| Omitir V�nculos de navegaci�n | |
| Salir de la Vista de impresi�n | |
|
Administración de Oracle Solaris: servicios IP Oracle Solaris 11 Information Library (Español) |
| Omitir V�nculos de navegaci�n | |
| Salir de la Vista de impresi�n | |
|
|
Administración de Oracle Solaris: servicios IP Oracle Solaris 11 Information Library (Español) |
Parte I Administración de TCP/IP
1. Planificación de la implementación de red
2. Consideraciones para el uso de direcciones IPv6
3. Configuración de una red IPv4
4. Habilitación de IPv6 en una red
5. Administración de una red TCP/IP
6. Configuración de túneles IP
7. Resolución de problemas de red
10. Acerca de DHCP (descripción general)
11. Administración del servicio DHCP de ISC
12. Configuración y administración del cliente DHCP
13. Comandos y archivos DHCP (referencia)
14. Arquitectura de seguridad IP (descripción general)
15. Configuración de IPsec (tareas)
16. Arquitectura de seguridad IP (referencia)
17. Intercambio de claves de Internet (descripción general)
18. Configuración de IKE (tareas)
19. Intercambio de claves de Internet (referencia)
20. Filtro IP en Oracle Solaris (descripción general)
Cómo activar los filtros en bucle
Desactivación y deshabilitación de filtro IP
Cómo desactivar los filtros de paquetes
Cómo desactivar los filtros de paquetes
Cómo trabajar con conjuntos de reglas del filtro IP
Gestión de conjunto de reglas de filtro de paquetes para filtro IP
Cómo visualizar el conjunto de reglas de filtros de paquetes activo
Cómo visualizar el conjunto de reglas de filtros de paquetes inactivo
Cómo activar un conjunto de reglas de filtros de paquetes diferente o actualizado
Cómo eliminar un conjunto de reglas de filtros de paquetes
Cómo anexar reglas al conjunto de reglas de filtros de paquetes activo
Cómo anexar reglas al conjunto de reglas de filtros de paquetes inactivo
Cómo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo
Cómo eliminar un conjunto de reglas de filtros de paquetes inactivo del núcleo
Gestión de reglas NAT para filtro IP
Cómo ver las reglas NAT activas
Como anexar reglas a las reglas NAT
Gestión de agrupaciones de direcciones para el filtro IP
Cómo ver las agrupaciones de direcciones activas
Cómo eliminar una agrupación de direcciones
Cómo anexar reglas a una agrupación de direcciones
Cómo visualizar las estadísticas e información sobre el filtro IP
Cómo ver las tablas de estado para el filtro IP
Cómo ver las tablas de estado para el filtro IP
Cómo visualizar las estadísticas de NAT para el filtro IP
Cómo visualizar las estadísticas de la agrupación de direcciones para el filtro IP
Cómo trabajar con archivos de registro para el filtro IP
Cómo configurar un archivo de registro para el filtro IP
Cómo visualizar los archivos de registro del filtro IP
Cómo vaciar el archivo de registro de paquetes
Cómo guardar paquetes registrados en un archivo
Creación y edición de archivos de configuración del filtro IP
22. Descripción general del equilibrador de carga integrado
23. Configuración del equilibrador de carga integrado (tareas)
24. Protocolo de redundancia de enrutador virtual (descripción general)
25. Configuración VRRP (tareas)
26. Implementación del control de congestión
Parte V Calidad de servicio IP (IPQoS)
27. Introducción a IPQoS (descripción general)
28. Planificación para una red con IPQoS (tareas)
29. Creación del archivo de configuración IPQoS (tareas)
30. Inicio y mantenimiento de IPQoS (tareas)
31. Uso de control de flujo y recopilación de estadísticas (tareas)
Debe editar directamente los archivos de configuración para crear y modificar conjuntos de reglas y agrupaciones de direcciones. Los archivos de configuración siguen reglas de sintaxis de UNIX estándar:
El signo # indica que una línea contiene comentarios.
Los comentarios y las reglas pueden coexistir en la misma línea.
También se permite agregar espacios en blanco para facilitar la lectura de las reglas.
Las reglas pueden ocupar más de una línea. Utilice la barra inclinada inversa (\) al final de una línea para indicar que la regla continúa en la línea siguiente.
El procedimiento siguiente describe cómo configurar:
Los archivos de configuración de filtros de paquetes
Los archivos de configuración de reglas NAT
Los archivos de configuración de agrupaciones de direcciones
Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuración inicial de RBAC (mapa de tareas) de Administración de Oracle Solaris: servicios de seguridad.
Para crear un archivo de configuración para las reglas de filtros de paquetes, edite el archivo ipf.conf.
El filtro IP utiliza las reglas de filtros de paquetes que se colocan en el archivo ipf.conf. Si coloca las reglas para los filtros de paquetes en el archivo /etc/ipf/ipf.conf, dicho archivo se carga al iniciar el sistema. Si no desea que las reglas de filtros se carguen durante el inicio, colóquelas en el archivo que prefiera. A continuación, puede activar las reglas con el comando ipf, tal como se describe en Cómo activar un conjunto de reglas de filtros de paquetes diferente o actualizado.
Consulte Uso de la función de filtros de paquetes del filtro IP para obtener información sobre cómo crear reglas de filtros de paquetes.
Nota - Si el archivo ipf.conf está vacío, no se aplica ningún filtro. Un archivo ipf.conf vacío equivale a tener un conjunto de reglas como el siguiente:
pass in all pass out all
Para crear un archivo de configuración para las reglas NAT, edite el archivo ipnat.conf.
El filtro IP utiliza las reglas NAT que se colocan en el archivo ipnat.conf. Si coloca las reglas para NAT en el archivo /etc/ipf/ipnat.conf, dicho archivo se carga al iniciar el sistema. Si no desea que las reglas NAT se carguen durante el inicio, coloque el archivo ipnat.conf en la ubicación que prefiera. A continuación, puede activar las reglas NAT con el comando ipnat.
Consulte Uso de la función NAT del filtro IP para obtener información sobre cómo crear reglas para la NAT.
Para crear un archivo de configuración para las agrupaciones de direcciones, edite el archivo ippool.conf.
El filtro IP utiliza la agrupación de direcciones que se coloca en el archivo ippool.conf. Si coloca las reglas para la agrupación de direcciones en el archivo /etc/ipf/ippool.conf, dicho archivo se carga al iniciar el sistema. Si no desea que la agrupación de direcciones se cargue durante el inicio, coloque el archivo ippool.conf en la ubicación que prefiera. A continuación, puede activar la agrupación de direcciones con el comando ippool.
Consulte Uso de la función de agrupaciones de direcciones del filtro IP para obtener información sobre la creación de agrupaciones de direcciones.
Los ejemplos siguientes ilustran las reglas de filtros de paquetes que se utilizan en las configuraciones de filtros.
Ejemplo 21-24 Configuración de host del filtro IP
En este ejemplo, se muestra una configuración en un equipo host con una interfaz de red bge.
# pass and log everything by default pass in log on bge0 all pass out log on bge0 all # block, but don't log, incoming packets from other reserved addresses block in quick on bge0 from 10.0.0.0/8 to any block in quick on bge0 from 172.16.0.0/12 to any # block and log untrusted internal IPs. 0/32 is notation that replaces # address of the machine running Solaris IP Filter. block in log quick from 192.168.1.15 to <thishost> block in log quick from 192.168.1.43 to <thishost> # block and log X11 (port 6000) and remote procedure call # and portmapper (port 111) attempts block in log quick on bge0 proto tcp from any to bge0/32 port = 6000 keep state block in log quick on bge0 proto tcp/udp from any to bge0/32 port = 111 keep state
Este conjunto de reglas comienza con dos reglas sin restricciones que permiten que todos los datos entren y salgan de la interfaz bge. El segundo conjunto de reglas bloquea todos los paquetes entrantes de los espacios de direcciones privadas 10.0.0.0 y 172.16.0.0 mediante el cortafuegos. El siguiente conjunto de reglas bloquea direcciones internas específicas del equipo host. Finalmente, el último conjunto de reglas bloquea los paquetes que provienen de los puertos 6000 y 111.
