Мени
Овде су дата упутства корак по корак за примену Хаилбитес ВПН-а са Фирезоне ГУИ.
Администратор: Подешавање инстанце сервера је директно повезано са овим делом.
Кориснички водичи: Корисни документи који вас могу научити како да користите Фирезоне и решите типичне проблеме. Након што је сервер успешно распоређен, погледајте овај одељак.
Раздвојено тунелирање: Користите ВПН само за слање саобраћаја у одређене ИП опсеге.
Бела листа: Подесите статичку ИП адресу ВПН сервера да бисте користили белу листу.
Обрнути тунели: Креирајте тунеле између неколико вршњака користећи реверзне тунеле.
Задовољство нам је да вам помогнемо ако вам је потребна помоћ при инсталирању, прилагођавању или коришћењу Хаилбитес ВПН-а.
Пре него што корисници могу да произведу или преузму конфигурационе датотеке уређаја, Фирезоне се може конфигурисати да захтева аутентификацију. Корисници ће такође можда морати периодично да се поново аутентификују како би њихова ВПН веза остала активна.
Иако је Фирезоне-ов подразумевани метод пријављивања локална е-пошта и лозинка, он се такође може интегрисати са било којим стандардизованим ОпенИД Цоннецт (ОИДЦ) провајдером идентитета. Корисници сада могу да се пријаве у Фирезоне користећи своје акредитиве Окта, Гоогле, Азуре АД или приватног провајдера идентитета.
Интегришите генеричког ОИДЦ добављача
Конфигурациони параметри који су потребни Фирезоне-у да омогући ССО коришћењем ОИДЦ провајдера приказани су у примеру испод. На /етц/фирезоне/фирезоне.рб можете пронаћи конфигурациону датотеку. Покрените фирезоне-цтл рецонфигуре и фирезоне-цтл рестарт да бисте ажурирали апликацију и ступили на снагу промена.
# Ово је пример коришћења Гоогле-а и Окте као добављача ССО идентитета.
# Више ОИДЦ конфигурација се може додати у исту Фирезоне инстанцу.
# Фирезоне може да онемогући ВПН корисника ако се открије грешка приликом покушаја
# да освежите њихов аццесс_токен. Ово је потврђено да ради за Гоогле, Окта и
# Азуре ССО и користи се за аутоматско прекидање везе са ВПН-ом корисника ако се уклони
# од ОИДЦ провајдера. Оставите ово онемогућено ако је ваш ОИДЦ провајдер
# има проблема са освежавањем приступних токена јер може неочекивано да прекине а
ВПН сесија # корисника.
дефаулт['фирезоне']['аутхентицатион']['дисабле_впн_он_оидц_еррор'] = нетачно
дефаулт['фирезоне']['аутхентицатион']['оидц'] = {
гоогле: {
дисцовери_доцумент_ури: „хттпс://аццоунтс.гоогле.цом/.велл-кновн/опенид-цонфигуратион“,
ИД клијента: " ”,
цлиент_сецрет: “ ”,
редирецт_ури: „хттпс://инстанце-ид.иоурфирезоне.цом/аутх/оидц/гоогле/цаллбацк/“,
респонсе_типе: “цоде”,
опсег: „отворени профил е-поште“,
ознака: „Гоогле“
},
окта: {
дисцовери_доцумент_ури: „хттпс:// /.велл-кновн/опенид-цонфигуратион”,
ИД клијента: " ”,
цлиент_сецрет: “ ”,
редирецт_ури: “хттпс://инстанце-ид.иоурфирезоне.цом/аутх/оидц/окта/цаллбацк/”,
респонсе_типе: “цоде”,
опсег: „отворени профил е-поште оффлине_аццесс“,
ознака: "Окта"
}
}
За интеграцију су потребна следећа подешавања конфигурације:
За сваког ОИДЦ провајдера прави се одговарајући леп УРЛ за преусмеравање на УРЛ за пријаву конфигурисаног провајдера. За пример ОИДЦ конфигурације изнад, УРЛ адресе су:
Провајдери имамо документацију за:
Ако ваш добављач идентитета има генерички ОИДЦ конектор и није наведен изнад, идите у њихову документацију за информације о томе како да преузмете неопходна подешавања конфигурације.
Подешавање у оквиру подешавања/безбедност може да се промени тако да захтева периодичну поновну аутентификацију. Ово се може користити за спровођење захтева да корисници редовно улазе у Фирезоне како би наставили своју ВПН сесију.
Дужина сесије се може конфигурисати тако да буде између једног сата и деведесет дана. Ако ово поставите на Никад, можете омогућити ВПН сесије у било ком тренутку. Ово је стандард.
Корисник мора да прекине своју ВПН сесију и да се пријави на портал Фирезоне да би поново аутентификовао ВПН сесију која је истекла (УРЛ наведен током постављања).
Можете поново да аутентификујете своју сесију пратећи прецизна упутства клијента која се налазе овде.
Статус ВПН везе
Колона табеле ВПН везе на страници Корисници приказује статус корисничке везе. Ово су статуси везе:
ЕНАБЛЕД – Веза је омогућена.
ОНЕМОГУЋЕНО – Веза је онемогућена услед грешке администратора или ОИДЦ освежавања.
ИСТЕКЛО – Веза је онемогућена због истека аутентификације или се корисник није пријавио први пут.
Преко општег ОИДЦ конектора, Фирезоне омогућава једнократно пријављивање (ССО) са Гоогле Воркспаце-ом и Цлоуд Идентити-ом. Овај водич ће вам показати како да добијете доле наведене конфигурационе параметре, који су неопходни за интеграцију:
1. Екран ОАутх Цонфиг
Ако је ово први пут да креирате нови ИД ОАутх клијента, од вас ће се тражити да конфигуришете екран за сагласност.
*Изаберите Интерно за тип корисника. Ово осигурава да само налози који припадају корисницима у вашој Гоогле Воркспаце организацији могу да креирају конфигурације уређаја. НЕМОЈТЕ изабрати Спољно осим ако не желите да омогућите било коме са важећим Гоогле налогом да креира конфигурације уређаја.
На екрану са информацијама о апликацији:
2. Креирајте ИД-ове ОАутх клијената
Овај одељак је заснован на Гоогле-овој сопственој документацији о подешавање ОАутх 2.0.
Посетите Гоогле Цлоуд Цонсоле Страница са акредитивима страницу, кликните на + Креирај акредитиве и изаберите ИД ОАутх клијента.
На екрану за креирање ИД-а ОАутх клијента:
Након креирања ОАутх ИД-а клијента, добићете ИД клијента и Цлиент Сецрет. Они ће се користити заједно са УРИ-јем за преусмеравање у следећем кораку.
едит /етц/фирезоне/фирезоне.рб да укључи следеће опције:
# Коришћење Гоогле-а као добављача ССО идентитета
дефаулт['фирезоне']['аутхентицатион']['оидц'] = {
гоогле: {
дисцовери_доцумент_ури: „хттпс://аццоунтс.гоогле.цом/.велл-кновн/опенид-цонфигуратион“,
ИД клијента: " ”,
цлиент_сецрет: “ ”,
редирецт_ури: „хттпс://инстанце-ид.иоурфирезоне.цом/аутх/оидц/гоогле/цаллбацк/“,
респонсе_типе: “цоде”,
опсег: „отворени профил е-поште“,
ознака: „Гоогле“
}
}
Покрените фирезоне-цтл рецонфигуре и фирезоне-цтл рестарт да бисте ажурирали апликацију. Сада би требало да видите дугме Пријави се помоћу Гоогле-а на основном УРЛ-у Фирезоне.
Фирезоне користи генерички ОИДЦ конектор да олакша једнократну пријаву (ССО) са Октом. Овај водич ће вам показати како да добијете доле наведене конфигурационе параметре, који су неопходни за интеграцију:
Овај одељак водича се заснива на Октина документација.
У администраторској конзоли идите на Апликације > Апликације и кликните на Креирај интеграцију апликације. Подесите метод пријаве на ОИЦД – ОпенИД Цоннецт и тип апликације на Веб апликација.
Конфигуришите ова подешавања:
Када се подешавања сачувају, добићете ИД клијента, тајну клијента и Окта домен. Ове 3 вредности ће се користити у кораку 2 за конфигурисање Фирезоне.
едит /етц/фирезоне/фирезоне.рб да бисте укључили опције испод. Твоје дисцовери_доцумент_урл ће бити /.велл-кновн/опенид-цонфигуратион приложен на крају вашег окта_домаин.
# Коришћење Окта као добављача ССО идентитета
дефаулт['фирезоне']['аутхентицатион']['оидц'] = {
окта: {
дисцовери_доцумент_ури: „хттпс:// /.велл-кновн/опенид-цонфигуратион”,
ИД клијента: " ”,
цлиент_сецрет: “ ”,
редирецт_ури: “хттпс://инстанце-ид.иоурфирезоне.цом/аутх/оидц/окта/цаллбацк/”,
респонсе_типе: “цоде”,
опсег: „отворени профил е-поште оффлине_аццесс“,
ознака: "Окта"
}
}
Покрените фирезоне-цтл рецонфигуре и фирезоне-цтл рестарт да бисте ажурирали апликацију. Сада би требало да видите дугме Пријави се помоћу Окта на основном УРЛ-у Фирезоне.
Окта може ограничити кориснике који могу приступити апликацији Фирезоне. Идите на страницу Задаци Фирезоне Апп Интегратион своје Окта Админ Цонсоле да бисте то постигли.
Преко генеричког ОИДЦ конектора, Фирезоне омогућава једнократну пријаву (ССО) са Азуре Ацтиве Дирецтори. Овај приручник ће вам показати како да добијете доле наведене конфигурационе параметре, који су неопходни за интеграцију:
Овај водич је извучен из Азуре Ацтиве Дирецтори документи.
Идите на страницу Азуре Ацтиве Дирецтори на Азуре порталу. Изаберите опцију менија Управљање, изаберите Нова регистрација, а затим се региструјте пружањем информација у наставку:
Након регистрације, отворите приказ детаља апликације и копирајте ИД апликације (клијента).. Ово ће бити вредност цлиент_ид. Затим отворите мени крајњих тачака да бисте преузели ОпенИД Цоннецт документ метаподатака. Ово ће бити вредност дисцовери_доцумент_ури.
Креирајте нову тајну клијента тако што ћете кликнути на опцију Сертификати и тајне у менију Управљање. Копирајте тајну клијента; тајна вредност клијента ће бити ово.
