O projeto Firezone está desenvolvendo um servidor VPN para organizar o acesso a hosts em uma rede interna isolada de dispositivos de usuários localizados em redes externas. O projeto visa alcançar um alto nível de proteção e simplificar o processo de implantação de VPN. O código do projeto é escrito em Elixir e Ruby e é distribuído sob a licença Apache 2.0.
O projeto está sendo desenvolvido por um engenheiro de automação de segurança da Cisco, que tentou criar uma solução que automatizasse o trabalho com configurações de host e eliminasse os problemas que eram encontrados na hora de organizar o acesso seguro a VPCs em nuvem. O Firezone pode ser considerado uma contraparte de código aberto do OpenVPN Access Server, construído sobre o WireGuard em vez do OpenVPN.
Para instalação são oferecidos pacotes rpm e deb para diferentes versões de CentOS, Fedora, Ubuntu e Debian, cuja instalação não requer dependências externas, pois todas as dependências necessárias já estão incluídas no kit de ferramentas Chef Omnibus. Para funcionar, você só precisa de um kit de distribuição com kernel Linux não anterior a 4.19 e um módulo de kernel montado com VPN WireGuard. Segundo o autor, o lançamento e a configuração de um servidor VPN podem ser feitos em apenas alguns minutos. Os componentes da interface da Web são executados por um usuário sem privilégios e o acesso só é possível via HTTPS.
Para organizar os canais de comunicação no Firezone, é utilizado o WireGuard. Firezone também possui funcionalidade de firewall integrada usando nftables. Na sua forma atual, um firewall limita-se a bloquear o tráfego de saída para hosts ou sub-redes específicas em redes internas ou externas. O gerenciamento é realizado através da interface web ou em modo linha de comando usando o utilitário firezone-ctl. A interface web é baseada no Admin One Bulma.
Atualmente, todos os componentes do Firezone rodam em um servidor, mas o projeto está sendo desenvolvido inicialmente visando a modularidade e no futuro está planejado adicionar a capacidade de distribuir componentes para interface web, VPN e firewall em diferentes hosts. Os planos também incluem integração de bloqueadores de anúncios em nível de DNS, suporte para listas de bloqueio de hosts e sub-redes, recursos de autenticação LDAP/SSO e recursos adicionais de gerenciamento de usuários.
Fonte: opennet.ru