Проектом Firezone розвивається VPN-сервер для організації доступу до хостів у внутрішній ізольованій мережі з пристроїв користувача, що знаходяться у зовнішніх мережах. Проект має на меті досягнення високого рівня захисту та спрощення процесу розгортання VPN. Код проекту написаний мовами Elixir та Ruby, та поширюється під ліцензією Apache 2.0.
Проект розвивається інженером з автоматизації безпеки з компанії Cisco, який спробував створити рішення, що автоматизує роботу зі конфігурацією хостів та виключає появу проблем, з якими доводилося стикатися при організації безпечного доступу до хмарних VPC. Firezone може розглядатися як відкритий аналог OpenVPN Access Server, побудований поверх WireGuard замість OpenVPN.
Для встановлення пропонуються rpm- та deb-пакети для різних версій CentOS, Fedora, Ubuntu та Debian, встановлення яких не потребує зовнішніх залежностей, оскільки всі необхідні залежності вже включені за допомогою інструментарію Chef Omnibus. Для роботи потрібен лише дистрибутив з ядром Linux не старіший за 4.19 і зібраний модуль ядра з VPN WireGuard. За заявою автора, запуск та налаштування VPN-сервера може бути здійснено лише за кілька хвилин. Компоненти веб-інтерфейсу виконуються під непривілейованим користувачем, а доступ можливий лише за допомогою HTTPS.
Для організації каналів зв'язку Firezone використовується WireGuard. Firezone також вбудовано функції міжмережевого екрану, що використовує nftables. У поточному вигляді міжмережевий екран обмежений засобами для блокування вихідного трафіку до певних хостів або підмереж у внутрішній або зовнішній мережах. Управління здійснюється через web-інтерфейс або в режимі командного рядка за допомогою утиліти firezone-ctl. Web-інтерфейс побудований на базі Admin One Bulma.
В даний час усі компоненти Firezone запускаються на одному сервері, але проект спочатку розвивається з огляду на модульність і в майбутньому планується додати можливість рознесення компонентів для web-інтерфейсу, VPN та міжмережевого екрану по різних хостах. У планах також згадується інтеграція блокувальника реклами, що працює на рівні DNS, підтримка списків блокування хостів та підмереж, можливість аутентифікації через LDAP/SSO та додаткові можливості управління користувачами.
Джерело: opennet.ru