Firezone долбоору тышкы тармактарда жайгашкан колдонуучунун түзмөктөрүнөн ички обочолонгон тармактагы хостторго кирүүнү уюштуруу үчүн VPN серверин иштеп чыгууда. Долбоор коргоонун жогорку деңгээлине жетишүүгө жана VPN жайылтуу процессин жөнөкөйлөштүрүүгө багытталган. Долбоордун коду Elixir жана Ruby тилдеринде жазылган жана Apache 2.0 лицензиясы боюнча таратылат.
Долбоорду Cisco компаниясынын коопсуздукту автоматташтыруу боюнча инженери иштеп чыгууда, ал хост конфигурациялары менен иштөөнү автоматташтырган жана булуттагы VPCлерге коопсуз кирүүнү уюштурууда пайда болгон көйгөйлөрдү жок кылган чечимди түзүүгө аракет кылган. Firezone OpenVPN ордуна WireGuard үстүнө курулган OpenVPN мүмкүндүк серверинин ачык булагы катары каралышы мүмкүн.
Орнотуу үчүн CentOS, Fedora, Ubuntu жана Debianдын ар кандай версиялары үчүн rpm жана deb пакеттери сунушталат, аларды орнотуу тышкы көз карандылыкты талап кылбайт, анткени бардык керектүү көз карандылыктар Chef Omnibus инструменттеринин жардамы менен камтылган. Иштөө үчүн сизге Linux ядросу 4.19дан ашпаган бөлүштүрүү комплекти жана VPN WireGuard менен чогулган ядро модулу керек. Автордун айтымында, VPN серверин ишке киргизүү жана орнотуу бир нече мүнөттүн ичинде ишке ашат. Веб интерфейсинин компоненттери артыкчылыксыз колдонуучу астында иштейт жана кирүү HTTPS аркылуу гана мүмкүн.
Firezone байланыш каналдарын уюштуруу үчүн, WireGuard колдонулат. Firezone ошондой эле nftables аркылуу орнотулган брандмауэр функциясына ээ. Учурдагы формада брандмауэр ички же тышкы тармактардагы белгилүү хостторго же субсеттерге чыгуучу трафикти бөгөттөө менен чектелет. Башкаруу веб-интерфейс аркылуу же буйрук сабы режиминде firezone-ctl утилитасын колдонуу менен ишке ашырылат. Веб интерфейси Admin One Bulma негизделген.
Учурда бардык Firezone компоненттери бир серверде иштейт, бирок долбоор алгач модулдукту эске алуу менен иштелип чыгууда жана келечекте веб-интерфейс, VPN жана брандмауэр үчүн компоненттерди түрдүү хосттордо жайылтуу мүмкүнчүлүгүн кошуу пландаштырылууда. Пландар ошондой эле DNS деңгээлиндеги жарнама бөгөттөөчү интеграциясын, хост жана субнеттердин блоктордун тизмелерин колдоо, LDAP/SSO аутентификация мүмкүнчүлүктөрүн жана колдонуучунун кошумча башкаруу мүмкүнчүлүктөрүн камтыйт.
Source: opennet.ru