Hailbytes VPN бо ҳуҷҷатҳои Firezone Firewall

Мундариҷа

Оғози кор

Дастурҳои зина ба зина барои ҷойгиркунии Hailbytes VPN бо Firezone GUI дар ин ҷо оварда шудаанд. 

Идоракунӣ: Насб кардани мисоли сервер мустақиман бо ин қисм алоқаманд аст.

Дастурҳои корбар: Ҳуҷҷатҳои муфиде, ки метавонанд ба шумо тарзи истифодаи Firezone ва ҳалли мушкилоти маъмулиро омӯзанд. Пас аз он ки сервер бомуваффақият ҷойгир карда шуд, ба ин бахш муроҷиат кунед.

Дастурҳо барои конфигуратсияҳои умумӣ

Туннели тақсимшуда: VPN-ро барои фиристодани трафик ба диапазони мушаххаси IP истифода баред.

Рӯйхати сафед: Суроғаи IP статикии сервери VPN-ро барои истифодаи рӯйхати сафед таъин кунед.

Нақбҳои баръакс: Бо истифода аз нақбҳои баръакс нақбҳо созед байни якчанд ҳамсолон.

Дастгирӣ кунед

Агар ба шумо барои насб, танзим ё истифодаи Hailbytes VPN ёрӣ лозим бошад, мо бо хушнудӣ ба шумо кумак мекунем.

Таъйид

Пеш аз он ки корбарон файлҳои конфигуратсияи дастгоҳро тавлид ё зеркашӣ кунанд, Firezone-ро метавон танзим кард, ки аутентификатсияро талаб кунад. Истифодабарандагон инчунин метавонанд барои фаъол нигоҳ доштани пайвасти VPN-и худ давра ба давра аз нав тасдиқ кунанд.

Гарчанде ки усули воридшавии пешфарзии Firezone почтаи электронӣ ва пароли маҳаллӣ аст, онро инчунин бо ҳама гуна провайдери мушаххаси стандартии OpenID Connect (OIDC) муттаҳид кардан мумкин аст. Ҳоло корбарон метавонанд бо истифода аз Okta, Google, Azure AD ё маълумоти провайдери шахсияти хусусии худ ба Firezone ворид шаванд.

 

Интегратсияи провайдери умумии OIDC

Параметрҳои конфигуратсияҳое, ки аз ҷониби Firezone барои иҷозат додан ба SSO бо истифода аз провайдери OIDC лозиманд, дар мисоли зер нишон дода шудаанд. Дар /etc/firezone/firezone.rb шумо метавонед файли конфигуратсияро пайдо кунед. Барои навсозии барнома ва эътибор пайдо кардани тағирот firezone-ctl-ро аз нав танзим кунед ва firezone-ctl-ро бозоғоз кунед.

 

# Ин як мисолест, ки Google ва Okta ҳамчун провайдери шахсияти SSO истифода мебаранд.

# Якчанд конфигуратсияи OIDC метавонад ба як мисоли Firezone илова карда шавад.

 

# Firezone метавонад VPN-и корбарро хомӯш кунад, агар ҳангоми кӯшиш ягон хатогӣ ошкор шавад

# барои навсозии_токени дастрасии онҳо. Ин барои кор барои Google, Okta ва

# Azure SSO ва барои ба таври худкор ҷудо кардани VPN-и корбар, агар онҳо хориҷ карда шаванд, истифода мешавад

# аз провайдери OIDC. Агар провайдери OIDC-и шумо инро ғайрифаъол гузоред

# мушкилоти навсозии аломатҳои дастрасӣ дорад, зеро он метавонад ба таври ғайричашмдошт халал расонад

# сессияи VPN корбар.

пешфарз['firezone']['authentication']['disable_vpn_on_oidc_error'] = бардурӯғ

 

пешфарз['firezone']['authentication']['oidc'] = {

  google: {

    Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",

    client_id: " ”,

    муштарӣ_сирри: " ”,

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",

    Намуди ҷавоб: "код",

    доираи: "профили почтаи электронии кушода",

    барчасп: "Google"

  },

  окта: {

    Discovery_document_uri: "https:// /.конфигуратсияи хуб маълум/openid”,

    client_id: " ”,

    муштарӣ_сирри: " ”,

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",

    Намуди ҷавоб: "код",

    доираи: "профили почтаи электронии кушодаи offline_access",

    Нишонӣ: "Окта"

  }

}



Барои ҳамгироӣ танзимоти конфигуратсияи зерин лозиманд:

  1. Discovery_document_uri: Дар Конфигуратсияи провайдери OpenID Connect URI ки ҳуҷҷати JSON-ро, ки барои сохтани дархостҳои минбаъда ба ин провайдери OIDC истифода мешавад, бармегардонад.
  2. client_id: ID-и муштарии барнома.
  3. client_secret: Сирри муштарии барнома.
  4. redirect_uri: Ба провайдери OIDC дастур медиҳад, ки пас аз тасдиқи аутентификатсия ба куҷо масир гузаронад. Ин бояд Firezone EXTERNAL_URL + /auth/oidc/-и шумо бошад. /callback/ (масалан, https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
  5. answer_type: Ба код таъин кунед.
  6. миқёс: Доираи OIDC аз провайдери OIDC гиред. Ин бояд ба профили почтаи электронии openid ё профили почтаи электронии openid offline_access вобаста ба провайдер танзим карда шавад.
  7. барчасп: Матни тамғаи тугма, ки дар экрани воридшавии Firezone-и шумо пайдо мешавад.

URL-ҳои зебо

Барои ҳар як провайдери OIDC URL-и зебои мувофиқ барои масир ба URL-и воридшавии провайдери танзимшуда сохта мешавад. Барои мисоли конфигуратсияи OIDC дар боло, URL-ҳо инҳоянд:

  • https://instance-id.yourfirezone.com/auth/oidc/google
  • https://instance-id.yourfirezone.com/auth/oidc/okta

Дастурҳо барои насби Firezone бо провайдерҳои машҳури шахсият

Провайдерҳое, ки мо барои онҳо ҳуҷҷат дорем:

  • Google
  • Окта
  • Azure Active Directory
  • Onelogin
  • Аутентификатсияи маҳаллӣ

 

Агар провайдери шахсияти шумо пайвасткунаки умумии OIDC дошта бошад ва дар боло номбар нашуда бошад, лутфан ба ҳуҷҷатҳои онҳо барои маълумот дар бораи чӣ гуна дарёфт кардани танзимоти конфигуратсияи зарурӣ муроҷиат кунед.

Нигоҳ доштани такрори аутентификатсия

Танзимоти зери танзимот/амният метавонад тағир дода шавад, то аз нав тасдиқкунии мунтазам талаб карда шавад. Ин метавонад барои иҷрои талаботе истифода шавад, ки корбарон ба таври мунтазам ба Firezone ворид шаванд, то сессияи VPN-и худро идома диҳанд.

Давомнокии сессия метавонад аз як соат то навад рӯз танзим карда шавад. Бо гузоштани ин ба Ҳеҷ гоҳ, шумо метавонед сеансҳои VPN-ро дар вақти дилхоҳ фаъол созед. Ин стандарт аст.

Бозрасии аутентификатсия

Истифодабаранда бояд сеанси VPN-и худро қатъ кунад ва ба портали Firezone ворид шавад, то сеанси гузаштаи VPN-ро дубора тасдиқ кунад (URL ҳангоми ҷойгиркунӣ нишон дода шудааст).

Шумо метавонед сеанси худро бо риояи дастурҳои дақиқи муштарӣ, ки дар ин ҷо пайдо шудааст, дубора тасдиқ кунед.

 

Ҳолати пайвасти VPN

Сутуни ҷадвали Пайвастшавӣ VPN-и саҳифаи корбарон ҳолати пайвасти корбарро нишон медиҳад. Ҳолати пайвастшавӣ инҳоянд:

ДАРКОР - Пайвастшавӣ фаъол аст.

МАЪЛУМОТ - Пайвастшавӣ аз ҷониби маъмур ё нокомии навсозии OIDC ғайрифаъол шудааст.

Мӯҳлаташ гузаштааст - Пайваст бо сабаби ба охир расидани мӯҳлати аутентификатсия ё корбар бори аввал ворид нашудааст, ғайрифаъол шудааст.

Google

Тавассути пайвасткунаки умумии OIDC, Firezone ба як воридшавӣ (SSO) бо Google Workspace ва Cloud Identity имкон медиҳад. Ин дастур ба шумо нишон медиҳад, ки чӣ тавр ба даст овардани параметрҳои конфигуратсияи дар зер овардашуда, ки барои ҳамгироӣ заруранд:

  1. Discovery_document_uri: Дар Конфигуратсияи провайдери OpenID Connect URI ки ҳуҷҷати JSON-ро, ки барои сохтани дархостҳои минбаъда ба ин провайдери OIDC истифода мешавад, бармегардонад.
  2. client_id: ID-и муштарии барнома.
  3. client_secret: Сирри муштарии барнома.
  4. redirect_uri: Ба провайдери OIDC дастур медиҳад, ки пас аз тасдиқи аутентификатсия ба куҷо масир гузаронад. Ин бояд Firezone EXTERNAL_URL + /auth/oidc/-и шумо бошад. /callback/ (масалан, https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
  5. answer_type: Ба код таъин кунед.
  6. миқёс: Доираи OIDC аз провайдери OIDC дастрас кунед. Ин бояд ба профили почтаи электронии кушода муқаррар карда шавад, то ба Firezone бо почтаи электронии корбар дар даъвоҳои баргардонидашуда таъмин карда шавад.
  7. барчасп: Матни тамғаи тугма, ки дар экрани воридшавии Firezone-и шумо пайдо мешавад.

Танзимоти конфигуратсияро гиред

1. Экрани танзимоти OAuth"Озодӣ" дар мобил

Агар ин бори аввал аст, ки шумо ID-и нави муштарии OAuth эҷод мекунед, аз шумо хоҳиш карда мешавад, ки экрани ризоиятро танзим кунед.

* Барои намуди корбар дохилиро интихоб кунед. Ин кафолат медиҳад, ки танҳо ҳисобҳои мутааллиқ ба корбарони Ташкилоти Google Workspace-и шумо метавонанд конфигуратсияҳои дастгоҳро эҷод кунанд. Агар шумо хоҳед, ки ба касе бо ҳисоби дурусти Google барои сохтани конфигуратсияҳои дастгоҳ имкон надиҳед, беруниро интихоб накунед.

 

Дар экрани маълумоти барнома:

  1. Номи барнома: Firezone
  2. Логотипи барнома: Логотипи Firezone (пайвандро ҳамчун захира кунед).
  3. Саҳифаи асосии барнома: URL-и мисоли Firezone-и шумо.
  4. Доменҳои ваколатдор: домени сатҳи болоии мисоли Firezone-и шумо.

 

 

2. Эҷоди ID-ҳои Client OAuth"Озодӣ" дар мобил

Ин бахш ба ҳуҷҷатҳои худи Google асос ёфтааст насб кардани OAuth 2.0.

Ба Google Cloud Console ташриф оред Саҳифаи эътимоднома саҳифа, клик кунед + Эҷоди Маълумотнома ва ID мизоҷи OAuth -ро интихоб кунед.

Дар экрани эҷоди ID мизоҷи OAuth:

  1. Навъи барномаро ба барномаи веб танзим кунед
  2. Firezone EXTERNAL_URL + /auth/oidc/google/callback/-и худро (масалан, https://instance-id.yourfirezone.com/auth/oidc/google/callback/) ҳамчун вуруд ба URI-ҳои масири ваколатдор илова кунед.

 

Пас аз сохтани ID-и муштарии OAuth, ба шумо ID-и муштарӣ ва сирри муштарӣ дода мешавад. Инҳо якҷоя бо URI масир дар қадами оянда истифода мешаванд.

Интегратсияи Firezone

Edit /etc/firezon/firezone.rb барои дохил кардани имконоти зерин:

 

# Истифодаи Google ҳамчун провайдери шахсияти SSO

пешфарз['firezone']['authentication']['oidc'] = {

  google: {

    Discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",

    client_id: " ”,

    муштарӣ_сирри: " ”,

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",

    Намуди ҷавоб: "код",

    доираи: "профили почтаи электронии кушода",

    барчасп: "Google"

  }

}

 

Барои навсозии барнома firezone-ctl-ро аз нав танзим кунед ва firezone-ctl-ро бозоғоз кунед. Шумо ҳоло бояд дар URL-и решаи Firezone тугмаи воридшавӣ бо Google-ро бинед.

Окта

Firezone пайвасткунаки умумии OIDC-ро барои осон кардани воридшавии ягона (SSO) бо Okta истифода мебарад. Ин дастур ба шумо нишон медиҳад, ки чӣ тавр ба даст овардани параметрҳои конфигуратсияи дар зер овардашуда, ки барои ҳамгироӣ заруранд:

  1. Discovery_document_uri: Дар Конфигуратсияи провайдери OpenID Connect URI ки ҳуҷҷати JSON-ро, ки барои сохтани дархостҳои минбаъда ба ин провайдери OIDC истифода мешавад, бармегардонад.
  2. client_id: ID-и муштарии барнома.
  3. client_secret: Сирри муштарии барнома.
  4. redirect_uri: Ба провайдери OIDC дастур медиҳад, ки пас аз тасдиқи аутентификатсия ба куҷо масир гузаронад. Ин бояд Firezone EXTERNAL_URL + /auth/oidc/-и шумо бошад. /callback/ (масалан, https://instance-id.yourfirezone.com/auth/oidc/okta/callback/).
  5. answer_type: Ба код таъин кунед.
  6. миқёс: Доираи OIDC аз провайдери OIDC гиред. Ин бояд ба профили почтаи электронии openid offline_access таъин карда шавад, то Firezone бо почтаи электронии корбар дар даъвоҳои баргардонидашуда таъмин намояд.
  7. барчасп: Матни тамғаи тугма, ки дар экрани воридшавии Firezone-и шумо пайдо мешавад.

 

Барномаи Okta -ро муттаҳид кунед

Ин фасли дастур дар асоси Ҳуҷҷатҳои Окта.

Дар Console Admin, ба Барномаҳо > Барномаҳо гузаред ва Эҷоди интегратсияи барномаҳоро клик кунед. Усули воридшавӣ ба OICD - OpenID Connect ва навъи барномаро ба веб-барнома таъин кунед.

Ин танзимотҳоро танзим кунед:

  1. Номи барнома: Firezone
  2. Логотипи барнома: Логотипи Firezone (пайвандро ҳамчун захира кунед).
  3. Навъи грант: Қуттии Навсозии аломатро санҷед. Ин кафолат медиҳад, ки Firezone бо провайдери шахсият ҳамоҳанг мешавад ва дастрасии VPN пас аз хориҷ кардани корбар қатъ карда мешавад.
  4. Воридшавӣ URI-ҳои масири масир: Firezone EXTERNAL_URL + /auth/oidc/okta/callback/-и худро илова кунед (масалан, https://instance-id.yourfirezone.com/auth/oidc/okta/callback/) ҳамчун вуруд ба URI-ҳои масири ваколатдор .
  5. Супоришҳо: Маҳдуд кардани гурӯҳҳое, ки шумо мехоҳед дастрасӣ ба мисоли Firezone-и худро фароҳам оред.

Пас аз захира кардани танзимот, ба шумо ID-и муштарӣ, Сирри муштарӣ ва домени Окта дода мешавад. Ин 3 арзиш дар Қадами 2 барои танзими Firezone истифода мешаванд.

Интегратсияи Firezone

Edit /etc/firezon/firezone.rb барои дохил кардани вариантҳои зер. шумо Discovery_document_url мешавад /.конфигуратсияи хуб маълум/openid ба охири шумо замима карда мешавад okta_domain.

 

# Истифодаи Окта ҳамчун провайдери шахсияти SSO

пешфарз['firezone']['authentication']['oidc'] = {

  окта: {

    Discovery_document_uri: "https:// /.конфигуратсияи хуб маълум/openid”,

    client_id: " ”,

    муштарӣ_сирри: " ”,

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",

    Намуди ҷавоб: "код",

    доираи: "профили почтаи электронии кушодаи offline_access",

    Нишонӣ: "Окта"

  }

}

 

Барои навсозии барнома firezone-ctl-ро аз нав танзим кунед ва firezone-ctl-ро бозоғоз кунед. Ҳоло шумо бояд дар URL-и решаи Firezone тугмаи воридшавиро бо Окта бинед.

 

Маҳдуд кардани дастрасӣ ба корбарони муайян

Корбароне, ки метавонанд ба барномаи Firezone дастрасӣ пайдо кунанд, метавонанд аз ҷониби Okta маҳдуд карда шаванд. Барои иҷрои ин ба саҳифаи супоришҳои Integration App Firezone-и Okta Admin Console гузаред.

Azure Active Directory

Тавассути пайвасткунаки умумии OIDC, Firezone воридшавии ягонаро (SSO) бо Azure Active Directory имкон медиҳад. Ин дастур ба шумо нишон медиҳад, ки чӣ тавр ба даст овардани параметрҳои конфигуратсияи дар зер овардашуда, ки барои ҳамгироӣ заруранд:

  1. Discovery_document_uri: Дар Конфигуратсияи провайдери OpenID Connect URI ки ҳуҷҷати JSON-ро, ки барои сохтани дархостҳои минбаъда ба ин провайдери OIDC истифода мешавад, бармегардонад.
  2. client_id: ID-и муштарии барнома.
  3. client_secret: Сирри муштарии барнома.
  4. redirect_uri: Ба провайдери OIDC дастур медиҳад, ки пас аз тасдиқи аутентификатсия ба куҷо масир гузаронад. Ин бояд Firezone EXTERNAL_URL + /auth/oidc/-и шумо бошад. /callback/ (масалан, https://instance-id.yourfirezone.com/auth/oidc/azure/callback/).
  5. answer_type: Ба код таъин кунед.
  6. миқёс: Доираи OIDC аз провайдери OIDC гиред. Ин бояд ба профили почтаи электронии openid offline_access таъин карда шавад, то Firezone бо почтаи электронии корбар дар даъвоҳои баргардонидашуда таъмин намояд.
  7. барчасп: Матни тамғаи тугма, ки дар экрани воридшавии Firezone-и шумо пайдо мешавад.

Танзимоти конфигуратсияро гиред

Ин дастур аз он гирифта шудааст Ҳуҷҷатҳои Directory Active Azure.

 

Ба саҳифаи Azure Active Directory портали Azure гузаред. Опсияи менюи Идоракуниро интихоб кунед, бақайдгирии навро интихоб кунед ва пас бо пешниҳоди маълумоти дар зер сабти ном кунед:

  1. Ном: Firezone
  2. Намудҳои ҳисобҳои дастгирӣшаванда: (Танҳо директорияи пешфарз - Иҷораи ягона)
  3. URI масир: Ин бояд минтақаи оташнишонии шумо EXTERNAL_URL + /auth/oidc/azure/callback/ бошад (масалан, https://instance-id.yourfirezone.com/auth/oidc/azure/callback/). Боварӣ ҳосил кунед, ки шумо хатти паси онро дохил мекунед. Ин арзиши redirect_uri хоҳад буд.

 

Пас аз бақайдгирӣ, намуди тафсилоти барномаро кушоед ва нусхабардорӣ кунед ID ариза (муштарӣ).. Ин арзиши client_id хоҳад буд. Баъдан, менюи нуқтаҳоро кушоед, то Ҳуҷҷати метамаълумоти OpenID Connect. Ин арзиши discovery_document_uri хоҳад буд.

 

Бо пахш кардани имконоти Сертификатҳо ва асрор дар зери менюи Идоракунӣ сирри нави муштарӣ эҷод кунед. Сирри муштариро нусхабардорӣ кунед; арзиши махфии муштарӣ ин хоҳад буд.

 

Ниҳоят, истиноди иҷозатҳои API-ро дар зери менюи Идора интихоб кунед, клик кунед Иҷозат илова кунед, -ро интихоб кунед Microsoft Graph, илова кардан почтаи электронӣ, OpenID, офлайн_дастрасӣ ва нимруҳ ба иҷозатҳои зарурӣ.

Интегратсияи Firezone

Edit /etc/firezon/firezone.rb барои дохил кардани имконоти зерин:

 

# Истифодаи Azure Active Directory ҳамчун провайдери шахсияти SSO

пешфарз['firezone']['authentication']['oidc'] = {

  кабуд: {

    Discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.конфигуратсияи хуб маълум/openid”,

    client_id: " ”,

    муштарӣ_сирри: " ”,

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",

    Намуди ҷавоб: "код",

    доираи: "профили почтаи электронии кушодаи offline_access",

    Нишонӣ: "Azure"

  }

}

 

Барои навсозии барнома firezone-ctl-ро аз нав танзим кунед ва firezone-ctl-ро бозоғоз кунед. Шумо ҳоло бояд тугмаи воридшавӣ бо Azure-ро дар URL-и решаи Firezone бинед.

Чӣ тавр: Маҳдуд кардани дастрасӣ ба баъзе аъзоён

Azure AD ба маъмурон имкон медиҳад, ки дастрасии барномаро ба гурӯҳи мушаххаси корбарон дар дохили ширкати шумо маҳдуд кунанд. Маълумоти бештарро дар бораи чӣ гуна иҷро кардан мумкин аст дар ҳуҷҷатҳои Microsoft пайдо кунед.

Маъмур

  • Танзимоти
  • Идоракунии насб
  • азнавсозӣ
  • Муҳофизат кардан
  • Мулоҳизаҳои амниятӣ
  • Иҷрои дархостҳои SQL

Танзимоти

Chef Omnibus аз ҷониби Firezone барои идоракунии вазифаҳо, аз ҷумла бастабандии озодкунӣ, назорати раванд, идоракунии гузоришҳо ва ғайра истифода мешавад.

Рамзи Ruby файли конфигуратсияи ибтидоиро ташкил медиҳад, ки дар /etc/firezone/firezone.rb ҷойгир аст. Аз нав оғоз кардани sudo firezone-ctl reconfigure пас аз ворид кардани тағирот ба ин файл боиси он мегардад, ки Chef тағиротҳоро эътироф кунад ва онҳоро ба системаи амалиётии ҷорӣ татбиқ кунад.

Барои рӯйхати пурраи тағирёбандаҳои конфигуратсия ва тавсифи онҳо ба истинод ба файли конфигуратсия нигаред.

Идоракунии насб

Намунаи Firezone-и шумо метавонад тавассути firezone-ctl фармон, тавре ки дар зер нишон дода шудааст. Аксари зерфармонҳо префиксиро талаб мекунанд sudo.

 

root@demo:~# firezone-ctl

omnibus-ctl: фармон (зерфармон)

Фармонҳои умумӣ:

  тоза кардан

    Ҳама * маълумотҳои минтақаи оташро нест кунед ва аз сифр оғоз кунед.

  эҷод кардан ё аз нав барқарор кардан-админ

    Паролро барои администратор бо почтаи электроние, ки бо нобаёнӣ муқаррар шудааст['firezone']['admin_email'] аз нав барқарор мекунад ё агар ин почтаи электронӣ мавҷуд набошад, мудири нав эҷод мекунад.

  Кӯмак

    Ин паёми ёриро чоп кунед.

  аз нав танзим кардан

    Барномаро аз нав танзим кунед.

  аз нав танзимкунии шабака

    Nftables, интерфейси WireGuard ва ҷадвали масирро ба пешфарзҳои Firezone баргардонед.

  нишон додани конфигуратсия

    Конфигуратсияеро, ки тавассути reconfigure тавлид мешавад, нишон диҳед.

  вайрон кардани шабака

    Интерфейси WireGuard ва ҷадвали firezone nftables -ро нест мекунад.

  маҷбурӣ-шаҳодатнома-навсозӣ

    Таҷдиди сертификатро ҳоло маҷбур кунед, ҳатто агар мӯҳлати он ба охир нарасидааст.

  қатъ-таҷдиди сертификат

    Cronjob, ки сертификатҳоро нав мекунад, хориҷ мекунад.

  Uninstall

    Ҳама равандҳоро кушед ва супервайзери равандро нест кунед (маълумот ҳифз карда мешавад).

  нусхаи

    Намоиши версияи ҷории Firezone

Фармонҳои идоракунии хидмат:

  мархамат-куштан

    Кӯшиш кунед, ки таваққуф кунед, пас тамоми гурӯҳи равандро SIGKILL кунед.

  хап

    Хидматҳоро ба HUP фиристед.

  Int

    Хидматҳоро як INT фиристед.

  куштан

    Хидматҳоро як KILL фиристед.

  Як бор

    Агар хидматҳо қатъ шаванд, оғоз кунед. Агар онҳо қатъ шаванд, онҳоро дубора оғоз накунед.

  оғози дубора

    Агар хидматҳо кор кунанд, қатъ кунед ва аз нав оғоз кунед.

  рӯйхати хизматрасонӣ

    Ҳама хидматҳоро номбар кунед (хидматҳои фаъол бо аломати *. пайдо мешаванд)

  Таърихи оѓоз

    Хидматҳоро дар ҳолати корношоям оғоз кунед ва агар қатъ шаванд, онҳоро аз нав оғоз кунед.

  њолати

    Ҳолати ҳамаи хидматҳоро нишон диҳед.

  Ист

    Хизматҳоро қатъ кунед ва онҳоро аз нав оғоз накунед.

  думи

    Гузоришҳои хидматрасонии ҳама хидматҳои фаъолро тамошо кунед.

  мӯҳлат

    Хидматҳоро ба мӯҳлати фиристед.

  usr1

    Хидматҳоро ба USR1 фиристед.

  usr2

    Хидматҳоро ба USR2 фиристед.

азнавсозӣ

Ҳама сессияҳои VPN бояд пеш аз навсозии Firezone қатъ карда шаванд, ки он инчунин қатъ кардани UI Web UI-ро талаб мекунад. Дар ҳолате, ки ҳангоми навсозӣ чизе хато кунад, мо маслиҳат медиҳем, ки барои нигоҳдорӣ як соат ҷудо кунем.

 

Барои баланд бардоштани Firezone, амалҳои зеринро иҷро кунед:

  1. Бастаи firezone-ро бо истифода аз насби як фармон навсозӣ кунед: sudo -E bash -c "$(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh)"
  2. Барои гирифтани тағироти нав firezone-ctl reconfigure -ро иҷро кунед.
  3. Барои аз нав оғоз кардани хидматҳо firezone-ctl restart-ро иҷро кунед.

Агар ягон мушкилот ба миён ояд, лутфан ба мо хабар диҳед пешниҳоди чиптаи дастгирӣ.

Upgrade From =0.5.0

Дар 0.5.0 чанд тағироти қатъӣ ва тағироти конфигуратсия мавҷуданд, ки бояд ҳал карда шаванд. Дар зер маълумоти бештар гиред.

Дархостҳои маҷмӯии Nginx non_ssl_port (HTTP) хориҷ карда шуданд

Nginx дигар аз версияи 0.5.0 параметрҳои порти қувваи SSL ва ғайри SSL-ро дастгирӣ намекунад. Азбаски Firezone барои кор ба SSL ниёз дорад, мо маслиҳат медиҳем, ки хидмати бастаи Nginx-ро бо муқаррар кардани нобаёнӣ['firezone']['nginx']['enabled'] = false хориҷ кунем ва ба ҷои он прокси баръакси худро ба барномаи Phoenix дар порти 13000 равона кунем (бо нобаёнӣ). ).

Дастгирии протоколи ACME

0.5.0 дастгирии протоколи ACME-ро барои ба таври худкор таҷдиди сертификатҳои SSL бо хидмати маҷмӯии Nginx ҷорӣ мекунад. Барои фаъол кардан,

  • Боварӣ ҳосил кунед, ки пешфарз['firezone']['external_url'] дорои FQDN дуруст аст, ки ба суроғаи IP-и оммавии сервери шумо ҳал мешавад.
  • Боварӣ ҳосил кунед, ки порти 80/tcp дастрас аст
  • Дастгирии протоколи ACME-ро бо пешфарз['firezone']['ssl']['acme']['enabled'] = true дар файли танзимоти худ фаъол созед.

