Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios IP |
Parte I Introducción a la administración del sistema: servicios IP
1. Conjunto de protocolos TCP/IP de Oracle Solaris (descripción general)
Parte II Administración de TCP/IP
2. Planificación de la red TCP/IP (tareas)
3. Introducción a IPv6 (descripción general)
4. Planificación de una red IPv6 (tareas)
5. Configuración de servicios de red TCP/IP y direcciones IPv4 (tareas)
6. Administración de interfaces de red (tareas)
7. Configuración de una red IPv6 (tareas).
8. Administración de redes TCP/IP (tareas)
9. Resolución de problemas de red (Tareas)
10. Descripción detallada de TCP/IP e IPv4 (referencia)
11. IPv6 en profundidad (referencia)
12. Acerca de DHCP (descripción general)
13. Planificación del servicio DHCP (tareas)
14. Configuración del servicio DHCP (tareas)
15. Administración de DHCP (tareas)
16. Configuración y administración del cliente DHCP
17. Solución de problemas de DHCP (referencia)
18. Comandos y archivos DHCP (referencia)
19. Arquitectura de seguridad IP (descripción general)
20. Configuración de IPsec (tareas)
21. Arquitectura de seguridad IP (referencia)
22. Intercambio de claves de Internet (descripción general)
23. Configuración de IKE (tareas)
24. Intercambio de claves de Internet (referencia)
25. Filtro IP en Oracle Solaris (descripción general)
Cómo habilitar los filtros en bucle de retorno
Desactivación y deshabilitación de filtro IP
Cómo desactivar los filtros de paquetes
Cómo deshabilitar los filtros de paquetes
Cómo trabajar con el módulo pfil
How to Enable IP Filter in Previous Solaris Releases
Cómo activar una NIC para los filtros de paquetes
Cómo trabajar con conjuntos de reglas del filtro IP
Gestión de conjunto de reglas de filtro de paquetes para filtro IP
Cómo visualizar el conjunto de reglas de filtros de paquetes activo
Cómo visualizar el conjunto de reglas de filtros de paquetes inactivo
Cómo activar un conjunto de reglas de filtros de paquetes diferente o actualizado
Cómo eliminar un conjunto de reglas de filtros de paquetes
Cómo anexar reglas al conjunto de reglas de filtros de paquetes activo
Cómo anexar reglas al conjunto de reglas de filtros de paquetes inactivo
Cómo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo
Cómo eliminar un conjunto de reglas de filtros de paquetes inactivo del núcleo
Gestión de reglas NAT para filtro IP
Cómo ver las reglas NAT activas
Como anexar reglas a las reglas NAT
Gestión de agrupaciones de direcciones para el filtro IP
Cómo ver las agrupaciones de direcciones activas
Cómo eliminar una agrupación de direcciones
Cómo anexar reglas a una agrupación de direcciones
Cómo visualizar las estadísticas e información sobre el filtro IP
Cómo ver las tablas de estado para el filtro IP
Cómo ver las tablas de estado para el filtro IP
Cómo visualizar las estadísticas de NAT para el filtro IP
Cómo visualizar las estadísticas de la agrupación de direcciones para el filtro IP
Cómo trabajar con archivos de registro para el filtro IP
Cómo configurar un archivo de registro para el filtro IP
Cómo visualizar los archivos de registro del filtro IP
Cómo vaciar el archivo de registro de paquetes
Cómo guardar paquetes registrados en un archivo
Creación y edición de archivos de configuración del filtro IP
Cómo crear un archivo de configuración para el filtro IP
Ejemplos de archivos de configuración del filtro IP
27. IP para móviles (Descripción general)
28. Administración de IP móvil (tareas)
29. Archivos y comandos de IP para móviles (referencia)
30. Introducción a IPMP (descripción general)
31. Administración de IPMP (tareas)
Parte VII Calidad de servicio IP (IPQoS)
32. Introducción a IPQoS (Descripción general)
33. Planificación para una red con IPQoS (Tareas)
34. Creación del archivo de configuración IPQoS (Tareas)
35. Inicio y mantenimiento de IPQoS (Tareas)
36. Uso de control de flujo y recopilación de estadísticas (Tareas)
En esta sección se describe cómo utilizar el módulo pfil STREAMS para activar o desactivar el filtro IP y cómo ver las estadísticas de pfil. Los procedimientos sólo se aplican a los sistemas que ejecutan una de las siguientes versiones de Solaris:
Solaris 10 3/05
Solaris 10 1/06
Solaris 10 6/06
Solaris 10 11/06
El siguiente mapa de tareas identifica los procedimientos asociados con la configuración del módulo pfil.
Tabla 26-3 Módulo pfil (mapa de tareas)
|
El filtro IP se instala con Oracle Solaris. Sin embargo, los filtros de paquetes no están habilitados de modo predeterminado. Siga este procedimiento para activar el filtro IP.
Nota - Si el sistema ejecuta como mínimo la versión Solaris 10 7/07, siga el procedimiento Cómo habilitar el filtro IP que utiliza los enlaces de filtros de paquetes.
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
Este archivo contiene los nombres de las tarjetas de interfaz de red (NIC) del host. De modo predeterminado, los nombres están comentados. Elimine el comentario de los nombres de dispositivo que llevan el tráfico de red que desea filtrar. Si el nombre de la NIC del sistema no aparece en la lista, agregue una línea para especificar la tarjeta NIC.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil
# svcadm restart network/pfil
El conjunto de reglas de filtros de paquetes contiene reglas de filtros de paquetes que utiliza el filtro IP. Si desea cargar las reglas de filtros de paquetes en el momento de iniciar, edite el archivo /etc/ipf/ipf.conf para implementar los filtros de paquetes IPv4. Utilice el archivo /etc/ipf/ipf6.conf para las reglas de filtros de paquetes IPv6. Si no desea cargar las reglas de filtros de paquetes al iniciar, colóquelas en un archivo y active manualmente los filtros de paquetes. Para obtener información sobre los filtros de paquetes, consulte Uso de la función de filtros de paquetes del filtro IP. Para obtener información sobre cómo trabajar con los archivos de configuración, consulte Creación y edición de archivos de configuración del filtro IP.
