IP フィルタの構成

次の作業マップに、IP フィルタの構成作業に関連する手順を示します。

表 26-1 IP フィルタの構成 (作業マップ)

作業	説明	参照先
最初に IP フィルタを有効にします。	IP フィルタは、デフォルトでは無効です。IP フィルタを手動で有効にするか `/etc/ipf/` ディレクトリにある構成ファイルを使用して、システムをリブートする必要があります。Solaris 10 7/07 リリース以降では、`pfil` モジュールの代わりにパケットフィルタリングフックで IP フィルタを有効にします。	「IP フィルタを有効にする方法」
IP フィルタを再度有効にします。	IP フィルタが非アクティブ化された、または無効になった場合は、システムをリブートするか、`ipf` コマンドを使用して、IP フィルタを再度有効にできます。	「IP フィルタを再度有効にする方法」
ループバックフィルタリングを有効にします。	オプションとして、ループバックフィルタリングを有効にすると、ゾーン間のトラフィックのフィルタリングなどを行うことができます。	「ループバックフィルタリングを有効にする方法」

IP フィルタを有効にする方法

Solaris 10 7/07 以降の OS を実行しているシステムで IP フィルタを有効にするには、次の手順に従います。Solaris 10 7/07 OS より前の Oracle Solaris 10 を実行しているシステムで IP フィルタを有効にする場合は、「pfil モジュールの使用」を参照してください。

IP Filter Management の権利プロファイルを持つ役割またはスーパーユーザーになります。
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
パケットフィルタリング構成ファイルを作成します。
パケットフィルタリング規則セットには、IP フィルタが使用するパケットフィルタリング規則が含まれています。起動時にパケットフィルタリング規則をロードする場合は、/etc/ipf/ipf.conf ファイルを編集して IPv4 パケットフィルタリングを実装します。IPv6 パケットフィルタリング規則には /etc/ipf/ipf6.conf ファイルを使用します。起動時にパケットフィルタリング規則をロードしない場合は、適当な場所に ipf.conf ファイルを保存し、パケットフィルタリングを手動でアクティブ化します。パケットのフィルタリングについては、「IP フィルタのパケットのフィルタリング機能の使用」を参照してください。構成ファイルの操作については、「IP フィルタ構成ファイルの作成と編集」を参照してください。
(省略可能) ネットワークアドレス変換 (NAT) 構成ファイルを作成します。
注 - ネットワークアドレス変換 (NAT) では、IPv6 はサポートされていません。

ネットワークアドレス変換を使用する場合は、ipnat.conf ファイルを作成します。ネットワークアドレス変換を使用する場合は、ipnat.conf ファイルを作成します。起動時に NAT 規則をロードしない場合は、適当な場所に ipnat.conf ファイルを保存し、NAT 規則を手動でアクティブ化します。
NAT の詳細については、「IP フィルタの NAT 機能の使用」を参照してください。
(省略可能) アドレスプール構成ファイルを作成します。
ひとかたまりのアドレスを単一のアドレスプールとして参照する場合は、ipool.conf ファイルを作成します。起動時にアドレスプール構成ファイルをロードする場合は、アドレスプールを保存する /etc/ipf/ippool.conf というファイルを作成します。起動時にアドレスプール構成ファイルをロードしない場合は、適当な場所に ippool.conf ファイルを保存し、規則を手動でアクティブ化します。
アドレスプールは、IPv4 アドレスだけまたは IPv6 アドレスだけを含むことができます。IPv4 アドレスと IPv6 アドレスの両方を含むこともできます。
アドレスプールの詳細については、「IP フィルタのアドレスプール機能の使用」を参照してください。
(省略可能) ループバックトラフィックのフィルタリングを有効にします。
システムに構成されているゾーン間のトラフィックのフィルタリングを行う場合は、ループバックフィルタリングを有効にする必要があります。「ループバックフィルタリングを有効にする方法」を参照してください。ゾーンに適用する適切な規則セットも必ず定義してください。
IP フィルタをアクティブにします。
```
# svcadm enable network/ipfilter
```

IP フィルタを再度有効にする方法

Solaris IP フィルタがアクティブでない場合は、再度有効にできます。

IP Filter Management の権利プロファイルを持つ役割またはスーパーユーザーになります。
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
次のいずれかの方法で、IP フィルタを有効にし、フィルタリングをアクティブ化します。
- マシンをリブートします。
```
# reboot
```
  注 - IP フィルタが有効になっているときに次のファイルが存在する場合は、リブート後にそれらのファイルがロードされます。 /etc/ipf/ipf.conf ファイル (IPv6 を使用している場合は /etc/ipf/ipf6.conf ファイル) または /etc/ipf/ipnat.conf ファイル。
- 次の一連のコマンドを実行して、IP フィルタを有効にし、フィルタリングをアクティブにします。
  1. IP フィルタを有効にします。
```
# ipf -E
```
  2. パケットフィルタリングのアクティブ化
```
# ipf -f filename
```
  3. (省略可能) NAT のアクティブ化
```
# ipnat -f filename
```
    注 - ネットワークアドレス変換 (NAT) では、IPv6 はサポートされていません。

ループバックフィルタリングを有効にする方法

注 - ループバックトラフィックをフィルタリングできるのは、システムで Solaris 10 7/07 リリース以降が実行されている場合のみです。以前の Oracle Solaris 10 リリースでは、ループバックフィルタリングはサポートされません。

IP Filter Management の権利プロファイルを持つ役割またはスーパーユーザーになります。
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
IP フィルタが実行中の場合は、停止させます。
```
# svcadm disable network/ipfilter
```
/etc/ipf.conf ファイルまたは /etc/ipf6.conf ファイルを編集して、ファイルの先頭に次の行を追加します。
```
set intercept_loopback true;
```
この行は、ファイル内で定義されるどの IP フィルタ規則よりも前に置く必要があります。ただし、この行の前にコメントを挿入することはできます。次に例を示します。
```
# 
# Enable loopback filtering to filter between zones 
# 
set intercept_loopback true; 
# 
# Define policy 
# 
block in all 
block out all 
<other rules>
...
```
IP フィルタを起動します。
```
# svcadm enable network/ipfilter
```
ループバックフィルタリングの状態を確認するには、次のコマンドを使用します。
```
# ipf -T ipf_loopback
ipf_loopback    min 0   max 0x1 current 1
#
```
ループバックフィルタリングが無効になっている場合、このコマンドは次の出力を生成します。
```
ipf_loopback    min 0   max 0x1 current 0
```

ナビゲーションリンクをスキップ
印刷ビューの終了
	Solaris のシステム管理 (IP サービス) Oracle Solaris 10 8/11 Information Library (日本語)