経路およびマルチレベルポートの構成 (手順)

静的送信経路を使用すると、ラベル付きパケットがラベル付きまたはラベルなしゲートウェイ経由で宛先に到達できます。MLP は、アプリケーションが 1 つのエントリポイントを使用してすべてのゾーンに到達できるようにします。

デフォルト経路を追加する

始める前に

大域ゾーンでセキュリティー管理者役割になります。

宛先の各ホスト、ネットワーク、ゲートウェイのセキュリティーテンプレートへの追加が完了しています。詳細は、「セキュリティーテンプレートにホストを追加する」 and 「セキュリティーテンプレートにホストの範囲を追加する」を参照してください。

txzonemgr GUI を使用してデフォルト経路を作成します。
```
# txzonemgr &
```
デフォルト経路を設定するゾーンをダブルクリックしたあと、その IP アドレスエントリをダブルクリックします。
ゾーンに複数の IP アドレスがある場合は、目的のインタフェースを含むエントリを選択します。
プロンプトでルーターの IP アドレスを入力し、「了解」をクリックします。
注 - デフォルトルーターを削除または変更するには、エントリを削除し、IP エントリを作成し直してルーターを追加します。ゾーンに IP アドレスが 1つしかない場合、エントリを削除するには IP インスタンスを削除する必要があります。

例 16-17 route コマンドを使用した大域ゾーンのデフォルト経路の設定

この例では、管理者は route コマンドを使用して大域ゾーンのデフォルト経路を作成します。

# route add default 192.168.113.1 -static

ゾーンにマルチレベルポートを作成する

ラベル付きゾーンや大域ゾーンにプライベート MLP と共有 MLP を追加できます。

この手順は、あるラベル付きゾーンで実行されているアプリケーションが、そのゾーンと通信するためにマルチレベルポート (MLP) を必要とする場合に使用します。この手順では、Web プロキシがゾーンと通信します。

始める前に

大域ゾーンで root 役割になっている必要があります。システムに少なくとも 2 つの IP アドレスが存在していなければならず、ラベル付きゾーンが停止されています。

プロキシホストと Web サービスホストを /etc/hosts ファイルに追加します。
```
## /etc/hosts file
...
proxy-host-name IP-address
web-service-host-name IP-address
```

ゾーンを構成します。

たとえば、PUBLIC というラベルが明示的に付けられたパケットを認識するように、public ゾーンを構成します。この構成では、セキュリティーテンプレートの名前は webprox です。

# tncfg -t webprox 
tncfg:public> set name=webprox
tncfg:public> set host_type=cipso
tncfg:public> set min_label=public
tncfg:public> set max_label=public
tncfg:public> add host=mywebproxy.oracle.comhost name associated with public zone
tncfg:public> add host=10.1.2.3/16IP address of public zone
tncfg:public> exit

MLP を構成します。
たとえば、Web プロキシサービスは 8080/tcp インタフェース経由で PUBLIC ゾーンと通信を行うとします。
```
# tncfg -z public add mlp_shared=8080/tcp
# tncfg -z public add mlp_private=8080/tcp
```
MLP をカーネルに追加するには、ゾーンをブートします。
```
# zoneadm -z zone-name boot
```
大域ゾーンで、新しいアドレスの経路を追加します。
経路を追加するには、「デフォルト経路を追加する」を実行します。

例 16-18 txzonemgr GUI を使用した MLP の構成

管理者は、Web プロキシサービスを構成するために Labeled Zone Manager を開きます。

# txzonemgr &

管理者は、PUBLIC ゾーンをダブルクリックしたあと、「Configure Multilevel Ports」をダブルクリックします。次に、管理者は「Private interfaces」行を選択してダブルクリックします。選択領域が次のような入力フィールドに変わります。

Private interfaces:111/tcp;111/udp

管理者は、セミコロン区切り文字を使用して Web プロキシの入力を開始します。

Private interfaces:111/tcp;111/udp;8080/tcp

プライベートの入力が完了したら、管理者は「Shared interfaces」フィールドに Web プロキシを入力します。

Shared interfaces:111/tcp;111/udp;8080/tcp

public ゾーンのマルチレベルポートは次回のゾーンブート時に有効になることを示すポップアップメッセージが表示されます。

例 16-19 udp 経由 NFSv3 用のプライベートマルチレベルポートの構成

この例では、管理者は udp 経由の NFSv3 下位読み取りマウントを有効にします。管理者は tncfg コマンドを使用できます。

# tncfg -z global add mlp_private=2049/udp

また、txzonemgr GUI を使用して MLP を定義することもできます。

Labeled Zone Manager で、管理者は global ゾーンをダブルクリックしたあと、「Configure Multilevel Ports」をダブルクリックします。MLP のメニューで、管理者は「Private interfaces」行を選択してダブルクリックし、ポート/プロトコルを追加します。

Private interfaces:111/tcp;111/udp;8080/tcp

global ゾーンのマルチレベルポートは次回ブート時に有効になることを示すポップアップメッセージが表示されます。

例 16-20 システム上のマルチレベルポートの表示

この例のシステムには、複数のラベル付きゾーンが設定されています。すべてのゾーンが、同じ IP アドレスを共有します。一部のゾーンは、ゾーン固有のアドレスでも構成されます。この構成では、Web ブラウザ用の TCP ポートであるポート 8080 が、Public ゾーンの共有インタフェース上の MLP です。管理者は、telnet、TCP ポート 23 も、Public ゾーンの MLP として設定します。これら 2 つの MLP は共有インタフェース上にあるので、大域ゾーンも含めたほかのゾーンは、ポート 8080 および 23 の共有インタフェース上ではパケットを受信できません。

さらに、ssh 用の TCP ポートであるポート 22 は、Public ゾーンのゾーンごとの MLP です。Public ゾーンの ssh サービスは、ゾーン固有のアドレスで、そのアドレスのラベル範囲にあるどのパケットも受信できます。

次のコマンドが Public ゾーンの MLP を示します。

$ tninfo -m public
private: 22/tcp
shared:  23/tcp;8080/tcp

次のコマンドが大域ゾーンの MLP を示します。大域ゾーンは Public ゾーンと同じアドレスを共有するため、ポート 23 および 8080 は大域ゾーンでは MLP になれません。

$ tninfo -m global
private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp;
         6000-6003/tcp;38672/tcp;60770/tcp;
shared:  6000-6003/tcp

ナビゲーションリンクをスキップ
印刷ビューの終了
	Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語)