На крају, изаберите везу АПИ дозвола у менију Управљање, кликните Додајте дозволу, и изаберите Мицрософт Грапх, додати емајл, опенид, оффлине_аццесс профили на потребне дозволе.
едит /етц/фирезоне/фирезоне.рб да укључи следеће опције:
# Коришћење Азуре Ацтиве Дирецтори као добављача ССО идентитета
дефаулт['фирезоне']['аутхентицатион']['оидц'] = {
азурно: {
дисцовери_доцумент_ури: „хттпс://логин.мицрософтонлине.цом/ /в2.0/.велл-кновн/опенид-цонфигуратион”,
ИД клијента: " ”,
цлиент_сецрет: “ ”,
редирецт_ури: „хттпс://инстанце-ид.иоурфирезоне.цом/аутх/оидц/азуре/цаллбацк/”,
респонсе_типе: “цоде”,
опсег: „отворени профил е-поште оффлине_аццесс“,
ознака: „Азурно“
}
}
Покрените фирезоне-цтл рецонфигуре и фирезоне-цтл рестарт да бисте ажурирали апликацију. Сада би требало да видите дугме Пријави се помоћу Азуре на основном УРЛ-у Фирезоне.
Азуре АД омогућава администраторима да ограниче приступ апликацији на одређену групу корисника унутар ваше компаније. Више информација о томе како то учинити можете пронаћи у Мицрософтовој документацији.
Фирезоне користи Цхеф Омнибус за управљање задацима укључујући издавање пакета, надзор процеса, управљање евиденцијама и још много тога.
Руби код чини примарну конфигурациону датотеку, која се налази на /етц/фирезоне/фирезоне.рб. Поновним покретањем судо фирезоне-цтл рецонфигуре након што извршите измене у овој датотеци, Цхеф ће препознати промене и применити их на тренутни оперативни систем.
Погледајте референцу конфигурационе датотеке за комплетну листу конфигурационих променљивих и њихове описе.
Вашом Фирезоне инстанцом се може управљати преко фирезоне-цтл команду, као што је приказано у наставку. Већина подкоманди захтева префикс са судо.
роот@демо:~# фирезоне-цтл
омнибус-цтл: команда (подкоманда)
Опште команде:
очистити
Избришите *све* податке о пожарној зони и почните од нуле.
цреате-ор-ресет-админ
Ресетује лозинку за администратора са е-поштом наведеном као подразумевано ['фирезоне']['админ_емаил'] или креира новог администратора ако та адреса е-поште не постоји.
помоћи
Одштампајте ову поруку помоћи.
реконфигуришите
Поново конфигуришите апликацију.
ресет-мрежа
Ресетује нфтаблес, ВиреГуард интерфејс и табелу рутирања на подразумеване вредности Фирезоне.
схов-цонфиг
Прикажите конфигурацију која би била генерисана реконфигурацијом.
деардовн-нетворк
Уклања ВиреГуард интерфејс и табелу нфтаблес фирезоне.
сила-церт-обнова
Присилно обнављање сертификата сада чак и ако није истекао.
стоп-церт-обнова
Уклања цроњоб који обнавља сертификате.
Деинсталирај
Укините све процесе и деинсталирајте надзорник процеса (подаци ће бити сачувани).
верзија
Прикажите тренутну верзију Фирезоне-а
Команде за управљање услугама:
грациозан-убити
Покушајте грациозно зауставити, а затим СИГКИЛЛ целу процесну групу.
хуп
Пошаљите услугама ХУП.
инт
Пошаљите услугама ИНТ.
убити
Пошаљите услуге КИЛЛ.
једном
Покрените услуге ако не раде. Немојте их поново покретати ако престану.
покренути
Зауставите услуге ако раде, а затим их поново покрените.
сервис-лист
Наведите све услуге (омогућене услуге се појављују са *.)
Почетак
Покрените услуге ако не раде и поново их покрените ако престану.
статус
Прикажите статус свих услуга.
зауставити
Зауставите услуге и немојте их поново покретати.
реп
Погледајте евиденцију услуга свих омогућених услуга.
термин
Пошаљите услугама ТЕРМИН.
уср1
Пошаљите услугама УСР1.
уср2
Пошаљите услугама УСР2.
Све ВПН сесије морају бити прекинуте пре надоградње Фирезоне-а, што такође захтева гашење веб корисничког интерфејса. У случају да нешто пође по злу током надоградње, саветујемо вам да одвојите сат времена за одржавање.
Да бисте побољшали Фирезоне, предузмите следеће радње:
Ако дође до било каквих проблема, молимо вас да нас обавестите подношење тикета за подршку.
У 0.5.0 постоји неколико критичних промена и модификација конфигурације које се морају решити. Сазнајте више у наставку.
Нгинк више не подржава принудне ССЛ и не-ССЛ параметре порта од верзије 0.5.0. Пошто је Фирезоне-у потребан ССЛ да би функционисао, саветујемо вам да уклоните пакет Нгинк услуге тако што ћете поставити дефаулт['фирезоне']['нгинк']['енаблед'] = фалсе и уместо тога усмерити свој обрнути прокси на Пхоеник апликацију на порту 13000 (подразумевано ).
0.5.0 уводи подршку за АЦМЕ протокол за аутоматско обнављање ССЛ сертификата уз помоћ Нгинк услуге. Да омогући,
Могућност додавања правила са дуплираним одредиштима је нестала у Фирезоне 0.5.0. Наша скрипта за миграцију ће аутоматски препознати ове ситуације током надоградње на 0.5.0 и задржати само правила чије одредиште укључује друго правило. Не морате ништа да радите ако је ово у реду.
У супротном, пре надоградње, саветујемо вам да промените скуп правила да бисте се решили ових ситуација.
Фирезоне 0.5.0 уклања подршку за Окта и Гоогле ССО конфигурацију старог стила у корист нове, флексибилније конфигурације засноване на ОИДЦ-у.
Ако имате било какву конфигурацију под подразумеваним ['фирезоне']['аутхентицатион']['окта'] или подразумеваним['фирезоне']['аутхентицатион']['гоогле']), морате да их мигрирате на наш ОИДЦ -засновану конфигурацију користећи водич испод.
Постојећа Гоогле ОАутх конфигурација
Уклоните ове редове који садрже старе Гоогле ОАутх конфигурације из ваше конфигурационе датотеке која се налази на /етц/фирезоне/фирезоне.рб
дефаулт['фирезоне']['аутхентицатион']['гоогле']['енаблед']
дефаулт['фирезоне']['аутхентицатион']['гоогле']['цлиент_ид']
дефаулт['фирезоне']['аутхентицатион']['гоогле']['цлиент_сецрет']
дефаулт['фирезоне']['аутхентицатион']['гоогле']['редирецт_ури']
Затим конфигуришите Гоогле као ОИДЦ добављача пратећи процедуре овде.
(Наведите упутства за везу)<<<<<<<<<<<<<<<<<
Конфигуришите постојећи Гоогле ОАутх
Уклоните ове редове који садрже старе Окта ОАутх конфигурације из ваше конфигурационе датотеке која се налази на /етц/фирезоне/фирезоне.рб
дефаулт['фирезоне']['аутхентицатион']['окта']['енаблед']
дефаулт['фирезоне']['аутхентицатион']['окта']['цлиент_ид']
дефаулт['фирезоне']['аутхентицатион']['окта']['цлиент_сецрет']
Подразумевано['фирезоне']['аутхентицатион']['окта']['сите']
Затим конфигуришите Окта као ОИДЦ провајдера пратећи процедуре овде.
У зависности од вашег тренутног подешавања и верзије, придржавајте се доле наведених упутстава:
Ако већ имате ОИДЦ интеграцију:
За неке ОИДЦ провајдере, надоградња на >= 0.3.16 захтева добијање токена за освежавање за опсег приступа ван мреже. Овим се осигурава да се Фирезоне ажурира са провајдером идентитета и да се ВПН веза искључује након што се корисник избрише. Ранијим итерацијама Фирезоне-а недостајала је ова функција. У неким случајевима, корисници који су избрисани из вашег провајдера идентитета могу и даље бити повезани на ВПН.
Неопходно је укључити приступ ван мреже у параметар опсега ваше ОИДЦ конфигурације за ОИДЦ провајдере који подржавају опсег приступа ван мреже. Реконфигурисање Фирезоне-цтл мора да се изврши да би се примениле промене на конфигурациону датотеку Фирезоне, која се налази на /етц/фирезоне/фирезоне.рб.
За кориснике које је аутентификовао ваш ОИДЦ провајдер, видећете наслов ОИДЦ везе на страници са детаљима о кориснику веб корисничког интерфејса ако Фирезоне може успешно да преузме токен за освежавање.
Ако ово не успе, мораћете да избришете постојећу ОАутх апликацију и поновите кораке подешавања ОИДЦ да креирајте нову интеграцију апликације .
Имам постојећу ОАутх интеграцију
Пре 0.3.11, Фирезоне је користио унапред конфигурисане ОАутх2 провајдере.
Пратите упутства ovde да мигрирају на ОИДЦ.
Нисам интегрисао добављача идентитета
Није потребна акција.
Можете пратити упутства ovde да омогући ССО преко ОИДЦ провајдера.
Уместо тога, дефаулт['фирезоне']['ектернал урл'] је заменио опцију конфигурације дефаулт['фирезоне']['фкдн'].
Подесите ово на УРЛ вашег Фирезоне онлине портала који је доступан широј јавности. Подразумевано ће бити хттпс:// плус ФКДН вашег сервера ако остане недефинисан.
Конфигурациони фајл се налази на адреси /етц/фирезоне/фирезоне.рб. Погледајте референцу конфигурационе датотеке за комплетну листу конфигурационих променљивих и њихове описе.
Фирезоне више не чува приватне кључеве уређаја на Фирезоне серверу од верзије 0.3.0.
Фирезоне Веб УИ неће вам дозволити да поново преузмете или видите ове конфигурације, али сви постојећи уређаји треба да наставе да раде као што јесу.
Ако вршите надоградњу са Фирезоне 0.1.к, постоји неколико промена конфигурационе датотеке које се морају адресирати ручно.
Да бисте извршили неопходне измене у вашој /етц/фирезоне/фирезоне.рб датотеци, покрените команде испод као роот.
цп /етц/фирезоне/фирезоне.рб /етц/фирезоне/фирезоне.рб.бак
сед -и “с/\['енабле'\]/\['енаблед'\]/” /етц/фирезоне/фирезоне.рб
ецхо “дефаулт['фирезоне']['цоннецтивити_цхецкс']['енаблед'] = труе” >> /етц/фирезоне/фирезоне.рб
ецхо “дефаулт['фирезоне']['цоннецтивити_цхецкс']['интервал'] = 3_600” >> /етц/фирезоне/фирезоне.рб
реконфигуришите фирезоне-цтл
фирезоне-цтл рестарт
Провера евиденције Фирезоне је мудар први корак за све проблеме који се могу појавити.
