Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios IP |
Parte I Introducción a la administración del sistema: servicios IP
1. Conjunto de protocolos TCP/IP de Oracle Solaris (descripción general)
Parte II Administración de TCP/IP
2. Planificación de la red TCP/IP (tareas)
3. Introducción a IPv6 (descripción general)
4. Planificación de una red IPv6 (tareas)
5. Configuración de servicios de red TCP/IP y direcciones IPv4 (tareas)
6. Administración de interfaces de red (tareas)
7. Configuración de una red IPv6 (tareas).
8. Administración de redes TCP/IP (tareas)
9. Resolución de problemas de red (Tareas)
10. Descripción detallada de TCP/IP e IPv4 (referencia)
11. IPv6 en profundidad (referencia)
12. Acerca de DHCP (descripción general)
13. Planificación del servicio DHCP (tareas)
14. Configuración del servicio DHCP (tareas)
15. Administración de DHCP (tareas)
16. Configuración y administración del cliente DHCP
17. Solución de problemas de DHCP (referencia)
18. Comandos y archivos DHCP (referencia)
19. Arquitectura de seguridad IP (descripción general)
20. Configuración de IPsec (tareas)
21. Arquitectura de seguridad IP (referencia)
22. Intercambio de claves de Internet (descripción general)
23. Configuración de IKE (tareas)
24. Intercambio de claves de Internet (referencia)
25. Filtro IP en Oracle Solaris (descripción general)
Cómo habilitar los filtros en bucle de retorno
Desactivación y deshabilitación de filtro IP
Cómo desactivar los filtros de paquetes
Cómo deshabilitar los filtros de paquetes
Cómo trabajar con el módulo pfil
How to Enable IP Filter in Previous Solaris Releases
Cómo activar una NIC para los filtros de paquetes
Cómo desactivar el filtro IP en una NIC
Cómo visualizar las estadísticas de pfil para el filtro IP
Cómo trabajar con conjuntos de reglas del filtro IP
Gestión de conjunto de reglas de filtro de paquetes para filtro IP
Cómo visualizar el conjunto de reglas de filtros de paquetes activo
Cómo visualizar el conjunto de reglas de filtros de paquetes inactivo
Cómo activar un conjunto de reglas de filtros de paquetes diferente o actualizado
Cómo eliminar un conjunto de reglas de filtros de paquetes
Cómo anexar reglas al conjunto de reglas de filtros de paquetes activo
Cómo anexar reglas al conjunto de reglas de filtros de paquetes inactivo
Cómo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo
Cómo eliminar un conjunto de reglas de filtros de paquetes inactivo del núcleo
Gestión de reglas NAT para filtro IP
Cómo ver las reglas NAT activas
Como anexar reglas a las reglas NAT
Gestión de agrupaciones de direcciones para el filtro IP
Cómo ver las agrupaciones de direcciones activas
Cómo visualizar las estadísticas e información sobre el filtro IP
Cómo ver las tablas de estado para el filtro IP
Cómo ver las tablas de estado para el filtro IP
Cómo visualizar las estadísticas de NAT para el filtro IP
Cómo visualizar las estadísticas de la agrupación de direcciones para el filtro IP
Cómo trabajar con archivos de registro para el filtro IP
Cómo configurar un archivo de registro para el filtro IP
Cómo visualizar los archivos de registro del filtro IP
Cómo vaciar el archivo de registro de paquetes
Cómo guardar paquetes registrados en un archivo
Creación y edición de archivos de configuración del filtro IP
Cómo crear un archivo de configuración para el filtro IP
Ejemplos de archivos de configuración del filtro IP
27. IP para móviles (Descripción general)
28. Administración de IP móvil (tareas)
29. Archivos y comandos de IP para móviles (referencia)
30. Introducción a IPMP (descripción general)
31. Administración de IPMP (tareas)
Parte VII Calidad de servicio IP (IPQoS)
32. Introducción a IPQoS (Descripción general)
33. Planificación para una red con IPQoS (Tareas)
34. Creación del archivo de configuración IPQoS (Tareas)
35. Inicio y mantenimiento de IPQoS (Tareas)
36. Uso de control de flujo y recopilación de estadísticas (Tareas)
El siguiente mapa de tareas identifica los procedimientos asociados con los conjuntos de reglas del filtro IP.
Tabla 26-4 Cómo trabajar con conjuntos de reglas del filtro IP (mapa de tareas)
|
Cuando está habilitado, tanto los conjuntos de reglas de filtros de paquetes activos como los inactivos pueden residir en el núcleo. El conjunto de reglas activo determina el filtro que se está aplicando en los paquetes entrantes y salientes. El conjunto de reglas inactivo también guarda las reglas. Estas reglas no se utilizan a menos que convierta el conjunto de reglas inactivo en el conjunto activo. Puede administrar, ver y modificar los conjuntos de reglas de filtros de paquetes activos e inactivos.
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# ipfstat -io
Ejemplo 26-2 Visualización del conjunto de reglas de filtros de paquetes activo
En el ejemplo siguiente se muestra el resultado del conjunto de reglas de filtros de paquetes activo que está cargado en el núcleo.
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe1 from 192.168.1.0/24 to any pass in all block in on dmfe1 from 192.168.1.10/32 to any
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# ipfstat -I -io
Ejemplo 26-3 Visualización del conjunto de reglas de filtros de paquetes inactivo
El ejemplo siguiente muestra el resultado del conjunto de reglas de filtros de paquetes inactivo.
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all
Siga este procedimiento para llevar a cabo una de las tareas siguientes:
Active un conjunto de reglas de filtros de paquetes que no sea el que está utilizando el filtro IP.
Vuelva a cargar el mismo conjunto de reglas de filtros que se ha actualizado.
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
Cree un conjunto de reglas en un archivo diferente si desea activar un conjunto de reglas completamente distinto.
Actualice el conjunto de reglas actual editando el archivo de configuración que lo contiene.
# ipf -Fa -f filename
El nombre_archivo puede ser el nuevo archivo con el nuevo conjunto de reglas o el archivo actualizado que contenga el conjunto de reglas activo.
El conjunto de reglas activo se elimina del núcleo. Las reglas del archivo nombre_archivo pasan a ser el conjunto de reglas activo.
Nota - Es preciso ejecutar el comando aunque esté volviendo a cargar el archivo de configuración actual. De lo contrario, el antiguo conjunto de reglas seguirá funcionando, y no se aplicará el conjunto de reglas modificado en el archivo de configuración actualizado.
No utilice comandos como ipf -D o svcadm restart para cargar el conjunto de reglas actualizado. Dichos comandos ponen en peligro la red al desactivar el cortafuegos antes de cargar el nuevo conjunto de reglas.
Ejemplo 26-4 Activación de un conjunto de reglas de filtros de paquetes diferente
El ejemplo siguiente muestra cómo reemplazar un conjunto de reglas de filtros de paquetes por otro en un archivo de configuración distinto, /etc/ipf/ipf.conf.
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe all # ipf -Fa -f /etc/ipf/ipf.conf # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any
Ejemplo 26-5 Cómo volver a cargar un conjunto de reglas de filtros de paquetes actualizado
El ejemplo siguiente muestra cómo volver a cargar un conjunto de reglas de filtros de paquetes activo y luego actualizarlo. En este ejemplo, el archivo en uso es /etc/ipf/ipf.conf.
# ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any (Edit the /etc/ipf/ipf.conf configuration file.) # ipf -Fa -f /etc/ipf/ipf.conf # ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any block in quick on elx10 from 192.168.0.0/12 to any
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# ipf -F [a|i|o]
Elimina todas las reglas de filtros del conjunto de reglas.
Elimina las reglas de filtros de los paquetes entrantes.
Elimina las reglas de filtros de los paquetes salientes.
Ejemplo 26-6 Eliminación de un conjunto de reglas de filtros de paquetes
El ejemplo siguiente muestra cómo eliminar todas las reglas de filtros del conjunto de reglas de filtros activo.
# ipfstat -io block out log on dmf0 all block in log quick from 10.0.0.0/8 to any # ipf -Fa # ipfstat -io empty list for ipfilter(out) empty list for ipfilter(in)
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
Anexe reglas al conjunto de reglas en la línea de comandos con el comando ipf -f -.
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
Ejecute los comandos siguientes:
Cree un conjunto de reglas en el archivo que desee.
Agregue las reglas que ha creado al conjunto de reglas activo.
# ipf -f filename
Las reglas de nombre de archivo se agregan al final del conjunto de reglas activo. Dado que el filtro IP utiliza un algoritmo de "última regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la acción de dicha regla y no se comprueban las reglas subsiguientes.
