhshocrú['firezone']['fíordheimhnithe']['okta']['client_id']
réamhshocrú['firezone']['fíordheimhnithe']['okta']['client_secret']
Réamhshocrú['firezone']['fíordheimhnithe']['okta']['site']
Ansin, cumraigh Okta mar sholáthraí OIDC trí na nósanna imeachta anseo a leanúint.
Ag brath ar do shocrú agus leagan reatha, cloí leis na treoracha thíos:
Má tá comhtháthú OIDC agat cheana féin:
I gcás roinnt soláthraithe OIDC, tá gá le huasghrádú go >= 0.3.16 comhartha athnuachana a fháil don raon feidhme rochtana as líne. Trí seo a dhéanamh, déantar deimhin de go nuashonraíonn Firezone leis an soláthraí aitheantais agus go stoptar an nasc VPN tar éis d’úsáideoir a bheith scriosta. Bhí an ghné seo in easnamh ar atrialltaí níos luaithe Firezone. I gcásanna áirithe, d’fhéadfadh go mbeadh úsáideoirí a scriostar ó do sholáthraí aitheantais fós nasctha le VPN.
Is gá rochtain as líne a áireamh i bparaiméadar raon feidhme do chumraíochta OIDC do sholáthraithe OIDC a thacaíonn leis an raon feidhme rochtana as líne. Ní mór athchumrú Firezone-ctl a fhorghníomhú chun athruithe a chur i bhfeidhm ar an gcomhad cumraíochta Firezone, atá suite ag /etc/firezone/firezone.rb.
Maidir le húsáideoirí atá fíordheimhnithe ag do sholáthraí OIDC, feicfidh tú an ceannteideal Connections OIDC ar leathanach sonraí úsáideora an Chomhéadain Gréasáin má tá Firezone in ann an comhartha athnuachana a fháil go rathúil.
Mura n-oibríonn sé seo, beidh ort d'aip OAuth atá ann cheana a scriosadh agus na céimeanna socraithe OIDC a athdhéanamh comhtháthú app nua a chruthú .
Tá comhtháthú OAuth reatha agam
Roimh 0.3.11, d'úsáid Firezone soláthraithe OAuth2 réamhchumraithe.
Lean na treoracha anseo dul ar imirce go OIDC.
Níl soláthraí aitheantais comhtháite agam
Níl gá le gníomh.
Is féidir leat na treoracha a leanúint anseo chun SSO a chumasú trí sholáthraí OIDC.
Ina áit, tá an réamhshocrú['firezone']['external url'] curtha in ionad na rogha cumraíochta['firezone']['fqdn'].
Socraigh é seo chuig URL do thairseach ar líne Firezone a bhfuil rochtain ag an bpobal i gcoitinne air. Beidh sé réamhshocraithe chuig https:// mar aon leis an FQDN de do fhreastalaí má fhágtar gan sainmhíniú.
Tá an comhad cumraíochta suite ag /etc/firezone/firezone.rb. Féach ar thagairt an chomhaid chumraíochta le haghaidh liosta iomlán d’athróga cumraíochta agus a gcur síos.
Ní choimeádann Firezone eochracha príobháideacha gléis ar an bhfreastalaí Firezone a thuilleadh ón leagan 0.3.0.
Ní cheadóidh Chomhéadain Gréasáin Firezone duit na cumraíochtaí seo a athíoslódáil nó a fheiceáil, ach ba cheart go leanfadh aon ghléas atá ann cheana ag oibriú mar atá.
Má tá tú ag uasghrádú ó Firezone 0.1.x, tá roinnt athruithe comhaid cumraíochta nach mór aghaidh a thabhairt orthu de láimh.
Chun na modhnuithe riachtanacha a dhéanamh ar do chomhad /etc/firezone/firezone.rb, reáchtáil na horduithe thíos mar fhréamh.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/ \['cumasaithe'\]/\['cumasaithe'\]/” /etc/firezone/firezone.rb
macalla “réamhshocraithe['firezone']['connectivity_checks']['cumasaithe'] = fíor" >> /etc/firezone/firezone.rb
macalla “réamhshocraithe['firezone']['connectivity_checks']['eatramh'] = 3_600” >> /etc/firezone/firezone.rb
athchumrú firezone-ctl
atosú firezone-ctl
Céim ciallmhar is ea logaí Firezone a sheiceáil le haghaidh aon cheisteanna a d’fhéadfadh tarlú.
Rith eireaball sudo firezone-ctl chun na logaí Firezone a fheiceáil.
Is de bharr rialacha iptable nó nftables neamh-chomhoiriúnacha a eascraíonn formhór na bhfadhbanna nascachta le Firezone. Ní mór duit a chinntiú nach dtagann aon rialacha atá agat i bhfeidhm in aghaidh rialacha Firezone.
Bí cinnte go gceadaíonn an slabhra FORWARD paicéid ó do chliaint WireGuard chuig na láithreacha ar mhaith leat a ligean trí Firezone má thagann meath ar do nascacht Idirlín gach uair a ghníomhaíonn tú do thollán WireGuard.
Is féidir é seo a bhaint amach má tá ufw á úsáid agat trína chinntiú go gceadaítear an méid seo a leanas leis an mbeartas ródaithe réamhshocraithe:
ubuntu@fz:~$ sudo ufw default allowed
Athraíodh an polasaí réamhshocraithe go 'ceadaigh'
(Bí cinnte do rialacha a nuashonrú dá réir)
A WOW seans go mbeadh cuma mar seo ar stádas gnáthfhreastalaí Firezone:
ubuntu@fz:~$ sudo ufw status verbose
Stádas: gníomhach
Logáil: ar (íseal)
Réamhshocrú: diúltaigh (ag teacht isteach), ceadaigh (amach), ceadaigh (rothaíodh)
Próifílí nua: skip
Go Gníomh Ó
— —— —-
22/tcp CEADAIGH IN Áit ar bith
80/tcp CEADAIGH IN Áit ar bith
443/tcp CEADAIGH IN Áit ar bith
51820/udp CEADAIGH IN Áit ar bith
22/tcp (v6) CEADAIGH IN Áit ar bith (v6)
80/tcp (v6) CEADAIGH IN Áit ar bith (v6)
443/tcp (v6) CEADAIGH IN Áit ar bith (v6)
51820/udp (v6) CEADAIGH IN Áit ar bith (v6)
Molaimid rochtain ar an gcomhéadan gréasáin a theorannú le haghaidh imscaradh táirgeachta atá thar a bheith íogair agus ríthábhachtach ó thaobh misean de, mar a mhínítear thíos.
seirbhís | Port Réamhshocraithe | Éist Seoladh | Tuairisc |
Nginx | 80, 443 | gach | Port poiblí HTTP(S) chun Firezone a riar agus chun fíordheimhniú a éascú. |
Sreangán | 51820 | gach | Port WireGuard poiblí a úsáidtear le haghaidh seisiúin VPN. (UDP) |
postgresql | 15432 | 127.0.0.1 | Port áitiúil amháin a úsáidtear le haghaidh freastalaí Postgresql cuachta. |
An Fhionnuisce | 13000 | 127.0.0.1 | Port áitiúil amháin a úsáideann freastalaí aip elixir in aghaidh an tsrutha. |
Molaimid duit smaoineamh ar rochtain ar Chomhéadain Ghréasáin nochta poiblí Firezone a shrianadh (de réir calafoirt réamhshocraithe 443/tcp agus 80/tcp) agus ina ionad sin úsáid a bhaint as tollán WireGuard chun Firezone a bhainistiú le haghaidh táirgeadh agus imscaradh poiblí, áit a mbeidh riarthóir amháin i gceannas. na cumraíochtaí gléas a chruthú agus a dháileadh ar úsáideoirí deiridh.
Mar shampla, dá gcruthódh riarthóir cumraíocht gléas agus má chruthaigh sé tollán leis an seoladh áitiúil WireGuard 10.3.2.2, chuirfeadh an chumraíocht ufw seo a leanas ar chumas an riarthóir rochtain a fháil ar Chomhéadain Gréasáin Firezone ar chomhéadan wg-firezone an fhreastalaí ag baint úsáide as an réamhshocrú 10.3.2.1 seoladh tolláin:
root@demo:~# ufw status verbose
Stádas: gníomhach
Logáil: ar (íseal)
Réamhshocrú: diúltaigh (ag teacht isteach), ceadaigh (amach), ceadaigh (rothaíodh)
Próifílí nua: skip
Go Gníomh Ó
— —— —-
22/tcp CEADAIGH IN Áit ar bith
51820/udp CEADAIGH IN Áit ar bith
Áit ar bith CEADAIGH IN 10.3.2.2
22/tcp (v6) CEADAIGH IN Áit ar bith (v6)
51820/udp (v6) CEADAIGH IN Áit ar bith (v6)
Ní fhágfadh sé seo ach 22/tcp nochta do rochtain SSH chun an freastalaí a bhainistiú (roghnach), agus 51820/udp nochta d'fhonn tolláin WireGuard a bhunú.
Déanann Firezone freastalaí Postgresql agus meaitseáil psql áirgiúlacht is féidir a úsáid as an bhlaosc áitiúil mar seo:
/opt/firezone/leabaithe/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “SQL_STATEMENT”
Féadfaidh sé seo a bheith ina chuidiú chun críocha dífhabhtaithe.