Покрените судо фирезоне-цтл таил да видите дневнике Фирезоне.
Већина проблема са повезивањем са Фирезоне-ом узрокована је некомпатибилним иптаблес или нфтаблес правилима. Морате бити сигурни да правила која имате на снази нису у супротности са правилима Фирезоне.
Уверите се да ланац ФОРВАРД дозвољава пакете са ваших ВиреГуард клијената на локације које желите да пустите кроз Фирезоне ако се ваша интернет конекција погорша сваки пут када активирате свој ВиреГуард тунел.
Ово се може постићи ако користите уфв тако што ћете осигурати да су подразумеване смернице рутирања дозвољене:
убунту@фз:~$ судо уфв подразумевано дозволи рутирање
Подразумевана смерница је промењена у „дозволи“
(обавезно ажурирајте своја правила у складу са тим)
A уфв статус типичног Фирезоне сервера може изгледати овако:
убунту@фз:~$ судо уфв статус вербосе
Статус: активан
Пријављивање: укључено (ниско)
Подразумевано: забрани (долазно), дозволи (одлазно), дозволи (усмерено)
Нови профили: прескочи
За акцију од
— —— —-
22/тцп ДОЗВОЛИ УЛАЗАК било где
80/тцп ДОЗВОЛИ УЛАЗАК било где
443/тцп ДОЗВОЛИ УЛАЗАК било где
51820/удп Дозволи било где
22/тцп (в6) ДОЗВОЛИ УЛАЗАК било где (в6)
80/тцп (в6) ДОЗВОЛИ УЛАЗАК било где (в6)
443/тцп (в6) ДОЗВОЉАВАЊЕ било где (в6)
51820/удп (в6) Дозволи било где (в6)
Саветујемо да ограничите приступ веб интерфејсу за изузетно осетљиве и критичне производне примене, као што је објашњено у наставку.
сервис | Подразумевани порт | Слушајте адресу | Opis |
Нгинк | КСНУМКС, КСНУМКС | све | Јавни ХТТП(С) порт за администрирање Фирезоне-а и олакшавање аутентификације. |
Вирегуард | 51820 | све | Јавни ВиреГуард порт који се користи за ВПН сесије. (УДП) |
Постгрескл | 15432 | 127.0.0.1 | Локални порт који се користи за укључени Постгрескл сервер. |
Феникс | 13000 | 127.0.0.1 | Локални порт који користи узводни сервер апликација за еликсир. |
Саветујемо вам да размислите о ограничавању приступа Фирезоне-овом јавно изложеном веб корисничком интерфејсу (подразумевано портови 443/тцп и 80/тцп) и уместо тога користите ВиреГуард тунел за управљање Фирезоне-ом за производне и јавне примене где ће бити задужен један администратор креирања и дистрибуције конфигурација уређаја крајњим корисницима.
На пример, ако је администратор креирао конфигурацију уређаја и направио тунел са локалном ВиреГуард адресом 10.3.2.2, следећа уфв конфигурација би омогућила администратору да приступи Фирезоне веб корисничком интерфејсу на серверском вг-фирезоне интерфејсу користећи подразумевану 10.3.2.1 адреса тунела:
роот@демо:~# уфв статус вербосе
Статус: активан
Пријављивање: укључено (ниско)
Подразумевано: забрани (долазно), дозволи (одлазно), дозволи (усмерено)
Нови профили: прескочи
За акцију од
— —— —-
22/тцп ДОЗВОЛИ УЛАЗАК било где
51820/удп Дозволи било где
Било где ДОЗВОЛИ У 10.3.2.2
22/тцп (в6) ДОЗВОЛИ УЛАЗАК било где (в6)
51820/удп (в6) Дозволи било где (в6)
Ово би остало само 22/тцп изложен за ССХ приступ за управљање сервером (опционо), и 51820/нед изложен у циљу успостављања ВиреГуард тунела.
Фирезоне повезује Постгрескл сервер и одговара пскл услужни програм који се може користити из локалне љуске на следећи начин:
/опт/фирезоне/ембеддед/бин/пскл \
-У пожарна зона \
-д пожарна зона \
-х локални хост \
-п 15432 \
-ц “СКЛ_СТАТЕМЕНТ”
Ово може бити од помоћи у сврхе отклањања грешака.
Уобичајени задаци:
Списак свих корисника:
/опт/фирезоне/ембеддед/бин/пскл \
-У пожарна зона \
-д пожарна зона \
-х локални хост \
-п 15432 \
-ц „ИЗАБИР * ИЗ корисника;“
Списак свих уређаја:
/опт/фирезоне/ембеддед/бин/пскл \
-У пожарна зона \
-д пожарна зона \
-х локални хост \
-п 15432 \
-ц „ИЗАБИР * ИЗ уређаја;“
Промените корисничку улогу:
Подесите улогу на 'админ' или 'непривилегед':
/опт/фирезоне/ембеддед/бин/пскл \
-У пожарна зона \
-д пожарна зона \
-х локални хост \
-п 15432 \
-ц „АЖУРИРАЈ кориснике СЕТ роле = 'админ' ВХЕРЕ емаил = 'усер@екампле.цом';”
Прављење резервне копије базе података:
Штавише, укључен је и пг думп програм, који се може користити за прављење редовних резервних копија базе података. Извршите следећи код да бисте копирали копију базе података у уобичајеном формату СКЛ упита (замените /патх/то/бацкуп.скл локацијом на којој треба да се креира СКЛ датотека):
/опт/фирезоне/ембеддед/бин/пг_думп \
-У пожарна зона \
-д пожарна зона \
-х локални хост \
-п 15432 > /путања/до/бацкуп.скл
Након што се Фирезоне успешно примени, морате додати кориснике да бисте им омогућили приступ вашој мрежи. За ово се користи веб кориснички интерфејс.
Одабиром дугмета „Додај корисника“ под /усерс, можете додати корисника. Од вас ће се тражити да дате кориснику адресу е-поште и лозинку. Да би аутоматски омогућио приступ корисницима у вашој организацији, Фирезоне такође може да се повеже и синхронизује са добављачем идентитета. Више детаља је доступно у потврдити. < Додајте везу у Аутхентицате
Саветујемо да захтевате од корисника да креирају сопствене конфигурације уређаја тако да приватни кључ буде видљив само њима. Корисници могу да генеришу сопствене конфигурације уређаја пратећи упутства на Упутства за клијенте страна.
Администратори Фирезоне могу креирати све конфигурације корисничких уређаја. На страници корисничког профила која се налази на /усерс, изаберите опцију „Додај уређај“ да бисте то постигли.
[Убаци снимак екрана]
Можете да пошаљете е-пошту кориснику ВиреГуард конфигурациону датотеку након креирања профила уређаја.
Корисници и уређаји су повезани. За више детаља о томе како додати корисника, погледајте Додај кориснике.
Коришћењем система нетфилтер кернела, Фирезоне омогућава излазне могућности филтрирања за спецификацију ДРОП или АЦЦЕПТ пакета. Сав саобраћај је нормално дозвољен.
ИПв4 и ИПв6 ЦИДР-ови и ИП адресе су подржани преко Листе дозвољених и Денилист-а, респективно. Можете одабрати да обим правила за корисника када га додате, што правило примењује на све уређаје тог корисника.
Инсталирајте и конфигуришите
Да бисте успоставили ВПН везу користећи изворни ВиреГуард клијент, погледајте овај водич.
Званични ВиреГуард клијенти који се налазе овде су компатибилни са Фирезоне:
Посетите званичну веб локацију ВиреГуард на хттпс://ввв.вирегуард.цом/инсталл/ за ОС системе који нису горе наведени.
Ваш Фирезоне администратор или ви можете да генеришете конфигурациону датотеку уређаја користећи Фирезоне портал.
Посетите УРЛ који вам је администратор Фирезоне навео да бисте сами генерисали конфигурациону датотеку уређаја. Ваша фирма ће имати јединствени УРЛ за ово; у овом случају, то је хттпс://инстанце-ид.иоурфирезоне.цом.
Пријавите се на Фирезоне Окта ССО
[Убаци снимак екрана]
Увезите датотеку .цонф у ВиреГуард клијент тако што ћете је отворити. Окретањем прекидача за активирање можете започети ВПН сесију.
[Убаци снимак екрана]
Пратите упутства у наставку ако је ваш мрежни администратор наложио понављајућу аутентификацију да би ваша ВПН веза остала активна.
Потребан вам је:
УРЛ Фирезоне портала: Питајте свог мрежног администратора за везу.
Ваш мрежни администратор би требало да буде у могућности да понуди вашу пријаву и лозинку. Сајт Фирезоне ће од вас затражити да се пријавите помоћу услуге јединствене пријаве коју користи ваш послодавац (као што је Гоогле или Окта).
[Убаци снимак екрана]
Идите на УРЛ Фирезоне портала и пријавите се користећи акредитиве које вам је дао администратор мреже. Ако сте већ пријављени, кликните на дугме Поново потврди аутентичност пре него што се поново пријавите.
[Убаци снимак екрана]
[Убаци снимак екрана]
Да бисте увезли ВиреГуард конфигурациони профил користећи Нетворк Манагер ЦЛИ на Линук уређајима, пратите ова упутства (нмцли).
Ако профил има омогућену подршку за ИПв6, покушај увоза конфигурационе датотеке помоћу ГУИ мрежног менаџера можда неће успети са следећом грешком:
ипв6.метход: метод „ауто” није подржан за ВиреГуард
Неопходно је инсталирати услужне програме за кориснички простор ВиреГуард. Ово ће бити пакет који се зове вирегуард или вирегуард-тоолс за Линук дистрибуције.
За Убунту/Дебиан:
судо апт инсталл вирегуард
Да бисте користили Федора:
судо днф инсталл вирегуард-тоолс
Арцх Линук:
судо пацман -С вирегуард-тоолс
Посетите званичну веб локацију ВиреГуард на хттпс://ввв.вирегуард.цом/инсталл/ за дистрибуције које нису горе поменуте.
Ваш Фирезоне администратор или само-генерисање може да генерише конфигурациону датотеку уређаја користећи Фирезоне портал.
