Hailbytes VPN Cum Firezone Firewall Documenta

Table of Contents

Coepi impetro

Gradatim instructiones ad Hailbytes VPN explicandas cum Firezone GUI hic providentur. 

Administrator: Erectio servo instantiae directe huic parti coniunctae est.

User Duces: Utile documenta quae docere te possunt Firezone uti et problemata typica solvenda. Postquam servo feliciter explicatur, ad hanc sectionem refer.

Duces ad Communia figurarum

Scinditur cuniculum: VPN utere ad tantum negotium mittere ad certa IP septa.

Whitelisting: Pone VPN servo's stabilis IP oratio ad utendum ut dealbatio.

Inversa cuniculis: crea cuniculis inter plures pares utens e diverso cuniculis.

ut Support

Laeti sumus te adiuvare si auxilium desideras instituendis, customising, vel adhibendis Hailbytes VPN.

authenticitate

Priusquam utentes creare aut fabricare de configuratione imagini possunt, Firezone configurari potest ut authenticas requirat. Utentes etiam postulo ut periodice rursus authentice reddantur ut nexum activum suum VPN retineant.

Etsi defalta login in Firezonis methodus est loci electronici et tesserae, potest etiam cum aliqua identitatis provisore OpenID normatis (OIDC) provisore integrari. Users nunc possunt in Firezone log utentes eorum Okta, Google, Azure AD, vel provisor documentorum privatarum identitatis.

 

Integrate A Generic OIDC Provider

Configuratio parametri a Firezone opus est ut SSO utendo provisore OIDC in exemplo infra monstratur. In /etc/firezone/firezone.rb, tabulam configurationem invenire potes. Curre firezona-ctl reconfigure et firezona-ctl sileo ut applicationem applicationem ac effectum mutationum capias.

 

# Exemplum hoc utens Google et Okta ut SSO identitatis provisor.

# Instantia Firezonis multiplex OIDC configs addi potest.

 

# Firezone disable a user scriptor VPN si illic 'ullus error deprehendi conatur

# Renovare access_token. Hoc verificatur ad opus Google, Okta, et

# Caeruleus SSO et ad user scriptor VPN disconnect automatice ad si remota erant

# a OIDC provisor. Hoc erret si OIDC provisor tuus discede

# Habet quaestiones reficiendi accessum signa cum inopinato adjicias

# Usoris VPN session.

default ['firezone']['authentication']['disable_vpn_on_oidc_error'] = false

 

default ['firezone']['authentication']['oidc'] = {

  google: {

    discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",

    client_id " ",

    client_secret " ",

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",

    response_type: "code",

    scope: "openid email profile";

    titulus: "Google"

  },

  okta: {

    discovery_document_uri: "https:// /.well-known/openid-configurationis",

    client_id " ",

    client_secret " ",

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",

    response_type: "code",

    scope: "openid email profile offline_access"

    titulus: "Okta"

  }

}



Sequentes occasus config requiruntur ad integrationem:

  1. discovery_document_uri: The OpenID Iungo provisor configuratione URI quae reddit documentum JSON ad petitiones subsequentes huic OIDC provisori construendas adhibita.
  2. client_id: Cliens ID applicationis.
  3. client_secret: Cliens secretum applicationis.
  4. redirect_uri: instruit OIDC provisor ubi ad redirigere post authenticas. Hoc debet esse tuum Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (eg https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
  5. response_type: Pone ad codicem.
  6. ambitus; OIDC scopes ut ex OIDC provisor. Hoc apponi debet ad profile electronicae openid vel openid electronicae profile offline_accesso pendens a provisore.
  7. titulus: Bulla pittacii textus qui in Firezone tuo login screen ostendit.

Satis URLs

Utraque OIDC provisor pare domicilio satis respondente creatum est ad redirectionem ad signum provisoris conformatum-in URL. Ad exemplum OIDC config superius, URLs sunt:

  • https://instance-id.yourfirezone.com/auth/oidc/google
  • https://instance-id.yourfirezone.com/auth/oidc/okta

Instructiones enim Firezone Setup Cum Popular Identity Suggero

Provisores documenta habemus pro:

  • Google
  • Okta
  • Active parma caerulea Directory
  • Onelogin
  • Locus authenticitate

 

Si provisor tuus identitatem generis OIDC iungentem habet et supra non recensetur, quaeso ad eorum documenta pro informationibus in quomodo necessarias conformationis occasus recuperare.

Ponere Regularis Re- Authenticas

Occasio sub uncinis/securitate mutari potest ut periodicam authenticam re- petat. Hoc adhiberi potest ad exigentiam postulationem quae utentes Firezone intrant in iusto fundamento ut in sessione sua VPN perseverent.

Sessionis longitudo configurari potest inter horam unam et nonaginta dies. Hoc ad Numquam ponendo, VPN sessiones quovis tempore efficere potes. Hoc est signum.

Re- authenticas

A usor suam VPN sessionem terminare debet et ad portam Firezone aperi ut sessionem expletam VPN confirmet (URL specificatur in instruere).

Sessionem tuam confirmare potes sequendo instructiones definitas huius clientis hic inventas.

 

Status VPN Connection

User paginae VPN nexum tabulae columnae ostendit nexum status usoris. Status nexus hi sunt:

Para - Connexio possit.

DEBILIS – Connexio ab administratore vel OIDC debilitata reficitur.

PRAETERITUS - Connexio debilitata est propter authenticas exspirationis vel usoris non signatas primum.

Google

Per iungo generale OIDC, Firezona Singulum Sign-On (SSO) dat cum Google Workspace et Cloud Identity. Hic dux tibi ostendet quomodo parametri figurationem infra recensitam obtineas, quae ad integrationem necessariae sunt;

  1. discovery_document_uri: The OpenID Iungo provisor configuratione URI quae reddit documentum JSON ad petitiones subsequentes huic OIDC provisori construendas adhibita.
  2. client_id: Cliens ID applicationis.
  3. client_secret: Cliens secretum applicationis.
  4. redirect_uri: instruit OIDC provisor ubi ad redirigere post authenticas. Hoc debet esse tuum Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (eg https://instance-id.yourfirezone.com/auth/oidc/google/callback/).
  5. response_type: Pone ad codicem.
  6. ambitus; OIDC scopes ut ex OIDC provisor. Hoc apponi debet ut profile electronicae openid patefaciat ut Firezone cum inscriptionem usoris in reditu petitam praebeat.
  7. titulus: Bulla pittacii textus qui in Firezone tuo login screen ostendit.

Obtine configurationis Occasus

1. OAuth Mando 'collaborative

Si hoc primum novum OAuth clientem ID creas, rogaberis ad configurandum consensum velum.

* Select Internum pro user genus. Hoc solum efficit rationes ad usorum pertinentes in Google Workspace Organizatio fabricam confis creare potest. NOLO EXTERNUM eligo, nisi vis aliquem valido Google Ratione creare machinam confis creare.

 

In app notitia screen:

  1. App nomen: Firezone
  2. App logo: Firezone logo (sive link as).
  3. Protocollum applicationis: Domicilium Firezonis tui exempli.
  4. Auctoritate dominia: summo gradu domicilii tui Firezone instantia.

 

 

2. crea OAuth Client IDs

Haec sectio fundatur in documentis propriis Google erigens OAuth 2.0.

Visita Google Cloud Console Documentorum pagina pagina, preme + Credentialia crea et clientem OAuth deligere ID.

On the OAuth client ID creation screen:

  1. Set Application Type ad Web application
  2. Incendium tuum EXTERNAL_URL + /auth/oidc/google/callback/ adde (eg https://instance-id.yourfirezone.com/auth/oidc/google/callback/) ut ingressum ad redirectam URIs Authorised.

 

Post clientem ID OAuth creando, dabitur Client ID et Client Secret. Haec una cum redirectio URI in proximo gradu adhibebuntur.

Firezone Integration

Edit /etc/firezone/firezone.rb optiones includere infra:

 

# Google ut SSO identitatis provisor

default ['firezone']['authentication']['oidc'] = {

  google: {

    discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",

    client_id " ",

    client_secret " ",

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",

    response_type: "code",

    scope: "openid email profile";

    titulus: "Google"

  }

}

 

Curre firezona-ctl reconfigure et firezona-ctl sileo ut applicationem update. Sign in cum Google puga pyga apud radix Firezone URL iam debes.

Okta

Firezone utitur iungo generico OIDC ut faciliorem reddat Singulum Sign-On (SSO) cum Okta. Haec discessionem docebit quomodo conformationem parametri infra recensiti invenias, quae ad integrationem necessariae sunt;

  1. discovery_document_uri: The OpenID Iungo provisor configuratione URI quae reddit documentum JSON ad petitiones subsequentes huic OIDC provisori construendas adhibita.
  2. client_id: Cliens ID applicationis.
  3. client_secret: Cliens secretum applicationis.
  4. redirect_uri: instruit OIDC provisor ubi ad redirigere post authenticas. Hoc debet esse tuum Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (eg https://instance-id.yourfirezone.com/auth/oidc/okta/callback/).
  5. response_type: Pone ad codicem.
  6. ambitus; OIDC scopes ut ex OIDC provisor. Hoc apponi debet ad aperiendum profile offline_accessum electronicum ad providendum Firezone cum inscriptionem usoris in redditum postulatum.
  7. titulus: Bulla pittacii textus qui in Firezone tuo login screen ostendit.

 

Integrate Okta App

Hoc sectione dux fundatur Okta documenta.

In Admin Console, applicationes ad > Applications et deprime App Integration crea. Pone Adscribe modum ad OICD - OpenID Iungo et Application genus ad Web application.

Hos occasus configurare:

  1. App nomen: Firezone
  2. App logo: Firezone logo (sive link as).
  3. Dona Type: Renovare Thochen arca Reprehendo. Hoc syncs Firezone efficit cum provisore identitatis et accessu VPN terminatur semel usore remoto.
  4. Adscribe in redirect URIs: Firezonam tuam adde EXTERNAL_URL + /auth/oidc/okta/callback/ (eg https://instance-id.yourfirezone.com/auth/oidc/okta/callback/) ut ingressum ad redirectam URIs Authorised .
  5. Assignationes: Limit coetus vis accessum praebere ad instanciam Firezonis tui.