Ҷойҳои мувофиқи қоидаҳои баромад

Имконияти илова кардани қоидаҳо бо ҷойҳои такрорӣ дар Firezone 0.5.0 нест шудааст. Скрипти муҳоҷирати мо ҳангоми навсозӣ ба 0.5.0 ин ҳолатҳоро ба таври худкор эътироф мекунад ва танҳо қоидаҳоеро нигоҳ медорад, ки ҷои таъиноти онҳо қоидаҳои дигарро дар бар мегирад. Агар ин хуб бошад, ба шумо ҳеҷ кор лозим нест.

Дар акси ҳол, пеш аз навсозӣ, мо маслиҳат медиҳем, ки қоидаҳои худро тағир диҳед, то аз ин ҳолатҳо халос шавед.

Пешакӣ танзим кардани Okta ва Google SSO

Firezone 0.5.0 дастгирии конфигуратсияи кӯҳнаи Okta ва Google SSO-ро ба манфиати конфигуратсияи нав ва чандир дар асоси OIDC нест мекунад. 

Агар шумо ягон конфигуратсияро зери калидҳои пешфарз['firezone']['authentication']['okta'] ё пешфарз['firezone']['authentication']['google'] дошта бошед, шумо бояд онҳоро ба OIDC-и мо интиқол диҳед -конфигуратсия дар асоси бо истифода аз дастури дар поён.

Конфигуратсияи мавҷудаи Google OAuth

Ин сатрҳоро, ки конфигуратсияҳои кӯҳнаи Google OAuth доранд, аз файли конфигуратсияи худ дар /etc/firezone/firezone.rb хориҷ кунед

 

пешфарз['firezone']['authentication']['google']['enabled']

пешфарз['firezone']['authentication']['google']['client_id']

пешфарз['firezone']['authentication']['google']['client_secret']

пешфарз['firezone']['authentication']['google']['redirect_uri']

 

Сипас, бо риояи расмиёти ин ҷо Google-ро ҳамчун провайдери OIDC танзим кунед.

(Дастурҳои истинодро пешниҳод кунед)<<<<<<<<<<<<<<<<<

 

Google OAuth мавҷударо танзим кунед 

Ин сатрҳоро, ки конфигуратсияҳои кӯҳнаи Okta OAuth доранд, аз файли конфигуратсияи худ, ки дар он ҷойгир аст, хориҷ кунед /etc/firezon/firezone.rb

 

пешфарз['firezone']['authentication']['okta']['enabled']

пешфарз['firezone']['authentication']['okta']['client_id']

пешфарз['firezone']['authentication']['okta']['client_secret']

Пешфарз['firezone']['authentication']['okta']['сайт']

 

Пас, Октаро ҳамчун провайдери OIDC бо риояи расмиёти ин ҷо танзим кунед.

Навсозӣ аз 0.3.x ба >= 0.3.16

Вобаста аз танзимот ва версияи ҷории шумо, ба дастурҳои зерин риоя кунед:

Агар шумо аллакай ҳамгироии OIDC дошта бошед:

Барои баъзе провайдерҳои OIDC, навсозӣ ба >= 0.3.16 талаб мекунад, ки аломати навсозӣ барои доираи дастрасии офлайн бошад. Бо ин кор, боварӣ ҳосил мешавад, ки Firezone бо провайдери шахсият навсозӣ мешавад ва пайвасти VPN пас аз нест кардани корбар қатъ карда мешавад. Итератсияҳои қаблии Firezone ин хусусият надоштанд. Дар баъзе ҳолатҳо, корбароне, ки аз провайдери шахсияти шумо нест карда шудаанд, метавонанд ба VPN пайваст бошанд.

Ба параметри конфигуратсияи OIDC-и худ барои провайдерҳои OIDC, ки доираи дастрасии офлайнро дастгирӣ мекунанд, дохил кардани дастрасии офлайн зарур аст. Барои татбиқ кардани тағирот ба файли конфигуратсияи Firezone, ки дар /etc/firezone/firezone.rb ҷойгир аст, reconfigure-и Firezone-ctl бояд иҷро карда шавад.

Барои корбароне, ки аз ҷониби провайдери OIDC-и шумо тасдиқ шудаанд, шумо сарлавҳаи Пайвастҳои OIDC-ро дар саҳифаи тафсилоти корбарии UI веб мебинед, агар Firezone тавонад аломати навсозиро бомуваффақият барқарор кунад.

Агар ин кор накунад, шумо бояд барномаи мавҷудаи OAuth-и худро нест кунед ва қадамҳои танзимкунии OIDC-ро такрор кунед ҳамгироии нави барнома эҷод кунед .

Ман ҳамгироии мавҷудаи OAuth дорам

Пеш аз 0.3.11, Firezone провайдерҳои қаблан танзимшудаи OAuth2-ро истифода мебурд. 

Дастурҳоро иҷро кунед Ин ҷо ба OIDC муҳоҷират кунед.

Ман провайдери шахсиятро муттаҳид накардаам

Ягон амал лозим нест. 

Шумо метавонед дастурҳоро иҷро кунед Ин ҷо барои фаъол кардани SSO тавассути провайдери OIDC.

Аз 0.3.1 то >= 0.3.2 навсозӣ кунед

Ба ҷои он, пешфарз['firezone']['url беруна'] опсияи конфигуратсияи пешфарз['firezone']['fqdn']-ро иваз кард. 

Инро ба URL-и портали онлайни Firezone-и худ, ки барои омма дастрас аст, насб кунед. Агар номуайян боқӣ монад, он ба https:// плюс FQDN-и сервери шумо пешфарз мешавад.

Файли конфигуратсия дар /etc/firezone/firezone.rb ҷойгир аст. Барои рӯйхати пурраи тағирёбандаҳои конфигуратсия ва тавсифи онҳо ба истинод ба файли конфигуратсия нигаред.

Навсозӣ аз 0.2.x ба 0.3.x

Firezone дигар калидҳои хусусии дастгоҳро дар сервери Firezone аз версияи 0.3.0 нигоҳ намедорад. 

Firezone Web UI ба шумо имкон намедиҳад, ки ин конфигуратсияҳоро дубора зеркашӣ кунед ё бубинед, аммо ҳама гуна дастгоҳҳои мавҷуда бояд ҳамчунон кор кунанд.

Навсозӣ аз 0.1.x ба 0.2.x

Агар шумо аз Firezone 0.1.x навсозӣ кунед, чанд тағироти файли конфигуратсия мавҷуданд, ки бояд дастӣ ҳал карда шаванд. 

Барои ворид кардани тағйироти зарурӣ ба файли /etc/firezone/firezone.rb, фармонҳои зерро ҳамчун реша иҷро кунед.

 

cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak

sed -i “s/\['enable'\]/\['enabled'\]/” /etc/firezone/firezone.rb

echo “default['firezone']['connectivity_checks']['enabled'] = true” >> /etc/firezone/firezone.rb

echo "default['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb

firezone-ctl аз нав танзим кунед

firezone-ctl аз нав оғоз кунед

Мушкилкушо

Санҷиши гузоришҳои Firezone як қадами аввалини оқилона барои ҳама гуна мушкилотест, ки метавонад рух диҳад.

Барои дидани гузоришҳои Firezone, sudo firezone-ctl tailро иҷро кунед.

Муайян кардани мушкилоти пайвастшавӣ

Аксарияти мушкилоти пайвастшавӣ бо Firezone бо қоидаҳои номувофиқи iptables ё nftables ба вуҷуд меоянд. Шумо бояд боварӣ ҳосил кунед, ки ҳама қоидаҳое, ки шумо амал мекунед, бо қоидаҳои Firezone мухолифат намекунанд.

Пайвасти интернет ҳангоми фаъол будани туннел қатъ мешавад

Боварӣ ҳосил кунед, ки занҷири FORWARD бастаҳои муштариёни WireGuard-и шуморо ба ҷойҳое, ки шумо мехоҳед тавассути Firezone гузаронед, иҷозат медиҳад, агар пайвастагии интернети шумо ҳар дафъае, ки шумо нақби WireGuard-ро фаъол мекунед, бад шавад.

 

Ин метавонад ба даст оварда шавад, агар шумо ufw -ро истифода баред, бо боварӣ ҳосил кардани он, ки сиёсати пешфарз масир иҷозат дода мешавад:

 

ubuntu@fz:~$ sudo ufw бо нобаёнӣ иҷозати масир

Сиёсати пешфарзии масир ба "иҷозат додан" тағир ёфт

(боварӣ ҳосил кунед, ки қоидаҳои худро мувофиқи он нав кунед)

 

A Расо Ҳолати сервери маъмулии Firezone метавонад чунин бошад:

 

ubuntu@fz:~$ sudo ufw ҳолати муфассал

Ҳолати: фаъол

Воридшавӣ: фаъол (паст)

Пешфарз: рад кардан (даромад), иҷозат додан (баромадан), иҷозат додан (масир)

Профилҳои нав: гузаред

 

Ба амал Аз

— —— —-

22/tcp Иҷозат диҳед дар ҳама ҷо

80/tcp Иҷозат диҳед дар ҳама ҷо

443/tcp Иҷозат диҳед дар ҳама ҷо

51820/udp Иҷозат диҳед дар ҳама ҷо

22/tcp (v6) Иҷозат додан дар ҳама ҷо (v6)

80/tcp (v6) Иҷозат додан дар ҳама ҷо (v6)

443/tcp (v6) Иҷозат додан дар ҳама ҷо (v6)

51820/udp (v6) Иҷозат додан дар ҳама ҷо (v6)

Мулоҳизаҳои амниятӣ

Мо маслиҳат медиҳем, ки дастрасӣ ба веб-интерфейсро барои ҷобаҷогузории истеҳсолии ниҳоят ҳассос ва аз ҷиҳати рисолати муҳим маҳдуд кунем, тавре ки дар зер шарҳ дода шудааст.

Хидматҳо ва Портҳо

 

хизматрасонӣ

Порти пешфарз

Суроғаро гӯш кунед

Тавсифи

Nginx

80, 443

ҳама

Порти ҷамъиятии HTTP(S) барои идоракунии Firezone ва мусоидат ба аутентификатсия.

Вирҷинӣ

51820

ҳама

Порти ҷамъиятии WireGuard барои сессияҳои VPN истифода мешавад. (UDP)

postgresql

15432

127.0.0.1

Порти танҳо маҳаллӣ барои сервери бастабандишудаи Postgresql истифода мешавад.

Финикс

13000

127.0.0.1

Порти танҳо маҳаллӣ, ки аз ҷониби сервери барномаи болооби эликсир истифода мешавад.

Ҷойгиркунии истеҳсолот

Мо ба шумо маслиҳат медиҳем, ки дар бораи маҳдуд кардани дастрасӣ ба UI веби ба таври оммавӣ фошшудаи Firezone фикр кунед (бо пешфарз портҳои 443/tcp ва 80/tcp) ва ба ҷои он нақби WireGuard-ро барои идора кардани Firezone барои истеҳсолот ва ҷойгиркунии оммавӣ, ки дар он як мудир масъул хоҳад буд, истифода баред. эҷод ва паҳн кардани конфигуратсияҳои дастгоҳ ба корбарони ниҳоӣ.

 

Масалан, агар администратор конфигуратсияи дастгоҳро созад ва туннелро бо суроғаи маҳаллии WireGuard 10.3.2.2 эҷод кунад, конфигуратсияи зерини ufw ба маъмур имкон медиҳад, ки ба интерфейси UI Firezone дар интерфейси wg-firezone сервер бо истифода аз 10.3.2.1 пешфарз дастрасӣ пайдо кунад. суроғаи туннел:

 

root@demo:~# ҳолати ufw муфассал

Ҳолати: фаъол

Воридшавӣ: фаъол (паст)

Пешфарз: рад кардан (даромад), иҷозат додан (баромадан), иҷозат додан (масир)

Профилҳои нав: гузаред

 

Ба амал Аз

— —— —-

22/tcp Иҷозат диҳед дар ҳама ҷо

51820/udp Иҷозат диҳед дар ҳама ҷо

Дар ҳама ҷо Иҷозат ДАР 10.3.2.2

22/tcp (v6) Иҷозат додан дар ҳама ҷо (v6)

51820/udp (v6) Иҷозат додан дар ҳама ҷо (v6)

Ин танҳо тарк хоҳад кард 22/tcp фош барои дастрасии SSH барои идоракунии сервер (ихтиёрӣ), ва 51820/udp бо мақсади таъсиси нақбҳои WireGuard фош карда шуданд.

Дархостҳои SQL-ро иҷро кунед

Firezone сервери Postgresql ва мувофиқро бастабандӣ мекунад psql утилитае, ки метавонад аз қабати маҳаллӣ истифода шавад, ба монанди:

 

/opt/firezon/embedded/bin/psql \

  -U firezone \

  -д минтақаи оташсӯзӣ \

  -h localhost \

  -p 15432 \

  -c "SQL_STATEMENT"

 

Ин метавонад барои мақсадҳои ислоҳкунӣ муфид бошад.

 

Вазифаҳои умумӣ:

 

  • Рӯйхати ҳамаи корбарон
  • Рӯйхати ҳамаи дастгоҳҳо
  • Тағир додани нақши корбар
  • Нусхаи эҳтиётии пойгоҳи додаҳо



Рӯйхати ҳамаи корбарон:

 

/opt/firezon/embedded/bin/psql \

  -U firezone \

  -д минтақаи оташсӯзӣ \

  -h localhost \

  -p 15432 \

  -c "Интихоб * АЗ корбарон;"



Рӯйхати ҳамаи дастгоҳҳо:

 

/opt/firezon/embedded/bin/psql \

  -U firezone \

  -д минтақаи оташсӯзӣ \

  -h localhost \

  -p 15432 \

  -c "Интихоб * АЗ дастгоҳҳо;"



Нақши корбарро тағир диҳед:

 

Нақшро ба "админ" ё "беимтиёз" таъин кунед:

 

/opt/firezon/embedded/bin/psql \

  -U firezone \

  -д минтақаи оташсӯзӣ \

  -h localhost \

  -p 15432 \

  -c "Истифодабарандагони НАВОРӢ Нақши таъини = 'администратор' КУҶО почтаи электронӣ = '[почтаи электронӣ ҳифз карда шудааст]';»



Нусхаи эҳтиётии пойгоҳи додаҳо:

 

Ғайр аз он, барномаи pg dump дохил карда шудааст, ки метавонад барои гирифтани нусхаҳои мунтазами пойгоҳи додаҳо истифода шавад. Рамзи зеринро иҷро кунед, то нусхаи махзани маълумотро дар формати маъмули дархости SQL партояд (ба ҷои /path/to/backup.sql бо маконе, ки дар он файли SQL бояд сохта шавад, иваз кунед):

 

/opt/firezon/embedded/bin/pg_dump \

  -U firezone \

  -д минтақаи оташсӯзӣ \

  -h localhost \

  -p 15432 > /path/to/backup.sql

User Guides

  • Истифодабарандагонро илова кунед
  • Дастгоҳҳо илова кунед
  • Қоидаҳои баромадан
  • Дастурҳои муштарӣ
  • Тақсими туннели VPN
  • Тунели баръакс 
  • Дарвозаи NAT

Истифодабарандагонро илова кунед

Пас аз ҷойгиркунии Firezone, шумо бояд корбаронро илова кунед, то дастрасии онҳоро ба шабакаи шумо таъмин кунанд. Барои ин кор UI Web истифода мешавад.

