Hailbytes VPN Le Doiciméadúchán Balla Dóiteáin Firezone

Clár na nÁbhar

Tosaigh

Tá treoracha céim ar chéim maidir le himscaradh Hailbytes VPN le Firezone GUI ar fáil anseo. 

Riar: Baineann socrú an fhreastalaí amach go díreach leis an gcuid seo.

Treoracha Úsáideora: Doiciméid chabhracha a fhéadfaidh tú a mhúineadh conas Firezone a úsáid agus gnáthfhadhbanna a réiteach. Tar éis an freastalaí a imscaradh go rathúil, déan tagairt don chuid seo.

Treoracha le haghaidh Cumraíochtaí Coiteann

Tollánú Scoilte: Bain úsáid as an VPN chun trácht a sheoladh chuig raonta IP ar leith amháin.

Liosta Bán: Socraigh seoladh IP statach freastalaí VPN chun bánliosta a úsáid.

Tolláin Droim ar Ais: Cruthaigh tolláin idir roinnt piaraí ag baint úsáide as tolláin droim ar ais.

Faigh Tacaíocht

Tá áthas orainn cabhrú leat má tá cúnamh uait chun Hailbytes VPN a shuiteáil, a shaincheapadh nó a úsáid.

Fíordheimhniú

Sula bhféadfaidh úsáideoirí comhaid cumraíochta gléas a tháirgeadh nó a íoslódáil, is féidir Firezone a chumrú chun fíordheimhniú a éileamh. Seans go mbeidh ar úsáideoirí athfhíordheimhniú go tréimhsiúil freisin chun a nasc VPN a choinneáil gníomhach.

Cé gurb é modh logála isteach réamhshocraithe Firezone ná ríomhphost áitiúil agus pasfhocal, is féidir é a chomhtháthú freisin le haon soláthraí caighdeánaithe aitheantais OpenID Connect (OIDC). Is féidir le húsáideoirí logáil isteach i Firezone anois ag baint úsáide as a gcuid sonraí Okta, Google, Azure AD, nó soláthraí aitheantais phríobháideach.

 

Comhtháthaigh Soláthraí Cineálach OIDC

Taispeántar na paraiméadair chumraíochta a theastaíonn ó Firezone chun SSO a úsáid le soláthraí OIDC a cheadú sa sampla thíos. Ag /etc/firezone/firezone.rb, b'fhéidir go bhfaighidh tú an comhad cumraíochta. Rith firezone-ctl athchumrú agus firezone-ctl atosú chun an t-iarratas a nuashonrú agus éifeacht na n-athruithe a ghlacadh.

 

# Seo sampla a úsáideann Google agus Okta mar sholáthraí aitheantais SSO.

# Is féidir ilchumraíochtaí OIDC a chur leis an ásc Firezone céanna.

 

Is féidir le # Firezone VPN úsáideora a dhíchumasú má aimsítear aon earráid agus iarracht á déanamh

# chun a rochtain_token a athnuachan. Tá sé seo fíoraithe chun oibriú do Google, Okta, agus

# Azure SSO agus úsáidtear é chun VPN úsáideora a dhínascadh go huathoibríoch má bhaintear iad

# ón soláthraí OIDC. Fág é seo díchumasaithe má tá do sholáthraí OIDC

Tá saincheisteanna ag # chun comharthaí rochtana a athnuachan toisc go bhféadfadh sé cur isteach ar a

# seisiún VPN úsáideora.

réamhshocrú['firezone']['fíordheimhnithe']['disable_vpn_on_oidc_error'] = bréagach

 

réamhshocrú['firezone']['fíordheimhnithe']['oidc'] = {

  google: {

    discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,

    client_id: “ ”,

    client_secret : “ ”,

    athsheolaidh_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,

    response_type: "cód",

    raon feidhme: “próifíl ríomhphoist oscailte”,

    lipéad: “Google”

  },

  ceart go leor: {

    discovery_document_uri : “ https:// /.well-known/openid-configuration”,

    client_id: “ ”,

    client_secret : “ ”,

    athsheolaidh_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,

    response_type: "cód",

    scóip: “próifíl ríomhphoist oscailte offline_access”,

    lipéad: "Okta"

  }

}



Tá na socruithe cumraíochta seo a leanas riachtanach don chomhtháthú:

  1. discovery_document_uri: Tá an Cumraíocht soláthraí OpenID Connect URI a sheolann doiciméad JSON ar ais a úsáideadh chun iarratais ina dhiaidh sin a dhéanamh chuig an soláthraí OIDC seo.
  2. client_id : ID cliant an fheidhmchláir.
  3. client_secret : Rún cliant an fheidhmchláir.
  4. redirect_uri : Treoraíonn do sholáthraí OIDC cá háit ar cheart a atreorú tar éis fíordheimhnithe. Ba cheart gurb é seo do Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (m.sh. https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
  5. response_type: Socraigh go cód.
  6. raon feidhme: Scóipeanna OIDC a fháil ó do sholáthraí OIDC. Ba cheart é seo a shocrú mar phróifíl ríomhphoist openid nó próifíl ríomhphoist openid offline_access ag brath ar an soláthraí.
  7. lipéad: An téacs lipéad cnaipe a thaispeánann suas ar do scáileán logáil isteach Firezone.

URLanna go leor

Cruthaítear URL deas comhfhreagrach do gach soláthraí OIDC chun é a atreorú chuig URL sínithe isteach an tsoláthraí cumraithe. Mar shampla cumraíocht OIDC thuas, is iad na URLanna:

  • https://instance-id.yourfirezone.com/auth/oidc/google
  • https://instance-id.yourfirezone.com/auth/oidc/okta

Treoracha Chun Firezone a Shocrú le Soláthraithe Aitheantais Coitianta

Soláthraithe a bhfuil doiciméadú againn dóibh:

  • google
  • Okta
  • Amhrán Eolaire Gníomhach
  • Onelogin
  • Fíordheimhniú Áitiúil

 

Má tá nascóir cineálach OIDC ag do sholáthraí aitheantais agus nach bhfuil sé liostaithe thuas, téigh chuig a dhoiciméadú chun faisnéis a fháil faoi conas na socruithe cumraíochta riachtanacha a aisghabháil.

Athfhíordheimhniú Rialta a Chothabháil

Is féidir an socrú faoi shocruithe/slándáil a athrú chun athfhíordheimhniú tréimhsiúil a éileamh. Is féidir é seo a úsáid chun an ceanglas a fhorfheidhmiú go dtéann úsáideoirí isteach i Firezone ar bhonn rialta chun leanúint lena seisiún VPN.

Is féidir fad an tseisiúin a chumrú le bheith idir uair an chloig agus nócha lá. Trí é seo a shocrú mar Riamh, is féidir leat seisiúin VPN a chumasú am ar bith. Is é seo an caighdeán.

Athfhíordheimhniú

Ní mór d’úsáideoir deireadh a chur lena seisiún VPN agus logáil isteach ar thairseach Firezone chun seisiún VPN atá imithe in éag (URL a shonraítear le linn an imscartha) a athfhíordheimhniú.

Is féidir leat do sheisiún a fhíordheimhniú arís trí na treoracha beachta cliaint atá le fáil anseo a leanúint.

 

Stádas Ceangal VPN

Taispeánann colún tábla Nasc VPN an leathanaigh Úsáideoirí stádas ceangail úsáideora. Seo iad na stádais naisc:

CUMASAITHE - Tá an nasc cumasaithe.

FAOI MHÍCHUMAS - Tá an nasc díchumasaithe ag riarthóir nó teip athnuachana OIDC.

D' éag - Tá an nasc díchumasaithe mar gheall ar dhul in éag an fhíordheimhnithe nó nach bhfuil úsáideoir sínithe isteach den chéad uair.

google

Tríd an gcónascaire ginearálta OIDC, cumasaíonn Firezone Sign-On Aonair (SSO) le Google Workspace agus Cloud Identity. Taispeánfaidh an treoir seo duit conas na paraiméadair chumraíochta atá liostaithe thíos a fháil, atá riachtanach don chomhtháthú:

  1. discovery_document_uri: Tá an Cumraíocht soláthraí OpenID Connect URI a sheolann doiciméad JSON ar ais a úsáideadh chun iarratais ina dhiaidh sin a dhéanamh chuig an soláthraí OIDC seo.
  2. client_id : ID cliant an fheidhmchláir.
  3. client_secret : Rún cliant an fheidhmchláir.
  4. redirect_uri : Treoraíonn do sholáthraí OIDC cá háit ar cheart a atreorú tar éis fíordheimhnithe. Ba cheart gurb é seo do Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (m.sh. https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
  5. response_type: Socraigh go cód.
  6. raon feidhme: Scóipeanna OIDC a fháil ó do sholáthraí OIDC. Ba cheart é seo a shocrú mar phróifíl ríomhphoist oscailte chun ríomhphost an úsáideora a sholáthar do Firezone sna héilimh a sheoltar ar ais.
  7. lipéad: An téacs lipéad cnaipe a thaispeánann suas ar do scáileán logáil isteach Firezone.

Faigh Socruithe Cumraíochta

1. Scáileán Cumraíochta OAuth

Más é seo an chéad uair atá tú ag cruthú aitheantais cliant OAuth nua, iarrfar ort scáileán toilithe a chumrú.

* Roghnaigh Inmheánach le haghaidh cineál úsáideora. Cinntíonn sé seo nach féidir ach le cuntais a bhaineann le húsáideoirí i d'Eagraíocht Google Workspace cumraíochtaí gléis a chruthú. NÁ roghnaigh Seachtrach ach amháin má theastaíonn uait aon duine a bhfuil Cuntas Google bailí aige a chumasú chun cumraíochtaí gléis a chruthú.

 

Ar scáileán faisnéise an Aip:

  1. Ainm an fheidhmchláir: Firezone
  2. Lógó an aip: Lógó Firezone (shábháil nasc mar).
  3. Leathanach baile an fheidhmchláir: URL do shampla Firezone.
  4. Fearainn údaraithe: an fearann ​​barrleibhéil de do shampla Firezone.

 

 

2. Cruthaigh IDanna Cliant OAuth

Tá an chuid seo bunaithe ar dhoiciméadú Google féin ar socrú OAuth 2.0.

Tabhair cuairt ar an Google Cloud Console Leathanach dintiúir leathanach, cliceáil + Cruthaigh Dintiúir agus roghnaigh ID cliant OAuth.

Ar an scáileán cruthú aitheantais cliant OAuth:

  1. Socraigh Cineál Feidhmchláir chuig feidhmchlár Gréasáin
  2. Cuir do Firezone EXTERNAL_URL + /auth/oidc/google/callback/ (m.sh. https://instance-id.yourfirezone.com/auth/oidc/google/callback/) mar iontráil chuig URIanna atreoraithe Údaraithe.

 

Tar éis duit ID cliant OAuth a chruthú, tabharfar ID Cliant agus Rúnda Cliant duit. Úsáidfear iad seo in éineacht leis an URI atreoraithe sa chéad chéim eile.

Comhtháthú Firezone

Cuir /etc/firezone/firezone.rb na roghanna thíos a chur san áireamh:

 

# Google a úsáid mar sholáthraí aitheantais SSO

réamhshocrú['firezone']['fíordheimhnithe']['oidc'] = {

  google: {

    discovery_document_uri: “https://accounts.google.com/.well-known/openid-configuration”,

    client_id: “ ”,

    client_secret : “ ”,

    athsheolaidh_uri: “https://instance-id.yourfirezone.com/auth/oidc/google/callback/”,

    response_type: "cód",

    raon feidhme: “próifíl ríomhphoist oscailte”,

    lipéad: “Google”

  }

}

 

Rith firezone-ctl athchumrú agus firezone-ctl atosú chun an feidhmchlár a nuashonrú. Ba cheart duit cnaipe Sínigh isteach le Google a fheiceáil anois ag an URL fhréamh Firezone.

Okta

Úsáideann Firezone an cónascaire cineálach OIDC chun Síniú Aonair (SSO) le Okta a éascú. Taispeánfaidh an teagasc seo duit conas na paraiméadair chumraíochta atá liostaithe thíos a fháil, atá riachtanach don chomhtháthú:

  1. discovery_document_uri: Tá an Cumraíocht soláthraí OpenID Connect URI a sheolann doiciméad JSON ar ais a úsáideadh chun iarratais ina dhiaidh sin a dhéanamh chuig an soláthraí OIDC seo.
  2. client_id : ID cliant an fheidhmchláir.
  3. client_secret : Rún cliant an fheidhmchláir.
  4. redirect_uri : Treoraíonn do sholáthraí OIDC cá háit ar cheart a atreorú tar éis fíordheimhnithe. Ba cheart gurb é seo do Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (m.sh. https://instance-id.yourfirezone.com/auth/oidc/okta/callback/).
  5. response_type: Socraigh go cód.
  6. raon feidhme: Scóipeanna OIDC a fháil ó do sholáthraí OIDC. Ba cheart é seo a shocrú mar phróifíl ríomhphoist oscailte offline_access chun ríomhphost an úsáideora a sholáthar do Firezone sna héilimh a sheoltar ar ais.
  7. lipéad: An téacs lipéad cnaipe a thaispeánann suas ar do scáileán logáil isteach Firezone.

 

Comhtháthaigh Okta App

Tá an chuid seo den treoir bunaithe ar Doiciméadú Okta.

Sa Chonsól Riaracháin, téigh go dtí Feidhmchláir > Feidhmchláir agus cliceáil Cruthaigh Comhtháthú Aipeanna. Socraigh modh síniú isteach chuig OICD – OpenID Connect agus Cineál Feidhmchláir le feidhmchlár Gréasáin.

