ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 でのネットワークのセキュリティー保護 Oracle Solaris 11.1 Information Library (日本語) |
3. Web サーバーと Secure Sockets Layer プロトコル
4. Oracle Solaris の IP フィルタ (概要)
アクティブでないパケットフィルタリング規則セットを参照する方法
別のパケットフィルタリング規則セット、または更新されたパケットフィルタリング規則セットをアクティブにする方法
アクティブなパケットフィルタリング規則セットに規則を追加する方法
アクティブでないパケットフィルタリング規則セットに規則を追加する方法
アクティブなパケットフィルタリング規則セットとアクティブでないパケットフィルタリング規則セットを切り替える方法
カーネルからアクティブでないパケットフィルタリング規則セットを削除する方法
次のタスクマップに、IP フィルタ規則を作成し、サービスを有効または無効にする手順を示します。
表 5-1 IP フィルタの構成 (タスクマップ)
|
始める前に
ipfstat コマンドを実行するには、IP Filter Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
% svccfg -s ipfilter:default listprop | grep file config/ipf6_config_file astring /etc/ipf/ipf6.conf config/ipnat_config_file astring /etc/ipf/ipnat.conf config/ippool_config_file astring /etc/ipf/ippool.conf firewall_config_default/custom_policy_file astring none
最初の 3 つのファイルのプロパティーにファイルの場所が提案されています。これらのファイルは作成するまで存在しません。構成ファイルの場所を変更するには、そのファイルのプロパティー値を変更します。手順については、「IP フィルタ構成ファイルの作成方法」を参照してください。
独自のパケットフィルタリング規則をカスタマイズする場合は、4 番目のファイルのプロパティーを変更します。「IP フィルタ構成ファイルの作成方法」の手順 1 と手順 2 を参照してください。
手動でネットワーク接続されたシステムでは、IP フィルタはデフォルトで有効にされません。
% svcs -x ipfilter:default svc:/network/ipfilter:default (IP Filter) State: disabled since Mon Sep 10 10:10:50 2012 Reason: Disabled by an administrator. See: http://oracle.com/msg/SMF-8000-05 See: ipfilter(5) Impact: This service is not running.
IPv4 ネットワーク上に自動的にネットワーク接続されたシステムでは、次のコマンドを実行して、IP フィルタポリシーを表示します。
$ ipfstat -io
ポリシーを作成したファイルを表示するには、/etc/nwam/loc/NoNet/ipf.conf を参照します。このファイルは表示専用です。ポリシーを変更するには、「IP フィルタ構成ファイルの作成方法」を参照してください。
注 - IPv6 ネットワーク上の IP フィルタポリシーを表示するには、ipfstat -6io のように、-6 オプションを追加します。詳細については、ipfstat(1M) のマニュアルページを参照してください。
自動的に構成されたネットワーク構成の IP フィルタポリシーを変更するか、または手動で構成されたネットワークで IP フィルタを使用するには、構成ファイルを作成し、これらのファイルについてサービスに通知し、サービスを有効にします。
始める前に
IP Filter Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
このファイルには、パケットフィルタリング規則セットが含まれます。
$ svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"
たとえば、/etc/ipf/myorg.ipf.conf をパケットフィルタリング規則セットの場所にします。
$ svccfg -s ipfilter:default \ setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"
パケットのフィルタリングについては、「IP フィルタのパケットのフィルタリング機能の使用」を参照してください。構成ファイルの例については、「IP フィルタの構成ファイルの例」および /etc/nwam/loc/NoNet/ipf.conf ファイルを参照してください。
注 - 指定したポリシーファイルが空の場合、フィルタリングは行なわれません。空のパケットフィルタリングファイルは、次のような規則セットを含むことと同じです。
pass in all pass out all
NAT 経由のパケットをフィルタリングするには、/etc/ipf/ipnat.conf など、適切な名前で NAT 規則のファイルを作成します。この名前を変更するには、次のように、config/ipnat_config_file サービスプロパティーの値を変更します。
$ svccfg -s ipfilter:default \ setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"