Посетите УРЛ који вам је администратор Фирезоне навео да бисте сами генерисали конфигурациону датотеку уређаја. Ваша фирма ће имати јединствени УРЛ за ово; у овом случају, то је хттпс://инстанце-ид.иоурфирезоне.цом.
[Убаци снимак екрана]
Увезите испоручену конфигурациону датотеку користећи нмцли:
судо нмцли конекција тип увоза вирегуард фајл /патх/то/цонфигуратион.цонф
Име конфигурационе датотеке ће одговарати ВиреГуард вези/интерфејсу. Након увоза, веза се може преименовати ако је потребно:
нмцли конекција измени [старо име] цоннецтион.ид [ново име]
Преко командне линије повежите се на ВПН на следећи начин:
нмцли веза горе [впн име]
Да бисте прекинули везу:
нмцли веза је прекинута [впн име]
Применљиви аплет Нетворк Манагер се такође може користити за управљање везом ако се користи ГУИ.
Одабиром „да“ за опцију аутоматског повезивања, ВПН веза се може конфигурисати да се аутоматски повезује:
нмцли конекција модификује [впн име] везу. <<<<<<<<<<<<<<<<<<<<<<<
аутоматско повезивање да
Да бисте онемогућили аутоматску везу, вратите је на не:
нмцли конекција модификује [впн име] везу.
аутоцоннецт бр
Да бисте активирали МФА Идите на /кориснички налог/региструјте мфа страницу Фирезоне портала. Користите своју апликацију за аутентификацију да скенирате КР код након што је генерисан, а затим унесите шестоцифрени код.
Контактирајте свог администратора да ресетује приступне информације за налог ако замените апликацију за аутентификацију.
Овај водич ће вас провести кроз процес подешавања ВиреГуард-ове функције подељеног тунела са Фирезоне-ом тако да се само саобраћај до одређених ИП опсега прослеђује преко ВПН сервера.
Опсези ИП адреса за које ће клијент усмеравати мрежни саобраћај су наведени у пољу Дозвољене ИП адресе које се налази на страници /сеттингс/дефаулт. Промене у овом пољу ће утицати само на новокреиране конфигурације тунела ВиреГуард које производи Фирезоне.
[Убаци снимак екрана]
Подразумевана вредност је 0.0.0.0/0, ::/0, која усмерава сав мрежни саобраћај са клијента на ВПН сервер.
Примери вредности у овом пољу укључују:
0.0.0.0/0, ::/0 – сав мрежни саобраћај ће бити преусмерен на ВПН сервер.
192.0.2.3/32 – само саобраћај на једну ИП адресу биће преусмерен на ВПН сервер.
3.5.140.0/22 – само саобраћај ка ИП адресама у опсегу 3.5.140.1 – 3.5.143.254 биће преусмерен на ВПН сервер. У овом примеру је коришћен ЦИДР опсег за регион ап-нортхеаст-2 АВС.
Фирезоне прво бира излазни интерфејс повезан са најпрецизнијом рутом када одређује где да усмери пакет.
Корисници морају регенерисати конфигурационе датотеке и додати их свом изворном ВиреГуард клијенту како би ажурирали постојеће корисничке уређаје новом конфигурацијом подељеног тунела.
За упутства погледајте додај уређај. <<<<<<<<<<<< Додај везу
Овај приручник ће показати како повезати два уређаја користећи Фирезоне као релеј. Један типичан случај употребе је да се администратору омогући приступ серверу, контејнеру или машини која је заштићена НАТ-ом или заштитним зидом.
Ова илустрација показује једноставан сценарио у коме уређаји А и Б граде тунел.
[Убаци архитектонску слику ватрене зоне]
Започните креирањем уређаја А и уређаја Б тако што ћете отићи на /усерс/[усер_ид]/нев_девице. У подешавањима за сваки уређај, уверите се да су следећи параметри подешени на вредности наведене у наставку. Можете подесити подешавања уређаја када креирате конфигурацију уређаја (погледајте Додавање уређаја). Ако треба да ажурирате подешавања на постојећем уређају, то можете учинити тако што ћете генерисати нову конфигурацију уређаја.
Имајте на уму да сви уређаји имају страницу /сеттингс/дефаултс на којој се може конфигурисати ПерсистентКеепаливе.
Дозвољени ИП-ови = 10.3.2.2/32
Ово је ИП или опсег ИП адреса уређаја Б
ПерсистентКеепаливе = 25
Ако се уређај налази иза НАТ-а, то осигурава да је уређај у стању да одржава тунел у животу и да настави да прима пакете са ВиреГуард интерфејса. Обично је довољна вредност од 25, али ћете можда морати да смањите ову вредност у зависности од окружења.
Дозвољени ИП-ови = 10.3.2.3/32
Ово је ИП или опсег ИП адреса уређаја А
ПерсистентКеепаливе = 25
Овај пример показује ситуацију у којој Уређај А може да комуницира са Уређајима Б до Д у оба смера. Ово подешавање може представљати инжењера или администратора који приступа бројним ресурсима (серверима, контејнерима или машинама) преко различитих мрежа.
[Архитектонски дијаграм]<<<<<<<<<<<<<<<<<<<<<<<<
Уверите се да су следећа подешавања направљена у подешавањима сваког уређаја на одговарајуће вредности. Када креирате конфигурацију уређаја, можете одредити подешавања уређаја (погледајте Додавање уређаја). Нова конфигурација уређаја може се креирати ако је потребно ажурирати подешавања на постојећем уређају.
Дозвољени ИП-ови = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Ово је ИП адреса уређаја Б до Д. ИП адресе уређаја Б до Д морају бити укључене у било који ИП опсег који одаберете да поставите.
ПерсистентКеепаливе = 25
Ово гарантује да уређај може да одржава тунел и да настави да прима пакете са ВиреГуард интерфејса чак и ако је заштићен НАТ-ом. У већини случајева, вредност од 25 је адекватна, међутим, у зависности од вашег окружења, можда ћете морати да смањите ову цифру.
Да бисте понудили једну, статичку излазну ИП адресу за цео саобраћај вашег тима који може да тече, Фирезоне се може користити као НАТ гатеваи. Ове ситуације укључују његову честу употребу:
Консултативни ангажмани: Захтевајте да ваш клијент стави на белу листу једну статичку ИП адресу уместо јединствене ИП адресе уређаја сваког запосленог.
Коришћење проксија или маскирање изворне ИП адресе у сврхе безбедности или приватности.
Једноставан пример ограничавања приступа веб апликацији која се хостује на једном статичком ИП-у са беле листе који покреће Фирезоне биће приказан у овом посту. На овој илустрацији, Фирезоне и заштићени ресурс су у различитим ВПЦ областима.
Ово решење се често користи уместо управљања белом листом ИП адреса за бројне крајње кориснике, што може бити дуготрајно како се листа приступа шири.
Наш циљ је да поставимо Фирезоне сервер на ЕЦ2 инстанци да преусмери ВПН саобраћај на ограничени ресурс. У овом случају, Фирезоне служи као мрежни прокси или НАТ гатеваи да би сваком повезаном уређају дао јединствени јавни излазни ИП.
У овом случају, ЕЦ2 инстанца под називом тц2.мицро има инсталирану Фирезоне инстанцу. За информације о постављању Фирезоне, идите у Водич за примену. У вези са АВС-ом, будите сигурни:
Сигурносна група инстанце Фирезоне ЕЦ2 дозвољава одлазни саобраћај на ИП адресу заштићеног ресурса.
Инстанца Фирезоне долази са еластичном ИП-ом. Саобраћај који се прослеђује преко Фирезоне инстанце на спољна одредишта имаће ово као своју изворну ИП адресу. ИП адреса у питању је 52.202.88.54.
[Убаци снимак екрана]<<<<<<<<<<<<<<<<<<<<<<<<<
Као заштићени ресурс у овом случају служи веб апликација која се сама хостује. Веб апликацији се може приступити само захтевима који долазе са ИП адресе 52.202.88.54. У зависности од ресурса, може бити неопходно дозволити улазни саобраћај на различитим портовима и типовима саобраћаја. Ово није покривено у овом приручнику.
[Убаци снимак екрана]<<<<<<<<<<<<<<<<<<<<<<<<<
Реците трећој страни задуженој за заштићени ресурс да саобраћај са статичке ИП адресе дефинисане у кораку 1 мора бити дозвољен (у овом случају 52.202.88.54).
Подразумевано, сав кориснички саобраћај ће ићи преко ВПН сервера и долазити са статичке ИП адресе која је конфигурисана у кораку 1 (у овом случају 52.202.88.54). Међутим, ако је подељено тунелирање омогућено, подешавања би могла бити неопходна да би се осигурало да је одредишна ИП адреса заштићеног ресурса наведена међу дозвољеним ИП адресама.
У наставку је приказан комплетан списак опција конфигурације које су доступне у /етц/фирезоне/фирезоне.рб.