Tascanna Coitianta:
Gach úsáideoir á liostú:
/opt/firezone/leabaithe/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “SELECT * Ó úsáideoirí;”
Gach gléas á liostú:
/opt/firezone/leabaithe/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “SELECT *Ó feistí;”
Athraigh ról úsáideora:
Socraigh an ról mar 'riarachán' nó 'gan phribhléid':
/opt/firezone/leabaithe/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c “UPDATE users SET role = 'admin' WHERE email = 'user@example.com';”
Cúltaca an bhunachar sonraí:
Ina theannta sin, tá an clár dumpála pg san áireamh, ar féidir é a úsáid chun cúltacaí rialta a dhéanamh den bhunachar sonraí. Rith an cód seo a leanas chun cóip den bhunachar sonraí a dhumpáil san fhormáid choiteann iarratais SQL (cuir an áit inar cheart an comhad SQL a chruthú in ionad /path/to/backup.sql):
/opt/firezone/leabaithe/bin/pg_dump \
-U firezone \
-d firezone \
-h localhost \
-p 15432 > /path/to/backup.sql
Tar éis do Firezone a bheith imlonnaithe go rathúil, ní mór duit úsáideoirí a chur leis chun rochtain a sholáthar dóibh ar do líonra. Úsáidtear an Chomhéadain Gréasáin chun é seo a dhéanamh.
Tríd an gcnaipe "Cuir Úsáideoir" a roghnú faoi / users, is féidir leat úsáideoir a chur leis. Beidh ort seoladh ríomhphoist agus pasfhocal a thabhairt don úsáideoir. Chun rochtain uathoibríoch a thabhairt d’úsáideoirí i d’eagraíocht, is féidir le Firezone comhéadan agus sioncronú a dhéanamh le soláthraí aitheantais. Tá tuilleadh sonraí ar fáil i Fíordheimhniú. < Cuir nasc le Fíordheimhnigh
Molaimid iarraidh ar úsáideoirí a gcuid cumraíochtaí gléis féin a chruthú ionas nach mbeidh ach an eochair phríobháideach le feiceáil acu. Is féidir le húsáideoirí a gcuid cumraíochtaí gléas féin a ghiniúint trí na treoracha ar an Treoracha Cliant leathanach.
Is féidir le riarthóirí Firezone gach cumraíocht gléas úsáideora a chruthú. Ar an leathanach próifíle úsáideora atá suite ag /users, roghnaigh an rogha “Cuir Gléas leis” chun é seo a bhaint amach.
[Cuir isteach gabháil scáileáin]
Is féidir leat an comhad cumraíochta WireGuard a ríomhphost chuig an úsáideoir tar éis próifíl an ghléis a chruthú.
Tá úsáideoirí agus gléasanna nasctha. Le haghaidh tuilleadh sonraí ar conas úsáideoir a chur leis, féach Cuir Úsáideoirí Cuir.
Trí úsáid a bhaint as córas glanscagaire na heithne, cuireann Firezone ar chumas cumais scagtha éalaithe chun paicéid DROP nó ACCEPT a shonrú. De ghnáth ceadaítear gach trácht.
Tacaítear le IPv4 agus IPv6 CIDR agus seoltaí IP tríd an Liosta Cheadaithe agus an Diúltaigh, faoi seach. Is féidir leat rogha a dhéanamh raon feidhme a thabhairt d’úsáideoir agus é á chur leis, a chuireann an riail i bhfeidhm ar fheistí uile an úsáideora sin.
Suiteáil agus cumrú
Chun nasc VPN a bhunú ag baint úsáide as an gcliant dúchais WireGuard, déan tagairt don treoir seo.
Tá na cliaint Oifigiúla WireGuard atá lonnaithe anseo comhoiriúnach do Firezone:
Tabhair cuairt ar láithreán gréasáin oifigiúil WireGuard ag https://www.wireguard.com/install/ le haghaidh córais OS nach bhfuil luaite thuas.
Is féidir le do riarthóir Firezone nó tú féin an comhad cumraíochta gléis a ghiniúint trí úsáid a bhaint as tairseach Firezone.
Tabhair cuairt ar an URL a sholáthair do riarthóir Firezone chun comhad cumraíochta gléis a ghiniúint féin. Beidh URL uathúil ag do ghnólacht chuige seo; sa chás seo, is é https://instance-id.yourfirezone.com.
Logáil isteach ar Firezone Okta SSO
[Cuir isteach Gabháil Scáileáin]
Iompórtáil an comhad the.conf isteach sa chliant WireGuard trína oscailt. Tríd an lasc Activate a smeach, is féidir leat seisiún VPN a thosú.
[Cuir isteach Gabháil Scáileáin]
Lean na treoracha thíos má tá fíordheimhniú athfhillteach sainordaithe ag do riarthóir líonra chun do nasc VPN a choinneáil gníomhach.
Ag teastáil uait:
URL na tairsí Firezone: Iarr ar do riarthóir líonra an nasc a dhéanamh.
Ba cheart go mbeadh do riarthóir líonra in ann do logáil isteach agus do phasfhocal a thairiscint. Tabharfaidh láithreán Firezone leid duit logáil isteach ag baint úsáide as an tseirbhís sínithe isteach aonair a úsáideann d'fhostóir (mar Google nó Okta).
[Cuir isteach Gabháil Scáileáin]
Téigh go dtí URL na tairsí Firezone agus logáil isteach ag baint úsáide as na dintiúir a chuir do riarthóir líonra ar fáil. Má tá tú sínithe isteach cheana féin, cliceáil ar an gcnaipe Reauthenticate roimh síniú isteach arís.
[Cuir isteach Gabháil Scáileáin]
[Cuir isteach Gabháil Scáileáin]
Chun próifíl chumraíochta WireGuard a allmhairiú ag baint úsáide as CLI Network Manager ar fheistí Linux, lean na treoracha seo (nmcli).
Má tá tacaíocht IPv6 cumasaithe ag an bpróifíl, seans go dteipfidh ar iarracht an comhad cumraíochta a iompórtáil ag baint úsáide as GUI an Bhainisteora Líonra leis an earráid seo a leanas:
ipv6.method: ní thacaítear leis an modh “auto” do WireGuard
Is gá na fóntais spáis úsáideora WireGuard a shuiteáil. Pacáiste a bheidh anseo ar a dtugtar garda sreinge nó uirlisí garda sreinge le haghaidh dáiltí Linux.
Le haghaidh Ubuntu/Debian:
sudo apt garda sreang a shuiteáil
Chun Fedora a úsáid:
sudo dnf shuiteáil wireguard-uirlisí
Arch Linux:
sudo pacman -S wireguard-uirlisí
Tabhair cuairt ar láithreán gréasáin oifigiúil WireGuard ag https://www.wireguard.com/install/ le haghaidh dáiltí nach bhfuil luaite thuas.
Is féidir le do riarthóir Firezone nó do fhéinghiniúint an comhad cumraíochta gléis a ghiniúint trí úsáid a bhaint as tairseach Firezone.
Tabhair cuairt ar an URL a sholáthair do riarthóir Firezone chun comhad cumraíochta gléis a ghiniúint féin. Beidh URL uathúil ag do ghnólacht chuige seo; sa chás seo, is é https://instance-id.yourfirezone.com.
[Cuir isteach Gabháil Scáileáin]
Iompórtáil an comhad cumraíochta soláthraithe ag baint úsáide as nmcli:
sudo nmcli nasc allmhairiú cineál garda sreinge comhad /path/to/configuration.conf
Comhfhreagróidh ainm an chomhaid chumraíochta don nasc/comhéadan WireGuard. Tar éis iompórtáil, is féidir an nasc a athainmniú más gá:
nasc nmcli modhnaigh [seanainm] connection.id [ainm nua]
Tríd an líne ordaithe, ceangail leis an VPN mar a leanas:
nasc nmcli suas [ainm vpn]
Le dícheangal:
nasc nmcli síos [ainm vpn]
Is féidir feidhmchláirín an Bhainisteora Líonra is infheidhme a úsáid freisin chun an nasc a bhainistiú má tá GUI in úsáid.
Trí “tá” a roghnú don rogha uathcheangail, is féidir an nasc VPN a chumrú chun nascadh go huathoibríoch:
nasc nmcli modhnaigh [vpn name] nasc. Ḃí ḟios ag aoinne ċoṁ maiṫ
autoconnect tá
Chun an nasc uathoibríoch a dhíchumasú, cuir ar ais chuig aon:
nasc nmcli modhnaigh [vpn name] nasc.
uathcheangal uimh
Chun MFA a ghníomhachtú Téigh go dtí leathanach mfa na tairsí Firezone/cuntas úsáideora/cláraigh. Bain úsáid as d'aip fíordheimhnitheora chun an cód QR a scanadh tar éis é a ghiniúint, ansin cuir isteach an cód sé dhigit.
Déan teagmháil le do Riarthóir chun faisnéis rochtana do chuntais a athshocrú má chuireann tú d'aip fíordheimhnitheora amú.
Siúlfaidh an teagasc seo tú tríd an bpróiseas chun gné tollánaithe scoilte WireGuard a bhunú le Firezone ionas nach gcuirfear ach trácht chuig raonta IP ar leith ar aghaidh tríd an bhfreastalaí VPN.
Tá na raonta IP dá stiúrfaidh an cliant trácht líonra leagtha amach sa réimse IPanna Ceadaithe atá suite ar an leathanach /settings/default. Ní bheidh tionchar ag athruithe ar an réimse seo ach ar na cumraíochtaí tolláin WireGuard nuachruthaithe arna dtáirgeadh ag Firezone.
[Cuir isteach Gabháil Scáileáin]
Is é an luach réamhshocraithe ná 0.0.0.0/0, ::/0, a thugann gach trácht líonra ón gcliant chuig an bhfreastalaí VPN.
I measc samplaí de luachanna sa réimse seo tá:
0.0.0.0/0, ::/0 – cuirfear gach trácht líonra chuig an bhfreastalaí VPN.
192.0.2.3/32 – ní dhéanfar ach trácht chuig seoladh IP amháin a chur chuig an bhfreastalaí VPN.
3.5.140.0/22 - ní dhéanfar ach trácht chuig IPanna sa raon 3.5.140.1 - 3.5.143.254 a chur chuig an bhfreastalaí VPN. Sa sampla seo, baineadh úsáid as an raon CIDR don réigiún ap-oirthuaisceart-2 AWS.
Roghnaíonn Firezone an comhéadan éalaithe a bhaineann leis an mbealach is beaichte ar dtús agus cinneadh á dhéanamh cén áit ar cheart paicéad a sheoladh.
Ní mór d'úsáideoirí na comhaid cumraíochta a athghiniúint agus iad a chur lena gcliant WireGuard dúchais chun feistí úsáideora atá ann cheana a nuashonrú leis an gcumraíocht tollán scoilte nua.
Le haghaidh treoracha, féach cuir gléas leis. <<<<<<<<< Cuir nasc
Léireoidh an lámhleabhar seo conas dhá fheiste a nascadh le Firezone mar athsheachadán. Gnáthchás úsáide amháin is ea cur ar chumas riarthóir rochtain a fháil ar fhreastalaí, ar choimeádán nó ar mheaisín atá cosanta ag NAT nó balla dóiteáin.
Léiríonn an léaráid seo cás simplí ina dtógann Feistí A agus B tollán.
[Cuir isteach pictiúr ailtireachta firezone]
Tosaigh le Gléas A agus Gléas B a chruthú trí nascleanúint a dhéanamh chuig /users/[user_id]/new_device. Sna socruithe do gach feiste, cinntigh go bhfuil na paraiméadair seo a leanas socraithe de réir na luachanna atá liostaithe thíos. Is féidir leat socruithe gléis a shocrú agus cumraíocht an ghléis á chruthú (féach Cuir Gléasanna leis). Más gá duit socruithe a nuashonrú ar ghléas atá ann cheana féin, is féidir leat é sin a dhéanamh trí chumraíocht gléis nua a ghiniúint.
Tabhair faoi deara go bhfuil leathanach /settings/defaults ag gach gléas inar féidir PersistentKeepalive a chumrú.
CeadaitheIPanna = 10.3.2.2/32
Is é seo IP nó raon IPanna Gléas B
SeasmhachKeepalive=25
Má tá an gléas taobh thiar de NAT, cinntíonn sé seo go bhfuil an gléas in ann an tollán a choinneáil beo agus leanúint ar aghaidh ag fáil paicéid ón gcomhéadan WireGuard. De ghnáth is leor luach 25, ach seans go mbeidh ort an luach seo a laghdú ag brath ar do thimpeallacht.
CeadaitheIPanna = 10.3.2.3/32
Is é seo IP nó raon IPanna Gléas A
SeasmhachKeepalive=25
Léiríonn an sampla seo cás inar féidir le Feiste A cumarsáid a dhéanamh le Gléasanna B trí D sa dá threo. Is féidir leis an socrú seo ionadaíocht a dhéanamh ar innealtóir nó riarthóir a bhfuil rochtain aige ar acmhainní iomadúla (freastalaithe, coimeádáin, nó meaisíní) thar líonraí éagsúla.
[Léaráid Ailtireachta]<<<<>
Bí cinnte go ndéantar na socruithe seo a leanas i socruithe gach feiste go dtí na luachanna comhfhreagracha. Agus cumraíocht an ghléis á cruthú, is féidir leat socruithe gléas a shonrú (féach Cuir Gléasanna leis). Is féidir cumraíocht ghléis nua a chruthú más gá socruithe ar ghléas atá ann cheana a nuashonrú.
CeadaitheIPanna = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Is é seo IP na bhfeistí B trí D. Ní mór IPanna Feistí B trí D a áireamh in aon raon IP a roghnaíonn tú a shocrú.
SeasmhachKeepalive=25
Cinntíonn sé seo gur féidir leis an bhfeiste an tollán a chothabháil agus leanúint ar aghaidh ag fáil paicéid ón gcomhéadan WireGuard fiú má tá sé cosanta ag NAT. I bhformhór na gcásanna, is leor luach 25, ach ag brath ar do thimpeallacht, b'fhéidir go mbeadh ort an figiúr seo a ísliú.
Chun IP aonair éalaithe statach a thairiscint do thrácht d’fhoireann go léir chun sileadh as, is féidir Firezone a úsáid mar gheata NAT. Baineann na cásanna seo le húsáid go minic:
Teagmhálacha Comhairliúcháin: Iarr ar do chustaiméir seoladh IP statach amháin a bhánú seachas IP gléas uathúil gach fostaí.
Seachfhreastalaí a úsáid nó do fhoinse IP a chumhdach chun críocha slándála nó príobháideachais.
Léireofar sa phostáil seo sampla simplí de theorannú rochtana ar fheidhmchlár gréasáin féin-óstaithe chuig IP statach bánliostaithe amháin a ritheann Firezone. Sa léiriú seo, tá Firezone agus an acmhainn chosanta i limistéir VPC éagsúla.
Is minic a úsáidtear an réiteach seo in ionad bánliosta IP a bhainistiú le haghaidh úsáideoirí deiridh iomadúla, rud a d’fhéadfadh a bheith am-íditheach de réir mar a théann an liosta rochtana i méid.
Is é an cuspóir atá againn ná freastalaí Firezone a bhunú ar chás EC2 chun trácht VPN a atreorú chuig an acmhainn shrianta. Sa chás seo, tá Firezone ag feidhmiú mar sheachvótálaí líonra nó mar gheata NAT chun IP sainiúil éalaithe poiblí a thabhairt do gach gléas nasctha.
Sa chás seo, tá ásc Firezone suiteáilte ar shampla EC2 darb ainm tc2.micro. Chun faisnéis a fháil faoi Firezone a imscaradh, téigh chuig an Treoir Imlonnaithe. Maidir le AWS, bí cinnte:
Ceadaíonn grúpa slándála shampla Firezone EC2 trácht amach chuig seoladh IP na hacmhainne cosanta.
Tagann an cás Firezone le IP leaisteach. Is é seo a bheidh mar fhoinse seoladh IP do thrácht a chuirtear ar aghaidh tríd an gcás Firezone chuig cinn scríbe lasmuigh. Is é an seoladh IP atá i gceist ná 52.202.88.54.
[Cuir isteach Gabháil Scáileáin]<<<<<<<<<<<<<<<<<<<<<<>
Feidhmíonn feidhmchlár gréasáin féin-óstach mar acmhainn chosanta sa chás seo. Ní féidir teacht ar an aip gréasáin ach amháin trí iarratais a thagann ón seoladh IP 52.202.88.54. Ag brath ar an acmhainn, is féidir go mbeadh sé riachtanach trácht isteach a cheadú ar chalafoirt agus ar chineálacha tráchta éagsúla. Níl sé seo clúdaithe sa lámhleabhar seo.
[Cuir isteach gabháil scáileáin]<<<<<<<<<<<<<<<<<<<<<<>
Abair le do thoil leis an tríú páirtí atá i bhfeighil na hacmhainne cosanta nach mór trácht ón IP statach a shainítear i gCéim 1 a cheadú (sa chás seo 52.202.88.54).
De réir réamhshocraithe, rachaidh an trácht úsáideora go léir tríd an bhfreastalaí VPN agus tiocfaidh sé ón IP statach a bhí cumraithe i gCéim 1 (sa chás seo 52.202.88.54). Mar sin féin, má tá tollánú scoilte cumasaithe, d'fhéadfadh go mbeadh gá le socruithe chun a chinntiú go bhfuil IP ceann scríbe na hacmhainne cosanta liostaithe i measc na IPanna Ceadaithe.
Taispeántar thíos liosta iomlán de na roghanna cumraíochta atá ar fáil i /etc/firezone/firezone.rb.
rogha | tuairisc | luach réamhshocraithe |
réamhshocrú['firezone']['external_url'] | URL a úsáidtear chun rochtain a fháil ar thairseach gréasáin an ásc Firezone seo. | “https://#{nód['fqdn'] || nód['óstainm']}" |
réamhshocrú['firezone']['config_directory'] | Eolaire barrleibhéil do chumraíocht Firezone. | /etc/firezone' |
réamhshocrú['firezone']['install_directory'] | Eolaire barrleibhéil chun Firezone a shuiteáil go. | /roghnaigh/crios tine' |
réamhshocrú['firezone']['app_directory'] | Eolaire barrleibhéil chun an feidhmchlár gréasáin Firezone a shuiteáil. | “#{nód['firezone']['install_directory']}/leabaithe/seirbhís/crios tine" |
réamhshocrú['firezone']['log_directory'] | Eolaire barrleibhéil do logaí Firezone. | /var/log/firezone' |
réamhshocrú['firezone']['var_directory'] | Eolaire barrleibhéil do chomhaid ama rite Firezone. | /var/opt/firezone' |
réamhshocrú['firezone']['úsáideoir'] | Ainm an úsáideora Linux gan phribhléid is leis an gcuid is mó de na seirbhísí agus na comhaid. | crios tine' |
réamhshocrú['firezone']['grúpa'] | Ainm an ghrúpa Linux is leis an gcuid is mó de na seirbhísí agus na comhaid. | crios tine' |
réamhshocrú['firezone']['admin_email'] | Seoladh ríomhphoist don úsáideoir tosaigh Firezone. | “firezone@localhost” |
réamhshocrú['firezone']['max_devices_per_user'] | An líon uasta feistí is féidir le húsáideoir a bheith aige. | 10 |
réamhshocraithe['firezone']['allow_unprivileged_device_management'] | Ligeann sé d'úsáideoirí neamh-riaracháin gléasanna a chruthú agus a scriosadh. | TRUE |
réamhshocrú['firezone']['allow_unprivileged_device_configuration'] | Ligeann sé d'úsáideoirí neamh-riaracháin cumraíochtaí gléis a mhodhnú. Nuair atá sé díchumasaithe, cuireann sé cosc ar úsáideoirí neamhphribhléideacha gach réimse gléas a athrú seachas ainm agus cur síos. | TRUE |
réamhshocrú['firezone']['egress_interface'] | Ainm an chomhéadain mar a n-imeoidh trácht tollánaithe. Mura bhfuil, úsáidfear an comhéadan bealaigh réamhshocraithe. | nialas |
réamhshocrú['firezone']['fips_enable'] | Cumasaigh nó díchumasaigh mód OpenSSL FIPs. | nialas |
réamhshocrú['firezone']['logáil']['cumasaithe'] | Cumasaigh nó díchumasaigh logáil trasna Firezone. Socraigh go bréagach chun an logáil a dhíchumasú go hiomlán. | TRUE |
réamhshocrú['fiontar']['ainm'] | Ainm a úsáideann an leabhar cócaireachta 'fiontar' Chef. | crios tine' |
réamhshocrú['firezone']['install_path'] | Suiteáil cosán a úsáideann leabhar cócaireachta 'fiontar' Chef. Ba chóir é a shocrú mar an gcéanna leis an install_directory thuas. | nód['firezone']['install_directory'] |
réamhshocrú['firezone']['sysvinit_id'] | Aitheantóir a úsáidtear in /etc/inittab. Ní mór seicheamh uathúil a bheith ann de 1-4 charachtar. | SUP' |
réamhshocrú['firezone']['fíordheimhnithe']['áitiúil']['cumasaithe'] | Cumasaigh nó díchumasaigh fíordheimhniú ríomhphoist/pasfhocal áitiúil. | TRUE |
réamhshocrú['firezone']['fíordheimhnithe']['auto_create_oidc_users'] | Cruthaigh go huathoibríoch úsáideoirí a shíníonn isteach ó OIDC den chéad uair. Díchumasaigh chun ligean d'úsáideoirí reatha amháin síniú isteach trí OIDC. | TRUE |
réamhshocrú['firezone']['fíordheimhnithe']['díchumasaigh_vpn_on_oidc_error'] | Díchumasaigh VPN úsáideora má aimsítear earráid agus é ag iarraidh a chomhartha OIDC a athnuachan. | FALSE |
réamhshocrú['firezone']['fíordheimhnithe']['oidc'] | Cumraíocht OpenID Connect, san fhormáid {"soláthraí" => [config…]} - Féach Doiciméadú OpenIDConnect le haghaidh samplaí cumraíochta. | {} |
réamhshocrú['firezone']['nginx']['cumasaithe'] | Cumasaigh nó díchumasaigh an freastalaí nginx cuachta. | TRUE |
réamhshocrú['firezone']['nginx']['ssl_port'] | Port éisteachta HTTPS. | 443 |
réamhshocrú['firezone']['nginx']['eolaire'] | Eolaire chun cumraíocht ósta fíorúil nginx a bhaineann le Firezone a stóráil. | “#{nód['firezone']['var_directory']}/nginx/etc" |
réamhshocrú['firezone']['nginx']['log_directory'] | Eolaire chun comhaid logála nginx a bhaineann le Firezone a stóráil. | “#{nód['firezone']['log_directory']}/nginx" |
réamhshocrú['firezone']['nginx']['log_rotation']['comhad_maxbytes'] | Méid comhaid inar féidir comhaid logála Nginx a rothlú. | 104857600 |
réamhshocraithe['firezone']['nginx']['log_rotation']['num_to_keep'] | Líon na gcomhad logála Firezone nginx atá le coinneáil roimh é a chaitheamh amach. | 10 |
réamhshocrú['firezone']['nginx']['log_x_forwarded_for'] | Cibé ar cheart Firezone nginx x-ar aghaidh-do cheanntásc a logáil. | TRUE |
réamhshocrú['firezone']['nginx']['hsts_header']['cumasaithe'] | TRUE | |
réamhshocrú['firezone']['nginx']['hsts_header']['cuir san áireamh_subdomains'] | Cumasaigh nó díchumasaigh áiríonn Fofhearainn don cheanntásc HSTS. | TRUE |
réamhshocrú['firezone']['nginx']['hsts_header']['max_age'] | Aois uasta don cheanntásc HSTS. | 31536000 |
réamhshocrú['firezone']['nginx']['redirect_to_canonical'] | Cibé ar cheart URLanna a atreorú chuig an FQDN canónach atá sonraithe thuas | FALSE |
réamhshocrú['firezone']['nginx']['taisce']['cumasaithe'] | Cumasaigh nó díchumasaigh an taisce Firezone nginx. | FALSE |
réamhshocraithe['firezone']['nginx']['taisce']['eolaire'] | Eolaire le haghaidh taisce Firezone nginx. | “#{nód['firezone']['var_directory']}/nginx/taisce” |
réamhshocrú['firezone']['nginx']['úsáideoir'] | Firezone nginx úsáideora. | nód['firezone']['úsáideoir'] |
réamhshocrú['firezone']['nginx']['grúpa'] | Grúpa firezone nginx. | nód['firezone']['grúpa'] |
réamhshocrú['firezone']['nginx']['dir'] | Eolaire cumraíochta nginx barrleibhéil. | nód['firezone']['nginx']['eolaire'] |
réamhshocrú['firezone']['nginx']['log_dir'] | Eolaire logála nginx barrleibhéil. | nód['firezone']['nginx']['log_directory'] |
réamhshocrú['firezone']['nginx']['pid'] | Suíomh le haghaidh comhad pid nginx. | “#{ nód['firezone']['nginx']['eolaire']}/nginx.pid” |
réamhshocrú['firezone']['nginx']['daemon_disable'] | Díchumasaigh mód deamhan nginx ionas gur féidir linn monatóireacht a dhéanamh air ina ionad sin. | TRUE |
réamhshocraithe['firezone']['nginx']['gzip'] | Cuir comhbhrú nginx gzip air nó as. | ar ' |
réamhshocrú['firezone']['nginx']['gzip_static'] | Cuir comhbhrú nginx gzip air nó as le haghaidh comhaid statacha. | as' |
réamhshocraithe['firezone']['nginx']['gzip_http_version'] | Leagan HTTP le húsáid chun freastal ar chomhaid statacha. | 1.0 ' |
réamhshocrú['firezone']['nginx']['gzip_comp_level'] | leibhéal comhbhrú nginx gzip. | 2 ' |
réamhshocrú['firezone']['nginx']['gzip_proxied'] | Cumasaítear nó díchumasaítear gzipping freagraí ar iarratais seachfhreastalaí ag brath ar an iarratas agus an fhreagairt. | aon' |
réamhshocrú['firezone']['nginx']['gzip_vary'] | Cumasaítear nó díchumasaítear an ceanntásc freagartha “Athraithe: Glac le hionchódú” a chur isteach. | as' |
réamhshocraithe['firezone']['nginx']['gzip_buffers'] | Socraíonn sé líon agus méid na maoláin a úsáidtear chun freagairt a chomhbhrú. Mura bhfuil nialas, úsáidtear nginx réamhshocraithe. | nialas |
réamhshocrú['firezone']['nginx']['gzip_types'] | Cineálacha MIME chun comhbhrú gzip a chumasú le haghaidh. | ['text/plain', 'text/css', 'app/x-javascript', 'text/xml', 'app/xml', 'app/rss+xml', 'app/atom+xml', ' téacs/javascript', 'iarratas/javascript', 'iarratas/json'] |
réamhshocraithe['firezone']['nginx']['gzip_min_length'] | Íosfhad comhaid chun comhbhrú comhaid gzip a chumasú le haghaidh. | 1000 |
réamhshocrú['firezone']['nginx']['gzip_disable'] | Comhoiriúnóir úsáideora-ghníomhaire chun comhbhrú gzip a dhíchumasú le haghaidh. | MSIE [1-6]\.' |
réamhshocrú['firezone']['nginx']['keepalive'] | Gníomhachtaigh an taisce chun ceangal le freastalaithe in aghaidh an tsrutha. | ar ' |
réamhshocrú['firezone']['nginx']['keepalive_timeout'] | Teorainn ama i soicindí le haghaidh nasc coimeádta le freastalaithe réamhtheachtacha. | 65 |
réamhshocrú['firezone']['nginx']['worker_processes'] | Líon próisis oibrithe nginx. | nód['cpu'] && nód['cpu']['iomlán'] ? nód['cpu']['iomlán'] :1 |
réamhshocrú['firezone']['nginx']['worker_connections'] | An líon uasta nasc comhuaineach is féidir a oscailt le próiseas oibrithe. | 1024 |
réamhshocrú['firezone']['nginx']['worker_rlimit_nofile'] | Athraíonn sé an teorainn ar an líon uasta comhad oscailte do phróisis oibrithe. Úsáideann sé réamhshocrú nginx más nialas. | nialas |
réamhshocrú['firezone']['nginx']['multi_accept'] | Cibé ar cheart d’oibrithe glacadh le nasc amháin ag an am nó níos mó. | TRUE |
réamhshocrú['firezone']['nginx']['imeacht'] | Sonraítear an modh próiseála nasc le húsáid laistigh de chomhthéacs imeachtaí nginx. | eol' |
réamhshocrú['firezone']['nginx']['server_tokens'] | Cumasaíonn nó díchumasaítear leagan nginx astaithe ar leathanaigh earráide agus sa réimse ceanntásca freagartha “Freastalaí”. | nialas |
réamhshocrú['firezone']['nginx']['server_names_hash_bucket_size'] | Socraíonn sé méid an bhuicéid le haghaidh táblaí hash ainmneacha an fhreastalaí. | 64 |
réamhshocrú['firezone']['nginx']['sendfile'] | Cumasaítear nó díchumasaítear úsáid an chomhad seolta nginx(). | ar ' |
réamhshocraithe['firezone']['nginx']['access_log_options'] | Socraíonn sé roghanna logála rochtana nginx. | nialas |
réamhshocrú['firezone']['nginx']['error_log_options'] | Socraíonn sé roghanna logála earráide nginx. | nialas |
réamhshocrú['firezone']['nginx']['disable_access_log'] | Díchumasaítear logáil rochtana nginx. | FALSE |
réamhshocrú['firezone']['nginx']['types_hash_max_size'] | cineálacha nginx hash max méid. | 2048 |
réamhshocrú['firezone']['nginx']['types_hash_bucket_size'] | cineálacha nginx méid buicéad hash. | 64 |
réamhshocrú['firezone']['nginx']['proxy_read_timeout'] | Teorainn ama léite seachfhreastalaí nginx. Socraigh go nialas chun réamhshocrú nginx a úsáid. | nialas |
réamhshocrú['firezone']['nginx']['client_body_buffer_size'] | nginx méid maolán comhlacht cliant. Socraigh go nialas chun réamhshocrú nginx a úsáid. | nialas |
réamhshocrú['firezone']['nginx']['client_max_body_size'] | nginx cliant max méid comhlacht. | 250m' |
réamhshocrú['firezone']['nginx']['default']['modúil'] | Sonraigh modúil nginx breise. | [] |
réamhshocrú['firezone']['nginx'][ 'enable_rate_limiting'] | Cumasaigh nó díchumasaigh teorannú ráta nginx. | TRUE |
réamhshocrú['firezone']['nginx']['rate_limiting_zone_name'] | Ainm crios teorannaithe ráta Nginx. | crios tine' |
réamhshocrú['firezone']['nginx']['rate_limiting_backoff'] | Ráta Nginx ag teorannú aisíocaíocht. | 10m' |
réamhshocrú['firezone']['nginx']['rate_limit'] | Teorainn ráta Nginx. | 10r/s' |
réamhshocrú['firezone']['nginx']['ipv6'] | Lig do nginx éisteacht le hiarratais HTTP le haghaidh IPv6 chomh maith le IPv4. | TRUE |
réamhshocrú['firezone']['postgresql']['cumasaithe'] | Cumasaigh nó díchumasaigh Postgresql cuachta. Socraigh go bréagach agus líon isteach na roghanna bunachar sonraí thíos chun do shampla Postgresql féin a úsáid. | TRUE |
réamhshocrú['firezone']['postgresql']['ainm úsáideora'] | Ainm úsáideora le haghaidh Postgresql. | nód['firezone']['úsáideoir'] |
réamhshocrú['firezone']['postgresql']['data_directory'] | Eolaire sonraí postgresql. | “#{nód['firezone']['var_directory']}/postgresql/13.3/sonraí" |
réamhshocrú['firezone']['postgresql']['log_directory'] | Eolaire logáil postgresql. | “#{nód['firezone']['log_directory']}/postgresql" |
réamhshocrú['firezone']['postgresql']['log_rotation']['comhad_maxbytes'] | Uasmhéid comhaid logála Postgresql sula rothlaíonn sé. | 104857600 |
réamhshocrú['firezone']['postgresql']['log_rotation']['num_to_keep'] | Líon na gcomhad logála Postgresql le coinneáil. | 10 |
réamhshocrú['firezone']['postgresql']['seicphointe_completion_target'] | Sprioc críochnaithe seicphointe Postgresql. | 0.5 |
réamhshocrú['firezone']['postgresql']['seicphointe_segments'] | Líon na ndeighleoga seicphointe Postgresql. | 3 |
réamhshocrú['firezone']['postgresql']['seicphointe_am istigh'] | Teorainn ama seicphointe Postgresql. | 5 nóiméad |
réamhshocrú['firezone']['postgresql']['seicphointe_rabhadh'] | Am rabhaidh seicphointe Postgresql i soicindí. | 30í' |
réamhshocrú['firezone']['postgresql']['éifeachtach_cache_size'] | Méid éifeachtach taisce Postgresql. | 128MB' |
réamhshocrú['firezone']['postgresql']['listen_address'] | Seoladh éisteachta postgresql. | 127.0.0.1 ' |
réamhshocrú['firezone']['postgresql']['max_connections'] | Naisc postgresql max. | 350 |
réamhshocrú['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDR chun md5 auth a cheadú. | ['127.0.0.1/32', '::1/128'] |
réamhshocrú['firezone']['postgresql']['port'] | Postgresql port éisteacht. | 15432 |
réamhshocrú['firezone']['postgresql']['shared_buffers'] | Méid maoláin roinnte Postgresql. | “#{(nód['cuimhne']['iomlán'].to_i / 4) / 1024}MB" |
réamhshocrú['firezone']['postgresql']['shmmax'] | Postgresql shmmax i mbeart. | 17179869184 |
réamhshocrú['firezone']['postgresql']['shmall'] | Postgresql shmall i mbeart. | 4194304 |
réamhshocrú['firezone']['postgresql']['work_mem'] | Méid cuimhne oibre postgresql. | 8MB' |
réamhshocrú['firezone']['bunachar sonraí']['úsáideoir'] | Sonraítear an t-ainm úsáideora a úsáidfidh Firezone chun nascadh leis an DB. | nód['firezone']['postgresql']['ainm úsáideora'] |
réamhshocraithe['firezone']['bunachar sonraí']['pasfhocal'] | Má tá DB seachtrach in úsáid agat, sonraítear an pasfhocal a úsáidfidh Firezone chun nascadh leis an DB. | Athraigh mé' |
réamhshocrú['firezone']['bunachar sonraí']['ainm'] | Bunachar sonraí a úsáidfidh Firezone. Cruthófar é mura bhfuil sé ann. | crios tine' |
réamhshocrú['firezone']['bunachar sonraí']['óstach'] | Óstach bunachar sonraí a nascfaidh Firezone leis. | nód['firezone']['postgresql']['listen_address'] |
réamhshocrú['firezone']['bunachar sonraí']['port'] | Port bunachar sonraí a nascfaidh Firezone leis. | nód['firezone']['postgresql']['port'] |
réamhshocraithe['firezone']['bunachar sonraí']['linn'] | Méid an chomhthiomsaithe bunachar sonraí a úsáidfidh Firezone. | [10, próiseálaithe etc.n].max |
réamhshocrú['firezone']['bunachar sonraí']['ssl'] | Cibé an nascfar leis an mbunachar sonraí thar SSL. | FALSE |
réamhshocrú['firezone']['bunachar sonraí']['ssl_opts'] | {} | |
réamhshocrú['firezone']['bunachar sonraí']['paraiméadair'] | {} | |
réamhshocrú['firezone']['bunachar sonraí']['síntí'] | Eisínteachtaí bunachar sonraí a chumasú. | { 'plpgsql' => fíor, 'pg_trgm' => fíor } |
réamhshocrú['firezone']['phoenix']['cumasaithe'] | Cumasaigh nó díchumasaigh feidhmchlár gréasáin Firezone. | TRUE |
réamhshocrú['firezone']['phoenix'][ 'listen_address'] | Seoladh éisteachta feidhmchlár gréasáin Firezone. Is é seo an seoladh éisteachta réamhtheachtacha a sheachnaíonn nginx. | 127.0.0.1 ' |