 

Интерфейси интерфейс


Бо интихоби тугмаи "Иловаи корбар" дар зери /истифодабарандагон, шумо метавонед корбарро илова кунед. Аз шумо талаб карда мешавад, ки ба корбар суроғаи почтаи электронӣ ва паролро пешниҳод кунед. Барои ба таври худкор дастрасӣ ба корбарон дар ташкилоти шумо, Firezone инчунин метавонад бо провайдери шахсият интерфейс ва ҳамоҳанг созад. Тафсилоти бештар дар Муайян кунед. < Истинодро ба аутентификатсия илова кунед

Дастгоҳҳо илова кунед

Мо маслиҳат медиҳем, ки аз корбарон хоҳиш кунем, ки конфигуратсияҳои дастгоҳи худро созанд, то калиди хусусӣ танҳо ба онҳо намоён бошад. Истифодабарандагон метавонанд конфигуратсияҳои дастгоҳи худро тавассути риояи дастурҳои дар Дастурҳои муштарӣ саҳифа.

 

Эҷоди конфигуратсияи дастгоҳи администратор

Ҳама конфигуратсияҳои дастгоҳи корбар метавонанд аз ҷониби маъмурони Firezone эҷод карда шаванд. Дар саҳифаи профили корбар, ки дар / корбарон ҷойгир аст, имконоти "Иловаи дастгоҳ" -ро интихоб кунед, то ин корро анҷом диҳед.

 

[Скриншотро ворид кунед]

 

Шумо метавонед пас аз эҷоди профили дастгоҳ ба корбар файли конфигуратсияи WireGuard бо почтаи электронӣ ирсол кунед.

 

Истифодабарандагон ва дастгоҳҳо пайваст карда шудаанд. Барои тафсилоти бештар дар бораи чӣ гуна илова кардани корбар, нигаред Истифодабарандагонро илова кунед.

Қоидаҳои баромадан

Тавассути истифодаи системаи филтери шабакавии ядро, Firezone ба имкониятҳои филтркунии баромад барои муайян кардани бастаҳои DROP ё ACCEPT имкон медиҳад. Ҳама ҳаракати нақлиёт одатан иҷозат дода мешавад.

 

IPv4 ва IPv6 CIDR ва суроғаҳои IP мутаносибан тавассути Рӯйхати Иҷозат ва Рӯйхати радкунӣ дастгирӣ карда мешаванд. Шумо метавонед ҳангоми илова кардани он қоидаро ба корбар интихоб кунед, ки қоидаро ба ҳамаи дастгоҳҳои он корбар татбиқ мекунад.

Дастурҳои муштарӣ

Насб ва танзим кунед

Барои барқарор кардани пайвасти VPN бо истифода аз мизоҷи аслии WireGuard, ба ин дастур муроҷиат кунед.

 

1. Мизоҷи аслии WireGuard -ро насб кунед

 

Мизоҷони расмии WireGuard, ки дар ин ҷо ҷойгиранд, ба Firezone мувофиқанд:

 

MacOS

 

Windows

 

IOS

 

андроид

 

Барои системаҳои OS, ки дар боло зикр нашудаанд, ба вебсайти расмии WireGuard дар https://www.wireguard.com/install/ муроҷиат кунед.

 

2. Файли конфигуратсияи дастгоҳро зеркашӣ кунед

 

Мудири Firezone ё худ метавонад файли конфигуратсияи дастгоҳро бо истифода аз портали Firezone тавлид кунад.

 

Ба URL-и маъмури Firezone-и шумо барои худ тавлид кардани файли конфигуратсияи дастгоҳ ворид шавед. Ширкати шумо барои ин URL-и беназире хоҳад дошт; дар ин ҳолат, он https://instance-id.yourfirezone.com аст.

 

Ба Firezone Okta SSO ворид шавед

 

[Скриншотро ворид кунед]

 

3. Конфигуратсияи муштариро илова кунед

 

Файли the.conf -ро бо кушодани он ба муштарии WireGuard ворид кунед. Бо варақ задани Калиди Фаъолсозӣ, шумо метавонед сеанси VPN-ро оғоз кунед.

 

[Скриншотро ворид кунед]

Бозрасии тасдиқи сессия

Дастурҳои зерро иҷро кунед, агар мудири шабакаи шумо аутентификатсияи такроршавандаро барои фаъол нигоҳ доштани пайвасти VPN-и шумо супориш дода бошад. 



Ба шумо лозим аст:

 

URL-и портали Firezone: Аз маъмури шабакаи худ барои пайвастшавӣ пурсед.

Мудири шабакаи шумо бояд қодир бошад, ки логин ва пароли шуморо пешниҳод кунад. Сомонаи Firezone аз шумо хоҳиш мекунад, ки бо истифода аз хидмати ягонаи воридшавӣ корфармоатон (ба монанди Google ё Okta) истифода баред, ворид шавед.

 

1. Пайвасти VPN-ро хомӯш кунед

 

[Скриншотро ворид кунед]

 

2. Аз нав тасдиқ кунед 

Ба URL-и портали Firezone равед ва бо истифода аз маълумоти эътимодномае, ки мудири шабакаи шумо пешниҳод кардааст, ворид шавед. Агар шумо аллакай ворид шуда бошед, пеш аз ворид шудан дубора тугмаи Reauthenticate -ро клик кунед.

 

[Скриншотро ворид кунед]

 

Қадами 3: Сеанси VPN-ро оғоз кунед

[Скриншотро ворид кунед]

Менеҷери шабака барои Linux

Барои ворид кардани профили конфигуратсияи WireGuard бо истифода аз Network Manager CLI дар дастгоҳҳои Linux, ин дастурҳоро иҷро кунед (nmcli).

ШАРҲ

Агар профил дастгирии IPv6 фаъол бошад, кӯшиши ворид кардани файли конфигуратсия бо истифода аз GUI менеҷери шабакавӣ метавонад бо хатогии зерин ноком шавад:

ipv6.method: усули "авто" барои WireGuard дастгирӣ намешавад

1. Асбобҳои WireGuard -ро насб кунед 

Барои насб кардани утилитаҳои фазои истифодабарандагони WireGuard зарур аст. Ин як бастаи бо номи wireguard ё wireguard-tools барои тақсимоти Linux хоҳад буд.

Барои Ubuntu/Debian:

sudo apt wireguard насб кунед

Барои истифода бурдани Fedora:

sudo dnf асбобҳои wireguard-ро насб кунед

Садо Меҳмони "Озодӣ"

sudo pacman -S wireguard-асбобҳо

Ба вебсайти расмии WireGuard дар https://www.wireguard.com/install/ барои тақсимоте, ки дар боло зикр нашудаанд, боздид кунед.

2. Конфигуратсияро зеркашӣ кунед 

Администратори Firezone ё худ насли шумо метавонад бо истифода аз портали Firezone файли конфигуратсияи дастгоҳро тавлид кунад.

Ба URL-и маъмури Firezone-и шумо барои худ тавлид кардани файли конфигуратсияи дастгоҳ ворид шавед. Ширкати шумо барои ин URL-и беназире хоҳад дошт; дар ин ҳолат, он https://instance-id.yourfirezone.com аст.

[Скриншотро ворид кунед]

3. Танзимоти воридотӣ

Файли конфигуратсияи додашударо бо истифода аз nmcli ворид кунед:

sudo nmcli пайвасти навъи воридот файли wireguard /path/to/configuration.conf

ШАРҲ

Номи файли конфигуратсия ба пайвастшавӣ/интерфейси WireGuard мувофиқат мекунад. Пас аз воридот, пайвастшавиро дар ҳолати зарурӣ метавон тағир дод:

пайвасти nmcli тағир додани [номи кӯҳна] connection.id [номи нав]

4. Пайваст кунед ё ҷудо кунед

Тавассути сатри фармон ба VPN ба таври зерин пайваст шавед:

пайвасти nmcli боло [номи vpn]

Барои ҷудо шудан:

пайвасти nmcli поён [номи vpn]

Апплети мувофиқи менеҷери шабака инчунин метавонад барои идоракунии пайвастшавӣ ҳангоми истифодаи GUI истифода шавад.

Пайвасти худкор

Бо интихоби "ҳа" барои опсияи худкор пайвасти VPN-ро метавон танзим кард, ки ба таври худкор пайваст шавад:

 

пайвасти nmcli пайвасти [номи vpn] -ро тағир диҳед. <<<<<<<<<<<<<<<<<<<<<

 

худкор пайваст ҳа

 

Барои хомӯш кардани пайвасти худкор, онро ба не:

 

пайвасти nmcli пайвасти [номи vpn] -ро тағир диҳед.

 

рақами худкор пайваст

Аутентификатсияи бисёрфакторро дастрас кунед

Барои фаъол кардани MFA ба саҳифаи /ҳисоби корбар/қайдгирии mfa портали Firezone гузаред. Барномаи аутентификатори худро барои скан кардани рамзи QR пас аз тавлиди он истифода баред ва рамзи шаш рақамро ворид кунед.

Агар шумо барномаи аутентификатори худро нодуруст ҷойгир кунед, бо маъмури худ тамос гиред, то маълумоти дастрасии ҳисоби худро аз нав барқарор кунед.

Тақсими туннели VPN

Ин дастур ба шумо дар раванди насб кардани хусусияти нақби ҷудошудаи WireGuard бо Firezone роҳнамоӣ мекунад, то танҳо трафик ба диапазони мушаххаси IP тавассути сервери VPN интиқол дода шавад.

 

1. Танзими IP-ҳои иҷозатдодашуда 

Диапазони IP, ки барои онҳо муштарӣ трафики шабакаро роҳнамоӣ мекунад, дар майдони IP-ҳои иҷозатдодашуда дар саҳифаи /танзимот/пешфарз ҷойгир карда шудаанд. Танҳо конфигуратсияҳои туннели навтаъсиси WireGuard, ки аз ҷониби Firezone истеҳсол шудааст, аз тағирот дар ин соҳа таъсир хоҳанд кард.

 

[Скриншотро ворид кунед]



Қимати пешфарз 0.0.0.0/0, ::/0 аст, ки тамоми трафики шабакаро аз муштарӣ ба сервери VPN равона мекунад.

 

Намунаҳои арзишҳо дар ин соҳа инҳоянд:

 

0.0.0.0/0, ::/0 – тамоми трафики шабакавӣ ба сервери VPN равона карда мешавад.

192.0.2.3/32 - танҳо трафик ба суроғаи ягонаи IP ба сервери VPN равона карда мешавад.

3.5.140.0/22 ​​- танҳо трафик ба IP-ҳо дар диапазони 3.5.140.1 - 3.5.143.254 ба сервери VPN равона карда мешавад. Дар ин мисол, диапазони CIDR барои минтақаи ap-шимолу шарқ-2 AWS истифода шудааст.



ШАРҲ

Firezone интерфейси баромади марбут ба масири дақиқтаринро интихоб мекунад, аввал ҳангоми муайян кардани он ки ба куҷо фиристодани пакет.

 

2. Барқарорсозии конфигуратсияҳои WireGuard

Истифодабарандагон бояд файлҳои конфигуратсияро аз нав тавлид кунанд ва онҳоро ба мизоҷи аслии худ WireGuard илова кунанд, то дастгоҳҳои мавҷудаи корбарро бо конфигуратсияи нави нақби тақсимшуда нав кунанд.

 

Барои дастур, нигаред дастгоҳ илова кунед. <<<<<<<<<<< Истинод илова кунед

Тунели баръакс

Ин дастур нишон медиҳад, ки чӣ гуна пайваст кардани ду дастгоҳро бо истифода аз Firezone ҳамчун реле нишон медиҳад. Як ҳолати маъмулии истифода ин имкон додан ба маъмур барои дастрасӣ ба сервер, контейнер ё мошине мебошад, ки аз ҷониби NAT ё девори девор ҳифз шудааст.

 

Гиреҳ ба гиреҳ 

Ин тасвир сенарияи мустақимеро нишон медиҳад, ки дар он дастгоҳҳои А ва В нақб месозанд.

 

[Тасвири меъмории минтақаи оташфишонро ворид кунед]

 

Бо эҷод кардани дастгоҳи A ва дастгоҳи B тавассути паймоиш ба /users/[user_id]/new_device оғоз кунед. Дар танзимоти ҳар як дастгоҳ, боварӣ ҳосил кунед, ки параметрҳои зерин ба арзишҳои дар поён овардашуда муқаррар карда шудаанд. Шумо метавонед ҳангоми сохтани конфигуратсияи дастгоҳ танзимоти дастгоҳро танзим кунед (ниг. Иловаи дастгоҳҳо). Агар ба шумо лозим аст, ки танзимотро дар дастгоҳи мавҷуда навсозӣ кунед, шумо метавонед ин корро тавассути тавлиди конфигуратсияи нави дастгоҳ анҷом диҳед.

 

Дар хотир доред, ки ҳама дастгоҳҳо саҳифаи /settings/defaults доранд, ки дар он PersistentKeepalive танзим карда мешавад.