опција | опис | задана вриједност |
дефаулт['фирезоне']['ектернал_урл'] | УРЛ који се користи за приступ веб порталу ове Фирезоне инстанце. | „хттпс://#{ноде['фкдн'] || ноде['име хоста']}” |
дефаулт['фирезоне']['цонфиг_дирецтори'] | Директоријум највишег нивоа за конфигурацију Фирезоне. | /етц/фирезоне' |
дефаулт['фирезоне']['инсталл_дирецтори'] | Директоријум највишег нивоа за инсталирање Фирезоне-а. | /опт/фирезоне' |
дефаулт['фирезоне']['апп_дирецтори'] | Директоријум највишег нивоа за инсталирање веб апликације Фирезоне. | „#{ноде['фирезоне']['инсталл_дирецтори']}/ембеддед/сервице/фирезоне” |
дефаулт['фирезоне']['лог_дирецтори'] | Директоријум највишег нивоа за евиденције Фирезоне. | /вар/лог/фирезоне' |
дефаулт['фирезоне']['вар_дирецтори'] | Директоријум највишег нивоа за датотеке времена извршавања Фирезоне. | /вар/опт/фирезоне' |
дефаулт['фирезоне']['усер'] | Име непривилегованог корисника Линука коме ће припадати већина услуга и датотека. | ватрена зона' |
дефаулт['фирезоне']['гроуп'] | Назив Линук групе којој ће припадати већина услуга и датотека. | ватрена зона' |
дефаулт['фирезоне']['админ_емаил'] | Адреса е-поште за почетног корисника Фирезоне. | “фирезоне@лоцалхост” |
дефаулт['фирезоне']['мак_девицес_пер_усер'] | Максималан број уређаја који корисник може да има. | 10 |
дефаулт['фирезоне']['аллов_унпривилегед_девице_манагемент'] | Омогућава корисницима који нису администратори да креирају и бришу уређаје. | ТАЧНО |
дефаулт['фирезоне']['аллов_унпривилегед_девице_цонфигуратион'] | Омогућава корисницима који нису администратори да мењају конфигурације уређаја. Када је онемогућено, спречава непривилеговане кориснике да мењају сва поља уређаја осим имена и описа. | ТАЧНО |
дефаулт['фирезоне']['егресс_интерфаце'] | Назив интерфејса на ком ће се излазити тунелски саобраћај. Ако је нула, користиће се подразумевани интерфејс руте. | нула |
дефаулт['фирезоне']['фипс_енаблед'] | Омогућите или онемогућите ОпенССЛ ФИП режим. | нула |
дефаулт['фирезоне']['логгинг']['енаблед'] | Омогућите или онемогућите евидентирање у Фирезоне-у. Поставите на нетачно да бисте у потпуности онемогућили евидентирање. | ТАЧНО |
дефаулт['ентерприсе']['наме'] | Назив који користи кувар „предузећа“ кувар. | ватрена зона' |
дефаулт['фирезоне']['инсталл_патх'] | Путања за инсталацију коју користи кувар кувара „предузеће“. Требало би да буде подешено на исто као инсталл_дирецтори изнад. | ноде['фирезоне']['инсталл_дирецтори'] |
дефаулт['фирезоне']['сисвинит_ид'] | Идентификатор који се користи у /етц/иниттаб. Мора бити јединствена секвенца од 1-4 знака. | СУП' |
дефаулт['фирезоне']['аутхентицатион']['лоцал']['енаблед'] | Омогућите или онемогућите локалну аутентификацију е-поште/лозинке. | ТАЧНО |
дефаулт['фирезоне']['аутхентицатион']['ауто_цреате_оидц_усерс'] | Аутоматски креирајте кориснике који се први пут пријављују са ОИДЦ-а. Онемогућите да бисте дозволили само постојећим корисницима да се пријаве преко ОИДЦ-а. | ТАЧНО |
дефаулт['фирезоне']['аутхентицатион']['дисабле_впн_он_оидц_еррор'] | Онемогућите ВПН корисника ако се открије грешка при покушају освежавања њиховог ОИДЦ токена. | ЛАЖ |
дефаулт['фирезоне']['аутхентицатион']['оидц'] | ОпенИД Цоннецт конфигурација, у формату {“провидер” => [цонфиг…]} – Погледајте ОпенИДЦоннецт документација за примере конфигурације. | {} |
дефаулт['фирезоне']['нгинк']['енаблед'] | Омогућите или онемогућите укључени нгинк сервер. | ТАЧНО |
дефаулт['фирезоне']['нгинк']['ссл_порт'] | ХТТПС порт за слушање. | 443 |
дефаулт['фирезоне']['нгинк']['дирецтори'] | Директоријум за складиштење конфигурације виртуелног хоста нгинк везану за Фирезоне. | „#{ноде['фирезоне']['вар_дирецтори']}/нгинк/етц” |
дефаулт['фирезоне']['нгинк']['лог_дирецтори'] | Директоријум за складиштење нгинк датотека евиденције које се односе на Фирезоне. | „#{ноде['фирезоне']['лог_дирецтори']}/нгинк” |
дефаулт['фирезоне']['нгинк']['лог_ротатион']['филе_макбитес'] | Величина датотеке на којој се ротирају Нгинк датотеке евиденције. | 104857600 |
дефаулт['фирезоне']['нгинк']['лог_ротатион']['нум_то_кееп'] | Број Фирезоне нгинк датотека евиденције које треба чувати пре одбацивања. | 10 |
дефаулт['фирезоне']['нгинк']['лог_к_форвардед_фор'] | Да ли да се евидентира Фирезоне нгинк к-форвардед-фор заглавље. | ТАЧНО |
дефаулт['фирезоне']['нгинк']['хстс_хеадер']['енаблед'] | ТАЧНО | |
дефаулт['фирезоне']['нгинк']['хстс_хеадер']['инцлуде_субдомаинс'] | Омогућите или онемогућите инцлудеСубДомаинс за ХСТС заглавље. | ТАЧНО |
дефаулт['фирезоне']['нгинк']['хстс_хеадер']['мак_аге'] | Максимална старост за ХСТС заглавље. | 31536000 |
дефаулт['фирезоне']['нгинк']['редирецт_то_цаноницал'] | Да ли да преусмерите УРЛ адресе на канонски ФКДН наведен изнад | ЛАЖ |
дефаулт['фирезоне']['нгинк']['цацхе']['енаблед'] | Омогућите или онемогућите Фирезоне нгинк кеш меморију. | ЛАЖ |
дефаулт['фирезоне']['нгинк']['цацхе']['дирецтори'] | Директоријум за Фирезоне нгинк кеш. | „#{ноде['фирезоне']['вар_дирецтори']}/нгинк/цацхе” |
дефаулт['фирезоне']['нгинк']['усер'] | Корисник Фирезоне нгинк. | ноде['фирезоне']['усер'] |
дефаулт['фирезоне']['нгинк']['гроуп'] | Фирезоне нгинк група. | ноде['фирезоне']['гроуп'] |
дефаулт['фирезоне']['нгинк']['дир'] | Конфигурациони директоријум нгинк највишег нивоа. | ноде['фирезоне']['нгинк']['дирецтори'] |
дефаулт['фирезоне']['нгинк']['лог_дир'] | Директоријум нгинк дневника највишег нивоа. | ноде['фирезоне']['нгинк']['лог_дирецтори'] |
дефаулт['фирезоне']['нгинк']['пид'] | Локација за нгинк пид датотеку. | „#{ноде['фирезоне']['нгинк']['дирецтори']}/нгинк.пид” |
дефаулт['фирезоне']['нгинк']['даемон_дисабле'] | Онемогућите нгинк демонски режим да бисмо могли да га надгледамо. | ТАЧНО |
дефаулт['фирезоне']['нгинк']['гзип'] | Укључите или искључите нгинк гзип компресију. | на' |
дефаулт['фирезоне']['нгинк']['гзип_статиц'] | Укључите или искључите нгинк гзип компресију за статичке датотеке. | ван' |
дефаулт['фирезоне']['нгинк']['гзип_хттп_версион'] | ХТТП верзија за сервирање статичких датотека. | КСНУМКС ' |
дефаулт['фирезоне']['нгинк']['гзип_цомп_левел'] | нгинк гзип ниво компресије. | КСНУМКС ' |
дефаулт['фирезоне']['нгинк']['гзип_прокиед'] | Омогућава или онемогућава гзипирање одговора за прокси захтеве у зависности од захтева и одговора. | било који' |
дефаулт['фирезоне']['нгинк']['гзип_вари'] | Омогућава или онемогућава уметање заглавља одговора „Вари: Аццепт-Енцодинг“. | ван' |
дефаулт['фирезоне']['нгинк']['гзип_буфферс'] | Поставља број и величину бафера који се користе за компримовање одговора. Ако је нула, користи се подразумевани нгинк. | нула |
дефаулт['фирезоне']['нгинк']['гзип_типес'] | МИМЕ типови за омогућавање гзип компресије за. | ['тект/плаин', 'тект/цсс','апплицатион/к-јавасцрипт', 'тект/кмл', 'апплицатион/кмл', 'апплицатион/рсс+кмл', 'апплицатион/атом+кмл', ' тект/јавасцрипт', 'апплицатион/јавасцрипт', 'апплицатион/јсон'] |
дефаулт['фирезоне']['нгинк']['гзип_мин_ленгтх'] | Минимална дужина датотеке за омогућавање гзип компресије датотеке. | 1000 |
дефаулт['фирезоне']['нгинк']['гзип_дисабле'] | Упаривач корисничког агента за онемогућавање гзип компресије. | МСИЕ [1-6]\.' |
дефаулт['фирезоне']['нгинк']['кеепаливе'] | Активира кеш меморију за повезивање са упстреам серверима. | на' |
дефаулт['фирезоне']['нгинк']['кеепаливе_тимеоут'] | Временско ограничење у секундама за одржавање везе са упстреам серверима. | 65 |
дефаулт['фирезоне']['нгинк']['воркер_процессес'] | Број нгинк радних процеса. | ноде['цпу'] && ноде['цпу']['тотал'] ? чвор['цпу']['укупно'] : 1 |
дефаулт['фирезоне']['нгинк']['воркер_цоннецтионс'] | Максималан број истовремених веза које може да отвори радни процес. | 1024 |
дефаулт['фирезоне']['нгинк']['воркер_рлимит_нофиле'] | Мења ограничење максималног броја отворених датотека за радне процесе. Користи нгинк подразумевани ако је нула. | нула |
дефаулт['фирезоне']['нгинк']['мулти_аццепт'] | Да ли радници треба да прихвате једну по једну везу или више. | ТАЧНО |
дефаулт['фирезоне']['нгинк']['евент'] | Одређује метод обраде везе који ће се користити унутар нгинк контекста догађаја. | еполл' |
дефаулт['фирезоне']['нгинк']['сервер_токенс'] | Омогућава или онемогућава емитовање нгинк верзије на страницама са грешкама и у пољу заглавља одговора „Сервер“. | нула |
дефаулт['фирезоне']['нгинк']['сервер_намес_хасх_буцкет_сизе'] | Поставља величину сегмента за хеш табеле имена сервера. | 64 |
