Qerta xûrekê
Talîmatên gav-bi-gav ji bo bicîhkirina Hailbytes VPN bi Firezone GUI li vir têne peyda kirin.
Birêvebir: Sazkirina nimûneya serverê rasterast bi vê beşê ve girêdayî ye.
Rêbernameyên Bikarhêner: Belgeyên alîkar ên ku dikarin we fêr bikin ka meriv çawa Firezone bikar tîne û pirsgirêkên tîpîk çareser dike. Piştî ku server bi serfirazî hate bicîh kirin, li vê beşê binihêrin.
Split Tunneling: VPN-ê bikar bînin ku tenê seyrûseferê ji rêzikên IP-ya taybetî re bişînin.
Lîsteya spî: Ji bo ku navnîşa spî bikar bînin navnîşana IP-ya statîk a serverek VPN-ê bicîh bikin.
Tunelên Berevajî: Bi karanîna tunelên berevajî di navbera çend hevalan de tunelan çêbikin.
Em kêfxweş in ku ji we re bibin alîkar ku hûn ji bo sazkirin, xweşkirin, an karanîna Hailbytes VPN hewceyê arîkariyê bin.
Berî ku bikarhêner dikarin pelên veavakirina cîhazê hilberînin an dakêşin, Firezone dikare were mîheng kirin ku pêdivî bi rastkirinê heye. Her weha dibe ku bikarhêner hewce bike ku bi awayekî periyodîk ji nû ve verast bikin da ku girêdana VPN-ya xwe çalak bihêlin.
Her çend rêbaza têketinê ya xwerû ya Firezone e-name û şîfreya herêmî ye, ew dikare bi her pêşkêşkarê nasnameya standardkirî ya OpenID Connect (OIDC) re jî were yek kirin. Bikarhêner naha dikarin bi karanîna Okta, Google, Azure AD, an pêbaweriyên pêşkêşvanê nasnameya xweya taybet têkevin Firezone.
Pêşkêşkerek OIDC-ya Giştî yek bikin
Parametreyên veavakirinê yên ku ji hêla Firezone ve hewce ne ku destûrê bide SSO ku pêşkêşkerek OIDC bikar bîne di mînaka jêrîn de têne destnîşan kirin. Li ser /etc/firezone/firezone.rb, hûn dikarin pelê veavakirinê bibînin. Ji nû ve veavakirina firezone-ctl bimeşînin û firezone-ctl ji nû ve bidin destpêkirin da ku serîlêdanê nûve bikin û bandora guhertinan bixin.
# Ev mînakek e ku Google û Okta wekî pêşkêşkerek nasnameya SSO bikar tîne.
# Gelek mîhengên OIDC dikarin li heman mînaka Firezone werin zêdekirin.
# Firezone dikare VPN-ya bikarhênerek neçalak bike ger ceribandinek xeletiyek hebe
# ji bo gihîştina_tokena xwe nûve bikin. Ev tê piştrast kirin ku ji bo Google, Okta û
# Azure SSO û ji bo veqetandina VPN-ya bikarhênerek bixweber tê bikar anîn heke ew werin rakirin
# ji pêşkêşvanê OIDC. Ger pêşkêşvanê weya OIDC vê yekê neçalak bihêlin
# pirsgirêkên nûjenkirina nîşaneyên gihîştinê hene ji ber ku ew dikare ji nişka ve a-yê qut bike
# danişîna VPN ya bikarhêner.
default['firezone']['athentication']['disable_vpn_on_oidc_error'] = derewîn
standard['firezone']['rastkirin']['oidc'] = {
gûgil: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
bersiv_type: "kod",
çarçowe: "profîla e-nameya vekirî",
label: "Google"
},
okta: {
discovery_document_uri: "https:// /. well-known/openid-configuration”,
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
bersiv_type: "kod",
çarçowe: "profîla e-nameyê vekirî offline_access",
Label: "Okta"
}
}
Mîhengên mîhengê yên jêrîn ji bo yekbûnê hewce ne:
Ji bo her pêşkêşkerek OIDC URLek xweşik a têkildar ji bo verastkirina URL-ya têketinê ya pêşkêşkerê mîhengkirî tê afirandin. Ji bo nimûne mîhengê OIDC li jor, URL ev in:
Pêşkêşvanên ku me ji bo belgeyan hene:
Ger pêşkêşvanê nasnameya we xwedan girêdanek OIDC ya gelemperî ye û li jor ne hatî navnîş kirin, ji kerema xwe biçin belgeyên wan ji bo agahdariya li ser meriv çawa mîhengên veavakirina pêwîst vedigire.
Mîhenga di binê mîhengan/ewlehiyê de dikare were guheztin da ku ji nû ve rastkirina periyodîk hewce bike. Ev dikare were bikar anîn da ku hewcedariya ku bikarhêner bi rêkûpêk têkevin Firezone da ku rûniştina VPN-ya xwe bidomînin were bikar anîn.
Dirêjahiya danişînê dikare were mîheng kirin ku di navbera saetek û neh rojan de be. Bi danîna vê li Qet nebe, hûn dikarin her dem danişînên VPN çalak bikin. Ev standard e.
Bikarhêner divê danişîna VPN-ya xwe biqedîne û têkeve portalê Firezone da ku ji nû ve verastkirina danişînek VPN ya qediya (URL-ya ku di dema danînê de hatî destnîşan kirin) piştrast bike.
Hûn dikarin danişîna xwe ji nû ve rast bikin bi şopandina rêwerzên xerîdar ên ku li vir têne dîtin.
Rewşa Têkiliya VPN
Stûna tabloya Têkiliya VPN ya rûpela Bikarhêner rewşa pêwendiya bikarhênerek nîşan dide. Ev statûyên girêdanê ne:
ENABLED - Têkilî çalak e.
BAKETÎ - Têkilî ji hêla rêveberek an têkçûna nûvekirina OIDC ve tê neçalak kirin.
QEWEDÎ - Têkilî ji ber qedandina erêkirinê neçalak e an bikarhênerek ji bo cara yekem têketî neketiye.
Bi navgîniya girêdana OIDC ya gelemperî, Firezone bi Yekane Sign-On (SSO) bi Google Workspace û Nasnameya Cloud re çalak dike. Ev rêber dê nîşanî we bide ka meriv çawa pîvanên mîhengê yên ku li jêr hatine rêz kirin, yên ku ji bo entegrasyonê pêwîst in bistînin:
1. OAuth Config ScreenTo
Ger ev cara yekem e ku hûn nasnameyek muwekîlê OAuth-a nû diafirînin, dê ji we were xwestin ku hûn ekranek razîbûnê mîheng bikin.
* Ji bo celebê bikarhêner Navxweyî hilbijêrin. Ev piştrast dike ku tenê hesabên ku aîdê bikarhênerên di Rêxistina weya Google Workspace de ne dikarin mîhengên cîhazê biafirînin. Heya ku hûn nexwazin kesek xwedan Hesabek Google-ê ya derbasdar çalak bikin ku mîhengên cîhazê biafirînin, Derveyî Hilbijêre NEKE.
Li ser ekrana agahdariya Appê:
2. Nasnameyên Xerîdar OAuth biafirîninTo
Ev beş li ser bingeha belgeyên xwe yên Google-ê ye sazkirina OAuth 2.0.
Serdana Google Cloud Console bikin Rûpelê pêbaweriyê rûpel, bikirtînin + Credentials biafirînin û Nasnameya xerîdar OAuth hilbijêrin.
Li ser ekrana çêkirina nasnameya xerîdar OAuth:
Piştî afirandina Nasnameya xerîdar OAuth, dê ji we re Nasnameyek Xerîdar û Nepeniya Xerîdar were dayîn. Vana dê di gava pêş de bi URI-ya beralîkar re bi hev re werin bikar anîn.
Weşandin /etc/firezone/firezone.rb ji bo vebijarkên jêrîn tê de:
# Bikaranîna Google wekî pêşkêşvanê nasnameya SSO
standard['firezone']['rastkirin']['oidc'] = {
gûgil: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
bersiv_type: "kod",
çarçowe: "profîla e-nameya vekirî",
label: "Google"
}
}
Ji nû ve veavakirina firezone-ctl bimeşînin û firezone-ctl ji nû ve bidin destpêkirin da ku serîlêdanê nûve bikin. Naha divê hûn bişkojka Têketinê bi Google re li URL-ya root Firezone bibînin.
Firezone girêdana OIDC-ya gelemperî bikar tîne da ku bi Okta-yê re yekane (SSO) hêsan bike. Ev tutorial dê nîşanî we bide ka meriv çawa pîvanên mîhengê yên ku li jêr hatine rêz kirin, yên ku ji bo yekbûnê hewce ne, bistînin:
Ev beşa rêbernameyê li ser bingehê ye Belgeya Okta.
Di Konsola Rêvebirê de, biçin Serlêdan > Serlêdan û bikirtînin Yekkirina Serlêdanê Biafirînin. Rêbaza Têketinê li OICD-ê bicîh bikin - OpenID Têkilî û celebê serîlêdanê bi serîlêdana Webê re.
Van mîhengan mîheng bikin:
Dema ku mîheng werin hilanîn, dê ji we re Nasnameyek Xerîdar, Nepeniya Xerîdar, û Domaina Okta were dayîn. Van 3 nirx dê di Gav 2 de werin bikar anîn da ku Firezone mîheng bikin.
Weşandin /etc/firezone/firezone.rb ji bo vebijarkên li jêr tê de. Ya te discovery_document_url dê bibe /.baş-naskirî/openid-configuration li dawiya we hatiye pêvekirin okta_domain.
# Okta wekî pêşkêşvanê nasnameya SSO bikar bînin
standard['firezone']['rastkirin']['oidc'] = {
okta: {
discovery_document_uri: "https:// /. well-known/openid-configuration”,
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
bersiv_type: "kod",
çarçowe: "profîla e-nameyê vekirî offline_access",
Label: "Okta"
}
}
Ji nû ve veavakirina firezone-ctl bimeşînin û firezone-ctl ji nû ve bidin destpêkirin da ku serîlêdanê nûve bikin. Naha divê hûn bi bişkojka Okta-yê têkevin li URL-ya root Firezone bibînin.
Bikarhênerên ku dikarin bigihîjin sepana Firezone dikarin ji hêla Okta ve bêne sînorkirin. Ji bo ku hûn vê yekê pêk bînin, biçin ser rûpelê Peywirên Firezone App Integration-ê ya Okta Admin Console.
Bi navgîniya girêdana OIDC-a gelemperî, Firezone bi Azure Active Directory-a Yekane (SSO) çalak dike. Ev destan dê nîşanî we bide ka meriv çawa pîvanên mîhengê yên ku li jêr hatine rêz kirin, yên ku ji bo yekbûnê hewce ne, bistînin:
Ev rênîşander ji ji Azure Active Directory Docs.
Herin rûpela Azure Active Directory ya portalê Azure. Vebijarka menuya Birêvebirin hilbijêrin, Tomarkirina Nû hilbijêrin, dûv re bi peydakirina agahdariya jêrîn qeyd bikin:
Piştî qeydkirinê, dîmena hûrguliyên serîlêdanê vekin û wê kopî bikin Nasnameya serîlêdanê (muwekîlê).. Ev dê bibe nirxa client_id. Dûv re, menuya xalên dawîn vekin da ku hûn jê bistînin Belgeya metadata OpenID Connect. Ev dê bibe nirxa discovery_document_uri.
Bi tikandina vebijarka Sertîfîka û nehênî ya di binê menuya Birêvebirinê de vebijarkek xerîdarek nû biafirînin. Veşartina xerîdar kopî bikin; nirxa veşartî ya xerîdar dê ev be.
Di dawiyê de, zencîreya destûrên API-ê di binê menuya Birêvebir de hilbijêrin, bikirtînin Destûrek zêde bikinû hilbijêrin Microsoft Graph, lê zêde bike email, openid, offline_access û tengal ji bo destûrên pêwîst.
Weşandin /etc/firezone/firezone.rb ji bo vebijarkên jêrîn tê de:
# Bikaranîna Azure Active Directory wekî peydakerê nasnameya SSO
standard['firezone']['rastkirin']['oidc'] = {
azwer: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/. well-known/openid-configuration",
client_id: " ”,
client_secret: " ”,
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
bersiv_type: "kod",
çarçowe: "profîla e-nameyê vekirî offline_access",
Label: "Azure"
}
}
Ji nû ve veavakirina firezone-ctl bimeşînin û firezone-ctl ji nû ve bidin destpêkirin da ku serîlêdanê nûve bikin. Naha divê hûn bi bişkojka Azure re li URL-ya root Firezone têketinek bibînin.
Azure AD rê dide rêvebiran ku gihîştina sepanê li komek taybetî ya bikarhêneran di hundurê pargîdaniya we de sînordar bikin. Zêdetir agahdarî li ser meriv çawa vê yekê dikare di belgeyên Microsoft-ê de were dîtin.
Chef Omnibus ji hêla Firezone ve tê bikar anîn da ku karûbaran di nav de pakkirina berdanê, çavdêriya pêvajoyê, rêveberiya têketinê, û hêj bêtir birêve bibe.
Koda Ruby pelê veavakirina bingehîn pêk tîne, ku li /etc/firezone/firezone.rb-ê ye. Ji nû ve destpêkirina veavakirina sudo firezone-ctl piştî guheztina vê pelê dibe sedem ku Chef guhertinan nas bike û wan li ser pergala xebitandina heyî bicîh bike.
Ji bo navnîşek bêkêmasî ya guhêrbarên veavakirinê û raveyên wan li referansa pelê veavakirinê binêre.
Mînaka weya Firezone dikare bi navgîniya ve were rêvebirin firezone-ctl ferman, wek ku li jêr tê nîşandan. Pir binfermanan pêdiviya pêşgiran bi sudo.
root@demo:~# firezone-ctl
omnibus-ctl: ferman (binferman)
Fermandariya Giştî:
paqij bikin
* Hemî * daneyên firezone jêbirin, û ji sifirê dest pê bikin.
biafirîne-an-reset-admin
Şîfreya rêveberê bi e-nameya ku ji hêla xwerû ve hatî diyarkirin['firezone']['admin_email'] ji nû ve vedike an ger ew e-name tune be rêveberek nû çêdike.
alîkarî
Vê peyama alîkariyê çap bike.
ji nû ve saz bikin
Serlêdanê ji nû ve saz bikin.
reset-tora
Nftables, navbeynkariya WireGuard, û tabloya rêvekirinê vedigere standardên Firezone.
show-config
Veavakirina ku dê ji nû veavakirinê ve were çêkirin nîşan bide.
teardown-tora
Têkiliya WireGuard û tabloya nftables firezone radike.
hêz-belge-nûvekirin
Nûvekirina sertîfîkayê bi zorê naha jî heke dema wê xilas nebûbe.
rawestandin-belge-nûvekirin
Cronjobê ku sertîfîkayan nû dike radike.
rakirinê
Hemî pêvajoyan bikujin û çavdêriya pêvajoyê rakin (daneyên wê bêne parastin).
awa
Guhertoya heyî ya Firezone nîşan bide
Fermanên Rêveberiya Karûbarê:
graceful-kuştin
Biceribînin rawestgehek dilşewat, dûv re tevahiya koma pêvajoyê SIGKILL bikin.
hup
Karûbarên HUP bişînin.
int
Karûbaran bi INT re bişînin.
kûştin
Xizmetên bikujin bişînin.
carek
Ger karûbaran dakêşin dest pê bikin. Ger rawestin wan ji nû ve nedin dest pê kirin.
veguhestin
Ger karûbaran dimeşînin rawestînin, dûv re dîsa dest pê bikin.
lîsteya xizmetê
Hemî karûbaran navnîş bikin (karûbarên çalakkirî bi * xuya dibin.)
destpêkirin
Ger karûbaran dakêşin dest pê bikin, û ger rawestin wan ji nû ve bidin destpêkirin.
cî
Rewşa hemî karûbaran nîşan bide.
rawestan
Karûbaran rawestînin, û wan ji nû ve nekin.
terrî
Têketinên karûbarê hemî karûbarên çalakkirî temaşe bikin.
îfade
Xizmetên TERM bişînin.
usr1
Karûbarên USR1 bişînin.
usr2
Karûbarên USR2 bişînin.
Pêdivî ye ku hemî danişînên VPN berî nûvekirina Firezone, ku di heman demê de banga girtina UI-ya Webê jî dike, bêne bidawî kirin. Ger di dema nûvekirinê de tiştek xelet derkeve, em şîret dikin ku demjimêrek ji bo lênêrînê veqetînin.
Ji bo zêdekirina Firezone, çalakiyên jêrîn bikin:
Ger pirsgirêk derkevin, ji kerema xwe ji me re agahdar bikin şandina bilêtek piştgiriyê.
Di 0.5.0-ê de çend guheztinên şikestî û guheztinên vesazkirinê hene ku divê bêne çareser kirin. Li jêr bêtir fêr bibin.
Nginx êdî wekî guhertoya 0.5.0 piştgirî nade hêza SSL û parametreyên porta ne-SSL. Ji ber ku Firezone ji bo xebatê pêdivî bi SSL-ê heye, em şîret dikin ku karûbarê Nginx-ê ya pakêtê ji holê rakin bi danîna xwerû['firezone']['nginx']['çalakkirî'] = derewîn û li şûna wê proxya xweya berevajî berbi sepana Phoenix-ê ya li porta 13000-ê vebikin (bi xwerû ).
0.5.0 ji bo nûvekirina bixweber sertîfîkayên SSL-ê bi karûbarê Nginx-ê ve girêdayî piştgirîya protokola ACME destnîşan dike. Mimkin kirin,
Di Firezone 0.5.0-ê de îmkana lê zêdekirina qaîdeyan bi mebestên ducarî nemaye. Skrîpta meya koçberiyê dê di dema nûvekirina 0.5.0-ê de bixweber van rewşan nas bike û tenê qaîdeyên ku mebesta wan qaîdeya din dihewîne digire. Tiştek ku hûn hewce ne bikin ku ev baş be tune.
Wekî din, berî nûvekirinê, em şîret dikin ku rêzika xwe biguhezînin da ku ji van rewşan xilas bibin.
Firezone 0.5.0 piştgirî ji bo veavakirina Okta-ya kevnar û Google SSO di berjewendiya veavakirina OIDC-ya nû, maqûltir radike.
Ger di bin bişkokên xwerû['firezone']['rastkirin']['okta'] an xwerû['firezone']['authentication']['google'] veavakirinek we hebe, divê hûn van bişkînin OIDC-ya me. veavakirina-based bi bikaranîna rêberê jêr.
Veavakirina Google OAuth ya heyî
Van xêzên ku mîhengên kevin ên Google OAuth hene ji pelê veavakirina xwe ya ku li /etc/firezone/firezone.rb-ê ye rake
xwerû['firezone']['rastkirin']['google']['çalakkirî']
xwerû['firezone']['rastkirin']['google']['client_id']
xwerû['firezone']['rastkirin']['google']['client_secret']
default['firezone']['rastkirin']['google']['redirect_uri']
Dûv re, bi şopandina prosedurên li vir, Google wekî pêşkêşkerek OIDC mîheng bikin.
(Rêbernameyên girêdanê bidin)<<<<<<<<<<<<<<<<<
Google OAuth-a heyî mîheng bike
Van xêzên ku mîhengên Okta OAuth yên kevin dihewîne ji pelê veavakirina xwe ya ku li wê ye rakin /etc/firezone/firezone.rb
xwerû ['firezone']['rastkirin']['okta']['çalakkirî']
xwerû['firezone']['rastkirin']['okta']['client_id']
xwerû['firezone']['rastkirin']['okta']['client_secret']
Pêşbirk['firezone']['rastkirin']['okta']['malper']
Dûv re, bi şopandina prosedurên li vir ve Okta wekî peydakerek OIDC mîheng bikin.
Bi sazkirin û guhertoya weya heyî ve girêdayî, rêwerzên jêrîn bişopînin:
Ger we berê entegrasyonek OIDC heye:
Ji bo hin pêşkêşkerên OIDC, nûvekirina >= 0.3.16 hewce dike ku ji bo qada gihîştina offline tokenek nûvekirinê bistînin. Bi kirina vê yekê, tê piştrast kirin ku Firezone bi pêşkêşvanê nasnameyê re nûve dike û piştî ku bikarhênerek jêbirin pêwendiya VPN qut dibe. Dubarekirinên berê yên Firezone vê taybetmendiyê tune bûn. Di hin rewşan de, bikarhênerên ku ji pêşkêşvanê nasnameya we têne jêbirin dibe ku hîn jî bi VPN ve girêdayî bin.
Pêdivî ye ku ji bo pêşkêşkerên OIDC yên ku çarçoweya gihîştina offline piştgirî dikin, ketina negirêdayî di parametreya çarçoweya veavakirina OIDC-ya xwe de bihewînin. Pêdivî ye ku ji nû ve veavakirina Firezone-ctl were darve kirin da ku guheztinên pelê veavakirina Firezone, ku li /etc/firezone/firezone.rb-ê ye, were sepandin.
Ji bo bikarhênerên ku ji hêla pêşkêşvanê weya OIDC ve hatine pejirandin, hûn ê di rûpela hûrguliyên bikarhênerê ya UI ya webê de sernavê Têkiliyên OIDC bibînin heke Firezone bikaribe bi serfirazî tokena nûvekirinê bistîne.
Ger ev nexebite, hûn ê hewce bikin ku sepana xweya OAuth ya heyî jêbirin û gavên sazkirinê yên OIDC dubare bikin. entegrasyonek sepanek nû biafirînin .
Min entegrasyonek OAuth ya heyî heye
Berî 0.3.11, Firezone pêşkêşkerên OAuth2-ê yên pêş-mîhengkirî bikar anîn.
Rêwerzan bişopînin vir ku koçî OIDC bikin.
Min pêşkêşvanek nasnameyê yekgirtî nekiriye
Ne çalakî hewce ne.
Hûn dikarin talîmatan bişopînin vir ji bo ku SSO bi navgîniya pêşkêşkerek OIDC çalak bike.
Di şûna wê de, xwerû ['firezone']['url'ya derve'] vebijarka veavakirinê ya xwerû ['firezone']['fqdn'] guhertiye.
Vê yekê li URL-ya portala xweya serhêl Firezone ku ji raya giştî re tê gihîştinê saz bikin. Ger neyê diyarkirin ew ê https: // plus FQDN-ya servera we bixweber bike.
