Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Protección de la red en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Uso de protección de enlaces en entornos virtualizados
3. Servidores web y el protocolo de capa de sockets seguros
4. Filtro IP en Oracle Solaris (descripción general)
Cómo mostrar los valores predeterminados del servicio de filtro IP
Cómo crear archivos de configuración de filtro IP
Cómo activar y refrescar el filtro IP
Cómo desactivar el reensamblaje de paquetes
Cómo activar los filtros en bucle
Cómo desactivar los filtros de paquetes
Cómo trabajar con conjuntos de reglas del filtro IP
Gestión de conjunto de reglas de filtro de paquetes para filtro IP
Cómo visualizar el conjunto de reglas de filtros de paquetes activo
Cómo visualizar el conjunto de reglas de filtros de paquetes inactivo
Cómo activar un conjunto de reglas de filtros de paquetes diferente o actualizado
Cómo eliminar un conjunto de reglas de filtros de paquetes
Cómo anexar reglas al conjunto de reglas de filtros de paquetes activo
Cómo anexar reglas al conjunto de reglas de filtros de paquetes inactivo
Cómo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo
Cómo eliminar un conjunto de reglas de filtros de paquetes inactivo del núcleo
Gestión de reglas NAT para filtro IP
Cómo ver las reglas NAT activas en el filtro IP
Cómo desactivar las reglas NAT en el filtro IP
Como anexar reglas a las reglas NAT de filtrado de paquetes
Gestión de agrupaciones de direcciones para el filtro IP
Cómo ver las agrupaciones de direcciones activas
Cómo visualizar las estadísticas e información sobre el filtro IP
Cómo ver las tablas de estado para el filtro IP
Cómo ver las tablas de estado para el filtro IP
Cómo ver los parámetros ajustables de filtro IP
Cómo visualizar las estadísticas de NAT para el filtro IP
Cómo visualizar las estadísticas de la agrupación de direcciones para el filtro IP
Cómo trabajar con archivos de registro para el filtro IP
Cómo configurar un archivo de registro para el filtro IP
Cómo visualizar los archivos de registro del filtro IP
Cómo vaciar el búfer de registro de paquetes
Cómo guardar paquetes registrados en un archivo
Ejemplos de archivos de configuración del filtro IP
6. Arquitectura de seguridad IP (descripción general)
7. Configuración de IPsec (tareas)
8. Arquitectura de seguridad IP (referencia)
9. Intercambio de claves de Internet (descripción general)
10. Configuración de IKE (tareas)
Es posible que desee modificar o desactivar el filtrado de paquetes y las reglas NAT en las siguientes circunstancias:
Para realizar pruebas
Para resolver problemas del sistema cuando se cree que los causa el filtro IP
El siguiente mapa de tareas identifica los procedimientos asociados con los conjuntos de reglas del filtro IP.
Tabla 5-2 Cómo trabajar con conjuntos de reglas del filtro IP (mapa de tareas)
|
El filtro IP permite que los conjuntos de reglas de filtrado de paquetes activos e inactivos residan en el núcleo. El conjunto de reglas activo determina el filtro que se está aplicando en los paquetes entrantes y salientes. El conjunto de reglas inactivo también guarda las reglas. Estas reglas no se utilizan a menos que convierta el conjunto de reglas inactivo en el conjunto activo. Puede administrar, ver y modificar los conjuntos de reglas de filtros de paquetes activos e inactivos.
Nota - Los siguientes procedimientos proporcionan ejemplos para las redes IPv4. Para paquetes IPv6, use la opción -6, como se describe en el Paso 2 de Cómo mostrar los valores predeterminados del servicio de filtro IP.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
En el ejemplo siguiente se muestra el resultado del conjunto de reglas de filtros de paquetes activo que está cargado en el núcleo.
$ ipfstat -io empty list for ipfilter(out) pass in quick on net1 from 192.168.1.0/24 to any pass in all block in on net1 from 192.168.1.10/32 to any
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
El ejemplo siguiente muestra el resultado del conjunto de reglas de filtros de paquetes inactivo.
$ ipfstat -I -io pass out quick on net1 all pass in quick on net1 all
Siga este procedimiento para llevar a cabo una de las tareas siguientes:
Active un conjunto de reglas de filtros de paquetes que no sea el que está utilizando el filtro IP.
Vuelva a cargar el mismo conjunto de reglas de filtros que se ha actualizado.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Crear un conjunto de reglas en un archivo separado si desea activar un conjunto de reglas completamente distinto.
Actualizar el juego de reglas actual en el archivo de configuración.
$ ipf -Fa -f filename
Las reglas de filename reemplazan el conjunto de reglas activo.
Nota - No utilice comandos como ipf -D o svcadm restart para cargar el conjunto de reglas actualizado. Estos comandos ponen en peligro la red porque desactivan el cortafuegos antes de cargar el nuevo conjunto de reglas.
Ejemplo 5-1 Activación de un conjunto de reglas de filtros de paquetes diferente
En el siguiente ejemplo, se muestra cómo reemplazar un conjunto de reglas de filtrado de paquetes con un conjunto de reglas diferente.
$ ipfstat -io empty list for ipfilter(out) pass in quick on net0 all $ ipf -Fa -f /etc/ipf/ipfnew.conf $ ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any
Ejemplo 5-2 Cómo volver a cargar un conjunto de reglas de filtros de paquetes actualizado
El ejemplo siguiente muestra cómo volver a cargar un conjunto de reglas de filtros de paquetes activo y luego actualizarlo.
$ ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any (Edit the /etc/ipf/myorg.ipf.conf configuration file.) $ svcadm refresh network/ipfilter $ ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any block in quick on net11 from 192.168.0.0/12 to any
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
$ ipf -F [a|i|o]
Elimina todas las reglas de filtros del conjunto de reglas.
Elimina las reglas de filtros de los paquetes entrantes.
Elimina las reglas de filtros de los paquetes salientes.
Ejemplo 5-3 Eliminación de un conjunto de reglas de filtros de paquetes
El ejemplo siguiente muestra cómo eliminar todas las reglas de filtros del conjunto de reglas de filtros activo.
$ ipfstat -io block out log on net0 all block in log quick from 10.0.0.0/8 to any $ ipf -Fa $ ipfstat -io empty list for ipfilter(out) empty list for ipfilter(in)
Anexar reglas a un conjunto de reglas existente puede ser útil durante la prueba o la depuración. El servicio de filtro IP permanece activado cuando se agregan las reglas. Sin embargo, cuando el servicio se refresca, se reinicia o se activa, las reglas se pierden, a menos que se encuentren en archivos que sean una propiedad del servicio de filtro IP.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Anexe reglas al conjunto de reglas en la línea de comandos utilizando el comando ipf -f -.
$ echo "block in on net1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
Estas reglas anexadas no forman parte de la configuración del filtro IP cuando el servicio se refresca, se reinicia o se activa.
Ejecute los comandos siguientes:
Cree un conjunto de reglas en el archivo que desee.
Agregue las reglas que creó al conjunto de reglas activo.
$ ipf -f filename
Las reglas de nombre_archivo se agregan al final del conjunto de reglas activo. Dado que el filtro IP utiliza un algoritmo de "última regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la acción de dicha regla y no se comprueban las reglas subsiguientes.
Si filename es el valor de una de las propiedades del archivo de configuración del filtro IP, las reglas se volverán a cargar cuando se active, se reinicie o se refresque el servicio. De lo contrario, las reglas anexadas proporcionan un conjunto de reglas temporal.
Ejemplo 5-4 Cómo anexar reglas al conjunto de reglas de filtros de paquetes activo
El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas de filtros de paquetes activo desde la línea de comandos.
$ ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any $ echo "block in on net1 proto tcp from 10.1.1.1/32 to any" | ipf -f - $ ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any
La creación de un conjunto de reglas inactivo en el núcleo puede ser útil durante la prueba o la depuración. El conjunto de reglas se puede cambiar con el conjunto de reglas activo sin detener el servicio de filtro IP. Sin embargo, cuando el servicio se refresca, se reinicia o se activa, se debe agregar el conjunto de reglas inactivo.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
$ ipf -I -f filename
Las reglas de nombre_archivo se agregan al final del conjunto de reglas inactivo. Dado que el filtro IP utiliza un algoritmo de "última regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la acción de dicha regla y no se comprueban las reglas subsiguientes.
Ejemplo 5-5 Cómo anexar reglas al conjunto de reglas inactivo
El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas inactivo desde un archivo.
$ ipfstat -I -io pass out quick on net1 all pass in quick on net1 all $ ipf -I -f /etc/ipf/ipftrial.conf $ ipfstat -I -io pass out quick on net1 all pass in quick on net1 all block in log quick from 10.0.0.0/8 to any
Cambiar a otro conjunto de reglas en el núcleo puede ser útil durante la prueba o la depuración. El conjunto de reglas se puede activar sin detener el servicio de filtro IP.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
$ ipf -s
Este comando permite alternar entre los conjuntos de reglas activo e inactivo del núcleo. Si el conjunto de reglas inactivo está vacío, no se aplicará ningún filtro de paquetes.
Nota - Cuando el servicio de filtro IP se refresca, se reinicia o se activa, se restauran las reglas que están en los archivos que son propiedades del servicio de filtro IP. El conjunto de reglas inactivo no se restaurará.
Ejemplo 5-6 Cómo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo
En el siguiente ejemplo, se muestra cómo el uso del comando ipf -s convierte el conjunto de reglas inactivo en el conjunto activo, y viceversa.
Antes de ejecutar el comando ipf -s, la salida del comando ipfstat -I -io muestra las reglas del conjunto de reglas inactivo. La salida del comando ipfstat -io muestra las reglas del conjunto de reglas activo.
$ ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any $ ipfstat -I -io pass out quick on net1 all pass in quick on net1 all block in log quick from 10.0.0.0/8 to any
Después de ejecutar el comando ipf -s, la salida del comando ipfstat -I -io y el comando ipfstat -io muestra que se cambió el contenido de los dos conjuntos de reglas.
$ ipf -s Set 1 now inactive $ ipfstat -io pass out quick on net1 all pass in quick on net1 all block in log quick from 10.0.0.0/8 to any $ ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
$ ipf -I -Fa
Nota - Si ejecuta posteriormente ipf -s, el conjunto de reglas inactivo vacío se convertirá en el conjunto de reglas activo. Un conjunto de reglas activo vacío significa que no se llevará a cabo el filtrado.
Ejemplo 5-7 Cómo eliminar un conjunto de reglas de filtros de paquetes inactivo del núcleo
El ejemplo siguiente muestra cómo vaciar el conjunto de reglas de filtros de paquetes inactivo para eliminar todas las reglas.
$ ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any $ ipf -I -Fa $ ipfstat -I -io empty list for inactive ipfilter(out) empty list for inactive ipfilter(in)
Utilice los procedimientos siguientes para gestionar, ver y modificar las reglas NAT para el filtro IP.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
El ejemplo siguiente muestra el resultado del conjunto de reglas NAT activo.
$ ipnat -l List of active MAP/Redirect filters: map net0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
$ ipnat -FC
La opción -C elimina todas las entradas de la lista de reglas NAT actual. La opción -F elimina todas las entradas activas de la tabla de traducciones NAT activa, que muestra las asignaciones NAT activas.
Ejemplo 5-8 Eliminación de reglas NAT
Con el ejemplo siguiente aprenderá a eliminar las entradas de las reglas NAT actuales.
$ ipnat -l List of active MAP/Redirect filters: map net0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: $ ipnat -C 1 entries flushed from NAT list $ ipnat -l List of active MAP/Redirect filters: List of active sessions:
Anexar reglas a un conjunto de reglas existente puede ser útil durante la prueba o la depuración. El servicio de filtro IP permanece activado cuando se agregan las reglas. Sin embargo, cuando el servicio se refresca, se reinicia o se activa, las reglas NAT se pierden, a menos que se encuentren en un archivo que sea una propiedad del servicio de filtro IP.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Anexe reglas al conjunto de reglas NAT en la línea de comandos utilizando el comando ipnat -f -.
$ echo "map net0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
Estas reglas anexadas no forman parte de la configuración del filtro IP cuando el servicio se refresca, se reinicia o se activa.
Ejecute los comandos siguientes:
Cree reglas NAT adicionales en el archivo que desee.
Agregue las reglas que creó al conjunto de reglas NAT activo.
$ ipnat -f filename
Las reglas de nombre_archivo se agregan al final de las reglas NAT.
Si filename es el valor de una de las propiedades del archivo de configuración del filtro IP, las reglas se volverán a cargar cuando se active, se reinicie o se refresque el servicio. De lo contrario, las reglas anexadas proporcionan un conjunto de reglas temporal.
Ejemplo 5-9 Cómo anexar reglas al conjunto de reglas NAT
El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas NAT desde la línea de comandos.
$ ipnat -l List of active MAP/Redirect filters: List of active sessions: $ echo "map net0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f - $ ipnat -l List of active MAP/Redirect filters: map net0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Utilice los procedimientos siguientes para administrar, ver y modificar las agrupaciones de direcciones.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
El ejemplo siguiente muestra cómo visualizar el contenido de la agrupación de direcciones activa.
$ ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
$ ippool -F
Ejemplo 5-10 Cómo eliminar una agrupación de direcciones
El ejemplo siguiente muestra cómo eliminar una agrupación de direcciones.
$ ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; $ ippool -F 1 object flushed $ ippool -l
Anexar reglas a un conjunto de reglas existente puede ser útil durante la prueba o la depuración. El servicio de filtro IP permanece activado cuando se agregan las reglas. Sin embargo, cuando el servicio se refresca, se reinicia o se activa, las reglas de agrupaciones de direcciones se pierden, a menos que se encuentren en un archivo que sea una propiedad del servicio de filtro IP.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Anexe reglas al conjunto de reglas en la línea de comandos utilizando el comando ippool -f -.
$ echo "table role = ipf type = tree number = 13 {10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -
Estas reglas anexadas no forman parte de la configuración del filtro IP cuando el servicio se refresca, se reinicia o se activa.
Ejecute los comandos siguientes:
Cree agrupaciones de direcciones adicionales en el archivo que desee.
Agregue las reglas que creó a la agrupación de direcciones activa.
$ ippool -f filename
Las reglas de nombre_archivo se agregan al final de la agrupación de direcciones activa.
Siga las instrucciones de Cómo anexar reglas al conjunto de reglas de filtros de paquetes activo.
Nota - No refresque ni reinicie el servicio de filtro IP, ya que perderá las reglas de agrupaciones de direcciones agregadas.
Ejemplo 5-11 Cómo anexar reglas a una agrupación de direcciones
El ejemplo siguiente muestra cómo agregar una agrupación de direcciones al conjunto de reglas de la agrupación de direcciones desde la línea de comandos.
$ ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; $ echo "table role = ipf type = tree number = 100 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f - $ ippool -l table role = ipf type = tree number = 100 { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; }; table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };