Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : Services IP Oracle Solaris 11 Information Library (Français) |
Partie I Administration TCP/IP
1. Planification du développement du réseau
2. Eléments à prendre en compte lors de l'utilisation d'adresses IPv6
3. Configuration d'un réseau IPv4
4. Activation d'IPv6 sur le réseau
5. Administration d'un réseau TCP/IP
6. Configuration de tunnels IP
7. Dépannage des problèmes de réseau
10. A propos de DHCP (présentation)
11. Administration du service DHCP ISC
12. Configuration et administration du client DHCP
13. Commandes et fichiers DHCP (référence)
14. Architecture IPsec (présentation)
15. Configuration d'IPsec (tâches)
16. Architecture IPsec (référence)
17. Protocole IKE (présentation)
18. Configuration du protocole IKE (tâches)
20. IP Filter dans Oracle Solaris (présentation)
Sources d'informations pour Open Source IP Filter
Recommandations relatives à l'utilisation d'IP Filter
Utilisation des fichiers de configuration IP Filter
Utilisation d'ensembles de règles IP Filter
Utilisation de la fonctionnalité de filtrage de paquets d'IP Filter
Configuration des règles de filtrage de paquets
Utilisation de la fonctionnalité NAT d'IP Filter
Utilisation de la fonctionnalité de pools d'adresses d'IP Filter
Configuration des pools d'adresses
Partie IV Performances du réseau
22. Présentation de l'équilibreur de charge intégré
23. Configuration de l'équilibreur de charge intégré (tâches)
24. Protocole de redondance de routeur virtuel (VRRP) (Présentation)
25. Configuration VRRP - Tâches
26. Implémentation du contrôle de congestion
Partie V Qualité de service IP (IPQoS)
27. Présentation d'IPQoS (généralités)
28. Planification d'un réseau IPQoS (tâches)
29. Création du fichier de configuration IPQoS (tâches)
30. Démarrage et maintenance d'IPQoS (tâches)
31. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
Au cours du traitement d'un paquet, IP Filter exécute une séquence d'étapes. Le diagramme ci-dessous illustre les étapes du traitement d'un paquet et l'intégration du filtrage à la pile de protocole TCP/IP.
Figure 20-1 Séquence de traitement d'un paquet
Le traitement d'un paquet inclut les opérations suivantes :
Translation d'adresse réseau (NAT)
Translation d'une adresse IP privée vers une adresse publique, ou définition d'alias pour plusieurs adresses privées vers une adresse publique unique. NAT (Network Address Translation, translation d'adresse réseau) permet à une organisation de résoudre le problème d'épuisement des adresses IP lorsqu'elle utilise un réseau et requiert l'accès à Internet.
Comptabilité IP
Les règles d'entrée et de sortie peuvent être configurées séparément, avec enregistrement du nombre d'octets transmis. En cas de correspondance d'une règle, le nombre d'octets du paquet est ajouté à la règle et des statistiques en cascade sont rassemblées.
Vérification du cache de fragment
Si un paquet du trafic en cours constitue un fragment et que le paquet précédent a été autorisé, le fragment de paquet est également autorisé, sans consultation de la table d'état ni vérification de règle.
Vérification de l'état du paquet
Si la règle contient l'instruction keep state, tous les paquets d'une session spécifiée sont automatiquement transmis ou bloqués, selon la spécification de la règle : pass (transmettre) ou block (bloquer).
Vérification du pare-feu
Les règles d'entrée et de sortie peuvent être configurées séparément, afin d'autoriser ou non la transmission d'un paquet, via IP Filter, vers les routines TCP/IP du noyau ou vers le réseau.
Groupes
Les groupes permettent d'écrire des ensembles de règles selon une structure arborescente.
Fonction
Une fonction correspond à l'action à réaliser. Les fonctions sont, par exemple, block (bloquer), pass (transmettre), literal (littéral) et send ICMP response (envoyer une réponse ICMP).
FastRoute
FastRoute indique à IP Filter de ne pas transmettre le paquet vers la pile UNIX IP pour le routage, ce qui entraîne une réduction TTL.
Authentification IP
Les paquets authentifiés ne sont transmis via les boucles du pare-feu qu'une seule fois, afin d'éviter le traitement multiple de certains paquets.