Cumraigh na socruithe seo:

  1. Ainm an Aipe: Firezone
  2. Lógó an aip: Lógó Firezone (shábháil nasc mar).
  3. Cineál Deontais: Seiceáil an Bosca Chomhartha Athnuaigh. Cinntíonn sé seo go sioncronaíonn Firezone leis an soláthraí aitheantais agus cuirtear deireadh le rochtain VPN nuair a bhaintear an t-úsáideoir.
  4. URIanna atreoraithe síniú isteach: Cuir do Firezone EXTERNAL_URL + /auth/oidc/okta/callback/ (m.sh. https://instance-id.yourfirezone.com/auth/oidc/okta/callback/) mar iontráil chuig URIanna atreoraithe údaraithe .
  5. Tascanna: Teorainn leis na grúpaí ar mian leat rochtain a sholáthar ar do chás Firezone.

Nuair a bheidh socruithe sábháilte, tabharfar ID Cliant, Rúnda an Chliaint agus Fearann ​​​​Okta duit. Úsáidfear na 3 luach seo i gCéim 2 chun Firezone a chumrú.

Comhtháthaigh Firezone

Cuir /etc/firezone/firezone.rb na roghanna thíos a chur san áireamh. Do fionnachtain_doiciméad_url Beidh /.well-known/openid-configuration i gceangal leis an deireadh do okta_domain.

 

# Okta a úsáid mar sholáthraí aitheantais SSO

réamhshocrú['firezone']['fíordheimhnithe']['oidc'] = {

  ceart go leor: {

    discovery_document_uri : “ https:// /.well-known/openid-configuration”,

    client_id: “ ”,

    client_secret : “ ”,

    athsheolaidh_uri: “https://instance-id.yourfirezone.com/auth/oidc/okta/callback/”,

    response_type: "cód",

    scóip: “próifíl ríomhphoist oscailte offline_access”,

    lipéad: "Okta"

  }

}

 

Rith firezone-ctl athchumrú agus firezone-ctl atosú chun an feidhmchlár a nuashonrú. Ba cheart duit cnaipe Sínigh isteach le Okta a fheiceáil anois ag an URL fhréamh Firezone.

 

Srian a chur le Rochtain ar Úsáideoirí Áirithe

Is féidir leis na húsáideoirí ar féidir leo rochtain a fháil ar an aip Firezone a bheith srianta ag Okta. Téigh chuig do leathanach Tascanna Comhtháthaithe Aipe Firezone App do Okta Admin Console chun é seo a bhaint amach.

Amhrán Eolaire Gníomhach

Tríd an nascóir cineálach OIDC, cuireann Firezone ar chumas Síniú Aonair (SSO) le Azure Active Directory. Taispeánfaidh an lámhleabhar seo duit conas na paraiméadair chumraíochta atá liostaithe thíos a fháil, atá riachtanach don chomhtháthú:

  1. discovery_document_uri: Tá an Cumraíocht soláthraí OpenID Connect URI a sheolann doiciméad JSON ar ais a úsáideadh chun iarratais ina dhiaidh sin a dhéanamh chuig an soláthraí OIDC seo.
  2. client_id : ID cliant an fheidhmchláir.
  3. client_secret : Rún cliant an fheidhmchláir.
  4. redirect_uri : Treoraíonn do sholáthraí OIDC cá háit ar cheart a atreorú tar éis fíordheimhnithe. Ba cheart gurb é seo do Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (m.sh. https://instance-id.yourfirezone.com/auth/oidc/azure/callback/).
  5. response_type: Socraigh go cód.
  6. raon feidhme: Scóipeanna OIDC a fháil ó do sholáthraí OIDC. Ba cheart é seo a shocrú mar phróifíl ríomhphoist oscailte offline_access chun ríomhphost an úsáideora a sholáthar do Firezone sna héilimh a sheoltar ar ais.
  7. lipéad: An téacs lipéad cnaipe a thaispeánann suas ar do scáileán logáil isteach Firezone.

Faigh Socruithe Cumraíochta

Tá an treoir seo tarraingthe ó na Doiciméid Eolaire Gníomhach Azure.

 

Téigh go dtí leathanach Azure Active Directory ar thairseach Azure. Roghnaigh an rogha roghchlár Bainistigh, roghnaigh Clárú Nua, ansin cláraigh tríd an bhfaisnéis thíos a sholáthar:

  1. Ainm: Firezone
  2. Cineálacha cuntas tacaithe: (Eolaire Réamhshocraithe amháin - Tionónta aonair)
  3. Atreorú URI: Ba cheart gurb é seo do chrios dóiteáin EXTERNAL_URL + /auth/oidc/azure/callback/ (m.sh. https://instance-id.yourfirezone.com/auth/oidc/azure/callback/). Bí cinnte go gcuimsítear an sliseog rianaithe. Is é seo an luach redirect_uri.

 

Tar éis duit clárú, oscail radharc sonraí an iarratais agus cóipeáil an Aitheantas iarratais (cliant). Is é seo an luach cliant_id. Ansin, oscail an roghchlár críochphointí chun an roghchlár a fháil Doiciméad meiteashonraí OpenID Connect. Is é seo an luach discovery_document_uri.

 

Cruthaigh rún cliant nua trí chliceáil ar an rogha Deimhnithe & rúin faoin roghchlár Bainistigh. Cóipeáil an rún cliant; beidh an luach rúnda cliant seo.

 

Ar deireadh, roghnaigh an nasc ceadanna API faoin roghchlár Bainistigh, cliceáil Cuir cead leis, agus roghnaigh Graf Microsoft, Cuir ríomhphost, oscailte, as líne_rochtain agus próifíl leis na ceadanna riachtanacha.

Comhtháthú Firezone

Cuir /etc/firezone/firezone.rb na roghanna thíos a chur san áireamh:

 

# Azure Active Directory a úsáid mar sholáthraí aitheantais SSO

réamhshocrú['firezone']['fíordheimhnithe']['oidc'] = {

  azure: {

    discovery_document_uri: “https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration”,

    client_id: “ ”,

    client_secret : “ ”,

    athsheolaidh_uri: “https://instance-id.yourfirezone.com/auth/oidc/azure/callback/”,

    response_type: "cód",

    scóip: “próifíl ríomhphoist oscailte offline_access”,

    lipéad: "Azure"

  }

}

 

Rith firezone-ctl athchumrú agus firezone-ctl atosú chun an feidhmchlár a nuashonrú. Ba cheart duit cnaipe Sínigh isteach le Azure a fheiceáil anois ag an URL fhréamh Firezone.

Conas: Rochtain ar Chomhaltaí Áirithe a Shrianadh

Cuireann Azure AD ar chumas riarthóirí rochtain aipe a theorannú do ghrúpa ar leith úsáideoirí laistigh de do chuideachta. Tá tuilleadh eolais ar conas é seo a dhéanamh le fáil i gcáipéisíocht Microsoft.

Riarachán

  • Cumraigh
  • Suiteáil a bhainistiú
  • uasghrádú
  • Troubleshoot
  • Breithnithe Slándála
  • Rith Ceisteanna SQL

Cumraigh

Baineann Firezone úsáid as Chef Omnibus chun tascanna a bhainistiú lena n-áirítear pacáistiú scaoilte, maoirseacht próisis, bainistíocht loga, agus go leor eile.

Is é cód Ruby an príomhchomhad cumraíochta, atá suite ag /etc/firezone/firezone.rb. Má atosaítear an t-athchumrú sudo firezone-ctl tar éis mionathruithe a dhéanamh ar an gcomhad seo, aithníonn Chef na hathruithe agus cuireann siad i bhfeidhm ar an gcóras oibriúcháin reatha iad.

Féach ar thagairt an chomhaid chumraíochta le haghaidh liosta iomlán d’athróga cumraíochta agus a gcur síos.

Suiteáil a bhainistiú

Is féidir do chás Firezone a bhainistiú tríd an crios tine-ctl ordú, mar a thaispeántar thíos. Teastaíonn réimír le formhór na bhfo-orduithe sudo.

 

root@demo:~# firezone-ctl

omnibus-ctl: ordú (fo-ordú)

Orduithe Ginearálta:

  cleanse

    Scrios * na sonraí crios tine * go léir, agus tosú ón tús.

  cruthaigh-nó-athshocraigh-admin

    Athshocraigh an pasfhocal don riarthóir le ríomhphost sonraithe de réir réamhshocraithe['firezone']['admin_email'] nó cruthaíonn sé riarthóir nua mura bhfuil an ríomhphost sin ann.

  cabhrú

    Priontáil an teachtaireacht cabhrach seo.

  athchumrú

    Athchumraigh an feidhmchlár.

  athshocrú-líonra

    Athshocraigh nftables, comhéadan WireGuard, agus tábla ródaithe ar ais go dtí réamhshocruithe Firezone.

  seó-config

    Taispeáin an chumraíocht a ghinfí trí athchumrú.

  líonra teardown

    Baintear comhéadan WireGuard agus tábla nftables firezone.

  fórsa-teastas-athnuachan

    Cuir i bhfeidhm athnuachan teastais anois fiú mura bhfuil sé imithe in éag.

  stad-teastas-athnuachan

    Baintear cronjob a dhéanann athnuachan ar dheimhnithe.

  dhíshuiteáil

    Déan na próisis go léir a mharú agus an maoirseoir próisis a dhíshuiteáil (caomhnófar na sonraí).

  leagan

    Taispeáin an leagan reatha de Firezone

Orduithe Bainistíochta Seirbhíse:

  graceful-mharú

    Déan iarracht stad galánta, ansin SIGKILL an grúpa próisis ar fad.

  hup

    Seol HUP chuig na seirbhísí.

  int

    Seol INT chuig na seirbhísí.

  mharú

    Seol na seirbhísí a mharú.

  uair amháin

    Tosaigh na seirbhísí má tá siad síos. Ná atosú iad má stopann siad.

  atosú

    Stop na seirbhísí má tá siad ag rith, ansin cuir tús leo arís.

  seirbhís-liosta

    Déan liosta de na seirbhísí go léir (tá seirbhísí cumasaithe le feiceáil le *.)

  tús

    Tosaigh seirbhísí má tá siad síos, agus atosú iad má stopann siad.

  stádas

    Taispeáin stádas na seirbhísí go léir.

  stop a chur

    Stop na seirbhísí, agus ná atosú iad.

  eireaball

    Féach ar logaí seirbhíse na seirbhísí cumasaithe go léir.

  téarma

    Seol TÉARM ar na seirbhísí.

  usr1

    Seol USR1 chuig na seirbhísí.

  usr2

    Seol USR2 chuig na seirbhísí.

uasghrádú

Ní mór gach seisiún VPN a fhoirceannadh sula n-uasghrádaítear Firezone, rud a éilíonn freisin an Chomhéadain Gréasáin a dhúnadh síos. Sa chás go dtéann rud éigin mícheart le linn an uasghrádaithe, moltar dúinn uair an chloig a chur ar leataobh le haghaidh cothabhála.

 

Chun Firezone a fheabhsú, déan na bearta seo a leanas:

  1. Uasghrádaigh an pacáiste firezone ag baint úsáide as an suiteáil aon-orduithe: sudo -E bash -c “$(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh)”
  2. Rith firezone-ctl athchumrú chun na hathruithe nua a phiocadh suas.
  3. Rith firezone-ctl restart chun seirbhísí a atosú.

Má thagann aon fhadhbanna chun cinn, cuir in iúl dúinn le do thoil ticéad tacaíochta a chur isteach.

Uasghrádú Ó <0.5.0 go >=0.5.0

Tá roinnt athruithe briseadh agus modhnuithe cumraíochta i 0.5.0 nach mór aghaidh a thabhairt orthu. Faigh amach níos mó thíos.

Baineadh iarratais chuachta Nginx non_ssl_port (HTTP).

Ní thacaíonn Nginx le paraiméadair an fhórsa SSL agus calafoirt neamh-SSL mar leagan 0.5.0. Toisc go bhfuil SSL ag teastáil ó Firezone chun oibriú, moltar dúinn an tseirbhís cuachta Nginx a bhaint trí réamhshocrú a shocrú['firezone']['nginx']['enabled'] = bréagach agus do sheachvótálaí droim ar ais a threorú chuig an aip Phoenix ar phort 13000 (de réir réamhshocraithe ).

Tacaíocht Prótacail ACME

Tugann 0.5.0 tacaíocht prótacal ACME isteach chun deimhnithe SSL a athnuachan go huathoibríoch leis an tseirbhís cuachta Nginx. Chun a chumasú,

  • Cinntigh go bhfuil FQDN bailí ag an réamhshocrú['firezone']['external_url'] a réitíonn le seoladh IP poiblí do fhreastalaí.
  • Cinntigh go bhfuil calafort 80/tcp insroichte
  • Cumasaigh tacaíocht phrótacail ACME leis an réamhshocrú['firezone']['ssl']['acme']['enabled'] = fíor i do chomhad cumraíochta.

Cinn Scríbe na Riail Dul Chun Cinn Forluiteacha

Tá an fhéidearthacht rialacha a chur le cinn scríbe dúblacha imithe i Firezone 0.5.0. Aithneoidh ár script imirce na cásanna seo go huathoibríoch le linn uasghrádaithe go 0.5.0 agus ní choinneoidh sé ach na rialacha a bhfuil an riail eile mar cheann scríbe acu. Níl aon rud is gá duit a dhéanamh má tá sé seo ceart go leor.

Seachas sin, roimh uasghrádú a dhéanamh, molaimid do shraith rialacha a athrú chun fáil réidh leis na cásanna seo.