Cum occasus salventur, dabitur Client ID, Secreta Client, et Domain Okta. Hae 3 valores in Gradu 2 adhibebuntur ad Firezonem configurandum.

Integrate Firezone

Edit /etc/firezone/firezone.rb ut optiones infra includendi. Your discovery_document_url erit /.well-known/openid-configuration apponi ad finem tuum okta_domain.

 

# Usura Okta sicut SSO identitatis provisor

default ['firezone']['authentication']['oidc'] = {

  okta: {

    discovery_document_uri: "https:// /.well-known/openid-configurationis",

    client_id " ",

    client_secret " ",

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",

    response_type: "code",

    scope: "openid email profile offline_access"

    titulus: "Okta"

  }

}

 

Curre firezona-ctl reconfigure et firezona-ctl sileo ut applicationem update. Sign in cum Okta puga ad radicem Firezone URL iam debes.

 

Restringere Access Ut quidam Users

Users qui app Firezone accedere possunt ab Okta restringi possunt. Vade ad Okta Admin Console Firezones App Integration's destinationes pagina ut hoc perficias.

Active parma caerulea Directory

Per iungo genericum OIDC, Firezona Singulum Sign-On (SSO) dat cum azure Active Directory. Hoc manuale ostendet tibi quomodo conformationem parametri infra recensiti invenias, quae necessariae sunt ad integrationem:

  1. discovery_document_uri: The OpenID Iungo provisor configuratione URI quae reddit documentum JSON ad petitiones subsequentes huic OIDC provisori construendas adhibita.
  2. client_id: Cliens ID applicationis.
  3. client_secret: Cliens secretum applicationis.
  4. redirect_uri: instruit OIDC provisor ubi ad redirigere post authenticas. Hoc debet esse tuum Firezone EXTERNAL_URL + /auth/oidc/ /callback/ (eg https://instance-id.yourfirezone.com/auth/oidc/azure/callback/).
  5. response_type: Pone ad codicem.
  6. ambitus; OIDC scopes ut ex OIDC provisor. Hoc apponi debet ad aperiendum profile offline_accessum electronicum ad providendum Firezone cum inscriptionem usoris in redditum postulatum.
  7. titulus: Bulla pittacii textus qui in Firezone tuo login screen ostendit.

Ut Occasus configurationis

Dux hic educitur Caeruleus Active Directory Docs.

 

Vade ad caeruleum portae Azurei activum Directory paginam. Elige Menu Curo optionem, nova Registration elige, deinde subcriptio informationes infra praebendo:

  1. Nomen: Firezone
  2. Supported propter rationes (Default Directory solum - Singulus tenens)
  3. Redirect URI: Hoc incendium tuum debet esse EXTERNAL_URL + /auth/oidc/azure/callback/ (eg https://instance-id.yourfirezone.com/auth/oidc/azure/callback/). Fac comprehendere VULNUS trahentem. Haec erit redirect_uri pretii.

 

Post perscriptum, singula conspectum applicationis aperi et effingo Applicationem (clientem) ID. Hic erit client_id pretii. Deinceps aperi terminos tabulae ad recuperandum OpenID Connect metadata document. Hoc erit inventio document_uri pretii.

 

Novum clientem secretum crea strepitando Testimonia & secreta optionis sub menu Curo. Clientem effingo occultum; client arcanum valorem hoc erit.

 

Postremo, API permissiones elige nexus sub menu Curo, preme Addere permissionEt eligere Microsoft Aliquam lacinia purus; addere email, OpenID, offline_access et profile ad debitas permissiones.

Firezone Integration

Edit /etc/firezone/firezone.rb optiones includere infra:

 

# Using Azure Active Directory ut SSO identitatis provisor

default ['firezone']['authentication']['oidc'] = {

  caeruleum: {

    discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.nota/openid-configurationis",

    client_id " ",

    client_secret " ",

    redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",

    response_type: "code",

    scope: "openid email profile offline_access"

    titulus: "Azure"

  }

}

 

Curre firezona-ctl reconfigure et firezona-ctl sileo ut applicationem update. Insigne nunc videre debes apud bullam caeruleam ad radicem Firezonis URL.

Quam ad: Restringere Access ad membra quaedam

Caeruleus AD permittit administratores ut accessum circumcludant ad certum usorum coetum intra societatem tuam. Plura de hoc facere possunt in documentis Microsoft inveniri.

Ministrare

  • configure
  • Curo Installation
  • upgrade
  • Troubleshoot
  • Considerationes Security
  • Currens SQL Queries

configure

Chef Omnibus adhibetur a Firezone ad operas regendas inter sarcinas emissiones, processum vigilantiam, administrationem stipendiorum, et plura.

Ruby code facit primariam limam configurationis, quae sita est in /etc/firezone/firezone.rb. Restarting sudo firezona-ctl reconfigure post modificationes huic fasciculi faciens Chef mutationes cognoscendas et applicandas ad systema operante currente.

Vide file configurationem referentem ad integrum indicem variabilium et earum descriptiones.

Curo Installation

Tua Firezone exempli gratia tractari potest per the firezone-CTl mandatum ut infra. Most subcommands requirere praepositionem cum sudo.

 

root@demo:~# firezone-ctl

omnibus-CTl: command (subcommand)

Mandata generalia:

  Mundet

    Omnia firezona dele, et a scabere incipies.

  partum-vel-reset-admin

    Tesseram retexit pro admin cum electronica specificata per defaltam ['firezone']['admin_email'] vel novam admin creat si haec inscriptio non est.

  auxilium

    Imprime hoc auxilium nuntium.

  reconfigure

    Reconfigure applicationis.

  reset, network

    Resets nftables, WireGuard interfacies, et mensam excitans ad defaltam Firezonis.

  show-config

    Ostende figuram quae ex reconfigure generatur.

  teardown-network

    Removet WireGuard interface et firezona nftables mensam.

  vi-cert-renovatio

    Vis libellum renovationis nunc etiam si hasn\t exspiravit.

  stop-cert-renovatio

    Tollit cronjob testimonium renovantis.

  Uninstall

    Omnes processus interfice et supervisorem processum amove (notitia servabitur).

  versionem

    Praestare versionem Firezone

Service Management præcepta:

  decorus occidere

    Desinere attentare venustum, tunc SIGKILL totum processum globum.

  hup

    Mitte officia HUP.

  int

    MITTET MERITIS INT .

  occidere

    Mitte officia necandi.

  iterum

    Satus officia si descendunt. Non sileo eos si cessant.

  sileo

    Siste officia si currunt, ea rursus incipiunt.

  religio-list

    Omnia officia (enabled officia cum * apparent).

  principium

    Incipiunt officia si descendunt, et sileo eas si cessant.

  Status

    Ostende statum omnium officia.

  prohibere

    Desine officia, nec sileo.

  cauda

    Videte acta ministerii omnium praestantium officiorum.

  terminus

    MITTET MINISTRI TERM.

  usr1

    Mitte USR1 officia in.

  usr2

    Mitte USR2 officia in.

upgrade

Omnes VPN sessiones terminandae sunt ante Firezone upgrading, quae etiam postulat ut per interretialem UI claudantur. In eventu quod in upgrade siet aliquid, monemus horam postposita ad victum.

 

Ut Firezone augendae, sequentes actiones accipe;

  1. Upgrade sarcina firezone utens one-impense install: sudo -E bash -c "$(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh)"
  2. Curre firezona-ctl reconfigure ad novas mutationes colligendas.
  3. Curre firezone-ctl sileo ut sileo officia.

Si qua problemata oriuntur, fac nos certiores tesseram sustentaculum exhibens.

Upgrade From =0.5.0

Pauci sunt mutationes fractionis et modificationes conformationis in 0.5.0 quae dicendae sunt. Plura infra reperi.

Bundled Nginx non_ssl_port (HTTP) petitiones remotae

Nginx vim SSL et non SSL parametri portum ut versionis 0.5.0 amplius sustinet. Quia Firezone SSL ad operandum indiget, admonemus ut fasciculum Nginx removendo servitii defaltam ['firezone']['nginx']['nginx']['enabled'] = falsam et vicissim procuratorem tuum ad appi Phoenicis in portum 13000 loco (per default dirigens ).

ACME Protocol Support

0.5.0 ACME protocollum subsidium inducit ad testimonium SSL sponte renovationis cum servitio Nginx fasciculo. Ad enable,

  • Fac default ['firezone']['external_url'] FQDN validum continet quod ad IP oratio publica servo tuo destinat.
  • Ut portum LXXX / TCP est reachable
  • ACME protocollum admitte cum defalta ['firezone']['ssl']['acme']['enabled'] = verum in fasciculo config.

Imbricatis Egress Regula Destinations

Facultas addendi regulas cum destinationibus duplicatis abiit in Firezone 0.5.0. Litterae migrationis nostrae has condiciones in upgrade ad 0.5.0 sponte cognoscet et solum regulas servabit quarum destinationem alteram regulam includit. Nihil debes facere si hoc bene est.

Alioquin, antequam upgrading monemus, regulas tuas mutando ut has condiciones exigi facias.

Preconfigurans Okta et Google SSO

Firezona 0.5.0 subsidium amovet pro veteri okta et Google SSO configuratione in favorem novae, magis flexibilis OIDC-substructio configurationis. 

Si figuram habes sub defalta ['firezone']['authenticationis']['okta'] vel defaltam ['firezone']['authenticationis']['google'] claves habere, debes has ad nostrum OIDC migrare. -based configuratione utens duce infra.

