Cómo activar un conjunto de reglas de filtros de paquetes diferente o actualizado (Guía de administración del sistema: servicios IP)

Guía de administración del sistema: servicios IP

Cómo activar un conjunto de reglas de filtros de paquetes diferente o actualizado

Siga este procedimiento para llevar a cabo una de las tareas siguientes:

Activar un conjunto de reglas de filtros de paquetes que no sea el que está utilizando el filtro IP de Oracle Solaris.
Volver a cargar el mismo conjunto de reglas de filtros que se ha actualizado.

Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

Elija uno de estos pasos:
- Cree un conjunto de reglas en un archivo diferente si desea activar un conjunto de reglas completamente distinto.
- Actualice el conjunto de reglas actual editando el archivo de configuración que lo contiene.

Elimine el conjunto de reglas actual y cargue el nuevo.
# ipf -Fa -f filename
El nombre_archivo puede ser el nuevo archivo con el nuevo conjunto de reglas o el archivo actualizado que contenga el conjunto de reglas activo.

El conjunto de reglas activo se elimina del núcleo. Las reglas del archivo nombre_archivo pasan a ser el conjunto de reglas activo.

Nota –
Es preciso ejecutar el comando aunque esté volviendo a cargar el archivo de configuración actual. De lo contrario, el antiguo conjunto de reglas seguirá funcionando, y no se aplicará el conjunto de reglas modificado en el archivo de configuración actualizado.

No utilice comandos como ipf -D o svcadm restart para cargar el conjunto de reglas actualizado. Dichos comandos ponen en peligro la red al desactivar el cortafuegos antes de cargar el nuevo conjunto de reglas.

Ejemplo 26–4 Activación de un conjunto de reglas de filtros de paquetes diferente

El ejemplo siguiente muestra cómo reemplazar un conjunto de reglas de filtros de paquetes por otro en un archivo de configuración distinto, /etc/ipf/ipf.conf.

# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe all
# ipf -Fa -f /etc/ipf/ipf.conf
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any

Ejemplo 26–5 Cómo volver a cargar un conjunto de reglas de filtros de paquetes actualizado

El ejemplo siguiente muestra cómo volver a cargar un conjunto de reglas de filtros de paquetes activo y luego actualizarlo. En este ejemplo, el archivo en uso es /etc/ipf/ipf.conf.

# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any

(Edit the /etc/ipf/ipf.conf configuration file.)

# ip -Fa -f /etc/ipf/ipf.conf
# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any
block in quick on elx10 from 192.168.0.0/12 to any