Okta agus Google SSO a réamhchumrú

Baineann Firezone 0.5.0 tacaíocht don chumraíocht sean-stíl Okta agus Google SSO i bhfabhar na cumraíochta nua, níos solúbtha atá bunaithe ar OIDC. 

Má tá aon chumraíocht agat faoi na heochracha réamhshocraithe['firezone']['fíordheimhnithe']['okta'] nó réamhshocraithe['firezone']['fíordheimhniú']['google'], ní mór duit iad seo a aistriú chuig ár OIDC -bhunaithe cumraíocht ag baint úsáide as an treoir thíos.

Cumraíocht Google OAuth reatha

Bain na línte seo ina bhfuil na seanchumraíochtaí Google OAuth de do chomhad cumraíochta atá suite ag /etc/firezone/firezone.rb

 

réamhshocrú['firezone']['fíordheimhnithe']['google']['cumasaithe']

réamhshocrú['firezone']['fíordheimhnithe']['google']['client_id']

réamhshocrú['firezone']['fíordheimhnithe']['google']['client_secret']

réamhshocrú['firezone']['fíordheimhnithe']['google']['redirect_uri']

 

Ansin, cumraigh Google mar sholáthraí OIDC trí na nósanna imeachta anseo a leanúint.

(Cuir treoracha naisc ar fáil)<<<<<<<<<<<<<<<

 

Cumraigh Google OAuth atá ann cheana 

Bain na línte seo ina bhfuil na seanchumraíochtaí Okta OAuth ó do chomhad cumraíochta atá suite ag /etc/firezone/firezone.rb

 

réamhshocrú['firezone']['fíordheimhnithe']['okta']['cumasaithe']

réamhshocrú['firezone']['fíordheimhnithe']['okta']['client_id']

réamhshocrú['firezone']['fíordheimhnithe']['okta']['client_secret']

Réamhshocrú['firezone']['fíordheimhnithe']['okta']['site']

 

Ansin, cumraigh Okta mar sholáthraí OIDC trí na nósanna imeachta anseo a leanúint.

Uasghrádaigh ó 0.3.x go >= 0.3.16

Ag brath ar do shocrú agus leagan reatha, cloí leis na treoracha thíos:

Má tá comhtháthú OIDC agat cheana féin:

I gcás roinnt soláthraithe OIDC, tá gá le huasghrádú go >= 0.3.16 comhartha athnuachana a fháil don raon feidhme rochtana as líne. Trí seo a dhéanamh, déantar deimhin de go nuashonraíonn Firezone leis an soláthraí aitheantais agus go stoptar an nasc VPN tar éis d’úsáideoir a bheith scriosta. Bhí an ghné seo in easnamh ar atrialltaí níos luaithe Firezone. I gcásanna áirithe, d’fhéadfadh go mbeadh úsáideoirí a scriostar ó do sholáthraí aitheantais fós nasctha le VPN.

Is gá rochtain as líne a áireamh i bparaiméadar raon feidhme do chumraíochta OIDC do sholáthraithe OIDC a thacaíonn leis an raon feidhme rochtana as líne. Ní mór athchumrú Firezone-ctl a fhorghníomhú chun athruithe a chur i bhfeidhm ar an gcomhad cumraíochta Firezone, atá suite ag /etc/firezone/firezone.rb.

Maidir le húsáideoirí atá fíordheimhnithe ag do sholáthraí OIDC, feicfidh tú an ceannteideal Connections OIDC ar leathanach sonraí úsáideora an Chomhéadain Gréasáin má tá Firezone in ann an comhartha athnuachana a fháil go rathúil.

Mura n-oibríonn sé seo, beidh ort d'aip OAuth atá ann cheana a scriosadh agus na céimeanna socraithe OIDC a athdhéanamh comhtháthú app nua a chruthú .

Tá comhtháthú OAuth reatha agam

Roimh 0.3.11, d'úsáid Firezone soláthraithe OAuth2 réamhchumraithe. 

Lean na treoracha anseo dul ar imirce go OIDC.

Níl soláthraí aitheantais comhtháite agam

Níl gá le gníomh. 

Is féidir leat na treoracha a leanúint anseo chun SSO a chumasú trí sholáthraí OIDC.

Uasghrádú ó 0.3.1 go >= 0.3.2

Ina áit, tá an réamhshocrú['firezone']['external url'] curtha in ionad na rogha cumraíochta['firezone']['fqdn']. 

Socraigh é seo chuig URL do thairseach ar líne Firezone a bhfuil rochtain ag an bpobal i gcoitinne air. Beidh sé réamhshocraithe chuig https:// mar aon leis an FQDN de do fhreastalaí má fhágtar gan sainmhíniú.

Tá an comhad cumraíochta suite ag /etc/firezone/firezone.rb. Féach ar thagairt an chomhaid chumraíochta le haghaidh liosta iomlán d’athróga cumraíochta agus a gcur síos.

Uasghrádú ó 0.2.x go 0.3.x

Ní choimeádann Firezone eochracha príobháideacha gléis ar an bhfreastalaí Firezone a thuilleadh ón leagan 0.3.0. 

Ní cheadóidh Chomhéadain Gréasáin Firezone duit na cumraíochtaí seo a athíoslódáil nó a fheiceáil, ach ba cheart go leanfadh aon ghléas atá ann cheana ag oibriú mar atá.

Uasghrádú ó 0.1.x go 0.2.x

Má tá tú ag uasghrádú ó Firezone 0.1.x, tá roinnt athruithe comhaid cumraíochta nach mór aghaidh a thabhairt orthu de láimh. 

Chun na modhnuithe riachtanacha a dhéanamh ar do chomhad /etc/firezone/firezone.rb, reáchtáil na horduithe thíos mar fhréamh.

 

cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak

sed -i “s/ \['cumasaithe'\]/\['cumasaithe'\]/” /etc/firezone/firezone.rb

macalla “réamhshocraithe['firezone']['connectivity_checks']['cumasaithe'] = fíor" >> /etc/firezone/firezone.rb

macalla “réamhshocraithe['firezone']['connectivity_checks']['eatramh'] = 3_600” >> /etc/firezone/firezone.rb

athchumrú firezone-ctl

atosú firezone-ctl

Fabhtcheartú

Céim ciallmhar is ea logaí Firezone a sheiceáil le haghaidh aon cheisteanna a d’fhéadfadh tarlú.

Rith eireaball sudo firezone-ctl chun na logaí Firezone a fheiceáil.

Saincheisteanna Nascachta a dhífhabhtú

Is de bharr rialacha iptable nó nftables neamh-chomhoiriúnacha a eascraíonn formhór na bhfadhbanna nascachta le Firezone. Ní mór duit a chinntiú nach dtagann aon rialacha atá agat i bhfeidhm in aghaidh rialacha Firezone.

Titeann Nascacht Idirlín nuair a bhíonn an Tollán Gníomhach

Bí cinnte go gceadaíonn an slabhra FORWARD paicéid ó do chliaint WireGuard chuig na láithreacha ar mhaith leat a ligean trí Firezone má thagann meath ar do nascacht Idirlín gach uair a ghníomhaíonn tú do thollán WireGuard.

 

Is féidir é seo a bhaint amach má tá ufw á úsáid agat trína chinntiú go gceadaítear an méid seo a leanas leis an mbeartas ródaithe réamhshocraithe:

 

ubuntu@fz:~$ sudo ufw default allowed

Athraíodh an polasaí réamhshocraithe go 'ceadaigh'

(Bí cinnte do rialacha a nuashonrú dá réir)

 

A WOW seans go mbeadh cuma mar seo ar stádas gnáthfhreastalaí Firezone:

 

ubuntu@fz:~$ sudo ufw status verbose

Stádas: gníomhach

Logáil: ar (íseal)

Réamhshocrú: diúltaigh (ag teacht isteach), ceadaigh (amach), ceadaigh (rothaíodh)

Próifílí nua: skip

 

Go Gníomh Ó

— —— —-

22/tcp CEADAIGH IN Áit ar bith

80/tcp CEADAIGH IN Áit ar bith

443/tcp CEADAIGH IN Áit ar bith

51820/udp CEADAIGH IN Áit ar bith

22/tcp (v6) CEADAIGH IN Áit ar bith (v6)

80/tcp (v6) CEADAIGH IN Áit ar bith (v6)

443/tcp (v6) CEADAIGH IN Áit ar bith (v6)

51820/udp (v6) CEADAIGH IN Áit ar bith (v6)

Breithnithe Slándála

Molaimid rochtain ar an gcomhéadan gréasáin a theorannú le haghaidh imscaradh táirgeachta atá thar a bheith íogair agus ríthábhachtach ó thaobh misean de, mar a mhínítear thíos.

Seirbhísí & Poirt

 

seirbhís

Port Réamhshocraithe

Éist Seoladh

Tuairisc

Nginx

80, 443

gach

Port poiblí HTTP(S) chun Firezone a riar agus chun fíordheimhniú a éascú.

Sreangán

51820

gach

Port WireGuard poiblí a úsáidtear le haghaidh seisiúin VPN. (UDP)

postgresql

15432

127.0.0.1

Port áitiúil amháin a úsáidtear le haghaidh freastalaí Postgresql cuachta.

An Fhionnuisce

13000

127.0.0.1

Port áitiúil amháin a úsáideann freastalaí aip elixir in aghaidh an tsrutha.

Imscaradh Táirgthe

Molaimid duit smaoineamh ar rochtain ar Chomhéadain Ghréasáin nochta poiblí Firezone a shrianadh (de réir calafoirt réamhshocraithe 443/tcp agus 80/tcp) agus ina ionad sin úsáid a bhaint as tollán WireGuard chun Firezone a bhainistiú le haghaidh táirgeadh agus imscaradh poiblí, áit a mbeidh riarthóir amháin i gceannas. na cumraíochtaí gléas a chruthú agus a dháileadh ar úsáideoirí deiridh.

 

Mar shampla, dá gcruthódh riarthóir cumraíocht gléas agus má chruthaigh sé tollán leis an seoladh áitiúil WireGuard 10.3.2.2, chuirfeadh an chumraíocht ufw seo a leanas ar chumas an riarthóir rochtain a fháil ar Chomhéadain Gréasáin Firezone ar chomhéadan wg-firezone an fhreastalaí ag baint úsáide as an réamhshocrú 10.3.2.1 seoladh tolláin:

 

root@demo:~# ufw status verbose

Stádas: gníomhach

Logáil: ar (íseal)

Réamhshocrú: diúltaigh (ag teacht isteach), ceadaigh (amach), ceadaigh (rothaíodh)

Próifílí nua: skip

 

Go Gníomh Ó

— —— —-

22/tcp CEADAIGH IN Áit ar bith

51820/udp CEADAIGH IN Áit ar bith

Áit ar bith CEADAIGH IN 10.3.2.2

22/tcp (v6) CEADAIGH IN Áit ar bith (v6)

51820/udp (v6) CEADAIGH IN Áit ar bith (v6)

Ní fhágfadh sé seo ach 22/tcp nochta do rochtain SSH chun an freastalaí a bhainistiú (roghnach), agus 51820/udp nochta d'fhonn tolláin WireGuard a bhunú.

Rith Ceisteanna SQL

Déanann Firezone freastalaí Postgresql agus meaitseáil psql áirgiúlacht is féidir a úsáid as an bhlaosc áitiúil mar seo:

 

/opt/firezone/leabaithe/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c “SQL_STATEMENT”

 

Féadfaidh sé seo a bheith ina chuidiú chun críocha dífhabhtaithe.

 

Tascanna Coitianta:

 

  • Gach úsáideoir a liostú
  • Gach gléas a liostú
  • Ról úsáideora a athrú
  • Tacaíocht a thabhairt don bhunachar sonraí



Gach úsáideoir á liostú:

 

/opt/firezone/leabaithe/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c “SELECT * Ó úsáideoirí;”



Gach gléas á liostú:

 

/opt/firezone/leabaithe/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c “SELECT *Ó feistí;”



Athraigh ról úsáideora:

 

Socraigh an ról mar 'riarachán' nó 'gan phribhléid':

 

/opt/firezone/leabaithe/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c “UPDATE users SET role = 'admin' WHERE email = 'user@example.com';”



Cúltaca an bhunachar sonraí:

 

Ina theannta sin, tá an clár dumpála pg san áireamh, ar féidir é a úsáid chun cúltacaí rialta a dhéanamh den bhunachar sonraí. Rith an cód seo a leanas chun cóip den bhunachar sonraí a dhumpáil san fhormáid choiteann iarratais SQL (cuir an áit inar cheart an comhad SQL a chruthú in ionad /path/to/backup.sql):

 

/opt/firezone/leabaithe/bin/pg_dump \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 > /path/to/backup.sql

Treoracha d'Úsáideoirí

  • Cuir Úsáideoirí Cuir
  • Cuir Gléasanna leis
  • Rialacha Éalaithe
  • Treoracha Cliant
  • Tollán Scoilte VPN
  • Tollán Droim ar Ais 
  • Geata NAT

Cuir Úsáideoirí Cuir

Tar éis do Firezone a bheith imlonnaithe go rathúil, ní mór duit úsáideoirí a chur leis chun rochtain a sholáthar dóibh ar do líonra. Úsáidtear an Chomhéadain Gréasáin chun é seo a dhéanamh.