Existens Google OAuth configuratione

Aufer has lineas continens Google veteres OAuth configs ex tabella configuratione tua sita in /etc/firezone/firezone.rb

 

default ['firezone']['authentication']['google']['enabled']

default ['firezone']['authentication']['google']['client_id']

default ['firezone']['authentication']['google']['client_secret']

default ['firezone']['authentication']['google']['redirect_uri']

 

Deinde configurare Google ut OIDC provisorem sequendo modos hic.

(Provide nexum instructiones) <<<<<<<<<<<<<<<<

 

Configurare C. Google OAuth 

Aufer has lineas continens Okta OAuth antiquas figuras ex lima tua configuratione at sita /etc/firezone/firezone.rb

 

default ['firezone']['authentication']['okta']['enabled']

default ['firezone']['authentication']['okta']['client_id']

default ['firezone']['authentication']['okta']['client_secret']

Default ['firezone']['authentication']['okta']['site']

 

Deinde configurare Okta ut provisor OIDC sequentes rationes hic.

Phasellus ab 0.3.x ad >= 0.3.16

Prout in vestri current setup et versionem, directionibus infra adhaerent:

Si iam habes integrationem OIDC:

Aliquot provisores OIDC, upgrading ad >= 0.3.16 necessitates obtinendae recree indicium pro accessi offline scopo. Hoc facto, exploratum est Firezone updates cum provisore identitatis et nexum VPN seclusum esse post usorem deletum. Antea iterationes Firezonis hoc pluma carebant. Interdum utentes, qui ex provisore tuo identitatis deleti sunt, adhuc cum VPN coniungi possunt.

Necesse est ut offline accessum in ambitu parametri tui OIDC configurationis pro OIDC provisoribus qui aditum scopi offline sustineant. Firezone-ctl reconfigure exsecutioni mandari debet ut mutationes conformationis firezonis applicandae, quae in /etc/firezone/firezone.rb sita est.

Pro utentibus qui a provisore tuo OIDC authentici sunt, videbis OIDC Connectiones quae in usoris pagina interreti UI spectantes, si Firezone signum reficiendi feliciter recuperare potest.

Si hoc non fungitur, necesse erit tuam exsistentem app OAuth delere et vestigia OIDC setup repetere ad creare novum app integration .

Habeo existentium OAuth integrationem

Prior ad 0.3.11, Firezone usus est provisoribus OAuth2 prae-figuratus. 

Sequere instructiones hic migrare ad OIDC.

Non integratur identitatis provisor

Nihil opus est. 

Potes sequi hic ut SSO per OIDC provisor.

Phasellus a 0.3.1 ad >= 0.3.2

In eius loco, defaltam ['firezone']['url entis externae] substituit defaltam optionis configuratione ['firezone']['fqdn']. 

Hoc pone domicilio Firezone tui online portae quae in publico communi pervia est. Deficiente ad https:// plus FQDN servo tuo si indeterminata relicta sunt.

Configuratio fasciculi in /etc/firezone/firezone.rb sita est. Vide file configurationem referentem ad integrum indicem variabilium et earum descriptiones.

Phasellus a 0.2.x ad 0.3.x *

Firezona machinam claves privatas in Firezone servo tamquam versionis 0.3.0 iam non servat. 

Web Firezona UI non permittet te ut re-download vel has configurationes videas, sed quaevis machinis exsistentibus pergas ut operandum sit.

Phasellus a 0.1.x ad 0.2.x *

Si ab Firezone 0.1.x upgradas, paucae sunt fasciculi configurationis mutationes quae manually dirigendae sunt. 

Ut necessariae modificationes ad limam tuam /etc/firezone/firezone.rb faciendam facias, mandata infra ut radix curre.

 

cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak

sed -i "s/\['enable'\]/\['enabled'\]/"/etc/firezone/firezone.rb

resonare "default ['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb

resonare "default ['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb

firezone-CTl reconfigure

firezone-CTl sileo

fermentum

Incendia ligna reprimendo sapiens primus gradus est pro quibusvis quaestionibus quae fieri possunt.

Curre sudo firezona-ctl cauda ad ligna Firezone speculanda.

Debugging Connectivity Exitus

Plures problematum connectivity cum Firezone incompossibilibus iptables vel nftables regulas afferuntur. Facere debes ut aliqua praecepta quae in effectu habes non concurrant cum praeceptis Firezonis.

Internet Connectivity Guttae cum cuniculum est Active

Fac catena anteriore permittit fasciculos clientium WireGuard ad loca quae vis per Firezone mittere si tua connectivity Internet omne tempus corrumpit quem tu WireGuard evigilans cuniculum tuum.

 

Quod fieri potest si usus es ufw curando quod defalta fudisset consilium permittit:

 

ubuntu@fz:~$ sudo ufw defectu patitur fusi

Default fusi consilium mutatum 'permittit'

(Vide ut update praecepta tua secundum)

 

A ufw Status pro more Firezone server videre sic:

 

ubuntu@fz:~$ sudo ufw status verbose

Status: active

Logging: on (low)

Default: negare (invenientis), sinere (exitus), sino (routed)

Novae profiles: skip

 

Ad Actio

--

XXII / tcp concedo in Usquam

XXII / tcp concedo in Usquam

CDXLIII / tcp concedo in Usquam

(DXVIII)CCXX / udp concedo in Usquam

22/tcp (v6) concesso Usquam (v6)

80/tcp (v6) concesso Usquam (v6)

443/tcp (v6) concesso Usquam (v6)

51820/udp.

Considerationes Security

Monemus limitandi accessum ad interfaciendum interretialem perquam sensitiva et missionis criticae operarum inceptorum, de quibus infra.

Officia & Portus

 

obsequium

Default Portus

Audi Oratio

Description

nginx

80, 443

omnes

Publicus HTTP(S) portus est Firezone administrandi et authenticas expediendi.

Wireguard

51820

omnes

Portus WireGuard publicus pro VPN sessionibus adhibitus est. (UDP)

postgresql

15432

127.0.0.1

Locus-tantum portus usus est pro servo fasciculo Postgresql.

Phoenix

13000

127.0.0.1

Locus-tantum portus ab adverso flumine elixir app servo usus est.

Productio Deployments

Monemus te cogitare de restrictione accessum ad telam Firezonis publice expositam UI (per default portus 443/tcp et 80/tcp) et potius utere cuniculum WireGuard ad Firezonem ad productionem et opera publica spectantia administrandi ubi unus administrator erit praepositus. creandi et distribuendi fabrica figurarum ad finem users.

 

Exempli gratia, si administrator figuram machinam creaverit et cuniculum cum inscriptione WireGuard locali 10.3.2.2 creaverit, sequens figuratio efficere possit, administrator accedere ad telam Firezonam UI in servitii wg-firezona interfaciei utens defalta 10.3.2.1 inscriptio cuniculi:

 

root@demo:~# ufw status verbosus

Status: active

Logging: on (low)

Default: negare (invenientis), sinere (exitus), sino (routed)

Novae profiles: skip

 

Ad Actio

--

XXII / tcp concedo in Usquam

(DXVIII)CCXX / udp concedo in Usquam

Usquam, CONCEDO IN 10.3.2.2

22/tcp (v6) concesso Usquam (v6)

51820/udp.

Hoc solum relinqueret 22/tcp patere pro SSH accessum administrare servo (libitum), et 51820/udp exposita ad fundandas cuniculos WireGuard.

Curre SQL Queries

Firezone fasciculos Postgresql servo ac matching psql utilitas, quae ex loci testudine sic adhiberi potest;

 

/opt/firezone/embedded/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c "SQL_STATEMENT"

 

Hoc potest esse utile ad debugging usus.

 

Negotium commune:

 

  • Enumeratio omnium users
  • Cogitationes omnes enumerans
  • Mutantur a user scriptor partes
  • Tergum sursum database



Users omnia enumerans:

 

/opt/firezone/embedded/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c "SELECT * FROM users"



Cogitationes omnes enumerans:

 

/opt/firezone/embedded/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c "Select * FROM machinis;"



Mutare munus a user:

 

Munus constitue 'admin' vel 'inprivilegiatum';

 

/opt/firezone/embedded/bin/psql \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 \

  -c "UPDATE users munus = 'admin' WHERE inscriptio = '[Inscriptio protected]';"



Tergum sursum database:

 

Praeterea programmata pg TUBER inclusa est, quae adhiberi potest ad regulares tergum datorum. Sequens codicem exequi, ut exemplar datorum SQL in forma interrogationis communi TUBER (reponere /path/to/backup.sql cum loco ubi crearetur SQL fasciculus);

 

/opt/firezone/embedded/bin/pg_dump \

  -U firezone \

  -d firezone \

  -h localhost \

  -p 15432 > /path/to/backup.sql

User Edition

  • addere Users
  • addere Corporis Fabrica
  • Egressus Rules
  • Clientem Instructiones
  • Scinditur cuniculum VPN
  • Reverse cuniculum 
  • NAT Gateway

addere Users

Postquam Firezone feliciter explicavit, oportet addere utentes ut eis aditum ad retia tua praebeant. Web UI hoc facere adhibetur.

 

Web UI


Eligendo "Adde Usorem" conjunctionem sub / usoribus, potes usorem addere. Rogaberis ut usorem cum inscriptionem electronicam et tesseram praebeas. Ut accessum usorum in tua ordinatione automatice patere, Firezone etiam interface et sync cum provisore identitatis potest. Plura in promptu sunt signo authenticitatis incisionem. <Addere vinculum ad authenticitatem

addere Corporis Fabrica

Monemus petentes ut utentes machinationes suas crearent ut clavis privata illis tantum appareat. Users possunt generare proprias fabricas conformationes sequendo directiones in Clientem Instructiones pagina.

 

Generans admin fabrica configuratione

Omnes usoris fabricae configurationes ab Firezone admins creari possunt. In pagina usoris profile ad / usores posita, elige "Adde Device" optionem ad hoc perficiendum.

 

[Insert screenshot]

 

Potes usorem configurationis WireGuard email post profile machinam creando.

 

Usores et machinae conectuntur. Plura de singulis in usorem adde, vide addere Users.

