Schrëtt-fir-Schrëtt Instruktioune fir Hailbytes VPN mat Firezone GUI z'installéieren ginn hei geliwwert.
Administratioun: D'Astellung vun der Serverinstanz ass direkt mat dësem Deel verbonnen.
User Guides: Nëtzlech Dokumenter déi Iech léiere kënnen wéi Dir Firezone benotzt an typesch Probleemer léist. Nodeems de Server erfollegräich ofgebaut gouf, kuckt op dës Sektioun.
Split Tunneling: Benotzt de VPN fir nëmmen Traffic op spezifesch IP Beräicher ze schécken.
Whitelisting: Setzt déi statesch IP Adress vun engem VPN Server fir Whitelisting ze benotzen.
Reverse Tunnels: Erstellt Tunnelen tëscht verschiddene Peer mat ëmgedréint Tunnel.
Mir si frou Iech ze hëllefen wann Dir Hëllef braucht fir Hailbytes VPN z'installéieren, ze personaliséieren oder ze benotzen.
Ier d'Benotzer kënnen Apparat Konfiguratiounsdateien produzéieren oder eroflueden, kann Firezone konfiguréiert ginn fir Authentifikatioun ze erfuerderen. D'Benotzer mussen och periodesch nei authentifizéieren fir hir VPN Verbindung aktiv ze halen.
Och wa Firezone seng Standard Loginmethod lokal E-Mail a Passwuert ass, kann et och mat all standardiséierte OpenID Connect (OIDC) Identitéitsprovider integréiert ginn. D'Benotzer kënnen elo an Firezone aloggen mat hiren Okta, Google, Azure AD oder privaten Identitéitsprovider Umeldungsinformatiounen.
Integréiert E Generic OIDC Provider
D'Konfiguratiounsparameter déi Firezone brauch fir SSO mat engem OIDC Provider z'erméiglechen ginn am Beispill hei ënnen gewisen. Op /etc/firezone/firezone.rb fannt Dir d'Konfiguratiounsdatei. Run firezone-ctl reconfigure a firezone-ctl restart fir d'Applikatioun ze aktualiséieren an d'Ännerungen a Kraaft ze huelen.
# Dëst ass e Beispill mat Google an Okta als SSO Identitéit Provider.
# Multiple OIDC Konfiguratiounen kënnen op déiselwecht Firezone Instanz bäigefüügt ginn.
# Firezone kann e Benotzer säi VPN deaktivéieren wann et e Feeler festgestallt gëtt wann Dir probéiert
# fir hiren access_token z'erfrëschen. Dëst ass verifizéiert fir fir Google, Okta, an
# Azure SSO a gëtt benotzt fir automatesch e Benotzer säi VPN ze trennen wa se ewechgeholl ginn
# vum OIDC Provider. Loosst dëst behënnert wann Ären OIDC Provider
# huet Probleemer déi Zougang Tokens erfrëschen well et onerwaart a kéint ënnerbriechen
# Benotzer VPN Sessioun.
default['firezone']['authentication']['disable_vpn_on_oidc_error'] = falsch
default['firezone']['authentication']['oidc'] = {
Google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ",
client_geheim: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "Code",
Ëmfang: "Openid E-Mail Profil",
Label: "Google"
},
okta: {
discovery_document_uri: "https:// /.well-known/openid-configuration",
client_id: " ",
client_geheim: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "Code",
Ëmfang: "Openid E-Mail Profil offline_Access",
Label: "Okta"
}
}
Déi folgend Configuratiounsastellunge si fir d'Integratioun erfuerderlech:
Fir all OIDC Provider gëtt eng entspriechend schéin URL erstallt fir op d'Umeldungs-URL vum konfiguréierte Provider ze redirectéieren. Fir d'Beispill OIDC Config uewendriwwer sinn d'URLen:
Ubidder fir déi mir Dokumentatioun hunn:
Wann Ären Identitéitsprovider e generesche OIDC Connector huet an net uewen opgezielt ass, gitt w.e.g. an hir Dokumentatioun fir Informatiounen iwwer wéi Dir déi néideg Konfiguratiounsastellungen zréckkënnt.
D'Astellung ënner Astellungen / Sécherheet kann geännert ginn fir periodesch nei Authentifikatioun ze erfuerderen. Dëst kann benotzt ginn fir d'Ufuerderung ëmzesetzen datt d'Benotzer regelméisseg an Firezone aginn fir hir VPN Sessioun weiderzemaachen.
D'Sessiounslängt kann konfiguréiert sinn tëscht enger Stonn an néngzeg Deeg. Andeems Dir dëst op Ni setzt, kënnt Dir VPN Sessiounen zu all Moment aktivéieren. Dëst ass de Standard.
E Benotzer muss seng VPN Sessioun ofschléissen an op de Firezone Portal aloggen fir eng ofgelafte VPN Sessioun nei ze authentifizéieren (URL spezifizéiert wärend der Deployment).
Dir kënnt Är Sessioun nei authentifizéieren andeems Dir déi präzis Clientinstruktiounen hei fannt.
Status vun der VPN Verbindung
D'Benotzer Säit's VPN Connection Table Kolonn weist de Verbindungsstatus vun engem Benotzer. Dëst sinn d'Verbindungsstatus:
ENABLED - D'Verbindung ass aktivéiert.
DISABLED - D'Verbindung gëtt vun engem Administrator oder OIDC Erfrëschungsfehler deaktivéiert.
EXPIRED - D'Verbindung ass ausgeschalt wéinst der Authentifikatiounsoffall oder e Benotzer huet sech net fir d'éischte Kéier ugemellt.
Duerch den allgemenge OIDC Connector erméiglecht Firezone Single Sign-On (SSO) mat Google Workspace a Cloud Identity. Dëse Guide weist Iech wéi Dir d'Konfiguratiounsparameter kritt, déi hei ënnendrënner opgezielt sinn, déi néideg sinn fir d'Integratioun:
1. OAuth Configuratioun Écran
Wann dëst déi éischte Kéier ass datt Dir eng nei OAuth Client ID erstellt, gitt Dir gefrot fir en Zoustëmmungsbildschierm ze konfiguréieren.
* Wielt Intern fir Benotzertyp. Dëst garantéiert datt nëmmen Konten, déi zu Benotzer an Ärer Google Workspace Organisatioun gehéieren, Apparatkonfiguratioune kënnen erstellen. Wielt NET Extern ausser Dir wëllt iergendeen mat engem gültege Google Kont aktivéieren fir Apparatkonfiguratiounen ze kreéieren.
Um App Informatiounsbildschierm:
2. Schafen OAuth Client IDen
Dës Sektioun baséiert op Google senger eegener Dokumentatioun op OAuth 2.0 opsetzen.
Besicht d'Google Cloud Console Umeldungsinformatiounen Säit Säit, klickt op + Erstellt Umeldungsinformatiounen a wielt OAuth Client ID.
Op der OAuth Client ID Kreatioun Écran:
Nodeems Dir d'OAuth Client ID erstallt hutt, kritt Dir eng Client ID a Client Secret. Dës ginn zesumme mat der Viruleedung URI am nächste Schrëtt benotzt.
Ännerung /etc/firezone/firezone.rb fir d'Optiounen hei ënnen ze enthalen:
# Benotzt Google als SSO Identitéitsprovider
default['firezone']['authentication']['oidc'] = {
Google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ",
client_geheim: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "Code",
Ëmfang: "Openid E-Mail Profil",
Label: "Google"
}
}
Run firezone-ctl reconfigure a firezone-ctl restart fir d'Applikatioun ze aktualiséieren. Dir sollt elo e Sign-in with Google Button an der root Firezone URL gesinn.
Firezone benotzt de generesche OIDC Connector fir Single Sign-On (SSO) mat Okta ze erliichteren. Dësen Tutorial weist Iech wéi Dir d'Konfiguratiounsparameter kritt, déi hei ënnen opgezielt sinn, déi néideg sinn fir d'Integratioun:
Dës Sektioun vum Guide baséiert op Okta Dokumentatioun.
An der Admin Console, gitt op Uwendungen> Uwendungen a klickt App Integratioun erstellen. Setzt Umeldungsmethod op OICD - OpenID Connect an Applikatiounstyp op Webapplikatioun.
Konfiguréieren dës Astellungen:
Wann d'Astellunge gespäichert sinn, kritt Dir eng Client ID, Client Secret an Okta Domain. Dës 3 Wäerter ginn am Schrëtt 2 benotzt fir Firezone ze konfiguréieren.
Ännerung /etc/firezone/firezone.rb fir d'Optiounen hei drënner ze enthalen. Är discovery_document_url wäert sinn /.bekannt/openid-configuration ugeschloss fir d'Enn vun Ärem okta_domain.
# Benotzt Okta als SSO Identitéitsprovider
default['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri: "https:// /.well-known/openid-configuration",
client_id: " ",
client_geheim: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "Code",
Ëmfang: "Openid E-Mail Profil offline_Access",
Label: "Okta"
}
}
Run firezone-ctl reconfigure a firezone-ctl restart fir d'Applikatioun ze aktualiséieren. Dir sollt elo e Sign-in mat Okta Knäppchen an der root Firezone URL gesinn.
D'Benotzer déi Zougang zu der Firezone App kréien kënnen duerch Okta limitéiert ginn. Gitt op Är Okta Admin Console's Firezone App Integration's Assignments Säit fir dëst z'erreechen.
Duerch den generesche OIDC Connector erméiglecht Firezone Single Sign-On (SSO) mat Azure Active Directory. Dës Handbuch weist Iech wéi Dir d'Konfiguratiounsparameter kritt, déi hei ënnen opgezielt sinn, déi fir d'Integratioun néideg sinn:
Dëse Guide ass aus dem Azure Active Directory Docs.
Gitt op d'Azure Active Directory Säit vum Azure Portal. Wielt d'Menüoptioun verwalten, wielt Nei Registréierung, a registréiert Iech dann andeems Dir d'Informatioun hei drënner ubitt:
Nodeems Dir Iech ugemellt hutt, öffnen d'Detailer Vue vun der Applikatioun a kopéiert d' Applikatioun (Client) ID. Dëst wäert de Client_id Wäert sinn. Als nächst, öffnen de Endpunktmenü fir d'Recuperatioun OpenID Connect Metadatendokument. Dëst wäert de discovery_document_uri Wäert sinn.
Erstellt en neit Client Geheimnis andeems Dir op d'Zertifikater & Geheimnisser Optioun ënner dem Manage Menu klickt. Kopie de Client Geheimnis; de Client geheime Wäert wäert dëst ginn.
