Verwenden der Solaris IP-Filterfunktion mit Sun Cluster

Sun Cluster unterstützt die Solaris IP-Filterfunktion. Es gelten jedoch folgende Einschränkungen:

• Es werden nur Failover-Datendienste unterstützt.

  Sun Cluster unterstützt die IP-Filterfunktion nicht für skalierbare Datendienste.

• Es wird nur Filterung ohne Status unterstützt.

• NAT-Routing wird nicht unterstützt.

• Übersetzung von lokalen Adressen mit NAT wird unterstützt. Bei der NAT-Übersetzung werden die Pakete sofort neu geschrieben. Daher ist dieser Vorgang für die Cluster-Software transparent.

So richten Sie die Solaris IP-Filterfunktion ein

1. Bearbeiten Sie in der Datei /etc/iu.ap die öffentlichen NIC-Einträge, sodass in den Einträgen clhbsndr pfil als Modulliste aufgeführt wird.

   pfil muss das letzte Modul in der Liste sein.

   ---

   Hinweis –

   Wenn Sie für öffentliche und private Netzwerke denselben Adaptertyp verwenden, wird durch Ihre Änderung an der /etc/iu.ap-Datei pfil an die privaten Netzwerkdatenströme weitergegeben. Das Cluster-Transportmodul entfernt bei der Datenstromerstellung jedoch alle nicht erwünschten Module, sodass pfil aus den privaten Netzwerkströmen entfernt wird.

   ---

2. Um sicherzustellen , das der IP-Filter im Nicht-Cluster-Modus ordnungsgemäß ausgeführt wird, aktualisieren Sie die Datei /etc/ipf/pfil.ap.

   Aktualisierungen der Datei /etc/iu.ap unterscheiden sich hiervon in manchen Punkten. Weitere Informationen finden Sie in der Dokumentation zum IP-Filter.

3. Starten Sie alle betroffenen Knoten neu.

   Sie können die Knoten nacheinander starten.

4. Fügen Sie auf allen betroffenen Knoten der Datei /etc/ipf/ipf.conf Filterregeln hinzu. Informationen zur Syntax von IP-Filterregeln finden Sie auf der Manpage ipf(4)

   Beachten Sie beim Hinzufügen von Filterregeln zu Sun Cluster-Knoten folgende Richtlinien und Anforderungen:

   • Sun Cluster führt Failover über Netzwerkadressen von Knoten zu Knoten aus. Beim Failover ist kein besonderes Verfahren und kein Code erforderlich.

   • Sämtliche Filterregeln, die auf IP-Adressen von Ressourcen für logischen Hostnamen und gemeinsam genutzte Adressen verweisen, müssen auf allen Cluster-Knoten identisch sein.

   • Regeln auf einem Standby-Knoten verweisen auf eine nicht vorhandene IP-Adresse. Diese Regel bleibt Bestandteil des aktiven Regelsatzes des IP-Filters und tritt in Kraft, wenn der Knoten die Adresse nach einem Failover erhält.

   • Alle Filterregeln für NICSs in einer IPMP-Gruppe müssen identisch sein. Das heißt, wenn eine Regel schnittstellenspezifisch ist, müssen dieselben Regeln auch für alle übrigen Schnittstellen in derselben IPMP-Gruppe vorhanden sein.

5. Aktivieren Sie den SMF-Dienst ipfilter.

   # svcadm enable /network/ipfilter:default