дефаулт['фирезоне']['нгинк']['сендфиле'] | Омогућава или онемогућава употребу нгинк-ове сендфиле(). | на' |
дефаулт['фирезоне']['нгинк']['аццесс_лог_оптионс'] | Поставља опције дневника приступа нгинк-у. | нула |
дефаулт['фирезоне']['нгинк']['еррор_лог_оптионс'] | Поставља нгинк опције евиденције грешака. | нула |
дефаулт['фирезоне']['нгинк']['дисабле_аццесс_лог'] | Онемогућава дневник приступа нгинк-у. | ЛАЖ |
дефаулт['фирезоне']['нгинк']['типес_хасх_мак_сизе'] | нгинк типови хеш максималне величине. | 2048 |
дефаулт['фирезоне']['нгинк']['типес_хасх_буцкет_сизе'] | нгинк типови величине хеш корпе. | 64 |
дефаулт['фирезоне']['нгинк']['проки_реад_тимеоут'] | Временско ограничење за читање нгинк проксија. Поставите на нил да бисте користили подразумевани нгинк. | нула |
дефаулт['фирезоне']['нгинк']['цлиент_боди_буффер_сизе'] | Величина бафера тела нгинк клијента. Поставите на нил да бисте користили подразумевани нгинк. | нула |
дефаулт['фирезоне']['нгинк']['цлиент_мак_боди_сизе'] | Максимална величина тела нгинк клијента. | 250м' |
дефаулт['фирезоне']['нгинк']['дефаулт']['модулес'] | Наведите додатне нгинк модуле. | [] |
дефаулт['фирезоне']['нгинк']['енабле_рате_лимитинг'] | Омогућите или онемогућите нгинк ограничење брзине. | ТАЧНО |
дефаулт['фирезоне']['нгинк']['рате_лимитинг_зоне_наме'] | Назив зоне за ограничавање брзине Нгинк-а. | ватрена зона' |
дефаулт['фирезоне']['нгинк']['рате_лимитинг_бацкофф'] | Повлачење ограничења брзине Нгинк-а. | 10м' |
дефаулт['фирезоне']['нгинк']['рате_лимит'] | Нгинк ограничење брзине. | 10р/с' |
дефаулт['фирезоне']['нгинк']['ипв6'] | Дозволите нгинк-у да слуша ХТТП захтеве за ИПв6 поред ИПв4. | ТАЧНО |
дефаулт['фирезоне']['постгрескл']['енаблед'] | Омогућите или онемогућите укључени Постгрескл. Поставите на фалсе и попуните опције базе података испод да бисте користили сопствену Постгрескл инстанцу. | ТАЧНО |
дефаулт['фирезоне']['постгрескл']['усернаме'] | Корисничко име за Постгрескл. | ноде['фирезоне']['усер'] |
дефаулт['фирезоне']['постгрескл']['дата_дирецтори'] | Постгрескл директоријум података. | “#{ноде['фирезоне']['вар_дирецтори']}/постгрескл/13.3/дата” |
дефаулт['фирезоне']['постгрескл']['лог_дирецтори'] | Постгрескл директоријум дневника. | „#{ноде['фирезоне']['лог_дирецтори']}/постгрескл” |
дефаулт['фирезоне']['постгрескл']['лог_ротатион']['филе_макбитес'] | Максимална величина Постгрескл датотеке дневника пре него што се ротира. | 104857600 |
дефаулт['фирезоне']['постгрескл']['лог_ротатион']['нум_то_кееп'] | Број Постгрескл датотека евиденције које треба чувати. | 10 |
дефаулт['фирезоне']['постгрескл']['цхецкпоинт_цомплетион_таргет'] | Циљ постгрескл контролне тачке. | 0.5 |
дефаулт['фирезоне']['постгрескл']['цхецкпоинт_сегментс'] | Број сегмената контролне тачке Постгрескл. | 3 |
дефаулт['фирезоне']['постгрескл']['цхецкпоинт_тимеоут'] | Временско ограничење Постгрескл контролне тачке. | 5 мин' |
дефаулт['фирезоне']['постгрескл']['цхецкпоинт_варнинг'] | Време упозорења за Постгрескл контролну тачку у секундама. | 30с' |
дефаулт['фирезоне']['постгрескл']['еффецтиве_цацхе_сизе'] | Постгрескл ефективна величина кеша. | 128МБ' |
дефаулт['фирезоне']['постгрескл']['листен_аддресс'] | Постгрескл адресу за слушање. | КСНУМКС ' |
дефаулт['фирезоне']['постгрескл']['мак_цоннецтионс'] | Постгрескл максималне везе. | 350 |
дефаулт['фирезоне']['постгрескл']['мд5_аутх_цидр_аддрессес'] | Постгрескл ЦИДР-ови који омогућавају мд5 аутх. | ['127.0.0.1/32', '::1/128'] |
дефаулт['фирезоне']['постгрескл']['порт'] | Постгрескл порт за слушање. | 15432 |
дефаулт['фирезоне']['постгрескл']['схаред_буфферс'] | Величина постгрескл дељених бафера. | „#{(чвор['мемори']['тотал'].то_и / 4) / 1024}МБ“ |
дефаулт['фирезоне']['постгрескл']['схммак'] | Постгрескл схммак у бајтовима. | 17179869184 |
дефаулт['фирезоне']['постгрескл']['схмалл'] | Постгрескл схмалл у бајтовима. | 4194304 |
дефаулт['фирезоне']['постгрескл']['ворк_мем'] | Величина Постгрескл радне меморије. | 8МБ' |
дефаулт['фирезоне']['датабасе']['усер'] | Одређује корисничко име које ће Фирезоне користити за повезивање са ДБ-ом. | ноде['фирезоне']['постгрескл']['усернаме'] |
дефаулт['фирезоне']['датабасе']['пассворд'] | Ако користите екстерни ДБ, наводи лозинку коју ће Фирезоне користити за повезивање са ДБ-ом. | промени ме' |
дефаулт['фирезоне']['датабасе']['наме'] | База података коју ће Фирезоне користити. Биће креиран ако не постоји. | ватрена зона' |
дефаулт['фирезоне']['датабасе']['хост'] | Хост базе података на који ће се Фирезоне повезати. | ноде['фирезоне']['постгрескл']['листен_аддресс'] |
дефаулт['фирезоне']['датабасе']['порт'] | Порт базе података на који ће се Фирезоне повезати. | ноде['фирезоне']['постгрескл']['порт'] |
дефаулт['фирезоне']['датабасе']['поол'] | Фирезоне ће користити величину базена базе података. | [10, Етц.нпроцессорс].мак |
дефаулт['фирезоне']['датабасе']['ссл'] | Да ли да се повежете са базом података преко ССЛ-а. | ЛАЖ |
дефаулт['фирезоне']['датабасе']['ссл_оптс'] | {} | |
дефаулт['фирезоне']['датабасе']['параметерс'] | {} | |
дефаулт['фирезоне']['датабасе']['ектенсионс'] | Екстензије базе података које треба омогућити. | { 'плпгскл' => тачно, 'пг_тргм' => тачно } |
дефаулт['фирезоне']['пхоеник']['енаблед'] | Омогућите или онемогућите веб апликацију Фирезоне. | ТАЧНО |
дефаулт['фирезоне']['пхоеник']['листен_аддресс'] | Адреса за слушање веб апликације Фирезоне. Ово ће бити упстреам адреса за слушање коју нгинк проксије. | КСНУМКС ' |
дефаулт['фирезоне']['пхоеник']['порт'] | Порт за слушање Фирезоне веб апликације. Ово ће бити узводни порт који нгинк проксије. | 13000 |
дефаулт['фирезоне']['пхоеник']['лог_дирецтори'] | Директоријум дневника Фирезоне веб апликација. | „#{ноде['фирезоне']['лог_дирецтори']}/пхоеник” |
дефаулт['фирезоне']['пхоеник']['лог_ротатион']['филе_макбитес'] | Величина датотеке евиденције Фирезоне веб апликације. | 104857600 |
дефаулт['фирезоне']['пхоеник']['лог_ротатион']['нум_то_кееп'] | Број датотека евиденције Фирезоне веб апликација које треба чувати. | 10 |
дефаулт['фирезоне']['пхоеник']['црасх_детецтион']['енаблед'] | Омогућите или онемогућите обарање веб апликације Фирезоне када се открије пад. | ТАЧНО |
дефаулт['фирезоне']['пхоеник']['ектернал_трустед_прокиес'] | Листа поузданих обрнутих проксија форматираних као низ ИП адреса и/или ЦИДР-ова. | [] |
дефаулт['фирезоне']['пхоеник']['привате_цлиентс'] | Листа ХТТП клијената приватне мреже, форматираних низом ИП-ова и/или ЦИДР-ова. | [] |
дефаулт['фирезоне']['вирегуард']['енаблед'] | Омогућите или онемогућите управљање у пакету ВиреГуард. | ТАЧНО |
дефаулт['фирезоне']['вирегуард']['лог_дирецтори'] | Директоријум дневника за управљање у пакету ВиреГуард. | „#{ноде['фирезоне']['лог_дирецтори']}/вирегуард” |
дефаулт['фирезоне']['вирегуард']['лог_ротатион']['филе_макбитес'] | Максимална величина датотеке евиденције ВиреГуард. | 104857600 |
дефаулт['фирезоне']['вирегуард']['лог_ротатион']['нум_то_кееп'] | Број ВиреГуард датотека евиденције које треба чувати. | 10 |
дефаулт['фирезоне']['вирегуард']['интерфаце_наме'] | Име интерфејса ВиреГуард. Промена овог параметра може довести до привременог губитка ВПН повезивања. | вг-фирезоне' |
дефаулт['фирезоне']['вирегуард']['порт'] | ВиреГуард порт за слушање. | 51820 |
дефаулт['фирезоне']['вирегуард']['мту'] | МТУ ВиреГуард интерфејса за овај сервер и за конфигурације уређаја. | 1280 |
дефаулт['фирезоне']['вирегуард']['ендпоинт'] | ВиреГуард Ендпоинт за коришћење за генерисање конфигурација уређаја. Ако је нула, подразумевана је јавна ИП адреса сервера. | нула |
дефаулт['фирезоне']['вирегуард']['днс'] | ВиреГуард ДНС за коришћење за генерисане конфигурације уређаја. | 1.1.1.1, 1.0.0.1′ |
дефаулт['фирезоне']['вирегуард']['алловед_ипс'] | ВиреГуард је дозвољен ИП-овима за коришћење за генерисане конфигурације уређаја. | 0.0.0.0/0, ::/0′ |
дефаулт['фирезоне']['вирегуард']['персистент_кеепаливе'] | Подразумевана поставка ПерсистентКеепаливе за генерисане конфигурације уређаја. Вредност 0 онемогућава. | 0 |
дефаулт['фирезоне']['вирегуард']['ипв4']['енаблед'] | Омогућите или онемогућите ИПв4 за ВиреГуард мрежу. | ТАЧНО |
дефаулт['фирезоне']['вирегуард']['ипв4']['маскуераде'] | Омогућите или онемогућите маскирање за пакете који напуштају ИПв4 тунел. | ТАЧНО |
