IP 필터 구성

다음 작업 맵에서는 IP 필터 구성과 관련된 절차를 식별합니다.

표 21-1 IP 필터 구성(작업 맵)

작업	설명	수행 방법
초기에 IP 필터를 사용으로 설정합니다.	기본적으로 IP 필터는 사용으로 설정되어 있지 않습니다. 수동으로 사용으로 설정하거나 `/etc/ipf/` 디렉토리의 구성 파일을 사용한 후 시스템을 재부트해야 합니다. 패킷 필터 후크가 `pfil` 모듈을 대체하여 IP 필터를 사용으로 설정하는 데 사용됩니다.	IP 필터를 사용으로 설정하는 방법
IP 필터를 다시 사용으로 설정합니다.	IP 필터가 비활성화되거나 사용 안함으로 설정된 경우 시스템을 재부트하거나 `ipf` 명령을 사용하여 IP 필터를 다시 사용으로 설정할 수 있습니다.	IP 필터를 다시 사용으로 설정하는 방법
루프백 필터링을 사용으로 설정합니다.	선택적으로 영역 간의 트래픽을 필터링하는 등의 용도로 루프백 필터링을 사용으로 설정할 수 있습니다.	루프백 필터링을 사용으로 설정하는 방법

IP 필터를 사용으로 설정하는 방법

IP Filter Management 권한 프로파일이 포함된 역할의 사용자 또는 수퍼유저로 로그인합니다.
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
패킷 필터링 규칙 세트를 만듭니다.
패킷 필터링 규칙 세트에는 IP 필터에 사용되는 패킷 필터링 규칙이 포함되어 있습니다. 부트 시 패킷 필터링 규칙이 로드되도록 하려면 IPv4 패킷 필터링이 구현되도록 /etc/ipf/ipf.conf 파일을 편집합니다. IPv6 패킷 필터링 규칙에 /etc/ipf/ipf6.conf 파일을 사용합니다. 부트 시 패킷 필터링 규칙이 로드되지 않도록 하려면 선택한 파일에 규칙을 배치하고 수동으로 패킷 필터링을 활성화합니다. 패킷 필터링에 대한 자세한 내용은 IP 필터의 패킷 필터링 기능 사용을 참조하십시오. 구성 파일 사용에 대한 자세한 내용은 IP 필터 구성 파일 만들기 및 편집를 참조하십시오.
(옵션) NAT(Network Address Translation) 구성 파일을 만듭니다.
주 - NAT(Network Address Translation)는 IPv6을 지원하지 않습니다.

NAT를 사용하려면 ipnat.conf 파일을 만듭니다. 부트 시 NAT 규칙이 로드되도록 하려면 NAT 규칙을 배치할 /etc/ipf/ipnat.conf라는 파일을 만듭니다. 부트 시 NAT 규칙이 로드되지 않도록 하려면 선택한 위치에 ipnat.conf 파일을 배치하고 수동으로 NAT 규칙을 활성화합니다.
NAT에 대한 자세한 내용은 IP 필터의 NAT 기능 사용을 참조하십시오.
(옵션) 주소 풀 구성 파일을 만듭니다.
단일 주소 풀로 사용할 주소 그룹을 나타내려면 ipool.conf 파일을 만듭니다. 부트 시 주소 풀 구성 파일이 로드되도록 하려면 주소 풀을 배치할 /etc/ipf/ippool.conf라는 파일을 만듭니다. 부트 시 주소 풀 구성 파일이 로드되지 않도록 하려면 선택한 위치에 ippool.conf 파일을 배치하고 수동으로 규칙을 활성화합니다.
주소 풀에는 IPv4 주소와 IPv6 주소 중 하나만 포함될 수도 있고, IPv4 주소와 IPv6 주소가 모두 포함될 수도 있습니다.
주소 풀에 대한 자세한 내용은 IP 필터의 주소 풀 기능 사용을 참조하십시오.
(옵션) 루프백 트래픽의 필터링을 사용으로 설정합니다.
시스템에서 구성된 영역 간의 트래픽을 필터링하려면 루프백 필터링을 사용으로 설정해야 합니다. 루프백 필터링을 사용으로 설정하는 방법을 참조하십시오. 영역에 적용할 적합한 규칙 세트도 정의해야 합니다.
IP 필터를 활성화합니다.
```
# svcadm enable network/ipfilter
```

IP 필터를 다시 사용으로 설정하는 방법

패킷 필터링을 일시적으로 사용 안함으로 설정한 후 다시 사용으로 설정할 수 있습니다.

IP Filter Management 권한 프로파일이 포함된 역할의 사용자 또는 수퍼유저로 로그인합니다.
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
다음 방법 중 하나로 IP 필터를 사용으로 설정하고 필터링을 활성화합니다.
- 시스템을 재부트합니다.
```
# reboot
```
  주 - IP 필터가 사용으로 설정되면 재부트 후 /etc/ipf/ipf.conf 파일, /etc/ipf/ipf6.conf 파일(IPv6을 사용하는 경우) 또는 /etc/ipf/ipnat.conf 파일이 있을 경우 로드됩니다.
- 다음과 같은 일련의 명령을 실행하여 IP 필터를 사용으로 설정하고 필터링을 활성화합니다.
  1. IP 필터를 사용으로 설정합니다.
```
# ipf -E
```
  2. 패킷 필터링을 활성화합니다.
```
# ipf -f filename
```
  3. (옵션) NAT를 활성화합니다.
```
# ipnat -f filename
```
    주 - NAT(Network Address Translation)는 IPv6을 지원하지 않습니다.

루프백 필터링을 사용으로 설정하는 방법

IP Filter Management 권한 프로파일이 포함된 역할의 사용자 또는 수퍼유저로 로그인합니다.
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
IP 필터가 실행 중인 경우 중지합니다.
```
# svcadm disable network/ipfilter
```
파일 시작 부분에 다음 행을 추가하여 /etc/ipf.conf 또는 /etc/ipf6.conf 파일을 편집합니다.
```
set intercept_loopback true;
```
파일에서 정의된 모든 IP 필터 규칙 앞에 이 행이 와야 합니다. 단, 다음 예와 유사하게 행 앞에 주석을 삽입할 수 있습니다.
```
# 
# Enable loopback filtering to filter between zones 
# 
set intercept_loopback true; 
# 
# Define policy 
# 
block in all 
block out all 
<other rules>
...
```
IP 필터를 시작합니다.
```
# svcadm enable network/ipfilter
```
루프백 필터링 상태를 확인하려면 다음 명령을 사용합니다.
```
# ipf -T ipf_loopback
ipf_loopback    min 0   max 0x1 current 1
#
```
루프백 필터링이 사용 안함으로 설정된 경우 명령으로 다음 출력이 생성됩니다.
```
ipf_loopback    min 0   max 0x1 current 0
```

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris 관리: IP 서비스 Oracle Solaris 11 Information Library (한국어)