 

Дастгоҳи А

 

IP-ҳои иҷозатдодашуда = 10.3.2.2/32

  Ин IP ё диапазони IP-и дастгоҳи B мебошад

PersistentKeepalive = 25

  Агар дастгоҳ дар паси NAT бошад, ин кафолат медиҳад, ки дастгоҳ қодир аст нақбро зинда нигоҳ дорад ва қабули бастаҳоро аз интерфейси WireGuard идома диҳад. Одатан арзиши 25 кифоя аст, аммо ба шумо лозим меояд, ки ин арзишро вобаста ба муҳити худ кам кунед.



Дастгоҳи B

 

IP-ҳои иҷозатдодашуда = 10.3.2.3/32

Ин IP ё диапазони IP-и дастгоҳи A мебошад

PersistentKeepalive = 25

Парвандаи администратор - Як ба бисёр гиреҳҳо

Ин мисол вазъиятеро нишон медиҳад, ки дар он дастгоҳи А метавонад бо дастгоҳҳои B то D дар ҳар ду самт муошират кунад. Ин танзимот метавонад муҳандис ё маъмуреро муаррифӣ кунад, ки ба захираҳои сершумор (серверҳо, контейнерҳо ё мошинҳо) дар шабакаҳои гуногун дастрасӣ дорад.

 

[Диаграммаи меъморӣ]<<<<<<<<<<<<<<<<<<<<<<<

 

Боварӣ ҳосил кунед, ки танзимоти зерин дар танзимоти ҳар як дастгоҳ ба арзишҳои мувофиқ гузошта шудаанд. Ҳангоми сохтани конфигуратсияи дастгоҳ, шумо метавонед танзимоти дастгоҳро муайян кунед (ниг. Иловаи дастгоҳҳо). Конфигуратсияи нави дастгоҳро метавон эҷод кард, агар танзимот дар дастгоҳи мавҷуда навсозӣ шаванд.

 

Дастгоҳи A (гиреҳи администратор)

 

IP-ҳои иҷозатдодашуда = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32 

    Ин IP-и дастгоҳҳои B то D мебошад. IP-ҳои дастгоҳҳои B то D бояд ба ҳама диапазони IP, ки шумо таъин мекунед, дохил карда шаванд.

PersistentKeepalive = 25 

    Ин кафолат медиҳад, ки дастгоҳ метавонад нақбро нигоҳ дорад ва қабули бастаҳоро аз интерфейси WireGuard идома диҳад, ҳатто агар он бо NAT ҳифз карда шавад. Дар аксари ҳолатҳо, арзиши 25 кифоя аст, аммо вобаста ба муҳити худ, ба шумо лозим меояд, ки ин рақамро паст кунед.

 

Дастгоҳи Б

 

  • AllowedIPs = 10.3.2.2/32: Ин IP ё диапазони IP-и Дастгоҳи А аст
  • PersistentKeepalive = 25

Дастгоҳи C

 

  • AllowedIPs = 10.3.2.2/32: Ин IP ё диапазони IP-и Дастгоҳи А аст
  • PersistentKeepalive = 25

Дастгоҳи D

 

  • AllowedIPs = 10.3.2.2/32: Ин IP ё диапазони IP-и Дастгоҳи А аст
  • PersistentKeepalive = 25

Дарвозаи NAT

Барои пешниҳоди IP-и ягонаи статикии баромад барои тамоми трафики дастаи шумо аз он берун, Firezone метавонад ҳамчун дарвозаи NAT истифода шавад. Ин ҳолатҳо истифодаи мунтазами онро дар бар мегиранд:

 

Машваратҳои машваратӣ: Дархост кунед, ки муштарии шумо ба ҷои IP-и дастгоҳи беназири ҳар як корманд як суроғаи IP-и статикиро ба рӯйхати сафед дохил кунад.

Истифодаи прокси ё ниқоб кардани IP-и манбаи худ бо мақсади амният ё махфият.

 

Намунаи оддии маҳдуд кардани дастрасӣ ба веб-барномаҳои худидорашаванда ба IP-и ягонаи статикӣ, ки дар Firezone кор мекунад, дар ин паём нишон дода мешавад. Дар ин тасвир, Firezone ва манбаи ҳифзшуда дар минтақаҳои гуногуни VPC ҷойгиранд.

 

Ин ҳалли зуд-зуд дар ҷои идоракунии рӯйхати сафеди IP барои корбарони сершумори ниҳоӣ истифода мешавад, ки ҳангоми васеъ шудани рӯйхати дастрасӣ вақтро мегирад.

Намунаи AWS

Ҳадафи мо ин таъсис додани сервери Firezone дар мисоли EC2 аст, то трафики VPN ба манбаи маҳдуд равона карда шавад. Дар ин ҳолат, Firezone ҳамчун прокси шабака ё шлюзи NAT хидмат мекунад, то ба ҳар як дастгоҳи пайвастшуда IP-и беҳамтои баромади ҷамъиятӣ диҳад.

 

1. Сервери Firezone -ро насб кунед

Дар ин ҳолат, намунаи EC2 бо номи tc2.micro дорои инстанси Firezone дар он насб шудааст. Барои маълумот дар бораи ҷойгиркунии Firezone, ба Дастури густариш равед. Дар робита ба AWS, боварӣ ҳосил кунед:

 

Гурӯҳи амнияти инстансияи Firezone EC2 ба трафики берунӣ ба суроғаи IP-и манбаи ҳифзшаванда иҷозат медиҳад.

Намунаи Firezone бо IP чандир меояд. Трафике, ки тавассути инстансияи Firezone ба самтҳои беруна интиқол дода мешавад, ин суроғаи IP-и манбаи худро дорад. Суроғаи IP-и мавриди назар 52.202.88.54 аст.

 

[Скриншотро ворид кунед]<<<<<<<<<<<<<<<<<<<<<<<<

 

2. Маҳдуд кардани дастрасӣ ба манбаи ҳифзшаванда

Дар ин ҳолат як замимаи веби худӣ ҳамчун манбаи ҳифзшуда хидмат мекунад. Ба барномаи веб танҳо тавассути дархостҳое, ки аз суроғаи IP 52.202.88.54 меоянд, дастрас шудан мумкин аст. Вобаста аз манбаъ, мумкин аст иҷозат додан ба трафики воридотӣ дар бандарҳо ва намудҳои гуногуни трафик зарур бошад. Ин дар ин дастур фаро гирифта нашудааст.

 

[Скриншотро ворид кунед]<<<<<<<<<<<<<<<<<<<<<<<<

 

Лутфан ба шахси сеюми масъули манбаи ҳифзшуда бигӯед, ки трафик аз IP статикии дар Қадами 1 муайяншуда бояд иҷозат дода шавад (дар ин ҳолат 52.202.88.54).

 

3. Сервери VPN-ро барои интиқоли трафик ба манбаи ҳифзшуда истифода баред

 

Бо нобаёнӣ, тамоми трафики корбар тавассути сервери VPN мегузарад ва аз IP статикӣ, ки дар Қадами 1 танзим шудааст (дар ин ҳолат 52.202.88.54) меояд. Аммо, агар нақби тақсимшуда фаъол карда шуда бошад, танзимот барои боварӣ ҳосил кардан лозим аст, ки IP таъиноти манбаи ҳифзшуда дар байни IP-ҳои Иҷозат дода шудааст.

Матни сарлавҳаи худро дар ин ҷо илова кунед

Дар зер рӯйхати пурраи имконоти конфигуратсияи дастрас дар зер нишон дода шудааст /etc/firezon/firezone.rb.



интихоб

шарҳ

арзиши пешфарз

пешфарз['firezon']['external_url']

URL барои дастрасӣ ба веб-портали ин мисоли Firezone истифода мешавад.

“https://#{node['fqdn'] || гиреҳ['name']}"

пешфарз['firezone']['config_directory']

Феҳристи сатҳи боло барои конфигуратсияи Firezone.

/etc/firezon'

пешфарз['firezon']['install_directory']

Феҳристи сатҳи боло барои насб кардани Firezone ба.

/opt/firezon'

пешфарз['firezon']['app_directory']

Феҳристи сатҳи боло барои насб кардани веб-барномаи Firezone.

"#{node['firezon']['install_directory']}/embedded/service/firezon"

пешфарз['firezon']['log_directory']

Феҳристи сатҳи боло барои гузоришҳои Firezone.

/var/log/firezon'

пешфарз['firezon']['var_directory']

Феҳристи сатҳи олӣ барои файлҳои кории Firezone.

/var/opt/firezon'

пешфарз['firezon']['user']

Номи корбари беимтиёзи Linux аксари хидматҳо ва файлҳо ба онҳо тааллуқ доранд.

минтақаи оташ"

пешфарз['firezon']['гурӯҳ']

Номи гурӯҳи Linux аксар хидматҳо ва файлҳо ба онҳо тааллуқ доранд.

минтақаи оташ"

пешфарз['firezon']['admin_email']

Суроғаи почтаи электронӣ барои корбари ибтидоии Firezone.

"firezone@localhost"

пешфарз['firezone']['max_devices_per_user']

Шумораи максималии дастгоҳҳое, ки корбар метавонад дошта бошад.

10

default['firezone']['allow_unprivileged_device_management']

Ба корбарони ғайриадмин имкон медиҳад, ки дастгоҳҳоро эҷод ва нест кунанд.

ҲАҚИҚӢ

пешфарз['firezone']['allow_unprivileged_device_configuration']

Ба корбарони ғайриадмин имкон медиҳад, ки конфигуратсияҳои дастгоҳро тағир диҳанд. Ҳангоми ғайрифаъол, корбарони беимтиёз аз тағир додани ҳама майдонҳои дастгоҳ ба истиснои ном ва тавсиф пешгирӣ мекунад.

ҲАҚИҚӢ

пешфарз['firezon']['egress_interface']

Номи интерфейс, ки трафики нақбшуда аз он берун мешавад. Агар сифр бошад, интерфейси масири пешфарз истифода мешавад.

Нил

пешфарз['firezone']['fips_enabled']

Ҳолати OpenSSL FIPs-ро фаъол ё ғайрифаъол кунед.

Нил

пешфарз['firezone']['logging']['activated']

Гузаришро дар Firezone фаъол ё ғайрифаъол кунед. Барои комилан ғайрифаъол кардани сабти ном ба "false" таъин кунед.

ҲАҚИҚӢ

пешфарз['корхона']['ном']

Номе, ки аз ҷониби Chef 'Enterprise' китоби ошпазӣ истифода мешавад.

минтақаи оташ"

пешфарз['firezon']['install_path']

Роҳеро насб кунед, ки аз ҷониби Chef 'Enterprise' китобчаи ошпазӣ истифода мешавад. Бояд ба ҳамон тавре ки install_directory дар боло муқаррар карда шавад.

гиреҳ['firezon']['install_directory']

пешфарз['firezon']['sysvinit_id']

Идентификаторе, ки дар /etc/inittab истифода мешавад. Бояд пайдарпайии беназири 1-4 аломат бошад.

SUP'

пешфарз['firezone']['authentication']['mahalli']['enabled']

Аутентификатсияи почтаи маҳаллӣ/паролро фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezone']['authentication']['auto_create_oidc_users']

Ба таври худкор корбароне эҷод кунед, ки бори аввал аз OIDC ворид мешаванд. Хомӯш кунед, то танҳо ба корбарони мавҷуда иҷозат диҳед, ки тавассути OIDC ворид шаванд.

ҲАҚИҚӢ

пешфарз['firezone']['authentication']['disable_vpn_on_oidc_error']

VPN-и корбарро ғайрифаъол кунед, агар хатогӣ ҳангоми навсозии аломати OIDC-и онҳо ошкор шавад.

козиб

пешфарз['firezone']['authentication']['oidc']

Танзимоти OpenID Connect, дар формати {“provider” => [config…]} – Нигаред Ҳуҷҷатҳои OpenIDConnect барои мисолҳои конфигуратсия.

{}

пешфарз['firezon']['nginx']['фаъол']

Сервери маҷмӯии nginx-ро фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezone']['nginx']['ssl_port']

Порти гӯш кардани HTTPS.

443

пешфарз['firezon']['nginx']['директория']

Директория барои нигоҳ доштани конфигуратсияи мизбони виртуалии nginx марбут ба Firezone.

"#{node['firezon']['var_directory']}/nginx/etc"

пешфарз['firezone']['nginx']['log_directory']

Директория барои нигоҳ доштани файлҳои nginx-и марбут ба Firezone.

"#{node['firezon']['log_directory']}/nginx"

пешфарз['firezon']['nginx']['log_rotation']['file_maxbytes']

Андозаи файл, ки дар он файлҳои сабти Nginx гардиш карда мешавад.

104857600

пешфарз['firezone']['nginx']['log_rotation']['num_to_keep']

Шумораи файлҳои nginx Firezone, ки пеш аз партофтан нигоҳ дошта мешаванд.

10

пешфарз['firezon']['nginx']['log_x_forwarded_for']

Оё сабти сарлавҳаи Firezone nginx x-forwarded-for.

ҲАҚИҚӢ

пешфарз['firezone']['nginx']['hsts_header']['enabled']

Фаъол ё ғайрифаъол кунед HSTS.

ҲАҚИҚӢ

пешфарз['firezone']['nginx']['hsts_header']['include_subdomains']

includeSubDomains-ро барои сарлавҳаи HSTS фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezone']['nginx']['hsts_header']['max_age']

Синну соли ҳадди аксар барои сарлавҳаи HSTS.

31536000

пешфарз['firezone']['nginx']['redirect_to_canonical']

Оё масири URL-ҳо ба FQDN-и каноникии дар боло зикршуда

козиб

пешфарз['firezone']['nginx']['cache']['activated']

Кэши Firezone nginx -ро фаъол ё ғайрифаъол кунед.

козиб

пешфарз['firezone']['nginx']['cache']['директория']

Директория барои кэши Firezone nginx.

"#{node['firezon']['var_directory']}/nginx/cache"

пешфарз['firezone']['nginx']['user']

Корбари Firezone nginx.

гиреҳ['firezon']['user']

пешфарз['firezon']['nginx']['group']

Гурӯҳи Firezone nginx.

гиреҳ['firezon']['гурӯҳ']

default['firezon']['nginx']['dir']

Феҳристи конфигуратсияи сатҳи болоии nginx.

node['firezon']['nginx']['директория']

пешфарз['firezon']['nginx']['log_dir']

Феҳристи сабти nginx-и сатҳи боло.

гиреҳ['firezon']['nginx']['log_directory']

пешфарз['firezone']['nginx']['pid']

Ҷойгиршавӣ барои файли nginx pid.

"#{node['firezon']['nginx']['директория']}/nginx.pid"

пешфарз['firezone']['nginx']['daemon_disable']

Ҳолати демони nginx-ро ғайрифаъол кунед, то мо ба ҷои он назорат кунем.

ҲАҚИҚӢ

пешфарз['firezon']['nginx']['gzip']

Фишурдани nginx gzip -ро фаъол ё хомӯш кунед.

дар '

пешфарз['firezone']['nginx']['gzip_static']

Барои файлҳои статикӣ фишурдани nginx gzip-ро фаъол ё хомӯш кунед.

хомӯш'

пешфарз['firezone']['nginx']['gzip_http_version']

Версияи HTTP барои хидматрасонии файлҳои статикӣ.

1.0 '

пешфарз['firezone']['nginx']['gzip_comp_level']

сатҳи фишурдани nginx gzip.

2 '

пешфарз['firezone']['nginx']['gzip_proxied']

Вобаста аз дархост ва посух, gzipping ҷавобҳоро барои дархостҳои проксиро фаъол ё ғайрифаъол мекунад.

ягон'

пешфарз['firezone']['nginx']['gzip_vary']

Воридкунии сарлавҳаи посухи "Тағйир: Қабул-Рамзгузорӣ" -ро фаъол ё ғайрифаъол мекунад.

хомӯш'

пешфарз['firezone']['nginx']['gzip_buffers']

Миқдор ва андозаи буферҳоеро, ки барои фишурдани посух истифода мешаванд, муқаррар мекунад. Агар сифр бошад, пешфарз nginx истифода мешавад.

Нил

пешфарз['firezone']['nginx']['gzip_types']

намудҳои MIME барои фаъол кардани фишурдани gzip барои.

['text/plain', 'text/css','application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json']

пешфарз['firezone']['nginx']['gzip_min_length']

Дарозии ҳадди ақали файл барои фаъол кардани фишурдани файли gzip барои.

1000

пешфарз['firezone']['nginx']['gzip_disable']

Мутобиқкунандаи корбар-агент барои хомӯш кардани фишурдани gzip барои.

MSIE [1-6]\.'

пешфарз['firezone']['nginx']['keealive']

Кэшро барои пайвастшавӣ ба серверҳои болооб фаъол мекунад.

дар '

пешфарз['firezone']['nginx']['keepalive_timeout']

Вақтсанҷи дар сонияҳо барои пайвасти зинда ба серверҳои болооб.

65

пешфарз['firezone']['nginx']['worker_processes']

Шумораи равандҳои коргари nginx.

гиреҳ['cpu'] && гиреҳ['cpu']['total'] ? гиреҳ['cpu']['total'] : 1

пешфарз['firezone']['nginx']['worker_connections']

Шумораи максималии пайвастҳои ҳамзамон, ки тавассути як раванди коргар кушода мешавад.

1024

пешфарз['firezone']['nginx']['worker_rlimit_nofile']

Маҳдудияти шумораи максималии файлҳои кушодаро барои равандҳои корӣ тағир медиҳад. Агар сифр бошад, nginx-ро истифода мебарад.

Нил

пешфарз['firezone']['nginx']['multi_accept']

Новобаста аз он ки коргарон бояд як пайвастро дар як вақт қабул кунанд ё якчанд.

ҲАҚИҚӢ

пешфарз['firezone']['nginx']['event']

Усули коркарди пайвастро барои истифода дар дохили контексти рӯйдодҳои nginx муайян мекунад.

epoll'

пешфарз['firezone']['nginx']['server_tokens']

Дар саҳифаҳои хатогӣ ва дар майдони сарлавҳаи посухи "Сервер" версияи nginx-ро фаъол ё ғайрифаъол мекунад.

Нил

default['firezone']['nginx']['server_names_hash_bucket_size']

Андозаи сатилро барои номҳои сервер ҷадвалҳои хэш муқаррар мекунад.

64

пешфарз['firezone']['nginx']['sendfile']

Истифодаи sendfile()-и nginx-ро фаъол ё ғайрифаъол мекунад.

дар '

пешфарз['firezone']['nginx']['access_log_options']

Имконоти сабти дастрасии nginx-ро танзим мекунад.

Нил

пешфарз['firezone']['nginx']['error_log_options']

Имконоти сабти хатогиҳои nginx-ро муқаррар мекунад.

Нил

пешфарз['firezone']['nginx']['disable_access_log']

Сабти дастрасии nginx-ро ғайрифаъол мекунад.

козиб

пешфарз['firezone']['nginx']['types_hash_max_size']

намудҳои nginx андозаи ҳадди аксар.

2048

пешфарз['firezone']['nginx']['types_hash_bucket_size']

намудҳои nginx андозаи сатил hash.

64

пешфарз['firezone']['nginx']['proxy_read_timeout']

вақти хондани прокси nginx. Барои истифодаи пешфарз nginx ба сифр муқаррар кунед.

Нил

пешфарз['firezone']['nginx']['client_body_buffer_size']

андозаи буфери бадани муштарии nginx. Барои истифодаи пешфарз nginx ба сифр муқаррар кунед.

Нил

пешфарз['firezone']['nginx']['client_max_body_size']

Мизоҷи nginx андозаи максималии бадан.

250м'

default['firezone']['nginx']['default']['modules']

Модулҳои иловагии nginx-ро муайян кунед.

[]

пешфарз['firezone']['nginx']['enable_rate_limiting']

Маҳдудияти суръати nginx-ро фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezone']['nginx']['rate_limiting_zone_name']

Номи минтақаи маҳдудкунандаи суръати Nginx.

минтақаи оташ"

пешфарз['firezon']['nginx']['rate_limiting_backoff']

Меъёри Nginx маҳдудкунандаи бозгашт.

10м'

пешфарз['firezone']['nginx']['rate_limit']

Маҳдудияти суръати Nginx.

10р/с'

пешфарз['firezon']['nginx']['ipv6']

Ба nginx иҷозат диҳед, ки ба ғайр аз IPv6 дархостҳои HTTP-ро барои IPv4 гӯш кунад.

ҲАҚИҚӢ

пешфарз['firezon']['postgresql']['фаъол']

Postgresql-ро фаъол ё ғайрифаъол кунед. Барои истифодаи мисоли Postgresql-и худ, ба "false" таъин кунед ва имконоти пойгоҳи додаҳоро дар зер пур кунед.

ҲАҚИҚӢ

default['firezone']['postgresql']['name user']

Номи корбар барои Postgresql.

гиреҳ['firezon']['user']

пешфарз['firezone']['postgresql']['data_directory']

Феҳристи маълумоти Postgresql.

"#{node['firezon']['var_directory']}/postgresql/13.3/data"

пешфарз['firezone']['postgresql']['log_directory']

Феҳристи гузоришҳои Postgresql.

"#{node['firezon']['log_directory']}/postgresql"

default['firezon']['postgresql']['log_rotation']['file_maxbytes']

Андозаи максималии файли журнали Postgresql пеш аз гардиши он.

104857600

default['firezone']['postgresql']['log_rotation']['num_to_keep']

Шумораи файлҳои гузориши Postgresql барои нигоҳдорӣ.

10

default['firezone']['postgresql']['checkpoint_completion_target']

Ҳадафи анҷоми нуқтаи назорати Postgresql.

0.5

default['firezone']['postgresql']['checkpoint_segments']

Шумораи сегментҳои гузаргоҳи Postgresql.

3

default['firezone']['postgresql']['checkpoint_timeout']

Вақти гузариши Postgresql.

5 дақиқа

default['firezone']['postgresql']['checkpoint_warning']

Вақти огоҳии нуқтаи назорати Postgresql дар сонияҳо.

30s

пешфарз['firezone']['postgresql']['effective_cache_size']

Андозаи кэши самараноки Postgresql.

128 МБ'

пешфарз['firezone']['postgresql']['address_gishin']

Суроғаи гӯш кардани Postgresql.

127.0.0.1 '

пешфарз['firezone']['postgresql']['max_connections']

Пайвастҳои максималии Postgresql.

350

default['firezone']['postgresql']['md5_auth_cidr_addresses']

Postgresql CIDRs барои иҷозати аутентификатсияи md5.

['127.0.0.1/32', '::1/128']

пешфарз['firezone']['postgresql']['port']

Порти гӯш кардани Postgresql.

15432

default['firezone']['postgresql']['shared_buffers']

Андозаи буферҳои муштараки Postgresql.

"#{(гиреҳ['хотира']['тотал'].to_i / 4) / 1024}МБ"

пешфарз['firezone']['postgresql']['shmmax']

Postgresql shmmax дар байт.

17179869184

пешфарз['firezone']['postgresql']['shmal']

Postgresql shmal дар байт.

4194304

пешфарз['firezone']['postgresql']['work_mem']

Андозаи хотираи кории Postgresql.

8 МБ'

пешфарз['firezone']['base']['user']

Номи корбариро муайян мекунад, ки Firezone барои пайвастшавӣ ба DB истифода хоҳад кард.

node['firezone']['postgresql']['name user']

пешфарз['firezon']['базаи маълумот']['парол']

Агар истифодаи МД-и беруна, пароли Firezone барои пайвастшавӣ ба МД истифода хоҳад кард, муайян мекунад.

тағир_ман'

пешфарз['firezone']['base']['name']

Махзани маълумоте, ки Firezone истифода хоҳад кард. Эҷод мешавад, агар он вуҷуд надошта бошад.

минтақаи оташ"

пешфарз['firezone']['base']['хост']

Хости пойгоҳи додаҳо, ки Firezone ба он пайваст мешавад.

node['firezone']['postgresql']['address_gush_']

пешфарз['firezone']['base']['port']

Порти пойгоҳи додаҳо, ки Firezone ба он пайваст мешавад.

гиреҳ['firezon']['postgresql']['порт']

пешфарз['firezone']['base']['хавз']

Андозаи пойгоҳи додаҳои Firezone истифода хоҳад кард.

[10, Etc.nprocessors].макс

пешфарз['firezone']['base']['ssl']

Оё пайваст шудан ба пойгоҳи додаҳо тавассути SSL.

козиб

пешфарз['firezone']['base']['ssl_opts']

Хеш аз имконоти ирсол ба опсияи :ssl_opts ҳангоми пайвастшавӣ тавассути SSL. Бинед Ҳуҷҷатҳои Ecto.Adapters.Postgres.

{}

пешфарз['firezone']['base']['параметрҳо']

Хеши параметрҳо барои фиристодан ба опсияи :parameters ҳангоми пайвастшавӣ ба пойгоҳи додаҳо. Бинед Ҳуҷҷатҳои Ecto.Adapters.Postgres.

{}

пешфарз['firezone']['base']['extensions']

Васеъ кардани пойгоҳи додаҳо барои фаъол кардан.

{ 'plpgsql' => дуруст, 'pg_trgm' => ҳақиқӣ }

пешфарз['firezon']['phoenix']['фаъол']

Веб-барномаи Firezone -ро фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezone']['phoenix']['address_gishin']

Суроғаи гӯш кардани веб-барномаи Firezone. Ин суроғаи гӯшаи болоӣ хоҳад буд, ки проксиҳои nginx.

127.0.0.1 '

пешфарз['firezone']['phoenix']['port']

Бандари гӯш кардани барномаи веби Firezone. Ин бандари болооб хоҳад буд, ки проксиҳои nginx.

13000

пешфарз['firezone']['phoenix']['log_directory']

Феҳристи сабти барномаҳои веби Firezone.

"#{node['firezon']['log_directory']}/phoenix"

пешфарз['firezone']['phoenix']['log_rotation']['file_maxbytes']

Андозаи файли сабти барномаи веби Firezone.

104857600

пешфарз['firezone']['phoenix']['log_rotation']['num_to_keep']

Шумораи файлҳои сабти веб-барномаҳои Firezone барои нигоҳдорӣ.

10

пешфарз['firezone']['phoenix']['crash_detection']['favored']

Ҳангоми ошкор шудани садама хомӯш кардани веб-барномаи Firezone-ро фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezone']['phoenix']['external_trusted_proxies']

Рӯйхати проксиҳои боэътимоди баръакс, ки ҳамчун массиви IP ва/ё CIDR формат карда шудаанд.

[]

default['firezone']['phoenix']['private_clients']

Рӯйхати муштариёни шабакаи хусусии HTTP, ки массиви IP ва/ё CIDR формат карда шудаанд.

[]

пешфарз['firezon']['wireguard']['фаъол']

Идоракунии маҷмӯии WireGuard-ро фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezon']['wireguard']['log_directory']

Феҳристи сабтҳо барои идоракунии маҷмӯии WireGuard.

"#{node['firezon']['log_directory']}/wireguard"

пешфарз['firezon']['wireguard']['log_rotation']['file_maxbytes']

Андозаи максималии файли сабти WireGuard.

104857600

пешфарз['firezone']['wireguard']['log_rotation']['num_to_keep']

Шумораи файлҳои сабти WireGuard барои нигоҳдорӣ.

10

пешфарз['firezon']['wireguard']['interface_name']

Номи интерфейси WireGuard. Тағир додани ин параметр метавонад боиси аз даст додани муваққатии пайвасти VPN гардад.

wg-firezon'

пешфарз['firezon']['wireguard']['порт']

Порти гӯш кардани WireGuard.

51820

пешфарз['firezon']['wireguard']['mtu']

Интерфейси WireGuard MTU барои ин сервер ва конфигуратсияҳои дастгоҳ.

1280

пешфарз['firezon']['wireguard']['point end']

WireGuard Endpoint барои истифода барои тавлиди конфигуратсияҳои дастгоҳ. Агар сифр бошад, пешфарз ба суроғаи IP-и оммавии сервер муқаррар карда мешавад.

Нил

пешфарз['firezon']['wireguard']['dns']

WireGuard DNS барои истифода барои конфигуратсияҳои тавлидшудаи дастгоҳ.