дефаулт['фирезоне']['вирегуард']['ипв4']['нетворк'] | ВиреГуард мрежни скуп ИПв4 адреса. | 10.3.2.0 / 24 ′ |
дефаулт['фирезоне']['вирегуард']['ипв4']['аддресс'] | ИПв4 адреса ВиреГуард интерфејса. Мора бити у оквиру скупа адреса ВиреГуард-а. | КСНУМКС ' |
дефаулт['фирезоне']['вирегуард']['ипв6']['енаблед'] | Омогућите или онемогућите ИПв6 за ВиреГуард мрежу. | ТАЧНО |
дефаулт['фирезоне']['вирегуард']['ипв6']['маскуераде'] | Омогућите или онемогућите маскирање за пакете који напуштају ИПв6 тунел. | ТАЧНО |
дефаулт['фирезоне']['вирегуард']['ипв6']['нетворк'] | ВиреГуард мрежни скуп ИПв6 адреса. | fd00::3:2:0/120′ |
дефаулт['фирезоне']['вирегуард']['ипв6']['аддресс'] | ИПв6 адреса ВиреГуард интерфејса. Мора бити унутар скупа ИПв6 адреса. | фд00::3:2:1′ |
дефаулт['фирезоне']['рунит']['свлогд_бин'] | Рунит свлогд бин локацију. | „#{ноде['фирезоне']['инсталл_дирецтори']}/ембеддед/бин/свлогд” |
дефаулт['фирезоне']['ссл']['дирецтори'] | ССЛ директоријум за складиштење генерисаних сертификата. | /вар/опт/фирезоне/ссл' |
дефаулт['фирезоне']['ссл']['емаил_аддресс'] | Адреса е-поште коју ћете користити за самопотписане сертификате и обавештења о обнављању АЦМЕ протокола. | ви@екампле.цом' |
дефаулт['фирезоне']['ссл']['ацме']['енаблед'] | Омогућите АЦМЕ за аутоматску доделу ССЛ сертификата. Онемогућите ово да спречите Нгинк да слуша на порту 80. Види ovde за додатна упутства. | ЛАЖ |
дефаулт['фирезоне']['ссл']['ацме']['сервер'] | летсенцрипт | |
дефаулт['фирезоне']['ссл']['ацме']['кеиленгтх'] | ец-256 | |
дефаулт['фирезоне']['ссл']['цертифицате'] | Путања до датотеке сертификата за ваш ФКДН. Замењује горњу поставку АЦМЕ ако је наведена. Ако су и АЦМЕ и ово нула, генерисаће се самопотписани сертификат. | нула |
дефаулт['фирезоне']['ссл']['цертифицате_кеи'] | Путања до датотеке сертификата. | нула |
дефаулт['фирезоне']['ссл']['ссл_дхпарам'] | нгинк ссл дх_парам. | нула |
дефаулт['фирезоне']['ссл']['цоунтри_наме'] | Назив земље за самопотписани сертификат. | САД' |
дефаулт['фирезоне']['ссл']['стате_наме'] | Назив државе за самопотписани сертификат. | ЦА ' |
дефаулт['фирезоне']['ссл']['лоцалити_наме'] | Назив локације за самопотписани сертификат. | Сан Франциско' |
дефаулт['фирезоне']['ссл']['цомпани_наме'] | Самопотписани сертификат о називу компаније. | Моја компанија' |
дефаулт['фирезоне']['ссл']['организатионал_унит_наме'] | Назив организационе јединице за самопотписани сертификат. | операције' |
дефаулт['фирезоне']['ссл']['ципхерс'] | ССЛ шифре за нгинк за коришћење. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
дефаулт['фирезоне']['ссл']['фипс_ципхерс'] | ССЛ шифре за ФИП режим. | ФИПС@СТРЕНГТХ:!аНУЛЛ:!еНУЛЛ' |
дефаулт['фирезоне']['ссл']['протоцолс'] | ТЛС протоколи за коришћење. | ТЛСв1 ТЛСв1.1 ТЛСв1.2′ |
дефаулт['фирезоне']['ссл']['сессион_цацхе'] | Кеш ССЛ сесије. | схаред:ССЛ:4м' |
дефаулт['фирезоне']['ссл']['сессион_тимеоут'] | Временско ограничење ССЛ сесије. | 5м' |
дефаулт['фирезоне']['роботс_аллов'] | нгинк роботи дозвољавају. | /' |
дефаулт['фирезоне']['роботс_дисаллов'] | нгинк роботи не дозвољавају. | нула |
дефаулт['фирезоне']['оутбоунд_емаил']['фром'] | Одлазна е-пошта са адресе. | нула |
дефаулт['фирезоне']['оутбоунд_емаил']['провидер'] | Добављач услуга одлазне е-поште. | нула |
дефаулт['фирезоне']['оутбоунд_емаил']['цонфигс'] | Конфигурације добављача одлазне е-поште. | види омнибус/цоокбоокс/фирезоне/аттрибутес/дефаулт.рб |
дефаулт['фирезоне']['телеметри']['енаблед'] | Омогућите или онемогућите анонимну телеметрију производа. | ТАЧНО |
дефаулт['фирезоне']['цоннецтивити_цхецкс']['енаблед'] | Омогућите или онемогућите услугу провере повезивања Фирезоне. | ТАЧНО |
дефаулт['фирезоне']['цоннецтивити_цхецкс']['интервал'] | Интервал између провера повезивања у секундама. | КСНУМКС_КСНУМКС |
________________________________________________________________
Овде ћете пронаћи списак датотека и директоријума који се односе на типичну инсталацију Фирезоне-а. Ово се може променити у зависности од промена у вашој конфигурационој датотеци.
пут | опис |
/вар/опт/фирезоне | Директоријум највишег нивоа који садржи податке и генерисану конфигурацију за услуге у пакету Фирезоне. |
/опт/фирезоне | Директоријум највишег нивоа који садржи уграђене библиотеке, бинарне и рунтиме датотеке потребне Фирезоне-у. |
/уср/бин/фирезоне-цтл | фирезоне-цтл услужни програм за управљање вашом Фирезоне инсталацијом. |
/етц/системд/систем/фирезоне-рунсвдир-старт.сервице | системд јединична датотека за покретање процеса супервизора Фирезоне рунсвдир. |
/етц/фирезоне | Фирезоне конфигурационе датотеке. |
__________________________________________________________
Ова страница је била празна у документима
_____________________________________________________________
Следећи шаблон нфтаблес заштитног зида може да се користи за обезбеђење сервера који користи Фирезоне. Шаблон чини неке претпоставке; можда ћете морати да прилагодите правила тако да одговарају вашем случају употребе:
Фирезоне конфигурише сопствена правила нфтаблес да дозволи/одбије саобраћај ка одредиштима конфигурисаним у веб интерфејсу и да рукује излазним НАТ-ом за клијентски саобраћај.
Примена доле наведеног шаблона заштитног зида на серверу који је већ покренут (не у време покретања) резултираће брисањем правила Фирезоне. Ово може имати безбедносне импликације.
Да бисте заобишли ово, поново покрените феникс услугу:
фирезоне-цтл рестарт пхоеник
#!/уср/сбин/нфт -ф
## Обриши/испразни сва постојећа правила
флусх рулесет
################################ ПРОМЕНЉИВЕ ################# ################
## Име Интернет/ВАН интерфејса
дефинише ДЕВ_ВАН = етх0
## Име интерфејса ВиреГуард
дефинише ДЕВ_ВИРЕГУАРД = вг-фирезоне
## ВиреГуард порт за слушање
дефинише ВИРЕГУАРД_ПОРТ = 51820
############################## ПРОМЕНЉИВЕ ЕНД ################### #############
# Главна табела за филтрирање породице инет
табела инет филтер {
# Правила за прослеђени саобраћај
# Овај ланац се обрађује пре ланца напред Фирезоне
ланац напред {
тип филтер закачи приоритетни филтер унапред – 5; политика прихватити
}
# Правила за улазни саобраћај
ланчани унос {
тип филтер кука улазни приоритетни филтер; пад политике
## Дозволи улазни саобраћај ка интерфејсу повратне петље
ииф ло \
прихвати \
коментар „Дозволи сав саобраћај из интерфејса повратне петље“
## Дозволите успостављене и повезане везе
цт држава успостављена, у вези \
прихвати \
коментар „Дозволи успостављене/повезане везе“
## Дозволи улазни ВиреГуард саобраћај
ииф $ДЕВ_ВАН удп дпорт $ВИРЕГУАРД_ПОРТ \
бројач \
прихвати \
коментар „Дозволи улазни ВиреГуард саобраћај“
## Евидентирај и испусти нове ТЦП не-СИН пакете
тцп флагс != стање синхронизације ново \
лимит рате 100/минута рафала 150 пакети \
префикс дневника “ИН – Ново !СИН: “ \
коментар „Евидентирање ограничења брзине за нове везе које немају постављену СИН ТЦП заставицу“
тцп флагс != стање синхронизације ново \
бројач \
кап \
коментар „Испустите нове везе које немају постављену СИН ТЦП заставицу“
## Евидентирај и испусти ТЦП пакете са неважећом постављеном заставом фин/син
тцп флагс & (фин|син) == (фин|син) \
лимит рате 100/минута рафала 150 пакети \
префикс дневника “ИН – ТЦП ФИН|СИН: “ \
коментар „Евиденција ограничења брзине за ТЦП пакете са неважећом постављеном заставицом фин/син“
тцп флагс & (фин|син) == (фин|син) \
бројач \
кап \
коментар „Испустите ТЦП пакете са неважећом постављеном фин/син заставицом“
## Евидентирај и испусти ТЦП пакете са неважећом постављеном заставицом син/рст
тцп заставице & (син|рст) == (син|рст) \
лимит рате 100/минута рафала 150 пакети \
префикс дневника “ИН – ТЦП СИН|РСТ: “ \
коментар „Евиденција ограничења брзине за ТЦП пакете са неважећом постављеном заставицом син/рст“
тцп заставице & (син|рст) == (син|рст) \
бројач \
кап \
коментар „Испустите ТЦП пакете са неважећом постављеном заставицом син/рст“
## Евидентирај и испусти неважеће ТЦП заставице
тцп флагс & (фин|син|рст|псх|ацк|ург) < (фин) \
лимит рате 100/минута рафала 150 пакети \
префикс дневника „ИН – ФИН:“ \
коментар „Евиденција ограничења брзине за неважеће ТЦП заставице (фин|син|рст|псх|ацк|ург) < (фин)”
тцп флагс & (фин|син|рст|псх|ацк|ург) < (фин) \
бројач \
кап \
коментар „Испустите ТЦП пакете са заставицама (фин|син|рст|псх|ацк|ург) < (фин)”
## Евидентирај и испусти неважеће ТЦП заставице
тцп заставице & (фин|син|рст|псх|ацк|ург) == (фин|псх|ург) \
