Capítulo 26 Filtro IP de Oracle Solaris (tareas)

Este capítulo proporciona instrucciones detalladas para las tareas del Filtro IP de Solaris. Para obtener información general sobre el filtro IP de Oracle Solaris, consulte el Capítulo 25Filtro IP de Oracle Solaris (descripción general).

Este capítulo contiene la información siguiente:

• Configuración del filtro IP de Oracle Solaris

• Desactivación e inhabilitación de filtro IP de Oracle Solaris

• Módulo pfil

• Conjuntos de reglas del filtro IP de Oracle Solaris

• Cómo visualizar las estadísticas e información sobre el filtro IP de Oracle Solaris

• Archivos de registro para el filtro IP de Oracle Solaris

• Creación y edición de archivos de configuración del filtro IP de Oracle Solaris

Configuración del filtro IP de Oracle Solaris

El siguiente mapa de tareas identifica los procedimientos asociados con la configuración del filtro IP de Oracle Solaris.

Cómo activar el filtro IP de Oracle Solaris

Utilice este procedimiento para activar el filtro IP de Oracle Solaris en un sistema en que se ejecute como mínimo el sistema operativo Solaris 10 7/07. Para habilitar los filtros IP de Oracle Solaris si el sistema tiene una versión de Oracle Solaris 10 anterior a la Solaris 10 7/07, consulte Módulo pfil.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Cree un conjunto de reglas de filtros de paquetes.

   El conjunto de reglas de filtros de paquetes contiene reglas de filtros de paquetes que utiliza el filtro IP de Oracle Solaris. Si desea cargar las reglas de filtros de paquetes en el momento de iniciar, edite el archivo /etc/ipf/ipf.conf para implementar los filtros de paquetes IPv4. Utilice el archivo /etc/ipf/ipf6.conf para las reglas de filtros de paquetes IPv6. Si no desea cargar las reglas de filtros de paquetes al iniciar, colóquelas en un archivo y active manualmente los filtros de paquetes. Para obtener información sobre los filtros de paquetes, consulte Uso de la función de filtros de paquetes del filtro IP de Oracle Solaris. Para obtener información sobre cómo trabajar con los archivos de configuración, consulte Creación y edición de archivos de configuración del filtro IP de Oracle Solaris.

3. (Opcional) Cree un archivo de configuración de traducción de direcciones de red (NAT).

   ---

   Nota –

   La traducción de direcciones de red (NAT) no admite IPv6.

   ---

   Cree un archivo ipnat.conf si desea utilizar la traducción de direcciones de red. Si desea que las reglas NAT se carguen durante el inicio, cree un archivo denominado /etc/ipf/ipnat.conf en el que colocar las reglas NAT. Si no desea cargar las reglas NAT al iniciar, coloque el archivo ipnat.conf en la ubicación que desee y active manualmente las reglas NAT.

   Para obtener más información sobre NAT, consulte Uso de la función NAT del filtro IP de Oracle Solaris.

4. (Opcional) Cree un archivo de configuración de agrupaciones de direcciones.

   Cree un archivo ipool.conf si desea hacer referencia a una agrupación de direcciones como una única agrupación. Si desea que el archivo de configuración de agrupaciones de direcciones se cargue al inicio, cree un archivo denominado /etc/ipf/ippool.conf en el que colocar la agrupación de direcciones. Si no desea cargar el archivo de configuración de la agrupación de direcciones al iniciar, coloque el archivo ippool.conf en la ubicación que desee y active las reglas manualmente.

   Una agrupación de direcciones sólo puede contener direcciones IPv4 o IPv6. También puede contener tanto direcciones IPv4 como direcciones IPv6.

   Para obtener más información sobre las agrupaciones de direcciones, consulte Uso de la función de agrupaciones de direcciones del filtro IP de Oracle Solaris.

5. (Opcional) Active el filtro de tráfico en bucle.

   Si desea filtrar el tráfico entre zonas que están configuradas en el sistema, debe activar los filtros en bucle. Consulte Cómo activar los filtros en bucle. Asegúrese de definir también los conjuntos de reglas adecuados que se aplican a las zonas.

6. Active el filtro IP de Oracle Solaris.

   # svcadm enable network/ipfilter

Cómo reactivar el filtro IP de Oracle Solaris

Puede volver a activar los filtros de paquetes que estén desactivados temporalmente.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Habilite el filtro IP de Oracle Solaris y los filtros utilizando uno de los métodos siguientes:

   • Reinicie el equipo.

     # reboot

     ---

     Nota –

     Al activar el filtro IP, tras reiniciar se cargan los siguientes archivos si están presentes: el archivo /etc/ipf/ipf.conf, el archivo /etc/ipf/ipf6.conf cuando se utiliza IPv6 o el archivo /etc/ipf/ipnat.conf.

     ---

   • Ejecute la siguiente serie de comandos para habilitar el filtro IP de Oracle Solaris y los filtros:

     1. Habilite el filtro IP de Oracle Solaris.

        # ipf -E

     2. Active los filtros de paquetes.

        # ipf -f filename

     3. (Opcional) Active NAT.

        # ipnat -f filename

        ---

        Nota –

        La traducción de direcciones de red (NAT) no admite IPv6.

        ---

Cómo activar los filtros en bucle

Sólo se puede filtrar tráfico de bucle si el sistema ejecuta como mínimo Solaris 10 7/07. En las versiones anteriores de Oracle Solaris 10 no se admite el filtro en bucle.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Detenga el filtro IP de Oracle Solaris si se está ejecutando.

   # svcadm disable network/ipfilter

3. Edite los archivos /etc/ipf.conf o /etc/ipf6.conf agregando la línea siguiente al principio del archivo:

   set intercept_loopback true;

   Esta línea debe preceder a todas las reglas de filtros IP que se definan en el archivo. Sin embargo, puede insertar comentarios delante de la linea, como en el ejemplo siguiente:

   # # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ...

4. Inicie el filtro IP de Oracle Solaris.

   # svcadm enable network/ipfilter

5. Para comprobar el estado de los filtros en bucle, utilice el comando siguiente:

   # ipf —T ipf_loopback ipf_loopback min 0 max 0x1 current 1 #

   Si el filtro en bucle está desactivado, el comando producirá el resultado siguiente:

   ipf_loopback min 0 max 0x1 current 0

Desactivación e inhabilitación de filtro IP de Oracle Solaris

La desactivación del filtro de paquetes y NAT resulta útil en las siguientes circunstancias:

• Para realizar pruebas

• Para resolver problemas del sistema cuando se cree que los causa el filtro IP de Oracle Solaris

El siguiente mapa de tareas identifica los procedimientos asociados con la desactivación de las funciones de filtro IP de Oracle Solaris.

Cómo desactivar los filtros de paquetes

El siguiente procedimiento desactiva los filtros de paquetes del filtro IP de Oracle Solaris vaciando las reglas de filtros de paquetes desde el conjunto de reglas de filtros activo. Este procedimiento no inhabilita el filtro IP de Oracle Solaris. Puede volver a activar el filtro IP de Oracle Solaris agregando reglas al conjunto.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Use uno de los métodos siguientes para desactivar las reglas de filtro IP de Oracle Solaris:

   • Elimine el conjunto de reglas activo desde el núcleo.

     # ipf -Fa

     Este comando desactiva todas las reglas de filtros de paquetes.

   • Elimine las reglas de filtros de paquetes entrantes.

     # ipf -Fi

     Este comando desactiva las reglas de filtros de paquetes para los paquetes entrantes.

   • Elimine las reglas de filtros de paquetes salientes.

     # ipf -Fo

     Este comando desactiva las reglas de filtros de paquetes para los paquetes salientes.

Cómo desactivar NAT

Con el procedimiento siguiente se desactivan las reglas NAT del filtro IP de Oracle Solaris vaciándolas desde el conjunto de reglas NAT activo. Este procedimiento no inhabilita el filtro IP de Oracle Solaris. Puede volver a activar el filtro IP de Oracle Solaris agregando reglas al conjunto.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Elimine NAT del núcleo.

   # ipnat -FC

   La opción -C elimina todas las entradas de la lista de reglas NAT actual. La opción -F elimina todas las entradas activas de la tabla de traducciones NAT activa, que muestra las asignaciones NAT activas.

Cómo desactivar los filtros de paquetes

Al ejecutar este procedimiento, se eliminan del núcleo tanto los filtros de paquetes como NAT. Si utiliza este procedimiento, debe volver a activar el Filtro IP de Solaris para reactivar el filtro de paquetes y NAT. Para más información, consulte Cómo reactivar el filtro IP de Oracle Solaris.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Desactive los filtros de paquetes y permita a todos los paquetes pasar a la red.

   # ipf –D

   ---

   Nota –

   El comando ipf -D vacía las reglas del conjunto de reglas. Al volver a activar los filtros, debe agregar reglas al conjunto de reglas.

   ---

Módulo pfil

En esta sección se describe cómo utilizar el módulo pfil STREAMS para activar o desactivar el filtro IP de Oracle Solaris y cómo ver las estadísticas de pfil. Los procedimientos sólo se aplican a los sistemas que ejecutan una de las siguientes versiones de Oracle Solaris 10.

• Solaris 10 3/05

• Solaris 10 1/06

• Solaris 10 6/06

• Solaris 10 11/06

El siguiente mapa de tareas identifica los procedimientos asociados con la configuración del módulo pfil.

Cómo activar el filtro IP de Oracle Solaris en versiones anteriores de Oracle Solaris 10

El filtro IP de Oracle Solaris se instala con Oracle Solaris. Sin embargo, los filtros de paquetes no están activos de modo predeterminado. Siga este procedimiento para activar el filtro IP de Oracle Solaris.

Si el sistema ejecuta como mínimo la versión Solaris 10 7/07, siga el procedimiento Cómo activar el filtro IP de Oracle Solaris que utiliza los enlaces de filtros de paquetes.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Inicie el editor de archivos que prefiera y edite el archivo /etc/ipf/pfil.ap .

   Este archivo contiene los nombres de las tarjetas de interfaz de red (NIC) del host. De modo predeterminado, los nombres están comentados. Elimine el comentario de los nombres de dispositivo que llevan el tráfico de red que desea filtrar. Si el nombre de la NIC del sistema no aparece en la lista, agregue una línea para especificar la tarjeta NIC.

   # vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil

3. Active los cambios en el archivo /etc/ipf/pfil.ap reiniciando la instancia del servicio network/pfil.

   # svcadm restart network/pfil

4. Cree un conjunto de reglas de filtros de paquetes.

   El conjunto de reglas de filtros de paquetes contiene reglas de filtros de paquetes que utiliza el filtro IP de Oracle Solaris. Si desea cargar las reglas de filtros de paquetes en el momento de iniciar, edite el archivo /etc/ipf/ipf.conf para implementar los filtros de paquetes IPv4. Utilice el archivo /etc/ipf/ipf6.conf para las reglas de filtros de paquetes IPv6. Si no desea cargar las reglas de filtros de paquetes al iniciar, colóquelas en un archivo y active manualmente los filtros de paquetes. Para obtener información sobre los filtros de paquetes, consulte Uso de la función de filtros de paquetes del filtro IP de Oracle Solaris. Para obtener información sobre cómo trabajar con los archivos de configuración, consulte Creación y edición de archivos de configuración del filtro IP de Oracle Solaris.

5. (Opcional) Cree un archivo de configuración de traducción de direcciones de red (NAT).

   ---

   Nota –

   La traducción de direcciones de red (NAT) no admite IPv6.

   ---

   Cree un archivo ipnat.conf si desea utilizar la traducción de direcciones de red. Si desea que las reglas NAT se carguen durante el inicio, cree un archivo denominado /etc/ipf/ipnat.conf en el que colocar las reglas NAT. Si no desea cargar las reglas NAT al iniciar, coloque el archivo ipnat.conf en la ubicación que desee y active manualmente las reglas NAT.

   Para obtener más información sobre NAT, consulte Uso de la función NAT del filtro IP de Oracle Solaris.

6. (Opcional) Cree un archivo de configuración de agrupaciones de direcciones.

   Cree un archivo ipool.conf si desea hacer referencia a una agrupación de direcciones como una única agrupación. Si desea que el archivo de configuración de agrupaciones de direcciones se cargue al inicio, cree un archivo denominado /etc/ipf/ippool.conf en el que colocar la agrupación de direcciones. Si no desea cargar el archivo de configuración de la agrupación de direcciones al iniciar, coloque el archivo ippool.conf en la ubicación que desee y active las reglas manualmente.

   Una agrupación de direcciones sólo puede contener direcciones IPv4 o IPv6. También puede contener tanto direcciones IPv4 como direcciones IPv6.

   Para obtener más información sobre las agrupaciones de direcciones, consulte Uso de la función de agrupaciones de direcciones del filtro IP de Oracle Solaris.

7. Active el filtro IP de Oracle Solaris siguiendo uno de estos métodos:

   • Active el filtro IP y reinicie el equipo.

     # svcadm enable network/ipfilter # reboot

     ---

     Nota –

     Es necesario reiniciar si no puede utilizar los comandos ifconfig unplumb y ifconfig plumb con seguridad en las tarjetas NIC.

     ---

   • Active las tarjetas NIC utilizando los comandos ifconfig unplumb e ifconfig plumb. A continuación, active el filtro IP. La versión inet6 de la interfaz debe estar sondeada para poder implementar los filtros de paquetes IPv6.

     # ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inte6 unplumb # ifconfig hme0 inet6 plumb fec3:f849::1/96 up # svcadm enable network/ipfilter

     Para obtener más información sobre el comando ifconfig, consulte la página del comando man ifconfig(1M).

Cómo activar una NIC para los filtros de paquetes

El filtro IP de Oracle Solaris está activo durante el inicio cuando existe el archivo /etc/ipf/ipf.conf (o /etc/ipf/ipf6.conf si se utiliza IPv6). Si tiene que activar los filtros en una NIC después de activar el filtro IP de Oracle Solaris, utilice el procedimiento siguiente.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Inicie el editor de archivos que prefiera y edite el archivo /etc/ipf/pfil.ap .

   Este archivo contiene los nombres de las NIC del host. De modo predeterminado, los nombres están comentados. Elimine el comentario de los nombres de dispositivo que llevan el tráfico de red que desea filtrar. Si el nombre de la NIC del sistema no aparece en la lista, agregue una línea para especificar la tarjeta NIC.

   # vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil

3. Active los cambios en el archivo /etc/ipf/pfil.ap reiniciando la instancia del servicio network/pfil.

   # svcadm restart network/pfil

4. Active la NIC siguiendo uno de estos métodos:

   • Reinicie el equipo.

     # reboot

     ---

     Nota –

     Es necesario reiniciar si no puede utilizar los comandos ifconfig unplumb y ifconfig plumb con seguridad en las tarjetas NIC.

     ---

   • Active las NIC que desee filtrar utilizando el comando ifconfig con las opciones unplumb y plumb. La versión inet6 de cada interfaz debe estar sondeada para poder implementar los filtros de paquetes IPv6.

     # ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up

     Para obtener más información sobre el comando ifconfig, consulte la página del comando man ifconfig(1M).

Cómo desactivar el filtro IP de Oracle Solaris en una NIC

Siga el procedimiento de más abajo para detener los paquetes de filtros en una tarjeta NIC.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Inicie el editor de archivos que prefiera y edite el archivo /etc/ipf/pfil.ap .

   Este archivo contiene los nombres de las NIC del host. Se eliminan los comentarios de las NIC que se han utilizando para filtrar el tráfico de red. Elimine los comentarios de los nombres de dispositivos que ya no desee utilizar para filtrar el tráfico de red.

   # vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil #hme -1 0 pfil (Commented-out device no longer filters network traffic) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil

3. Desactive la NIC utilizando uno de estos métodos:

   • Reinicie el equipo.

     # reboot

     ---

     Nota –

     Es necesario reiniciar si no puede utilizar los comandos ifconfig unplumb y ifconfig plumb con seguridad en las tarjetas NIC.

     ---

   • Desactive las tarjetas NIC utilizando el comando ifconfig con las opciones unplumb y plumb. La versión inet6 de cada interfaz no debe estar sondeada para poder desactivar los filtros de paquetes IPv6. realice los siguientes pasos. El dispositivo de ejemplo del sistema es hme:

     1. Identifique el "major number" del dispositivo que está desactivando.

        # grep hme /etc/name_to_major hme 7

     2. Visualice la configuración actual de autopush para hme0.

        # autopush -g -M 7 -m 0 Major Minor Lastminor Modules 7 ALL - pfil

     3. Elimine la configuración de autopush.

        # autopush -r -M 7 -m 0

     4. Abra el dispositivo y asígnele las direcciones IP.

        # ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up

        Para obtener más información sobre el comando ifconfig, consulte la página del comando man ifconfig(1M).

Cómo visualizar las estadísticas de pfil para el filtro IP de Oracle Solaris

Cuando esté resolviendo problemas del filtro IP de Oracle Solaris, puede ver las estadísticas de pfil.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Visualice las estadísticas de pfil.

   # ndd -get /dev/pfil qif_status

Ejemplo 26–1 Visualización de las estadísticas de pfil para el filtro IP de Oracle Solaris

El ejemplo siguiente muestra cómo visualizar las estadísticas de pfil.

# ndd -get /dev/pfil qif_status
ifname ill q OTHERQ num sap hl nr nw bad copy copyfail drop notip nodata
   notdata
QIF6 0 300011247b8 300011248b0 6 806 0 4 9 0 0 0 0 0 0 0
dmfe1 3000200a018 30002162a50 30002162b48 5 800 14 171 13681 0 0 0 0 0 0 0

Conjuntos de reglas del filtro IP de Oracle Solaris

El siguiente mapa de tareas identifica los procedimientos asociados con los conjuntos de reglas del filtro IP de Oracle Solaris.