1.1.1.1, 1.0.0.1'

пешфарз['firezon']['wireguard']['allowed_ips']

WireGuard AllowedIPs барои конфигуратсияҳои тавлидшудаи дастгоҳ истифода мешаванд.

0.0.0.0/0, ::/0′

пешфарз['firezone']['wireguard']['persistent_keepalive']

Танзимоти пешфарз PersistentKeepalive барои конфигуратсияҳои тавлидшудаи дастгоҳ. Қимати 0 ғайрифаъол мекунад.

0

пешфарз['firezon']['wireguard']['ipv4']['фаъол']

IPv4-ро барои шабакаи WireGuard фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezone']['wireguard']['ipv4']['masquerade']

Маскарадро барои бастаҳое, ки аз нақби IPv4 мебароянд, фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezon']['wireguard']['ipv4']['шабака']

Шабакаи WireGuard ҳавзи суроғаи IPv4.

10.3.2.0 / 24 "

пешфарз['firezon']['wireguard']['ipv4']['адрес']

Интерфейси WireGuard суроғаи IPv4. Бояд дар дохили ҳавзи суроғаи WireGuard бошад.

10.3.2.1 '

пешфарз['firezon']['wireguard']['ipv6']['фаъол']

IPv6-ро барои шабакаи WireGuard фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezone']['wireguard']['ipv6']['masquerade']

Маскарадро барои бастаҳое, ки аз нақби IPv6 мебароянд, фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezon']['wireguard']['ipv6']['шабака']

Шабакаи WireGuard ҳавзи суроғаи IPv6.

fd00::3:2:0/120′

пешфарз['firezon']['wireguard']['ipv6']['адрес']

Интерфейси WireGuard суроғаи IPv6. Бояд дар дохили ҳавзи суроғаи IPv6 бошад.

fd00::3:2:1'

default['firezone']['runit']['svlogd_bin']

Ҷойгоҳи svlogd бинро иҷро кунед.

"#{node['firezone']['install_directory']}/embedded/bin/svlogd"

пешфарз['firezone']['ssl']['директория']

Феҳристи SSL барои нигоҳ доштани сертификатҳои тавлидшуда.

/var/opt/firezon/ssl'

пешфарз['firezone']['ssl']['email_address']

Суроғаи почтаи электронӣ барои истифода барои сертификатҳои худ имзошуда ва огоҳиномаҳои навсозии протоколи ACME.

[почтаи электронӣ ҳифз карда шудааст]'

default['firezone']['ssl']['acme']['enabled']

ACME-ро барои таъмини автоматии сертификати SSL фаъол созед. Инро ғайрифаъол кунед, то Nginx аз гӯш кардани порти 80 пешгирӣ кунад. Нигаред Ин ҷо барои дастурҳои бештар.

козиб

default['firezone']['ssl']['acme']['server']

Сервери ACME барои истифода барои додани сертификатсия/азнавсозӣ. Ҳар гуна метавонад сервери эътибор acme.sh

рамзгузорӣ кунед

пешфарз['firezone']['ssl']['acme']['keylength']

Навъи калид ва дарозии сертификатҳои SSL-ро муайян кунед. Бинед Ин ҷо

ec-256

пешфарз['firezone']['ssl']['certificate']

Роҳ ба файли сертификат барои FQDN-и шумо. Агар муқаррар карда шавад, танзимоти ACME-ро дар боло бекор мекунад. Агар ҳам ACME ва ҳам ин сифр бошанд, сертификати худ имзо карда мешавад.

Нил

пешфарз['firezone']['ssl']['certificate_key']

Роҳ ба файли сертификат.

Нил

пешфарз['firezone']['ssl']['ssl_dhparam']

nginx ssl dh_param.

Нил

пешфарз['firezone']['ssl']['name_country_name']

Номи кишвар барои шаҳодатномаи худ имзошуда.

ИМА'

пешфарз['firezone']['ssl']['state_name']

Номи давлатӣ барои шаҳодатномаи худ имзошуда.

CA '

пешфарз['firezone']['ssl']['locality_name']

Номи маҳал барои сертификати худ имзошуда.

Сан-Франсиско

пешфарз['firezone']['ssl']['name_company']

Шаҳодатномаи худидоракунии номи ширкат.

Ширкати ман'

пешфарз['firezone']['ssl']['organizational_unit_name']

Номи воҳиди ташкилӣ барои шаҳодатномаи худ имзошуда.

Амалиёти'

пешфарз['firezon']['ssl']['шифрҳо']

Рамзҳои SSL барои истифодаи nginx.

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’

пешфарз['firezone']['ssl']['fips_ciphers']

Рамзҳои SSL барои ҳолати FIPs.

FIPS@STRENGTH:!aNULL:!eNULL'

пешфарз['firezone']['ssl']['протоколҳо']

Протоколҳои TLS барои истифода.

TLSv1 TLSv1.1 TLSv1.2'

пешфарз['firezone']['ssl']['session_cache']

Кэши сессияи SSL.

муштарак: SSL: 4м'

пешфарз['firezone']['ssl']['session_timeout']

Танаффуси сессияи SSL.

5м'

пешфарз['firezone']['robots_allow']

роботҳои nginx имкон медиҳанд.

/'

пешфарз['firezone']['robots_disallow']

роботҳои nginx манъ мекунанд.

Нил

пешфарз['firezon']['outbound_email']['аз']

Почтаи электронӣ аз суроға.

Нил

пешфарз['firezone']['outbound_email']['провайдер']

Провайдери хидматрасонии почтаи электронӣ.

Нил

пешфарз['firezone']['outbound_email']['configs']

Танзимоти провайдери почтаи электронӣ.

нигаред ба omnibus/cookbooks/firezone/attributes/default.rb

пешфарз['firezon']['telemetry']['фаъол']

Телеметрияи беномшудаи маҳсулотро фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezone']['connectivity_checks']['фаъолшуда']

Хидмати санҷиши пайвасти Firezone -ро фаъол ё ғайрифаъол кунед.

ҲАҚИҚӢ

пешфарз['firezone']['connectivity_checks']['фосила']

Фосилаи байни санҷишҳои пайвастшавӣ дар сонияҳо.

3_600



________________________________________________________________

 

Ҷойҳои файл ва директория

 

Дар ин ҷо шумо рӯйхати файлҳо ва директорияҳои марбут ба насби маъмулии Firezone пайдо мекунед. Инҳо метавонанд вобаста ба тағирот дар файли конфигуратсияи шумо тағир ёбанд.



роҳ

шарҳ

/var/opt/firezon

Феҳристи сатҳи боло дорои маълумот ва конфигуратсияи тавлидшуда барои хидматҳои маҷмӯии Firezone.

/opt/firezon

Феҳристи сатҳи олӣ дорои китобхонаҳои сохташуда, дуӣ ва файлҳои вақти корӣ, ки ба Firezone лозим аст.

/usr/bin/firezon-ctl

утилитаи firezone-ctl барои идоракунии насби Firezone-и шумо.

/etc/systemd/system/firezone-runsvdir-start.service

файли воҳиди systemd барои оғоз кардани раванди супервайзери Firezone runsvdir.

/etc/firezon

Файлҳои конфигуратсияи Firezone.



__________________________________________________________

 

Шаблонҳои Сипар

 

Ин саҳифа дар ҳуҷҷатҳо холӣ буд

 

_____________________________________________________________

 

Шаблони девори Nftables

 

Шаблони зерини девори nftables метавонад барои муҳофизати сервере, ки дар Firezone кор мекунад, истифода шавад. Шаблон баъзе тахминҳоро ба вуҷуд меорад; Шояд ба шумо лозим меояд, ки қоидаҳоро мувофиқи ҳолати истифодаи худ танзим кунед:

  • Интерфейси WireGuard wg-firezon ном дорад. Агар ин дуруст набошад, тағирёбандаи DEV_WIREGUARD-ро барои мувофиқ кардани опсияи конфигуратсияи пешфарз['firezon']['wireguard']['interface_name'] иваз кунед.
  • Порти WireGuard гӯш мекунад, 51820 аст. Агар шумо порти пешфарзро истифода набаред, тағирёбандаи WIREGUARD_PORT-ро иваз кунед.
  • Ба сервер танҳо трафики дохилии зерин иҷозат дода мешавад:
    • SSH (порти TCP 22)
    • HTTP (порти TCP 80)
    • HTTPS (порти TCP 443)
    • WireGuard (порти UDP WIREGUARD_PORT)
    • UDP traceroute (порти UDP 33434-33524, суръати маҳдуд ба 500/сония)
    • ICMP ва ICMPv6 (суръати посухҳои ping/ping бо 2000/сония маҳдуд аст)
  • Танҳо трафики берунии зерин аз сервер иҷозат дода мешавад:
    • DNS (UDP ва порти TCP 53)
    • HTTP (порти TCP 80)
    • NTP (порти UDP 123)
    • HTTPS (порти TCP 443)
    • Пешниҳоди SMTP (порти TCP 587)
    • UDP traceroute (порти UDP 33434-33524, суръати маҳдуд ба 500/сония)
  • Трафики номувофиқ сабт карда мешавад. Қоидаҳое, ки барои ба қайд гирифтан истифода мешаванд, аз қоидаҳо барои қатъ кардани трафик ҷудо карда шудаанд ва суръати маҳдуд доранд. Бартараф кардани қоидаҳои дахлдори дарахтбурӣ ба ҳаракати нақлиёт таъсир намерасонад.

Қоидаҳои идорашавандаи Firezone"Озодӣ" дар мобил

Firezone қоидаҳои nftables-и худро танзим мекунад, то трафикро ба самтҳои дар интерфейси веб танзимшуда иҷозат диҳад/рад кунад ва NAT-и содиротӣ барои трафики мизоҷро идора кунад.

Татбиқи қолаби брандмауэри зер дар сервери аллакай коркунанда (на дар вақти боркунӣ) боиси тоза шудани қоидаҳои Firezone мегардад. Ин метавонад оқибатҳои амниятӣ дошта бошад.

Барои бартараф кардани ин хидмати Phoenix-ро аз нав оғоз кунед:

firezone-ctl аз нав оғоз кардани Феникс

Шаблони асосии Сипар"Озодӣ" дар мобил

#!/usr/sbin/nft -f

 

## Ҳама қоидаҳои мавҷударо тоза / тоза кунед

маҷмӯи қоидаҳои оббозӣ

 

##############################Тағйирёбанда ################# ###############

## Номи интерфейси Интернет/WAN

муайян кардани DEV_WAN = eth0

 

## Номи интерфейси WireGuard

муайян DEV_WIREGUARD = wg-firezon

 

## Порти гӯш кардани WireGuard

WIREGUARD_PORT = муайян кунед 51820

############################Тағйирёбандаҳо ба охир мерасанд ################# ###########

 

# Ҷадвали асосии филтркунии оилаи inet

филтри инет ҷадвал {

 

 # Қоидаҳои трафики интиқолшуда

 # Ин занҷир пеш аз занҷири пешакии Firezone коркард карда мешавад

 занҷир ба пеш {

   навъи филтр қалмоқ филтри афзалиятноки пеш - 5; сиёсат қабул мекунад

 }

 

 # Қоидаҳои трафики вуруд

 вуруди занҷир {

   навъи филтр қалмоқ филтри афзалияти вуруд; паст шудани сиёсат

 

   ## Ба трафики воридотӣ ба интерфейси бозгашт иҷозат диҳед

   агар инак \

     қабул \

     шарҳ "Иҷозат диҳед ба ҳама трафик аз интерфейси бозгашт"

 

   ## Иҷозат барои пайвастҳои муқарраршуда ва алоқаманд

   ct давлати таъсис, алоқаманд \

     қабул \

     шарҳ "Иҷозат ба робитаҳои муқарраршуда / алоқаманд"

 

   ## Иҷозат додани трафики воридотии WireGuard

   iif $DEV_WAN udp dport $WIREGUARD_PORT \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат диҳед трафики воридотии WireGuard"

 

   ## Бастаҳои нави TCP-и SYN-ро сабт кунед ва партоед

   парчамҳои tcp != syn ct ҳолати нав \

     меъёри маҳдуд 100/дақиқа таркиш 150 бастаҳо \

     префикси сабт "IN - Нав !SYN: " \

     шарҳ "Меъёри сабти маҳдудият барои пайвастҳои нав, ки парчами SYN TCP-ро надоранд"

   парчамҳои tcp != syn ct ҳолати нав \

     ҳисобкун \

     партофтан \

     шарҳ "Пайвастҳои наверо, ки парчами SYN TCP надоранд, партоед"

 

   ## Бастаҳои TCP-ро бо гузоштани парчами fin/syn беэътибор сабт кунед ва партоед

   парчамҳои tcp & (fin|syn) == (fin|syn) \

     меъёри маҳдуд 100/дақиқа таркиш 150 бастаҳо \

     префикси сабт "ДАР - TCP FIN | ГУНОХ: " \

     шарҳ "Бақайдгирии маҳдудияти меъёр барои бастаҳои TCP бо гузоштани парчами fin/syn нодуруст"

   парчамҳои tcp & (fin|syn) == (fin|syn) \

     ҳисобкун \

     партофтан \

     шарҳ "Бастаҳои TCP-ро бо гузоштани парчами fin/syn беэътибор партоед"

 

   ## Бастаҳои TCP-ро бо танзими парчами синхронӣ/аввал беэътибор сабт кунед ва партоед

   парчамҳои tcp & (syn|rst) == (syn|rst) \

     меъёри маҳдуд 100/дақиқа таркиш 150 бастаҳо \

     префикси сабт "IN - TCP SYN | RST: " \

     шарҳ "Бақайдгирии маҳдудияти нарх барои бастаҳои TCP бо танзими парчами синхронӣ/аввалин"

   парчамҳои tcp & (syn|rst) == (syn|rst) \

     ҳисобкун \

     партофтан \

     шарҳ "Бастаҳои TCP-ро бо маҷмӯаи парчами синн/и аввал беэътибор партоед"

 