 

UI Gréasáin


Tríd an gcnaipe "Cuir Úsáideoir" a roghnú faoi / users, is féidir leat úsáideoir a chur leis. Beidh ort seoladh ríomhphoist agus pasfhocal a thabhairt don úsáideoir. Chun rochtain uathoibríoch a thabhairt d’úsáideoirí i d’eagraíocht, is féidir le Firezone comhéadan agus sioncronú a dhéanamh le soláthraí aitheantais. Tá tuilleadh sonraí ar fáil i Fíordheimhniú. < Cuir nasc le Fíordheimhnigh

Cuir Gléasanna leis

Molaimid iarraidh ar úsáideoirí a gcuid cumraíochtaí gléis féin a chruthú ionas nach mbeidh ach an eochair phríobháideach le feiceáil acu. Is féidir le húsáideoirí a gcuid cumraíochtaí gléas féin a ghiniúint trí na treoracha ar an Treoracha Cliant leathanach.

 

Cumraíocht an ghléis riaracháin á giniúint

Is féidir le riarthóirí Firezone gach cumraíocht gléas úsáideora a chruthú. Ar an leathanach próifíle úsáideora atá suite ag /users, roghnaigh an rogha “Cuir Gléas leis” chun é seo a bhaint amach.

 

[Cuir isteach gabháil scáileáin]

 

Is féidir leat an comhad cumraíochta WireGuard a ríomhphost chuig an úsáideoir tar éis próifíl an ghléis a chruthú.

 

Tá úsáideoirí agus gléasanna nasctha. Le haghaidh tuilleadh sonraí ar conas úsáideoir a chur leis, féach Cuir Úsáideoirí Cuir.

Rialacha Éalaithe

Trí úsáid a bhaint as córas glanscagaire na heithne, cuireann Firezone ar chumas cumais scagtha éalaithe chun paicéid DROP nó ACCEPT a shonrú. De ghnáth ceadaítear gach trácht.

 

Tacaítear le IPv4 agus IPv6 CIDR agus seoltaí IP tríd an Liosta Cheadaithe agus an Diúltaigh, faoi seach. Is féidir leat rogha a dhéanamh raon feidhme a thabhairt d’úsáideoir agus é á chur leis, a chuireann an riail i bhfeidhm ar fheistí uile an úsáideora sin.

Treoracha Cliant

Suiteáil agus cumrú

Chun nasc VPN a bhunú ag baint úsáide as an gcliant dúchais WireGuard, déan tagairt don treoir seo.

 

1. Suiteáil an cliant dúchais WireGuard

 

Tá na cliaint Oifigiúla WireGuard atá lonnaithe anseo comhoiriúnach do Firezone:

 

MacOS

 

Windows

 

iOS

 

Android

 

Tabhair cuairt ar láithreán gréasáin oifigiúil WireGuard ag https://www.wireguard.com/install/ le haghaidh córais OS nach bhfuil luaite thuas.

 

2. Íoslódáil an comhad cumraíochta gléas

 

Is féidir le do riarthóir Firezone nó tú féin an comhad cumraíochta gléis a ghiniúint trí úsáid a bhaint as tairseach Firezone.

 

Tabhair cuairt ar an URL a sholáthair do riarthóir Firezone chun comhad cumraíochta gléis a ghiniúint féin. Beidh URL uathúil ag do ghnólacht chuige seo; sa chás seo, is é https://instance-id.yourfirezone.com.

 

Logáil isteach ar Firezone Okta SSO

 

[Cuir isteach Gabháil Scáileáin]

 

3. Cuir cumraíocht an chliaint leis

 

Iompórtáil an comhad the.conf isteach sa chliant WireGuard trína oscailt. Tríd an lasc Activate a smeach, is féidir leat seisiún VPN a thosú.

 

[Cuir isteach Gabháil Scáileáin]

Athfhíordheimhniú Seisiún

Lean na treoracha thíos má tá fíordheimhniú athfhillteach sainordaithe ag do riarthóir líonra chun do nasc VPN a choinneáil gníomhach. 



Ag teastáil uait:

 

URL na tairsí Firezone: Iarr ar do riarthóir líonra an nasc a dhéanamh.

Ba cheart go mbeadh do riarthóir líonra in ann do logáil isteach agus do phasfhocal a thairiscint. Tabharfaidh láithreán Firezone leid duit logáil isteach ag baint úsáide as an tseirbhís sínithe isteach aonair a úsáideann d'fhostóir (mar Google nó Okta).

 

1. Múch an nasc VPN

 

[Cuir isteach Gabháil Scáileáin]

 

2. Fíordheimhnigh arís 

Téigh go dtí URL na tairsí Firezone agus logáil isteach ag baint úsáide as na dintiúir a chuir do riarthóir líonra ar fáil. Má tá tú sínithe isteach cheana féin, cliceáil ar an gcnaipe Reauthenticate roimh síniú isteach arís.

 

[Cuir isteach Gabháil Scáileáin]

 

Céim 3: Seoladh seisiún VPN

[Cuir isteach Gabháil Scáileáin]

Bainisteoir líonra le haghaidh linux a

Chun próifíl chumraíochta WireGuard a allmhairiú ag baint úsáide as CLI Network Manager ar fheistí Linux, lean na treoracha seo (nmcli).

NÓTA

Má tá tacaíocht IPv6 cumasaithe ag an bpróifíl, seans go dteipfidh ar iarracht an comhad cumraíochta a iompórtáil ag baint úsáide as GUI an Bhainisteora Líonra leis an earráid seo a leanas:

ipv6.method: ní thacaítear leis an modh “auto” do WireGuard

1. Suiteáil na Uirlisí WireGuard 

Is gá na fóntais spáis úsáideora WireGuard a shuiteáil. Pacáiste a bheidh anseo ar a dtugtar garda sreinge nó uirlisí garda sreinge le haghaidh dáiltí Linux.

Le haghaidh Ubuntu/Debian:

sudo apt garda sreang a shuiteáil

Chun Fedora a úsáid:

sudo dnf shuiteáil wireguard-uirlisí

Arch Linux:

sudo pacman -S wireguard-uirlisí

Tabhair cuairt ar láithreán gréasáin oifigiúil WireGuard ag https://www.wireguard.com/install/ le haghaidh dáiltí nach bhfuil luaite thuas.

2. Íoslódáil cumraíocht 

Is féidir le do riarthóir Firezone nó do fhéinghiniúint an comhad cumraíochta gléis a ghiniúint trí úsáid a bhaint as tairseach Firezone.

Tabhair cuairt ar an URL a sholáthair do riarthóir Firezone chun comhad cumraíochta gléis a ghiniúint féin. Beidh URL uathúil ag do ghnólacht chuige seo; sa chás seo, is é https://instance-id.yourfirezone.com.

[Cuir isteach Gabháil Scáileáin]

3. Socruithe Iompórtáil

Iompórtáil an comhad cumraíochta soláthraithe ag baint úsáide as nmcli:

sudo nmcli nasc allmhairiú cineál garda sreinge comhad /path/to/configuration.conf

NÓTA

Comhfhreagróidh ainm an chomhaid chumraíochta don nasc/comhéadan WireGuard. Tar éis iompórtáil, is féidir an nasc a athainmniú más gá:

nasc nmcli modhnaigh [seanainm] connection.id [ainm nua]

4. Ceangail nó dícheangail

Tríd an líne ordaithe, ceangail leis an VPN mar a leanas:

nasc nmcli suas [ainm vpn]

Le dícheangal:

nasc nmcli síos [ainm vpn]

Is féidir feidhmchláirín an Bhainisteora Líonra is infheidhme a úsáid freisin chun an nasc a bhainistiú má tá GUI in úsáid.

Ceangal Auto

Trí “tá” a roghnú don rogha uathcheangail, is féidir an nasc VPN a chumrú chun nascadh go huathoibríoch:

 

nasc nmcli modhnaigh [vpn name] nasc. Ḃí ḟios ag aoinne ċoṁ maiṫ

 

autoconnect tá

 

Chun an nasc uathoibríoch a dhíchumasú, cuir ar ais chuig aon:

 

nasc nmcli modhnaigh [vpn name] nasc.

 

uathcheangal uimh

Cuir Fíordheimhniú Ilfhachtóra ar Fáil

Chun MFA a ghníomhachtú Téigh go dtí leathanach mfa na tairsí Firezone/cuntas úsáideora/cláraigh. Bain úsáid as d'aip fíordheimhnitheora chun an cód QR a scanadh tar éis é a ghiniúint, ansin cuir isteach an cód sé dhigit.

Déan teagmháil le do Riarthóir chun faisnéis rochtana do chuntais a athshocrú má chuireann tú d'aip fíordheimhnitheora amú.

Tollán Scoilte VPN

Siúlfaidh an teagasc seo tú tríd an bpróiseas chun gné tollánaithe scoilte WireGuard a bhunú le Firezone ionas nach gcuirfear ach trácht chuig raonta IP ar leith ar aghaidh tríd an bhfreastalaí VPN.

 

1. Cumraigh IPanna Ceadaithe 

Tá na raonta IP dá stiúrfaidh an cliant trácht líonra leagtha amach sa réimse IPanna Ceadaithe atá suite ar an leathanach /settings/default. Ní bheidh tionchar ag athruithe ar an réimse seo ach ar na cumraíochtaí tolláin WireGuard nuachruthaithe arna dtáirgeadh ag Firezone.

 

[Cuir isteach Gabháil Scáileáin]



Is é an luach réamhshocraithe ná 0.0.0.0/0, ::/0, a thugann gach trácht líonra ón gcliant chuig an bhfreastalaí VPN.

 

I measc samplaí de luachanna sa réimse seo tá:

 

0.0.0.0/0, ::/0 – cuirfear gach trácht líonra chuig an bhfreastalaí VPN.

192.0.2.3/32 – ní dhéanfar ach trácht chuig seoladh IP amháin a chur chuig an bhfreastalaí VPN.

3.5.140.0/22 ​​- ní dhéanfar ach trácht chuig IPanna sa raon 3.5.140.1 - 3.5.143.254 a chur chuig an bhfreastalaí VPN. Sa sampla seo, baineadh úsáid as an raon CIDR don réigiún ap-oirthuaisceart-2 AWS.



NÓTA

Roghnaíonn Firezone an comhéadan éalaithe a bhaineann leis an mbealach is beaichte ar dtús agus cinneadh á dhéanamh cén áit ar cheart paicéad a sheoladh.

 

2. Cumraíochtaí WireGuard a athghiniúint

Ní mór d'úsáideoirí na comhaid cumraíochta a athghiniúint agus iad a chur lena gcliant WireGuard dúchais chun feistí úsáideora atá ann cheana a nuashonrú leis an gcumraíocht tollán scoilte nua.

 

Le haghaidh treoracha, féach cuir gléas leis. <<<<<<<<< Cuir nasc

Tollán Droim ar Ais

Léireoidh an lámhleabhar seo conas dhá fheiste a nascadh le Firezone mar athsheachadán. Gnáthchás úsáide amháin is ea cur ar chumas riarthóir rochtain a fháil ar fhreastalaí, ar choimeádán nó ar mheaisín atá cosanta ag NAT nó balla dóiteáin.

 

Nód go Nód 

Léiríonn an léaráid seo cás simplí ina dtógann Feistí A agus B tollán.

 

[Cuir isteach pictiúr ailtireachta firezone]

 

Tosaigh le Gléas A agus Gléas B a chruthú trí nascleanúint a dhéanamh chuig /users/[user_id]/new_device. Sna socruithe do gach feiste, cinntigh go bhfuil na paraiméadair seo a leanas socraithe de réir na luachanna atá liostaithe thíos. Is féidir leat socruithe gléis a shocrú agus cumraíocht an ghléis á chruthú (féach Cuir Gléasanna leis). Más gá duit socruithe a nuashonrú ar ghléas atá ann cheana féin, is féidir leat é sin a dhéanamh trí chumraíocht gléis nua a ghiniúint.

 

Tabhair faoi deara go bhfuil leathanach /settings/defaults ag gach gléas inar féidir PersistentKeepalive a chumrú.

 

Gléas A.

 

CeadaitheIPanna = 10.3.2.2/32

  Is é seo IP nó raon IPanna Gléas B

SeasmhachKeepalive=25

  Má tá an gléas taobh thiar de NAT, cinntíonn sé seo go bhfuil an gléas in ann an tollán a choinneáil beo agus leanúint ar aghaidh ag fáil paicéid ón gcomhéadan WireGuard. De ghnáth is leor luach 25, ach seans go mbeidh ort an luach seo a laghdú ag brath ar do thimpeallacht.



B gléas

 

CeadaitheIPanna = 10.3.2.3/32

Is é seo IP nó raon IPanna Gléas A

SeasmhachKeepalive=25

Cás Riaracháin - Nód Amháin go Go leor

Léiríonn an sampla seo cás inar féidir le Feiste A cumarsáid a dhéanamh le Gléasanna B trí D sa dá threo. Is féidir leis an socrú seo ionadaíocht a dhéanamh ar innealtóir nó riarthóir a bhfuil rochtain aige ar acmhainní iomadúla (freastalaithe, coimeádáin, nó meaisíní) thar líonraí éagsúla.

 

[Léaráid Ailtireachta]<<<<>

 

Bí cinnte go ndéantar na socruithe seo a leanas i socruithe gach feiste go dtí na luachanna comhfhreagracha. Agus cumraíocht an ghléis á cruthú, is féidir leat socruithe gléas a shonrú (féach Cuir Gléasanna leis). Is féidir cumraíocht ghléis nua a chruthú más gá socruithe ar ghléas atá ann cheana a nuashonrú.

 

Gléas A (Nóid Riarthóra)

 

CeadaitheIPanna = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32 

    Is é seo IP na bhfeistí B trí D. Ní mór IPanna Feistí B trí D a áireamh in aon raon IP a roghnaíonn tú a shocrú.

SeasmhachKeepalive=25 

    Cinntíonn sé seo gur féidir leis an bhfeiste an tollán a chothabháil agus leanúint ar aghaidh ag fáil paicéid ón gcomhéadan WireGuard fiú má tá sé cosanta ag NAT. I bhformhór na gcásanna, is leor luach 25, ach ag brath ar do thimpeallacht, b'fhéidir go mbeadh ort an figiúr seo a ísliú.

 

Gléas B.

 

  • AllowedIPs = 10.3.2.2/32: Is é seo IP nó raon IP Ghléas A
  • SeasmhachKeepalive=25

Gléas C

 

  • AllowedIPs = 10.3.2.2/32: Is é seo IP nó raon IP Ghléas A
  • SeasmhachKeepalive=25

Gléas D

 

  • AllowedIPs = 10.3.2.2/32: Is é seo IP nó raon IP Ghléas A
  • SeasmhachKeepalive=25

Geata NAT

Chun IP aonair éalaithe statach a thairiscint do thrácht d’fhoireann go léir chun sileadh as, is féidir Firezone a úsáid mar gheata NAT. Baineann na cásanna seo le húsáid go minic:

 

Teagmhálacha Comhairliúcháin: Iarr ar do chustaiméir seoladh IP statach amháin a bhánú seachas IP gléas uathúil gach fostaí.

Seachfhreastalaí a úsáid nó do fhoinse IP a chumhdach chun críocha slándála nó príobháideachais.

 

Léireofar sa phostáil seo sampla simplí de theorannú rochtana ar fheidhmchlár gréasáin féin-óstaithe chuig IP statach bánliostaithe amháin a ritheann Firezone. Sa léiriú seo, tá Firezone agus an acmhainn chosanta i limistéir VPC éagsúla.

 

Is minic a úsáidtear an réiteach seo in ionad bánliosta IP a bhainistiú le haghaidh úsáideoirí deiridh iomadúla, rud a d’fhéadfadh a bheith am-íditheach de réir mar a théann an liosta rochtana i méid.

Sampla AWS

Is é an cuspóir atá againn ná freastalaí Firezone a bhunú ar chás EC2 chun trácht VPN a atreorú chuig an acmhainn shrianta. Sa chás seo, tá Firezone ag feidhmiú mar sheachvótálaí líonra nó mar gheata NAT chun IP sainiúil éalaithe poiblí a thabhairt do gach gléas nasctha.

 

1. Suiteáil an freastalaí Firezone

Sa chás seo, tá ásc Firezone suiteáilte ar shampla EC2 darb ainm tc2.micro. Chun faisnéis a fháil faoi Firezone a imscaradh, téigh chuig an Treoir Imlonnaithe. Maidir le AWS, bí cinnte:

 

Ceadaíonn grúpa slándála shampla Firezone EC2 trácht amach chuig seoladh IP na hacmhainne cosanta.

Tagann an cás Firezone le IP leaisteach. Is é seo a bheidh mar fhoinse seoladh IP do thrácht a chuirtear ar aghaidh tríd an gcás Firezone chuig cinn scríbe lasmuigh. Is é an seoladh IP atá i gceist ná 52.202.88.54.

 

[Cuir isteach Gabháil Scáileáin]<<<<<<<<<<<<<<<<<<<<<<>

 

2. Srian a chur ar rochtain ar an acmhainn atá á cosaint

Feidhmíonn feidhmchlár gréasáin féin-óstach mar acmhainn chosanta sa chás seo. Ní féidir teacht ar an aip gréasáin ach amháin trí iarratais a thagann ón seoladh IP 52.202.88.54. Ag brath ar an acmhainn, is féidir go mbeadh sé riachtanach trácht isteach a cheadú ar chalafoirt agus ar chineálacha tráchta éagsúla. Níl sé seo clúdaithe sa lámhleabhar seo.

 

[Cuir isteach gabháil scáileáin]<<<<<<<<<<<<<<<<<<<<<<>

 

Abair le do thoil leis an tríú páirtí atá i bhfeighil na hacmhainne cosanta nach mór trácht ón IP statach a shainítear i gCéim 1 a cheadú (sa chás seo 52.202.88.54).

 

3. Bain úsáid as an bhfreastalaí VPN chun trácht a threorú chuig an acmhainn chosanta

 

De réir réamhshocraithe, rachaidh an trácht úsáideora go léir tríd an bhfreastalaí VPN agus tiocfaidh sé ón IP statach a bhí cumraithe i gCéim 1 (sa chás seo 52.202.88.54). Mar sin féin, má tá tollánú scoilte cumasaithe, d'fhéadfadh go mbeadh gá le socruithe chun a chinntiú go bhfuil IP ceann scríbe na hacmhainne cosanta liostaithe i measc na IPanna Ceadaithe.

Cuir do theideal ceannteideal leis seo

Taispeántar thíos liosta iomlán de na roghanna cumraíochta atá ar fáil i /etc/firezone/firezone.rb.



rogha

tuairisc

luach réamhshocraithe

réamhshocrú['firezone']['external_url']

URL a úsáidtear chun rochtain a fháil ar thairseach gréasáin an ásc Firezone seo.

“https://#{nód['fqdn'] || nód['óstainm']}"

réamhshocrú['firezone']['config_directory']

Eolaire barrleibhéil do chumraíocht Firezone.

/etc/firezone'

réamhshocrú['firezone']['install_directory']

Eolaire barrleibhéil chun Firezone a shuiteáil go.

/roghnaigh/crios tine'

réamhshocrú['firezone']['app_directory']

Eolaire barrleibhéil chun an feidhmchlár gréasáin Firezone a shuiteáil.

“#{nód['firezone']['install_directory']}/leabaithe/seirbhís/crios tine"

réamhshocrú['firezone']['log_directory']

Eolaire barrleibhéil do logaí Firezone.

/var/log/firezone'

réamhshocrú['firezone']['var_directory']

Eolaire barrleibhéil do chomhaid ama rite Firezone.

/var/opt/firezone'

réamhshocrú['firezone']['úsáideoir']

Ainm an úsáideora Linux gan phribhléid is leis an gcuid is mó de na seirbhísí agus na comhaid.

crios tine'

réamhshocrú['firezone']['grúpa']

Ainm an ghrúpa Linux is leis an gcuid is mó de na seirbhísí agus na comhaid.

crios tine'

réamhshocrú['firezone']['admin_email']

Seoladh ríomhphoist don úsáideoir tosaigh Firezone.

“firezone@localhost”

réamhshocrú['firezone']['max_devices_per_user']

An líon uasta feistí is féidir le húsáideoir a bheith aige.

10

réamhshocraithe['firezone']['allow_unprivileged_device_management']

Ligeann sé d'úsáideoirí neamh-riaracháin gléasanna a chruthú agus a scriosadh.

TRUE

réamhshocrú['firezone']['allow_unprivileged_device_configuration']

Ligeann sé d'úsáideoirí neamh-riaracháin cumraíochtaí gléis a mhodhnú. Nuair atá sé díchumasaithe, cuireann sé cosc ​​ar úsáideoirí neamhphribhléideacha gach réimse gléas a athrú seachas ainm agus cur síos.

TRUE

réamhshocrú['firezone']['egress_interface']

Ainm an chomhéadain mar a n-imeoidh trácht tollánaithe. Mura bhfuil, úsáidfear an comhéadan bealaigh réamhshocraithe.

nialas

réamhshocrú['firezone']['fips_enable']

Cumasaigh nó díchumasaigh mód OpenSSL FIPs.

nialas

réamhshocrú['firezone']['logáil']['cumasaithe']

Cumasaigh nó díchumasaigh logáil trasna Firezone. Socraigh go bréagach chun an logáil a dhíchumasú go hiomlán.

TRUE

réamhshocrú['fiontar']['ainm']

Ainm a úsáideann an leabhar cócaireachta 'fiontar' Chef.

crios tine'

réamhshocrú['firezone']['install_path']

Suiteáil cosán a úsáideann leabhar cócaireachta 'fiontar' Chef. Ba chóir é a shocrú mar an gcéanna leis an install_directory thuas.

nód['firezone']['install_directory']

réamhshocrú['firezone']['sysvinit_id']

Aitheantóir a úsáidtear in /etc/inittab. Ní mór seicheamh uathúil a bheith ann de 1-4 charachtar.

SUP'

réamhshocrú['firezone']['fíordheimhnithe']['áitiúil']['cumasaithe']

Cumasaigh nó díchumasaigh fíordheimhniú ríomhphoist/pasfhocal áitiúil.

TRUE

réamhshocrú['firezone']['fíordheimhnithe']['auto_create_oidc_users']

Cruthaigh go huathoibríoch úsáideoirí a shíníonn isteach ó OIDC den chéad uair. Díchumasaigh chun ligean d'úsáideoirí reatha amháin síniú isteach trí OIDC.

TRUE

réamhshocrú['firezone']['fíordheimhnithe']['díchumasaigh_vpn_on_oidc_error']

Díchumasaigh VPN úsáideora má aimsítear earráid agus é ag iarraidh a chomhartha OIDC a athnuachan.

FALSE

réamhshocrú['firezone']['fíordheimhnithe']['oidc']

Cumraíocht OpenID Connect, san fhormáid {"soláthraí" => [config…]} - Féach Doiciméadú OpenIDConnect le haghaidh samplaí cumraíochta.

{}

réamhshocrú['firezone']['nginx']['cumasaithe']

Cumasaigh nó díchumasaigh an freastalaí nginx cuachta.

TRUE

réamhshocrú['firezone']['nginx']['ssl_port']

Port éisteachta HTTPS.

443

réamhshocrú['firezone']['nginx']['eolaire']

Eolaire chun cumraíocht ósta fíorúil nginx a bhaineann le Firezone a stóráil.

“#{nód['firezone']['var_directory']}/nginx/etc"

réamhshocrú['firezone']['nginx']['log_directory']

Eolaire chun comhaid logála nginx a bhaineann le Firezone a stóráil.

“#{nód['firezone']['log_directory']}/nginx"

réamhshocrú['firezone']['nginx']['log_rotation']['comhad_maxbytes']

Méid comhaid inar féidir comhaid logála Nginx a rothlú.

104857600

réamhshocraithe['firezone']['nginx']['log_rotation']['num_to_keep']

Líon na gcomhad logála Firezone nginx atá le coinneáil roimh é a chaitheamh amach.

10

réamhshocrú['firezone']['nginx']['log_x_forwarded_for']

Cibé ar cheart Firezone nginx x-ar aghaidh-do cheanntásc a logáil.

TRUE

réamhshocrú['firezone']['nginx']['hsts_header']['cumasaithe']

Cumasaigh nó díchumasaigh HSTS.

TRUE

réamhshocrú['firezone']['nginx']['hsts_header']['cuir san áireamh_subdomains']

Cumasaigh nó díchumasaigh áiríonn Fofhearainn don cheanntásc HSTS.

TRUE

réamhshocrú['firezone']['nginx']['hsts_header']['max_age']

Aois uasta don cheanntásc HSTS.

31536000

réamhshocrú['firezone']['nginx']['redirect_to_canonical']

Cibé ar cheart URLanna a atreorú chuig an FQDN canónach atá sonraithe thuas

FALSE

réamhshocrú['firezone']['nginx']['taisce']['cumasaithe']

Cumasaigh nó díchumasaigh an taisce Firezone nginx.

FALSE

réamhshocraithe['firezone']['nginx']['taisce']['eolaire']

Eolaire le haghaidh taisce Firezone nginx.

“#{nód['firezone']['var_directory']}/nginx/taisce”

réamhshocrú['firezone']['nginx']['úsáideoir']

Firezone nginx úsáideora.

nód['firezone']['úsáideoir']

réamhshocrú['firezone']['nginx']['grúpa']

Grúpa firezone nginx.

nód['firezone']['grúpa']

réamhshocrú['firezone']['nginx']['dir']

Eolaire cumraíochta nginx barrleibhéil.

nód['firezone']['nginx']['eolaire']

réamhshocrú['firezone']['nginx']['log_dir']

Eolaire logála nginx barrleibhéil.

nód['firezone']['nginx']['log_directory']

réamhshocrú['firezone']['nginx']['pid']

Suíomh le haghaidh comhad pid nginx.

“#{ nód['firezone']['nginx']['eolaire']}/nginx.pid”

réamhshocrú['firezone']['nginx']['daemon_disable']

Díchumasaigh mód deamhan nginx ionas gur féidir linn monatóireacht a dhéanamh air ina ionad sin.

TRUE

réamhshocraithe['firezone']['nginx']['gzip']

Cuir comhbhrú nginx gzip air nó as.

ar '

réamhshocrú['firezone']['nginx']['gzip_static']

Cuir comhbhrú nginx gzip air nó as le haghaidh comhaid statacha.

as'

réamhshocraithe['firezone']['nginx']['gzip_http_version']

Leagan HTTP le húsáid chun freastal ar chomhaid statacha.

1.0 '

réamhshocrú['firezone']['nginx']['gzip_comp_level']

leibhéal comhbhrú nginx gzip.

2 '

réamhshocrú['firezone']['nginx']['gzip_proxied']

Cumasaítear nó díchumasaítear gzipping freagraí ar iarratais seachfhreastalaí ag brath ar an iarratas agus an fhreagairt.

aon'

réamhshocrú['firezone']['nginx']['gzip_vary']

Cumasaítear nó díchumasaítear an ceanntásc freagartha “Athraithe: Glac le hionchódú” a chur isteach.

as'

réamhshocraithe['firezone']['nginx']['gzip_buffers']

Socraíonn sé líon agus méid na maoláin a úsáidtear chun freagairt a chomhbhrú. Mura bhfuil nialas, úsáidtear nginx réamhshocraithe.

nialas

réamhshocrú['firezone']['nginx']['gzip_types']

Cineálacha MIME chun comhbhrú gzip a chumasú le haghaidh.

['text/plain', 'text/css', 'app/x-javascript', 'text/xml', 'app/xml', 'app/rss+xml', 'app/atom+xml', ' téacs/javascript', 'iarratas/javascript', 'iarratas/json']

réamhshocraithe['firezone']['nginx']['gzip_min_length']

Íosfhad comhaid chun comhbhrú comhaid gzip a chumasú le haghaidh.

1000

réamhshocrú['firezone']['nginx']['gzip_disable']

Comhoiriúnóir úsáideora-ghníomhaire chun comhbhrú gzip a dhíchumasú le haghaidh.

MSIE [1-6]\.'

réamhshocrú['firezone']['nginx']['keepalive']

Gníomhachtaigh an taisce chun ceangal le freastalaithe in aghaidh an tsrutha.

ar '

réamhshocrú['firezone']['nginx']['keepalive_timeout']

Teorainn ama i soicindí le haghaidh nasc coimeádta le freastalaithe réamhtheachtacha.

65

réamhshocrú['firezone']['nginx']['worker_processes']

Líon próisis oibrithe nginx.

nód['cpu'] && nód['cpu']['iomlán'] ? nód['cpu']['iomlán'] :1

réamhshocrú['firezone']['nginx']['worker_connections']

An líon uasta nasc comhuaineach is féidir a oscailt le próiseas oibrithe.

1024

réamhshocrú['firezone']['nginx']['worker_rlimit_nofile']

Athraíonn sé an teorainn ar an líon uasta comhad oscailte do phróisis oibrithe. Úsáideann sé réamhshocrú nginx más nialas.

nialas

réamhshocrú['firezone']['nginx']['multi_accept']

Cibé ar cheart d’oibrithe glacadh le nasc amháin ag an am nó níos mó.

TRUE

réamhshocrú['firezone']['nginx']['imeacht']

Sonraítear an modh próiseála nasc le húsáid laistigh de chomhthéacs imeachtaí nginx.

eol'

réamhshocrú['firezone']['nginx']['server_tokens']

Cumasaíonn nó díchumasaítear leagan nginx astaithe ar leathanaigh earráide agus sa réimse ceanntásca freagartha “Freastalaí”.

nialas

réamhshocrú['firezone']['nginx']['server_names_hash_bucket_size']

Socraíonn sé méid an bhuicéid le haghaidh táblaí hash ainmneacha an fhreastalaí.

64

réamhshocrú['firezone']['nginx']['sendfile']

Cumasaítear nó díchumasaítear úsáid an chomhad seolta nginx().

ar '

réamhshocraithe['firezone']['nginx']['access_log_options']

Socraíonn sé roghanna logála rochtana nginx.

nialas

réamhshocrú['firezone']['nginx']['error_log_options']

Socraíonn sé roghanna logála earráide nginx.

nialas

réamhshocrú['firezone']['nginx']['disable_access_log']

Díchumasaítear logáil rochtana nginx.

FALSE

réamhshocrú['firezone']['nginx']['types_hash_max_size']

cineálacha nginx hash max méid.

2048

réamhshocrú['firezone']['nginx']['types_hash_bucket_size']

cineálacha nginx méid buicéad hash.

64

réamhshocrú['firezone']['nginx']['proxy_read_timeout']

Teorainn ama léite seachfhreastalaí nginx. Socraigh go nialas chun réamhshocrú nginx a úsáid.

nialas

réamhshocrú['firezone']['nginx']['client_body_buffer_size']

nginx méid maolán comhlacht cliant. Socraigh go nialas chun réamhshocrú nginx a úsáid.

nialas

réamhshocrú['firezone']['nginx']['client_max_body_size']

nginx cliant max méid comhlacht.

250m'

réamhshocrú['firezone']['nginx']['default']['modúil']

Sonraigh modúil nginx breise.

[]

réamhshocrú['firezone']['nginx'][ 'enable_rate_limiting']

Cumasaigh nó díchumasaigh teorannú ráta nginx.

TRUE

réamhshocrú['firezone']['nginx']['rate_limiting_zone_name']

Ainm crios teorannaithe ráta Nginx.

crios tine'

réamhshocrú['firezone']['nginx']['rate_limiting_backoff']

Ráta Nginx ag teorannú aisíocaíocht.

10m'

réamhshocrú['firezone']['nginx']['rate_limit']

Teorainn ráta Nginx.

10r/s'

réamhshocrú['firezone']['nginx']['ipv6']

Lig do nginx éisteacht le hiarratais HTTP le haghaidh IPv6 chomh maith le IPv4.

TRUE

réamhshocrú['firezone']['postgresql']['cumasaithe']

Cumasaigh nó díchumasaigh Postgresql cuachta. Socraigh go bréagach agus líon isteach na roghanna bunachar sonraí thíos chun do shampla Postgresql féin a úsáid.

TRUE

réamhshocrú['firezone']['postgresql']['ainm úsáideora']

Ainm úsáideora le haghaidh Postgresql.

nód['firezone']['úsáideoir']

réamhshocrú['firezone']['postgresql']['data_directory']

Eolaire sonraí postgresql.

“#{nód['firezone']['var_directory']}/postgresql/13.3/sonraí"

réamhshocrú['firezone']['postgresql']['log_directory']

Eolaire logáil postgresql.

“#{nód['firezone']['log_directory']}/postgresql"

réamhshocrú['firezone']['postgresql']['log_rotation']['comhad_maxbytes']

Uasmhéid comhaid logála Postgresql sula rothlaíonn sé.

104857600

réamhshocrú['firezone']['postgresql']['log_rotation']['num_to_keep']

Líon na gcomhad logála Postgresql le coinneáil.

10

réamhshocrú['firezone']['postgresql']['seicphointe_completion_target']

Sprioc críochnaithe seicphointe Postgresql.

0.5

réamhshocrú['firezone']['postgresql']['seicphointe_segments']

Líon na ndeighleoga seicphointe Postgresql.

3

réamhshocrú['firezone']['postgresql']['seicphointe_am istigh']

Teorainn ama seicphointe Postgresql.

5 nóiméad

réamhshocrú['firezone']['postgresql']['seicphointe_rabhadh']

Am rabhaidh seicphointe Postgresql i soicindí.

30í'

réamhshocrú['firezone']['postgresql']['éifeachtach_cache_size']

Méid éifeachtach taisce Postgresql.

128MB'

réamhshocrú['firezone']['postgresql']['listen_address']

Seoladh éisteachta postgresql.

127.0.0.1 '

réamhshocrú['firezone']['postgresql']['max_connections']

Naisc postgresql max.

350

réamhshocrú['firezone']['postgresql']['md5_auth_cidr_addresses']

Postgresql CIDR chun md5 auth a cheadú.

['127.0.0.1/32', '::1/128']

réamhshocrú['firezone']['postgresql']['port']

Postgresql port éisteacht.

15432

réamhshocrú['firezone']['postgresql']['shared_buffers']

Méid maoláin roinnte Postgresql.

“#{(nód['cuimhne']['iomlán'].to_i / 4) / 1024}MB"

réamhshocrú['firezone']['postgresql']['shmmax']

Postgresql shmmax i mbeart.

17179869184

réamhshocrú['firezone']['postgresql']['shmall']

Postgresql shmall i mbeart.

4194304

réamhshocrú['firezone']['postgresql']['work_mem']

Méid cuimhne oibre postgresql.

8MB'

réamhshocrú['firezone']['bunachar sonraí']['úsáideoir']

Sonraítear an t-ainm úsáideora a úsáidfidh Firezone chun nascadh leis an DB.

nód['firezone']['postgresql']['ainm úsáideora']

réamhshocraithe['firezone']['bunachar sonraí']['pasfhocal']

Má tá DB seachtrach in úsáid agat, sonraítear an pasfhocal a úsáidfidh Firezone chun nascadh leis an DB.

Athraigh mé'

réamhshocrú['firezone']['bunachar sonraí']['ainm']

Bunachar sonraí a úsáidfidh Firezone. Cruthófar é mura bhfuil sé ann.

crios tine'

réamhshocrú['firezone']['bunachar sonraí']['óstach']

Óstach bunachar sonraí a nascfaidh Firezone leis.

nód['firezone']['postgresql']['listen_address']

réamhshocrú['firezone']['bunachar sonraí']['port']

Port bunachar sonraí a nascfaidh Firezone leis.

nód['firezone']['postgresql']['port']

réamhshocraithe['firezone']['bunachar sonraí']['linn']

Méid an chomhthiomsaithe bunachar sonraí a úsáidfidh Firezone.

[10, próiseálaithe etc.n].max

réamhshocrú['firezone']['bunachar sonraí']['ssl']

Cibé an nascfar leis an mbunachar sonraí thar SSL.

FALSE

réamhshocrú['firezone']['bunachar sonraí']['ssl_opts']

Hash roghanna le seoladh chuig an rogha :ssl_opts agus tú ag nascadh thar SSL. Féach Doiciméid ecto.Adapters.Postgres.

{}

réamhshocrú['firezone']['bunachar sonraí']['paraiméadair']

Hash na bparaiméadar le seoladh chuig an rogha :parameters nuair atá tú ag nascadh leis an mbunachar sonraí. Féach Doiciméid ecto.Adapters.Postgres.

{}

réamhshocrú['firezone']['bunachar sonraí']['síntí']

Eisínteachtaí bunachar sonraí a chumasú.

{ 'plpgsql' => fíor, 'pg_trgm' => fíor }

réamhshocrú['firezone']['phoenix']['cumasaithe']

Cumasaigh nó díchumasaigh feidhmchlár gréasáin Firezone.

TRUE

réamhshocrú['firezone']['phoenix'][ 'listen_address']

Seoladh éisteachta feidhmchlár gréasáin Firezone. Is é seo an seoladh éisteachta réamhtheachtacha a sheachnaíonn nginx.

127.0.0.1 '

réamhshocrú['firezone']['phoenix']['port']

Port éisteachta feidhmchlár gréasáin Firezone. Is é seo an calafort in aghaidh an tsrutha a sheachvódálann nginx.

13000

réamhshocrú['firezone']['phoenix']['log_directory']

Eolaire loga feidhmchlár Gréasáin Firezone.

“#{nód['firezone']['log_directory']}/ phoenix”

réamhshocrú['firezone']['phoenix']['log_rotation']['comhad_maxbytes']

Méid comhaid logála feidhmchlár gréasáin Firezone.

104857600

réamhshocrú['firezone']['phoenix']['log_rotation']['num_to_keep']

Líon na gcomhad logála feidhmchlár gréasáin Firezone le coinneáil.

10

réamhshocrú['firezone']['phoenix']['crash_detection']['cumasaithe']

Cumasaigh nó díchumasaigh an feidhmchlár gréasáin Firezone a thabhairt anuas nuair a aimsítear timpiste.

TRUE

réamhshocrú['firezone']['phoenix']['proxies_trustáilte_seachtracha']

Liosta seachvótálaithe droim ar ais iontaofa atá formáidithe mar Eagar IPanna agus/nó CIDRanna.

[]

réamhshocrú['firezone']['peaceix']['cliaint_phríobháideach']

Liosta de chliaint HTTP de chuid an líonra phríobháidigh, formáidíodh Eagar IPanna agus/nó CIDRanna.

[]

réamhshocrú['firezone']['sreanggharda']['cumasaithe']

Cumasaigh nó díchumasaigh bainistíocht cuachta WireGuard.

TRUE

réamhshocrú['firezone']['wireguard']['log_directory']

Eolaire logála do bhainistiú cuachta WireGuard.

“#{nód['firezone']['log_directory']}/gharda sreinge”

réamhshocrú['firezone']['wireguard']['log_rotation']['file_maxbytes']

Comhad logála WireGuard Uasmhéid.

104857600

réamhshocraithe['firezone']['wireguard']['log_rotation']['num_to_keep']

Líon na gcomhad logála WireGuard le coinneáil.

10

réamhshocrú['firezone']['wireguard']['interface_name']

Ainm comhéadan WireGuard. D’fhéadfadh caillteanas sealadach a bheith mar thoradh ar an bparaiméadar seo a athrú i nascacht VPN.

wg- firezone'

réamhshocrú['firezone']['wireguard']['port']

Port éisteachta WireGuard.

51820

réamhshocrú['firezone']['wireguard']['mtu']

Comhéadan WireGuard MTU don fhreastalaí seo agus do chumraíochtaí gléis.

1280

réamhshocrú['firezone']['sreanggharda']['críochphointe']

Críochphointe WireGuard le húsáid chun cumraíochtaí gléis a ghiniúint. Mura bhfuil, mainneachtainí chuig seoladh IP poiblí an fhreastalaí.

nialas

réamhshocrú['firezone']['wireguard']['dns']

WireGuard DNS le húsáid le haghaidh cumraíochtaí gléis a ghintear.

1.1.1.1, 1.0.0.1 ′

réamhshocrú['firezone']['wireguard']['allowed_ips']

WireGuard CeadaitheIPanna a úsáid le haghaidh cumraíochtaí gléasanna ginte.

0.0.0.0/0, ::/0′

réamhshocrú['firezone']['wireguard']['persistent_keepalive']

Socrú réamhshocraithe PersistentKeepalive le haghaidh cumraíochtaí gléis ginte. Díchumasaítear luach 0.

0

réamhshocrú['firezone']['sreanggharda']['ipv4']['cumasaithe']

Cumasaigh nó díchumasaigh IPv4 do líonra WireGuard.

TRUE

réamhshocrú['firezone']['wireguard']['ipv4']['masquerade']

Cumasaigh nó díchumasaigh masquerade le haghaidh paicéid a fhágann an tollán IPv4.

TRUE

réamhshocrú['firezone']['wireguard']['ipv4']['líonra']

Comhthiomsú seoltaí IPv4 líonra WireGuard.

10.3.2.0/24 ′

réamhshocrú['firezone']['wireguard']['ipv4']['seoladh']

Seoladh IPv4 comhéadan WireGuard. Ní mór a bheith laistigh de chomhthiomsú seoltaí WireGuard.

10.3.2.1 '

réamhshocrú['firezone']['sreanggharda']['ipv6']['cumasaithe']

Cumasaigh nó díchumasaigh IPv6 do líonra WireGuard.

TRUE

réamhshocrú['firezone']['wireguard']['ipv6']['masquerade']

Cumasaigh nó díchumasaigh masquerade le haghaidh paicéid a fhágann an tollán IPv6.

TRUE

réamhshocrú['firezone']['wireguard']['ipv6']['líonra']

Comhthiomsú seoltaí IPv6 líonra WireGuard.

fd00::3:2:0/120′

réamhshocrú['firezone']['wireguard']['ipv6']['seoladh']

Seoladh IPv6 comhéadan WireGuard. Ní mór a bheith laistigh de chomhthiomsú seoltaí IPv6.

fd00::3:2:1

réamhshocrú['firezone']['runit']['svlogd_bin']

Suíomh bin runit svlogd.

“#{nód['firezone']['install_directory']}/leabaithe/bin/svlogd"

réamhshocrú['firezone']['ssl']['eolaire']

Eolaire SSL chun teastais ginte a stóráil.

/var/opt/firezone/ssl'

réamhshocrú['firezone']['ssl']['email_address']

Seoladh ríomhphoist le húsáid le haghaidh deimhnithe féin-shínithe agus fógraí athnuachana prótacail ACME.

tusa@sampla.com'

réamhshocrú['firezone']['ssl']['acme']['cumasaithe']

Cumasaigh ACME le haghaidh soláthar uathoibríoch deimhnithe SSL. Díchumasaigh é seo chun Nginx a chosc ó éisteacht ar phort 80. Féach anseo le haghaidh tuilleadh treoracha.

FALSE

réamhshocraithe['firezone']['ssl']['acme']['server']

Freastalaí ACME le húsáid le haghaidh eisiúint/athnuachan deimhnithe. Is féidir a bheith ar bith freastalaí acme.sh bailí

lesencrypt

réamhshocrú['firezone']['ssl']['acme']['keylength']

Sonraigh cineál agus fad na heochrach le haghaidh deimhnithe SSL. Féach anseo

eic-256

réamhshocrú['firezone']['ssl']['teastas']

Conair chuig an gcomhad teastais do do FQDN. Sáraíonn sé an socrú ACME thuas má shonraítear é. Más rud é nach bhfuil ACME agus seo ar bith ag baint leis an dá cheann, ginfear teastas féin-shínithe.

nialas

réamhshocraithe['firezone']['ssl']['certificate_key']

Conair go dtí an comhad teastais.

nialas

réamhshocrú['firezone']['ssl']['ssl_dhparam']

nginx ssl dh_param.

nialas

réamhshocrú['firezone']['ssl']['country_name']

Ainm tíre don teastas féin-shínithe.

SAM'

réamhshocrú['firezone']['ssl']['state_name']

Luaigh an t-ainm don teastas féin-shínithe.

CA '

réamhshocrú['firezone']['ssl']['locality_name']

Ainm ceantair don teastas féin-shínithe.

San Francisco'

réamhshocraithe['firezone']['ssl']['company_name']

Deimhniú féin-shínithe ainm cuideachta.

Mo Chuideachta'

réamhshocrú['firezone']['ssl']['organisational_unit_name']

Ainm aonaid eagraíochtúil le haghaidh teastas féin-shínithe.

Oibríochtaí'

réamhshocrú['firezone']['ssl']['ciphers']

Sifir SSL le haghaidh nginx a úsáid.

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’

réamhshocrú['firezone']['ssl']['fips_ciphers']

Sifir SSL le haghaidh mód FIPs.

FIPS@STRENGTH :!aNULL:!eNULL'

réamhshocrú['firezone']['ssl']['prótacail']

Prótacail TLS le húsáid.

TLSv1 TLSv1.1 TLSv1.2′

réamhshocrú['firezone']['ssl']['session_cache']

Taisce seisiúin SSL.

roinnte: SSL: 4m'

réamhshocrú['firezone']['ssl']['seisiún_am istigh']

Teorainn ama seisiúin SSL.

5m'

réamhshocrú['firezone']['robots_allow']

Ceadaíonn robots nginx.

/'

réamhshocrú['firezone']['robots_disallow']

Dhiúltaigh robots nginx.

nialas

réamhshocrú['firezone']['outbound_email']['ó']

Ríomhphost amach ón seoladh.

nialas

réamhshocrú['firezone']['outbound_email']['soláthraí']

Soláthraí seirbhíse ríomhphoist amach.

nialas

réamhshocrú['firezone']['outbound_email']['configs']

Cumraíochtaí soláthraí ríomhphoist amach.

féach omnibus/leabhair chócaireachta/firezone/attributes/default.rb

réamhshocrú['firezone']['teiliméadracht'][ 'cumasaithe']

Cumasaigh nó díchumasaigh teiliméadracht táirge gan ainm.

TRUE

réamhshocrú['firezone']['connectivity_checks']['cumasaithe']

Cumasaigh nó díchumasaigh an tseirbhís seiceála nascachta Firezone.

TRUE

réamhshocrú['firezone']['connectivity_shecks']['eatramh']

Eatramh idir seiceálacha nascachta i soicindí.

3_600



________________________________________________________________

 

Suímh Comhad Agus Eolaire

 

Anseo gheobhaidh tú liosta de na comhaid agus na heolairí a bhaineann le suiteáil tipiciúil Firezone. D'fhéadfadh siad seo athrú ag brath ar athruithe ar do chomhad cumraíochta.



cosán

tuairisc

/var/opt/firezone

Eolaire barrleibhéil ina bhfuil sonraí agus cumraíocht ginte do sheirbhísí cuachta Firezone.

/roghnaigh/crios tine

Eolaire barrleibhéil ina bhfuil leabharlanna tógtha, comhaid dhénártha agus comhaid ama rite a theastaíonn ó Firezone.

/usr/bin/firezone-ctl

fóntais firezone-ctl chun do shuiteáil Firezone a bhainistiú.

/etc/systemd/system/firezone-runsvdir-start.service

comhad aonaid systemd chun tús a chur le próiseas maoirseoirí Firezone runsvdir.

/etc/firezone

Comhaid cumraíochta Firezone.



__________________________________________________________

 

Teimpléid Balla Dóiteáin

 

Bhí an leathanach seo folamh i ndoiciméid

 

_____________________________________________________________

 

Teimpléad balla dóiteáin nftables saor in aisce,

 

Is féidir an teimpléad balla dóiteáin nftables seo a leanas a úsáid chun an freastalaí atá ag rith Firezone a dhaingniú. Déanann an teimpléad roinnt boinn tuisceana; b’fhéidir go mbeidh ort na rialacha a choigeartú chun freastal ar do chás úsáide:

  • Ainmnítear an comhéadan WireGuard wg-firezone. Mura bhfuil sé seo ceart, athraigh an athróg DEV_WIREGUARD chun teacht leis an rogha cumraíochta réamhshocraithe['firezone']['wireguard']['interface_name'].
  • Is é 51820 an port a bhfuil WireGuard ag éisteacht air. Mura bhfuil an port réamhshocraithe in úsáid agat, athraigh an athróg WIREGUARD_PORT.
  • Ní cheadófar ach an trácht isteach seo a leanas chuig an bhfreastalaí:
    • SSH (port TCP 22)
    • HTTP (port TCP 80)
    • HTTPS (port TCP 443)
    • WireGuard (port UDP WIREGUARD_PORT)
    • UDP rianaithe (calafort UDP 33434-33524, ráta teoranta do 500/soicind)
    • ICMP agus ICMPv6 (ráta freagraí ping/ping teoranta go 2000/soicind)
  • Ní cheadófar ach an trácht amach seo a leanas ón bhfreastalaí:
    • DNS (UDP agus TCP port 53)
    • HTTP (port TCP 80)
    • NTP (port UDP 123)
    • HTTPS (port TCP 443)
    • Aighneacht SMTP (port TCP 587)
    • UDP rianaithe (calafort UDP 33434-33524, ráta teoranta do 500/soicind)
  • Déanfar trácht nach ionann é a logáil. Tá na rialacha a úsáidtear le haghaidh logáil scartha ó na rialacha chun trácht a laghdú agus tá siad teoranta ó thaobh rátaí. Ní dhéanfar difear do thrácht má bhaintear na rialacha logála ábhartha.

Rialacha Bainistithe Firezone

Cumraíonn Firezone a rialacha nftables féin chun trácht chuig cinn scríbe atá cumraithe sa chomhéadan gréasáin a cheadú/a dhiúltú agus chun NAT amach a láimhseáil do thrácht cliant.

Má chuirtear an teimpléad balla dóiteáin thíos i bhfeidhm ar fhreastalaí atá ag rith cheana féin (ní ag am tosaithe) déanfar rialacha Firezone a ghlanadh. D’fhéadfadh impleachtaí slándála a bheith aige seo.

Chun oibriú timpeall air seo, atosú an tseirbhís Fhionnuisce:

firezone-ctl atosú Fhionnuisce

Teimpléad Bunús Balla Dóiteáin

#!/usr/sbin/nft -f

 

## Glan / sruthlaigh na rialacha atá ann cheana féin

sraith rialacha dúiseacht

 

########################### Athróga ############### #############

## Ainm comhéadan Idirlín/WAN

shainigh DEV_WAN = eth0

 

## Ainm comhéadan WireGuard

define DEV_WIREGUARD = wg-crios tine

 

## Port éisteachta WireGuard

shainigh WIREGUARD_PORT = 51820

########################## ATHRAITHEACHA DEIREADH ############### ###########

 

# Príomhthábla scagacháin teaghlaigh inet

scagaire tábla inet {

 

 # Rialacha maidir le trácht ar aghaidh

 # Próiseáiltear an slabhra seo roimh an slabhra tosaigh Firezone

 slabhra ar aghaidh {

   cineál scagaire crúca ar aghaidh scagaire tosaíochta - 5; glacadh le polasaí

 }

 

 # Rialacha maidir le trácht ionchuir

 ionchur slabhra {

   cineál scagaire hook scagaire tosaíochta ionchur; titim polasaí

 

   ## Ceadaigh trácht isteach chuig an gcomhéadan loopback

   iif lo \

     glacadh \

     trácht “Ceadaigh gach trácht isteach ón gcomhéadan loopback”

 

   ## Cead bunaithe agus naisc ghaolmhara

   stát ct bunaithe, gaolmhar \

     glacadh \

     trácht “Ceadúnas bunaithe/naisc ghaolmhara”

 

   ## Ceadaigh trácht WireGuard isteach

   iif $DEV_WAN udp dport $WIREGUARD_PORT \

     cuntar \

     glacadh \

     trácht “Ceadaigh trácht WireGuard isteach”

 

   ## Logáil agus scaoil paicéid nua TCP neamh-SYN

   bratacha tcp!= sync ct luaigh nua \

     ráta teorann 100/pléasc nóiméad 150 paicéid \

     réimír loga “I – Nua !SYN: “ \

     trácht “Logáil teorann rátaí do naisc nua nach bhfuil tacar bratach SYN TCP acu”

   bratacha tcp!= sync ct luaigh nua \

     cuntar \

     titim \

     trácht “Fág naisc nua nach bhfuil tacar bratach SYN TCP acu”

 

   ## Logáil agus scaoil paicéid TCP le tacar neamhbhailí bratach eite/sin

   bratacha tcp & (fin|syn) == (fin|syn) \

     ráta teorann 100/pléasc nóiméad 150 paicéid \

     réimír loga “IN – TCP FIN|SIN:" \

     trácht “Logáil teorann rátaí do phaicéid TCP a bhfuil tacar neamhbhailí bratach eite/sin orthu”

   bratacha tcp & (fin|syn) == (fin|syn) \

     cuntar \

     titim \

     trácht “Buail paicéid TCP le tacar neamhbhailí bratach eite/syn”

 

   ## Logáil agus scaoil paicéid TCP a bhfuil tacar neamhbhailí sioncronaithe/bratacha acu

   bratacha tcp & (syn|chéad) == (syn|chéad) \

     ráta teorann 100/pléasc nóiméad 150 paicéid \

     réimír loga “IN – TCP SYN|RST:" \

     trácht “Logáil teorann ráta do phaicéid TCP le tacar neamhbhailí sioncronaithe/bratacha den chéad uair”

   bratacha tcp & (syn|chéad) == (syn|chéad) \

     cuntar \

     titim \

     trácht “Buail paicéid TCP a bhfuil tacar neamhbhailí sioncronaithe/bratacha acu”

 

   ## Logáil agus scaoil bratacha TCP neamhbhailí

   bratacha tcp & (fin|syn|chéad|psh|ack|urg) < (fin) \

     ráta teorann 100/pléasc nóiméad 150 paicéid \

     réimír loga “IN – FIN:" \

     trácht “Logáil teorainneacha rátaí le haghaidh bratacha TCP neamhbhailí (fin|syn|chéad|psh|ack|urg) < (fin)"

   bratacha tcp & (fin|syn|chéad|psh|ack|urg) < (fin) \

     cuntar \

     titim \

     trácht “Buail paicéid TCP a bhfuil bratacha orthu (fin|syn|chéad|psh|ack|urg) < (fin)"