Endlech, wielt de Link API Permissiounen ënner dem Manage Menu, klickt Füügt eng Erlaabnisa wielt Microsoft Graf, Foto Email, OpenID, offline_zougang an Profil op déi néideg Permissiounen.
Ännerung /etc/firezone/firezone.rb fir d'Optiounen hei ënnen ze enthalen:
# Benotzt Azure Active Directory als SSO Identitéitsprovider
default['firezone']['authentication']['oidc'] = {
azur: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.well-known/openid-configuration",
client_id: " ",
client_geheim: " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
response_type: "Code",
Ëmfang: "Openid E-Mail Profil offline_Access",
Label: "Azure"
}
}
Run firezone-ctl reconfigure a firezone-ctl restart fir d'Applikatioun ze aktualiséieren. Dir sollt elo e Sign-in with Azure Button an der root Firezone URL gesinn.
Azure AD erlaabt Administrateuren den Zougang zu enger spezifescher Grupp vu Benotzer an Ärer Firma ze limitéieren. Méi Informatioun iwwer wéi dëst ze maachen kann an der Microsoft Dokumentatioun fonnt ginn.
Chef Omnibus gëtt vu Firezone benotzt fir Aufgaben ze managen, dorënner Verëffentlechungsverpackungen, Prozessiwwerwaachung, Logmanagement, a méi.
Ruby Code mécht déi primär Konfiguratiounsdatei aus, déi op /etc/firezone/firezone.rb läit. Wann Dir sudo firezone-ctl nei konfiguréieren, nodeems Dir Ännerunge vun dëser Datei gemaach hutt, gëtt de Chef d'Ännerungen unerkennen an op den aktuellen Betribssystem applizéieren.
Gesinn d'Configuratiounsdatei Referenz fir eng komplett Lëscht vun Configuratioun Verännerlechen an hir Beschreiwunge.
Är Firezone Instanz kann iwwer de Feierzone-ctl Kommando, wéi ënnendrënner gewisen. Déi meescht Ënnerbefehl erfuerdert Präfix mat sudo.
root@demo:~# firezone-ctl
omnibus-ctl: Kommando (Ënnerkommando)
Allgemeng Kommandoen:
gerein
Läschen * all * Firezone Daten, a fänkt vun Null un.
create-oder-reset-admin
Reset d'Passwuert fir den Administrateur mat der E-Mail, déi als Standard spezifizéiert ass ['firezone']['admin_email'] oder erstellt en neien Administrateur wann dës E-Mail net existéiert.
Hëllef
Drécken dës Hëllef Message.
nei konfiguréieren
Reconfiguréieren der Applikatioun.
Reset-Netzwierk
Reset nftables, WireGuard Interface, a Routing Tabelle zréck op Firezone Standards.
show-config
Weist d'Konfiguratioun déi duerch Rekonfiguratioun generéiert gëtt.
Ofbau-Netzwierk
Ewechzehuelen WireGuard Interface an firezone nftables Dësch.
force-cert-Erneierung
Zertifikat Erneierung elo zwéngen och wann et net ofgelaf ass.
stoppen-cert-Erneierung
Ewechzehuelen cronjob datt Certificaten erneiert.
Installéieren
Kill all Prozesser an deinstalléieren de Prozess Supervisor (Daten ginn erhaalen).
Versioun
Weist déi aktuell Versioun vu Firezone
Service Management Kommandoen:
graceful-kill
Probéiert eng graziéis Stopp, da SIGKILL de ganze Prozessgrupp.
hup
Schéckt de Servicer eng HUP.
INT
Schéckt de Servicer eng INT.
ëmbréngen
Schéckt d'Servicer e KILL.
eemol
Start d'Servicer wann se erof sinn. Start se net nei wann se ophalen.
Neistart
Stop d'Servicer wann se lafen, da fänkt se erëm un.
Service-Lëscht
Lëscht all Servicer (aktivéiert Servicer schéngen mat engem *.)
Ufank
Start Servicer wa se erof sinn, a restart se wann se ophalen.
Status
Weist de Status vun all de Servicer.
ophalen
Stoppen d'Servicer, a start se net nei.
Schwäif
Kuckt de Service Logbicher vun all aktivéierte Servicer.
laangfristeg
Schéckt d'Servicer e TERM.
usr 1
Schéckt d'Servicer eng USR1.
usr 2
Schéckt d'Servicer eng USR2.
All VPN Sessiounen mussen ofgeschloss ginn ier Dir Firezone Upgrade, wat och fuerdert d'Web UI auszeschalten. Am Fall wou eppes schief geet beim Upgrade, rode mir Iech eng Stonn fir Ënnerhalt ze setzen.
Fir Firezone ze verbesseren, huelt déi folgend Aktiounen:
Wann et Problemer entstinn, loosst eis w.e.g engem Support Ticket ofginn.
Et ginn e puer briechen Ännerungen a Konfiguratiounsännerungen am 0.5.0, déi musse behandelt ginn. Fannt méi hei ënnen eraus.
Nginx ënnerstëtzt net méi Kraaft SSL an Net-SSL Portparameter wéi vun der Versioun 0.5.0. Well Firezone SSL brauch fir ze schaffen, rode mir de Bündel Nginx Service ze läschen andeems Dir Standard['firezone']['nginx']['enabled'] = falsch setzt an Äre Reverse Proxy op d'Phoenix App um Port 13000 leet amplaz (par défaut) ).
0.5.0 féiert ACME Protokoll Ënnerstëtzung fir automatesch SSL Certificaten mat dem gebündelten Nginx Service ze erneieren. Fir z'aktivéieren,
D'Méiglechkeet fir Reegelen mat duplizéierten Destinatiounen ze addéieren ass am Firezone 0.5.0 fort. Eis Migratiounsskript erkennt dës Situatiounen automatesch während engem Upgrade op 0.5.0 an behält nëmmen d'Regele, deenen hir Destinatioun déi aner Regel enthält. Et gëtt näischt wat Dir maache musst wann dëst an der Rei ass.
Soss, ier Dir Upgrade, rode mir Iech Äert Regeleset z'änneren fir dës Situatiounen lass ze ginn.
Firezone 0.5.0 läscht Ënnerstëtzung fir déi al-Stil Okta a Google SSO Konfiguratioun zugonschte vun der neier, méi flexibel OIDC-baséiert Konfiguratioun.
Wann Dir eng Konfiguratioun ënner de Standard['firezone']['authentication']['okta'] oder Standard['firezone']['authentication']['google'] Schlësselen hutt, musst Dir dës an eisen OIDC migréieren -baséiert Konfiguratioun mam Guide hei ënnen.
Bestehend Google OAuth Konfiguratioun
Ewechzehuelen dës Zeilen, déi déi al Google OAuth Konfiguratioune vun Ärer Konfiguratiounsdatei enthalen, déi um /etc/firezone/firezone.rb läit
default['firezone']['authentication']['google']['aktivéiert']
default['firezone']['authentication']['google']['client_id']
default['firezone']['authentication']['google']['client_secret']
default['firezone']['authentication']['google']['redirect_uri']
Da konfiguréiert Google als OIDC Provider andeems Dir d'Prozeduren hei befollegt.
(Gitt Linkinstruktiounen) <<<<<<<<<<<<<<<<
Configuréieren bestehend Google OAuth
Ewechzehuelen dës Zeilen déi al Okta OAuth Configuratioun vun Ärer Konfiguratiounsdatei op /etc/firezone/firezone.rb
default['firezone']['Authentifikatioun']['okta']['aktivéiert']
default['firezone']['authentication']['okta']['client_id']
default['firezone']['Authentifikatioun']['okta']['client_secret']
Standard['firezone']['Authentifikatioun']['okta']['site']
Da konfiguréiert Okta als OIDC Provider andeems Dir d'Prozeduren hei befollegt.
Ofhängeg vun Ärem aktuelle Setup a Versioun, befollegt d'Uweisungen hei ënnen:
Wann Dir schonn eng OIDC Integratioun hutt:
Fir e puer OIDC Ubidder, Upgrade op >= 0.3.16 erfuerdert e Refresh Token fir den Offline Zougang Ëmfang ze kréien. Andeems Dir dëst maacht, gëtt séchergestallt datt Firezone mam Identitéitsprovider aktualiséiert gëtt an datt d'VPN-Verbindung ofgeschalt gëtt nodeems e Benotzer geläscht gëtt. Firezone fréier Iteratiounen hunn dës Feature gefeelt. A verschiddene Fäll kënnen d'Benotzer déi vun Ärem Identitéitsprovider geläscht ginn nach ëmmer mat engem VPN verbonne sinn.
Et ass néideg fir den Offline Zougang am Ëmfangparameter vun Ärer OIDC Konfiguratioun fir OIDC Ubidder ze enthalen déi den Offline Zougang Ëmfang ënnerstëtzen. Firezone-ctl reconfigure muss ausgefouert ginn fir Ännerungen an der Firezone Konfiguratiounsdatei z'applizéieren, déi op /etc/firezone/firezone.rb läit.
Fir Benotzer déi vun Ärem OIDC Provider authentifizéiert goufen, gesitt Dir d'OIDC Connections Rubrik an der Benotzerdetailer Säit vum Web UI wann Firezone fäeg ass den Erfrëschung Token erfollegräich ze recuperéieren.
Wann dëst net funktionnéiert, musst Dir Är existent OAuth App läschen an d'OIDC Setup Schrëtt widderhuelen fir eng nei App Integratioun erstellen .
Ech hunn eng bestehend OAuth Integratioun
Virun 0.3.11 huet Firezone pre-konfiguréiert OAuth2 Ubidder benotzt.
Befollegt d'Instruktioune hei op OIDC ze migréieren.
Ech hunn keen Identitéitsprovider integréiert
Keng Handlung gebraucht.
Dir kënnt d'Instruktioune verfollegen hei fir SSO duerch en OIDC Provider z'aktivéieren.
Op senger Plaz huet de Standard['firezone']['external url'] d'Konfiguratiounsoptioun Standard['firezone']['fqdn'] ersat.
Setzt dëst op d'URL vun Ärem Firezone Online Portal deen fir d'Allgemengheet zougänglech ass. Et gëtt Standard op https:// plus de FQDN vun Ärem Server wann et net definéiert ass.
D'Konfiguratiounsdatei ass op /etc/firezone/firezone.rb. Gesinn d'Configuratiounsdatei Referenz fir eng komplett Lëscht vun Configuratioun Verännerlechen an hir Beschreiwunge.
Firezone hält net méi privaten Apparatschlësselen um Firezone Server ab Versioun 0.3.0.
