次の作業マップに、Oracle Solaris IP フィルタを構成するための手順を示します。
表 26–1 Oracle Solaris IP フィルタの構成 (作業マップ)
作業 |
説明 |
参照先 |
---|---|---|
Oracle Solaris IP フィルタを初期段階で有効にします。 |
Oracle Solaris IP フィルタは、デフォルトでは無効です。Solaris IP フィルタを手動で有効にするか /etc/ipf/ ディレクトリにある構成ファイルを使用して、システムをリブートする必要があります。Solaris 10 7/07 リリース以降では、pfil モジュールの代わりにパケットフィルタリングフックを使用して Oracle Solaris IP フィルタを有効にします。 | |
Oracle Solaris IP フィルタを再度有効にします。 |
Oracle Solaris IP フィルタが非アクティブ化された、または無効になった場合は、システムをリブートするか、ipf コマンドを使用して、Oracle Solaris IP フィルタを再度有効にできます。 | |
ループバックフィルタリングを有効にします。 |
オプションとして、ループバックフィルタリングを有効にすると、ゾーン間のトラフィックのフィルタリングなどを行うことができます。 |
Solaris 10 7/07 以降の OS を実行しているシステムで Oracle Solaris IP フィルタを有効にするには、次の手順に従います。Solaris 10 7/07 OS より前の Oracle Solaris 10 を実行しているシステムで Oracle Solaris IP フィルタを有効にする場合は、「pfil モジュールの使用」を参照してください。
IP Filter Management の権利プロファイルを持つ役割またはスーパーユーザーになります。
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
パケットフィルタリング構成ファイルを作成します。
パケットフィルタリング構成ファイルには、Oracle Solaris IP フィルタが使用するパケットフィルタリング規則が含まれています。起動時にパケットフィルタリング規則をロードする場合は、/etc/ipf/ipf.conf ファイルを編集して IPv4 パケットフィルタリングを実装します。IPv6 パケットフィルタリング規則には /etc/ipf/ipf6.conf ファイルを使用します。起動時にパケットフィルタリング規則をロードしない場合は、適当な場所に ipf.conf ファイルを保存し、パケットフィルタリングを手動でアクティブ化します。パケットのフィルタリングについては、「Oracle Solaris IP フィルタのパケットフィルタリング機能の使用」を参照してください。構成ファイルの処理については、「Oracle Solaris IP フィルタ構成ファイルの作成と編集」を参照してください。
(省略可能) ネットワークアドレス変換 (NAT) 構成ファイルを作成します。
ネットワークアドレス変換 (NAT) では、IPv6 はサポートされていません。
ネットワークアドレス変換を使用する場合は、ipnat.conf ファイルを作成します。ネットワークアドレス変換を使用する場合は、ipnat.conf ファイルを作成します。 起動時に NAT 規則をロードしない場合は、適当な場所に ipnat.conf ファイルを保存し、NAT 規則を手動でアクティブ化します。
NAT については、「Oracle Solaris IP フィルタの NAT 機能の使用」を参照してください。
(省略可能) アドレスプール構成ファイルを作成します。
ひとかたまりのアドレスを単一のアドレスプールとして参照する場合は、ipool.conf ファイルを作成します。起動時にアドレスプール構成ファイルをロードする場合は、アドレスプールを保存する /etc/ipf/ippool.conf というファイルを作成します。起動時にアドレスプール構成ファイルをロードしない場合は、適当な場所に ippool.conf ファイルを保存し、規則を手動でアクティブ化します。
アドレスプールは、IPv4 アドレスだけまたは IPv6 アドレスだけを含むことができます。IPv4 アドレスと IPv6 アドレスの両方を含むこともできます。
アドレスプールについては、「Oracle Solaris IP フィルタのアドレスプール機能の使用」を参照してください。
(省略可能) ループバックトラフィックのフィルタリングを有効にします。
システムに構成されているゾーン間のトラフィックのフィルタリングを行う場合は、ループバックフィルタリングを有効にする必要があります。「ループバックフィルタリングを有効にする方法」を参照してください。ゾーンに適用する適切な規則セットも必ず定義してください。
Oracle Solaris IP フィルタをアクティブにします。
# svcadm enable network/ipfilter |
Solaris IP フィルタがアクティブでない場合は、再度有効にできます。
IP Filter Management の権利プロファイルを持つ役割またはスーパーユーザーになります。
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
Oracle Solaris IP フィルタを有効にし、次のいずれかの方法でフィルタリングをアクティブにします。
マシンをリブートします。
# reboot |
IP フィルタが有効になっているときに次のファイルが存在する場合は、リブート後にそれらのファイルがロードされます。 /etc/ipf/ipf.conf ファイル (IPv6 を使用している場合は /etc/ipf/ipf6.conf ファイル) または /etc/ipf/ipnat.conf ファイル。
次の一連のコマンドを実行して、Oracle Solaris IP フィルタを有効にし、フィルタリングをアクティブにします。
Oracle Solaris IP フィルタを有効にします。
# ipf -E |
パケットフィルタリングのアクティブ化
# ipf -f filename |
(省略可能) NAT のアクティブ化
# ipnat -f filename |
ネットワークアドレス変換 (NAT) では、IPv6 はサポートされていません。
ループバックトラフィックをフィルタリングできるのは、システムで Solaris 10 7/07 リリース以降が実行されている場合のみです。以前の Oracle Solaris 10 リリースでは、ループバックフィルタリングはサポートされません。
IP Filter Management の権利プロファイルを持つ役割またはスーパーユーザーになります。
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
Oracle Solaris IP フィルタが実行中の場合は、IP フィルタを停止します。
# svcadm disable network/ipfilter |
/etc/ipf.conf ファイルまたは /etc/ipf6.conf ファイルを編集して、ファイルの先頭に次の行を追加します。
set intercept_loopback true; |
この行は、ファイル内で定義されるどの IP フィルタ規則よりも前に置く必要があります。ただし、この行の前にコメントを挿入することはできます。次に例を示します。
# # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ... |
Oracle Solaris IP フィルタを起動します。
# svcadm enable network/ipfilter |
ループバックフィルタリングの状態を確認するには、次のコマンドを使用します。
# ipf —T ipf_loopback ipf_loopback min 0 max 0x1 current 1 # |
ループバックフィルタリングが無効になっている場合、このコマンドは次の出力を生成します。
ipf_loopback min 0 max 0x1 current 0 |