PromNET

SÚGÓ Felhő tárhely

CF Tunnel + Zero Trust Access — auth a publikus URL elé

A CF Tunnel sugó-bővítés: Zero Trust Access policy-k (Google SSO, GitHub SSO, email-OTP) a tunnel publikus URL-je elé.

A CF Tunnel-súgó bemutatta, hogyan teszed publikussá az otthoni gépedet egy tunnel-<slug>.promnet.hu URL-en. Ez a cikk arra fókuszál, hogyan teszel plusz-auth-ot eléje Cloudflare Zero Trust Access segítségével: a publikus URL-en akkor jutsz be, ha Google-SSO, GitHub-SSO vagy email-OTP alapján beazonosítod magad.

1. Mire jó a Zero Trust Access?

A CF Tunnel önmagában csak publikussá teszi a saját gépedet — bárki, aki tudja az URL-t, hozzáfér. Ez nem mindig jó:

  • Saját Grafana — nem akarod, hogy bárki lássa a metric-eidet
  • NAS-megosztás — fájlok privátok, csak a családodnak
  • Belső dashboard — csak a céges team-nek
  • Dev-server — kollégákkal megoszthatás, de publikusan ne látszódjon

A Zero Trust Access tényleges felhasználói-bejelentkezést ad. A publikus URL-en a CF egy belépési-felületet mutat, és csak a megfelelő azonosítás után engedi át a kérést a saját géped felé.

2. Hogyan működik?

flowchart LR
  User[Felhasználó] --> CF[CF Edge]
  CF --> Auth{Auth-policy passzol?}
  Auth -- nem --> Login[Login-felület: Google / GitHub / OTP]
  Login --> CF
  Auth -- igen --> Tunnel[CF Tunnel daemon]
  Tunnel --> Internal[Belső szerver - NAS / Pi / dev-gép]

A folyamat:

  1. A felhasználó megnyitja a tunnel-<slug>.promnet.hu URL-t
  2. CF ellenőrzi az auth-policy-t — ha nincs session-cookie, login-felületre küldi
  3. Login-felületen Google-SSO / GitHub-SSO / email-OTP közül választ
  4. Sikeres beazonosítás után a CF egy JWT-cookie-t ad
  5. A következő kérés már egyenesen a tunnel-en megy át

3. Aktiválás — a [/app/tunnels/] oldalon

A meglévő tunnel-edhez egy “Auth-policy” szakasz:

[●] Auth-policy bekapcsolása

Engedélyezett providerek:
  ☐ Google SSO
  ☐ GitHub SSO
  ☐ Email-OTP (emailre kódot küld)

Engedélyezett emailek (whitelist):
  pl. [email protected], partner@cég.hu, *@cég.hu

[Mentés]

Mentés után 2-3 perc és a publikus URL-re bejelentkezést kér.

4. Provider-bemutató

a) Google SSO

A leggyakoribb opció — a felhasználó a saját Google-fiókjával azonosítja magát (gmail.com, GSuite-ed). A whitelist-en megadhatsz konkrét emaileket (anna@cég.hu, [email protected]) vagy domain-szabályokat (*@cég.hu).

Előny: a legtöbb embernek van Google-fiókja, gyors SSO.

Hátrány: a Google-nál kell, hogy az IDP-account aktív legyen.

b) GitHub SSO

Fejlesztő-csapatoknak — GitHub-fiókkal jelentkezz be. Whitelist username-szerint (csiber, kollega-username) vagy organizáció-szerint (@my-org).

Előny: a fejlesztők úgyis használják GitHub-ot, egy SSO kevesebb.

Hátrány: nem-fejlesztő embereknek kevésbé természetes.

c) Email-OTP

A legegyszerűbb — a beírt email-re egy 6-jegyű kód érkezik, beírja, és bekerül. Whitelist konkrét email-szerint vagy domain-szerint (pl. *@cég.hu).

Előny: nincs külső IDP-igény, mindenkinek van email-je.

Hátrány: lassabb (várod a kódot), és spam-folder-be kerülhet.

5. Több provider egyszerre?

Igen — a 3 provider tetszőleges kombinációban. A login-felületen mindegyik bekattintható választás lesz, a felhasználó dönti, melyikkel.

Tipp: Kezdd csak a Google-SSO-val, és a whitelist-et szigorúan tartsd (ne * mindenkinek). Később, ha a fejlesztő-csapat is be akar jelentkezni, GitHub-SSO is.

6. Session-időtartam

Az alapértelmezett 24 óra. A login után 24 órán át a cookie érvényes, utána újra-be kell jelentkezni.

Beállítható (a CF Zero Trust admin-felületén közvetlenül):

  • 1 óra (paranoid-mode)
  • 8 óra (munkanap)
  • 24 óra (alapértelmezett)
  • 7 nap (lazább)
  • 30 nap (lazás)

A PromNET-felületén jelenleg 24 óra fixet kínálunk; ha más kell, support-ticket.

7. Hogyan teszteld?

  1. Bekapcsolod az auth-policy-t (Google-SSO + saját email)
  2. Inkognitó-ablak-ban megnyitod a tunnel-<slug>.promnet.hu URL-t
  3. Login-felület jön — Google-SSO-val belépsz
  4. Megjelenik a tunnel-célgép (NAS / Grafana / stb.)
  5. Egy másik Google-fiókkal próbálsz belépni → “nincs jogosultság”

8. Mi a különbség a “tunnel-token-titkosítás” és az auth-policy között?

A tunnel-token a CF és a saját cloudflared-daemon közötti azonosító — ezt soha ne add ki publikusan. De ez nem véd a publikus URL-on érkező kérések ellen.

Az auth-policy a CF-edge és a felhasználó közötti azonosítás — ez véd a publikus URL-en érkező idegen kérések ellen.

A kettőt együtt használjuk biztonságos publikus-elérésre.

9. Költség

A CF Zero Trust Access első 50 user-nek ingyenes. Az alapértelmezett PromNET-CF-Tunnel-Solo plugin tartalmazza, plusz-fizetés nincs.

50 user fölött (ritka): kapcsolódj fel a PromNET-Enterprise-hoz, vagy alkudd ki a saját CF-account-odon.

10. Mire NEM helyettesíti?

A Zero Trust Access rétegként jó, de nem teljes:

  • A belső szervered saját bejelentkezése továbbra is létezhet (pl. Grafana saját login-rendszere) — ez plusz-réteg
  • A CF-szintű IP-whitelisting külön beállítható (csak az adott IP-tartomány jusson el)
  • A CF DDoS-protection automatikus, nincs ide kapcsolódik

Tipp: Egyszerű otthoni-NAS-hoz: CF-Tunnel + Zero Trust Email-OTP a minimális javasolt biztonsági-beállítás.

11. Hibaelhárítás

“Nem jön a OTP-email”: ellenőrizd a spam-folder-t. Ha 5 perc múlva sincs, válassz másik email-providert vagy próbáld a Google-SSO-t.

“Google-belépés nem ment”: a Google IDP-cookie-blokkolva (3rd-party-cookie disabled). Engedélyezd, vagy használj inkognitó-mode-ot.

“Whitelist nem ismerte fel az emailem”: pontos e-mail-cím kell (case-insensitive), nincs alias-felismerés. Ha aliast használsz ([email protected]), a saját-emailt írd a whitelist-be ([email protected]).

“A login után 502”: a tunnel-daemon valószínűleg leállt vagy re-csatlakozik. A cloudflared log-ját nézd meg (journalctl -u cloudflared Linux-on).

← Felhő tárhely Frissítve: 2026. 05. 08.