test

Guía de administración del sistema: servicios IP

Configuración del filtro IP de Oracle Solaris

El siguiente mapa de tareas identifica los procedimientos asociados con la configuración del filtro IP de Oracle Solaris.

Tabla 26–1 Configuración del filtro IP de Oracle Solaris (mapa de tareas)

Tarea 

Descripción 

Para obtener instrucciones 

Activar inicialmente el filtro IP de Oracle Solaris. 

El filtro IP de Oracle Solaris no está activado de modo predeterminado. Debe activarlo manualmente o utilizar los archivos de configuración del directorio /etc/ipf/ y reiniciar el sistema. A partir de la versión Solaris 10 7/07, los enlaces de filtros de paquetes reemplazan al módulo pfil para activar el filtro IP de Oracle Solaris.

Cómo activar el filtro IP de Oracle Solaris

Volver a habilitar el filtro IP de Oracle Solaris.  

Puede activar o desactivar el filtro IP de Oracle Solaris reiniciando el sistema o utilizando el comando ipf.

Cómo reactivar el filtro IP de Oracle Solaris

Activar filtrado en bucle 

De modo opcional, puede activar el filtrado en bucle, por ejemplo, para filtrar el tráfico entre zonas. 

Cómo activar los filtros en bucle

ProcedureCómo activar el filtro IP de Oracle Solaris

Utilice este procedimiento para activar el filtro IP de Oracle Solaris en un sistema en que se ejecute como mínimo el sistema operativo Solaris 10 7/07. Para habilitar los filtros IP de Oracle Solaris si el sistema tiene una versión de Oracle Solaris 10 anterior a la Solaris 10 7/07, consulte Módulo pfil.

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Cree un conjunto de reglas de filtros de paquetes.

    El conjunto de reglas de filtros de paquetes contiene reglas de filtros de paquetes que utiliza el filtro IP de Oracle Solaris. Si desea cargar las reglas de filtros de paquetes en el momento de iniciar, edite el archivo /etc/ipf/ipf.conf para implementar los filtros de paquetes IPv4. Utilice el archivo /etc/ipf/ipf6.conf para las reglas de filtros de paquetes IPv6. Si no desea cargar las reglas de filtros de paquetes al iniciar, colóquelas en un archivo y active manualmente los filtros de paquetes. Para obtener información sobre los filtros de paquetes, consulte Uso de la función de filtros de paquetes del filtro IP de Oracle Solaris. Para obtener información sobre cómo trabajar con los archivos de configuración, consulte Creación y edición de archivos de configuración del filtro IP de Oracle Solaris.

  3. (Opcional) Cree un archivo de configuración de traducción de direcciones de red (NAT).

    Nota –

    La traducción de direcciones de red (NAT) no admite IPv6.

    Cree un archivo ipnat.conf si desea utilizar la traducción de direcciones de red. Si desea que las reglas NAT se carguen durante el inicio, cree un archivo denominado /etc/ipf/ipnat.conf en el que colocar las reglas NAT. Si no desea cargar las reglas NAT al iniciar, coloque el archivo ipnat.conf en la ubicación que desee y active manualmente las reglas NAT.

    Para obtener más información sobre NAT, consulte Uso de la función NAT del filtro IP de Oracle Solaris.

  4. (Opcional) Cree un archivo de configuración de agrupaciones de direcciones.

    Cree un archivo ipool.conf si desea hacer referencia a una agrupación de direcciones como una única agrupación. Si desea que el archivo de configuración de agrupaciones de direcciones se cargue al inicio, cree un archivo denominado /etc/ipf/ippool.conf en el que colocar la agrupación de direcciones. Si no desea cargar el archivo de configuración de la agrupación de direcciones al iniciar, coloque el archivo ippool.conf en la ubicación que desee y active las reglas manualmente.

    Una agrupación de direcciones sólo puede contener direcciones IPv4 o IPv6. También puede contener tanto direcciones IPv4 como direcciones IPv6.

    Para obtener más información sobre las agrupaciones de direcciones, consulte Uso de la función de agrupaciones de direcciones del filtro IP de Oracle Solaris.

  5. (Opcional) Active el filtro de tráfico en bucle.

    Si desea filtrar el tráfico entre zonas que están configuradas en el sistema, debe activar los filtros en bucle. Consulte Cómo activar los filtros en bucle. Asegúrese de definir también los conjuntos de reglas adecuados que se aplican a las zonas.

  6. Active el filtro IP de Oracle Solaris. 


    # svcadm enable network/ipfilter

ProcedureCómo reactivar el filtro IP de Oracle Solaris

Puede volver a activar los filtros de paquetes que estén desactivados temporalmente.

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Habilite el filtro IP de Oracle Solaris y los filtros utilizando uno de los métodos siguientes:

    • Reinicie el equipo.


      # reboot
      Nota –

      Al activar el filtro IP, tras reiniciar se cargan los siguientes archivos si están presentes: el archivo /etc/ipf/ipf.conf, el archivo /etc/ipf/ipf6.conf cuando se utiliza IPv6 o el archivo /etc/ipf/ipnat.conf.

    • Ejecute la siguiente serie de comandos para habilitar el filtro IP de Oracle Solaris y los filtros:

      1. Habilite el filtro IP de Oracle Solaris. 


        # ipf -E

      2. Active los filtros de paquetes.


        # ipf -f filename

      3. (Opcional) Active NAT.


        # ipnat -f filename
        Nota –

        La traducción de direcciones de red (NAT) no admite IPv6.

ProcedureCómo activar los filtros en bucle

Nota –

Sólo se puede filtrar tráfico de bucle si el sistema ejecuta como mínimo Solaris 10 7/07. En las versiones anteriores de Oracle Solaris 10 no se admite el filtro en bucle.

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Detenga el filtro IP de Oracle Solaris si se está ejecutando.


    # svcadm disable network/ipfilter

  3. Edite los archivos /etc/ipf.conf o /etc/ipf6.conf agregando la línea siguiente al principio del archivo:


    set intercept_loopback true;

    Esta línea debe preceder a todas las reglas de filtros IP que se definan en el archivo. Sin embargo, puede insertar comentarios delante de la linea, como en el ejemplo siguiente:


    # 
# Enable loopback filtering to filter between zones 
# 
set intercept_loopback true; 
# 
# Define policy 
# 
block in all 
block out all 
<other rules>
...

  4. Inicie el filtro IP de Oracle Solaris.


    # svcadm enable network/ipfilter

  5. Para comprobar el estado de los filtros en bucle, utilice el comando siguiente:


    # ipf —T ipf_loopback
ipf_loopback    min 0   max 0x1 current 1
#

    Si el filtro en bucle está desactivado, el comando producirá el resultado siguiente:


    ipf_loopback    min 0   max 0x1 current 0