| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Sécurisation du réseau dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Sécurisation du réseau dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Utilisation de la protection des liens dans des environnements virtualisés
3. Serveurs Web et protocole SSL (Secure Sockets Layer)
4. IP Filter dans Oracle Solaris (présentation)
Affichage des valeurs par défaut du service IP Filter
Création de fichiers de configuration IP Filter
Activation et actualisation d'IP Filter
Désactivation du réassemblage des paquets
Activation du filtrage de loopback
Désactivation du filtrage de paquets
Utilisation des ensembles de règles IP Filter
Gérez les ensembles de règles de filtrage de paquets d'IP Filter
Affichage de l'ensemble actif de règles de filtrage de paquets
Affichage de l'ensemble inactif de règles de filtrage de paquets
Activation d'un nouvel ensemble de règles de filtrage de paquets ou d'un ensemble mis à jour
Suppression d'un ensemble de règles de filtrage de paquets
Ajout de règles à l'ensemble actif de règles de filtrage de paquets
Ajout de règles à l'ensemble inactif de règles de filtrage de paquets
Basculement entre les ensembles actif et inactif de règles de filtrage de paquets
Suppression d'un ensemble inactif de règles de filtrage de paquets du noyau
Gestion des règles NAT d'IP Filter
Affichage des règles NAT actives dans IP Filter
Désactivation des règles NAT dans IP Filter
Ajout de règles aux règles de filtrage de paquets NAT
Gestion des pools d'adresses d'IP Filter
Affichage des pools d'adresses actifs
Affichage des statistiques et des informations relatives à IP Filter
Affichage des tables d'état d'IP Filter
Affichage des statistiques d'état d'IP Filter
Affichage des paramètres réglables IP Filter
Affichage des statistiques NAT d'IP Filter
Affichage des statistiques de pool d'adresses d'IP Filter
Utilisation des fichiers journaux IP Filter
Configuration d'un fichier journal d'IP Filter
Affichage des fichiers journaux IP Filter
Vidage du tampon du journal de paquets
Enregistrement dans un fichier des paquets consignés
Exemples de fichiers de configuration IP Filter
6. Architecture IPsec (présentation)
7. Configuration d'IPsec (tâches)
8. Architecture IPsec (référence)
9. Protocole IKE (présentation)
Vous pouvez modifier ou désactiver le filtrage des paquets et les règles NAT dans les conditions suivantes :
En vue de réaliser des tests
En vue de résoudre des problèmes système qui semblent être causés par IP Filter
La liste des tâches ci-dessous identifie les procédures associées aux ensembles de règles IP Filter.
Tableau 5-2 Utilisation des ensembles de règles IP Filter (liste des tâches)
|
IP Filter autorise l'hébergement dans le noyau d'un ensemble de règles de filtrage de paquets actif et d'un ensemble de règles inactif. L'ensemble de règles actif détermine le filtrage appliqué aux paquets entrants et aux paquets sortants. L'ensemble de règles inactif contient également des règles. Ces règles ne sont pas appliquées, sauf si vous définissez l'ensemble de règles inactif comme l'ensemble de règles actif. Vous pouvez gérer, afficher et modifier les ensembles actif et inactif de règles de filtrage de paquets.
Remarque - Les procédures suivantes fournissent des exemples pour des réseaux IPv4. Pour les paquets IPv6, utilisez l'option -6 tel que décrit à l'Étape 2 de la section Affichage des valeurs par défaut du service IP Filter.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
L'exemple ci-dessous présente la sortie de l'ensemble actif de règles de filtrage de paquets chargé dans le noyau.
$ ipfstat -io empty list for ipfilter(out) pass in quick on net1 from 192.168.1.0/24 to any pass in all block in on net1 from 192.168.1.10/32 to any
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
L'exemple ci-dessous présente la sortie d'un ensemble inactif de règles de filtrage de paquets.
$ ipfstat -I -io pass out quick on net1 all pass in quick on net1 all
Effectuez la procédure ci-dessous pour exécuter l'une ou l'autre des tâches suivantes :
Activation d'un ensemble de règles de filtrage de paquets différent de celui que IP Filter utilise actuellement
Rechargement du même ensemble de règles de filtrage mis à jour.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Si vous souhaitez activer un ensemble de règles complètement différent, créez un nouvel ensemble de règles dans un fichier distinct.
Mettez à jour l'ensemble de règles actuel dans votre fichier de configuration.
$ ipf -Fa -f filename
Les règles présentes dans filename remplacent l'ensemble de règles actif.
Remarque - N'utilisez pas de commandes telles que ipf -D ou svcadm restart pour charger l'ensemble de règles mis à jour. Ces commandes affectent la sécurité du réseau, car elles désactivent le pare-feu avant de charger le nouvel ensemble de règles.
Exemple 5-1 Activation d'un nouvel ensemble de règles de filtrage de paquets
L'exemple suivant illustre le remplacement d'un ensemble de règles de filtrage de paquets par un autre ensemble de règles.
$ ipfstat -io empty list for ipfilter(out) pass in quick on net0 all $ ipf -Fa -f /etc/ipf/ipfnew.conf $ ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any
Exemple 5-2 Rechargement d'un ensemble de règles de filtrage de paquets mis à jour
Dans l'exemple ci-dessous, un ensemble de règles de filtrage de paquets actuellement actif est rechargé suite à sa mise à jour.
$ ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any (Edit the /etc/ipf/myorg.ipf.conf configuration file.) $ svcadm refresh network/ipfilter $ ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any block in quick on net11 from 192.168.0.0/12 to any
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
$ ipf -F [a|i|o]
Supprime toutes les règles de filtrage de l'ensemble de règles.
Supprime les règles de filtrage pour les paquets entrants.
Supprime les règles de filtrage pour les paquets sortants.
Exemple 5-3 Suppression d'un ensemble de règles de filtrage de paquets
Dans l'exemple ci-dessous, toutes les règles de filtrage sont supprimées de l'ensemble de règles de filtrage actif.
$ ipfstat -io block out log on net0 all block in log quick from 10.0.0.0/8 to any $ ipf -Fa $ ipfstat -io empty list for ipfilter(out) empty list for ipfilter(in)
L'ajout de règles à un ensemble de règles existant peut être utile lors de la réalisation de tests ou lors du débogage. Le service IP Filter reste activé lorsque les règles sont ajoutées. Toutefois, lorsque le service est actualisé, redémarré ou activé, les règles sont perdues, sauf si elles existent dans des fichiers constituant des propriétés du service IP Filter.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Pour ajouter des règles à l'ensemble de règles via la ligne de commande, exécutez la commande ipf -f -.
$ echo "block in on net1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
Ces règles ajoutées ne font pas partie de la configuration d'IP Filter lorsque le service est actualisé, redémarré ou activé.
Exécutez les commandes ci-dessous :
Créez un ensemble de règles dans le fichier de votre choix.
Ajoutez les règles que vous avez créées à l'ensemble de règles actif.
$ ipf -f filename
Les règles présentes dans le fichier filename sont ajoutées à la fin de l'ensemble de règles actif. IP Filter utilise un algorithme de type "dernière règle correspondante", de sorte que les nouvelles règles déterminent les priorités de filtrage, sauf si l'utilisateur ajoute le mot-clé quick. Si le paquet correspond à une règle contenant le mot-clé quick, l'action associée à cette règle est exécutée et les règles suivantes sont ignorées.
Si filename est la valeur de l'une des propriétés de fichiers de configuration IP Filter, les règles sont rechargées lorsque le service est activé, redémarré ou actualisé. Dans le cas contraire, les règles ajoutées forment un ensemble de règles temporaire.
Exemple 5-4 Ajout de règles à l'ensemble actif de règles de filtrage de paquets
Dans l'exemple ci-dessous, une règle est ajoutée à l'ensemble actif de règles de filtrage de paquets à partir de la ligne de commande.
$ ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any $ echo "block in on net1 proto tcp from 10.1.1.1/32 to any" | ipf -f - $ ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any
La création d'un ensemble de règles inactif dans le noyau peut être utile pour la réalisation de tests ou le débogage. Cet ensemble de règles peut être substitué à l'ensemble de règles actif sans qu'il soit nécessaire d'arrêter le service IP Filter. Toutefois, lorsque le service est actualisé, redémarré ou activé, l'ensemble de règles inactif doit être ajouté.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
$ ipf -I -f filename
Les règles présentes dans le fichier filename sont ajoutées à la fin de l'ensemble de règles inactif. IP Filter utilise un algorithme de type "dernière règle correspondante", de sorte que les nouvelles règles déterminent les priorités de filtrage, sauf si l'utilisateur ajoute le mot-clé quick. Si le paquet correspond à une règle contenant le mot-clé quick, l'action associée à cette règle est exécutée et les règles suivantes sont ignorées.
Exemple 5-5 Ajout de règles à l'ensemble de règles inactif
Dans l'exemple ci-dessous, une règle est ajoutée à l'ensemble de règles inactif à partir d'un fichier.
$ ipfstat -I -io pass out quick on net1 all pass in quick on net1 all $ ipf -I -f /etc/ipf/ipftrial.conf $ ipfstat -I -io pass out quick on net1 all pass in quick on net1 all block in log quick from 10.0.0.0/8 to any
Le passage à un autre ensemble de règles dans le noyau peut être utile lors de la réalisation de tests ou du débogage. L'ensemble de règles peut être rendu actif sans qu'il soit nécessaire d'arrêter le service IP Filter.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
$ ipf -s
Cette commande permet de basculer entre les ensembles de règles actif et inactif dans le noyau. Si l'ensemble de règles inactif est vide, aucun filtrage de paquets n'est effectué.
Remarque - Lorsque le service IP Filter est actualisé, redémarré ou activé, les règles enregistrées dans des fichiers constituant des propriétés du service IP Filter sont restaurées. L'ensemble de règles inactif n'est pas restauré.
Exemple 5-6 Basculement entre les ensembles actif et inactif de règles de filtrage de paquets
L'exemple ci-dessous illustre l'utilisation de la commande ipf -s, laquelle a pour effet de rendre actif l'ensemble de règles inactif et de rendre inactif l'ensemble de règles actif.
Avant l'exécution de la commande ipf -s, la sortie de la commande ipfstat -I -io met en évidence les règles de l'ensemble de règles inactif. La sortie de la commande ipfstat -io affiche les règles dans l'ensemble de règles actif.
$ ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any $ ipfstat -I -io pass out quick on net1 all pass in quick on net1 all block in log quick from 10.0.0.0/8 to any
Après l'exécution de la commande ipf -s, les sorties des commandes ipfstat -I -io et ipfstat -io indiquent que le contenu des deux ensembles de règles a été échangé.
$ ipf -s Set 1 now inactive $ ipfstat -io pass out quick on net1 all pass in quick on net1 all block in log quick from 10.0.0.0/8 to any $ ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
$ ipf -I -Fa
Remarque - Si vous exécutez ensuite la commande ipf -s, l'ensemble de règles inactif vide devient l'ensemble de règles actif. Si l'ensemble de règles actif est vide, aucun filtrage n'est effectué.
Exemple 5-7 Suppression d'un ensemble inactif de règles de filtrage de paquets du noyau
Dans l'exemple ci-dessous, l'ensemble inactif de règles de filtrage de paquets est vidé afin de supprimer toutes les règles.
$ ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any $ ipf -I -Fa $ ipfstat -I -io empty list for inactive ipfilter(out) empty list for inactive ipfilter(in)
Appliquez les procédures suivantes pour gérer, afficher et modifier les règles NAT pour IP Filter.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
L'exemple ci-dessous présente la sortie de l'ensemble de règles NAT actif.
$ ipnat -l List of active MAP/Redirect filters: map net0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
$ ipnat -FC
L'option -C permet de supprimer toutes les entrées de la liste de règles NAT actuelle. L'option -F permet de supprimer toutes les entrées actives de la table de translation NAT qui indique les mappages NAT actifs.
Exemple 5-8 Suppression des règles NAT
Dans l'exemple ci-dessous, les entrées des règles NAT actuelles sont supprimées.
$ ipnat -l List of active MAP/Redirect filters: map net0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: $ ipnat -C 1 entries flushed from NAT list $ ipnat -l List of active MAP/Redirect filters: List of active sessions:
L'ajout de règles à un ensemble de règles existant peut être utile lors de la réalisation de tests ou lors du débogage. Le service IP Filter reste activé lorsque les règles sont ajoutées. Toutefois, lorsque le service est actualisé, redémarré ou activé, les règles NAT sont perdues, sauf si elles existent dans un fichier constituant une propriété du service IP Filter.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Pour ajouter des règles à l'ensemble de règles NAT via la ligne de commande, exécutez la commande ipnat -f -.
$ echo "map net0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
Ces règles ajoutées ne font pas partie de la configuration d'IP Filter lorsque le service est actualisé, redémarré ou activé.
Exécutez les commandes ci-dessous :
Créez des règles NAT supplémentaires dans le fichier de votre choix.
Ajoutez les règles que vous avez créées aux règles NAT actives.
$ ipnat -f filename
Les règles présentes dans le fichier filename sont ajoutées à la fin des règles NAT.
Si filename est la valeur de l'une des propriétés de fichiers de configuration IP Filter, les règles sont rechargées lorsque le service est activé, redémarré ou actualisé. Dans le cas contraire, les règles ajoutées forment un ensemble de règles temporaire.
Exemple 5-9 Ajout de règles à l'ensemble de règles NAT
Dans l'exemple ci-dessous, une règle est ajoutée à l'ensemble de règles NAT via la ligne de commande.
$ ipnat -l List of active MAP/Redirect filters: List of active sessions: $ echo "map net0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f - $ ipnat -l List of active MAP/Redirect filters: map net0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Appliquez les procédures ci-dessous pour gérer, afficher et modifier les pools d'adresses.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Dans l'exemple ci-dessous, le contenu du pool d'adresses actif est affiché.
$ ippool -l
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
$ ippool -F
Exemple 5-10 Suppression d'un pool d'adresses
Dans l'exemple ci-dessous, un pool d'adresses est supprimé.
$ ippool -l
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
$ ippool -F
1 object flushed
$ ippool -l
L'ajout de règles à un ensemble de règles existant peut être utile lors de la réalisation de tests ou lors du débogage. Le service IP Filter reste activé lorsque les règles sont ajoutées. Toutefois, lorsque le service est actualisé, redémarré ou activé, les règles de pools d'adresses sont perdues, sauf si elles existent dans un fichier constituant une propriété du service IP Filter.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Pour ajouter des règles à l'ensemble de règles via la ligne de commande, exécutez la commande ippool -f -.
$ echo "table role = ipf type = tree number = 13
{10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -
Ces règles ajoutées ne font pas partie de la configuration d'IP Filter lorsque le service est actualisé, redémarré ou activé.
Exécutez les commandes ci-dessous :
Créez des pools d'adresses supplémentaires dans le fichier de votre choix.
Ajoutez les règles que vous avez créées au pool d'adresses actif.
$ ippool -f filename
Les règles présentes dans le fichier filename sont ajoutées à la fin du pool d'adresses actif.
Suivez les instructions de la section Ajout de règles à l'ensemble actif de règles de filtrage de paquets.
Remarque - N'actualisez ou ne redémarrez pas le service IP Filter ou vous allez perdre les règles de pools d'adresses ajoutées.
Exemple 5-11 Ajout de règles à un pool d'adresses
Dans l'exemple ci-dessous, un pool d'adresses est ajouté à l'ensemble de règles de pool d'adresses via la ligne de commande.
$ ippool -l
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
$ echo "table role = ipf type = tree number = 100
{10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f -
$ ippool -l
table role = ipf type = tree number = 100
{ 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; };
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
|