réamhshocrú['firezone']['phoenix']['port'] | Port éisteachta feidhmchlár gréasáin Firezone. Is é seo an calafort in aghaidh an tsrutha a sheachvódálann nginx. | 13000 |
réamhshocrú['firezone']['phoenix']['log_directory'] | Eolaire loga feidhmchlár Gréasáin Firezone. | “#{nód['firezone']['log_directory']}/ phoenix” |
réamhshocrú['firezone']['phoenix']['log_rotation']['comhad_maxbytes'] | Méid comhaid logála feidhmchlár gréasáin Firezone. | 104857600 |
réamhshocrú['firezone']['phoenix']['log_rotation']['num_to_keep'] | Líon na gcomhad logála feidhmchlár gréasáin Firezone le coinneáil. | 10 |
réamhshocrú['firezone']['phoenix']['crash_detection']['cumasaithe'] | Cumasaigh nó díchumasaigh an feidhmchlár gréasáin Firezone a thabhairt anuas nuair a aimsítear timpiste. | TRUE |
réamhshocrú['firezone']['phoenix']['proxies_trustáilte_seachtracha'] | Liosta seachvótálaithe droim ar ais iontaofa atá formáidithe mar Eagar IPanna agus/nó CIDRanna. | [] |
réamhshocrú['firezone']['peaceix']['cliaint_phríobháideach'] | Liosta de chliaint HTTP de chuid an líonra phríobháidigh, formáidíodh Eagar IPanna agus/nó CIDRanna. | [] |
réamhshocrú['firezone']['sreanggharda']['cumasaithe'] | Cumasaigh nó díchumasaigh bainistíocht cuachta WireGuard. | TRUE |
réamhshocrú['firezone']['wireguard']['log_directory'] | Eolaire logála do bhainistiú cuachta WireGuard. | “#{nód['firezone']['log_directory']}/gharda sreinge” |
réamhshocrú['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Comhad logála WireGuard Uasmhéid. | 104857600 |
réamhshocraithe['firezone']['wireguard']['log_rotation']['num_to_keep'] | Líon na gcomhad logála WireGuard le coinneáil. | 10 |
réamhshocrú['firezone']['wireguard']['interface_name'] | Ainm comhéadan WireGuard. D’fhéadfadh caillteanas sealadach a bheith mar thoradh ar an bparaiméadar seo a athrú i nascacht VPN. | wg- firezone' |
réamhshocrú['firezone']['wireguard']['port'] | Port éisteachta WireGuard. | 51820 |
réamhshocrú['firezone']['wireguard']['mtu'] | Comhéadan WireGuard MTU don fhreastalaí seo agus do chumraíochtaí gléis. | 1280 |
réamhshocrú['firezone']['sreanggharda']['críochphointe'] | Críochphointe WireGuard le húsáid chun cumraíochtaí gléis a ghiniúint. Mura bhfuil, mainneachtainí chuig seoladh IP poiblí an fhreastalaí. | nialas |
réamhshocrú['firezone']['wireguard']['dns'] | WireGuard DNS le húsáid le haghaidh cumraíochtaí gléis a ghintear. | 1.1.1.1, 1.0.0.1 ′ |
réamhshocrú['firezone']['wireguard']['allowed_ips'] | WireGuard CeadaitheIPanna a úsáid le haghaidh cumraíochtaí gléasanna ginte. | 0.0.0.0/0, ::/0′ |
réamhshocrú['firezone']['wireguard']['persistent_keepalive'] | Socrú réamhshocraithe PersistentKeepalive le haghaidh cumraíochtaí gléis ginte. Díchumasaítear luach 0. | 0 |
réamhshocrú['firezone']['sreanggharda']['ipv4']['cumasaithe'] | Cumasaigh nó díchumasaigh IPv4 do líonra WireGuard. | TRUE |
réamhshocrú['firezone']['wireguard']['ipv4']['masquerade'] | Cumasaigh nó díchumasaigh masquerade le haghaidh paicéid a fhágann an tollán IPv4. | TRUE |
réamhshocrú['firezone']['wireguard']['ipv4']['líonra'] | Comhthiomsú seoltaí IPv4 líonra WireGuard. | 10.3.2.0/24 ′ |
réamhshocrú['firezone']['wireguard']['ipv4']['seoladh'] | Seoladh IPv4 comhéadan WireGuard. Ní mór a bheith laistigh de chomhthiomsú seoltaí WireGuard. | 10.3.2.1 ' |
réamhshocrú['firezone']['sreanggharda']['ipv6']['cumasaithe'] | Cumasaigh nó díchumasaigh IPv6 do líonra WireGuard. | TRUE |
réamhshocrú['firezone']['wireguard']['ipv6']['masquerade'] | Cumasaigh nó díchumasaigh masquerade le haghaidh paicéid a fhágann an tollán IPv6. | TRUE |
réamhshocrú['firezone']['wireguard']['ipv6']['líonra'] | Comhthiomsú seoltaí IPv6 líonra WireGuard. | fd00::3:2:0/120′ |
réamhshocrú['firezone']['wireguard']['ipv6']['seoladh'] | Seoladh IPv6 comhéadan WireGuard. Ní mór a bheith laistigh de chomhthiomsú seoltaí IPv6. | fd00::3:2:1 |
réamhshocrú['firezone']['runit']['svlogd_bin'] | Suíomh bin runit svlogd. | “#{nód['firezone']['install_directory']}/leabaithe/bin/svlogd" |
réamhshocrú['firezone']['ssl']['eolaire'] | Eolaire SSL chun teastais ginte a stóráil. | /var/opt/firezone/ssl' |
réamhshocrú['firezone']['ssl']['email_address'] | Seoladh ríomhphoist le húsáid le haghaidh deimhnithe féin-shínithe agus fógraí athnuachana prótacail ACME. | tusa@sampla.com' |
réamhshocrú['firezone']['ssl']['acme']['cumasaithe'] | Cumasaigh ACME le haghaidh soláthar uathoibríoch deimhnithe SSL. Díchumasaigh é seo chun Nginx a chosc ó éisteacht ar phort 80. Féach anseo le haghaidh tuilleadh treoracha. | FALSE |
réamhshocraithe['firezone']['ssl']['acme']['server'] | lesencrypt | |
réamhshocrú['firezone']['ssl']['acme']['keylength'] | Sonraigh cineál agus fad na heochrach le haghaidh deimhnithe SSL. Féach anseo | eic-256 |
réamhshocrú['firezone']['ssl']['teastas'] | Conair chuig an gcomhad teastais do do FQDN. Sáraíonn sé an socrú ACME thuas má shonraítear é. Más rud é nach bhfuil ACME agus seo ar bith ag baint leis an dá cheann, ginfear teastas féin-shínithe. | nialas |
réamhshocraithe['firezone']['ssl']['certificate_key'] | Conair go dtí an comhad teastais. | nialas |
réamhshocrú['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nialas |
réamhshocrú['firezone']['ssl']['country_name'] | Ainm tíre don teastas féin-shínithe. | SAM' |
réamhshocrú['firezone']['ssl']['state_name'] | Luaigh an t-ainm don teastas féin-shínithe. | CA ' |
réamhshocrú['firezone']['ssl']['locality_name'] | Ainm ceantair don teastas féin-shínithe. | San Francisco' |
réamhshocraithe['firezone']['ssl']['company_name'] | Deimhniú féin-shínithe ainm cuideachta. | Mo Chuideachta' |
réamhshocrú['firezone']['ssl']['organisational_unit_name'] | Ainm aonaid eagraíochtúil le haghaidh teastas féin-shínithe. | Oibríochtaí' |
réamhshocrú['firezone']['ssl']['ciphers'] | Sifir SSL le haghaidh nginx a úsáid. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
réamhshocrú['firezone']['ssl']['fips_ciphers'] | Sifir SSL le haghaidh mód FIPs. | FIPS@STRENGTH :!aNULL:!eNULL' |
réamhshocrú['firezone']['ssl']['prótacail'] | Prótacail TLS le húsáid. | TLSv1 TLSv1.1 TLSv1.2′ |
réamhshocrú['firezone']['ssl']['session_cache'] | Taisce seisiúin SSL. | roinnte: SSL: 4m' |
réamhshocrú['firezone']['ssl']['seisiún_am istigh'] | Teorainn ama seisiúin SSL. | 5m' |
réamhshocrú['firezone']['robots_allow'] | Ceadaíonn robots nginx. | /' |
réamhshocrú['firezone']['robots_disallow'] | Dhiúltaigh robots nginx. | nialas |
réamhshocrú['firezone']['outbound_email']['ó'] | Ríomhphost amach ón seoladh. | nialas |
réamhshocrú['firezone']['outbound_email']['soláthraí'] | Soláthraí seirbhíse ríomhphoist amach. | nialas |
réamhshocrú['firezone']['outbound_email']['configs'] | Cumraíochtaí soláthraí ríomhphoist amach. | féach omnibus/leabhair chócaireachta/firezone/attributes/default.rb |
réamhshocrú['firezone']['teiliméadracht'][ 'cumasaithe'] | Cumasaigh nó díchumasaigh teiliméadracht táirge gan ainm. | TRUE |
réamhshocrú['firezone']['connectivity_checks']['cumasaithe'] | Cumasaigh nó díchumasaigh an tseirbhís seiceála nascachta Firezone. | TRUE |
réamhshocrú['firezone']['connectivity_shecks']['eatramh'] | Eatramh idir seiceálacha nascachta i soicindí. | 3_600 |
________________________________________________________________
Anseo gheobhaidh tú liosta de na comhaid agus na heolairí a bhaineann le suiteáil tipiciúil Firezone. D'fhéadfadh siad seo athrú ag brath ar athruithe ar do chomhad cumraíochta.
cosán | tuairisc |
/var/opt/firezone | Eolaire barrleibhéil ina bhfuil sonraí agus cumraíocht ginte do sheirbhísí cuachta Firezone. |
/roghnaigh/crios tine | Eolaire barrleibhéil ina bhfuil leabharlanna tógtha, comhaid dhénártha agus comhaid ama rite a theastaíonn ó Firezone. |
/usr/bin/firezone-ctl | fóntais firezone-ctl chun do shuiteáil Firezone a bhainistiú. |
/etc/systemd/system/firezone-runsvdir-start.service | comhad aonaid systemd chun tús a chur le próiseas maoirseoirí Firezone runsvdir. |
/etc/firezone | Comhaid cumraíochta Firezone. |
__________________________________________________________
Bhí an leathanach seo folamh i ndoiciméid
_____________________________________________________________
Is féidir an teimpléad balla dóiteáin nftables seo a leanas a úsáid chun an freastalaí atá ag rith Firezone a dhaingniú. Déanann an teimpléad roinnt boinn tuisceana; b’fhéidir go mbeidh ort na rialacha a choigeartú chun freastal ar do chás úsáide:
Cumraíonn Firezone a rialacha nftables féin chun trácht chuig cinn scríbe atá cumraithe sa chomhéadan gréasáin a cheadú/a dhiúltú agus chun NAT amach a láimhseáil do thrácht cliant.
Má chuirtear an teimpléad balla dóiteáin thíos i bhfeidhm ar fhreastalaí atá ag rith cheana féin (ní ag am tosaithe) déanfar rialacha Firezone a ghlanadh. D’fhéadfadh impleachtaí slándála a bheith aige seo.
Chun oibriú timpeall air seo, atosú an tseirbhís Fhionnuisce:
firezone-ctl atosú Fhionnuisce
#!/usr/sbin/nft -f
## Glan / sruthlaigh na rialacha atá ann cheana féin
sraith rialacha dúiseacht
########################### Athróga ############### #############
## Ainm comhéadan Idirlín/WAN
shainigh DEV_WAN = eth0
## Ainm comhéadan WireGuard
define DEV_WIREGUARD = wg-crios tine
## Port éisteachta WireGuard
shainigh WIREGUARD_PORT = 51820
########################## ATHRAITHEACHA DEIREADH ############### ###########
# Príomhthábla scagacháin teaghlaigh inet
scagaire tábla inet {
# Rialacha maidir le trácht ar aghaidh
# Próiseáiltear an slabhra seo roimh an slabhra tosaigh Firezone
slabhra ar aghaidh {
cineál scagaire crúca ar aghaidh scagaire tosaíochta - 5; glacadh le polasaí
}
# Rialacha maidir le trácht ionchuir
ionchur slabhra {
cineál scagaire hook scagaire tosaíochta ionchur; titim polasaí
## Ceadaigh trácht isteach chuig an gcomhéadan loopback
iif lo \
glacadh \
trácht “Ceadaigh gach trácht isteach ón gcomhéadan loopback”
## Cead bunaithe agus naisc ghaolmhara
stát ct bunaithe, gaolmhar \
glacadh \
trácht “Ceadúnas bunaithe/naisc ghaolmhara”
## Ceadaigh trácht WireGuard isteach
iif $DEV_WAN udp dport $WIREGUARD_PORT \
cuntar \
glacadh \
trácht “Ceadaigh trácht WireGuard isteach”
## Logáil agus scaoil paicéid nua TCP neamh-SYN
bratacha tcp!= sync ct luaigh nua \
ráta teorann 100/pléasc nóiméad 150 paicéid \
réimír loga “I – Nua !SYN: “ \
trácht “Logáil teorann rátaí do naisc nua nach bhfuil tacar bratach SYN TCP acu”
bratacha tcp!= sync ct luaigh nua \
cuntar \
titim \
trácht “Fág naisc nua nach bhfuil tacar bratach SYN TCP acu”
## Logáil agus scaoil paicéid TCP le tacar neamhbhailí bratach eite/sin
bratacha tcp & (fin|syn) == (fin|syn) \
ráta teorann 100/pléasc nóiméad 150 paicéid \
réimír loga “IN – TCP FIN|SIN:" \
trácht “Logáil teorann rátaí do phaicéid TCP a bhfuil tacar neamhbhailí bratach eite/sin orthu”
bratacha tcp & (fin|syn) == (fin|syn) \
cuntar \
titim \
trácht “Buail paicéid TCP le tacar neamhbhailí bratach eite/syn”
## Logáil agus scaoil paicéid TCP a bhfuil tacar neamhbhailí sioncronaithe/bratacha acu
bratacha tcp & (syn|chéad) == (syn|chéad) \
ráta teorann 100/pléasc nóiméad 150 paicéid \
réimír loga “IN – TCP SYN|RST:" \
trácht “Logáil teorann ráta do phaicéid TCP le tacar neamhbhailí sioncronaithe/bratacha den chéad uair”
bratacha tcp & (syn|chéad) == (syn|chéad) \
cuntar \
titim \
trácht “Buail paicéid TCP a bhfuil tacar neamhbhailí sioncronaithe/bratacha acu”
## Logáil agus scaoil bratacha TCP neamhbhailí
bratacha tcp & (fin|syn|chéad|psh|ack|urg) < (fin) \
ráta teorann 100/pléasc nóiméad 150 paicéid \
réimír loga “IN – FIN:" \
trácht “Logáil teorainneacha rátaí le haghaidh bratacha TCP neamhbhailí (fin|syn|chéad|psh|ack|urg) < (fin)"
bratacha tcp & (fin|syn|chéad|psh|ack|urg) < (fin) \
cuntar \
titim \
trácht “Buail paicéid TCP a bhfuil bratacha orthu (fin|syn|chéad|psh|ack|urg) < (fin)"
## Logáil agus scaoil bratacha TCP neamhbhailí
bratacha tcp & (fin|syn|chéad|psh|ack|urg) == (fin|psh|urg) \
ráta teorann 100/pléasc nóiméad 150 paicéid \
réimír loga “IN – FIN|PSH|URG:" \
trácht “Logáil teorainneacha rátaí le haghaidh bratacha TCP neamhbhailí (fin|syn|chéad|psh|ack|urg) == (fin|psh|urg)"
bratacha tcp & (fin|syn|chéad|psh|ack|urg) == (fin|psh|urg) \
cuntar \
titim \
trácht “Buail paicéid TCP a bhfuil bratacha orthu (fin|syn|chéad|psh|ack|urg) == (fin|psh|urg)"
## Laghdaigh an trácht agus staid naisc neamhbhailí
staid ct neamhbhailí \
ráta teorann 100/pléasc nóiméad 150 paicéid \
log flags gach réimír “IN – Neamhbhailí:” \
trácht “Logáil teorann ráta do thrácht le staid naisc neamhbhailí”
staid ct neamhbhailí \
cuntar \
titim \
trácht “Lig an trácht le staid ceangail neamhbhailí”
## Ceadaigh freagraí ping/ping IPv4 ach teorainn an ráta go 2000 PPS
ip prótacal icmp cineál icmp { macalla freagra, iarratas macalla } \
ráta teorann 2000/dara \
cuntar \
glacadh \
trácht “Ceadaigh macalla IPv4 isteach (ping) teoranta do 2000 PPS”
## Ceadaigh gach ICMP IPv4 isteach eile
ip prótacal icmp \
cuntar \
glacadh \
trácht “Ceadaigh gach IPv4 ICMP eile”
## Ceadaigh freagraí ping/ping IPv6 ach teorainn an ráta go 2000 PPS
cineál icmpv6 { macalla freagra, iarratas macalla } \
ráta teorann 2000/dara \
cuntar \
glacadh \
trácht “Ceadaigh macalla IPv6 isteach (ping) teoranta do 2000 PPS”
## Ceadaigh gach ICMP IPv6 isteach eile
meta l4proto { icmpv6 } \
cuntar \
glacadh \
trácht “Ceadaigh gach IPv6 ICMP eile”
## Ceadaigh calafoirt UDP rianaithe isteach ach teorainn go 500 PPS
udp dport 33434-33524 \
ráta teorann 500/dara \
cuntar \
glacadh \
trácht “Ceadaigh rianbhealach UDP isteach teoranta do 500 PPS”
## Ceadaigh SSH isteach
tcp dport ssh ct stát nua \
cuntar \
glacadh \
trácht “Ceadaigh naisc SSH isteach”
## Ceadaigh HTTP agus HTTPS isteach
tcp dport { http, https } luaigh ct nua \
cuntar \
glacadh \
trácht “Ceadaigh naisc HTTP agus HTTPS isteach”
## Logáil aon trácht gan chomhoiriúnú ach logáil teorainn rátaí go dtí 60 teachtaireacht/nóiméad ar a mhéad
## Cuirfear an polasaí réamhshocraithe i bhfeidhm ar thrácht gan chomhoiriúnú
ráta teorann 60/pléasc nóiméad 100 paicéid \
réimír loga "I - Buail:" \
trácht “Logáil aon trácht gan chomhoiriúnú”
## Déan an trácht gan chomhoiriúnú a chomhaireamh
cuntar \
trácht “Comhair aon trácht gan chomhoiriúnú”
}
# Rialacha maidir le trácht aschuir
aschur slabhra {
cineál scagaire Hook tosaíochta aschuir scagaire; titim polasaí
## Ceadaigh trácht amach chuig an gcomhéadan loopback
oif lo \
glacadh \
trácht “Ceadaigh gach trácht amach chuig an gcomhéadan loopback”
## Cead bunaithe agus naisc ghaolmhara
stát ct bunaithe, gaolmhar \
cuntar \
glacadh \
trácht “Ceadúnas bunaithe/naisc ghaolmhara”
## Ceadaigh trácht amach WireGuard sula scaoiltear naisc le drochstaid
oifig $DEV_WAN spórt udp $WIREGUARD_PORT \
cuntar \
glacadh \
trácht “Ceadaigh trácht amach WireGuard”
## Laghdaigh an trácht agus staid naisc neamhbhailí
staid ct neamhbhailí \
ráta teorann 100/pléasc nóiméad 150 paicéid \
log flags gach réimír “AMACH – Neamhbhailí:” \
trácht “Logáil teorann ráta do thrácht le staid naisc neamhbhailí”
staid ct neamhbhailí \
cuntar \
titim \
trácht “Lig an trácht le staid ceangail neamhbhailí”
## Ceadaigh gach ICMP IPv4 eile amach
ip prótacal icmp \
cuntar \
glacadh \
trácht “Ceadaigh gach cineál IPv4 ICMP”
## Ceadaigh gach ICMP IPv6 eile amach
meta l4proto { icmpv6 } \
cuntar \
glacadh \
trácht “Ceadaigh gach cineál IPv6 ICMP”
## Ceadaigh calafoirt UDP rianaithe amach ach teorainn go 500 PPS
udp dport 33434-33524 \
ráta teorann 500/dara \
cuntar \
glacadh \
trácht “Ceadaigh rianbhealach UDP amach teoranta do 500 PPS”
## Ceadaigh naisc HTTP agus HTTPS amach
tcp dport { http, https } luaigh ct nua \
cuntar \
glacadh \
trácht “Ceadaigh naisc HTTP agus HTTPS amach”
## Ceadaigh aighneacht SMTP amach
tcp dport aighneacht ct luaigh nua \
cuntar \
glacadh \
trácht “Ceadaigh aighneacht SMTP amach”
## Ceadaigh iarratais DNS amach
udp dport 53 \
cuntar \
glacadh \
trácht “Cead iarratais DNS amach UDP”
tcp dport 53 \
cuntar \
glacadh \
trácht “Cead iarratais amach TCP DNS”
## Ceadaigh iarratais NTP amach
udp dport 123 \
cuntar \
glacadh \
trácht “Cead iarratais NTP amach”
## Logáil aon trácht gan chomhoiriúnú ach logáil teorainn rátaí go dtí 60 teachtaireacht/nóiméad ar a mhéad
## Cuirfear an polasaí réamhshocraithe i bhfeidhm ar thrácht gan chomhoiriúnú
ráta teorann 60/pléasc nóiméad 100 paicéid \
réimír loga "AMACH - Buail:" \
trácht “Logáil aon trácht gan chomhoiriúnú”
## Déan an trácht gan chomhoiriúnú a chomhaireamh
cuntar \
trácht “Comhair aon trácht gan chomhoiriúnú”
}
}
# Príomhthábla scagacháin NAT
tábla inet nat {
# Rialacha maidir le réamhródú tráchta NAT
réamhródú slabhra {
cineál nat hook ag réamhródú dstnat tosaíochta; glacadh le polasaí
}
# Rialacha maidir le trácht NAT tar éis an ródú
# Próiseáiltear an tábla seo roimh shlabhra iarródaithe Firezone
postródaíocht slabhra {
clóscríobh nat hook tosaíocht postrouting srcnat - 5; glacadh le polasaí
}
}
Ba cheart an balla dóiteáin a stóráil sa suíomh ábhartha don dáileadh Linux atá ar siúl. Do Debian/Ubuntu is é seo /etc/nftables.conf agus do RHEL is é seo /etc/sysconfig/nftables.conf.
Beidh gá le nftables.service a chumrú le tosú ar an tosaithe (mura bhfuil cheana féin) socraithe:
systemctl cumasú nftables.service
Má dhéantar aon athruithe ar an teimpléad balla dóiteáin is féidir an chomhréir a bhailíochtú tríd an ordú seiceála a rith:
nft -f /path/to/nftables.conf -c
Bí cinnte na hoibreacha balla dóiteáin a bhailíochtú mar a bhíothas ag súil leis mar go bhféadfadh sé nach mbeidh gnéithe nftables áirithe ar fáil ag brath ar an scaoileadh a ritheann ar an bhfreastalaí.
_______________________________________________________________
Tugann an doiciméad seo forbhreathnú ar an teiliméadracht a bhailíonn Firezone ó do chás féin-óstaithe agus conas é a dhíchumasú.
Crios Dóiteáin ag brath maidir le teiliméadracht chun ár bplean oibre a chur in ord tosaíochta agus na hacmhainní innealtóireachta atá againn a bharrfheabhsú chun Firezone a dhéanamh níos fearr do chách.
Tá sé mar aidhm ag an teiliméadracht a bhailímid na ceisteanna seo a leanas a fhreagairt:
Tá trí phríomháit ina mbailítear teiliméadracht i Firezone:
I ngach ceann de na trí chomhthéacs seo, gabhaimid an t-íosmhéid sonraí atá riachtanach chun na ceisteanna sa chuid thuas a fhreagairt.
Ní bhailítear ríomhphoist riarthóir ach amháin má roghnaíonn tú go sainráite leas a bhaint as nuashonruithe táirge. Seachas sin, tá faisnéis inaitheanta phearsanta riamh bailithe.
Stórálann Firezone teiliméadracht i gcás féin-óstáilte de PostHog a ritheann i gcnuasach príobháideach Kubernetes, nach bhfuil inrochtana ach ag foireann Firezone. Seo sampla d’imeacht teiliméadrachta a sheoltar ó do chás de Firezone chuig ár bhfreastalaí teiliméadrachta:
{
dul: “0182272d-0b88-0000-d419-7b9a413713f1”,
“stampa ama”: “2022-07-22T18:30:39.748000+00:00”,
“imeacht”: “Fz_http_started”,
“distinct_id”: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
“maoine”:{
“$geoip_city_name”: "Ashburn",
“$geoip_continent_code”: "N / A",
“$geoip_continent_name”: "Meiriceá Thuaidh",
“$geoip_country_cód”: “SAM”,
“$geoip_country_name”: "Stáit Aontaithe",
“$geoip_domhanleithead”: 39.0469,
“$geoip_longitude”: -77.4903,
“$geoip_postal_code”: "20149",
“$geoip_subdivision_1_code”: “VA”,
“$geoip_subdivision_1_name”: "Virginia",
“$geoip_time_zone”: “Meiriceá/Nua_Eabhrac”,
"$ip": "52.200.241.107",
“$plugins_iarchurtha”:[],
“Theip ar $plugins_”:[],
“D’éirigh le $plugins_d’éirigh leis”: [
“GeoIP (3)”
],
“distinct_id”: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
“fqdn”: “awsdemo.firezone.dev”,
“kernel_version”: "linux 5.13.0",
“leagan”: "0.4.6"
},
“eilimintí_slabhra”: ""
}
NÓTA
Foireann forbartha Firezone ag brath ar anailísí táirgí chun Firezone a dhéanamh níos fearr do chách. Is é fágáil teiliméadrachta cumasaithe an ranníocaíocht is luachmhaire is féidir leat a dhéanamh le forbairt Firezone. É sin ráite, tuigimid go bhfuil riachtanais phríobháideachais nó slándála níos airde ag roinnt úsáideoirí agus gurbh fhearr leo teiliméadracht a dhíchumasú ar fad. Más mar sin atá tú, lean ort ag léamh.
Tá teiliméadracht cumasaithe de réir réamhshocraithe. Chun teiliméadracht táirge a dhíchumasú go hiomlán, socraigh an rogha cumraíochta seo a leanas go bréagach in /etc/firezone/firezone.rb agus rith sudo firezone-ctl athchumrú chun na hathruithe a phiocadh suas.
réamhshocraithe['crios tine'][teiliméadracht]['chumasaithe'] = bréagach
Díchumasóidh sé sin teiliméadracht an táirge go hiomlán.
Hailbytes
9511 Garda na Banríona Ct.
Laurel, MD 20723
Fón: (732) 771-9995
Ríomhphost: info@hailbytes.com
