Firezone төсөл нь гадаад сүлжээнд байрлах хэрэглэгчийн төхөөрөмжөөс тусгаарлагдсан дотоод сүлжээн дэх хостуудад хандах хандалтыг зохион байгуулах VPN серверийг хөгжүүлж байна. Төсөл нь өндөр түвшний хамгаалалтад хүрэх, VPN байршуулах үйл явцыг хялбаршуулах зорилготой юм. Төслийн код нь Elixir болон Ruby дээр бичигдсэн бөгөөд Apache 2.0 лицензийн дагуу түгээгддэг.
Төслийг Cisco-ийн аюулгүй байдлын автоматжуулалтын инженер боловсруулж байгаа бөгөөд тэрээр хостын тохиргоотой ажиллах ажлыг автоматжуулж, үүлэн VPC-д аюулгүй нэвтрэх ажлыг зохион байгуулахад тулгардаг асуудлуудыг арилгах шийдлийг бий болгохыг оролдсон. Firezone-ийг OpenVPN-ийн оронд WireGuard дээр суурилуулсан OpenVPN хандалтын серверийн нээлттэй эх сурвалж гэж үзэж болно.
Суулгахын тулд rpm болон deb багцуудыг CentOS, Fedora, Ubuntu болон Debian-ийн өөр өөр хувилбаруудад санал болгодог бөгөөд суулгахад гадны хамаарал шаардлагагүй, учир нь Chef Omnibus хэрэгслийн хэрэгслийг ашиглан шаардлагатай бүх хамаарлыг аль хэдийн оруулсан болно. Ажиллахын тулд танд зөвхөн 4.19-ээс дээшгүй Linux цөмтэй түгээлтийн хэрэгсэл, VPN WireGuard-тай угсарсан цөмийн модуль л хэрэгтэй. Зохиогчийн хэлснээр VPN серверийг эхлүүлэх, тохируулах нь хэдхэн минутын дотор хийгддэг. Вэб интерфэйсийн бүрэлдэхүүн хэсэг нь давуу эрхгүй хэрэглэгчийн дор ажилладаг бөгөөд хандах хандалтыг зөвхөн HTTPS-ээр дамжуулан хийх боломжтой.
Firezone дахь харилцааны сувгуудыг зохион байгуулахын тулд WireGuard ашигладаг. Firezone нь nftables ашиглан суурилуулсан галт ханын функцтэй. Одоогийн байдлаар галт хана нь дотоод болон гадаад сүлжээн дэх тодорхой хостууд эсвэл дэд сүлжээнд гарч буй урсгалыг хаах замаар хязгаарлагддаг. Удирдлагыг вэб интерфэйсээр эсвэл firezone-ctl хэрэгслийг ашиглан тушаалын мөрийн горимд гүйцэтгэдэг. Вэб интерфэйс нь Admin One Bulma дээр суурилсан.
Одоогийн байдлаар Firezone-ийн бүх бүрэлдэхүүн хэсэг нь нэг сервер дээр ажиллаж байгаа боловч уг төслийг модульчлагдсан байдлыг харгалзан боловсруулж байгаа бөгөөд ирээдүйд вэб интерфэйс, VPN болон галт ханын бүрэлдэхүүн хэсгүүдийг өөр өөр хостуудад түгээх боломжийг нэмэхээр төлөвлөж байна. Төлөвлөгөөнд мөн DNS түвшний зар хориглогчийг нэгтгэх, хост болон дэд сүлжээний блокийн жагсаалтыг дэмжих, LDAP/SSO баталгаажуулах чадвар, хэрэглэгчийн удирдлагын нэмэлт чадамжууд багтсан болно.
Эх сурвалж: opennet.ru