Pelê veavakirinê li /etc/firezone/firezone.rb-ê ye. Ji bo navnîşek bêkêmasî ya guhêrbarên veavakirinê û raveyên wan li referansa pelê veavakirinê binêre.
Firezone wekî guhertoya 0.3.0 êdî bişkojkên taybet ên cîhazê li ser servera Firezone nagire.
Firezone Web UI dê nehêle ku hûn van veavakirinan ji nû ve dakêşin an bibînin, lê pêdivî ye ku hemî cîhazên heyî wekî-wekî kar bikin.
Heke hûn ji Firezone 0.1.x nûve dikin, çend guhertinên pelê vesazkirinê hene ku divê bi destan werin çareser kirin.
Ji bo ku hûn di pelê /etc/firezone/firezone.rb de guheztinên pêwîst bikin, emrên jêrîn wekî root bimeşînin.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i “s/\['çalak'\]/\['çalakkirî'\]/" /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['çalakkirî'] = rast" >> /etc/firezone/firezone.rb
echo "default['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
firezone-ctl veavakirina
firezone-ctl ji nû ve dest pê bike
Kontrolkirina têketinên Firezone ji bo her pirsgirêkek ku dikare çêbibe gava yekem a biaqil e.
Sudo firezone-ctl dûvikê bimeşînin da ku têketinên Firezone bibînin.
Piranîya pirsgirêkên pêwendiyê bi Firezone re ji hêla iptables an qaîdeyên nftables ên hevgirtî ve têne derxistin. Pêdivî ye ku hûn pê ewle bin ku qaîdeyên ku we di meriyetê de ne bi qaîdeyên Firezone re nakokî.
Piştrast bikin ku zincîra FORWARD destûrê dide pakêtên ji xerîdarên WireGuard-ê we berbi cîhên ku hûn dixwazin bi Firezone bihêlin ger pêwendiya weya Înternetê xirab bibe her gava ku hûn tunela WireGuard-a xwe çalak dikin.
Ger hûn ufw-ê bikar bînin ev yek dikare were bidestxistin bi piştrastkirina ku polîtîkaya rêveçûna xwerû destûr dide:
ubuntu@fz:~$ sudo ufw default rê dide rê
Siyaseta rêvekirî ya xwerû guhert bo 'destûr'
(bê guman rêzikên xwe li gorî xwe nûve bikin)
A wow statûya ji bo serverek Firezone ya tîpîk dibe ku bi vî rengî xuya bike:
ubuntu@fz:~$ sudo ufw statûya verbose
Rewş: çalak
Têketin: li ser (kêm)
Pêşniyaz: red kirin (hatin), destûr (derketin), destûr (rêxistin)
Profîlên nû: derbas bibin
To Action From
—————
22/tcp DESTÛR LI Her derê
80/tcp DESTÛR LI Her derê
443/tcp DESTÛR LI Her derê
51820/udp DESTÛR LI Her derê
22/tcp (v6) DESTÛR DIKIN LI Her derê (v6)
80/tcp (v6) DESTÛR DIKIN LI Her derê (v6)
443/tcp (v6) DESTÛR LI Her derê (v6)
51820/udp (v6) DESTÛR LI Her derê (v6)
Em şîret dikin ku gihîştina navgîniya malperê ji bo bicîhkirina hilberîna zehf hesas û krîtîk, wekî ku li jêr hatî ravekirin, sînordar bikin.
Xizmetkar | Default Port | Navnîşan guhdarî bike | Terîf |
nginx | 80, 443 | gişt | Porta giştî ya HTTP (S) ji bo birêvebirina Firezone û hêsankirina rastkirinê. |
cerdevan têl | 51820 | gişt | Porta WireGuard ya Giştî ji bo danişînên VPN-ê tê bikar anîn. (UDP) |
postgresql | 15432 | 127.0.0.1 | Porta-tenê herêmî ji bo servera Postgresql ya hevgirtî tê bikar anîn. |
Phoenix | 13000 | 127.0.0.1 | Porta-tenê herêmî ji hêla servera sepana elixir a jorîn ve tê bikar anîn. |
Em ji we re şîret dikin ku hûn li ser sînordarkirina gihîştina UI-ya webê ya eşkerekirî ya Firezone-yê bifikirin (ji hêla benderên xwerû 443/tcp û 80/tcp) û li şûna wê tunela WireGuard bikar bînin da ku Firezone ji bo hilberandin û belavkirinên rûbirû yên gelemperî ku li wir rêveberek yekane berpirsiyar be bikar bînin. afirandin û belavkirina mîhengên cîhazê li bikarhênerên dawîn.
Mînakî, heke rêveberek veavakirinek cîhazê biafirîne û bi navnîşana WireGuard-ya herêmî 10.3.2.2 tunelek biafirîne, veavakirina ufw-ya jêrîn dê rê bide rêvebir ku bi karanîna 10.3.2.1-ya xwerû bi navgîniya wg-firezone ya serverê bigihîje UI-ya webê ya Firezone. navnîşana tunelê:
root@demo:~# statuya ufw berbelav e
Rewş: çalak
Têketin: li ser (kêm)
Pêşniyaz: red kirin (hatin), destûr (derketin), destûr (rêxistin)
Profîlên nû: derbas bibin
To Action From
—————
22/tcp DESTÛR LI Her derê
51820/udp DESTÛR LI Her derê
Li her derê DESTÛR DI 10.3.2.2 de
22/tcp (v6) DESTÛR DIKIN LI Her derê (v6)
51820/udp (v6) DESTÛR LI Her derê (v6)
Ev ê tenê derkeve 22/tcp ji bo gihîştina SSH ji bo birêvebirina serverê (vebijarkî), û 51820/udp ji bo avakirina tunelên WireGuard hatine eşkere kirin.
Firezone serverek Postgresql û lihevhatî dike psql kargêriya ku dikare ji şêlê herêmî were bikar anîn wiha:
/opt/firezone/embedded/bin/psql \
-U agirê \
-d firezone \
-h localhost \
-p 15432 \
-c "SQL_STATEMENT"
Ev dikare ji bo mebestên debugging arîkar be.
Karên Hevbeş:
Lîsteya hemî bikarhêneran:
/opt/firezone/embedded/bin/psql \
-U agirê \
-d firezone \
-h localhost \
-p 15432 \
-c "HILBIJARTIN * JI bikarhêneran;"
Lîsteya hemî amûran:
/opt/firezone/embedded/bin/psql \
-U agirê \
-d firezone \
-h localhost \
-p 15432 \
-c "HILBIJARTIN * JI cîhazên;"
Rola bikarhênerek biguherînin:
Rolê wekî 'rêveber' an 'bêdestûr' bicîh bikin:
/opt/firezone/embedded/bin/psql \
-U agirê \
-d firezone \
-h localhost \
-p 15432 \
-c "Nûvekirina bikarhêneran rola SET = 'rêveber' WHERE email = 'user@example.com';"
Piştgiriya databasê:
Wekî din, di nav de bernameya pg dump heye, ku dibe ku were bikar anîn da ku paşvekêşên birêkûpêk ên databasê bigirin. Koda jêrîn bicîh bikin da ku kopiyek databasê di forma pirsiyariya hevpar a SQL de biavêjin (li şûna /path/to/backup.sql cîhê ku divê pelê SQL lê were çêkirin veguherînin):
/opt/firezone/embedded/bin/pg_dump \
-U agirê \
-d firezone \
-h localhost \
-p 15432 > /path/to/backup.sql
Piştî ku Firezone bi serfirazî hate bicîh kirin, divê hûn bikarhêneran zêde bikin da ku wan bigihîjin tora xwe. Web UI ji bo vê yekê tê bikar anîn.
Bi bijartina bişkoka "Bikarhêner lê zêde bike" di binê / bikarhêneran de, hûn dikarin bikarhênerek zêde bikin. Hûn ê hewce bibin ku bikarhêner navnîşek e-name û şîfreyek peyda bikin. Ji bo ku hûn bixweber bigihîjin bikarhênerên di rêxistina we de, Firezone dikare bi peydakerek nasnameyê re jî têkilî û hevdeng bike. Agahiyên bêtir di nav de hene Tesdîqkirin. < Zencîreyek ji Rastrastkirinê re zêde bikin
Em şîret dikin ku daxwaz bikin ku bikarhêner mîhengên cîhaza xwe biafirînin da ku mifteya taybet tenê ji wan re xuya bibe. Bikarhêner dikarin bi şopandina rêwerzên li ser konfigurasyonên cîhaza xwe biafirînin Telîmatên Client rûpel.
Hemî mîhengên cîhaza bikarhêner dikarin ji hêla rêveberên Firezone ve werin afirandin. Li ser rûpela profîla bikarhênerê ya ku li /users-ê ye, vebijarka "Cîhaz lê zêde bike" hilbijêrin ku vê yekê pêk bînin.
[Screenshot têxe]
Piştî afirandina profîla cîhazê, hûn dikarin pelê veavakirina WireGuard ji bikarhêner re bi e-nameyê bişînin.
Bikarhêner û cîhazên girêdayî ne. Ji bo hûrguliyên bêtir li ser meriv çawa bikarhênerek lê zêde bike, binêre Bikarhêneran zêde bikin.
Bi karanîna pergala netfilterê ya kernelê, Firezone kapasîteyên fîlterkirina derketinê dihêle ku pakêtên DROP an QEBÛL bike. Hemî trafîkê bi gelemperî destûr e.
IPv4 û IPv6 CIDR û navnîşanên IP-ê bi rêzê ve bi navgîniya Allowlist û Denylist ve têne piştgirî kirin. Hûn dikarin dema lêzêdekirina qaîdeyek ji bikarhênerek re vebêjin, ku qaîdeyek li ser hemî cîhazên wî bikarhêner bicîh tîne.
Sazkirin û sazkirin
Ji bo sazkirina pêwendiyek VPN-ê bi karanîna xerîdar WireGuard-a xwemalî, li vê rêbernameyê binihêrin.
Xerîdarên Fermî yên WireGuard ku li vir têne bicîh kirin Firezone lihevhatî ne:
Serdana malpera fermî ya WireGuard li https://www.wireguard.com/install/ bikin ji bo pergalên OS-ê ku li jor nehatine gotin.
An rêvebirê weya Firezone an hûn bixwe dikarin pelê veavakirina cîhazê bi karanîna portalê Firezone biafirînin.
Serdana URL-ya ku rêvebirê Firezone-ya we peyda kiriye da ku hûn pelê veavakirina amûrê bixwe-hilberînin. Fîrmaya we dê ji bo vê yekê URLek yekta hebe; di vê rewşê de, ew https://instance-id.yourfirezone.com e.
Têkeve Firezone Okta SSO
[Wêneya Dîmenê Têxe]
Bi vekirina pelê.conf têxin nav xerîdar WireGuard. Bi xistina Guhestina Çalakkirinê, hûn dikarin danişînek VPN dest pê bikin.
[Wêneya Dîmenê Têxe]
Ger rêvebirê torê we erêkirina dubare ferz kiriye da ku girêdana weya VPN çalak bihêle rêwerzên jêrîn bişopînin.
Hûn hewce ne:
URL-ya portalê Firezone: Têkiliyê ji rêvebirê torê xwe bipirsin.
Divê rêvebirê torê we bikaribe têketin û şîfreya we pêşkêş bike. Malpera Firezone dê ji we bipirse ku hûn bi karanîna karûbarê yekane nîşana ku kardêrê we bikar tîne têkevinê (wek Google an Okta).
[Wêneya Dîmenê Têxe]
Biçe URL-ya portalê Firezone û bi karanîna pêbaweriyên ku rêvebirê torê we peyda kiriye têkevinê. Heke hûn jixwe têketinê ne, berî ku hûn dîsa têkevinê, bişkojka Verastkirin bikirtînin.
[Wêneya Dîmenê Têxe]
[Wêneya Dîmenê Têxe]
Ji bo ku hûn profîla veavakirina WireGuard-ê bi karanîna Rêvebirê Networkê CLI li ser cîhazên Linux-ê bi kar bînin, van rêwerzan bişopînin (nmcli).
Ger profîl piştgirîya IPv6-ê çalak kiribe, dibe ku hewildana îtxalkirina pelê veavakirinê bi karanîna GUI-ya Gerînendeyê Torê bi xeletiya jêrîn têk biçe:
ipv6.method: rêbaza "oto" ji bo WireGuard nayê piştgirî kirin
Pêdivî ye ku meriv karûbarên cîhê bikarhênerên WireGuard saz bike. Ev dê pakêtek bi navê wireguard an wireguard-tools ji bo belavkirinên Linux be.
Ji bo Ubuntu/Debian:
sudo apt wireguard saz bike
Ji bo Fedora bikar bînin:
sudo dnf sazkirina wireguard-tools
Arch Linux:
sudo pacman -S wireguard-amûrên
Serdana malpera fermî ya WireGuard li https://www.wireguard.com/install/ bikin ji bo belavkirinên ku li jor nehatine gotin.
Rêvebirê weya Firezone an jî xwe-nifşê dikare bi karanîna portalê Firezone pelê veavakirina cîhazê biafirîne.
Serdana URL-ya ku rêvebirê Firezone-ya we peyda kiriye da ku hûn pelê veavakirina amûrê bixwe-hilberînin. Fîrmaya we dê ji bo vê yekê URLek yekta hebe; di vê rewşê de, ew https://instance-id.yourfirezone.com e.
[Wêneya Dîmenê Têxe]
Bi karanîna nmcli pelê veavakirina hatî peyda kirin derxînin:
Têkiliya sudo nmcli pelê têl parastinê pelê /path/to/configuration.conf
Navê pelê mîhengê dê bi girêdana / navrûya WireGuard re têkildar be. Piştî importê, heke pêwîst be, pêwend dikare were guheztin:
girêdana nmcli biguherîne [navê kevn] girêdan.id [navê nû]
Bi rêza fermanê, bi vî rengî bi VPN-ê ve girêdin:
Têkiliya nmcli rabû [navê vpn]
Jê qutbûn:
Girêdana nmcli xwar [navê vpn]
Serlêdana Rêvebirê Torê ya guncandî jî dikare were bikar anîn ji bo birêvebirina pêwendiyê ger GUI bikar bîne.
Bi bijartina "erê" ji bo vebijarka girêdana xweser, pêwendiya VPN dikare were mîheng kirin ku bixweber were girêdan:
Girêdana nmcli girêdana [navê vpn] biguherîne. <<<<<<<<<<<<<<<<<<<<<<<<
autoconnect erê
Ji bo neçalakkirina pêwendiya otomatîkî wê vegere no:
Girêdana nmcli girêdana [navê vpn] biguherîne.
autoconnect no
Ji bo aktîfkirina MFA Herin rûpela /hesabê bikarhêner/qeydkirina mfa ya portalê Firezone. Ji bo ku koda QR-ê piştî ku hate çêkirin, sepana xweya rastgir bikar bînin, dûv re koda şeş-hejmarî têkevin.
Ger hûn sepana erêkerê xwe xelet bi cîh bikin, bi Rêvebirê xwe re têkilî daynin da ku agahdariya gihîştina hesabê xwe ji nû ve bikin.
Ev tutorial dê we di pêvajoya sazkirina taybetmendiya tunekirina dabeşkirinê ya WireGuard-ê bi Firezone re bi rê ve bibe da ku tenê seyrûsefera rêzikên IP-ya taybetî bi navgîniya servera VPN ve were şandin.
Rêjeyên IP-yê yên ku xerîdar dê seyrûsefera torê bi rê ve bibe, di qada IP-yên Destûrdar de ku li ser rûpela /settings/default de ye têne destnîşan kirin. Tenê mîhengên tûnelê yên WireGuard-ê yên ku ji hêla Firezone ve hatî çêkirin têne çêkirin dê ji guhertinên li vê qadê bandor bibin.
[Wêneya Dîmenê Têxe]
Nirxa xwerû 0.0.0.0/0, ::/0 e, ku hemî seyrûsefera torê ji xerîdar berbi servera VPN-ê vedike.
Nimûneyên nirxên di vê qadê de hene:
0.0.0.0/0, ::/0 - hemî seyrûsefera torê dê berbi servera VPN ve were rêve kirin.
192.0.2.3/32 - tenê seyrûsefera yek navnîşana IP-ê dê berbi servera VPN ve were rêve kirin.
3.5.140.0/22 - tenê seyrûsefera IP-yên di rêza 3.5.140.1 - 3.5.143.254 de dê berbi servera VPN ve were rêve kirin. Di vê nimûneyê de, rêza CIDR ji bo herêma ap-bakur-rojhilat-2 AWS hate bikar anîn.
Firezone gava ku destnîşan dike ku meriv paketek li ku derê rêve dike, pêwendiya derketinê ya ku bi riya herî rast ve girêdayî ye hildibijêre.
Bikarhêner pêdivî ye ku pelên mîhengê ji nû ve biafirînin û wan li muwekîlê xweya WireGuard-ê zêde bikin da ku cîhazên bikarhêner ên heyî bi veavakirina tunela dabeşkirinê ya nû nûve bikin.
Ji bo rêwerzan, binihêrin amûrê zêde bikin. <<<<<<<<<<< Girêdanê zêde bike
Ev destan dê destnîşan bike ka meriv çawa du cîhazên ku Firezone wekî rele bikar tîne girêdide. Bûyerek karanîna gelemperî ev e ku rêvebirek karibe bigihîje serverek, konteynir, an makîneyek ku ji hêla NAT an dîwarê agir ve tê parastin.
Ev nîgar senaryoyek rasterast nîşan dide ku tê de Amûrên A û B tunelek çêdikin.
[Wêneya mîmarî ya firezone têxe]
Bi afirandina Amûra A û Cîhaza B dest pê bikin bi navîgasyon /users/[user_id]/new_device. Di mîhengên ji bo her amûrekê de, pê ewle bine ku pîvanên jêrîn li gorî nirxên ku li jêr hatine destnîşan kirin têne danîn. Hûn dikarin mîhengên cîhazê destnîşan bikin dema ku mîhengê amûrê çêbikin (binihêrin Amûrên Zêde bikin). Heke hûn hewce ne ku mîhengên li ser amûrek heyî nûve bikin, hûn dikarin wiya bi afirandina konfigurasyona cîhazek nû bikin.
Bala xwe bidinê ku hemî cîhazan rûpelek / mîhengan/defaults hene ku li wir PersistentKeepalive dikare were mîheng kirin.
AllowedIPs = 10.3.2.2/32
Ev IP an rêza IP-yên Amûra B ye
PersistentKeepalive = 25
Ger amûrek li pişt NAT-ê ye, ev yek piştrast dike ku cîhaz karibe tunelê zindî bihêle û wergirtina pakêtan ji navbeynkariya WireGuard bidomîne. Bi gelemperî nirxek 25 bes e, lê dibe ku hûn hewce ne ku vê nirxê li gorî hawîrdora xwe kêm bikin.
AllowedIPs = 10.3.2.3/32
Ev IP an rêza IP-yên Amûra A ye
PersistentKeepalive = 25
Ev mînak rewşek nîşan dide ku tê de Amûra A dikare di her du alîyan de bi Amûrên B heya D re têkilî daynin. Ev sazkirin dikare endezyarek an rêveberek ku di nav torên cihêreng de xwe bigihîne gelek çavkaniyan (server, konteyneran, an makîneyan) temsîl bike.
[Diagrama mîmarî]<<<<<<<<<<<<<<<<<<<<<<<<<
Piştrast bikin ku mîhengên jêrîn di mîhengên her cîhazê de li gorî nirxên têkildar têne çêkirin. Dema ku veavakirina cîhazê diafirîne, hûn dikarin mîhengên cîhazê diyar bikin (li "Alavan lê zêde bike" binêre). Heke pêdivî ye ku mîhengên li ser amûrek heyî were nûve kirin, mîhengek amûrek nû dikare were afirandin.
AllowedIPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Ev IP-ya cîhazên B heya D ye. IP-yên Amûrên B heya D-yê divê di nav rêza IP-yê ya ku hûn hilbijêrin da ku hûn destnîşan bikin de hebe.
PersistentKeepalive = 25
Ev garantî dike ku cîhaz dikare tunelê bidomîne û her çend ew ji hêla NAT-ê ve hatî parastin jî pakêtan ji pêwendiya WireGuard-ê bigire. Di pir rewşan de, nirxek 25 têr e, di heman demê de li gorî derdora we ve girêdayî, dibe ku hûn hewce ne ku vê hejmarê kêm bikin.
Ji bo pêşkêşkirina IP-ya derketina yekane, statîk ji bo ku hemî seyrûsefera tîmê we jê derkeve, Firezone dikare wekî dergehek NAT were bikar anîn. Van rewşan bi karanîna wê ya pir caran pêk tê:
Têkiliyên Şêwirmendiyê: Daxwaz bikin ku xerîdarê we ji bilî IP-ya cîhaza yekta ya her karmendê navnîşek IP-ya yekane ya statîk navnîşek spî bike.
Ji bo mebestên ewlehî an nepenîtiyê proxy bikar bînin an IP-ya çavkaniya xwe mask bikin.
Nimûneyek hêsan a sînorkirina gihîştina serîlêdanek web-a xwe-hovandî ji IP-ya statîk a yekane ya spîkirî ya ku Firezone dimeşîne dê di vê postê de were destnîşan kirin. Di vê nîgarê de, Firezone û çavkaniya parastî li deverên VPC yên cihê ne.
Ev çareserî bi gelemperî di cîhê birêvebirina navnîşek spî ya IP-yê de ji bo gelek bikarhênerên dawîn tê bikar anîn, ku ji ber ku navnîşa gihîştinê berfireh dibe dikare wext bigire.
Armanca me ev e ku em serverek Firezone li ser mînakek EC2 saz bikin da ku seyrûsefera VPN-ê berbi çavkaniya sînorkirî vegerîne. Di vê nimûneyê de, Firezone wekî proxy torê an dergehek NAT-ê kar dike ku ji her cîhaza girêdayî IP-ya derketina giştî ya bêhempa bide.
Di vê rewşê de, mînakek EC2 bi navê tc2.micro mînakek Firezone li ser wê hatî saz kirin. Ji bo agahdariya di derbarê bicîhkirina Firezone de, biçin Rêbernameya Berhevkirinê. Di derbarê AWS-ê de, pê ewle bin:
Koma ewlehiyê ya mînaka Firezone EC2 destûrê dide seyrûsefera derve ya navnîşana IP ya çavkaniya parastî.
Mînaka Firezone bi IP-ya elastîk tê. Trafîka ku bi navgîniya mînaka Firezone ve berbi mebestên derveyî ve tê şandin dê ev wekî navnîşana IP-ya çavkaniya wê hebe. Navnîşana IP-ê ya pirsê 52.202.88.54 e.
[Wêneya Dîmenê Têxe]<<<<<<<<<<<<<<<<<<<<<<<<<<
Di vê rewşê de serîlêdanek malperê ya xwe-hovandî wekî çavkaniya parastî kar dike. Serlêdana tevneyê tenê bi daxwazên ku ji navnîşana IP-yê 52.202.88.54 têne ve tê gihîştin. Bi çavkaniyê ve girêdayî, dibe ku pêdivî be ku destûr bide seyrûsefera hundurîn li ser port û celebên trafîkê yên cihêreng. Di vê destanê de ev yek nayê nixumandin.
[Screenshot têxe]<<<<<<<<<<<<<<<<<<<<<<<<<<
Ji kerema xwe ji partiya sêyemîn a berpirsiyarê çavkaniya parastî re bêje ku seyrûsefera IP-ya statîk a ku di Gav 1-ê de hatî destnîşan kirin divê were destûr kirin (di vê rewşê de 52.202.88.54).
Ji hêla xwerû, hemî seyrûsefera bikarhêner dê bi servera VPN re derbas bibe û ji IP-ya statîk a ku di Gav 1-ê de hatî mîheng kirin (di vê rewşê de 52.202.88.54) were. Lêbelê, heke tunekirina dabeşkirinê hate çalak kirin, dibe ku mîhengan hewce bike ku pê ewle bibin ku IP-ya mebesta çavkaniya parastî di nav IP-yên Destûrdar de hatî navnîş kirin.
Li jêr tê xuyang kirin navnîşek bêkêmasî ya vebijarkên mîhengê yên ku tê de têne peyda kirin /etc/firezone/firezone.rb.
dibe | terîf | nirxa default |
xwerû['firezone']['external_url'] | URL ji bo gihîştina portala webê ya vê mînaka Firezone tê bikar anîn. | "https://#{node['fqdn'] || node['hostname']}” |
default['firezone']['config_directory'] | Peldanka asta jorîn ji bo veavakirina Firezone. | /etc/firezone' |
xwerû['firezone']['directory_saz bike'] | Peldanka asta jorîn ji bo sazkirina Firezone. | /opt/firezone' |
default['firezone']['app_directory'] | Peldanka asta jorîn ji bo sazkirina serîlêdana webê ya Firezone. | "#{node['firezone']['install_directory']}/embedded/service/firezone" |
default['firezone']['log_directory'] | Peldanka asta jorîn ji bo têketinên Firezone. | /var/log/firezone' |
default['firezone']['var_directory'] | Peldanka asta jorîn ji bo pelên dema xebatê Firezone. | /var/opt/firezone' |
xwerû['firezone']['bikarhêner'] | Navê bikarhênerê Linux-ê yê bêdestûr dê piraniya karûbar û pelan jê re bin. | herêma agir' |
default['firezone']['kom'] | Navê koma Linux-ê dê piraniya karûbar û pelan jê re bin. | herêma agir' |
default['firezone']['admin_email'] | Navnîşana e-nameyê ji bo bikarhênerê destpêkê Firezone. | "firezone@localhost" |
xwerû['firezone']['max_devices_per_user'] | Hejmara herî zêde ya cîhazên ku bikarhênerek dikare hebe. | 10 |
default['firezone']['allow_unprivileged_device_management'] | Destûrê dide bikarhênerên ne-rêveber ku cîhazan çêbikin û jêbirin. | RAST |
default['firezone']['allow_unprivileged_device_configuration'] | Destûrê dide bikarhênerên ne-rêveber ku mîhengên cîhazê biguhezînin. Dema ku neçalak be, pêşî li bikarhênerên bêdestûr digire ku ji bilî nav û ravekirinê hemî qadên cîhazê biguhezînin. | RAST |
default['firezone']['egress_interface'] | Navê navberê ya ku dê seyrûsefera tunekirî derkeve. Ger nil be, dê navbeynkariya rêça xwerû were bikar anîn. | nil |
default['firezone']['fips_enabled'] | Moda OpenSSL FIPs çalak bike an neçalak bike. | nil |
default['firezone']['logging']['çalakkirî'] | Têketinê li seranserê Firezone çalak bike an neçalak bike. Ji bo neçalakkirina têketinê bi tevahî verast bike. | RAST |
default['sazî']['nav'] | Navê ku ji hêla pirtûka xwarinê ya Chef 'enterprise' ve hatî bikar anîn. | herêma agir' |
xwerû['firezone']['rêya_sazkirinê'] | Rêya ku ji hêla pirtûka xwarinê ya Chef 'enterprise' ve hatî bikar anîn saz bikin. Pêdivî ye ku wekî install_directory li jor were danîn. | node['firezone']['directory_install'] |
default['firezone']['sysvinit_id'] | Nasnameyek ku di /etc/inittab de tê bikar anîn. Pêdivî ye ku rêzek bêhempa ya 1-4 tîpan be. | SUP' |
xwerû ['firezone']['rastkirin']['herêmî']['çalakkirî'] | Nasnameya e-name / şîfreya herêmî çalak an neçalak bike. | RAST |
xwerû['firezone']['rastkirin']['auto_create_oidc_users'] | Bi xweber bikarhênerên ku ji bo cara yekem ji OIDC têkevin biafirînin. Neçalak bike ku tenê bikarhênerên heyî bi OIDC ve têkevinê. | RAST |
xwerû['firezone']['rastkirin']['disable_vpn_on_oidc_error'] | Heke xeletiyek hat dîtin ku hewl dide ku tokena OIDC-ya xwe nûve bike, VPN-ya bikarhênerek neçalak bike. | ŞAŞ |
default['firezone']['rastkirin']['oidc'] | Veavakirina OpenID Connect, di forma {“provider” => [config…]} - Binêre Belgekirina OpenIDConnect ji bo nimûneyên mîhengê. | {} |
default['firezone']['nginx']['çalakkirî'] | Pêşkêşkara nginx ya hevgirtî çalak bike an neçalak bike. | RAST |
default['firezone']['nginx']['ssl_port'] | HTTPS porta guhdarîkirinê. | 443 |
xwerû['firezone']['nginx']['pêrêt'] | Pelrêça ku veavakirina mêvandarê virtual nginx-a-girêdayî Firezone hilîne. | "#{node['firezone']['var_directory']}/nginx/etc" |
default['firezone']['nginx']['log_directory'] | Peldanka ku pelên têketinê yên nginx-a-girêdayî Firezone hilîne. | "#{node['firezone']['log_directory']}/nginx" |
default['firezone']['nginx']['log_rotation']['file_maxbytes'] | Mezinahiya pelê ya ku pelên têketinê Nginx bizivirîne. | 104857600 |
default['firezone']['nginx']['log_rotation']['num_to_keep'] | Hejmara pelên têketinê yên Firezone nginx ku berî avêtinê werin hilanîn. | 10 |
default['firezone']['nginx']['log_x_forwarded_for'] | Ma meriv Firezone nginx x-pêşvekirî-ji bo sernavê têketinê. | RAST |
xwerû['firezone']['nginx']['hsts_header']['çalakkirî'] | RAST | |
default['firezone']['nginx']['hsts_header']['include_subdomains'] | Ji bo sernavê HSTS-ê includeSubDomains çalak bike an neçalak bike. | RAST |
default['firezone']['nginx']['hsts_header']['max_age'] | Temenê herî zêde ji bo sernavê HSTS. | 31536000 |
default['firezone']['nginx']['redirect_to_canonical'] | Ma URL-an beralîkirina FQDN-ya kanonîkî ya ku li jor hatî destnîşan kirin | ŞAŞ |
default['firezone']['nginx']['cache']['çalakkirî'] | Cache Firezone nginx çalak bike an neçalak bike. | ŞAŞ |
default['firezone']['nginx']['cache']['director'] | Peldanka ji bo cache nginx Firezone. | "#{node['firezone']['var_directory']}/nginx/cache" |
default['firezone']['nginx']['bikarhêner'] | Bikarhênerê Firezone nginx. | node['firezone']['bikarhêner'] |
default['firezone']['nginx']['kom'] | Koma Firezone nginx. | node['firezone']['kom'] |
default['firezone']['nginx']['dir'] | Peldanka veavakirina nginx-a asta jorîn. | node['firezone']['nginx']['director'] |
default['firezone']['nginx']['log_dir'] | Peldanka têketinê ya nginx-a asta jorîn. | node['firezone']['nginx']['log_directory'] |
default['firezone']['nginx']['pid'] | Cihê pelê nginx pid. | "#{node['firezone']['nginx']['directory']}/nginx.pid" |
default['firezone']['nginx']['daemon_disable'] | Moda nginx daemon neçalak bike da ku em li şûna wê çavdêrî bikin. | RAST |
default['firezone']['nginx']['gzip'] | Kompresyona nginx gzip-ê çalak bikin an jêbikin. | li' |
default['firezone']['nginx']['gzip_static'] | Ji bo pelên statîk kompresyona nginx gzip çalak bikin an jêbikin. | ji' |
default['firezone']['nginx']['gzip_http_version'] | Guhertoya HTTP ku ji bo xizmetkirina pelên statîk tê bikar anîn. | 1.0 ' |
default['firezone']['nginx']['gzip_comp_level'] | nginx gzip asta compression. | 2 ' |
default['firezone']['nginx']['gzip_proxied'] | Li gorî daxwaz û bersivê gzipping bersivên ji bo daxwazên proxied çalak dike an neçalak dike. | herçiyek' |
default['firezone']['nginx']['gzip_vary'] | Têxistina sernavê bersivê "Vary: Qebûl-Encoding" çalak dike an neçalak dike. | ji' |
default['firezone']['nginx']['gzip_buffers'] | Hejmar û mezinahiya tamponên ku ji bo berhevkirina bersivê têne bikar anîn destnîşan dike. Heke nil, nginx default tê bikaranîn. | nil |
default['firezone']['nginx']['gzip_types'] | Cûreyên MIME-ê ku ji bo komkirina gzip-ê çalak bikin. | ['text/plain', 'text/css',' application/x-javascript', 'text/xml', 'sepan/xml', 'sepan/rss+xml', 'sepan/atom+xml', ' text/javascript', 'sepan/javascript', 'sepan/json'] |
default['firezone']['nginx']['gzip_min_length'] | Dirêjahiya pelê ya hindiktirîn ji bo çalakkirina pelê pelê pelê gzip ji bo çalak bike. | 1000 |
default['firezone']['nginx']['gzip_disable'] | Bikarhêner-agent matcher ku ji bo komkirina gzip-ê neçalak bike. | MSIE [1-6]\.' |
default['firezone']['nginx']['keepalive'] | Ji bo girêdana bi serverên jorîn re cache çalak dike. | li' |
default['firezone']['nginx']['keepalive_timeout'] | Ji bo girêdana parastinê ya bi serverên jorîn re di çirkeyan de dem derbas dibe. | 65 |
xwerû['firezone']['nginx']['pêvajoyên_karker'] | Hejmara pêvajoyên karkerên nginx. | node['cpu'] && node['cpu']['tişt'] ? node['cpu']['giştî'] : 1 |
default['firezone']['nginx']['worker_connections'] | Hejmara herî zêde ya girêdanên hevdem ên ku ji hêla pêvajoyek karker ve têne vekirin. | 1024 |
default['firezone']['nginx']['worker_rlimit_nofile'] | Ji bo pêvajoyên xebatkar sînorê herî zêde hejmara pelên vekirî diguhezîne. Heke nginx-a xwerû bikar tîne. | nil |
default['firezone']['nginx']['multi_accept'] | Ma karker divê yek pêwendiyê di demekê de an pirjimar qebûl bikin. | RAST |
default['firezone']['nginx']['bûyer'] | Rêbaza pêvajoyek pêwendiyê diyar dike ku di hundurê çarçoweya bûyerên nginx de bikar bîne. | epoll' |
default['firezone']['nginx']['server_tokens'] | Weşandina guhertoya nginx-ê li ser rûpelên xeletiyê û di qada sernavê bersiva "Server" de çalak an neçalak dike. | nil |
default['firezone']['nginx']['server_names_hash_bucket_size'] | Ji bo tabloyên hash navên serverê mezinahiya kelê destnîşan dike. | 64 |
default['firezone']['nginx']['sendfile'] | Bikaranîna sendfile ya nginx çalak dike an neçalak dike. | li' |
default['firezone']['nginx']['access_log_options'] | Vebijarkên têketina gihîştina nginx destnîşan dike. | nil |
xwerû['firezone']['nginx']['error_log_options'] | Vebijarkên têketina xeletiya nginx destnîşan dike. | nil |
xwerû['firezone']['nginx']['disable_access_log'] | Têketina gihîştina nginx asteng dike. | ŞAŞ |
default['firezone']['nginx']['types_hash_max_size'] | cureyên nginx mezinahiya hash max. | 2048 |
default['firezone']['nginx']['types_hash_bucket_size'] | cureyên nginx mezinahiya kelek hash. | 64 |
default['firezone']['nginx']['proxy_read_timeout'] | nginx proxy dema xwendinê. Ji bo nginx-a xwerû bikar bînin, li nil danîn. | nil |
default['firezone']['nginx']['client_body_buffer_size'] | Mezinahiya tampon laşê xerîdar nginx. Ji bo nginx-a xwerû bikar bînin, li nil danîn. | nil |
default['firezone']['nginx']['client_max_body_size'] | nginx xerîdar mezinahiya laşê herî zêde. | 250 m' |
default['firezone']['nginx']['default']['modul'] | Modulên din ên nginx diyar bikin. | [] |
default['firezone']['nginx']['enable_rate_limiting'] | Sînorkirina rêjeya nginx çalak bike an neçalak bike. | RAST |
default['firezone']['nginx']['navê_zone_limiting_rate'] | Navê devera sînorkirina rêjeya Nginx. | herêma agir' |
default['firezone']['nginx']['rate_limiting_backoff'] | Rêjeya Nginx paşvekêşana sînordar dike. | 10 m' |
default['firezone']['nginx']['rate_limit'] | Sînorê rêjeya Nginx. | 10r/s' |
default['firezone']['nginx']['ipv6'] | Destûrê bide nginx ku ji bilî IPv6 guh bide daxwazên HTTP yên ji bo IPv4. | RAST |
default['firezone']['postgresql']['çalakkirî'] | Postgresql ya hevgirtî çalak bike an neçalak bike. Li ser derewîn bicîh bikin û vebijarkên databasa jêrîn dagirin da ku mînaka xweya Postgresql bikar bînin. | RAST |
default['firezone']['postgresql']['navê bikarhêner'] | Navê bikarhêner ji bo Postgresql. | node['firezone']['bikarhêner'] |
default['firezone']['postgresql']['data_directory'] | Peldanka daneya Postgresql. | "#{node['firezone']['var_directory']}/postgresql/13.3/data" |
default['firezone']['postgresql']['log_directory'] | Pelrêça têketinê ya Postgresql. | "#{node['firezone']['log_directory']}/postgresql" |
default['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Berî ku were zivirandin, mezinahiya pelê têketinê ya Postgresql herî zêde. | 104857600 |
default['firezone']['postgresql']['log_rotation']['num_to_keep'] | Hejmara pelên têketinê yên Postgresql ku têne girtin. | 10 |
default['firezone']['postgresql']['checkpoint_completion_target'] | Armanca qedandina xala kontrolê ya Postgresql. | 0.5 |
xwerû['firezone']['postgresql']['beşên_kontrolê'] | Hejmara beşên xala kontrolê ya Postgresql. | 3 |
default['firezone']['postgresql']['checkpoint_timeout'] | Wextê xala kontrolê ya Postgresql. | 5min' |
default['firezone']['postgresql']['checkpoint_warning'] | Dema hişyariya xala kontrolê ya Postgresql di çirkeyan de. | 30' |
default['firezone']['postgresql']['effective_cache_size'] | Mezinahiya cache ya bi bandor Postgresql. | 128 MB' |
default['firezone']['postgresql']['listen_address'] | Postgresql navnîşana guhdarîkirinê. | 127.0.0.1 ' |
default['firezone']['postgresql']['max_connections'] | Girêdanên Postgresql max. | 350 |
default['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs ku destûrê bidin md5 auth. | ['127.0.0.1/32', '::1/128'] |
default['firezone']['postgresql']['port'] | Postgresql porta guhdarîkirinê. | 15432 |
default['firezone']['postgresql']['shared_buffers'] | Mezinahiya tamponên hevpar ên Postgresql. | "#{(node['bîr']['total'].to_i / 4) / 1024}MB" |
default['firezone']['postgresql']['shmmax'] | Postgresql shmmax di bîtan de. | 17179869184 |
default['firezone']['postgresql']['shmall'] | Postgresql di bîtan de ye. | 4194304 |
default['firezone']['postgresql']['work_mem'] | Mezinahiya bîranîna xebatê ya Postgresql. | 8 MB' |
default['firezone']['base']['bikarhêner'] | Navê bikarhêner diyar dike ku Firezone dê bikar bîne da ku bi DB-ê ve girêdayî be. | node['firezone']['postgresql']['navê bikarhêner'] |
default['firezone']['base']['şîfre'] | Ger DB-ya derveyî bikar bîne, şîfreya ku Firezone dê bikar bîne ji bo girêdana bi DB-ê re diyar dike. | change_me' |
default['firezone']['base']['nav'] | Daneya ku Firezone dê bikar bîne. Ger tune be dê were afirandin. | herêma agir' |
xwerû['firezone']['base daneyan']['mêvandar'] | Mêvandarê databasa ku Firezone dê pê ve girêbide. | node['firezone']['postgresql']['listen_address'] |
default['firezone']['base']['port'] | Porta databasa ku Firezone dê pê ve girêbide. | node['firezone']['postgresql']['port'] |
default['firezone']['base']['pool'] | Mezinahiya hewza databasê Firezone dê bikar bîne. | [10, Etc.nprocessors].max |
default['firezone']['base'] ['ssl'] | Ma bi ser SSL-ê ve girêdayî databasê ye. | ŞAŞ |
default['firezone']['base']['ssl_opts'] | {} | |
default['firezone']['base']['parametre'] | {} | |
default['firezone']['base']['berfireh'] | Berfirehkirina databasê ji bo çalakkirinê. | {'plpgsql' => rast, 'pg_trgm' => rast } |
default['firezone']['phoenix']['çalakkirî'] | Serlêdana webê ya Firezone çalak bike an neçalak bike. | RAST |
default['firezone']['phoenix']['listen_address'] | Navnîşana guhdarîkirina serîlêdana malperê Firezone. Ev dê bibe navnîşana guhdariya jorîn a ku nginx proxies dike. | 127.0.0.1 ' |
default['firezone']['phoenix']['port'] | Porta guhdarîkirinê ya serîlêdana webê Firezone. Ev dê bibe porta jorîn a ku nginx proxy dike. | 13000 |
default['firezone']['phoenix']['log_directory'] | pelrêça têketina serîlêdana webê ya Firezone. | "#{node['firezone']['log_directory']}/phoenix" |
default['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Mezinahiya pelê têketina serîlêdana webê ya Firezone. | 104857600 |
default['firezone']['phoenix']['log_rotation']['num_to_keep'] | Hejmara pelên têketinê yên serîlêdana webê ya Firezone ya ku têne girtin. | 10 |
default['firezone']['phoenix']['crash_detection']['çalakkirî'] | Dema ku têkçûnek were tesbît kirin daxistina serîlêdana weba Firezone çalak bike an neçalak bike. | RAST |
default['firezone']['phoenix']['external_trusted_proxies'] | Navnîşa proxeyên berevajî yên pêbawer ên ku wekî Array IP-yan û/an CIDR-an hatine format kirin. | [] |
default['firezone']['phoenix']['private_clients'] | Name | [] |
default['firezone']['wireguard']['çalakkirî'] | Rêveberiya WireGuard-ê ya hevgirtî çalak bike an neçalak bike. | RAST |
default['firezone']['wireguard']['log_directory'] | Peldanka têketinê ji bo rêveberiya WireGuard-ê ya hevgirtî. | "#{node['firezone']['log_directory']}/wireguard" |
default['firezone']['wireguard']['log_rotation']['file_maxbytes'] | Mezinahiya pelê têketinê ya WireGuard herî zêde. | 104857600 |
default['firezone']['wireguard']['log_rotation']['num_to_keep'] | Hejmara pelên têketinê yên WireGuard-ê ku werin girtin. | 10 |
default['firezone']['wireguard']['navdêr_nav'] | Navê pêwendiya WireGuard. Guhertina vê parametreyê dibe ku bibe sedema windabûna demkî di girêdana VPN de. | wg-firezone' |
default['firezone']['wireguard']['port'] | porta guhdarîkirina WireGuard. | 51820 |
default['firezone']['wireguard']['mtu'] | Têkiliya WireGuard MTU ji bo vê serverê û ji bo mîhengên cîhazê. | 1280 |
default['firezone']['wireguard']['pointpoint'] | WireGuard Endpoint ku ji bo afirandina mîhengên cîhazê bikar bînin. Ger nil be, navnîşana IP-ya giştî ya serverê vedihewîne. | nil |
default['firezone']['wireguard']['dns'] | WireGuard DNS ku ji bo mîhengên cîhaza çêkirî bikar bînin. | 1.1.1.1, 1.0.0.1' |
default['firezone']['wireguard']['allowed_ips'] | WireGuard AllowedIPs ji bo mîhengên cîhaza hilberandî bikar bînin. | 0.0.0.0/0, ::/0′ |