Egressus Rules

Per usum systematis nuclei netfilteri, Firezonus egressum facultates eliquare efficit ut RORO vel ACCEPTO fasciculos specificare. Omni negotio plerumque permittitur.

 

IPv4 et IPv6 CIDRs et IP oratio sustentantur per Allowlist et Denylist, respective. Regulam usoris cum addendo eligere potes, quae regula omnibus usoris illius technis applicat.

Clientem Instructiones

Install et configurare

Ad nexum VPN constituendum cliente indigena WireGuard, ad hunc ducem refer.

 

1. Install patria WireGuard clientis

 

Officialis WireGuard clientes hic positi sunt Firezone compatibiles:

 

MacOS

 

Fenestra

 

iOS

 

Android

 

Visita website officialem WireGuard in https://www.wireguard.com/install/ pro OS systemata supra non memorata.

 

2. in fabrica Download file configuratione

 

Aut administrator Firezone tuum aut te ipsum machinam configurationis fasciculi in Firezone portal utens generare potest.

 

Visita Domicilium tuum Administrator Firezone se-generate machinam configurationis limam dedit. Firmum tuum unicum domicilium ad hoc habebis; hoc in casu, https://instance-id.yourfirezone.com est.

 

Login to Firezone Okta SSO

 

[Insert Screenshot]

 

3. addere huius configuratione

 

Import the.conf lima in clientem WireGuard aperiendo. Flippping switch Activate, sessionem VPN incipere potes.

 

[Insert Screenshot]

Sessio Reauthenticationis

Mandata infra sequere si administrator retis tuae mandaverit recurrentem authenticationem servare tuam VPN nexum activum. 



Vos postulo:

 

Firezone URL portae: roga retis tuam administratorem pro connexione.

Administrator retis tuae rationem tuam et clavem offerre possit. Situs Firezonis te suggeret utendo utendo uno signo in servitio tuo conductoris usibus (ut Google vel Okta).

 

1. Illuminationes VPN nexum

 

[Insert Screenshot]

 

2. authenticitate iterum 

Vade ad domicilium Firezone portae et aperi in utens documentorum retis tuis administrator cavit. Si iam signatum es in, preme ante bullam Reauthenticate signandi in.

 

[Insert Screenshot]

 

Gradus III: Duc in VPN sessionem

[Insert Screenshot]

Network Procurator pro Linux

Ad figuram WireGuard importare profile utens Network Procurator CLI in machinis Linux, has instructiones sequere (nmcli).

NOTA

Si profile subsidium IPv6 habet, importare conans limam configurationem utens Network Manager GUI falli potest errore sequenti:

ipv6.method: methodus "auto" non valet pro WireGuard

1. Install WireGuard Tools 

Necesse est ut WireGuard usorspace utilia instituat. Haec sarcina dicta wireguard vel instrumentorum wireguard pro distributionibus Linux erit.

Pro Ubuntu/Debian:

sudo aptum install wireguard

Uti Fedora:

sudo dnf-instrumenta install wireguard

Linux arcus;

sudo pacman -S wireguard-tools

Visita website officialem WireGuard in https://www.wireguard.com/install/ distributiones quae superius non nominantur.

2. configuratione Download 

Aut administrator Firezone tua aut sui generatio generare potest machinam configurationis fasciculi utens portae Firezone.

Visita Domicilium tuum Administrator Firezone se-generate machinam configurationis limam dedit. Firmum tuum unicum domicilium ad hoc habebis; hoc in casu, https://instance-id.yourfirezone.com est.

[Insert Screenshot]

3. Import occasus

Inferre suppletum configuration file usura nmcli:

sudo nmcli nexus import genus file wireguard /path/to/configuration.conf

NOTA

Nomen fasciculi configurationis correspondet nexui instrumenti WireGuard. Post importationem, nexus nominari potest si opus sit;

nmcli nexum mutare [nomen vetus] connection.id [nomen novum]

4. Iungo vel disconnect

Via linea praecepti ad VPN coniunge hoc modo:

nmcli nexum up [vpn nomen]

Ad DEJUGO:

nmcli nexum descendit [vpn nomen]

Procurator Network Applet applicabilis adhiberi potest etiam ad nexum administrandum si GUI utatur.

Auto Connection

Eligendo "ita" pro optione autoconnect, nexus VPN conformari potest ad iungendum automatice:

 

nmcli nexum mitigare [vpn name] nexum. <<<<<<<<<<<<<<<<<<<<<<

 

autoconnect sic;

 

Ut disable iunctio latae sententiae eam nulli restituet:

 

nmcli nexum mitigare [vpn name] nexum.

 

autoconnect no

Fac Multi Factor authenticas Available

Movere MFA Vade ad Firezone portae / usoris rationem/subcriptio mfa pagina. Utere tuo authenticatore app ut edas QR codicem postquam generatum est, deinde codicem sex digiti intrant.

Contact tuum Admin ut reset rationem accessum informationes si adspires vestri app authenticator.

Scinditur cuniculum VPN

Hoc doceo te ambulabit per processum constituendi WireGuard in fodiendo plumam cum Firezone ita ut solum negotiatio ad specifica IP iugis per VPN servo transmittantur.

 

1. Configure Licitus IPS 

In iugis IP pro quibus client negotiatio retis iter faciet in Permissa IPS agri sita in pagina / occasus/default. Solum nuper creaverunt configurationes WireGuard cuniculum a Firezone productas mutationibus ad hunc campum afficientur.

 

[Insert Screenshot]



Valor defalta est 0.0.0.0/0, ::/0, quae omnia negotiatio retis ab cliente ad VPN tendit.

 

Exempla valorum in hoc campo includuntur:

 

0.0.0.0/0, ::/0 - omnia retis negotiatio ad VPN servo fugabitur.

192.0.2.3/32 - sola commercium ad unam IP inscriptionem fugabitur ad VPN servo.

3.5.140.0/22 ​​– solum commercium ad IPs in 3.5.140.1 – 3.5.143.254 ad VPN distributio fugabitur. Hoc in exemplo, range CIDR pro regione ap-orientales-2 AWS adhibita est.



NOTA

Firezone exitum interfaciei eligit cum via accuratissima coniungitur primum cum determinans ubi fasciculus meatus est.

 

2. configurationes Regenerare WireGuard

Users limam configurationem regenerare debent eosque clienti WireGuard patrii addere ut usorum usorum novas machinas cum nova conformatione scindendi scindant.

 

Ad instructiones vide addendi fabrica. <<<<<<<<<< Add link

Reverse cuniculum

Hoc manuale demonstrabit quomodo duas machinas cum Firezone utens in vita conectere. Usus typicus unus casus est ut administrator accedere possit ministratorem, continens vel machinam quae a NAT vel fire pariete munitur.

 

Nodi ad Node 

Haec Illustratio directam missionem ostendit in qua machinae A et B cuniculum construunt.

 

[Insert firezona pictura architecturae]

 

Initium creando Fabrica A et Fabrica B navigando ad /usores/[user_id]/new_devices. In uncinis pro unaquaque arte, sequentes parametri positi sunt ad valores infra enumeratos. Potes fabrica occasus cum fabrica aboutconfig creando (vide Add machinae). Si opus est ut occasus in fabrica exsistenti renovare, id facere potes novam fabricam config generando.

 

Nota omnes machinas habere paginas / occasus/ defaltas ubi PersistentKeepalive configurari possunt.

 

A fabrica

 

LicitusIPs = 10.3.2.2/32

  Hoc est IP vel range IPS de Fabrica B

PertinaxKeepalive = 25

  Si fabrica post NAT, haec fabrica efficit ut vivam cuniculum servare et fasciculos interface WireGuard recipere pergat. Plerumque aestimatio 25 sufficiens est, sed debes hunc valorem minuere secundum in ambitu tuo.



B fabrica

 

LicitusIPs = 10.3.2.3/32

Hoc est IP vel range IPS de Fabrica A

PertinaxKeepalive = 25

Admin Case - Una ad multae Noctes

Hoc exemplum ostendit situm in quo Fabrica A cum machinis B per D in utramque partem communicare potest. Hoc setup repraesentare potest ingeniarium vel administratorem accessu copiarum numerosarum (servatoribus, vasis vel machinis) per varias retiacula.

 

[Architectural Diagram] <<<<<<<<<<<<<<<<<<<<<<<<

 

Fac ut sequentia uncinis efficiantur in singulis lectis ad valores respondentes notae. Cum fabricam configurationem creando, uncinis fabrica specificare potes (vide machinis addere). Nova fabrica config creari potest si occasus in fabrica exsistens renovanda est.

 

A fabrica (Administrator node)

 

Licitus IPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32 

    Hoc est IP machinarum B per D. Ipsae machinis B per D includi debent in quavis parte IP, quam vis ponere.

PertinaxKeepalive = 25 

    Hoc praestat machinam cuniculum conservare et de interface WireGuard fasciculos recipere posse etiamsi a NAT. Pleraque valor 25 sufficiens est, quamvis circumstantiis tuis fretus, hanc figuram deprimere debes.

 

Fabrica B *

 

  • LicedIPs = 10.3.2.2/32: Hoc est IP vel range IPS de Fabrica A
  • PertinaxKeepalive = 25

Fabrica C

 

  • LicedIPs = 10.3.2.2/32: Hoc est IP vel range IPS de Fabrica A
  • PertinaxKeepalive = 25

D machinam

 

  • LicedIPs = 10.3.2.2/32: Hoc est IP vel range IPS de Fabrica A
  • PertinaxKeepalive = 25

NAT Gateway

Unam, stativam exitum IP offerre ad omnes negotiationes turmae tuae efluere, Firezone uti porta NAT. Hae condiciones frequentem usum implicant;

 

Consultatio de sponsionibus: Rogas ut emptorem tuum album electronicum unum static potius IP quam singulae machinae IP molestie.

Procuratorem vel masking tuum fontem IP adhibens ad securitatem vel intimitatem causarum.

 

Simplex exemplum de limitandi accessu ad applicationem interretialis auto-obsessae ad unum static album IP currentem Firezone in hac poste demonstrabitur. In hac illustratione, Firezone et subsidia tuta sunt in locis VPC diversis.

 

Solutio haec frequenter adhibetur in loco albo IP tractandi ad numerosos fines utentes, qui tempus consumens esse potest sicut accessus in album dilatatur.

AWS Exemplum

Propositum nostrum est servo Firezone in ec2 instantia constituere ut VPN negotiatio ad quid subsidio redigatur. In hac re, Firezone servit ut procuratorem retis vel porta NAT ut singulas machinas coniunctas IP exitus publicus singularem praebeat.

 

1. Install Firezone servo

In hoc casu, instantia EC2 nominata tc2.micro instantia Firezona in ea installata habet. Ad informationem de Firezone explicandam, vade ad Guide instruere. Relate ad AWS, cave;

 

Firezone EC2 instantia securitatis coetus permittit negotiationem outbound ad IP oratio subsidii tutanda.

Instantia Firezonis cum IP elastica venit. Negotiatio quae per Firezone instantiam ad extra destinationes transmittuntur, hoc pro fonte IP oratio erit. IP oratio de qua agitur 52.202.88.54.

 

[Insert Screenshot]<<<<<<<<<<<<<<<<<<<<<<<<

 

2. Restringere accessum ad resource quod est munitus

Applicationem interretialem auto-hospitatae subsidio tutae rei in hoc casu inservit. App interretiales solum petitiones IP orantes 52.202.88.54 accessi possunt. Secundum auxilium, necesse est ut negotiatio infinita in variis portubus ac mercaturae generibus permittat. Hoc in hoc manuali non est opertum.

 

[Insert screenshot]<<<<<<<<<<<<<<<<<<<<<<<<

 

Quaeso dicas tertiam partem subsidii conservatoris praefectum, quod negotiatio ex IP statice in Gradu I definita permitti debet (in hoc casu 1).

 

3. Utere VPN servo ad directum negotiationis praesidio resource

 

Defalta, omnis negotiatio usoris per VPN servitorem ibit et ab IP static, qui in Gradu I configuratus est (hoc in casu 1). Attamen, si scissurae scissurae permissae sunt, occasus necessarius est ut destinatio subsidiorum conservatorum IP recensetur inter IPS Licitus.

Venantius Fortunatus tuus hic addere Text

Infra demonstratum est completum album optionum configurationis in promptu /etc/firezone/firezone.rb.



bene

Description

default pretii

default ['firezone']['external_url']

URL accessere interretialem instantiam interretialem huius Firezonis.

"https://#{ node['fqdn'] || node ['hostname']}"

default ['firezone']['config_directory']

Top-level directorio pro configuratione Firezone.

/etc/firezone'

default ['firezone']['install_directory']

Top-level presul ut install Firezone ad.

/opt/firezone'

default ['firezone']['app_directory']

Top-level directorio ad install Firezone interretialem applicationem.

"#{ node ['firezone']['install_directory']}/embedded/service/firezone"

default ['firezone']['log_directory']

Top-level Directory for Firezone logs.

/var/log/firezone'

default ['firezone']['var_directory']

Top-level Directory pro Firezone runtime files.

/var/opt/firezone'

default ['firezone']['usoris']

Nomen usoris unprivilegae Linux plurima officia et lima pertinebit.

firezone "

default ['firezone']['group']

Nomen Linux coetus maxime officia et lima pertinebit.

firezone "

default ['firezone']['admin_email']

Inscriptio electronica pro initiali Firezone usor.

"firezone@localhost"

default ['firezone']['max_devices_per_user']

Maximus numerus machinarum utentis habere potest.

10

default ['firezone']['allow_unprivileged_device_management']

Admin non permittit utentes creare et delere machinas.

VERUM

default ['firezone']['allow_unprivileged_device_configuration']

Non-admin users ad mutare fabrica configurationes permittit. Cum debilis est, vetat utentes immunes ab omnibus campis artificiis mutatis praeter nomen et descriptionem.

VERUM

default ['firezone']['egress_interface']

Interface nomen ubi commercii cuniculis exit. Si nil, defectus itineris instrumenti adhibebitur.

vii,

default ['firezone']['fips_enabled']

Admitte vel disable OpenSSL FIPs modus.

vii,

default ['firezone']['logging']['enabled']

Admitte vel disable logging per Firezone. Pone falsum est totaliter logging disable.

VERUM

default ['inceptum']['nomen']

Nomine usus est a Chef 'coeptum' vitae vitae.

firezone "

default ['firezone']['install_path']

Instrue viam, qua usus est Chef 'inceptum' vitae vitae. Idem apponi debet quod supra install_directory.

node ['firezone']['install_directory']

default ['firezone']['sysvinit_id']

Identifier usus est in /etc/inittab. Singularis series debet esse 1-4 ingenia.

HAUSTUS'

default ['firezone']['authentication']['local']['enabled']

Admitte vel disable loci inscriptio / password authenticas.

VERUM

default ['firezone']['authentication']['auto_create_oidc_users']

Automatice users creare ab OIDC primum subscribens. Inactivare permittere ut usores existentes in via OIDC subscribere.

VERUM

default ['firezone']['authentication']['disable_vpn_on_oidc_error']

Inactivare a user scriptor VPN si error deprehensus sit OIDC indicium suum recreare conatur.

FALSUS

default ['firezone']['authentication']['oidc']

OpenID Connect aboutconfig, in forma {"provisoris" => [aboutconfig…]} - See OpenIDConnect documenta for exempla config.

{}

default ['firezone']['nginx']['enabled']

Admitte vel disable sarcina nginx servo.

VERUM

default ['firezone']['nginx']['ssl_port']

Audi portum HTTPS.

443

default ['firezone']['nginx']['directory']

Indicis Firezone relatas nginx virtualis exercitus configuratione.

"#{ node ['firezone']['var_directory']}/nginx/etc"

default ['firezone']['nginx']['log_directory']

Directorium ad relatas Firezone relatas nginx stipes lima.

"#{ node ['firezone']['log_directory']}/nginx"

default ['firezone']['nginx']['log_rotation']['file_maxbytes']

Magnitudo fasciculi ad quem Nginx tabulae logatae sunt.

104857600

default ['firezone']['nginx']['log_rotation']['num_to_keep']

Numerus files Firezonis nginx stipes ut prius abiecta.

10

default ['firezone']['nginx']['log_x_forwarded_for']

Utrum Log Firezone nginx x transmittantur ad caput.

VERUM

default ['firezone']['nginx']['hsts_header']['enabled']

Enable vel disable HSTS.

VERUM

default ['firezone']['nginx']['hsts_header']['include_subdomains']

Admitte vel disable includeSubDomains pro HSTS header.

VERUM

default ['firezone']['nginx']['hsts_header']['max_age']

Max aetas ad HSTS header.

31536000

default ['firezone']['nginx']['redirect_to_canonic']

An URLs referre ad FQDN canonicum supra scripti?

FALSUS

default ['firezone']['nginx']['cache']['enabled']

Admitte vel disable in Firezone nginx cache.

FALSUS

default ['firezone']['nginx']['cache']['directory']

Directory for Firezone nginx cache.

"#{ node ['firezone']['var_directory']}/nginx/cache"

default ['firezone']['nginx']['user']

Firezone nginx Inscr.

node ['firezone']['usor]

default ['firezone']['nginx']['group']

Circulus Firezone nginx.

node['firezone']['group']

default ['firezone']['nginx']['dir']

Summo gradu nginx configurationis presul.

node['firezone']['nginx']['directory']

default ['firezone']['nginx']['log_dir']

Summo gradu nginx index indicis.

node['firezone']['nginx']['log_directory']

default ['firezone']['nginx']['pid']

Locus pro nginx pid lima.

"#{ node ['firezone']['nginx']['directory']}/nginx.pid"

default ['firezone']['nginx']['daemon_disable']

Modus daemonis inactivare nginx sic pro monitore possumus.

VERUM

default ['firezone']['nginx']['gzip']

Turn nginx gzip compressio vel off.

in '

default ['firezone']['nginx']['gzip_static']

Turn nginx gzip compressionem in vel off pro static lima.

off'

default ['firezone']['nginx']['gzip_http_version']

HTTP versio utendi ad static serviendum.

1.0 '

default ['firezone']['nginx']['gzip_comp_level']

nginx gzip cogo gradu.

2 '

default ['firezone']['nginx']['gzip_proxied']

Responsiones dat vel disables gzipping pro proxied petitionibus pendentibus in petitione et responsione.

quisquam'

default ['firezone']['nginx']['gzip_vary']

Dat vel disables inserentes "Varie: Accipe-Encoding" responsionis caput.

off'

default ['firezone']['nginx']['gzip_buffers']

Numerum et magnitudinem buffers ad comprimendam responsionem. Si nil, nginx defalta adhibetur.

vii,

default ['firezone']['nginx']['gzip_types']

MIME genera ut gzip compressionem efficiant.

['text/plain', 'text/css', 'application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json']

default ['firezone']['nginx']['gzip_min_length']

Minimum longitudinis fasciculi ut gzip conprimat fasciculi capacitatem.

1000

default ['firezone']['nginx']['gzip_disable']

Compressio agentis usoris inactivandi gzip ut inactivandi.

MSIE [1-6]\.'

default ['firezone']['nginx']['keepalive']

Cache operatur ad connexionem ad servers fluminis.

in '

default ['firezone']['nginx']['keepalive_timeout']

Timeout in secundis pro custodia conservativa connexionis ad adverso flumine servientibus.

65

default ['firezone']['nginx']['worker_processes']

Pluribus nginx processibus laborantis.

node['cpu'] && node['cpu']['total'] ? node ['cpu']['total'] : 1

default ['firezone']['nginx']['worker_connections']

Max numerus coniunctionum simultaneorum quae ab operario processu aperiri possunt.