Administración de conjuntos de reglas de filtros de paquetes para el filtro IP de Oracle Solaris

Cuando el Filtro IP de Solaris está activo, tanto los conjuntos de reglas de filtros de paquetes activos como los inactivos pueden residir en el núcleo. El conjunto de reglas activo determina el filtro que se está aplicando en los paquetes entrantes y salientes. El conjunto de reglas inactivo también guarda las reglas. Estas reglas no se utilizan a menos que convierta el conjunto de reglas inactivo en el conjunto activo. Puede administrar, ver y modificar los conjuntos de reglas de filtros de paquetes activos e inactivos.

Cómo visualizar el conjunto de reglas de filtros de paquetes activo

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Visualice el conjunto de reglas de filtros de paquetes activo que se ha cargado en el núcleo.

   # ipfstat -io

Ejemplo 26–2 Visualización del conjunto de reglas de filtros de paquetes activo

En el ejemplo siguiente se muestra el resultado del conjunto de reglas de filtros de paquetes activo que está cargado en el núcleo.

# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe1 from 192.168.1.0/24 to any
pass in all
block in on dmfe1 from 192.168.1.10/32 to any

Cómo visualizar el conjunto de reglas de filtros de paquetes inactivo

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Visualice el conjunto de reglas de filtros de paquetes inactivo.

   # ipfstat -I -io

Ejemplo 26–3 Visualización del conjunto de reglas de filtros de paquetes inactivo

El ejemplo siguiente muestra el resultado del conjunto de reglas de filtros de paquetes inactivo.

# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all

Cómo activar un conjunto de reglas de filtros de paquetes diferente o actualizado

Siga este procedimiento para llevar a cabo una de las tareas siguientes:

• Activar un conjunto de reglas de filtros de paquetes que no sea el que está utilizando el filtro IP de Oracle Solaris.

• Volver a cargar el mismo conjunto de reglas de filtros que se ha actualizado.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Elija uno de estos pasos:

   • Cree un conjunto de reglas en un archivo diferente si desea activar un conjunto de reglas completamente distinto.

   • Actualice el conjunto de reglas actual editando el archivo de configuración que lo contiene.

3. Elimine el conjunto de reglas actual y cargue el nuevo.

   # ipf -Fa -f filename

   El nombre_archivo puede ser el nuevo archivo con el nuevo conjunto de reglas o el archivo actualizado que contenga el conjunto de reglas activo.

   El conjunto de reglas activo se elimina del núcleo. Las reglas del archivo nombre_archivo pasan a ser el conjunto de reglas activo.

   ---

   Nota –

   Es preciso ejecutar el comando aunque esté volviendo a cargar el archivo de configuración actual. De lo contrario, el antiguo conjunto de reglas seguirá funcionando, y no se aplicará el conjunto de reglas modificado en el archivo de configuración actualizado.

   No utilice comandos como ipf -D o svcadm restart para cargar el conjunto de reglas actualizado. Dichos comandos ponen en peligro la red al desactivar el cortafuegos antes de cargar el nuevo conjunto de reglas.

   ---

Ejemplo 26–4 Activación de un conjunto de reglas de filtros de paquetes diferente

El ejemplo siguiente muestra cómo reemplazar un conjunto de reglas de filtros de paquetes por otro en un archivo de configuración distinto, /etc/ipf/ipf.conf.

# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe all
# ipf -Fa -f /etc/ipf/ipf.conf
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any

Ejemplo 26–5 Cómo volver a cargar un conjunto de reglas de filtros de paquetes actualizado

El ejemplo siguiente muestra cómo volver a cargar un conjunto de reglas de filtros de paquetes activo y luego actualizarlo. En este ejemplo, el archivo en uso es /etc/ipf/ipf.conf.

# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any

(Edit the /etc/ipf/ipf.conf configuration file.)

# ip -Fa -f /etc/ipf/ipf.conf
# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any
block in quick on elx10 from 192.168.0.0/12 to any

Cómo eliminar un conjunto de reglas de filtros de paquetes

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Elimine el conjunto de reglas.

   # ipf -F [a|i|o]

   -a

   Elimina todas las reglas de filtros del conjunto de reglas.

   -i

   Elimina las reglas de filtros de los paquetes entrantes.

   -o

   Elimina las reglas de filtros de los paquetes salientes.

Ejemplo 26–6 Eliminación de un conjunto de reglas de filtros de paquetes

El ejemplo siguiente muestra cómo eliminar todas las reglas de filtros del conjunto de reglas de filtros activo.

# ipfstat -io
block out log on dmf0 all
block in log quick from 10.0.0.0/8 to any
# ipf -Fa
# ipfstat -io
empty list for ipfilter(out)
empty list for ipfilter(in)

Cómo anexar reglas al conjunto de reglas de filtros de paquetes activo

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Utilice uno de os métodos siguientes para anexar reglas al conjunto de reglas activo:

   • Anexe reglas al conjunto de reglas en la línea de comandos con el comando ipf -f -.

     # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -

   • Ejecute los comandos siguientes:

     1. Cree un conjunto de reglas en el archivo que desee.

     2. Agregue las reglas que ha creado al conjunto de reglas activo.

        # ipf -f filename

        Las reglas de nombre_archivo se agregan al final del conjunto de reglas activo. Dado que el Filtro IP de Solaris utiliza un algoritmo de "última regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la acción de dicha regla y no se comprueban las reglas subsiguientes.

Ejemplo 26–7 Cómo anexar reglas al conjunto de reglas de filtros de paquetes activo

El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas de filtros de paquetes activo desde la línea de comandos.

# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any

Cómo anexar reglas al conjunto de reglas de filtros de paquetes inactivo

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Cree un conjunto de reglas en el archivo que desee.

3. Agregue las reglas que ha creado al conjunto de reglas inactivo.

   # ipf -I -f filename

   Las reglas de nombre_archivo se agregan al final del conjunto de reglas inactivo. Dado que el Filtro IP de Solaris utiliza un algoritmo de "última regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la acción de dicha regla y no se comprueban las reglas subsiguientes.

Ejemplo 26–8 Cómo anexar reglas al conjunto de reglas inactivo

El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas inactivo desde un archivo.

# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all
# ipf -I -f /etc/ipf/ipf.conf
# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all
block in log quick from 10.0.0.0/8 to any

Cómo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Alterne los conjuntos de reglas activo e inactivo.