De Firezone Web UI erlaabt Iech net nei erofzelueden oder dës Konfiguratiounen ze gesinn, awer all existent Geräter solle weider funktionnéieren wéi et ass.
Wann Dir vun Firezone 0.1.x Upgrade bass, ginn et e puer Configuratiounsdatei Ännerungen déi manuell adresséiert musse ginn.
Fir déi néideg Ännerunge fir Är /etc/firezone/firezone.rb Datei ze maachen, fuert d'Befehle hei ënnen als Root.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['enabled'] = wouer” >> /etc/firezone/firezone.rb
echo “default['firezone']['connectivity_checks']['interval'] = 3_600” >> /etc/firezone/firezone.rb
firezone-ctl nei konfiguréieren
firezone-ctl Restart
D'Firezone Logbicher kontrolléieren ass e schlau éischte Schrëtt fir all Probleemer déi optrieden.
Run sudo firezone-ctl Schwanz fir d'Firezone Logbicher ze gesinn.
D'Majoritéit vu Konnektivitéitsprobleemer mat Firezone ginn duerch inkompatibel iptables oder nftables Reegelen bruecht. Dir musst sécher sinn datt all Reegelen déi Dir a Wierkung hutt net mat de Firezone Reegelen kollidéieren.
Vergewëssert Iech datt d'FORWARD Kette Pakete vun Äre WireGuard Clienten erlaabt op d'Plazen déi Dir duerch Firezone wëllt loossen, wann Är Internetverbindung verschlechtert all Kéier wann Dir Ären WireGuard Tunnel aktivéiert.
Dëst kann erreecht ginn wann Dir ufw benotzt andeems Dir garantéiert datt d'Standard Routing Politik erlaabt ass:
ubuntu@fz:~$ sudo ufw Standard erlaabt geréckelt
Standard router Politik geännert op 'erlaabt'
(Gitt sécher Är Reegelen deementspriechend ze aktualiséieren)
A Wow Status fir en typesche Firezone Server kéint esou ausgesinn:
ubuntu@fz:~$ sudo ufw status verbose
Status: aktiv
Logged: op (niddereg)
Default: refuséieren (akommen), erlaben (ausgaang), erlaben (routéiert)
Nei Profiler: iwwersprangen
Ze Aktioun Vun
——— —-
22/tcp ERLAGEN AN Iwwerall
80/tcp ERLAGEN AN Iwwerall
443 / tcp ERLAGEN AN Iwwerall
51820/udp ERLAGEN AN Iwwerall
22/tcp (v6) ALLOW IN Anywhere (v6)
80/tcp (v6) ALLOW IN Anywhere (v6)
443/tcp (v6) ALLOW IN Anywhere (v6)
51820/udp (v6) ALLOW IN Anywhere (v6)
Mir roden den Zougang zum Webinterface fir extrem sensibel a missionskritesch Produktiounsinstallatiounen ze limitéieren, wéi hei ënnen erkläert.
Service | Default Port | Lauschtert Adress | description |
Nginx | 80, 443 | all | Ëffentlech HTTP(S) Hafen fir Firezone ze administréieren an d'Authentifikatioun z'erliichteren. |
Drot Gard | 51820 | all | Ëffentlech WireGuard Hafen fir VPN Sessiounen benotzt. (UDP) |
postgresql | 15432 | 127.0.0.1 | Lokal-nëmmen Hafen benotzt fir gebündelte Postgresql Server. |
Phoenix | 13000 | 127.0.0.1 | Lokal-nëmmen Hafen benotzt vum Upstream Elixir App Server. |
Mir roden Iech drun ze denken, den Zougang zu Firezone's ëffentlech exponéierten Web UI ze beschränken (par défaut Ports 443/tcp an 80/tcp) an amplaz den WireGuard Tunnel ze benotzen fir Firezone fir Produktioun an ëffentlech viséiert Deployementer ze managen, wou een eenzegen Administrateur verantwortlech ass d'Erstelle an d'Verdeelung vun Apparatkonfiguratiounen un den Endbenotzer.
Zum Beispill, wann en Administrateur eng Apparatkonfiguratioun erstallt huet an en Tunnel mat der lokaler WireGuard Adress 10.3.2.2 erstallt huet, géif déi folgend ufw Konfiguratioun den Administrator erlaben Zougang zu der Firezone Web UI op der Wg-firezone Interface vum Server mat der Standard 10.3.2.1 Tunnel Adress:
root@demo:~# ufw status verbose
Status: aktiv
Logged: op (niddereg)
Default: refuséieren (akommen), erlaben (ausgaang), erlaben (routéiert)
Nei Profiler: iwwersprangen
Ze Aktioun Vun
——— —-
22/tcp ERLAGEN AN Iwwerall
51820/udp ERLAGEN AN Iwwerall
Iwwerall ERLAGEN AN 10.3.2.2
22/tcp (v6) ALLOW IN Anywhere (v6)
51820/udp (v6) ALLOW IN Anywhere (v6)
Dëst géif nëmmen verloossen 22/tcp ausgesat fir SSH Zougang de Server ze verwalten (fakultativ), an 51820/dp ausgesat fir WireGuard Tunnelen opzebauen.
Firezone bündelt e Postgresql Server a passend psql Utility déi aus der lokaler Shell benotzt ka ginn wéi esou:
/opt/firezone/embedded/bin/psql \
-U Feierzone \
-d firezone \
-h localhost \
-p 15432 \
-c "SQL_STATEMENT"
Dëst kann hëllefräich sinn fir Debugging Zwecker.
Gemeinsam Aufgaben:
Oplëschtung vun all Benotzer:
/opt/firezone/embedded/bin/psql \
-U Feierzone \
-d firezone \
-h localhost \
-p 15432 \
-c "SELECT * VUN Benotzer;"
Oplëschtung vun all Apparater:
/opt/firezone/embedded/bin/psql \
-U Feierzone \
-d firezone \
-h localhost \
-p 15432 \
-c "SELECT * VUN Apparater;"
Eng Benotzerroll änneren:
Setzt d'Roll op 'admin' oder 'onprivilegéiert':
/opt/firezone/embedded/bin/psql \
-U Feierzone \
-d firezone \
-h localhost \
-p 15432 \
-c "UPDATE Benotzer SET role = 'admin' WHERE Email = 'user@example.com';"
Backup vun der Datebank:
Ausserdeem ass de pg Dump Programm abegraff, dee benotzt ka ginn fir regelméisseg Backupe vun der Datebank ze huelen. Fëllt de folgende Code aus fir eng Kopie vun der Datebank am gemeinsame SQL Ufro-Format ze dumpen (ersetzt /path/to/backup.sql mat der Plaz wou d'SQL-Datei erstallt soll ginn):
/opt/firezone/embedded/bin/pg_dump \
-U Feierzone \
-d firezone \
-h localhost \
-p 15432 > /path/to/backup.sql
Nodeems Firezone erfollegräich ofgesat gouf, musst Dir Benotzer derbäi fir hinnen Zougang zu Ärem Netz ze ginn. De Web UI gëtt benotzt fir dëst ze maachen.
Andeems Dir de "Benotzer addéieren" Knäppchen ënner / Benotzer auswielen, kënnt Dir e Benotzer derbäi. Dir musst dem Benotzer eng E-Mailadress an e Passwuert ubidden. Fir den Zougang zu Benotzer an Ärer Organisatioun automatesch z'erméiglechen, kann Firezone och mat engem Identitéitsprovider interface a synchroniséieren. Méi Detailer sinn verfügbar an Authentifizéieren. < Füügt e Link fir ze authentifizéieren
Mir roden Iech ze froen datt d'Benotzer hir eegen Apparatkonfiguratiounen erstellen sou datt de private Schlëssel nëmme fir si sichtbar ass. D'Benotzer kënnen hir eegen Apparatkonfiguratiounen generéieren andeems Dir d'Uweisungen op der Client Uweisungen Säit.
All Benotzerkonfiguratioune kënne vu Firezone Admins erstallt ginn. Op der Benotzerprofil Säit op / Benotzer, wielt d'Optioun "Add Device" fir dëst z'erreechen.
[Screenshot setzen]
Dir kënnt dem Benotzer d'WireGuard Konfiguratiounsdatei per E-Mail schécken nodeems Dir den Apparatprofil erstallt huet.
Benotzer an Apparater si verlinkt. Fir weider Detailer iwwer wéi een e Benotzer addéiere kënnt, kuckt Add Benotzer.
Duerch d'Benotzung vum Netfiltersystem vum Kernel erméiglecht Firezone Ausgangsfilterungsfäegkeeten fir DROP oder ACCEPT Pakete ze spezifizéieren. All Verkéier ass normalerweis erlaabt.
IPv4 an IPv6 CIDRs an IP Adresse ginn iwwer d'Allowlist respektiv Denylist ënnerstëtzt. Dir kënnt wielen fir eng Regel fir e Benotzer z'erhéijen wann Dir se bäidréit, wat d'Regel op all Apparater vun deem Benotzer applizéiert.
Installéieren an configuréieren
Fir eng VPN Verbindung mat dem gebiertege WireGuard Client opzebauen, kuckt op dëse Guide.
Déi offiziell WireGuard Clienten hei sinn Firezone kompatibel:
Besicht déi offiziell WireGuard Websäit op https://www.wireguard.com/install/ fir OS Systemer net uewen ernimmt.
Entweder Äre Firezone Administrateur oder Dir selwer kann d'Apparat Konfiguratiounsdatei mat dem Firezone Portal generéieren.
Besicht d'URL déi Äre Firezone Administrateur zur Verfügung gestallt huet fir eng Apparatkonfiguratiounsdatei selwer ze generéieren. Är Firma wäert eng eenzegaarteg URL fir dës hunn; an dësem Fall ass et https://instance-id.yourfirezone.com.
Login fir Firezone Okta SSO
[Screenshot setzen]
Import the.conf Datei an de WireGuard Client andeems Dir se opmaacht. Andeems Dir den Aktivéiert Schalter flippt, kënnt Dir eng VPN Sessioun starten.
[Screenshot setzen]
Follegt d'Instruktioune hei ënnen wann Ären Netzwierk Administrateur widderhuelend Authentifikatioun mandatéiert huet fir Är VPN Verbindung aktiv ze halen.
Dir braucht:
Firezone Portal d'URL: Frot Äre Reseau Administrateur fir d'Verbindung.
Ären Netzwierk Administrateur soll fäeg sinn Äert Login a Passwuert ze bidden. De Firezone Site freet Iech fir Iech mat dem Single Sign-On Service unzemellen, deen Äre Patron benotzt (wéi Google oder Okta).