 

   ## Logáil agus scaoil bratacha TCP neamhbhailí

   bratacha tcp & (fin|syn|chéad|psh|ack|urg) == (fin|psh|urg) \

     ráta teorann 100/pléasc nóiméad 150 paicéid \

     réimír loga “IN – FIN|PSH|URG:" \

     trácht “Logáil teorainneacha rátaí le haghaidh bratacha TCP neamhbhailí (fin|syn|chéad|psh|ack|urg) == (fin|psh|urg)"

   bratacha tcp & (fin|syn|chéad|psh|ack|urg) == (fin|psh|urg) \

     cuntar \

     titim \

     trácht “Buail paicéid TCP a bhfuil bratacha orthu (fin|syn|chéad|psh|ack|urg) == (fin|psh|urg)"

 

   ## Laghdaigh an trácht agus staid naisc neamhbhailí

   staid ct neamhbhailí \

     ráta teorann 100/pléasc nóiméad 150 paicéid \

     log flags gach réimír “IN – Neamhbhailí:” \

     trácht “Logáil teorann ráta do thrácht le staid naisc neamhbhailí”

   staid ct neamhbhailí \

     cuntar \

     titim \

     trácht “Lig an trácht le staid ceangail neamhbhailí”

 

   ## Ceadaigh freagraí ping/ping IPv4 ach teorainn an ráta go 2000 PPS

   ip prótacal icmp cineál icmp { macalla freagra, iarratas macalla } \

     ráta teorann 2000/dara \

     cuntar \

     glacadh \

     trácht “Ceadaigh macalla IPv4 isteach (ping) teoranta do 2000 PPS”

 

   ## Ceadaigh gach ICMP IPv4 isteach eile

   ip prótacal icmp \

     cuntar \

     glacadh \

     trácht “Ceadaigh gach IPv4 ICMP eile”

 

   ## Ceadaigh freagraí ping/ping IPv6 ach teorainn an ráta go 2000 PPS

   cineál icmpv6 { macalla freagra, iarratas macalla } \

     ráta teorann 2000/dara \

     cuntar \

     glacadh \

     trácht “Ceadaigh macalla IPv6 isteach (ping) teoranta do 2000 PPS”

 

   ## Ceadaigh gach ICMP IPv6 isteach eile

   meta l4proto { icmpv6 } \

     cuntar \

     glacadh \

     trácht “Ceadaigh gach IPv6 ICMP eile”

 

   ## Ceadaigh calafoirt UDP rianaithe isteach ach teorainn go 500 PPS

   udp dport 33434-33524 \

     ráta teorann 500/dara \

     cuntar \

     glacadh \

     trácht “Ceadaigh rianbhealach UDP isteach teoranta do 500 PPS”

 

   ## Ceadaigh SSH isteach

   tcp dport ssh ct stát nua \

     cuntar \

     glacadh \

     trácht “Ceadaigh naisc SSH isteach”

 

   ## Ceadaigh HTTP agus HTTPS isteach

   tcp dport { http, https } luaigh ct nua \

     cuntar \

     glacadh \

     trácht “Ceadaigh naisc HTTP agus HTTPS isteach”

 

   ## Logáil aon trácht gan chomhoiriúnú ach logáil teorainn rátaí go dtí 60 teachtaireacht/nóiméad ar a mhéad

   ## Cuirfear an polasaí réamhshocraithe i bhfeidhm ar thrácht gan chomhoiriúnú

   ráta teorann 60/pléasc nóiméad 100 paicéid \

     réimír loga "I - Buail:" \

     trácht “Logáil aon trácht gan chomhoiriúnú”

 

   ## Déan an trácht gan chomhoiriúnú a chomhaireamh

   cuntar \

     trácht “Comhair aon trácht gan chomhoiriúnú”

 }

 

 # Rialacha maidir le trácht aschuir

 aschur slabhra {

   cineál scagaire Hook tosaíochta aschuir scagaire; titim polasaí

 

   ## Ceadaigh trácht amach chuig an gcomhéadan loopback

   oif lo \

     glacadh \

     trácht “Ceadaigh gach trácht amach chuig an gcomhéadan loopback”

 

   ## Cead bunaithe agus naisc ghaolmhara

   stát ct bunaithe, gaolmhar \

     cuntar \

     glacadh \

     trácht “Ceadúnas bunaithe/naisc ghaolmhara”

 

   ## Ceadaigh trácht amach WireGuard sula scaoiltear naisc le drochstaid

   oifig $DEV_WAN spórt udp $WIREGUARD_PORT \

     cuntar \

     glacadh \

     trácht “Ceadaigh trácht amach WireGuard”

 

   ## Laghdaigh an trácht agus staid naisc neamhbhailí

   staid ct neamhbhailí \

     ráta teorann 100/pléasc nóiméad 150 paicéid \

     log flags gach réimír “AMACH – Neamhbhailí:” \

     trácht “Logáil teorann ráta do thrácht le staid naisc neamhbhailí”

   staid ct neamhbhailí \

     cuntar \

     titim \

     trácht “Lig an trácht le staid ceangail neamhbhailí”

 

   ## Ceadaigh gach ICMP IPv4 eile amach

   ip prótacal icmp \

     cuntar \

     glacadh \

     trácht “Ceadaigh gach cineál IPv4 ICMP”

 

   ## Ceadaigh gach ICMP IPv6 eile amach

   meta l4proto { icmpv6 } \

     cuntar \

     glacadh \

     trácht “Ceadaigh gach cineál IPv6 ICMP”

 

   ## Ceadaigh calafoirt UDP rianaithe amach ach teorainn go 500 PPS

   udp dport 33434-33524 \

     ráta teorann 500/dara \

     cuntar \

     glacadh \

     trácht “Ceadaigh rianbhealach UDP amach teoranta do 500 PPS”

 

   ## Ceadaigh naisc HTTP agus HTTPS amach

   tcp dport { http, https } luaigh ct nua \

     cuntar \

     glacadh \

     trácht “Ceadaigh naisc HTTP agus HTTPS amach”

 

   ## Ceadaigh aighneacht SMTP amach

   tcp dport aighneacht ct luaigh nua \

     cuntar \

     glacadh \

     trácht “Ceadaigh aighneacht SMTP amach”

 

   ## Ceadaigh iarratais DNS amach

   udp dport 53 \

     cuntar \

     glacadh \

     trácht “Cead iarratais DNS amach UDP”

   tcp dport 53 \

     cuntar \

     glacadh \

     trácht “Cead iarratais amach TCP DNS”

 

   ## Ceadaigh iarratais NTP amach

   udp dport 123 \

     cuntar \

     glacadh \

     trácht “Cead iarratais NTP amach”

 

   ## Logáil aon trácht gan chomhoiriúnú ach logáil teorainn rátaí go dtí 60 teachtaireacht/nóiméad ar a mhéad

   ## Cuirfear an polasaí réamhshocraithe i bhfeidhm ar thrácht gan chomhoiriúnú

   ráta teorann 60/pléasc nóiméad 100 paicéid \

     réimír loga "AMACH - Buail:" \

     trácht “Logáil aon trácht gan chomhoiriúnú”

 

   ## Déan an trácht gan chomhoiriúnú a chomhaireamh

   cuntar \

     trácht “Comhair aon trácht gan chomhoiriúnú”

 }

 

}

 

# Príomhthábla scagacháin NAT

tábla inet nat {

 

 # Rialacha maidir le réamhródú tráchta NAT

 réamhródú slabhra {

   cineál nat hook ag réamhródú dstnat tosaíochta; glacadh le polasaí

 }

 

 # Rialacha maidir le trácht NAT tar éis an ródú

 # Próiseáiltear an tábla seo roimh shlabhra iarródaithe Firezone

 postródaíocht slabhra {

   clóscríobh nat hook tosaíocht postrouting srcnat - 5; glacadh le polasaí

 }

 

}

Úsáid

Ba cheart an balla dóiteáin a stóráil sa suíomh ábhartha don dáileadh Linux atá ar siúl. Do Debian/Ubuntu is é seo /etc/nftables.conf agus do RHEL is é seo /etc/sysconfig/nftables.conf.

Beidh gá le nftables.service a chumrú le tosú ar an tosaithe (mura bhfuil cheana féin) socraithe:

systemctl cumasú nftables.service

Má dhéantar aon athruithe ar an teimpléad balla dóiteáin is féidir an chomhréir a bhailíochtú tríd an ordú seiceála a rith:

nft -f /path/to/nftables.conf -c

Bí cinnte na hoibreacha balla dóiteáin a bhailíochtú mar a bhíothas ag súil leis mar go bhféadfadh sé nach mbeidh gnéithe nftables áirithe ar fáil ag brath ar an scaoileadh a ritheann ar an bhfreastalaí.



_______________________________________________________________



Teiliméadracht

 

Tugann an doiciméad seo forbhreathnú ar an teiliméadracht a bhailíonn Firezone ó do chás féin-óstaithe agus conas é a dhíchumasú.

An fáth a bhailíonn Firezone teiliméadracht

Crios Dóiteáin ag brath maidir le teiliméadracht chun ár bplean oibre a chur in ord tosaíochta agus na hacmhainní innealtóireachta atá againn a bharrfheabhsú chun Firezone a dhéanamh níos fearr do chách.

Tá sé mar aidhm ag an teiliméadracht a bhailímid na ceisteanna seo a leanas a fhreagairt:

  • Cé mhéad duine a shuiteáil, a úsáideann agus a stopann úsáid a bhaint as Firezone?
  • Cad iad na gnéithe is luachmhaire, agus cé na cinn nach bhfeiceann aon úsáid?
  • Cén fheidhmiúlacht is gá a fheabhsú?
  • Nuair a bhriseann rud éigin, cén fáth ar bhris sé, agus conas is féidir linn é a chosc sa todhchaí?

Conas a bhailímid teiliméadracht

Tá trí phríomháit ina mbailítear teiliméadracht i Firezone:

  1. Teiliméadracht phacáiste. Áirítear leis imeachtaí ar nós suiteáil, díshuiteáil agus uasghrádú.
  2. teiliméadracht CLI ó orduithe firezone-ctl.
  3. Teiliméadracht táirgí a bhaineann leis an tairseach Gréasáin.

I ngach ceann de na trí chomhthéacs seo, gabhaimid an t-íosmhéid sonraí atá riachtanach chun na ceisteanna sa chuid thuas a fhreagairt.

Ní bhailítear ríomhphoist riarthóir ach amháin má roghnaíonn tú go sainráite leas a bhaint as nuashonruithe táirge. Seachas sin, tá faisnéis inaitheanta phearsanta riamh bailithe.

Stórálann Firezone teiliméadracht i gcás féin-óstáilte de PostHog a ritheann i gcnuasach príobháideach Kubernetes, nach bhfuil inrochtana ach ag foireann Firezone. Seo sampla d’imeacht teiliméadrachta a sheoltar ó do chás de Firezone chuig ár bhfreastalaí teiliméadrachta:

{

   dul: “0182272d-0b88-0000-d419-7b9a413713f1”,

   “stampa ama”: “2022-07-22T18:30:39.748000+00:00”,

   “imeacht”: “Fz_http_started”,

   “distinct_id”: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,

   “maoine”:{

       “$geoip_city_name”: "Ashburn",

       “$geoip_continent_code”: "N / A",

       “$geoip_continent_name”: "Meiriceá Thuaidh",

       “$geoip_country_cód”: “SAM”,

       “$geoip_country_name”: "Stáit Aontaithe",

       “$geoip_domhanleithead”: 39.0469,

       “$geoip_longitude”: -77.4903,

       “$geoip_postal_code”: "20149",

       “$geoip_subdivision_1_code”: “VA”,

       “$geoip_subdivision_1_name”: "Virginia",

       “$geoip_time_zone”: “Meiriceá/Nua_Eabhrac”,

       "$ip": "52.200.241.107",

       “$plugins_iarchurtha”:[],

       “Theip ar $plugins_”:[],

       “D’éirigh le $plugins_d’éirigh leis”: [

           “GeoIP (3)”

       ],

       “distinct_id”: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,

       “fqdn”: “awsdemo.firezone.dev”,

       “kernel_version”: "linux 5.13.0",

       “leagan”: "0.4.6"

   },

   “eilimintí_slabhra”: ""

}

Conas teiliméadracht a dhíchumasú

NÓTA

Foireann forbartha Firezone ag brath ar anailísí táirgí chun Firezone a dhéanamh níos fearr do chách. Is é fágáil teiliméadrachta cumasaithe an ranníocaíocht is luachmhaire is féidir leat a dhéanamh le forbairt Firezone. É sin ráite, tuigimid go bhfuil riachtanais phríobháideachais nó slándála níos airde ag roinnt úsáideoirí agus gurbh fhearr leo teiliméadracht a dhíchumasú ar fad. Más mar sin atá tú, lean ort ag léamh.

Tá teiliméadracht cumasaithe de réir réamhshocraithe. Chun teiliméadracht táirge a dhíchumasú go hiomlán, socraigh an rogha cumraíochta seo a leanas go bréagach in /etc/firezone/firezone.rb agus rith sudo firezone-ctl athchumrú chun na hathruithe a phiocadh suas.

réamhshocraithe['crios tine'][teiliméadracht]['chumasaithe'] = bréagach

Díchumasóidh sé sin teiliméadracht an táirge go hiomlán.