   # ipf -s

   Este comando permite alternar entre los conjuntos de reglas activo e inactivo del núcleo. Si el conjunto de reglas inactivo está vacío, no se aplicará ningún filtro de paquetes.

Ejemplo 26–9 Cómo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo

El ejemplo siguiente muestra cómo el uso del comando ipf -s convierte el conjunto de reglas inactivo en el conjunto activo y viceversa.

• Antes de ejecutar el comando ipf -s, el resultado del comando ipfstat -I -io muestra las reglas en el conjunto de reglas inactivo. El resultado del comando ipfstat - io muestra las reglas en el conjunto de reglas activo.

  # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any

• Después de ejecutar el comando ipf -s, el resultado de los comandos ipfstat -I -io y ipfstat -io muestra que el contenido de los dos conjuntos de reglas ha cambiado.

  # ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any

Cómo eliminar un conjunto de reglas de filtros de paquetes inactivo del núcleo

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Especifique el conjunto de reglas inactivo en el comando "flush all".

   # ipf -I -Fa

   Este comando vacía el conjunto de reglas inactivo del núcleo.

   ---

   Nota –

   Si ejecuta posteriormente ipf -s, el conjunto de reglas inactivo vacío se convertirá en el conjunto de reglas activo. Un conjunto de reglas activo vacío implica que no se aplicará ningún filtro.

   ---

Ejemplo 26–10 Cómo eliminar un conjunto de reglas de filtros de paquetes inactivo del núcleo

El ejemplo siguiente muestra cómo vaciar el conjunto de reglas de filtros de paquetes inactivo para eliminar todas las reglas.

# ipfstat -I -io
empty list for inactive ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any
# ipf -I -Fa
# ipfstat -I -io
empty list for inactive ipfilter(out)
empty list for inactive ipfilter(in)

Administración de reglas NAT para el filtro IP de Oracle Solaris

Utilice el procedimiento siguiente para administrar, ver y modificar las reglas NAT.

Cómo ver las reglas NAT activas

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Visualice las reglas NAT activas.

   # ipnat -l

Ejemplo 26–11 Visualización de las reglas NAT activas

El ejemplo siguiente muestra el resultado del conjunto de reglas NAT activo.

# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:

Cómo eliminar reglas NAT

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Elimine las reglas NAT actuales.

   # ipnat -C

Ejemplo 26–12 Eliminación de reglas NAT

Con el ejemplo siguiente aprenderá a eliminar las entradas de las reglas NAT actuales.

# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:
# ipnat -C
1 entries flushed from NAT list
# ipnat -l
List of active MAP/Redirect filters:

List of active sessions:

Como anexar reglas a las reglas NAT

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Utilice uno de os métodos siguientes para anexar reglas al conjunto de reglas activo:

   • Anexe reglas al conjunto de reglas NAT en la línea de comandos con el comando ipnat -f -.

     # echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -

   • Ejecute los comandos siguientes:

     1. Cree reglas NAT adicionales en el archivo que desee.

     2. Agregue las reglas que ha creado al conjunto de reglas NAT activo.

        # ipnat -f filename

        Las reglas de nombre_archivo se agregan al final de las reglas NAT.

Ejemplo 26–13 Cómo anexar reglas al conjunto de reglas NAT

El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas NAT desde la línea de comandos.

# ipnat -l
List of active MAP/Redirect filters:

List of active sessions:
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:

Administración de agrupaciones de direcciones para el filtro IP de Oracle Solaris

Utilice los procedimientos siguientes para administrar, ver y modificar las agrupaciones de direcciones.

Cómo ver las agrupaciones de direcciones activas

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Visualice la agrupación de direcciones activa.

   # ippool -l

Ejemplo 26–14 Visualización de la agrupación de direcciones activa

El ejemplo siguiente muestra cómo visualizar el contenido de la agrupación de direcciones activa.

# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };

Cómo eliminar una agrupación de direcciones

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Elimine las entradas de la agrupación de direcciones actual.

   # ippool -F

Ejemplo 26–15 Cómo eliminar una agrupación de direcciones

El ejemplo siguiente muestra cómo eliminar una agrupación de direcciones.

# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# ippool -F
1 object flushed
# ippool -l

Cómo anexar reglas a una agrupación de direcciones

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Utilice uno de os métodos siguientes para anexar reglas al conjunto de reglas activo:

   • Anexe reglas al conjunto de reglas en la línea de comandos utilizando el comando ippool -f -.

     # echo "table role = ipf type = tree number = 13 {10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -

   • Ejecute los comandos siguientes:

     1. Cree agrupaciones de direcciones adicionales en el archivo que desee.

     2. Agregue las reglas que ha creado al conjunto de direcciones activo.

        # ippool -f filename

        Las reglas de nombre_archivo se agregan al final de la agrupación de direcciones activa.

Ejemplo 26–16 Cómo anexar reglas a una agrupación de direcciones

El ejemplo siguiente muestra cómo agregar una agrupación de direcciones al conjunto de reglas de la agrupación de direcciones desde la línea de comandos.

# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# echo "table role = ipf type = tree number = 100
 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f -
# ippool -l
table role = ipf type = tree number = 100
        { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; };
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };

Cómo visualizar las estadísticas e información sobre el filtro IP de Oracle Solaris

Cómo ver las tablas de estado para el filtro IP de Oracle Solaris

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Visualice la tabla de estado.

   # ipfstat

   ---

   Nota –

   Puede utilizar la opción -t para ver la tabla de estado en el formato de la utilidad.

   ---

Ejemplo 26–17 Visualización de tablas de estado para el filtro IP Oracle Solaris

El ejemplo siguiente muestra cómo visualizar una tabla de estado.