[Screenshot setzen]
Gitt op d'URL vum Firezone Portal a loggt Iech un mat den Umeldungsinformatiounen, déi Ären Netzadministrator geliwwert huet. Wann Dir schonn ugemellt sidd, klickt op de Reauthentifizéieren Knäppchen ier Dir Iech zréck amellt.
[Screenshot setzen]
[Screenshot setzen]
Fir de WireGuard Konfiguratiounsprofil mat Network Manager CLI op Linux Apparater z'importéieren, befollegt dës Instruktiounen (nmcli).
Wann de Profil IPv6-Ënnerstëtzung aktivéiert huet, probéiert d'Konfiguratiounsdatei mat der Network Manager GUI z'importéieren mat dem folgenden Feeler:
ipv6.method: Method "Auto" gëtt net fir WireGuard ënnerstëtzt
Et ass néideg fir d'WireGuard Userspace Utilities z'installéieren. Dëst wäert e Package genannt wireguard oder wireguard-Tools fir Linux Verdeelungen sinn.
Fir Ubuntu / Debian:
sudo apt installéiere Wireguard
Fir Fedora ze benotzen:
sudo dnf installéiere Wireguard-Tools
Arch Linux:
sudo pacman -S wireguard-Tools
Besicht déi offiziell WireGuard Websäit op https://www.wireguard.com/install/ fir Verdeelungen déi net uewen ernimmt sinn.
Entweder Äre Firezone Administrateur oder d'Selbstgeneratioun kann d'Apparat Konfiguratiounsdatei mat dem Firezone Portal generéieren.
Besicht d'URL déi Äre Firezone Administrateur zur Verfügung gestallt huet fir eng Apparatkonfiguratiounsdatei selwer ze generéieren. Är Firma wäert eng eenzegaarteg URL fir dës hunn; an dësem Fall ass et https://instance-id.yourfirezone.com.
[Screenshot setzen]
Importéiert déi geliwwert Konfiguratiounsdatei mat nmcli:
sudo nmcli Verbindung Import Typ wireguard Datei /path/to/configuration.conf
Den Numm vun der Konfiguratiounsdatei entsprécht der WireGuard Verbindung / Interface. Nom Import kann d'Verbindung ëmbenannt ginn wann néideg:
nmcli Verbindung änneren [alen Numm] connection.id [neien Numm]
Iwwer d'Kommandozeil, verbënnt mat dem VPN wéi follegt:
nmcli Verbindung erop [Vpn Numm]
Fir ze trennen:
nmcli Verbindung erof [Vpn Numm]
Den applicabelen Network Manager Applet kann och benotzt ginn fir d'Verbindung ze verwalten wann Dir e GUI benotzt.
Andeems Dir "Jo" fir d'Autoconnect Optioun auswielt, kann d'VPN Verbindung konfiguréiert ginn fir automatesch ze verbannen:
nmcli Verbindung änneren [Vpn Numm] Verbindung. <<<<<<<<<<<<<<<<<<<<<
autoconnect jo
Fir déi automatesch Verbindung auszeschalten, setzt se zréck op Nee:
nmcli Verbindung änneren [Vpn Numm] Verbindung.
autoconnect Nr
Fir MFA z'aktivéieren Gitt op d'/Benotzerkont/registréiert mfa Säit vum Firezone Portal. Benotzt Är Authentifizéierer App fir den QR Code ze scannen nodeems en generéiert gouf, gitt dann de sechs Zifferen Code an.
Kontaktéiert Ären Admin fir d'Zougangsinformatioun vun Ärem Kont zréckzesetzen wann Dir Är Authentifizéierer App verpasst.
Dësen Tutorial féiert Iech duerch de Prozess fir WireGuard's Split-Tunnel-Feature mat Firezone opzestellen, sou datt nëmmen Traffic op spezifesch IP-Beräicher iwwer de VPN-Server weidergeleet gëtt.
D'IP-Beräicher, fir déi de Client de Netzverkéier routert, ginn am Feld erlaabt IPs op der /settings/default Säit festgeluecht. Nëmmen déi nei erstallt WireGuard Tunnelkonfiguratiounen, déi vu Firezone produzéiert ginn, ginn duerch Ännerungen an dësem Feld beaflosst.
[Screenshot setzen]
De Standardwäert ass 0.0.0.0/0, ::/0, deen all Netzverkéier vum Client op de VPN Server routert.
Beispiller vu Wäerter an dësem Beräich enthalen:
0.0.0.0/0, ::/0 - all Netzverkéier gëtt op de VPN Server geréckelt.
192.0.2.3/32 - nëmmen de Verkéier op eng eenzeg IP Adress gëtt op de VPN Server geréckelt.
3.5.140.0/22 - nëmmen Traffic op IPs am 3.5.140.1 - 3.5.143.254 Gamme gëtt op de VPN Server geréckelt. An dësem Beispill gouf d'CIDR Gamme fir d'ap-Northeast-2 AWS Regioun benotzt.
Firezone wählt d'Egress-Interface, déi mat der präzisster Streck assoziéiert ass, fir d'éischt wann Dir feststellt wou e Paket ze routen.
D'Benotzer mussen d'Konfiguratiounsdateien regeneréieren an se an hiren gebiertege WireGuard Client addéieren fir existent Benotzergeräter mat der neier Splittunnelkonfiguratioun ze aktualiséieren.
Fir Instruktiounen, kuckt dobäizemaachen Apparat. <<<<<<<<<<< Link addéieren
Dës Handbuch weist wéi een zwee Geräter verbënnt mat Firezone als Relais. Een typesche Benotzungsfall ass en Administrateur z'erméiglechen Zougang zu engem Server, Container oder Maschinn ze kréien, déi vun enger NAT oder Firewall geschützt ass.
Dës Illustratioun weist en einfachen Szenario an deem Apparater A a B en Tunnel konstruéieren.
[Firezone architektonescht Bild setzen]
Start andeems Dir Gerät A an Apparat B erstellt andeems Dir op /users/[user_id]/new_device navigéiert. An den Astellunge fir all Apparat, gitt sécher datt déi folgend Parameteren op d'Wäerter hei ënnen gesat ginn. Dir kënnt Apparat Astellunge setzen wann Dir d'Apparatkonfiguratioun erstellt (kuckt Geräter derbäisetzen). Wann Dir Astellungen op engem existente Gerät aktualiséieren musst, kënnt Dir dat maachen andeems Dir eng nei Apparatkonfiguratioun generéiert.
Bedenkt datt all Apparater eng /settings/defaults Säit hunn wou PersistentKeepalive konfiguréiert ka ginn.
erlaabt IPs = 10.3.2.2/32
Dëst ass d'IP oder Gamme vun IPs vum Apparat B
PersistentKeepalive = 25
Wann den Apparat hannert engem NAT ass, garantéiert dëst datt den Apparat fäeg ass den Tunnel lieweg ze halen a weider Päck aus der WireGuard Interface ze kréien. Normalerweis ass e Wäert vu 25 genuch, awer Dir musst dëse Wäert eventuell erofgoen ofhängeg vun Ärem Ëmfeld.
erlaabt IPs = 10.3.2.3/32
Dëst ass d'IP oder Gamme vun IPs vum Apparat A
PersistentKeepalive = 25
Dëst Beispill weist eng Situatioun an där den Apparat A mat Apparater B duerch D a béid Richtungen kommunizéieren kann. Dëse Setup kann en Ingenieur oder Administrateur representéieren, deen Zougang zu ville Ressourcen (Server, Container oder Maschinnen) iwwer verschidden Netzwierker huet.
[Architecture Diagram]<<<<<<<<<<<<<<<<<<<<<<<
Vergewëssert Iech datt déi folgend Astellungen an den Astellunge vun all Apparat op déi entspriechend Wäerter gemaach ginn. Wann Dir d'Apparatkonfiguratioun erstellt, kënnt Dir Apparatastellunge spezifizéieren (kuckt Apparater derbäisetzen). Eng nei Apparatkonfiguratioun kann erstallt ginn wann d'Astellungen op engem existente Gerät aktualiséiert musse ginn.
AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Dëst ass d'IP vun Apparater B bis D. D'IPs vun Apparater B bis D mussen an all IP-Beräich abegraff sinn, déi Dir gewielt hutt ze setzen.
PersistentKeepalive = 25
Dëst garantéiert datt den Apparat den Tunnel kann erhalen a weider Päck vun der WireGuard Interface kréien, och wann et vun engem NAT geschützt ass. Am meeschte Fäll ass e Wäert vun 25 adäquat, awer ofhängeg vun Ärem Ëmfeld, musst Dir dës Figur erofsetzen.
Fir eng eenzeg, statesch Ausgangs-IP ze bidden fir de ganzen Traffic vun Ärem Team eraus ze fléien, Firezone kann als NAT Paart benotzt ginn. Dës Situatiounen beinhalt seng heefeg Benotzung:
Consulting Engagementer: Ufro datt Äre Client eng eenzeg statesch IP Adress op d'Whitelist setzt anstatt déi eenzegaarteg Apparat IP vun all Employé.
Benotzt e Proxy oder maskéiert Är Quell IP fir Sécherheets- oder Privatsphärzwecker.
En einfacht Beispill fir den Zougang zu enger selbsthostéierter Webapplikatioun op eng eenzeg whitelisted statesch IP ze limitéieren déi Firezone leeft gëtt an dësem Post demonstréiert. An dëser Illustratioun sinn Firezone an déi geschützte Ressource a verschiddene VPC Beräicher.
Dës Léisung gëtt dacks benotzt an der Plaz vun der Gestioun vun enger IP Whitelist fir vill Endbenotzer, wat Zäitopwendeg ka sinn wéi d'Zougangslëscht erweidert.
Eist Zil ass et e Firezone Server op enger EC2 Instanz opzestellen fir de VPN Traffic op déi limitéiert Ressource ze redirectéieren. An dësem Fall déngt Firezone als Netzwierkproxy oder NAT Paart fir all verbonne Gerät eng eenzegaarteg ëffentlech Egress IP ze ginn.
An dësem Fall huet eng EC2 Instanz mam Numm tc2.micro eng Firezone Instanz installéiert. Fir Informatiounen iwwer Firezone z'installéieren, gitt op den Deployment Guide. Am Bezuch op AWS, gitt sécher:
D'Sécherheetsgrupp vun der Firezone EC2 Instanz erlaabt erausgestrach Traffic op d'IP Adress vun der geschützter Ressource.
