탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1의 네트워크 보안 Oracle Solaris 11.1 Information Library (한국어) |
3. 웹 서버 및 Secure Sockets Layer 프로토콜
다른 또는 업데이트된 패킷 필터링 규칙 세트 활성화 방법
활성 패킷 필터링 규칙 세트와 비활성 패킷 필터링 규칙 세트 간 전환 방법
다음 작업 맵에서는 IP 필터 규칙을 만들고 서비스를 사용으로 설정 및 사용 안함으로 설정하는 것과 관련된 절차를 식별합니다.
표 5-1 IP 필터 구성(작업 맵)
|
시작하기 전에
ipfstat 명령을 실행하려면 IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
% svccfg -s ipfilter:default listprop | grep file config/ipf6_config_file astring /etc/ipf/ipf6.conf config/ipnat_config_file astring /etc/ipf/ipnat.conf config/ippool_config_file astring /etc/ipf/ippool.conf firewall_config_default/custom_policy_file astring none
처음 세 개의 파일 등록 정보는 파일 위치를 나타냅니다. 이러한 파일을 만든 경우에만 해당 파일이 존재합니다. 해당 파일의 등록 정보 값을 변경하면 구성 파일의 위치를 변경할 수 있습니다. 절차는 IP 필터 구성 파일을 만드는 방법을 참조하십시오.
사용자 고유의 패킷 필터링 규칙을 사용자 정의하는 경우 네번째 파일 등록 정보를 수정합니다. IP 필터 구성 파일을 만드는 방법의 단계 1 및 단계 2를 참조하십시오.
수동으로 네트워크에 연결된 시스템에서는 기본적으로 IP 필터가 사용으로 설정되어 있지 않습니다.
% svcs -x ipfilter:default svc:/network/ipfilter:default (IP Filter) State: disabled since Mon Sep 10 10:10:50 2012 Reason: Disabled by an administrator. See: http://oracle.com/msg/SMF-8000-05 See: ipfilter(5) Impact: This service is not running.
IPv4 네트워크에서 자동으로 네트워크에 연결된 시스템의 경우 다음 명령을 실행하여 IP 필터 정책을 확인합니다.
$ ipfstat -io
정책을 만든 파일을 확인하려면 /etc/nwam/loc/NoNet/ipf.conf를 검토합니다. 이 파일은 보기 전용입니다. 정책을 수정하려면 IP 필터 구성 파일을 만드는 방법을 참조하십시오.
주 - IPv6 네트워크에서 IP 필터 정책을 확인하려면 ipfstat -6io에서와 같이 -6 옵션을 추가합니다. 자세한 내용은 ipfstat(1M) 매뉴얼 페이지를 참조하십시오.
자동으로 구성된 네트워크 구성의 IP 필터 정책을 수정하거나 수동으로 구성된 네트워크에서 IP 필터를 사용하려면 구성 파일을 만들고 서비스에 이러한 파일을 알린 다음 서비스를 사용으로 설정합니다.
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
이 파일에는 패킷 필터링 규칙 세트가 포함되어 있습니다.
$ svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"
예를 들어 패킷 필터링 규칙 세트의 위치를 /etc/ipf/myorg.ipf.conf로 지정합니다.
$ svccfg -s ipfilter:default \ setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"
패킷 필터링에 대한 자세한 내용은 IP 필터의 패킷 필터링 기능 사용을 참조하십시오. 구성 파일의 예는 IP 필터 구성 파일 예 및 /etc/nwam/loc/NoNet/ipf.conf 파일을 참조하십시오.
주 - 지정한 정책 파일이 비어 있으면 필터링이 수행되지 않습니다. 비어 있는 패킷 필터링 파일은 다음과 같은 규칙 세트가 있는 것과 같습니다.
pass in all pass out all
NAT를 통해 패킷을 필터링하려면 적절한 이름을 사용하여 NAT규칙 파일을 만듭니다(예: /etc/ipf/ipnat.conf). 이 이름을 변경하려면 config/ipnat_config_file 서비스 등록 정보 값을 다음과 같이 변경합니다.
$ svccfg -s ipfilter:default \ setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"
NAT에 대한 자세한 내용은 IP 필터의 NAT 기능 사용을 참조하십시오.