# ipfstat
bad packets:            in 0    out 0
 input packets:         blocked 160 passed 11 nomatch 1 counted 0 short 0
output packets:         blocked 0 passed 13681 nomatch 6844 counted 0 short 0
 input packets logged:  blocked 0 passed 0
output packets logged:  blocked 0 passed 0
 packets logged:        input 0 output 0
 log failures:          input 0 output 0
fragment state(in):     kept 0  lost 0
fragment state(out):    kept 0  lost 0
packet state(in):       kept 0  lost 0
packet state(out):      kept 0  lost 0
ICMP replies:   0       TCP RSTs sent:  0
Invalid source(in):     0
Result cache hits(in):  152     (out):  6837
IN Pullups succeeded:   0       failed: 0
OUT Pullups succeeded:  0       failed: 0
Fastroute successes:    0       failures:       0
TCP cksum fails(in):    0       (out):  0
IPF Ticks:      14341469
Packet log flags set: (0)
        none

Cómo ver las tablas de estado para el filtro IP de Oracle Solaris

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Visualice las estadísticas de estado.

   # ipfstat -s

Ejemplo 26–18 Visualización de tablas de estadísticas para el filtro IP de Oracle Solaris

El ejemplo siguiente muestra cómo visualizar las estadísticas de estado.

# ipfstat -s
IP states added:
        0 TCP
        0 UDP
        0 ICMP
        0 hits
        0 misses
        0 maximum
        0 no memory
        0 max bucket
        0 active
        0 expired
        0 closed
State logging enabled

State table bucket statistics:
        0 in use        
        0.00% bucket usage
        0 minimal length
        0 maximal length
        0.000 average length

Cómo visualizar las estadísticas de NAT para el filtro IP de Oracle Solaris

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Ver las estadísticas de NAT.

   # ipnat -s

Ejemplo 26–19 Visualización de estadísticas NAT para el filtro IP de Oracle Solaris

El ejemplo siguiente muestra cómo visualizar las estadísticas de NAT.

# ipnat -s
mapped  in      0       out     0
added   0       expired 0
no memory       0       bad nat 0
inuse   0
rules   1
wilds   0

Cómo visualizar las estadísticas de la agrupación de direcciones para el filtro IP de Oracle Solaris

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Ver las estadísticas de la agrupación de direcciones.

   # ippool -s

Ejemplo 26–20 Visualización de las estadísticas de la agrupación de direcciones para el filtro IP de Oracle Solaris

El ejemplo siguiente muestra cómo visualizar las estadísticas de la agrupación de direcciones.

# ippool -s
Pools:  3
Hash Tables:    0
Nodes:  0

Archivos de registro para el filtro IP de Oracle Solaris

Cómo configurar un archivo de registro para el filtro IP de Oracle Solaris

De modo predeterminado, toda la información de registro del filtro IP de Oracle Solaris se guarda en el archivo syslogd. Debe configurar un archivo de registro para que guarde la información de tráfico del filtro IP de Oracle Solaris de forma independiente de los demás datos que se puedan registrar en el archivo predeterminado. Realice los siguientes pasos.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Edite el archivo /etc/syslog.conf agregando las dos líneas siguientes:

   # Save IPFilter log output to its own file local0.debug /var/log/log-name

   ---

   Nota –

   En la segunda línea, asegúrese de utilizar la tecla de tabulación y no la barra espaciadora para separar local0.debug de /var/log/nombre_registro.

   ---

3. Cree el nuevo archivo de registro.

   # touch /var/log/log-name

4. Reinicie el servicio de registro del sistema.

   # svcadm restart system-log

Ejemplo 26–21 Creación de un registro del filtro IP de Oracle Solaris

En el ejemplo siguiente se muestra cómo crear ipmon.log para archivar información de filtro de IP.

En /etc/syslog.conf:

# Save IPFilter log output to its own file 
local0.debug             /var/log/ipmon.log

En la línea de comandos:

# touch /var/log/ipmon.log
# svcadm restart system-log

Cómo visualizar los archivos de registro del filtro IP de Oracle Solaris

Antes de empezar

Debe crear un archivo de registro independiente para guardar los datos del filtro IP de Oracle Solaris. Consulte Cómo configurar un archivo de registro para el filtro IP de Oracle Solaris.

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Visualice el estado, la NAT o los archivos de registro normales. Para ver un archivo de registro, escriba el comando siguiente con la opción adecuada:

   # ipmon -o [S|N|I] filename

   S

   Muestra el archivo de registro de estado.

   N

   Muestra al archivo de registro de NAT.

   I

   Muestra el archivo de registro de IP normal.

   Para ver todos los archivos de estado, NAT y registro normal, utilice todas las opciones:

   # ipmon -o SNI filename

   • Si ha detenido manualmente el daemon ipmon en primer lugar, también puede utilizar el siguiente comando para ver los archivos de registro de estado, NAT y filtro IP de Oracle Solaris:

     # ipmon -a filename

     ---

     Nota –

     No utilice la sintaxis ipmon -a si el daemon ipmon sigue ejecutándose. Normalmente, el daemon se inicia automáticamente durante el inicio del sistema. Al ejecutar el comando ipmon -a también se abre otra copia de ipmon. En tal caso, ambas copias leen el mismo registro, y sólo una obtiene un mensaje de registro específico.

     ---

   Si desea más información sobre cómo visualizar archivos de registro, consulte la página del comando man ipmon(1M).

Ejemplo 26–22 Visualización de archivos de registro del filtro IP de Oracle Solaris

El ejemplo siguiente muestra el resultado de /var/ipmon.log.

# ipmon -o SNI /var/ipmon.log
02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 
129.146.157.145 PR icmp len 20 84 icmp echo/0 IN

o

# pkill ipmon
# ipmon -aD /var/ipmon.log
02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 
129.146.157.145 PR icmp len 20 84 icmp echo/0 IN

Cómo vaciar el archivo de registro de paquetes

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Vacíe el búfer de registro de paquetes.

   # ipmon -F

Ejemplo 26–23 Vaciado del archivo de registro de paquetes

El siguiente ejemplo muestra el resultado cuando se elimina un archivo de registro. El sistema crea un informe incluso cuando no hay nada en el archivo de registro, como es el caso de este ejemplo.

# ipmon -F
0 bytes flushed from log buffer
0 bytes flushed from log buffer
0 bytes flushed from log buffer

Cómo guardar paquetes registrados en un archivo

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Guarde los paquetes registrados en un archivo.