D'Firezone Instanz kënnt mat engem elastesche IP. Traffic deen duerch d'Firezone Instanz op ausserhalb Destinatiounen weidergeleet gëtt, wäert dëst als Quell IP Adress hunn. D'IP Adress a Fro ass 52.202.88.54.
[Screenshot setzen]<<<<<<<<<<<<<<<<<<<<<<<
Eng selbstgehost Webapplikatioun déngt als geschützte Ressource an dësem Fall. D'Web App kann nëmme vun Ufroe vun der IP Adress 52.202.88.54 kommen. Ofhängeg vun der Ressource, kann et néideg sinn den Inbound Traffic op verschiddenen Häfen a Traffictypen z'erméiglechen. Dëst ass net an dësem Handbuch ofgedeckt.
[Screenshot setzen]<<<<<<<<<<<<<<<<<<<<<<<
Sot w.e.g. d'Drëtt Partei, déi vun der geschützter Ressource zoustänneg ass, datt de Verkéier vun der statesch IP, deen am Schrëtt 1 definéiert ass, erlaabt ass (an dësem Fall 52.202.88.54).
Par défaut gëtt all Benotzerverkéier duerch den VPN-Server a kommen aus der statesch IP, déi am Schrëtt 1 konfiguréiert gouf (an dësem Fall 52.202.88.54). Wéi och ëmmer, wann gespléckt Tunneling ageschalt ass, kënnen Astellunge noutwendeg sinn fir sécherzestellen datt d'IP vun der geschützter Ressource ënnert den Erlaabten IPen opgezielt ass.
Hei ënnendrënner ass eng komplett Lëscht vun de Konfiguratiounsoptioune verfügbar /etc/firezone/firezone.rb.
Optioun | Beschreiwung | Standardwert |
default['firezone']['external_url'] | URL benotzt fir Zougang zum Webportal vun dëser Firezone Instanz ze kréien. | "https://#{Node['fqdn'] || node ['Hostnumm']}" |
default['firezone']['config_directory'] | Top-Level Verzeechnes fir Firezone Konfiguratioun. | /etc/firezone' |
default['firezone']['install_directory'] | Top-Level Verzeechnes fir Firezone ze installéieren. | /opt/firezone' |
default['firezone']['app_directory'] | Top-Level Verzeechnes fir d'Firezone Webapplikatioun z'installéieren. | "#{Node['firezone']['install_directory']}/embedded/service/firezone” |
default['firezone']['log_directory'] | Top-Level Verzeechnes fir Firezone Logbicher. | /var/log/firezone' |
default['firezone']['var_directory'] | Top-Level Verzeechnes fir Firezone Runtime Dateien. | /var/opt/firezone' |
default['firezone']['user'] | Numm vun onprivilegéierten Linux Benotzer déi meescht Servicer an Dateie gehéieren. | firezone' |
default['firezone']['group'] | Numm vun der Linux Grupp déi meescht Servicer an Dateie gehéieren. | firezone' |
default['firezone']['admin_email'] | E-Mailadress fir den éischte Firezone Benotzer. | "firezone@localhost" |
default['firezone']['max_devices_per_user'] | Maximal Unzuel vun Apparater e Benotzer kann hunn. | 10 |
default['firezone']['allow_unprivileged_device_management'] | Erlaabt Net-Administrateur Benotzer Apparater ze kreéieren an ze läschen. | Richteg |
default['firezone']['allow_unprivileged_device_configuration'] | Erlaabt Net-Administrateur Benotzer Apparat Konfiguratiounen ze änneren. Wann behënnert, verhënnert onprivilegéiert Benotzer all Apparat Felder ausser Numm an Beschreiwung änneren. | Richteg |
default['firezone']['egress_interface'] | Interface Numm wou tunneled Traffic wäert Sortie. Wann null, gëtt de Standardroute-Interface benotzt. | Null |
default['firezone']['fips_enabled'] | OpenSSL FIPs Modus aktivéieren oder deaktivéieren. | Null |
default['firezone']['logging']['aktivéiert'] | Aktivéiert oder deaktivéiert de Logbicher iwwer Firezone. Setzt op falsch fir de Logbuch komplett auszeschalten. | Richteg |
default['Entreprise']['Numm'] | Numm vum Chef 'Enterprise' Kachbuch benotzt. | firezone' |
default['firezone']['install_path'] | Installéiert Wee benotzt vum Chef 'Enterprise' Kachbuch. Sollt op d'selwecht gesat ginn wéi den install_directory uewen. | node['firezone']['install_directory'] |
default['firezone']['sysvinit_id'] | En Identifizéierer benotzt an /etc/inittab. Muss eng eenzegaarteg Sequenz vun 1-4 Zeechen sinn. | SUP' |
default['firezone']['Authentifikatioun']['lokal']['aktivéiert'] | Aktivéiert oder deaktivéiert lokal E-Mail / Passwuert Authentifikatioun. | Richteg |
default['firezone']['Authentifikatioun']['auto_create_oidc_users'] | Erstellt automatesch Benotzer déi sech vun OIDC fir d'éischte Kéier umellen. Desaktivéiere fir nëmmen existent Benotzer z'erméiglechen sech iwwer OIDC umellen. | Richteg |
default['firezone']['Authentifikatioun']['disable_vpn_on_oidc_error'] | Desaktivéiere vun engem Benotzer säi VPN wann e Feeler festgestallt gëtt fir hiren OIDC Token z'erfrëschen. | Falsch |
default['firezone']['Authentifikatioun']['oidc'] | OpenID Connect config, am Format vun {“Provider” => [config…]} – Kuckt OpenIDConnect Dokumentatioun fir Configuratioun Beispiller. | {} |
default['firezone']['nginx']['aktivéiert'] | Aktivéiert oder deaktivéiert de gebündelten nginx Server. | Richteg |
default['firezone']['nginx']['ssl_port'] | HTTPS lauschteren Hafen. | 443 |
default['firezone']['nginx']['directory'] | Verzeechnes fir Firezone-relatéiert nginx virtuell Hostkonfiguratioun ze späicheren. | “#{node['firezone']['var_directory']}/nginx/etc” |
default['firezone']['nginx']['log_directory'] | Verzeechnes fir Firezone-verwandte nginx Log Dateien ze späicheren. | "#{Node['firezone']['log_directory']}/nginx” |
default['firezone']['nginx']['log_rotation']['file_maxbytes'] | Dateigréisst bei där d'Nginx Logdateien rotéieren. | 104857600 |
default['firezone']['nginx']['log_rotation']['num_to_keep'] | Zuel vu Firezone nginx Log Dateien fir ze halen ier se ofginn. | 10 |
default['firezone']['nginx']['log_x_forwarded_for'] | Ob Firezone nginx x-forwarded-for Header aloggen. | Richteg |
default['firezone']['nginx']['hsts_header']['aktivéiert'] | Richteg | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | Aktivéiert oder deaktivéiert includeSubDomains fir den HSTS Header. | Richteg |
default['firezone']['nginx']['hsts_header']['max_age'] | Max Alter fir den HSTS Header. | 31536000 |
default['firezone']['nginx']['redirect_to_canonical'] | Ob URLen op déi uewe spezifizéiert kanonesch FQDN ëmgeleet ginn | Falsch |
default['firezone']['nginx']['cache']['aktivéiert'] | Aktivéiert oder deaktivéiert de Firezone nginx Cache. | Falsch |
default['firezone']['nginx']['cache']['directory'] | Verzeechnes fir Firezone nginx Cache. | “#{node['firezone']['var_directory']}/nginx/cache” |
default['firezone']['nginx']['user'] | Firezone nginx Benotzer. | node['firezone']['Benotzer'] |
default['firezone']['nginx']['group'] | Firezone nginx group. | node['firezone']['group'] |
default['firezone']['nginx']['dir'] | Top-Niveau nginx Konfiguratiounsverzeechnes. | node['firezone']['nginx']['directory'] |
default['firezone']['nginx']['log_dir'] | Top-Niveau nginx Log Verzeechnes. | node['firezone']['nginx']['log_directory'] |
default['firezone']['nginx']['pid'] | Location fir nginx Pid Datei. | "#{node['firezone']['nginx']['directory']}/nginx.pid” |
default['firezone']['nginx']['daemon_disable'] | Desaktivéiere vum nginx Daemon Modus sou datt mir et amplaz kënnen iwwerwaachen. | Richteg |
default['firezone']['nginx']['gzip'] | Maacht nginx gzip Kompressioun op oder aus. | op ' |
default['firezone']['nginx']['gzip_static'] | Maacht nginx gzip Kompressioun op oder aus fir statesch Dateien. | aus' |
default['firezone']['nginx']['gzip_http_version'] | HTTP Versioun fir ze benotzen fir statesch Dateien ze servéieren. | 1.0 |
default['firezone']['nginx']['gzip_comp_level'] | nginx gzip Kompressiounsniveau. | 2 |
default['firezone']['nginx']['gzip_proxied'] | Aktivéiert oder deaktivéiert gzipping vun Äntwerte fir proxied Ufroen ofhängeg vun der Ufro an der Äntwert. | iergendeen' |
default['firezone']['nginx']['gzip_vary'] | Aktivéiert oder deaktivéiert d'Aféierung vum "Vary: Accept-Encoding" Äntwert Header. | aus' |
default['firezone']['nginx']['gzip_buffers'] | Setzt d'Zuel an d'Gréisst vun de Puffer déi benotzt gi fir eng Äntwert ze kompriméieren. Wann Null, gëtt nginx Standard benotzt. | Null |
default['firezone']['nginx']['gzip_types'] | MIME Typen fir gzip Kompressioun z'aktivéieren fir. | ['text/plain', 'text/css', 'application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
default['firezone']['nginx']['gzip_min_length'] | Minimum Dateilängt fir Datei gzip Kompressioun z'aktivéieren fir. | 1000 |
default['firezone']['nginx']['gzip_disable'] | Benotzer-Agent Matcher fir gzip Kompressioun auszeschalten fir. | MSIE [1-6]\.' |
default['firezone']['nginx']['keepalive'] | Aktivéiert Cache fir Verbindung mat Upstream Serveren. | op ' |
default['firezone']['nginx']['keepalive_timeout'] | Timeout a Sekonnen fir Keepalive Verbindung mat Upstream Serveren. | 65 |
default['firezone']['nginx']['worker_processes'] | Zuel vun nginx Aarbechter Prozesser. | node['cpu'] && node['cpu']['total'] ? node['cpu']['total'] : 1 |