Ejemplo 21-25 Configuración del servidor del filtro IP
Este ejemplo muestra una configuración para un equipo host que actúa como servidor web. Esta máquina cuenta con una interfaz de red e1000g.
# web server with an e1000g interface # block and log everything by default; # then allow specific services # group 100 - inbound rules # group 200 - outbound rules # (0/32) resolves to our IP address) *** FTP proxy *** # block short packets which are packets # fragmented too short to be real. block in log quick all with short # block and log inbound and outbound by default, # group by destination block in log on e1000g0 from any to any head 100 block out log on e1000g0 from any to any head 200 # web rules that get hit most often pass in quick on e1000g0 proto tcp from any \ to e1000g0/32 port = http flags S keep state group 100 pass in quick on e1000g0 proto tcp from any \ to e1000g0/32 port = https flags S keep state group 100 # inbound traffic - ssh, auth pass in quick on e1000g0 proto tcp from any \ to e1000g0/32 port = 22 flags S keep state group 100 pass in log quick on e1000g0 proto tcp from any \ to e1000g0/32 port = 113 flags S keep state group 100 pass in log quick on e1000g0 proto tcp from any port = 113 \ to e1000g0/32 flags S keep state group 100 # outbound traffic - DNS, auth, NTP, ssh, WWW, smtp pass out quick on e1000g0 proto tcp/udp from e1000g0/32 \ to any port = domain flags S keep state group 200 pass in quick on e1000g0 proto udp from any \ port = domain to e1000g0/32 group 100 pass out quick on e1000g0 proto tcp from e1000g0/32 \ to any port = 113 flags S keep state group 200 pass out quick on e1000g0 proto tcp from e1000g0/32 port = 113 \ to any flags S keep state group 200 pass out quick on e1000g0 proto udp from e1000g0/32 to any \ port = ntp group 200 pass in quick on e1000g0 proto udp from any \ port = ntp to e1000g0/32 port = ntp group 100 pass out quick on e1000g0 proto tcp from e1000g0/32 \ to any port = ssh flags S keep state group 200 pass out quick on e1000g0 proto tcp from e1000g0/32 \ to any port = http flags S keep state group 200 pass out quick on e1000g0 proto tcp from e1000g0/32 \ to any port = https flags S keep state group 200 pass out quick on e1000g0 proto tcp from e1000g0/32 \ to any port = smtp flags S keep state group 200 # pass icmp packets in and out pass in quick on e1000g0 proto icmp from any to e1000g0/32 keep state group 100 pass out quick on e1000g0 proto icmp from e1000g0/32 to any keep state group 200 # block and ignore NETBIOS packets block in quick on e1000g0 proto tcp from any \ to any port = 135 flags S keep state group 100 block in quick on e1000g0 proto tcp from any port = 137 \ to any flags S keep state group 100 block in quick on e1000g0 proto udp from any to any port = 137 group 100 block in quick on e1000g0 proto udp from any port = 137 to any group 100 block in quick on e1000g0 proto tcp from any port = 138 \ to any flags S keep state group 100 block in quick on e1000g0 proto udp from any port = 138 to any group 100 block in quick on e1000g0 proto tcp from any port = 139 to any flags S keep state group 100 block in quick on e1000g0 proto udp from any port = 139 to any group 100
Ejemplo 21-26 Configuración del enrutador del filtro IP
En este ejemplo, se muestra una configuración para un enrutador que tiene una interfaz interna (nge) y una interfaz externa (ce1).