1024

default ['firezone']['nginx']['worker_rlimit_nofile']

Terminum mutat in numerus maximus apertarum imaginum pro processibus opificum. Utitur nginx defalta si nil.

vii,

default ['firezone']['nginx']['multi_accept']

Utrum opifices unum connexionem tempore vel multiplicem accipere debeant.

VERUM

default ['firezone']['nginx']['event']

Connexionem methodi processus specificat ut intra nginx eventuum contextum utatur.

epoll'

default ['firezone']['nginx']['server_tokens']

Dat vel disables emittens nginx versionem in paginis erroris et in "Servo" responsionis campi caput.

vii,

default ['firezone']['nginx']['server_names_hash_bucket_size']

Nullam tabularum situla nomina pro servo ponit.

64

default ['firezone']['nginx']['sendfile']

Aut priuat usum nginx scriptor sendfile ().

in '

default ['firezone']['nginx']['access_log_options']

Log optiones aditum ponit nginx.

vii,

default ['firezone']['nginx']['error_log_options']

Ponit nginx errorum iniuriarum optiones.

vii,

default ['firezone']['nginx']['disable_access_log']

Priuat nginx aditum iniuriarum.

FALSUS

default ['firezone']['nginx']['types_hash_max_size']

nginx genera Nullam max magnitudine.

2048

default ['firezone']['nginx']['types_hash_bucket_size']

nginx genera Nullam situla magnitudine.

64

default ['firezone']['nginx']['proxy_read_timeout']

nginx procuratorem legere timeout. Pone nil ad usum nginx defaltam.

vii,

default ['firezone']['nginx']['client_body_buffer_size']

corpus clientis nginx quiddam magnitudine. Pone nil ad usum nginx defaltam.

vii,

default ['firezone']['nginx']['client_max_body_size']

nginx client max corporis magnitudine.

250m'

default ['firezone']['nginx']['default']['modules']

Specificare additional nginx modulorum.

[]

default ['firezone']['nginx']['enable_rate_limiting']

Admitte vel disable nginx rate continentem.

VERUM

default ['firezone']['nginx']['rate_limiting_zone_name']

Nginx rate limitans zonam nomine.

firezone "

default ['firezone']['nginx']['rate_limiting_backoff']

Nginx rate limitandi backoff.

10m'

default ['firezone']['nginx']['rate_limit']

Terminus rate nginx.

10r/s'

default ['firezone']['nginx']['ipv6']

Patitur nginx audire petitiones HTTP pro IPv6 praeter IPv4.

VERUM

default ['firezone']['postgresql']['enabled']

Admitte vel disable bundled Postgresql. Falsas pone et imple in optionibus datorum infra utendo exemplo tuo Postgresql.

VERUM

default ['firezone']['postgresql']['usoris']

Username pro Postgresql.

node ['firezone']['usor]

default ['firezone']['postgresql']['data_directory']

Data presul postgresql.

"#{ node ['firezone']['var_directory']}/postgresql/13.3/data"

default ['firezone']['postgresql']['log_directory']

Postgresql index indicis.

"#{ node ['firezone']['log_directory']}/postgresql"

default ['firezone']['postgresql']['log_rotation']['file_maxbytes']

Postgresql fasciculus stipes maximae magnitudinis ante rotatur.

104857600

default ['firezone']['postgresql']['log_rotation']['num_to_keep']

Numerus imaginum stipendiorum Postgresql ut custodiant.

10

default ['firezone']['postgresql']['checkpoint_completion_target']

Postgresql LAPIS complementum scopum.

0.5

default ['firezone']['postgresql']['checkpoint_segments']

Numerus segmentorum LAPIS Postgresql.

3

default ['firezone']['postgresql']['checkpoint_timeout']

Postgresql checkpoint timeout.

5min'

default ['firezone']['postgresql']['checkpoint_warning']

Postgresql LAPIS praemonuit tempus in secundis.

30s'

default ['firezone']['postgresql']['effective_cache_size']

Postgresql amplitudo efficax cache.

128MB'

default ['firezone']['postgresql']['audire_address']

Oratio audi postgresql.

127.0.0.1 '

default ['firezone']['postgresql']['max_connections']

Postgresql max hospites.

350

default ['firezone']['postgresql']['md5_auth_cidr_addresses']

Postgresql CIDRs permittit pro md5 auth.

['127.0.0.1/32', '::1/128']

default ['firezone']['postgresql']['port']

Postgresql audi portum.

15432

default ['firezone']['postgresql']['shared_buffers']

Postgresql buffers magnitudine communicata.

"#{(nodi['memoriae"]['total'].to_i / 4) / 1024}MB"

default ['firezone']['postgresql']['shmmax']

Postgresql shmmax in bytes.

17179869184

default ['firezone']['postgresql']['shmall']

Postgresql parva in bytes.

4194304

default ['firezone']['postgresql']['work_mem']

Postgresql memoria laborat magnitudo.

8MB'

default ['firezone']['database']['usoris']

Firezona nomen usoris designat ad DB coniungere utetur.

node['firezone']['postgresql']['username']

default ['firezone']['database']['password']

Si externa DB utens, tesseram Firezone designat, ad DB coniungere utetur.

change_me'

default ['firezone']['database']['name']

Database quod Firezone utetur. Creabitur si non est.

firezone "

default ['firezone']['database']['host']

Database hospes qui Firezone te coniunget.

node['firezone']['postgresql']['audire_address']

default ['firezone']['database']['port']

Portus Database quem Firezone coniunget.

node['firezone']['postgresql']['port']

default ['firezone']['database']['pool']

Piscina Database magnitudine Firezonis utetur.

[10, Etc.nprocessors].max

default ['firezone']['database']['ssl']

Num coniungere cum database in SSL.

FALSUS

default ['firezone']['database']['ssl_opts']

Detrahe optiones mittere ad :ssl_optas optiones cum connectens super SSL. Vide Ecto.Adapters.Postgres documenta.

{}

default ['firezone']['database']['parameters']

Detrahe parametros mittere ad: parametri optionem cum connectens cum datorum. Vide Ecto.Adapters.Postgres documenta.

{}

default ['firezone']['database']['extensions']

Database extensiones ad enable.

{ 'plpgsql' => verum, 'pg_trgm' => verum }

default ['firezone']['phoenix']['enabled']

Admitte vel disable Firezone interretialem applicationem.

VERUM

default ['firezone']['phoenix']['audire_address']

Inscriptio interretialem applicationem auscultare Firezone. Haec de adverso flumine auribus inscriptionem nginx proxies erit.

127.0.0.1 '

default ['firezone']['phoenix']['port']

Firezone interretialem applicationem audi portum. Hic erit portus adverso flumine, qui proxies nginx.

13000

default ['firezone']['phoenix']['log_directory']

Firezone interretialem applicationem indicis index.

"#{ node ['firezone']['log_directory']}/phoenix"

default ['firezone']['phoenix']['log_rotation']['file_maxbytes']

Firezone interretialem applicationis stipes lima amplitudo.

104857600

default ['firezone']['phoenix']['log_rotation']['num_to_keep']

Numerus imaginum Firezone interretialem applicationem stipendii custodiendi.

10

default ['firezone']['phoenix']['crash_detection']['enabled']

Admitte vel inactivare applicationem interretialem Firezone deduci cum fragor deprehenditur.

VERUM

default ['firezone']['phoenix']['external_trusted_proxies']

Index creditorum contrariorum procuratorum formatae ut ordinata IPS et/vel CIDRs.

[]

default ['firezone']['phoenix']['private_clients']

Index retis privatae clientium HTTP, ordinatae sunt ordinatae IPS et/vel CIDRs.

[]

default ['firezone']['wireguard']['enabled']

Admitte vel disable bundled WireGuard procuratio.

VERUM

default ['firezone']['wireguard']['log_directory']

Log indicis de administratione sarcinarum WireGuard.

"#{ node ['firezone']['log_directory']}/wireguard"

default ['firezone']['wireguard']['log_rotation']['file_maxbytes']

WireGuard stipes lima amplitudo max.

104857600

default ['firezone']['wireguard']['log_rotation']['num_to_keep']

Numerus files stipes WireGuard ut custodiant.

10

default ['firezone']['wireguard']['interface_name']

WireGuard instrumenti nomine. Huius moduli mutans potest damnum temporale in VPN connectivity facere.

wg-firezone'

default ['firezone']['wireguard']['port']

Audi portum WireGuard.

51820

default ['firezone']['wireguard']['mtu']

WireGuard interface MTU huic servo et pro fabrica figurarum.

1280

default ['firezone']['wireguard']['endpoint']

WireGuard Endpoint uti ad figurationes fabrica generandi. Si nil, defaltam facit ad IP oratio publica server.

vii,

default ['firezone']['wireguard']['dns']

WireGuard DNS uti ad figurationes fabricae generatae.

1.1.1.1, 1.0.0.1′

default ['firezone']['wireguard']['allow_ips']

WireGuard AllowedIPs uti ad generatae figurarum fabrica.

0.0.0.0/0, ::/0′

default ['firezone']['wireguard']['persistent_keepalive']

Default PersentKeepalive setting for generated device configurations. Valor 0 Disables.

0

default ['firezone']['wireguard']['ipv4']['enabled']

Admitte vel disable IPv4 ad WireGuard network.

VERUM

default ['firezone']['wireguard']['ipv4']['masquerade']

Admitte vel disable eruptionem pro fasciculis relictis IPv4 cuniculo.

VERUM

default ['firezone']['wireguard']['ipv4']['network']

WireGuard network IPv4 inscriptio lacus.

10.3.2.0/24 '

default ['firezone']['wireguard']['ipv4']['electronica']

WireGuard interface IPv4 oratio. Inscriptio lacus WireGuard debet esse in.

10.3.2.1 '

default ['firezone']['wireguard']['ipv6']['enabled']

Admitte vel disable IPv6 ad WireGuard network.

VERUM

default ['firezone']['wireguard']['ipv6']['masquerade']

Admitte vel disable eruptionem pro fasciculis relictis IPv6 cuniculo.

VERUM

default ['firezone']['wireguard']['ipv6']['network']

WireGuard network IPv6 inscriptio lacus.

fd00::3:2:0/120′

default ['firezone']['wireguard']['ipv6']['electronica']

WireGuard interface IPv6 oratio. Inscriptionis IPv6 lacus esse debet.

fd00::3:2:1′

default ['firezone']['runit']['svlogd_bin']

bin locus runit svlogd.

"#{ node ['firezone']['install_directory']}/embedded/bin/svlogd"

default ['firezone']['ssl']['directory']

SSL directorium genera- certs recondendis.

/var/opt/firezone/ssl'

default ['firezone']['ssl']['email_address']

Electronicus electronicus ut certis chirographis auto-signatis et ACME protocollo notionibus renovationis utaris.

[Inscriptio protected]'

default ['firezone']['ssl']['acme']['enabled']

ACME activare pro ipso SSL certi commeatus. Inactivare hoc ne Nginx audire in portum 80. Sedis hic ad plura mandata.

FALSUS

default ['firezone']['ssl']['acme']['server']

ACME servo utendi ad libellum editae/renovationis. Potest esse aliqua verum acme.sh server

letsencrypt

default ['firezone']['ssl']['acme']['keylength']

Specificare clavem generis et longitudinem SSL libellorum. Vide hic

ec-256

default ['firezone']['ssl']['certificate']

Iter ad libellum tabella pro FQDN. Overrides ACME superius si specificatur. Si et ACME et hoc nil a se signatum generabitur certum.

vii,

default ['firezone']['ssl']['certificate_key']

Iter ad libellum.

vii,

default ['firezone']['ssl']['ssl_dhparam']

nginx ssl dh_param.

vii,

default ['firezone']['ssl']['country_name']

Patriae nomen proprium cert-s signatum est.

US'

default ['firezone']['ssl']['state_name']

Nomen rei publicae pro auto-signato cert.

CA

default ['firezone']['ssl']['locality_name']

Locum nomen sibi signatum cert.

San Francisco'

default ['firezone']['ssl']['company_name']

Societas nomen cert-sui signatum est.

Meum Company'

default ['firezone']['ssl']['organizational_unit_name']

Unitas nomen organicum pro certo signo auto-signato.

Res'

default ['firezone']['ssl']['ciphers']

SSL cyphris pro nginx uti.

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’

default ['firezone']['ssl']['fips_ciphers']

SSL notis pro FIPs modus.

FIPS@ VIRTUTE:! aNULL:! enull'

default ['firezone']['ssl']['protocols']

TLS protocolla ad usum.

TLSv1 TLSv1.1 TLSv1.2′

default ['firezone']['ssl']['session_cache']

SSL sessionis thesaurum.

participatur: SSL:4m'

default ['firezone']['ssl']['session_timeout']

SSL session timeout.

5m'

default ['firezone']['robots_allow']

nginx robots permittunt.

/ '

default ['firezone']['robots_disallow']

nginx robots disallow.

vii,

default ['firezone']['outbound_email']['from']

Ex inscriptio Outbound inscriptio.

vii,

default ['firezone']['outbound_email']['provider']

Outbound email muneris provisor.

vii,

default ['firezone']['outbound_email']['configs']

Outbound email provisor confis.

see omnibus/cokbooks/firezone/attributes/default.rb

default ['firezone']['telemetria']['enabled']

Admitte vel disable anonymized productum telemetria.

VERUM

default ['firezone']['connectivity_checks']['enabled']

Enable or disable the Firezone connectivity checks service.

VERUM

default ['firezone']['connectivity_checks']['intervallum']

Intervallum connectivity checks in seconds.

3_600



________________________________________________________________

 

File And Directory Locations

 

Hic invenies enumerationem imaginum et directoria pertinentium ad institutionem Firezonis typicam. Haec mutare secundum emendationes in file configurationis tuae.



semita

Description

/var/opt/firezone

Top-level directorio continens data et generata configurationem pro servitiis fasciculis Firezone.

/opt/firezone

Top-level presul continens bibliothecas aedificatas, binarios ac cursores lima opus ab Firezone.

/usr/bin/firezone-ctl

firezone-CTl utilitatem administrandi Firezone institutionem tuam.

/etc/systemd/system/firezone-runsvdir-start.service

systemd unitatis fasciculi ad processum supervisorem Firezone runsvdir incipiendum.

/etc/firezone

Configurationis files Firezone.



__________________________________________________________

 

Firewall Templates

 

Haec pagina vacua erat in soUicitudo

 

_____________________________________________________________

 

Nftables Firewall Template

 

Sequentia nftables templates firewall adhiberi potest ut servo Firezone currit. Formula quaedam suppositiones facit; necesse est ut praecepta ad arbitrium tuum usum casus accommodare:

  • Interface WireGuard nominatur wg-firezon. Si hoc minus verum est, variabilis DEV_WIREGUARD muta ut default ['firezone']['wireguard']['interface_name'] optionis conformationis par.
  • Portus WireGuard auscultat est 51820. Si non utens portum defaltam mutabilem mutabilitatem WIREGUARD_PORT.
  • Tantum sequens inbound commercium licebit servo:
    • SSH (TCP 22 port)
    • HTTP (TCP 80 portum)
    • HTTPS (TCP portum 443)
    • WireGuard (UDP portum WIREGUARD_PORT)
    • UDP traceroute (Portus UDP 33434-33524, rate limitata ad 500/secunda)
    • ICMP et ICMPv6 (ping/ping respondeo rate limitatur ad 2000/secundum)
  • Tantum haec negotiatio Outbound permittetur a servo:
    • DNS (UDP et TCP portum LIII)
    • HTTP (TCP 80 portum)
    • NTP (UDP port 123)
    • HTTPS (TCP portum 443)
    • ESMTP submission (TCP portum DLXXXVII)
    • UDP traceroute (Portus UDP 33434-33524, rate limitata ad 500/secunda)
  • Singulares negotiationis initium erit. Regulae colligationis adhibitae a regulis ad negotiationem stillandam separantur ac rate limitantur. Praecepta colligationis pertinentes removentes mercaturam non afficiunt.

Firezone Managed Rules

Firezona suos nftables configurat regulas permittere/rejicere negotiationem ad loca interfacii interretialis conformata et ad outbound NAT ad negotiationem clientis tractandam.

Applicando infra firewall templates de servo iam currenti (non ad tempus tabernus) proveniet in purgato Firezone regulas. Hoc potest securitatem habere effectus.

Ad circa hoc opus sileo phoenix ministerium:

firezone-CTl sileo phoenix

Base Firewall Template

#!/usr/sbin/nft -f

 

## Serena / solet omnia praecepta existentium

solet ruleset

 

################################ VARIABILIUM ################# ###############

## Internet / LURIDUS interface nomen

define DEV_WAN = eth0

 

## WireGuard nomen interface

define DEV_WIREGUARD = wg-firezone

 

## WireGuard audi portum

define WIREGUARD_PORT = 51820

############################## VARIABLES FINIS ################## ############

 

# Main inet familia eliquare mensam

table inet filter {

 

 # Praecepta ad transmittantur negotiationis

 # Haec catena ante Firezone processit ante catenam

 torquem deinceps {

   typus filter hamo deinceps prioritatem filter - 5; consilium accipere

 }

 

 # Praecepta pro initus negotiationis

 catena input {

   type filter hook input prior filter; consilium stilla

 

   ## Sine inbound traffic ad loopback interface

   iif lo \

     accipere \

     comment "Permitte omnia negotiationis ab loopback interface"

 

   ## Sine statutum et nexus

   ct statutum, actis \

     accipere \

     comment "Sinite statutum / related hospites"

 

   ## Sine inbound WireGuard negotiationis

   IIF $DEV_WAN udp dport $WIREGUARD_PORT \

     counter \

     accipere \

     comment "Sinite inbound WireGuard negotiationis"

 

   ## Log et novum TCP stillabunt non-SYN facis

   tcp flags != syn ct re publica nova \

     limit rate 100/ Minute rupta 150 facis \

     praeposita iniuriarum "IN - New! SYN:" \

     comment "Rate limites colligationem pro novis nexus qui non habent vexillum SYN TCP statutum"

   tcp flags != syn ct re publica nova \

     counter \

     stilla \

     comment "Iacta novas nexus qui vexillum Syn TCP non habent"

 

   ## Log et fluent TCP facis cum irritum fi / syn vexillum paro

   tcp flags & (fin|syn) == (fin|syn) \

     limit rate 100/ Minute rupta 150 facis \

     praeposita iniuriarum "IN - TCP FIN|SIN:" \

     comment "Rate modus logging ad TCP facis in irritum fi / syn vexillum paro"

   tcp flags & (fin|syn) == (fin|syn) \

     counter \

     stilla \

     comment "Iacta TCP facis in irritum fi / syn vexillum paro"

 

   ## Log et fluent TCP facis cum invalidum syn / prima vexillum set

   tcp flags & (syn|rst) == (syn|rst) \

     limit rate 100/ Minute rupta 150 facis \

     praeposita iniuriarum "IN - TCP SYN|RST:" \

     comment "Rate modus logging ad TCP facis cum irritum syn / prima vexillum set"

   tcp flags & (syn|rst) == (syn|rst) \

     counter \

     stilla \

     comment "Iacta TCP facis cum invalidum syn / prima vexillum set"

 

   ## Log et stilla invalidum TCP vexilla

   tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \

     limit rate 100/ Minute rupta 150 facis \

     praeposita iniuriarum "IN - FIN" \

     comment "Rate limit logging for invalide TCP flags (fin|syn|rst|psh|ack|urg)< (fin)"

   tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \

     counter \

     stilla \

     comment "Dacta TCP facis cum vexillis (fin|syn|rst| psh| ack| urg) < (fin)"

 

   ## Log et stilla invalidum TCP vexilla

   tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \

     limit rate 100/ Minute rupta 150 facis \

     praeposita iniuriarum "IN - FIN|PSH|URG:" \

     comment "Rate limit logging for invalidum TCP flags (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"

   tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \

     counter \

     stilla \

     comment "Drop TCP packets with flags (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"

 

   ## Iacta traffic ad irritum nexum civitatis

   ct nulla re publica \

     limit rate 100/ Minute rupta 150 facis \

     stipes vexilla omnia praeposita "IN - invalida" \

     comment "Rate modus logging ad negotiationis cum irritum nexum status"

   ct nulla re publica \

     counter \

     stilla \

     comment "Iacta negotiationis cum irritum nexum status"

 

   ## Sine IPv4 ping / ping respondeo sed rate terminus ad MM PPS

   ip protocol icmp icmp type { resonare-responsum , resonare , petitionem } \

     limit rate 2000/secundus \

     counter \

     accipere \

     comment "Permitte inbound IPv4 resonare (ping) solum MM PPS"

 

   ## Sine omnibus aliis inbound IPv4 ICMP

   ip protocol icmp \

     counter \

     accipere \

     comment "Dimitte omnia alia IPv4 ICMP"

 

   ## Sine IPv6 ping / ping respondeo sed rate terminus ad MM PPS

   icmpv6 type { resonare-responsum , resonare } \

     limit rate 2000/secundus \

     counter \

     accipere \

     comment "Permitte inbound IPv6 resonare (ping) solum MM PPS"

 

   ## Sine omnibus aliis inbound IPv6 ICMP

   meta l4proto { icmpv6 } \

     counter \

     accipere \

     comment "Dimitte omnia alia IPv6 ICMP"

 

   ## Sine inbound traceroute UDP portubus sed terminus ad D PPS

   udp dport 33434-33524 \

     limit rate 500/secundus \

     counter \

     accipere \

     comment "Permitte inbound UDP traceroute intra D PPS"

 

   ## Sine inbound SSH

   tcp dport ssh ct novum statum \

     counter \

     accipere \

     comment "Sinite inbound hospites SSH"

 

   ## Sine inbound HTTP et HTTPS

   tcp dport { http, https } ct rem novam \

     counter \

     accipere \

     comment "Permitte inbound HTTP ac HTTPS hospites"

 

   ## Log quis singularis traffic sed rate modus logging ad maximum de LX nuntiis / momento

   ## Default consilium applicabitur ad singularis negotiationis

   limit rate 60/ Minute rupta 100 facis \

     praeposita iniuriarum "IN - Iacta" \

     comment "Log aliqua singularis negotiationis"

 

   ## Numera singularis negotiationis

   counter \

     comment "Numerare aliquem singularis negotiationis"

 }

 

 # Praecepta ad output negotiationis

 catena output {

   type filter hook output prior filter; consilium stilla

 

   ## Sine outbound traffic ad loopback interface

   oif lo \

     accipere \

     comment "Sinite omnes traffic ad loopback interface"

 

   ## Sine statutum et nexus

   ct statutum, actis \

     counter \

     accipere \

     comment "Sinite statutum / related hospites"

 

   ## Sine outbound WireGuard negotiationis ante posito nexus cum malo statu

   OIF $DEV_WAN udp ludos $WIREGUARD_PORT \

     counter \

     accipere \

     comment "Sinite WireGuard Outbound traffic"

 

   ## Iacta traffic ad irritum nexum civitatis

   ct nulla re publica \

     limit rate 100/ Minute rupta 150 facis \

     stipes vexilla omnia praeposita "E - Aliquam" \

     comment "Rate modus logging ad negotiationis cum irritum nexum status"

   ct nulla re publica \

     counter \

     stilla \

     comment "Iacta negotiationis cum irritum nexum status"

 

   ## Sine omnibus aliis outbound IPv4 ICMP

   ip protocol icmp \

     counter \

     accipere \

     comment "Permitte omnia IPv4 ICMP genera"

 

   ## Sine omnibus aliis outbound IPv6 ICMP

   meta l4proto { icmpv6 } \

     counter \

     accipere \

     comment "Permitte omnia IPv6 ICMP genera"

 

   ## Sine outbound traceroute UDP portubus sed terminus ad D PPS

   udp dport 33434-33524 \

     limit rate 500/secundus \

     counter \

     accipere \

     comment "Permitte Outbound UDP traceroute intra D PPS"

 

   ## Sine Outbound HTTP ac HTTPS hospites

   tcp dport { http, https } ct rem novam \

     counter \

     accipere \

     comment "Sinite Outbound HTTP ac HTTPS hospites"

 

   ## Sine Outbound ESMTP submission

   tcp dport submission ct statum novum \

     counter \

     accipere \

     comment "Sinite Outbound ESMTP submission"

 

   ## Sine Outbound petitiones DNS

   udp dport 53 \

     counter \

     accipere \

     comment "Permitte Outbound UDP DNS petitiones"

   tcp dport 53 \

     counter \

     accipere \

     comment "Permitte Outbound TCP DNS petitiones"

 

   ## Sine Outbound NTP petitiones

   udp dport 123 \

     counter \

     accipere \

     comment "Permitte Outbound NTP petitiones"

 

   ## Log quis singularis traffic sed rate modus logging ad maximum de LX nuntiis / momento

   ## Default consilium applicabitur ad singularis negotiationis

   limit rate 60/ Minute rupta 100 facis \

     praeposita iniuriarum "E - Iacta" \

     comment "Log aliqua singularis negotiationis"

 

   ## Numera singularis negotiationis

   counter \

     comment "Numerare aliquem singularis negotiationis"

 }

 

}

 

# Main NAT eliquare mensam

table inet nat {

 

 # Rules for NAT traffic pre-fuso

 torquem prerouting {

   type nat hook prerouting priory dstnat; consilium accipere

 }

 

 # Rules for NAT traffic post-fuso

 # Haec mensa discursum est coram Firezone post-fuso catena

 catena postrouting {

   type nat hamo postrouting prioritas srcnat - 5; consilium accipere

 }

 

}

usage

Murus in loco proprio condi debet distributio Linux quae currit. Nam Debian/Ubuntu hoc est /etc/nftables.conf, et pro RHEL hoc est /etc/sysconfig/nftables.conf.

nftables.service configurari oportet incipere in tabernus (si nondum) set:

systemctl enable nftables.service

Si quis mutationes firewall templates syntaxin faciens, per reprehendo imperium currit convalescere potest:

nft -f /path/to/nftables.conf -c

Vide ut opera firewall ad convalidandum tamquam certae notarum notarum exspectationes praesto esse non possint secundum emissionem currit in calculonis servi.



_______________________________________________________________



Telemetría

 

Hoc documentum perspectum exhibet telemetrii Firezonis collectum ex instantia tua se hosted et quomodo illud inactivum est.

Cur Firezone colligit telemetriam

ignis zona relies in telemetria ad prioritizandum nostrum roadmap et optimize machinarum facultates quas habemus ut Firezone melius omnibus.

Telemetria proposita colligimus ut sequentibus quaestionibus respondeat:

  • Quot homines instituunt, utuntur et desinunt uti Firezone?
  • Quae notae sunt pretiosissima, et quae usum aliquem non vident?
  • Quae functionalitas maiore emendatione indiget?
  • Cum aliquid frangitur, cur frangitur, et quomodo in posterum fieri prohibemus?

Quomodo colligimus telemetria

Sunt tria loca praecipua ubi telemetria in Firezone colligitur:

  1. Sarcina temetriae. Eventus includit ut install, amoveas et upgrade.
  2. CLI telemetria a firezone-CTl imperat.
  3. Productum telemetria coniungitur cum porta interretiali.

In singulis his tribus contextibus comprehendimus minimam quantitatem notitiarum necessariarum ad solvendas quaestiones in articulo superiore.

Admin electronicae tantum colliguntur si tu expresse optes-in ad updates productos. Alioquin notitia personaliter - certa notitia est numquam collegit.

Firezona telemetria reponit in exempli gratia PostHog currentis in privato Kubernetes botri, tantum pervia per turmam Firezonis. Exemplum est telemetriae eventus qui mittitur ab instantia Firezonis ad nostrum telemetrium server:

{

   'D': “0182272d-0b88-0000-d419-7b9a413713f1”,

   "Indicium": “2022-07-22T18:30:39.748000+00:00”,

   "res": "Fz_http_started",

   "distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,

   "proprietates"{

       "$geoip_city_name": "Ashburn",

       "$geoip_continent_code": "NA",

       "$geoip_continent_name": "American Septentrionalis",

       "$geoip_country_code": "US",

       "$geoip_country_name": "Civitates Foederatae",

       "$geoip_latitude": 39.0469,

       "$geoip_longitudo": -77.4903,

       "$geoip_postal_code": "20149",

       "$geoip_subdivision_1_code": "VA",

       "$geoip_subdivision_1_name": "Virginia",

       "$geoip_time_zone": "America/New_York",

       "$ip": "52.200.241.107",

       "$ plugins_deferred": [],

       "$ plugins_failed": [],

       "$ plugins_succeeded"[

           "GeoIP (3)"

       ],

       "distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,

       "fqdn": "awsdemo.firezone.dev",

       "kernel_version": "linux 5.13.0",

       "versio": "0.4.6"

   },

   "elementa_chain": ""

}

Quomodo disable telemetria

NOTA

The Firezone development team relies in product analytics ut Firezone melius omnibus. Relinquens telemetria capacitas est unica adiumenta pretiosissima quae facere potes ad progressionem Firezonis. Quod dixit, intellegimus aliquos utentes habere altiores secreti vel securitatis requisita ac telemetria omnino disable malle. Si id tibi est, habe lectionem.

Telemetria per defaltam potens est. Ad productum telemetrium omnino disable, sequentem optionem configurationis falsam in /etc/firezone/firezone.rb pone, et sudo firezone-ctl reconfigure ad mutationes colligendas.

default['firezone']['telemetria']['enabled'] = falsum,

Quod totum productum telemetria omnino disable erit.