default['firezone']['nginx']['worker_connections'] | Max Zuel vu simultan Verbindungen, déi vun engem Aarbechterprozess opgemaach kënne ginn. | 1024 |
default['firezone']['nginx']['worker_rlimit_nofile'] | Ännert d'Limite op déi maximal Unzuel vun oppene Dateien fir Aarbechterprozesser. Benotzt nginx Standard wann Null. | Null |
default['firezone']['nginx']['multi_accept'] | Ob d'Aarbechter eng Verbindung gläichzäiteg solle akzeptéieren oder méi. | Richteg |
default['firezone']['nginx']['Event'] | Spezifizéiert d'Verbindungsveraarbechtungsmethod fir am nginx Event Kontext ze benotzen. | epoll' |
default['firezone']['nginx']['server_tokens'] | Aktivéiert oder deaktivéiert d'emittéierend nginx Versioun op Feeler Säiten an am "Server" Äntwert Header Feld. | Null |
default['firezone']['nginx']['server_names_hash_bucket_size'] | Setzt d'Eemergréisst fir d'Servernamen Hashtabellen. | 64 |
default['firezone']['nginx']['sendfile'] | Aktivéiert oder deaktivéiert d'Benotzung vun nginx's sendfile (). | op ' |
default['firezone']['nginx']['access_log_options'] | Setzt nginx Zougangslogoptiounen. | Null |
default['firezone']['nginx']['error_log_options'] | Setzt nginx Feeler Log Optiounen. | Null |
default['firezone']['nginx']['disable_access_log'] | Desaktivéiert nginx Zougangsprotokoll. | Falsch |
default['firezone']['nginx']['types_hash_max_size'] | nginx Typen Hash Max Gréisst. | 2048 |
default['firezone']['nginx']['types_hash_bucket_size'] | nginx Zorte Hash Eemer Gréisst. | 64 |
default['firezone']['nginx']['proxy_read_timeout'] | nginx Proxy liesen Timeout. Setzt op Null fir nginx Standard ze benotzen. | Null |
default['firezone']['nginx']['client_body_buffer_size'] | nginx Client Kierperbuffergréisst. Setzt op Null fir nginx Standard ze benotzen. | Null |
default['firezone']['nginx']['client_max_body_size'] | nginx Client maximal Kierpergréisst. | 250m' |
default['firezone']['nginx']['default']['modules'] | Gitt zousätzlech nginx Moduler un. | [] |
default['firezone']['nginx']['enable_rate_limiting'] | Aktivéiert oder deaktivéiert nginx Taux limitéieren. | Richteg |
default['firezone']['nginx']['rate_limiting_zone_name'] | Nginx Taux limitéieren Zone Numm. | firezone' |
default['firezone']['nginx']['rate_limiting_backoff'] | Nginx Taux limitéieren Backoff. | 10m' |
default['firezone']['nginx']['rate_limit'] | Nginx Taux Limite. | 10r/s' |
default['firezone']['nginx']['ipv6'] | Erlaabt nginx fir HTTP-Ufroe fir IPv6 zousätzlech zu IPv4 ze lauschteren. | Richteg |
default['firezone']['postgresql']['aktivéiert'] | Aktivéiert oder deaktivéiert gebündelte Postgresql. Setzt op falsch a fëllt d'Datebankoptiounen hei ënnen aus fir Är eege Postgresql Instanz ze benotzen. | Richteg |
default['firezone']['postgresql']['username'] | Benotzernumm fir Postgresql. | node['firezone']['Benotzer'] |
default['firezone']['postgresql']['data_directory'] | Postgresql Datenverzeichnis. | “#{node['firezone']['var_directory']}/postgresql/13.3/data” |
default['firezone']['postgresql']['log_directory'] | Postgresql Log Verzeechnes. | "#{node['firezone']['log_directory']}/postgresql” |
default['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql Log Datei maximal Gréisst ier se rotéiert ass. | 104857600 |
default['firezone']['postgresql']['log_rotation']['num_to_keep'] | Zuel vu Postgresql Log Dateien fir ze halen. | 10 |
default['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql Checkpoint Fäerdegstellung Zil. | 0.5 |
default['firezone']['postgresql']['checkpoint_segments'] | Zuel vun Postgresql Checkpoint Segmenter. | 3 |
default['firezone']['postgresql']['checkpoint_timeout'] | Postgresql Checkpoint Timeout. | 5 min' |
default['firezone']['postgresql']['checkpoint_warning'] | Postgresql Checkpoint Warnungszäit a Sekonnen. | 30s' |
default['firezone']['postgresql']['effective_cache_size'] | Postgresql effektiv Cache Gréisst. | 128 MB' |
default['firezone']['postgresql']['listen_address'] | Postgresql lauschteren Adress. | 127.0.0.1 |
default['firezone']['postgresql']['max_connections'] | Postgresql max Verbindungen. | 350 |
default['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs fir md5 Auth. | ['127.0.0.1/32', '::1/128'] |
default['firezone']['postgresql']['port'] | Postgresql lauschteren port. | 15432 |
default['firezone']['postgresql']['shared_buffers'] | Postgresql gedeelt Puffer Gréisst. | “#{(Node['Erënnerung']['total'].to_i / 4) / 1024}MB” |
default['firezone']['postgresql']['shmmax'] | Postgresql shmmax an Bytes. | 17179869184 |
default['firezone']['postgresql']['shmal'] | Postgresql shmall an Bytes. | 4194304 |
default['firezone']['postgresql']['work_mem'] | Postgresql Aarbechtsspeichergréisst. | 8 MB' |
default['firezone']['Datebank']['Benotzer'] | Spezifizéiert de Benotzernumm Firezone benotzt fir mat der DB ze verbannen. | node['firezone']['postgresql']['username'] |
default['firezone']['Datebank']['Passwuert'] | Wann Dir eng extern DB benotzt, spezifizéiert d'Passwuert Firezone benotzt fir mat der DB ze verbannen. | änner mech' |
default['firezone']['database']['name'] | Datebank déi Firezone wäert benotzen. Gëtt erstallt wann et net gëtt. | firezone' |
default['firezone']['Datebank']['Host'] | Datebankhost mat deem Firezone verbënnt. | node['firezone']['postgresql']['listen_address'] |
default['firezone']['database']['port'] | Datebankport mat deem Firezone verbënnt. | node['firezone']['postgresql']['port'] |
default['firezone']['database']['pool'] | Datebank Pool Gréisst Firezone wäert benotzen. | [10, Etc.nprocessors].max |
default['firezone']['database']['ssl'] | Ob mat der Datebank iwwer SSL ze verbannen. | Falsch |
default['firezone']['database']['ssl_opts'] | {} | |
default['firezone']['database']['parameter'] | {} | |
default['firezone']['Datebank']['Extensions'] | Datebank Extensiounen ze aktivéieren. | { 'plpgsql' => richteg, 'pg_trgm' => richteg } |
default['firezone']['phoenix']['aktivéiert'] | Aktivéiert oder deaktivéiert d'Firezone Webapplikatioun. | Richteg |
default['firezone']['phoenix']['listen_address'] | Firezone Web Applikatioun lauschteren Adress. Dëst wäert d'Upstream lauschteren Adress sinn déi nginx Proxies. | 127.0.0.1 |
default['firezone']['phoenix']['port'] | Firezone Web Applikatioun lauschteren Hafen. Dëst wäert den Upstream Hafen sinn deen nginx Proxyen. | 13000 |
default['firezone']['phoenix']['log_directory'] | Firezone Web Applikatioun Log Verzeechnes. | "#{Node['firezone']['log_directory']}/phoenix” |
default['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone Web Applikatioun Log Dateigréisst. | 104857600 |
default['firezone']['phoenix']['log_rotation']['num_to_keep'] | Zuel vu Firezone Webapplikatiounsprotokolldateien fir ze halen. | 10 |
default['firezone']['phoenix']['crash_detection']['aktivéiert'] | Aktivéiert oder deaktivéiert d'Firezone Webapplikatioun erofzebréngen wann e Crash festgestallt gëtt. | Richteg |
default['firezone']['phoenix']['external_trusted_proxies'] | Lëscht vun zouverléissege Reverse Proxyen, déi als Array vun IPen an/oder CIDRs formatéiert sinn. | [] |
default['firezone']['phoenix']['private_clients'] | Lëscht vu privaten Netzwierk HTTP Clienten, formatéiert eng Array vun IPs an / oder CIDRs. | [] |
default['firezone']['wireguard']['aktivéiert'] | Aktivéiert oder auszeschalten gebündelte WireGuard Gestioun. | Richteg |
default['firezone']['wireguard']['log_directory'] | Log Verzeechnes fir gebündelt WireGuard Gestioun. | “#{node['firezone']['log_directory']}/wireguard” |
default['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard Log Datei maximal Gréisst. | 104857600 |
default['firezone']['wireguard']['log_rotation']['num_to_keep'] | Zuel vu WireGuard Log Dateien fir ze halen. | 10 |
default['firezone']['wireguard']['interface_name'] | WireGuard Interface Numm. D'Ännerung vun dësem Parameter kann e temporäre Verloscht vun der VPN Konnektivitéit verursaachen. | wg-firezone' |
default['firezone']['wireguard']['port'] | WireGuard lauschteren Hafen. | 51820 |
default['firezone']['wireguard']['mtu'] | WireGuard Interface MTU fir dëse Server a fir Apparat Konfiguratiounen. | 1280 |
default['firezone']['wireguard']['endpoint'] | WireGuard Endpoint fir ze benotzen fir Apparatkonfiguratiounen ze generéieren. Wann null, ass de Standard op d'ëffentlech IP Adress vum Server. | Null |
default['firezone']['wireguard']['dns'] | WireGuard DNS fir ze benotzen fir generéiert Apparatkonfiguratiounen. | 1.1.1.1 ′ |
default['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs fir generéiert Apparatkonfiguratiounen ze benotzen. | 0.0.0.0/0, ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | Standard PersistentKeepalive Astellung fir generéiert Apparatkonfiguratiounen. E Wäert vun 0 deaktivéiert. | 0 |
default['firezone']['wireguard']['ipv4']['aktivéiert'] | Aktivéiert oder deaktivéiert IPv4 fir WireGuard Netzwierk. | Richteg |
default['firezone']['wireguard']['ipv4']['masquerade'] | Aktivéiert oder deaktivéiert Maskerade fir Päck déi den IPv4 Tunnel verloossen. | Richteg |
default['firezone']['wireguard']['ipv4']['Netzwierk'] | WireGuard Netz IPv4 Adress Pool. | 10.3.2.0/24 ′ |
default['firezone']['wireguard']['ipv4']['Adress'] | WireGuard Interface IPv4 Adress. Muss bannent WireGuard Adress Pool sinn. | 10.3.2.1 |
default['firezone']['wireguard']['ipv6']['aktivéiert'] | Aktivéiert oder deaktivéiert IPv6 fir WireGuard Netzwierk. | Richteg |
default['firezone']['wireguard']['ipv6']['masquerade'] | Aktivéiert oder deaktivéiert Maskerade fir Päck déi den IPv6 Tunnel verloossen. | Richteg |
default['firezone']['wireguard']['ipv6']['Netzwierk'] | WireGuard Netz IPv6 Adress Pool. | fd00::3:2:0/120′ |
default['firezone']['wireguard']['ipv6']['Adress'] | WireGuard Interface IPv6 Adress. Muss bannent IPv6 Adress Pool sinn. | fd00::3:2:1′ |
default['firezone']['runit']['svlogd_bin'] | Runit svlogd bin Location. | “#{node['firezone']['install_directory']}/embedded/bin/svlogd” |
default['firezone']['ssl']['directory'] | SSL Verzeechnes fir generéiert Certificaten ze späicheren. | /var/opt/firezone/ssl' |
default['firezone']['ssl']['email_address'] | E-Mail Adress fir ze benotzen fir selbst ënnerschriwwen Zertifikater an ACME Protokoll Erneierung Notifikatiounen. | du@example.com' |
default['firezone']['ssl']['acme']['aktivéiert'] | Aktivéiert ACME fir automatesch SSL Zertifizéierung. Desaktivéiere dëst fir ze verhënneren datt Nginx um Hafen lauschtert 80. Kuckt hei fir méi Instruktiounen. | Falsch |
default['firezone']['ssl']['acme']['server'] | ACME Server fir d'Zertifikatausgabe / Erneierung ze benotzen. Kann all sinn valabel acme.sh Server | letscrypt |
default['firezone']['ssl']['acme']['keylength'] | Gitt de Schlësseltyp an d'Längt fir SSL Zertifikater un. Kuckt hei | ec-256 |
default['firezone']['ssl']['Zertifikat'] | Wee fir d'Zertifikatdatei fir Är FQDN. Iwwerschreift ACME Astellung uewen wann uginn. Wa béid ACME an dëst null sinn, gëtt e selbst ënnerschriwwene Certificat generéiert. | Null |
default['firezone']['ssl']['certificate_key'] | Wee op d'Zertifikatdatei. | Null |
default['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | Null |
default['firezone']['ssl']['country_name'] | Land Numm fir Self-ënnerschriwwen Certificat. | US' |
default['firezone']['ssl']['state_name'] | Staat Numm fir Self-ënnerschriwwen Certificat. | CA ' |
default['firezone']['ssl']['locality_name'] | Uertschaft Numm fir Self-ënnerschriwwen Certificat. | San Francisco' |
default['firezone']['ssl']['company_name'] | Firma Numm Self-ënnerschriwwen Certificat. | Meng Firma' |
default['firezone']['ssl']['organizational_unit_name'] | Organisatoresch Eenheet Numm fir Self-ënnerschriwwen Certificat. | Operatiounen' |
default['firezone']['ssl']['Chiffer'] | SSL Chiffere fir nginx ze benotzen. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default['firezone']['ssl']['fips_ciphers'] | SSL Chiffere fir FIPs Modus. | FIPS@STRENGTH:!aNULL:!eNULL' |
default['firezone']['ssl']['Protokoller'] | TLS Protokoller ze benotzen. | TLSv1 TLSv1.1 TLSv1.2′ |
default['firezone']['ssl']['session_cache'] | SSL Sessioun Cache. | gedeelt:SSL:4m' |
default['firezone']['ssl']['session_timeout'] | SSL Sessioun Timeout. | 5m' |
default['firezone']['robots_allow'] | nginx Roboteren erlaben. | / ' |
default['firezone']['robots_disallow'] | nginx Roboteren erlaben net. | Null |
default['firezone']['outbound_email']['vun'] | Outbound E-Mail vun der Adress. | Null |
default['firezone']['outbound_email']['Provider'] | Outbound E-Mail Service Provider. | Null |
default['firezone']['outbound_email']['configs'] | Outbound E-Mail Provider Configuratioun. | gesinn Omnibus/Cookbooks/firezone/attributes/default.rb |
default['firezone']['telemetrie']['aktivéiert'] | Aktivéiert oder deaktivéiert anonymiséiert Produkttelemetrie. | Richteg |
default['firezone']['connectivity_checks']['aktivéiert'] | Aktivéiert oder deaktivéiert de Firezone Connectivity Checks Service. | Richteg |
default['firezone']['connectivity_checks']['Intervall'] | Intervall tëscht Konnektivitéitskontrollen a Sekonnen. | 3_600 |
________________________________________________________________
Hei fannt Dir eng Lëscht vun Dateien an Verzeichnisser am Zesummenhang mat enger typescher Firezone Installatioun. Dës kënnen ofhängeg vun Ännerungen an Ärer Konfiguratiounsdatei änneren.
Wee | Beschreiwung |
/var/opt/firezone | Top-Level Verzeechnes mat Daten a generéiert Konfiguratioun fir Firezone gebündelte Servicer. |
/opt/firezone | Top-Level Verzeechnes mat gebaute Bibliothéiken, Binären a Runtime Dateien, déi vu Firezone gebraucht ginn. |
/usr/bin/firezone-ctl | firezone-ctl Utility fir Är Firezone Installatioun ze managen. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd Eenheetsdatei fir de Firezone runsvdir Supervisor Prozess unzefänken. |
/etc/firezone | Firezone Konfiguratiounsdateien. |
__________________________________________________________
Dës Säit war eidel an den Dokumenter
_____________________________________________________________
Déi folgend nftables Firewall Schabloun ka benotzt ginn fir de Server deen Firezone leeft ze sécheren. D'Schabloun mécht e puer Viraussetzungen; Dir musst vläicht d'Regele upassen fir Äre Gebrauchsfall ze passen:
Firezone konfiguréiert seng eege nftables Reegele fir Verkéier op Destinatiounen, déi an der Webinterface konfiguréiert sinn, z'erlaaben / ze refuséieren an ausgaang NAT fir Client Traffic ze handhaben.
D'Uwendung vun der ënnen Firewall Schabloun op engem scho lafende Server (net bei der Startzäit) féiert zu der Firezone Regele geläscht. Dëst kann Sécherheetsimplikatiounen hunn.
Fir dëst ëmzegoen, start de Phoenix Service nei:
firezone-ctl restart Phoenix
#!/usr/sbin/nft -f
## Kloer / spülen all existent Regelen
flush Regelen
############################## VARIABLE ################ ##############
## Internet / WAN Interface Numm
DEV_WAN = eth0 definéieren
## WireGuard Interface Numm
DEV_WIREGUARD = wg-firezone definéieren
## WireGuard lauschteren Hafen
definéieren WIREGUARD_PORT = 51820
############################ VARIABLES END ################# ###########
# Main inet Famill Filteren Dësch
table inet filter {
# Regele fir weidergeleet Traffic
# Dës Kette gëtt virun der Firezone Forward Kette veraarbecht
Kette weider {
Typ Filter Hook Forward Prioritéit Filter - 5; Politik akzeptéieren
}
# Regele fir Input Traffic
Ketteninput {
Typ Filter Haken Input Prioritéit Filter; Politik drop
## Erlaabt inbound Traffic op Loopback Interface
wann ech \
akzeptéieren \
kommentéieren "Erlaabt all Traffic vun der Loopback Interface"
## Erlaabt etabléiert a verbonne Verbindungen
ct Staat etabléiert, Zesummenhang \
akzeptéieren \
kommentéieren "Erlaabt etabléiert / verbonne Verbindungen"
## Erlaabt inbound WireGuard Traffic
iif $DEV_WAN udp dport $WIREGUARD_PORT \
counter \
akzeptéieren \
kommentéieren "Erlaabt inbound WireGuard Traffic"
## Log an fällt nei TCP Net-SYN Päckchen
tcp Fändelen != syn ct Staat nei \
limitéieren Taux 100/Minutt platzen 150 Paketen \
aloggen Präfix "IN - Neie !SYN: " \
kommentéieren "Taux Limite Logbuch fir nei Verbindungen déi net de SYN TCP Fändel hunn"
tcp Fändelen != syn ct Staat nei \
counter \
drop \
kommentéieren "Drop nei Verbindungen déi net de SYN TCP Fändel hunn"
## Log an drop TCP Pakete mat ongëlteg Fin / Syn Fändel Set
tcp Fändelen & (fin|syn) == (fin|syn) \
limitéieren Taux 100/Minutt platzen 150 Paketen \
aloggen Präfix "IN - TCP FIN|SIN: " \
kommentéieren "Taux Limit Logbuch fir TCP Pakete mat ongëlteg Fin / Syn Fändel Set"
tcp Fändelen & (fin|syn) == (fin|syn) \
counter \
drop \
kommentéieren "Trop TCP Pakete mat ongëlteg Fin / Syn Fändel Set"
## Log an drop TCP Pakete mat ongëlteg Syn/rst Fändel Set
tcp Fändelen & (syn|rst) == (syn|rst) \
limitéieren Taux 100/Minutt platzen 150 Paketen \
aloggen Präfix "IN - TCP SYN|RST: " \
kommentéieren "Taux Limit Logbuch fir TCP Pakete mat ongëlteg Syn/rst Fändel Set"
tcp Fändelen & (syn|rst) == (syn|rst) \
counter \
drop \
kommentéieren "Drop TCP Pakete mat ongëlteg Syn / rst Fändel Set"
## Log an drop ongëlteg TCP Fändelen
tcp Fändelen & (fin|syn|rst|psh|ack|urg) < (fin) \
limitéieren Taux 100/Minutt platzen 150 Paketen \
aloggen Präfix "IN - FIN:" \
kommentéieren "Tauxlimit Logbuch fir ongëlteg TCP Fändelen (fin|syn|rst|psh|ack|urg) < (fin)"
tcp Fändelen & (fin|syn|rst|psh|ack|urg) < (fin) \
counter \
drop \
kommentéieren "Trop TCP Pakete mat Fändelen (fin|syn|rst|psh|ack|urg) < (fin)"