   ## Парчамҳои TCP-ро сабт кунед ва партоед

   парчамҳои tcp & (fin|syn|rst|psh|ack|urg) < (fin) \

     меъёри маҳдуд 100/дақиқа таркиш 150 бастаҳо \

     префикси сабт "ДАР - ФИН:" \

     шарҳ "Бақайдгирии маҳдудияти меъёр барои парчамҳои TCP беэътибор (fin|syn|rst|psh|ack|urg) < (fin)"

   парчамҳои tcp & (fin|syn|rst|psh|ack|urg) < (fin) \

     ҳисобкун \

     партофтан \

     шарҳ "Пакетҳои TCP-ро бо парчамҳо партоед (fin|syn|rst|psh|ack|urg) < (fin)"

 

   ## Парчамҳои TCP-ро сабт кунед ва партоед

   парчамҳои tcp & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \

     меъёри маҳдуд 100/дақиқа таркиш 150 бастаҳо \

     префикси сабт "IN - FIN|PSH|URG:" \

     шарҳ "Бақайдгирии маҳдудияти меъёр барои парчамҳои TCP беэътибор (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"

   парчамҳои tcp & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \

     ҳисобкун \

     партофтан \

     шарҳ "Пакетҳои TCP-ро бо парчамҳо партоед (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"

 

   ## Трафикро бо ҳолати пайвасти нодуруст

   ҳолати ct беэътибор аст \

     меъёри маҳдуд 100/дақиқа таркиш 150 бастаҳо \

     сабт ҳама префиксро қайд мекунад "IN - Беэътибор: " \

     шарҳ "Бақайдгирии маҳдудияти тариф барои трафик бо ҳолати пайвасти нодуруст"

   ҳолати ct беэътибор аст \

     ҳисобкун \

     партофтан \

     шарҳ "Трафикро бо ҳолати пайвасти нодуруст қатъ кунед"

 

   ## Ба ҷавобҳои ping/ping IPv4 иҷозат диҳед, аммо маҳдудияти суръат то 2000 PPS

   ip навъи протоколи icmp icmp {эхо-ҷавоб, эхо-дархост } \

     меъёри маҳдуд 2000/ сония \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат диҳед, ки эхо-и воридотӣ (ping) ба 4 PPS маҳдуд шавад"

 

   ## Иҷозат додан ба ҳама дигар IPv4 ICMP

   ip протокол icmp \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат додан ба ҳама IPv4 ICMP"

 

   ## Ба ҷавобҳои ping/ping IPv6 иҷозат диҳед, аммо маҳдудияти суръат то 2000 PPS

   навъи icmpv6 {эхо-ҷавоб, эхо-дархост } \

     меъёри маҳдуд 2000/ сония \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат диҳед, ки эхо-и воридотӣ (ping) ба 6 PPS маҳдуд шавад"

 

   ## Иҷозат додан ба ҳама дигар IPv6 ICMP

   meta l4proto {icmpv6} \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат додан ба ҳама IPv6 ICMP"

 

   ## Ба портҳои воридотии traceroute UDP иҷозат диҳед, аммо то 500 PPS маҳдуд кунед

   udp dport 33434-33524 \

     меъёри маҳдуд 500/ сония \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат диҳед, ки ба traceroute UDP воридшуда бо 500 PPS маҳдуд шавад"

 

   ## Иҷозати воридоти SSH

   tcp dport SSH ct ҳолати нав \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат додан ба пайвастҳои воридотии SSH"

 

   ## Иҷозат додани HTTP ва HTTPS-и воридотӣ

   tcp dport { http, https } ct ҳолати нав \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат додан ба пайвастҳои воридотии HTTP ва HTTPS"

 

   ## Ҳама гуна трафики беҳамторо сабт кунед, аммо суръати сабтро то ҳадди аксар 60 паём дар як дақиқа маҳдуд кунед

   ## Сиёсати пешфарз ба трафики номувофиқ татбиқ карда мешавад

   меъёри маҳдуд 60/дақиқа таркиш 100 бастаҳо \

     префикси сабт "ДАР - Тарки:" \

     шарҳ "Ҳар як трафики номувофиқро сабт кунед"

 

   ## Трафики беҳамторо ҳисоб кунед

   ҳисобкун \

     шарҳ "Ҳар гуна трафики беҳамторо ҳисоб кунед"

 }

 

 # Қоидаҳои трафики баромад

 баромади занҷир {

   навъи филтр қалмоқе филтри афзалиятнок баромад; паст шудани сиёсат

 

   ## Ба трафики содиротӣ ба интерфейси бозгашт иҷозат диҳед

   агар инак \

     қабул \

     шарҳ "Иҷозат диҳед ба ҳама трафик ба интерфейси бозгашт"

 

   ## Иҷозат барои пайвастҳои муқарраршуда ва алоқаманд

   ct давлати таъсис, алоқаманд \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат ба робитаҳои муқарраршуда / алоқаманд"

 

   ## Пеш аз қатъ кардани пайвастшавӣ бо ҳолати бад ба трафики берунии WireGuard иҷозат диҳед

   oif $DEV_WAN udp варзиш $WIREGUARD_PORT \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат додан ба трафики берунии WireGuard"

 

   ## Трафикро бо ҳолати пайвасти нодуруст

   ҳолати ct беэътибор аст \

     меъёри маҳдуд 100/дақиқа таркиш 150 бастаҳо \

     сабт ҳама префиксро қайд мекунад "БЕРУН - Беэътибор:" \

     шарҳ "Бақайдгирии маҳдудияти тариф барои трафик бо ҳолати пайвасти нодуруст"

   ҳолати ct беэътибор аст \

     ҳисобкун \

     партофтан \

     шарҳ "Трафикро бо ҳолати пайвасти нодуруст қатъ кунед"

 

   ## Иҷозат додан ба ҳама дигар IPv4 ICMP

   ip протокол icmp \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат диҳед ҳама намудҳои IPv4 ICMP"

 

   ## Иҷозат додан ба ҳама дигар IPv6 ICMP

   meta l4proto {icmpv6} \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат диҳед ҳама намудҳои IPv6 ICMP"

 

   ## Ба портҳои UDP-и traceroute иҷозат диҳед, аммо то 500 PPS маҳдуд кунед

   udp dport 33434-33524 \

     меъёри маҳдуд 500/ сония \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат диҳед, ки трасерути UDP-ро бо 500 PPS маҳдуд кунед"

 

   ## Ба пайвастҳои содиротии HTTP ва HTTPS иҷозат диҳед

   tcp dport { http, https } ct ҳолати нав \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат додан ба пайвастҳои берунии HTTP ва HTTPS"

 

   ## Иҷозат додани ирсоли SMTP-и содиротӣ

   tcp dport пешниҳод ct ҳолати нав \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат додан ба SMTP-и содиротӣ"

 

   ## Ба дархостҳои DNS-и содиротӣ иҷозат диҳед

   udp dport 53 \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат додан ба дархостҳои UDP DNS-и содиротӣ"

   tcp dport 53 \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат додан ба дархостҳои TCP DNS-и содиротӣ"

 

   ## Иҷозат додани дархостҳои NTP-и содиротӣ

   udp dport 123 \

     ҳисобкун \

     қабул \

     шарҳ "Иҷозат додан ба дархостҳои содиротии NTP"

 

   ## Ҳама гуна трафики беҳамторо сабт кунед, аммо суръати сабтро то ҳадди аксар 60 паём дар як дақиқа маҳдуд кунед

   ## Сиёсати пешфарз ба трафики номувофиқ татбиқ карда мешавад

   меъёри маҳдуд 60/дақиқа таркиш 100 бастаҳо \

     префикси сабт "БЕРУН - Тарки:" \

     шарҳ "Ҳар як трафики номувофиқро сабт кунед"

 

   ## Трафики беҳамторо ҳисоб кунед

   ҳисобкун \

     шарҳ "Ҳар гуна трафики беҳамторо ҳисоб кунед"

 }

 

}

 

# Ҷадвали асосии филтркунии NAT

table inet nat {

 

 # Қоидаҳои трафики NAT пеш аз масир

 масир пешакии занҷир {

   type nat hook prerouting priority dstnat; сиёсат қабул мекунад

 }

 

 # Қоидаҳои трафики NAT пас аз масир

 # Ин ҷадвал пеш аз занҷири пассажирсозии Firezone коркард карда мешавад

 хатсайри занҷир {

   type nat hook postrouting priority srcnat – 5; сиёсат қабул мекунад

 }

 

}

Истифодабарӣ"Озодӣ" дар мобил

Сипар бояд дар макони дахлдори тақсимоти Linux, ки кор мекунад, нигоҳ дошта шавад. Барои Debian/Ubuntu ин /etc/nftables.conf ва барои RHEL ин /etc/sysconfig/nftables.conf аст.

nftables.service бояд танзим карда шавад, то дар оғозёбӣ оғоз шавад (агар ҳоло набошад):

systemctl имкон nftables.service

Агар ба қолаби брандмауэр ягон тағйирот ворид карда шавад, синтаксисро тавассути иҷро кардани фармони чек тасдиқ кардан мумкин аст:

nft -f /path/to/nftables.conf -c

Боварӣ ҳосил кунед, ки брандмауэр тавре, ки интизор мерафт, кор мекунад, зеро баъзе хусусиятҳои nftables вобаста ба нашри дар сервер иҷрошаванда дастрас набошанд.



_______________________________________________________________



Telemetry

 

Ин ҳуҷҷат шарҳи телеметрияро, ки Firezone аз инстансияи худидоракунии шумо ҷамъоварӣ мекунад ва чӣ гуна хомӯш кардани онро пешниҳод мекунад.

Чаро Firezone телеметрияро ҷамъ мекунад"Озодӣ" дар мобил

Минтақаи оташ такя мекунад оид ба телеметрия барои афзалият додан ба харитаи роҳи мо ва оптимизатсияи захираҳои муҳандисӣ мо бояд Firezone-ро барои ҳама беҳтар созем.

Телеметрие, ки мо ҷамъоварӣ мекунем, ҳадафи он ҷавоб додан ба саволҳои зерин аст:

  • Чӣ қадар одамон Firezone-ро насб мекунанд, истифода мебаранд ва қатъ мекунанд?
  • Кадом хусусиятҳо бештар арзишманданд ва кадоме аз онҳо ҳеҷ фоидае намебинанд?
  • Кадом функсия ба такмилдиҳии бештар ниёз дорад?
  • Вақте ки чизе мешиканад, чаро он мешиканад ва чӣ гуна мо метавонем онро дар оянда пешгирӣ кунем?

Чӣ тавр мо телеметрияро ҷамъ мекунем"Озодӣ" дар мобил

Дар Firezone се ҷои асосӣ вуҷуд дорад, ки телеметрия ҷамъоварӣ карда мешавад:

  1. Телеметрияи баста. Ҳодисаҳоеро ба мисли насб, нест кардан ва навсозӣ дар бар мегирад.
  2. Телеметрияи CLI аз фармонҳои firezone-ctl.
  3. Телеметрияи маҳсулот бо портали веб алоқаманд аст.

Дар ҳар яке аз ин се контекст, мо миқдори ҳадди ақали маълумотеро, ки барои посух додан ба саволҳои бахши боло заруранд, ҷамъ меорем.

Почтаи электронии маъмурӣ танҳо дар сурате ҷамъ карда мешавад, ки шумо ба навсозиҳои маҳсулот ба таври возеҳ обуна шавед. Дар акси ҳол, маълумоти шахсии муайяншаванда аст ҳаргиз ҷамъоварӣ карда мешавад.

Firezone телеметрияро дар як мисоли мустақили PostHog, ки дар кластери хусусии Kubernetes кор мекунад, нигоҳ медорад, ки танҳо аз ҷониби дастаи Firezone дастрас аст. Ин аст як мисоли ҳодисаи телеметрӣ, ки аз мисоли шумо Firezone ба сервери телеметрии мо фиристода мешавад:

{

   рафтан: “0182272d-0b88-0000-d419-7b9a413713f1”,

   "тамғаи вақт": “2022-07-22T18:30:39.748000+00:00”,

   "ҳодиса": "fz_http_started",

   "ID_ID": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,

   "хосиятҳо":{

       "$geoip_city_name": "Ашберн",

       "$geoip_continent_code": "НА",

       "$geoip_continent_name": "Америкаи Шимолӣ",

       "$geoip_country_code": "ИМА",

       "$geoip_country_name": "Иёлоти Муттаҳида",

       "$geoip_latitude": 39.0469,

       "$geoip_longitude": -77.4903,

       "$geoip_postal_code": "20149",

       "$geoip_subdivision_1_code": "VA",

       "$geoip_subdivision_1_name": "Вирҷиния",

       "$geoip_time_zone": "Амрико/Нью_Йорк",

       "$ip": "52.200.241.107",

       "$plugins_deferred": [],

       "$plugins_failed": [],

       "$plugins_succeeded": [

           "GeoIP (3)"

       ],

       "ID_ID": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,

       "fqdn": "awsdemo.firezone.dev",

       "версияи ядро ​​​​": "linux 5.13.0",

       "версия": "0.4.6"

   },

   "элементҳо_занҷир": ""

}

Чӣ тавр телеметрияро хомӯш кардан мумкин аст"Озодӣ" дар мобил

ШАРҲ

Гурӯҳи таҳияи Firezone такя мекунад дар бораи таҳлили маҳсулот барои беҳтар кардани Firezone барои ҳама. Фаъол мондани телеметрия саҳми пурарзиштаринест, ки шумо метавонед дар рушди Firezone гузоред. Гуфта мешавад, мо мефаҳмем, ки баъзе корбарон талаботи баландтари махфият ё амният доранд ва мехоҳанд телеметрияро комилан хомӯш кунанд. Агар ин шумо бошед, хонданро давом диҳед.

Телеметрия бо нобаёнӣ фаъол аст. Барои комилан ғайрифаъол кардани телеметрияи маҳсулот, варианти конфигуратсияи зеринро дар /etc/firezone/firezone.rb бардурӯғ таъин кунед ва sudo firezone-ctl reconfigure-ро барои гирифтани тағирот иҷро кунед.

пешфарз['ҳуҷраи оташ']["телеметрия"]['фаъол'] = бардурӯғ

Ин ҳама телеметрияи маҳсулотро комилан хомӯш мекунад.