Nota - La traducción de direcciones de red (NAT) no admite IPv6.
Cree un archivo ipnat.conf si desea utilizar la traducción de direcciones de red. Si desea que las reglas NAT se carguen durante el inicio, cree un archivo denominado /etc/ipf/ipnat.conf en el que colocar las reglas NAT. Si no desea cargar las reglas NAT al iniciar, coloque el archivo ipnat.conf en la ubicación que desee y active manualmente las reglas NAT.
Para obtener más información sobre NAT, consulte Uso de la función NAT del filtro IP.
Cree un archivo ipool.conf si desea hacer referencia a una agrupación de direcciones como una única agrupación. Si desea que el archivo de configuración de agrupaciones de direcciones se cargue al inicio, cree un archivo denominado /etc/ipf/ippool.conf en el que colocar la agrupación de direcciones. Si no desea cargar el archivo de configuración de la agrupación de direcciones al inicio, coloque el archivo ippool.conf en la ubicación que desee y active las reglas manualmente.
Una agrupación de direcciones sólo puede contener direcciones IPv4 o IPv6. También puede contener tanto direcciones IPv4 como direcciones IPv6.
Para obtener más información sobre las agrupaciones de direcciones, consulte Uso de la función de agrupaciones de direcciones del filtro IP.
Habilite el filtro IP y reinicie el equipo.
# svcadm enable network/ipfilter # reboot
Nota - Es necesario reiniciar si no puede utilizar los comandos ifconfig unplumb y ifconfig plumb con seguridad en las tarjetas NIC.
Active las tarjetas NIC utilizando los comandos ifconfig unplumb e ifconfig plumb. A continuación, active el filtro IP. La versión inet6 de la interfaz debe estar sondeada para poder implementar los filtros de paquetes IPv6.
# ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inte6 unplumb # ifconfig hme0 inet6 plumb fec3:f849::1/96 up # svcadm enable network/ipfilter
Para obtener más información sobre el comando ifconfig, consulte la página del comando man ifconfig(1M).
El filtro IP está habilitado durante el arranque cuando existe el archivo /etc/ipf/ipf.conf (o el archivo /etc/ipf/ipf6.conf si se utiliza IPv6). Si necesita habilitar los filtros en una NIC después de habilitar el filtro IP, utilice el procedimiento siguiente.
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
Este archivo contiene los nombres de las NIC del host. De modo predeterminado, los nombres están comentados. Elimine el comentario de los nombres de dispositivo que llevan el tráfico de red que desea filtrar. Si el nombre de la NIC del sistema no aparece en la lista, agregue una línea para especificar la tarjeta NIC.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil
# svcadm restart network/pfil
Reinicie el equipo.
# reboot
Nota - Es necesario reiniciar si no puede utilizar los comandos ifconfig unplumb y ifconfig plumb con seguridad en las tarjetas NIC.
Active las NIC que desee filtrar utilizando el comando ifconfig con las opciones unplumb y plumb. La versión inet6 de cada interfaz debe estar sondeada para poder implementar los filtros de paquetes IPv6.
# ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up
Para obtener más información acerca del comando ifconfig, consulte la página del comando man ifconfig(1M).
Siga el procedimiento a continuación para detener los paquetes de filtros en una tarjeta NIC.
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
Este archivo contiene los nombres de las NIC del host. Se eliminan los comentarios de las NIC que se han utilizando para filtrar el tráfico de red. Elimine los comentarios de los nombres de dispositivos que ya no desee utilizar para filtrar el tráfico de red.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil #hme -1 0 pfil (Commented-out device no longer filters network traffic) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil
Reinicie el equipo.
# reboot
Nota - Es necesario reiniciar si no puede utilizar los comandos ifconfig unplumb y ifconfig plumb con seguridad en las tarjetas NIC.
Desactive las tarjetas NIC utilizando el comando ifconfig con las opciones unplumb y plumb. La versión inet6 de cada interfaz no debe estar sondeada para poder desactivar los filtros de paquetes IPv6. realice los siguientes pasos. El dispositivo de ejemplo del sistema es hme:
Identifique el "major number" del dispositivo que está desactivando.
# grep hme /etc/name_to_major hme 7
Visualice la configuración actual de autopush para hme0.
# autopush -g -M 7 -m 0 Major Minor Lastminor Modules 7 ALL - pfil
Elimine la configuración de autopush.
# autopush -r -M 7 -m 0
Abra el dispositivo y asígnele las direcciones IP.
# ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up
Para obtener más información acerca del comando ifconfig, consulte la página del comando man ifconfig(1M).
Cuando esté resolviendo problemas del filtro IP, puede ver las estadísticas de pfil.
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# ndd -get /dev/pfil qif_status
Ejemplo 26-1 Visualización de las estadísticas de pfil para el filtro IP
El ejemplo siguiente muestra cómo visualizar las estadísticas de pfil.
# ndd -get /dev/pfil qif_status ifname ill q OTHERQ num sap hl nr nw bad copy copyfail drop notip nodata notdata QIF6 0 300011247b8 300011248b0 6 806 0 4 9 0 0 0 0 0 0 0 dmfe1 3000200a018 30002162a50 30002162b48 5 800 14 171 13681 0 0 0 0 0 0 0