주소 그룹을 단일 주소 풀로 나타내려면 적절한 이름을 사용하여 풀 파일을 만듭니다(예: /etc/ipf/ippool.conf). 이 이름을 변경하려면 config/ippool_config_file 서비스 등록 정보 값을 다음과 같이 변경합니다.
$ svccfg -s ipfilter:default \ setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"
주소 풀에는 IPv4 및 IPv6 주소의 조합이 포함될 수 있습니다. 주소 풀에 대한 자세한 내용은 IP 필터의 주소 풀 기능 사용을 참조하십시오.
시스템에서 구성된 영역 간의 트래픽을 필터링하려면 루프백 필터링을 사용으로 설정해야 합니다. 루프백 필터링을 사용으로 설정하는 방법을 참조하십시오. 영역에 적용할 규칙 세트도 정의해야 합니다.
기본적으로 단편은 IP 필터에서 재어셈블됩니다. 기본값을 수정하려면 패킷 재어셈블을 사용 안함으로 설정하는 방법을 참조하십시오.
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
IP 필터 구성 파일을 만드는 방법을 완료했습니다.
초기에 IP 필터를 사용으로 설정하려면 다음 명령을 입력하십시오.
$ svcadm enable network/ipfilter
$ svcadm refresh network/ipfilter
주 - refresh 명령은 간단하게 방화벽을 사용 안함으로 설정합니다. 방화벽을 유지하려면 규칙을 추가하거나 새 구성 파일을 추가합니다. 예와 함께 절차를 보려면 IP 필터 규칙 세트 작업을 참조하십시오.
기본적으로 단편은 IP 필터에서 재어셈블됩니다. 이 재어셈블을 사용 안함으로 설정하려면 정책 파일의 시작 부분에 규칙을 삽입합니다.
시작하기 전에
IP Filter Management 권한 프로파일 및 solaris.admin.edit/path-to-IPFilter-policy-file 권한 부여가 지정된 관리자여야 합니다. root 역할에는 이러한 권한이 모두 있습니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
$ svcadm disable network/ipfilter
set defrag off;
다음과 같이 pfedit 명령을 사용합니다.
$ pfedit /etc/ipf/myorg.ipf.conf
이 규칙은 파일에서 정의된 모든 block 및 pass 규칙 앞에 와야 합니다. 단, 다음 예와 유사하게 행 앞에 주석을 삽입할 수 있습니다.
# Disable fragment reassembly # set defrag off; # Define policy # block in all block out all other rules
$ svcadm enable network/ipfilter
$ ipf -T defrag defrag min 0 max 0x1 current 0
current가 0이면 단편이 재어셈블되지 않습니다. current가 1이면 단편이 재어셈블됩니다.
시작하기 전에
IP Filter Management 권한 프로파일 및 solaris.admin.edit/path-to-IPFilter-policy-file 권한 부여가 지정된 관리자여야 합니다. root 역할에는 이러한 권한이 모두 있습니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
$ svcadm disable network/ipfilter
set intercept_loopback true;
다음과 같이 pfedit 명령을 사용합니다.
$ pfedit /etc/ipf/myorg.ipf.conf
이 행은 파일에서 정의된 모든 block 및 pass 규칙 앞에 와야 합니다. 단, 다음 예와 유사하게 행 앞에 주석을 삽입할 수 있습니다.
... #set defrag off; # # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all other rules
$ svcadm enable network/ipfilter
$ ipf -T ipf_loopback ipf_loopback min 0 max 0x1 current 1 $
current가 0이면 루프백 필터링이 사용 안함으로 설정됩니다. current가 1이면 루프백 필터링이 사용으로 설정됩니다.
이 절차에서는 커널에서 규칙을 모두 제거하고 서비스를 사용 안함으로 설정합니다. 이 절차를 사용하는 경우 패킷 필터링 및 NAT를 다시 시작하려면 적절한 구성 파일과 함께 IP 필터를 사용으로 설정해야 합니다. 자세한 내용은 IP 필터를 사용으로 설정하고 새로 고치는 방법을 참조하십시오.
시작하기 전에
IP Filter Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
$ svcadm disable network/ipfilter
서비스를 테스트하거나 디버그하려면 서비스가 실행 중인 동안 규칙 세트를 제거할 수 있습니다. 자세한 내용은 IP 필터 규칙 세트 작업을 참조하십시오.