default['firezone']['wireguard']['persistent_keepalive'] | Mîhenga PersistentKeepalive ya xwerû ji bo mîhengên cîhaza hatî çêkirin. Nirxa 0 asteng dike. | 0 |
default['firezone']['wireguard']['ipv4']['çalakkirî'] | Ji bo tora WireGuard IPv4 çalak bikin an neçalak bikin. | RAST |
default['firezone']['wireguard']['ipv4']['masquerade'] | Ji bo pakêtên ku ji tunela IPv4 derdikevin masquerade çalak bikin an neçalak bikin. | RAST |
default['firezone']['wireguard']['ipv4']['tora'] | hewza navnîşana IPv4 tora WireGuard. | 10.3.2.0 / 24 ′ |
default['firezone']['wireguard']['ipv4']['navnîşan'] | Navnîşana IPv4 pêwendiya WireGuard. Pêdivî ye ku di nav hewza navnîşana WireGuard de be. | 10.3.2.1 ' |
default['firezone']['wireguard']['ipv6']['çalakkirî'] | Ji bo tora WireGuard IPv6 çalak bikin an neçalak bikin. | RAST |
default['firezone']['wireguard']['ipv6']['masquerade'] | Ji bo pakêtên ku ji tunela IPv6 derdikevin masquerade çalak bikin an neçalak bikin. | RAST |
default['firezone']['wireguard']['ipv6']['tora'] | hewza navnîşana IPv6 tora WireGuard. | fd00::3:2:0/120′ |
default['firezone']['wireguard']['ipv6']['navnîşan'] | Navnîşana IPv6 ya pêwendiya WireGuard. Pêdivî ye ku di nav hewza navnîşana IPv6 de be. | fd00::3:2:1′ |
default['firezone']['runit']['svlogd_bin'] | Cihê svlogd bin Runit. | "#{node['firezone']['install_directory']}/embedded/bin/svlogd" |
xwerû['firezone']['ssl']['pêrêt'] | Peldanka SSL ji bo hilanîna sertîfîkayên çêkirî. | /var/opt/firezone/ssl' |
default['firezone']['ssl']['email_address'] | Navnîşana e-nameyê ku ji bo sertîfîkayên xwe-îmzakirî û agahdariyên nûvekirina protokola ACME bikar bînin. | you@example.com' |
default['firezone']['ssl']['acme']['çalakkirî'] | ACME ji bo dabînkirina sertîfîka SSL-ya otomatîk çalak bike. Vê neçalak bike da ku Nginx li porta 80-ê guhdarî neke. Binêre vir ji bo talîmatên zêdetir. | ŞAŞ |
default['firezone']['ssl']['acme']['server'] | letsencrypt | |
default['firezone']['ssl']['acme']['dirêjahiya key'] | Ji bo sertîfîkayên SSL celeb û dirêjahiya mifteyê diyar bikin. Dîtin vir | ec-256 |
default['firezone']['ssl']['sertîfîka'] | Rêya pelê sertîfîkayê ji bo FQDN-ya we. Ger were destnîşan kirin mîhenga ACME ya li jor radike. Ger hem ACME û hem jî ev nebin dê sertîfîkayek xwe-îmzakirî were çêkirin. | nil |
default['firezone']['ssl']['certificate_key'] | Rêya pelê sertîfîkayê. | nil |
default['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | nil |
standard['firezone']['ssl']['navê_welat'] | Navê welat ji bo belgeya xwe-îmzakirî. | ME' |
default['firezone']['ssl']['navê_dewletê'] | Navê dewletê ji bo belgeya xwe-îmzakirî. | CA ' |
xwerû['firezone']['ssl']['navê_cihê'] | Navê deverê ji bo belgeya xwe-îmzakirî. | San fransîsko' |
default['firezone']['ssl']['navê_şîrketê'] | Navê pargîdaniyê sertîfîkaya xwe-îmzakirî. | Şîrketa Min' |
default['firezone']['ssl']['organizational_unit_name'] | Navê yekîneya rêxistinê ji bo sertîfîkaya xwe-îmzakirî. | Operasyonên ' |
default['firezone']['ssl']['şîfre'] | Şîfreyên SSL-ê ji bo karanîna nginx. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default['firezone']['ssl']['fips_ciphers'] | Şîfreyên SSL-ê ji bo moda FIP-ê. | FIPS@STRENGTH:!aNULL:!eNULL' |
default['firezone']['ssl']['protokol'] | Protokolên TLS bikar bînin. | TLSv1 TLSv1.1 TLSv1.2′ |
default['firezone']['ssl']['session_cache'] | cache danişîna SSL. | parvekirî:SSL:4m' |
default['firezone']['ssl']['session_timeout'] | Wextê danişîna SSL. | 5 m' |
default['firezone']['robots_allow'] | robotên nginx destûrê didin. | /' |
default['firezone']['robots_disallow'] | robotên nginx qebûl nakin. | nil |
default['firezone']['outbound_email']['ji'] | E-nameya dervî ji navnîşanê. | nil |
default['firezone']['outbound_email']['provider'] | Pêşkêşvanê karûbarê e-nameya dervî. | nil |
default['firezone']['outbound_email']['configs'] | Veavakirinên pêşkêşkarê e-nameya derketinê. | li omnibus/cookbooks/firezone/attributes/default.rb binêre |
default['firezone']['telemetry']['çalakkirî'] | Telemetrîya hilbera nenaskirî çalak an neçalak bike. | RAST |
default['firezone']['connectivity_checks']['çalakkirî'] | Karûbarê kontrolkirina pêwendiya Firezone çalak bike an neçalak bike. | RAST |
default['firezone']['connectivity_checks']['navber'] | Navbera di navbera kontrolên pêwendiyê de di çirkeyan de. | 3_600 |
________________________________________________________________
Li vir hûn ê navnîşek pel û peldankên ku bi sazkirina Firezone-a tîpîk ve girêdayî ne bibînin. Dibe ku ev li gorî guhertinên pelê veavakirina we biguhezin.
şop | terîf |
/var/opt/firezone | Peldanka asta jorîn a ku ji bo karûbarên hevgirtî yên Firezone daneyan û veavakirina çêkirî vedihewîne. |
/ opt / firezone | Peldanka asta jorîn ku pirtûkxaneyên çêkirî, binar û pelên dema xebitandinê yên ku ji hêla Firezone ve hewce ne vedihewîne. |
/usr/bin/firezone-ctl | amûra firezone-ctl ji bo birêvebirina sazkirina Firezone ya we. |
/etc/systemd/system/firezone-runsvdir-start.service | pelê yekîneya systemd ji bo destpêkirina pêvajoya çavdêriya Firezone runsvdir. |
/ hwd / firezone | Pelên veavakirina Firezone. |
__________________________________________________________
Ev rûpel di belgeyan de vala bû
_____________________________________________________________
Şablona nftables firewall a jêrîn dikare were bikar anîn da ku servera ku Firezone dimeşîne ewle bike. Şablon hin texmînan dike; dibe ku hûn hewce bikin ku qaîdeyan li gorî doza karanîna we bicîh bikin:
Firezone qaîdeyên xwe yên nftables mîheng dike da ku destûr bide / redkirina seyrûsefera berbi meqsedên ku di navgîniya tevneyê de hatine mîheng kirin û ji bo seyrûsefera xerîdar NAT-a dervayî bi rê ve bibe.
Serîlêdana şablona dîwarê dîwarê jêrîn li ser serverek jixwe tê xebitandin (ne di dema bootkirinê de) dê bibe sedema paqijkirina qaîdeyên Firezone. Ev dibe ku encamên ewlehiyê hene.
Ji bo xebatê li dora vê karûbarê phoenix ji nû ve bidin destpêkirin:
firezone-ctl Phoenix ji nû ve dest pê bike
#!/usr/sbin/nft -f
## Hemî qaîdeyên heyî paqij bikin / paqij bikin
qaîdeyên flush
################################ GORIBÊN ################## ###############
## Navê navberê ya Înternet/WAN
DEV_WAN = eth0 diyar bike
## Navê pêwendiya WireGuard
DEV_WIREGUARD = wg-firezone diyar bike
## WireGuard porta guhdarîkirinê
diyar bike WIREGUARD_PORT = 51820
############################## VARIABLE DAWÎ ################### ############
# Tabloya fîlterkirina malbata bingehîn a inet
sifrê inet filter {
# Rêgezên ji bo seyrûsefera şandin
# Ev zincîre beriya zincîra pêşerojê ya Firezone tête pêvajo kirin
zincîra pêş {
Parzûna pêşîn a fîlterê binivîsin - 5; siyaset qebûl bike
}
# Rêgezên ji bo seyrûsefera têketinê
ketina zincîra {
Parzûna pêşîn a têketina hookê ya parzûnê; hilweşîna siyasetê
## Destûrê bide seyrûsefera hundurîn ji bo navbeynkariya loopback
eger lo \
qebûl \
agahkişî "Destûrê bide hemî seyrûsefera ji navbeynkariya loopback"
## Destûra peywendiyên sazkirî û têkildar
ct dewlet hate damezrandin, têkildar \
qebûl \
agahkişî "Destûra peywendiyên damezrandî/girêdayî"
## Destûra seyrûsefera WireGuard a hundurîn bide
heke $DEV_WAN udp dport $WIREGUARD_PORT \
counter \
qebûl \
agahkişî "Destûrê bide seyrûsefera WireGuard a hundurîn"
## Paketên TCP yên ne-SYN yên nû têketin û davêjin
alên tcp != syn ct dewleta nû \
rêjeya sînor 100/ deqe teqiya 150 pakêt \
pêşgira têketinê "IN - Nû !SYN:" \
agahkişî "Ji bo girêdanên nû yên ku ala SYN TCP-ya wan tune ye qeydkirina sînorê binirxîne"
alên tcp != syn ct dewleta nû \
counter \
avêtin \
agahkişî "Têkiliyên nû yên ku ala SYN TCP-ê tune ne bavêjin"
## Pakêtên TCP-ê yên bi set ala fin/syn nederbasdar têketin û davêjin
alên tcp & (fin|syn) == (fin|syn) \
rêjeya sînor 100/ deqe teqiya 150 pakêt \
pêşgira têketinê "IN - TCP FIN | SIN:" \
agahkişî "Ji bo pakêtên TCP-ê yên bi set ala fin/syn nederbasdar ve tê tomarkirin sînorê rêjeyê"
alên tcp & (fin|syn) == (fin|syn) \
counter \
avêtin \
agahkişî "Pakêtên TCP-ê yên bi set ala fin/syn nederbasdar davêjin"
## Paketên TCP-ê bi ala ala nederbasdar/senîn / yekem veqetînin
alên tcp & (syn | yekem) == (syn | yekem) \
rêjeya sînor 100/ deqe teqiya 150 pakêt \
pêşgira têketinê "IN - TCP SYN|RST:" \
agahkişî "Ji bo pakêtên TCP-ê yên ku bi hevoksaziya nederbasdar / set ala yekem ve hatine tomarkirin binirxîne"
alên tcp & (syn | yekem) == (syn | yekem) \
counter \
avêtin \
agahkişî "Pakêtên TCP-ê yên bi hevoka nederbasdar / set ala yekem davêjin"
## Alên TCP yên nederbasdar têketin û davêjin
tcp alên & (fin|syn|rst|psh|ack|urg) < (fin) \
rêjeya sînor 100/ deqe teqiya 150 pakêt \
pêşgira têketinê "IN - FIN:" \
agahkişî "Ji bo alayên TCP yên nederbasdar (fin|syn|rst|psh|pejirandin|urg) < (fin)"
tcp alên & (fin|syn|rst|psh|ack|urg) < (fin) \
counter \
avêtin \
agahkişî "Pakêtên TCP yên bi alayan davêjin (fin|syn|rst|psh|ack|urg) < (fin)"
## Alên TCP yên nederbasdar têketin û davêjin
tcp alên & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
rêjeya sînor 100/ deqe teqiya 150 pakêt \
pêşgira têketinê "IN - FIN|PSH|URG:" \
agahkişî "Daxuyaniya sînorê rêjeyê ji bo alayên TCP yên nederbasdar (fin|sîn|rst|psh|pejirandin|urg) == (fin|psh|urg)"
tcp alên & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
counter \
avêtin \
agahkişî "Pakêtên TCP yên bi alayan davêjin (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Trafîka bi rewşa pêwendiya nederbasdar davêjin
ct dewleta nederbasdar \
rêjeya sînor 100/ deqe teqiya 150 pakêt \
têketin alên hemû pêşgir "IN - Nederbasdar:" \
agahkişî "Ji bo seyrûsefera bi rewşa pêwendiya nederbasdar qeydkirina sînorê rêjeyê"
ct dewleta nederbasdar \
counter \
avêtin \
agahkişî "Trafîka bi rewşa girêdana nederbasdar biavêje"
## Destûr bidin bersivên ping/ping IPv4 lê rêjeya rêjeya 2000 PPS
ip protokola icmp icmp type { echo-reply, echo-daxwaz } \
rêjeya sînor 2000/duyem \
counter \
qebûl \
agahkişî "Destûra têketina IPv4 echo (ping) bi 2000 PPS ve hatî sînordar kirin"
## Destûrê bide hemî IPv4 ICMP yên din ên hundurîn
ip protokola icmp \
counter \
qebûl \
agahkişî "Destûrê bide hemî IPv4 ICMP yên din"
## Destûr bidin bersivên ping/ping IPv6 lê rêjeya rêjeya 2000 PPS
icmpv6 type { echo-reply, echo-daxwaz } \
rêjeya sînor 2000/duyem \
counter \
qebûl \
agahkişî "Destûra têketina IPv6 echo (ping) bi 2000 PPS ve hatî sînordar kirin"
## Destûrê bide hemî IPv6 ICMP yên din ên hundurîn
meta l4proto { icmpv6 } \
counter \
qebûl \
agahkişî "Destûrê bide hemî IPv6 ICMP yên din"
## Destûr bidin portên UDP-ya traceroute ya hundurîn lê bi 500 PPS sînor bikin
udp dport 33434-33524 \
rêjeya sînor 500/duyem \
counter \
qebûl \
agahkişî "Destûra şopandina UDP ya hundurîn bi 500 PPS ve hatî sînordar kirin"
## Destûra hundurîn SSH
tcp dport ssh ct dewleta nû \
counter \
qebûl \
agahkişî "Destûrê bide girêdanên SSH-ê yên hundurîn"
## Destûrê bide HTTP û HTTPS-a hundurîn
tcp dport { http, https } ct dewleta nû \
counter \
qebûl \
agahkişî "Destûrê bide girêdanên HTTP û HTTPS yên hundurîn"
## Her seyrûsefera bêhempa tomar bikin, lê rêjeya têketinê herî zêde 60 peyam / hûrdem bihêle
## Siyaseta xwerû dê li ser seyrûsefera bêhempa were sepandin
rêjeya sînor 60/ deqe teqiya 100 pakêt \
pêşgira têketinê "IN - Drop:" \
agahkişî "Trafîka bêhempa tomar bikin"
## Trafîka bêhempa bijmêre
counter \
agahkişî "Trafîka bêhempa bijmêre"
}
# Rêgezên ji bo seyrûsefera derketinê
derketina zincîra {
Parzûna pêşîn a hilberîna hookê ya parzûnê; hilweşîna siyasetê
## Destûrê bide seyrûsefera derve ya navbeynkariya loopback
oif lo \
qebûl \
agahkişî "Destûrê bide hemî seyrûseferê berbi navbeynkariya loopback"
## Destûra peywendiyên sazkirî û têkildar
ct dewlet hate damezrandin, têkildar \
counter \
qebûl \
agahkişî "Destûra peywendiyên damezrandî/girêdayî"
## Destûrê bide seyrûsefera derve ya WireGuard berî ku têkîliyên bi dewleta xirab rabike
oif $DEV_WAN udp sporê $WIREGUARD_PORT \
counter \
qebûl \
agahkişî "Destûra seyrûsefera derve ya WireGuard bide"
## Trafîka bi rewşa pêwendiya nederbasdar davêjin
ct dewleta nederbasdar \
rêjeya sînor 100/ deqe teqiya 150 pakêt \
têketin alên hemû pêşgir "DER - Nederbasdar:" \
agahkişî "Ji bo seyrûsefera bi rewşa pêwendiya nederbasdar qeydkirina sînorê rêjeyê"
ct dewleta nederbasdar \
counter \
avêtin \
agahkişî "Trafîka bi rewşa girêdana nederbasdar biavêje"
## Destûrê bide hemî IPv4 ICMP yên din ên derveyî
ip protokola icmp \
counter \
qebûl \
agahkişî "Bihêle hemî cûreyên IPv4 ICMP"
## Destûrê bide hemî IPv6 ICMP yên din ên derveyî
meta l4proto { icmpv6 } \
counter \
qebûl \
agahkişî "Bihêle hemî cûreyên IPv6 ICMP"
## Destûr bidin portên UDP-ya traceroute-ya derketinê lê bi 500 PPS-ê sînordar bikin
udp dport 33434-33524 \
rêjeya sînor 500/duyem \
counter \
qebûl \
agahkişî "Destûra şopandina UDP-ê ya derveyî bi 500 PPS ve hatî sînordar kirin"
## Destûr bidin girêdanên HTTP û HTTPS yên dervî
tcp dport { http, https } ct dewleta nû \
counter \
qebûl \
agahkişî "Destûra girêdanên HTTP û HTTPS yên deryayî"
## Destûra radestkirina SMTP-ê ya dervî
tcp dport radestkirina ct dewleta nû \
counter \
qebûl \
agahkişî "Destûra şandina SMTP-ê ya derveyî"
## Destûr bidin daxwazên DNS-ê yên derketinê
udp dport 53 \
counter \
qebûl \
agahkişî "Destûra Daxwazên DNS yên UDP-yê yên derketinê"
tcp dport 53 \
counter \
qebûl \
agahkişî "Destûra Daxwazên DNS yên TCP-ê yên derketinê"
## Destûra daxwaznameyên NTP-ê yên derketinê bidin
udp dport 123 \
counter \
qebûl \
agahkişî "Destûra Daxwazên NTP-ê yên derve"
## Her seyrûsefera bêhempa tomar bikin, lê rêjeya têketinê herî zêde 60 peyam / hûrdem bihêle
## Siyaseta xwerû dê li ser seyrûsefera bêhempa were sepandin
rêjeya sînor 60/ deqe teqiya 100 pakêt \
pêşgira têketinê "DERKET - Davêjin:" \
agahkişî "Trafîka bêhempa tomar bikin"
## Trafîka bêhempa bijmêre
counter \
agahkişî "Trafîka bêhempa bijmêre"
}
}
# Tabloya fîlterkirina sereke ya NAT
sifrê inet nat {
# Rêgezên ji bo pêş-rêvekirina seyrûsefera NAT
zincîra pêşîgirtinê {
type nat hook prerouting priority dstnat; siyaset qebûl bike
}
# Rêgezên ji bo şopandina trafîkê ya NAT-ê
# Ev tablo berî zincîra paşîn-rêvebirina Firezone tête pêvajo kirin
zincîra postrouting {
binivîsin nat hook postrouting priority srcnat - 5; siyaset qebûl bike
}
}
Pêdivî ye ku dîwarê agir li cîhê têkildar ji bo belavkirina Linuxê ya ku dixebite were hilanîn. Ji bo Debian/Ubuntu ev /etc/nftables.conf û ji bo RHEL ev /etc/sysconfig/nftables.conf e.
Pêdivî ye ku nftables.service were mîheng kirin da ku li ser bootê (heke ne jixwe) dest pê bike:
systemctl nftables.service çalak bike
Ger di şablona firewall de guhertinek çêbike, hevoksaz dikare bi xebitandina fermana kontrolê were pejirandin:
nft -f /path/to/nftables.conf -c
Bawer bikin ku karên dîwarê agir wekî ku tê hêvî kirin piştrast bikin ji ber ku dibe ku hin taybetmendiyên nftables li gorî serbestberdana ku li ser serverê dimeşîne peyda nebe.
_______________________________________________________________
Ev belge serpêhatiyek li ser telemetrîya ku Firezone ji mînaka weya xwemalî berhev dike û meriv çawa wê neçalak dike pêşkêşî dike.
qada agir pişta xwe digire li ser telemetrîyê da ku pêşî li nexşeya xwe bigire û çavkaniyên endezyariyê xweşbîn bike ku em neçar in ku Firezone ji bo her kesî çêtir bikin.
Telemetrîya ku em berhev dikin armanc dike ku bersiva pirsên jêrîn bide:
Sê cihên sereke hene ku telemetrî li Firezone têne berhev kirin:
Di her yek ji van sê çarçoweyan de, em mîqdara hindiktirîn daneyên ku ji bo bersivdana pirsên di beşa jorîn de hewce ne digirin.
E-nameyên rêveber tenê têne berhev kirin heke hûn bi eşkereyî nûvekirinên hilberê hilbijêrin. Wekî din, agahdariya kesane-naskirî ye qet berhev kirin.
Firezone telemetrîyê hildiberîne di mînakek xwemalî ya PostHog ku di komek Kubernetes ya taybet de dixebite, ku tenê ji hêla tîmê Firezone ve tê gihîştin. Li vir mînakek bûyerek telemetryê ye ku ji mînaka we ya Firezone ji servera meya telemetryê re tê şandin:
{
çûyin: “0182272d-0b88-0000-d419-7b9a413713f1”,
"demjimêr": “2022-07-22T18:30:39.748000+00:00”,
"bûyer": "fz_http_started",
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"taybetmendî":{
"$geoip_city_name": "Ashburn",
"$geoip_continent_code": "NA",
"$geoip_continent_name": "Amerîkaya Bakur",
"$geoip_country_code": "ME",
"$geoip_country_name": "Dewletên Yekbûyî",
"$geoip_latitude": 39.0469,
"$geoip_longitude": -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "Virginia",
"$geoip_time_zone": "Amerîka/New_York",
"$ip": "52.200.241.107",
"$plugins_deferred": [],
"$plugins_failed": [],
"$plugins_succeeded": [
"GeoIP (3)"
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "linux 5.13.0",
"awa": "0.4.6"
},
"element_zincîra": ""
}
NOT
Tîma pêşveçûna Firezone pişta xwe digire li ser analîtîkên hilberê ku Firezone ji bo her kesî çêtir bikin. Çalak kirina telemetrîyê yekane tevkariya herî hêja ye ku hûn dikarin ji bo pêşkeftina Firezone bikin. Weha got, em fam dikin ku hin bikarhêner xwedan nepenî an hewcedariyên ewlehiyê yên bilindtir in û tercîh dikin ku telemetry bi tevahî neçalak bikin. Ger ew hûn in, xwendina xwe bidomînin.
Telemetry ji hêla xwerû ve çalak e. Ji bo ku telemetrîya hilberê bi tevahî neçalak bike, vebijarka mîhengê ya jêrîn li /etc/firezone/firezone.rb wekî false bicîh bikin û sudo firezone-ctl veavakirina ji nû ve bimeşînin da ku guheztinan hilbijêrin.
destçûnî['firezone']['telemetrî']['çalakkirî'] = şaş
Ew ê hemî telemetrîya hilberê bi tevahî betal bike.
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
Email: info@hailbytes.com