## Log an drop ongëlteg TCP Fändelen
tcp Fändelen & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
limitéieren Taux 100/Minutt platzen 150 Paketen \
aloggen Präfix "IN – FIN|PSH|URG:" \
kommentéieren "Tauxlimit Logbuch fir ongëlteg TCP Fändelen (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp Fändelen & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
counter \
drop \
kommentéieren "Trop TCP Pakete mat Fändelen (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Drop Verkéier mat ongülteg Verbindungszoustand
ct Staat ongëlteg \
limitéieren Taux 100/Minutt platzen 150 Paketen \
aloggen Fändelen all Präfix "IN - Invalid: " \
kommentéieren "Taux Limit Logbuch fir Traffic mat ongülteg Verbindungszoustand"
ct Staat ongëlteg \
counter \
drop \
kommentéieren "Drop Traffic mat ongülteg Verbindungszoustand"
## Erlaabt IPv4 Ping / Ping Äntwerten awer Tauxlimit op 2000 PPS
ip Protokoll icmp icmp Typ { echo-reply, echo-request } \
limitéieren Taux 2000/zweeten \
counter \
akzeptéieren \
kommentéieren "Erlaabt inbound IPv4 Echo (Ping) limitéiert op 2000 PPS"
## Erlaabt all aner inbound IPv4 ICMP
ip Protokoll icmp \
counter \
akzeptéieren \
kommentéieren "Erlaabt all aner IPv4 ICMP"
## Erlaabt IPv6 Ping / Ping Äntwerten awer Tauxlimit op 2000 PPS
icmpv6 Typ { Echo-Äntwert, Echo-Request } \
limitéieren Taux 2000/zweeten \
counter \
akzeptéieren \
kommentéieren "Erlaabt inbound IPv6 Echo (Ping) limitéiert op 2000 PPS"
## Erlaabt all aner inbound IPv6 ICMP
meta l4proto {icmpv6} \
counter \
akzeptéieren \
kommentéieren "Erlaabt all aner IPv6 ICMP"
## Erlaabt inbound traceroute UDP Ports awer limitéiert op 500 PPS
udp dport 33434-33524 \
limitéieren Taux 500/zweeten \
counter \
akzeptéieren \
kommentéieren "Erlaabt inbound UDP Traceroute limitéiert op 500 PPS"
## Erlaabt inbound SSH
tcp dport ssh ct Staat nei \
counter \
akzeptéieren \
kommentéieren "Erlaabt inbound SSH Verbindungen"
## Erlaabt inbound HTTP an HTTPS
tcp dport {http, https} ct state new \
counter \
akzeptéieren \
kommentéieren "Erlaabt inbound HTTP an HTTPS Verbindungen"
## Log all oniwwertraff Traffic awer Taux limitéieren d'Logbuch op maximal 60 Messagen / Minutt
## D'Standardpolitik gëtt op oniwwertraffe Verkéier applizéiert
limitéieren Taux 60/Minutt platzen 100 Paketen \
aloggen Präfix "IN - Drop: " \
kommentéieren "Logéiert all oniwwertraff Traffic"
## Den oniwwertraffe Verkéier zielen
counter \
kommentéieren "Zeechnen all oniwwertraffe Verkéier"
}
# Regele fir Ausgangsverkéier
Kettenausgang {
Typ Filter Haken Output Prioritéit Filter; Politik drop
## Erlaabt Outbound Traffic op Loopback Interface
oof lo \
akzeptéieren \
kommentéieren "Erlaabt all Traffic op Loopback Interface"
## Erlaabt etabléiert a verbonne Verbindungen
ct Staat etabléiert, Zesummenhang \
counter \
akzeptéieren \
kommentéieren "Erlaabt etabléiert / verbonne Verbindungen"
## Erlaabt erausginn WireGuard Traffic ier Dir Verbindunge mam schlechten Zoustand erofgeet
oif $DEV_WAN op sport $WIREGUARD_PORT \
counter \
akzeptéieren \
kommentéieren "Permit WireGuard Outbound Traffic"
## Drop Verkéier mat ongülteg Verbindungszoustand
ct Staat ongëlteg \
limitéieren Taux 100/Minutt platzen 150 Paketen \
aloggen Fändelen all Präfix "OUT - Invalid: " \
kommentéieren "Taux Limit Logbuch fir Traffic mat ongülteg Verbindungszoustand"
ct Staat ongëlteg \
counter \
drop \
kommentéieren "Drop Traffic mat ongülteg Verbindungszoustand"
## Erlaabt all aner outbound IPv4 ICMP
ip Protokoll icmp \
counter \
akzeptéieren \
kommentéieren "All IPv4 ICMP Typen erlaben"
## Erlaabt all aner outbound IPv6 ICMP
meta l4proto {icmpv6} \
counter \
akzeptéieren \
kommentéieren "All IPv6 ICMP Typen erlaben"
## Erlaabt outbound traceroute UDP Ports awer limitéiert op 500 PPS
udp dport 33434-33524 \
limitéieren Taux 500/zweeten \
counter \
akzeptéieren \
kommentéieren "Erlaabt outbound UDP Traceroute limitéiert op 500 PPS"
## Erlaabt outbound HTTP an HTTPS Verbindungen
tcp dport {http, https} ct state new \
counter \
akzeptéieren \
kommentéieren "Erlaabt outbound HTTP an HTTPS Verbindungen"
## Erlaabt erausginn SMTP Soumissioun
tcp dport Soumissioun ct Staat nei \
counter \
akzeptéieren \
kommentéieren "Erlaabt erausginn SMTP Soumissioun"
## Erlaabt erausginn DNS Ufroen
udp dport 53 \
counter \
akzeptéieren \
kommentéieren "Erlaabt outbound UDP DNS Ufroen"
tcp dport 53 \
counter \
akzeptéieren \
kommentéieren "Erlaabt erausginn TCP DNS Ufroen"
## Erlaabt erausginn NTP Ufroen
udp dport 123 \
counter \
akzeptéieren \
kommentéieren "Erlaabt outbound NTP-Ufroen"
## Log all oniwwertraff Traffic awer Taux limitéieren d'Logbuch op maximal 60 Messagen / Minutt
## D'Standardpolitik gëtt op oniwwertraffe Verkéier applizéiert
limitéieren Taux 60/Minutt platzen 100 Paketen \
aloggen Präfix "OUT - Drop: " \
kommentéieren "Logéiert all oniwwertraff Traffic"
## Den oniwwertraffe Verkéier zielen
counter \
kommentéieren "Zeechnen all oniwwertraffe Verkéier"
}
}
# Main NAT Filtertabelle
Dësch inet nat {
# Regele fir NAT Traffic Pre-Routing
Kette virrouting {
Typ nat Hook prerouting Prioritéit dstnat; Politik akzeptéieren
}
# Regele fir NAT Traffic Post-Routing
# Dësen Dësch gëtt virun der Firezone Post-Routing Kette veraarbecht
Kette postrouting {
Typ nat Hook postrouting Prioritéit srcnat - 5; Politik akzeptéieren
}
}
D'Firewall soll an der entspriechender Plaz fir d'Linux Verdeelung gespäichert ginn, déi leeft. Fir Debian/Ubuntu ass dëst /etc/nftables.conf a fir RHEL ass dëst /etc/sysconfig/nftables.conf.
nftables.service muss konfiguréiert sinn fir beim Boot unzefänken (wann net scho) agestallt:
systemctl aktivéieren nftables.service
Wann Dir Ännerunge vun der Firewall Schabloun maacht, kann d'Syntax validéiert ginn andeems Dir de Check Kommando ausféiert:
nft -f /path/to/nftables.conf -c
Gitt sécher datt d'Firewall funktionnéiert wéi erwaart, well verschidde nftables Features vläicht net verfügbar sinn ofhängeg vun der Verëffentlechung um Server.
_______________________________________________________________
Dëst Dokument stellt en Iwwerbléck iwwer d'Telemetrie, déi Firezone aus Ärer selbsthostéierter Instanz sammelt a wéi een se auszeschalten.
Feierzone hänkt of op Telemetrie fir eis Fahrplang ze prioritéieren an d'Ingenieurressourcen ze optimiséieren déi mir hunn fir Firezone besser fir jiddereen ze maachen.
D'Telemetrie déi mir sammelen zielt fir déi folgend Froen ze beäntweren:
Et ginn dräi Haaptplazen wou Telemetrie a Firezone gesammelt gëtt:
An all eenzel vun dësen dräi Kontexter erfaasse mir de Mindestbetrag un Daten déi néideg sinn fir d'Froen an der Rubrik hei uewen ze beäntweren.
Admin E-Maile ginn nëmme gesammelt wann Dir Iech explizit fir Produktupdates entscheet. Soss, perséinlech-identifizéierbar Informatiounen ass ni gesammelt.
Firezone späichert Telemetrie an enger selbsthostéierter Instanz vu PostHog, déi an engem privaten Kubernetes Cluster leeft, nëmmen zougänglech vum Firezone Team. Hei ass e Beispill vun engem Telemetrie Event dat vun Ärer Instanz vu Firezone op eisen Telemetrieserver geschéckt gëtt:
{
goen: “0182272d-0b88-0000-d419-7b9a413713f1”,
"Zäitstempel": “2022-07-22T18:30:39.748000+00:00”,
"Event": "fz_http_started",
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"Eegeschafte":{
"$geoip_city_name": "Aschburn",
"$geoip_continent_code": "NA",
"$geoip_continent_name": "Nordamerika",
"$geoip_country_code": "US",
"$geoip_country_name": "Vereenegt Staaten",
"$geoip_latitude": 39.0469,
"$geoip_longitude": -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "Virginia",
"$geoip_time_zone": "Amerika/New_York",
"$ip": "52.200.241.107",
"$plugins_deferred": [],
"$plugins_failed": [],
"$plugins_succeded": [
"GeoIP (3)"
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "linux 5.13.0",
"Versioun": "0.4.6"
},
"elements_chain": ""
}
NOTÉIERT
D'Firezone Entwécklungsteam hänkt of op Produktanalyse fir Firezone besser fir jiddereen ze maachen. Telemetrie aktivéiert ze loossen ass deen eenzege wäertvollste Bäitrag deen Dir zu der Firezone Entwécklung maache kënnt. Dat gesot, mir verstinn datt e puer Benotzer méi héich Privatsphär oder Sécherheetsfuerderunge hunn a léiwer Telemetrie ganz auszeschalten. Wann dat bass du, weider liesen.
Telemetrie ass par défaut aktivéiert. Fir d'Produkttelemetrie komplett auszeschalten, setze déi folgend Konfiguratiounsoptioun op falsch an /etc/firezone/firezone.rb a lafen sudo firezone-ctl reconfigure fir d'Ännerungen opzehuelen.
Default['firezone']['Telemetrie']['aktivéiert'] = An falsch
Dat wäert all Produkt Telemetrie komplett auszeschalten.
Hagelbytes
9511 Kinniginendag Gard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
E-Mail: info@hailbytes.com