Firezone նախագիծը մշակում է VPN սերվեր՝ արտաքին ցանցերում տեղակայված օգտատերերի սարքերից ներքին մեկուսացված ցանցում հոսթներին մուտքը կազմակերպելու համար: Ծրագիրն ուղղված է պաշտպանության բարձր մակարդակի հասնելուն և VPN-ի տեղակայման գործընթացի պարզեցմանը: Ծրագրի կոդը գրված է Elixir-ով և Ruby-ով և տարածվում է Apache 2.0 լիցենզիայի ներքո:
Նախագիծը մշակվում է Cisco-ի անվտանգության ավտոմատացման ինժեների կողմից, ով փորձել է ստեղծել լուծում, որն ավտոմատացնում է հյուրընկալող կոնֆիգուրացիաների հետ աշխատանքը և վերացնում այն խնդիրները, որոնք պետք է բախվեին ամպային VPC-ների անվտանգ մուտքը կազմակերպելիս: Firezone-ը կարելի է համարել որպես OpenVPN Access Server-ի բաց կոդով գործընկեր, որը կառուցված է WireGuard-ի վերևում՝ OpenVPN-ի փոխարեն:
Տեղադրման համար rpm և deb փաթեթներն առաջարկվում են CentOS-ի, Fedora-ի, Ubuntu-ի և Debian-ի տարբեր տարբերակների համար, որոնց տեղադրումը չի պահանջում արտաքին կախվածություն, քանի որ բոլոր անհրաժեշտ կախվածությունները արդեն ներառված են՝ օգտագործելով Chef Omnibus գործիքակազմը: Աշխատելու համար ձեզ հարկավոր է միայն բաշխման հավաքածու՝ Linux-ի միջուկով ոչ ավելի, քան 4.19-ը և հավաքված միջուկի մոդուլ՝ VPN WireGuard-ով: Ըստ հեղինակի՝ VPN սերվերի գործարկումն ու կարգավորումը կարելի է անել ընդամենը մի քանի րոպեում։ Վեբ ինտերֆեյսի բաղադրիչներն աշխատում են ոչ արտոնյալ օգտատիրոջ ներքո, և մուտքը հնարավոր է միայն HTTPS-ի միջոցով:
Firezone-ում կապի ուղիները կազմակերպելու համար օգտագործվում է WireGuard-ը: Firezone-ն ունի նաև ներկառուցված firewall գործառույթ՝ օգտագործելով nftables: Իր ներկայիս ձևով firewall-ը սահմանափակվում է ներքին կամ արտաքին ցանցերում ելքային երթևեկության արգելափակմամբ դեպի կոնկրետ հոսթեր կամ ենթացանցեր: Կառավարումն իրականացվում է վեբ ինտերֆեյսի միջոցով կամ հրամանի տողի ռեժիմում՝ օգտագործելով firezone-ctl կոմունալը: Վեբ ինտերֆեյսը հիմնված է Admin One Bulma-ի վրա:
Ներկայումս Firezone-ի բոլոր բաղադրիչներն աշխատում են մեկ սերվերի վրա, սակայն նախագիծն ի սկզբանե մշակվում է մոդուլյարության նկատառումներով, և ապագայում նախատեսվում է ավելացնել վեբ ինտերֆեյսի, VPN-ի և firewall-ի բաղադրիչները տարբեր հոսթերների վրա բաշխելու հնարավորություն: Ծրագրերը ներառում են նաև DNS մակարդակի գովազդային արգելափակումների ինտեգրում, հոսթինգի և ենթացանցերի բլոկների ցուցակների աջակցություն, LDAP/SSO նույնականացման հնարավորություններ և օգտվողների կառավարման լրացուցիչ հնարավորություններ:
Source: opennet.ru