лимит рате 100/минута рафала 150 пакети \
префикс дневника „ИН – ФИН|ПСХ|УРГ:“ \
коментар „Евидентирање ограничења брзине за неважеће ТЦП заставице (фин|син|рст|псх|ацк|ург) == (фин|псх|ург)”
тцп заставице & (фин|син|рст|псх|ацк|ург) == (фин|псх|ург) \
бројач \
кап \
коментар “Испустите ТЦП пакете са заставицама (фин|син|рст|псх|ацк|ург) == (фин|псх|ург)”
## Искључите саобраћај са неважећим стањем везе
цт стање неважеће \
лимит рате 100/минута рафала 150 пакети \
дневник означава све префиксе „ИН – Неважеће:“ \
коментар „Евиденција ограничења брзине за саобраћај са неважећим стањем везе“
цт стање неважеће \
бројач \
кап \
коментар „Прекини саобраћај са неважећим стањем везе“
## Дозволи ИПв4 пинг/пинг одговоре али ограничење брзине на 2000 ППС
ip протокол ицмп ицмп типе { ехо-одговор, ехо-захтев } \
лимит рате 2000/секунда \
бројач \
прихвати \
коментар „Дозволи долазни ИПв4 ехо (пинг) ограничен на 2000 ППС“
## Дозволи све друге долазне ИПв4 ИЦМП
ip протокол ицмп \
бројач \
прихвати \
коментар „Дозволи све друге ИПв4 ИЦМП“
## Дозволи ИПв6 пинг/пинг одговоре али ограничење брзине на 2000 ППС
ицмпв6 типе { ецхо-репли, ецхо-рекуест } \
лимит рате 2000/секунда \
бројач \
прихвати \
коментар „Дозволи долазни ИПв6 ехо (пинг) ограничен на 2000 ППС“
## Дозволи све друге долазне ИПв6 ИЦМП
мета л4прото { ицмпв6 } \
бројач \
прихвати \
коментар „Дозволи све друге ИПв6 ИЦМП“
## Дозволи улазне трацероуте УДП портове, али ограничи на 500 ППС
удп дпорт 33434-33524 \
лимит рате 500/секунда \
бројач \
прихвати \
коментар „Дозволи улазни УДП трацероуте ограничен на 500 ППС“
## Дозволи улазни ССХ
тцп дпорт sSH цт стање ново \
бројач \
прихвати \
коментар „Дозволи долазне ССХ везе“
## Дозволи улазни ХТТП и ХТТПС
тцп дпорт { хттп, хттпс } цт стање ново \
бројач \
прихвати \
коментар „Дозволи долазне ХТТП и ХТТПС везе“
## Забележите сваки неупоредиви саобраћај, али бележење ограничења брзине на максимално 60 порука/минути
## Подразумевана политика ће се применити на неусклађен саобраћај
лимит рате 60/минута рафала 100 пакети \
префикс дневника „ИН – Испусти:“ \
коментар „Евидентирај сав неусклађени саобраћај“
## Преброј неупоредиви саобраћај
бројач \
коментар „Израчунај сваки неусклађени саобраћај“
}
# Правила за излазни саобраћај
ланчани излаз {
тип филтер кука излазни приоритетни филтер; пад политике
## Дозволи одлазни саобраћај ка интерфејсу повратне петље
оиф ло \
прихвати \
коментар „Дозволи да сав саобраћај изађе на интерфејс повратне петље“
## Дозволите успостављене и повезане везе
цт држава успостављена, у вези \
бројач \
прихвати \
коментар „Дозволи успостављене/повезане везе“
## Дозволи одлазни ВиреГуард саобраћај пре прекида везе са лошим стањем
оиф $ДЕВ_ВАН удп спорт $ВИРЕГУАРД_ПОРТ \
бројач \
прихвати \
коментар „Дозволи одлазни саобраћај ВиреГуард-а“
## Искључите саобраћај са неважећим стањем везе
цт стање неважеће \
лимит рате 100/минута рафала 150 пакети \
дневник означава све префиксе „ОУТ – Неважеће:“ \
коментар „Евиденција ограничења брзине за саобраћај са неважећим стањем везе“
цт стање неважеће \
бројач \
кап \
коментар „Прекини саобраћај са неважећим стањем везе“
## Дозволи све друге одлазне ИПв4 ИЦМП
ip протокол ицмп \
бројач \
прихвати \
коментар „Дозволи све ИПв4 ИЦМП типове“
## Дозволи све друге одлазне ИПв6 ИЦМП
мета л4прото { ицмпв6 } \
бројач \
прихвати \
коментар „Дозволи све ИПв6 ИЦМП типове“
## Дозволи излазне трацероуте УДП портове али ограничи на 500 ППС
удп дпорт 33434-33524 \
лимит рате 500/секунда \
бројач \
прихвати \
коментар „Дозволи излазну УДП трацероуте ограничену на 500 ППС“
## Дозволи одлазне ХТТП и ХТТПС везе
тцп дпорт { хттп, хттпс } цт стање ново \
бројач \
прихвати \
коментар „Дозволи одлазне ХТТП и ХТТПС везе“
## Дозволи одлазно СМТП подношење
тцп дпорт субмиссион цт стате нев \
бројач \
прихвати \
коментар „Дозволи одлазну СМТП подношење“
## Дозволи одлазне ДНС захтеве
удп дпорт 53 \
бројач \
прихвати \
коментар „Дозволи одлазне УДП ДНС захтеве“
тцп дпорт 53 \
бројач \
прихвати \
коментар „Дозволи одлазне ТЦП ДНС захтеве“
## Дозволи одлазне НТП захтеве
удп дпорт 123 \
бројач \
прихвати \
коментар „Дозволи одлазне НТП захтеве“
## Забележите сваки неупоредиви саобраћај, али бележење ограничења брзине на максимално 60 порука/минути
## Подразумевана политика ће се применити на неусклађен саобраћај
лимит рате 60/минута рафала 100 пакети \
префикс дневника „ОУТ – Испусти:“ \
коментар „Евидентирај сав неусклађени саобраћај“
## Преброј неупоредиви саобраћај
бројач \
коментар „Израчунај сваки неусклађени саобраћај“
}
}
# Главна табела НАТ филтрирања
табела инет нат {
# Правила за унапред рутирање НАТ саобраћаја
ланчано преусмеравање {
типе нат хоок прероутинг приорити дстнат; политика прихватити
}
# Правила за НАТ саобраћај после рутирања
# Ова табела се обрађује пре ланца после рутирања Фирезоне
ланчано построутинг {
укуцајте нат хоок построутинг приоритет срцнат – 5; политика прихватити
}
}
Заштитни зид би требало да буде ускладиштен на одговарајућој локацији за Линук дистрибуцију која је покренута. За Дебиан/Убунту ово је /етц/нфтаблес.цонф, а за РХЕЛ ово је /етц/сисцонфиг/нфтаблес.цонф.
нфтаблес.сервице ће морати да буде конфигурисан да се покрене при покретању (ако већ није) постављен:
системцтл омогући нфтаблес.сервице
Ако направите било какве промене у шаблону заштитног зида, синтакса се може потврдити покретањем команде провере:
нфт -ф /путања/до/нфтаблес.цонф -ц
Обавезно проверите да заштитни зид ради како се очекује јер одређене функције нфтаблеса можда неће бити доступне у зависности од издања покренутог на серверу.
_______________________________________________________________
Овај документ представља преглед телеметрије коју Фирезоне прикупља са ваше инстанце која хостује сами и како да је онемогућите.
Фирезоне накнадно ассемблед на телеметрији да бисмо дали приоритет нашој мапи пута и оптимизовали инжењерске ресурсе које имамо да учинимо Фирезоне бољим за све.
Телеметрија коју прикупљамо има за циљ да одговори на следећа питања:
Постоје три главна места где се телеметрија прикупља у Фирезоне:
У сваком од ова три контекста прикупљамо минималну количину података неопходну да одговоримо на питања у горњем одељку.
Администраторске поруке е-поште се прикупљају само ако изричито дате сагласност за ажурирања производа. У супротном, лични подаци су никад прикупљени.
Фирезоне складишти телеметрију у инстанци ПостХог-а који се самостално хостује у приватном Кубернетес кластеру, којем приступа само Фирезоне тим. Ево примера догађаја телеметрије који се шаље са ваше инстанце Фирезоне на наш телеметријски сервер:
{
иди: “0182272d-0b88-0000-d419-7b9a413713f1”,
„временска ознака“: “2022-07-22T18:30:39.748000+00:00”,
"догађај": “фз_хттп_стартед”,
„дистинцт_ид“: “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
“особине”:{
„$геоип_цити_наме“: “Асхбурн”,
„$геоип_цонтинент_цоде“: "НА",
„$геоип_цонтинент_наме“: "Северна Америка",
„$геоип_цоунтри_цоде”: „САД“,
„$геоип_цоунтри_наме“: "Америка",
„$геоип_латитуде“: 39.0469,
„$геоип_лонгитуде“: -КСНУМКС,
„$геоип_постал_цоде”: "КСНУМКС",
„$геоип_субдивисион_1_цоде“: “ВА”,
„$геоип_субдивисион_1_наме“: „Вирџинија”,
„$геоип_тиме_зоне“: „Америка/Њујорк”,
“$ип”: "КСНУМКС",
“$плугинс_деферред”: [],
„$плугинс_фаилед“: [],
„$плугинс_суццеедед“: [
„ГеоИП (3)“
],
„дистинцт_ид“: “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
„фкдн“: “авсдемо.фирезоне.дев”,
„кернел_версион“: „линукс 5.13.0“,
"верзија": "КСНУМКС"
},
„ланац_елемената“: ""
}
НАПОМЕНЕ
Развојни тим Фирезоне накнадно ассемблед на аналитици производа како би Фирезоне учинили бољим за све. Остављање омогућене телеметрије је једини највреднији допринос који можете дати развоју Фирезоне-а. Уз то, разумемо да неки корисници имају веће захтеве у погледу приватности или безбедности и да би радије потпуно онемогућили телеметрију. Ако сте то ви, наставите да читате.
Телеметрија је подразумевано омогућена. Да бисте потпуно онемогућили телеметрију производа, подесите следећу опцију конфигурације на фалсе у /етц/фирезоне/фирезоне.рб и покрените судо фирезоне-цтл рецонфигуре да бисте преузели промене.
Уобичајено['пожарна зона']['телеметрија']['енаблед'] = лажан
То ће потпуно онемогућити сву телеметрију производа.
Хаилбитес
9511 Куеенс Гуард Цт.
Лаурел, МД 20723
Телефон: (КСНУМКС) КСНУМКС-КСНУМКС
Емаил: инфо@хаилбитес.цом
