La projekto Firezone disvolvas VPN-servilon por organizi aliron al gastigantoj en interna izolita reto de uzantaj aparatoj situantaj sur eksteraj retoj. La projekto celas atingi altan nivelon de protekto kaj simpligi la VPN-deplojprocezon. La projektkodo estas skribita en Elixir kaj Ruby, kaj estas distribuita sub la licenco Apache 2.0.
La projekto estas disvolvita de sekureca aŭtomatiga inĝeniero de Cisco, kiu provis krei solvon, kiu aŭtomatigas laboron kun gastigaj agordoj kaj forigas la problemojn, kiuj devis esti renkontitaj dum organizado de sekura aliro al nubaj VPC-oj. Firezone povas esti konsiderata kiel malfermfonta ekvivalento al OpenVPN Access Server, konstruita sur WireGuard anstataŭ OpenVPN.
Por instalado, rpm kaj deb-pakaĵoj estas ofertitaj por malsamaj versioj de CentOS, Fedora, Ubuntu kaj Debian, kies instalado ne postulas eksterajn dependecojn, ĉar ĉiuj necesaj dependecoj jam estas inkluzivitaj per la ilaro Chef Omnibus. Por funkcii, vi bezonas nur distribuan kompleton kun Linukso-kerno ne pli malnova ol 4.19 kaj kunmetitan kernan modulon kun VPN WireGuard. Laŭ la aŭtoro, lanĉi kaj agordi VPN-servilon povas esti farita en nur kelkaj minutoj. Retinterfaco-komponentoj funkcias sub senprivilegia uzanto, kaj aliro estas ebla nur per HTTPS.
Por organizi komunikajn kanalojn en Firezone, WireGuard estas uzata. Firezone ankaŭ havas enkonstruitan fajroŝirmitan funkciecon uzante nftables. En ĝia nuna formo, fajroŝirmilo estas limigita al blokado de eksiĝinta trafiko al specifaj gastigantoj aŭ subretoj sur internaj aŭ eksteraj retoj. Administrado estas farita per la retinterfaco aŭ en komandlinia reĝimo uzante la ilon firezone-ctl. La retinterfaco baziĝas sur Admin One Bulma.
Nuntempe, ĉiuj Firezone-komponentoj funkcias per unu servilo, sed la projekto estas komence disvolvita kun okulo al modulareco kaj estonte oni planas aldoni la kapablon distribui komponantojn por la retinterfaco, VPN kaj fajroŝirmilo tra malsamaj gastigantoj. Planoj ankaŭ inkluzivas DNS-nivelan reklamblokilan integriĝon, subtenon por gastigaj kaj subretaj bloklistoj, LDAP/SSO-aŭtentikigkapablojn kaj kromajn uzantadministrajn kapablojn.
fonto: opennet.ru