Sun Cluster unterstützt die Solaris IP-Filterfunktion. Es gelten jedoch folgende Einschränkungen:
Es werden nur Failover-Datendienste unterstützt.
Sun Cluster unterstützt die IP-Filterfunktion nicht für skalierbare Datendienste.
Es wird nur Filterung ohne Status unterstützt.
NAT-Routing wird nicht unterstützt.
Übersetzung von lokalen Adressen mit NAT wird unterstützt. Bei der NAT-Übersetzung werden die Pakete sofort neu geschrieben. Daher ist dieser Vorgang für die Cluster-Software transparent.
Bearbeiten Sie in der Datei /etc/iu.ap die öffentlichen NIC-Einträge, sodass in den Einträgen clhbsndr pfil als Modulliste aufgeführt wird.
pfil muss das letzte Modul in der Liste sein.
Wenn Sie für öffentliche und private Netzwerke denselben Adaptertyp verwenden, wird durch Ihre Änderung an der /etc/iu.ap-Datei pfil an die privaten Netzwerkdatenströme weitergegeben. Das Cluster-Transportmodul entfernt bei der Datenstromerstellung jedoch alle nicht erwünschten Module, sodass pfil aus den privaten Netzwerkströmen entfernt wird.
Um sicherzustellen , das der IP-Filter im Nicht-Cluster-Modus ordnungsgemäß ausgeführt wird, aktualisieren Sie die Datei /etc/ipf/pfil.ap.
Aktualisierungen der Datei /etc/iu.ap unterscheiden sich hiervon in manchen Punkten. Weitere Informationen finden Sie in der Dokumentation zum IP-Filter.
Starten Sie alle betroffenen Knoten neu.
Sie können die Knoten nacheinander starten.
Fügen Sie auf allen betroffenen Knoten der Datei /etc/ipf/ipf.conf Filterregeln hinzu. Informationen zur Syntax von IP-Filterregeln finden Sie auf der Manpage ipf(4)
Beachten Sie beim Hinzufügen von Filterregeln zu Sun Cluster-Knoten folgende Richtlinien und Anforderungen:
Sun Cluster führt Failover über Netzwerkadressen von Knoten zu Knoten aus. Beim Failover ist kein besonderes Verfahren und kein Code erforderlich.
Sämtliche Filterregeln, die auf IP-Adressen von Ressourcen für logischen Hostnamen und gemeinsam genutzte Adressen verweisen, müssen auf allen Cluster-Knoten identisch sein.
Regeln auf einem Standby-Knoten verweisen auf eine nicht vorhandene IP-Adresse. Diese Regel bleibt Bestandteil des aktiven Regelsatzes des IP-Filters und tritt in Kraft, wenn der Knoten die Adresse nach einem Failover erhält.
Alle Filterregeln für NICSs in einer IPMP-Gruppe müssen identisch sein. Das heißt, wenn eine Regel schnittstellenspezifisch ist, müssen dieselben Regeln auch für alle übrigen Schnittstellen in derselben IPMP-Gruppe vorhanden sein.
Aktivieren Sie den SMF-Dienst ipfilter.
# svcadm enable /network/ipfilter:default |