Ejemplo 26-7 Cómo anexar reglas al conjunto de reglas de filtros de paquetes activo
El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas de filtros de paquetes activo desde la línea de comandos.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f - # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# ipf -I -f filename
Las reglas de nombre_archivo se agregan al final del conjunto de reglas inactivo. Dado que el filtro IP utiliza un algoritmo de "última regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la acción de dicha regla y no se comprueban las reglas subsiguientes.
Ejemplo 26-8 Cómo anexar reglas al conjunto de reglas inactivo
El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas inactivo desde un archivo.
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all # ipf -I -f /etc/ipf/ipf.conf # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# ipf -s
Este comando permite alternar entre los conjuntos de reglas activo e inactivo del núcleo. Si el conjunto de reglas inactivo está vacío, no se aplicará ningún filtro de paquetes.
Ejemplo 26-9 Cómo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo
El ejemplo siguiente muestra cómo el uso del comando ipf -s convierte el conjunto de reglas inactivo en el conjunto activo y viceversa.
Antes de ejecutar el comando ipf -s, el resultado del comando ipfstat -I -io muestra las reglas en el conjunto de reglas inactivo. El resultado del comando ipfstat - io muestra las reglas en el conjunto de reglas activo.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
Después de ejecutar el comando ipf -s, el resultado de los comandos ipfstat -I -io y ipfstat -io muestra que el contenido de los dos conjuntos de reglas ha cambiado.
# ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# ipf -I -Fa
Este comando vacía el conjunto de reglas inactivo del núcleo.
Nota - Si ejecuta posteriormente ipf -s, el conjunto de reglas inactivo vacío se convertirá en el conjunto de reglas activo. Un conjunto de reglas activo vacío implica que no se aplicará ningún filtro.
Ejemplo 26-10 Cómo eliminar un conjunto de reglas de filtros de paquetes inactivo del núcleo
El ejemplo siguiente muestra cómo vaciar el conjunto de reglas de filtros de paquetes inactivo para eliminar todas las reglas.
# ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipf -I -Fa # ipfstat -I -io empty list for inactive ipfilter(out) empty list for inactive ipfilter(in)
Utilice el procedimiento siguiente para administrar, ver y modificar las reglas NAT.
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# ipnat -l
Ejemplo 26-11 Visualización de las reglas NAT activas
El ejemplo siguiente muestra el resultado del conjunto de reglas NAT activo.
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# ipnat -C
Ejemplo 26-12 Eliminación de reglas NAT
Con el ejemplo siguiente aprenderá a eliminar las entradas de las reglas NAT actuales.
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: # ipnat -C 1 entries flushed from NAT list # ipnat -l List of active MAP/Redirect filters: List of active sessions:
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
Anexe reglas al conjunto de reglas NAT en la línea de comandos con el comando ipnat -f -.
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
Ejecute los comandos siguientes:
Cree reglas NAT adicionales en el archivo que desee.
Agregue las reglas que ha creado al conjunto de reglas NAT activo.
# ipnat -f filename
Las reglas de nombre_archivo se agregan al final de las reglas NAT.
Ejemplo 26-13 Cómo anexar reglas al conjunto de reglas NAT
El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas NAT desde la línea de comandos.
# ipnat -l List of active MAP/Redirect filters: List of active sessions: # echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f - # ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Utilice los procedimientos siguientes para gestionar, ver y modificar las agrupaciones de direcciones.
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# ippool -l
Ejemplo 26-14 Visualización de la agrupación de direcciones activa
El ejemplo siguiente muestra cómo visualizar el contenido de la agrupación de direcciones activa.
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# ippool -F
Ejemplo 26-15 Cómo eliminar una agrupación de direcciones
El ejemplo siguiente muestra cómo eliminar una agrupación de direcciones.
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; # ippool -F 1 object flushed # ippool -l
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
Anexe reglas al conjunto de reglas en la línea de comandos utilizando el comando ippool -f -.
# echo "table role = ipf type = tree number = 13 {10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -
Ejecute los comandos siguientes:
Cree agrupaciones de direcciones adicionales en el archivo que desee.
Agregue las reglas que ha creado al conjunto de direcciones activo.
# ippool -f filename
Las reglas de nombre_archivo se agregan al final de la agrupación de direcciones activa.
Ejemplo 26-16 Cómo anexar reglas a una agrupación de direcciones
El ejemplo siguiente muestra cómo agregar una agrupación de direcciones al conjunto de reglas de la agrupación de direcciones desde la línea de comandos.
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; # echo "table role = ipf type = tree number = 100 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f - # ippool -l table role = ipf type = tree number = 100 { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; }; table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };