Konfigurieren des Solaris-IP-Filters (Sun Cluster Handbuch Softwareinstallation für Solaris OS)

Sun Cluster Handbuch Softwareinstallation für Solaris OS

Konfigurieren des Solaris-IP-Filters

Mithilfe dieser Vorgehensweise können Sie den Solaris-IP-Filter auf dem Cluster konfigurieren.

Hinweis –

Verwenden Sie Solaris-IP-Filter nur mit Failover-Datendiensten. Die Verwendung des Solaris-IP-Filters für skalierbare Datendiensten wird nicht unterstützt.

Beachten Sie folgende Richtlinien:

NAT-Routing wird nicht unterstützt.
Die Verwendung von NAT für die Umsetzung lokaler Adressen wird unterstützt. Die NAT-Umsetzung schreibt Datenpakete über das Netzwerk um und ist daher für die Cluster-Software transparent.
Es ist nur ein Filtern ohne Status möglich.

Weitere Informationen zur Solaris-IP-Filterfunktion finden Sie unter Teil IV, IP Security in System Administration Guide: IP Services.

(nur Solaris 10 11/06) Ändern Sie die Einträge in der Datei /etc/iu.ap um sicherzustellen, dass die Verwendung des IP-Filters im Nicht-Cluster-Modus möglich ist.
1. Ändern Sie die öffentlichen NIC-Einträge, um clhbsndr pfil als Modulliste anzuzeigen.
  
  pfil muss das letzte Modul in der Liste sein.
  
  Hinweis –
  Wenn Sie für öffentliches und privates Netzwerk den gleichen Adaptertyp haben, wird durch Ihre an der Datei /etc/iu.ap vorgenommenen Änderungen pfil in die nicht öffentlichen Netzwerkströme geschoben. Bei der Erstellung eines Stroms entfernt das Cluster-Transport-Modul allerdings automatisch alle unerwünschten Module, sodass pfil aus den privaten Netzwerkströmen entfernt wird.
2. Fügen Sie öffentliche Netzwerkschnittstellen zur Datei /etc/ipf/pfil.ap hinzu.
  
  Weitere Informationen finden Sie in Kapitel 26, Solaris IP Filter (Tasks) in System Administration Guide: IP Services.
3. Starten Sie alle betroffenen Knoten neu.
  
  Sie können die Knoten nacheinander starten.

Fügen Sie der Datei /etc/ipf/ipf.conf Filterregeln auf allen betroffenen Knoten hinzu.

Beachten Sie beim Hinzufügen von Filterregeln zu SunCluster-Knoten die folgenden Richtlinien und Anforderungen.

(nur Solaris 10 8/07) Fügen Sie in der Datei ipf.conf Regeln auf jedem Knoten hinzu, um festzulegen, dass Cluster-Interconnect-Verkehr ungefiltert passieren kann. Regeln, die nicht schnittstellenspezifisch sind, werden auf alle Schnittstellen angewendet, einschließlich Cluster-Interconnects. Überprüfen Sie, ob der Verkehr an diesen Schnittstellen nicht versehentlich blockiert wird. Nehmen wir zum Beispiel an, dass folgende Regeln häufig verwendet werden:

# Default block TCP/UDP unless some later rule overrides
block return-rst in proto tcp/udp from any to any

# Default block ping unless some later rule overrides
block return-rst in proto icmp all

Fügen Sie folgende Regeln hinzu, um die Blockierung für Cluster-Interconnect-Verkehr aufzuheben. Die verwendeten Teilnetze sollen nur als Beispiel dienen. Leiten Sie die zu verwendenden Teilnetze mithilfe des ifconfig interface-Befehls ab.

# Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect)
pass in quick proto tcp/udp from 172.16.0.128/25 to any
pass out quick proto tcp/udp from 172.16.0.128/25 to any

# Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect)
pass in quick proto tcp/udp from 172.16.1.0/25 to any
pass out quick proto tcp/udp from 172.16.1.0/25 to any

# Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet)
pass in quick proto tcp/udp from 172.16.4.0/23 to any
pass out quick proto tcp/udp from 172.16.4.0/23 to any

SunCluster-Software überträgt Netzwerkadressen von Knoten zu Knoten. Beim Failover ist weder eine besondere Vorgehensweise noch ein Code nötig.
Alle Filterregeln, die sich auf IP-Adressen logischer Hostnamen- und gemeinsamer Adressressourcen beziehen, müssen auf allen Cluster-Knoten identisch sein.
Regeln auf einem Standby-Knoten beziehen sich auf eine nicht existierende IP-Adresse. Diese Regel ist weiterhin Bestandteil des aktiven Regelsatzes des IP-Filters und wird gültig, wenn der Knoten die Adresse nach einem Failover erhält.
Die Filterregeln müssen für alle NICs in der gleichen IPMP-Gruppe identisch sein. Wenn eine Regel also schnittstellenspezifisch ist, muss die gleiche Regel auch für alle anderen Schnittstellen in der gleichen IPMP-Gruppe vorhanden sein.

Weitere Informationen zu Solaris-IP-Filterregeln finden Sie in der Online-Dokumentation ipf(4).

Aktivieren Sie den SMF-Dienst ipfilter.

phys-schost# svcadm enable /network/ipfilter:default

Nächste Schritte

Konfigurieren Sie die SunCluster-Software auf den Cluster-Knoten. Lesen Sie Einrichten eines neuen Clusters oder Cluster-Knotens.