# internal interface is nge0 at 192.168.1.1 # external interface is nge1 IP obtained via DHCP # block all packets and allow specific services *** NAT *** *** POOLS *** # Short packets which are fragmented too short to be real. block in log quick all with short # By default, block and log everything. block in log on nge0 all block in log on nge1 all block out log on nge0 all block out log on nge1 all # Packets going in/out of network interfaces that aren't on the loopback # interface should not exist. block in log quick on nge0 from 127.0.0.0/8 to any block in log quick on nge0 from any to 127.0.0.0/8 block in log quick on nge1 from 127.0.0.0/8 to any block in log quick on nge1 from any to 127.0.0.0/8 # Deny reserved addresses. block in quick on nge1 from 10.0.0.0/8 to any block in quick on nge1 from 172.16.0.0/12 to any block in log quick on nge1 from 192.168.1.0/24 to any block in quick on nge1 from 192.168.0.0/16 to any # Allow internal traffic pass in quick on nge0 from 192.168.1.0/24 to 192.168.1.0/24 pass out quick on nge0 from 192.168.1.0/24 to 192.168.1.0/24 # Allow outgoing DNS requests from our servers on .1, .2, and .3 pass out quick on nge1 proto tcp/udp from nge1/32 to any port = domain keep state pass in quick on nge0 proto tcp/udp from 192.168.1.2 to any port = domain keep state pass in quick on nge0 proto tcp/udp from 192.168.1.3 to any port = domain keep state # Allow NTP from any internal hosts to any external NTP server. pass in quick on nge0 proto udp from 192.168.1.0/24 to any port = 123 keep state pass out quick on nge1 proto udp from any to any port = 123 keep state # Allow incoming mail pass in quick on nge1 proto tcp from any to nge1/32 port = smtp keep state pass in quick on nge1 proto tcp from any to nge1/32 port = smtp keep state pass out quick on nge1 proto tcp from 192.168.1.0/24 to any port = smtp keep state # Allow outgoing connections: SSH, WWW, NNTP, mail, whois pass in quick on nge0 proto tcp from 192.168.1.0/24 to any port = 22 keep state pass out quick on nge1 proto tcp from 192.168.1.0/24 to any port = 22 keep state pass in quick on nge0 proto tcp from 192.168.1.0/24 to any port = 80 keep state pass out quick on nge1 proto tcp from 192.168.1.0/24 to any port = 80 keep state pass in quick on nge0 proto tcp from 192.168.1.0/24 to any port = 443 keep state pass out quick on nge1 proto tcp from 192.168.1.0/24 to any port = 443 keep state pass in quick on nge0 proto tcp from 192.168.1.0/24 to any port = nntp keep state block in quick on nge1 proto tcp from any to any port = nntp keep state pass out quick on nge1 proto tcp from 192.168.1.0/24 to any port = nntp keep state pass in quick on nge0 proto tcp from 192.168.1.0/24 to any port = smtp keep state pass in quick on nge0 proto tcp from 192.168.1.0/24 to any port = whois keep state pass out quick on nge1 proto tcp from any to any port = whois keep state # Allow ssh from offsite pass in quick on nge1 proto tcp from any to nge1/32 port = 22 keep state # Allow ping out pass in quick on nge0 proto icmp all keep state pass out quick on nge1 proto icmp all keep state # allow auth out pass out quick on nge1 proto tcp from nge1/32 to any port = 113 keep state pass out quick on nge1 proto tcp from nge1/32 port = 113 to any keep state # return rst for incoming auth block return-rst in quick on nge1 proto tcp from any to any port = 113 flags S/SA # log and return reset for any TCP packets with S/SA block return-rst in log on nge1 proto tcp from any to any flags S/SA # return ICMP error packets for invalid UDP packets block return-icmp(net-unr) in proto udp all
|