   # cat /dev/ipl > filename

   Siga registrando paquetes en el archivo nombre_archivo hasta interrumpir el procedimiento escribiendo Control-C para que vuelva a aparecer la línea de comandos.

Ejemplo 26–24 Cómo guardar los paquetes registrados en un archivo

El ejemplo siguiente muestra el resultado que se obtiene al guardar paquetes registrados en un archivo.

# cat /dev/ipl > /tmp/logfile
^C#

# ipmon -f /tmp/logfile
02/09/2004 15:30:28.708294 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 52 -S IN
02/09/2004 15:30:28.708708 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 40 -A IN
02/09/2004 15:30:28.792611 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 70 -AP IN
02/09/2004 15:30:28.872000 hme0 @0:1 p 129.146.157.149,33923 -> 
 129.146.157.145,23 PR tcp len 20 40 -A IN
02/09/2004 15:30:28.872142 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 43 -AP IN
02/09/2004 15:30:28.872808 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 40 -A IN
02/09/2004 15:30:28.872951 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 47 -AP IN
02/09/2004 15:30:28.926792 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 40 -A IN 
.
.
(output truncated)

Creación y edición de archivos de configuración del filtro IP de Oracle Solaris

Debe editar directamente los archivos de configuración para crear y modificar conjuntos de reglas y agrupaciones de direcciones. Los archivos de configuración siguen reglas de sintaxis de UNIX estándar:

• El signo # indica que una línea contiene comentarios.

• Los comentarios y las reglas pueden coexistir en la misma línea.

• También se permite agregar espacios en blanco para facilitar la lectura de las reglas.

• Las reglas pueden ocupar más de una línea. Utilice la barra inclinada inversa (\) al final de una línea para indicar que la regla continúa en la línea siguiente.

Cómo crear un archivo de configuración para el filtro IP de Oracle Solaris

El procedimiento siguiente describe cómo configurar:

• Los archivos de configuración de filtros de paquetes

• Los archivos de configuración de reglas NAT

• Los archivos de configuración de agrupaciones de direcciones

1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

   Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

2. Inicie el editor de archivos que prefiera. Cree o edite el archivo de configuración para la función que desee configurar.

   • Para crear un archivo de configuración para las reglas de filtros de paquetes, edite el archivo ipf.conf.

     El filtro IP de Oracle Solaris utiliza las reglas de filtros de paquetes que se colocan en el archivo ipf.conf. Si coloca las reglas para los filtros de paquetes en el archivo /etc/ipf/ipf.conf, dicho archivo se carga al iniciar el sistema. Si no desea que las reglas de filtros se carguen durante el inicio, colóquelas en el archivo que prefiera. A continuación, puede activar las reglas con el comando ipf, tal como se describe en Cómo activar un conjunto de reglas de filtros de paquetes diferente o actualizado.

     Consulte Uso de la función de filtros de paquetes del filtro IP de Oracle Solaris para obtener información sobre cómo crear reglas de filtros de paquetes.

     ---

     Nota –

     Si el archivo ipf.conf está vacío, no se aplica ningún filtro. Un archivo ipf.conf vacío equivale a tener un conjunto de reglas como el siguiente:

     pass in all pass out all

     ---

   • Para crear un archivo de configuración para las reglas NAT, edite el archivo ipnat.conf.

     El filtro IP de Oracle Solaris utiliza las reglas NAT que se colocan en el archivo ipnat.conf. Si coloca las reglas para NAT en el archivo /etc/ipf/ipnat.conf, dicho archivo se carga al iniciar el sistema. Si no desea que las reglas NAT se carguen durante el inicio, coloque el archivo ipnat.conf en la ubicación que prefiera. A continuación, puede activar las reglas NAT con el comando ipnat.

     Consulte Uso de la función NAT del filtro IP de Oracle Solaris para obtener información sobre cómo crear reglas para la NAT.

   • Para crear un archivo de configuración para las agrupaciones de direcciones, edite el archivo ippool.conf.

     El filtro IP de Oracle Solaris utiliza la agrupación de direcciones que se coloca en el archivo ippool.conf. Si coloca las reglas para la agrupación de direcciones en el archivo /etc/ipf/ippool.conf, dicho archivo se carga al iniciar el sistema. Si no desea que la agrupación de direcciones se cargue durante el inicio, coloque el archivo ippool.conf en la ubicación que prefiera. A continuación, puede activar la agrupación de direcciones con el comando ippool.

     Consulte Uso de la función de agrupaciones de direcciones del filtro IP de Oracle Solaris para obtener información sobre la creación de agrupaciones de direcciones.

Ejemplos de archivos de configuración del filtro IP de Oracle Solaris

Los ejemplos siguientes ilustran las reglas de filtros de paquetes que se utilizan en las configuraciones de filtros.

Ejemplo 26–25 Configuración de host del filtro IP de Oracle Solaris

Este ejemplo muestra una configuración en un equipo host con una interfaz de red elxl.

# pass and log everything by default
pass in log on elxl0 all
pass out log on elxl0 all

# block, but don't log, incoming packets from other reserved addresses
block in quick on elxl0 from 10.0.0.0/8 to any
block in quick on elxl0 from 172.16.0.0/12 to any

# block and log untrusted internal IPs. 0/32 is notation that replaces 
# address of the machine running Solaris IP Filter.
block in log quick from 192.168.1.15 to <thishost>
block in log quick from 192.168.1.43 to <thishost>

# block and log X11 (port 6000) and remote procedure call 
# and portmapper (port 111) attempts
block in log quick on elxl0 proto tcp from any to elxl0/32 port = 6000 keep state
block in log quick on elxl0 proto tcp/udp from any to elxl0/32 port = 111 keep state

Este conjunto de reglas comienza con dos reglas sin restricciones que permiten la transferencia de todos los datos con la interfaz elxl. El segundo conjunto de reglas bloquea todos los paquetes entrantes de los espacios de direcciones privadas 10.0.0.0 y 172.16.0.0 mediante el cortafuegos. El siguiente conjunto de reglas bloquea direcciones internas específicas del equipo host. Finalmente, el último conjunto de reglas bloquea los paquetes que provienen de los puertos 6000 y 111.

Ejemplo 26–26 Configuración de servidor del filtro IP de Oracle Solaris

Este ejemplo muestra una configuración para un equipo host que actúa como servidor Web. Este equipo cuenta con una interfaz de red eri.

# web server with an eri interface
# block and log everything by default; then allow specific services
# group 100 - inbound rules
# group 200 - outbound rules
# (0/32) resolves to our IP address)
*** FTP proxy ***


# block short packets which are packets fragmented too short to be real.
block in log quick all with short


# block and log inbound and outbound by default, group by destination
block in log on eri0 from any to any head 100
block out log on eri0 from any to any head 200


# web rules that get hit most often
pass in quick on eri0 proto tcp from any \
to eri0/32 port = http flags S keep state group 100
pass in quick on eri0 proto tcp from any \
to eri0/32 port = https flags S keep state group 100


# inbound traffic - ssh, auth
pass in quick on eri0 proto tcp from any \
to eri0/32 port = 22 flags S keep state group 100
pass in log quick on eri0 proto tcp from any \
to eri0/32 port = 113 flags S keep state group 100
pass in log quick on eri0 proto tcp from any port = 113 \
to eri0/32 flags S keep state group 100


# outbound traffic - DNS, auth, NTP, ssh, WWW, smtp
pass out quick on eri0 proto tcp/udp from eri0/32 \
to any port = domain flags S keep state group 200
pass in quick on eri0 proto udp from any port = domain to eri0/32 group 100

pass out quick on eri0 proto tcp from eri0/32 \
to any port = 113 flags S keep state group 200
pass out quick on eri0 proto tcp from eri0/32 port = 113 \
to any flags S keep state group 200

pass out quick on eri0 proto udp from eri0/32 to any port = ntp group 200
pass in quick on eri0 proto udp from any port = ntp to eri0/32 port = ntp group 100

pass out quick on eri0 proto tcp from eri0/32 \
to any port = ssh flags S keep state group 200

pass out quick on eri0 proto tcp from eri0/32 \
to any port = http flags S keep state group 200
pass out quick on eri0 proto tcp from eri0/32 \
to any port = https flags S keep state group 200

pass out quick on eri0 proto tcp from eri0/32 \
to any port = smtp flags S keep state group 200


# pass icmp packets in and out
pass in quick on eri0 proto icmp from any to eri0/32  keep state group 100
pass out quick on eri0 proto icmp from eri0/32 to any keep state group 200


# block and ignore NETBIOS packets
block in quick on eri0 proto tcp from any \
to any port = 135 flags S keep state group 100

block in quick on eri0 proto tcp from any port = 137 \
to any flags S keep state group 100
block in quick on eri0 proto udp from any to any port = 137 group 100
block in quick on eri0 proto udp from any port = 137 to any group 100

block in quick on eri0 proto tcp from any port = 138 \
to any flags S keep state group 100
block in quick on eri0 proto udp from any port = 138 to any group 100

block in quick on eri0 proto tcp from any port = 139 to any flags S keep state
group 100
block in quick on eri0 proto udp from any port = 139 to any group 100

Ejemplo 26–27 Configuración de enrutador del filtro IP de Oracle Solaris

El ejemplo siguiente muestra una configuración para un enrutador con una interfaz interna (ce0) y otra externa (ce1).

# internal interface is ce0 at 192.168.1.1
# external interface is ce1 IP obtained via DHCP
# block all packets and allow specific services
*** NAT ***
*** POOLS ***


# Short packets which are fragmented too short to be real.
block in log quick all with short


# By default, block and log everything.
block in log on ce0 all
block in log on ce1 all
block out log on ce0 all
block out log on ce1 all


# Packets going in/out of network interfaces that aren't on the loopback
# interface should not exist.
block in log quick on ce0 from 127.0.0.0/8 to any
block in log quick on ce0 from any to 127.0.0.0/8
block in log quick on ce1 from 127.0.0.0/8 to any
block in log quick on ce1 from any to 127.0.0.0/8


# Deny reserved addresses.
block in quick on ce1 from 10.0.0.0/8 to any
block in quick on ce1 from 172.16.0.0/12 to any
block in log quick on ce1 from 192.168.1.0/24 to any
block in quick on ce1 from 192.168.0.0/16 to any


# Allow internal traffic
pass in quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24
pass out quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24


# Allow outgoing DNS requests from our servers on .1, .2, and .3
pass out quick on ce1 proto tcp/udp from ce1/32 to any port = domain keep state
pass in quick on ce0 proto tcp/udp from 192.168.1.2 to any port = domain keep state
pass in quick on ce0 proto tcp/udp from 192.168.1.3 to any port = domain keep state


# Allow NTP from any internal hosts to any external NTP server.
pass in quick on ce0 proto udp from 192.168.1.0/24 to any port = 123 keep state
pass out quick on ce1 proto udp from any to any port = 123 keep state


# Allow incoming mail
pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state
pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = smtp keep state


# Allow outgoing connections: SSH, WWW, NNTP, mail, whois
pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 22 keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 22 keep state

pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 80 keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 80 keep state
pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 443 keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 443 keep state

pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = nntp keep state
block in quick on ce1 proto tcp from any to any port = nntp keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = nntp keep state

pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = smtp keep state

pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = whois keep state
pass out quick on ce1 proto tcp from any to any port = whois keep state


# Allow ssh from offsite
pass in quick on ce1 proto tcp from any to ce1/32 port = 22 keep state


# Allow ping out
pass in quick on ce0 proto icmp all keep state
pass out quick on ce1 proto icmp all keep state


# allow auth out
pass out quick on ce1 proto tcp from ce1/32 to any port = 113 keep state
pass out quick on ce1 proto tcp from ce1/32 port = 113 to any keep state


# return rst for incoming auth
block return-rst in quick on ce1 proto tcp from any to any port = 113 flags S/SA


# log and return reset for any TCP packets with S/SA
block return-rst in log on ce1 proto tcp from any to any flags S/SA


# return ICMP error packets for invalid UDP packets
block return-icmp(net-unr) in proto udp all