NAT については、「IP フィルタの NAT 機能の使用」を参照してください。
アドレスのグループを単一のアドレスプールとして参照するには、/etc/ipf/ippool.conf などの適切な名前でプールのファイルを作成します。この名前を変更するには、次のように、config/ippool_config_file サービスプロパティーの値を変更します。
$ svccfg -s ipfilter:default \ setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"
アドレスプールには、IPv4 アドレスと IPv6 アドレスの任意の組み合わせを含めることができます。アドレスプールの詳細については、「IP フィルタのアドレスプール機能の使用」を参照してください。
システムに構成されているゾーン間のトラフィックのフィルタリングを行う場合は、ループバックフィルタリングを有効にする必要があります。「ループバックフィルタリングを有効にする方法」を参照してください。ゾーンに適用する規則セットも定義する必要があります。
デフォルトで、フラグメントは、IP フィルタで再構築されます。デフォルトを変更するには、「パケット再構築を無効にする方法」を参照してください。
始める前に
IP Filter Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
「IP フィルタ構成ファイルの作成方法」を完了しています。
最初に IP フィルタを有効にするには、次のコマンドを入力します。
$ svcadm enable network/ipfilter
$ svcadm refresh network/ipfilter
注 - refresh コマンドは一時的にファイアウォールを無効にします。ファイアウォールを保持するには、規則を追加するか、新しい構成ファイルを追加します。例と手順については、「IP フィルタ規則セットの操作」を参照してください。
デフォルトで、フラグメントは、IP フィルタで再構築されます。この再構築を無効にするには、ポリシーファイルの先頭に規則を挿入します。
始める前に
IP Filter Management 権利プロファイルとsolaris.admin.edit/path-to-IPFilter-policy-file 承認が割り当てられている管理者になる必要があります。root 役割には、これらの権利がすべて含まれています。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
$ svcadm disable network/ipfilter
set defrag off;
次のように、pfedit コマンドを使用します。
$ pfedit /etc/ipf/myorg.ipf.conf
この規則はファイルに定義されているすべての block および pass 規則より前に置く必要があります。ただし、この行の前にコメントを挿入することはできます。次に例を示します。
# Disable fragment reassembly # set defrag off; # Define policy # block in all block out all other rules
$ svcadm enable network/ipfilter
$ ipf -T defrag defrag min 0 max 0x1 current 0
current が 0 の場合、フラグメントは再構築中ではありません。current が 1 の場合、フラグメントは再構築中です。
始める前に
IP Filter Management 権利プロファイルとsolaris.admin.edit/path-to-IPFilter-policy-file 承認が割り当てられている管理者になる必要があります。root 役割には、これらの権利がすべて含まれています。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
$ svcadm disable network/ipfilter
set intercept_loopback true;
次のように、pfedit コマンドを使用します。
$ pfedit /etc/ipf/myorg.ipf.conf
この行はファイルに定義されているすべての block および pass 規則より前に置く必要があります。ただし、この行の前にコメントを挿入することはできます。次に例を示します。
... #set defrag off; # # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all other rules
$ svcadm enable network/ipfilter
$ ipf -T ipf_loopback ipf_loopback min 0 max 0x1 current 1 $
current が 0 の場合、ループバックフィルタリングは無効にされています。current が 1 の場合、ループバックフィルタリングは有効にされています。
この手順は、カーネルからすべての規則を削除し、サービスを無効にします。この手順を使用する場合、適切な構成ファイルで IP フィルタを有効にし、パケットフィルタリングと NAT を再起動する必要があります。詳細については、「IP フィルタを有効にし、リフレッシュする方法」を参照してください。
始める前に
IP Filter Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
$ svcadm disable network/ipfilter
サービスをテストまたはデバッグするために、サービスの実行中に規則セットを削除できます。詳細については、「IP フィルタ規則セットの操作」を参照してください。