Cómo configurar Solaris IP Filter (Software Sun Cluster: Guía de instalación para el sistema operativo Solaris)

Software Sun Cluster: Guía de instalación para el sistema operativo Solaris

Cómo configurar Solaris IP Filter

Lleve a cabo este procedimiento para configurar Solaris IP Filter en el clúster.

Nota –

Utilice Solaris IP Filter con servicios de datos de conmutación por error. El uso de Solaris IP Filter no admite servicios de datos escalables.

Tenga en cuenta las siguientes directrices:

No se admite el enrutamiento NAT.
No se admite el uso de NAT para la traducción de direcciones locales. La traducción NAT reescribe los paquetes en línea y, por tanto, es transparente para el software del clúster.
Sólo se admite el filtrado sin estado.

Para obtener información acerca de la función Solaris IP Filter, consulte Parte IV, IP Security de System Administration Guide: IP Services.

(sólo Solaris 10 11/06) Modifique las entradas en el archivo /etc/iu.ap para garantizar que el filtro IP funcione en un modo sin clúster
1. Modifique las entradas NIC en la lista clhbsndr pfil como la lista de módulos.
  
  El pfil debe ser el último módulo de la lista.
  
  Nota –
  Si tiene el mismo tipo de adaptador para red privada y pública, las modificaciones realizadas en el archivo /etc/iu.ap empujarán pfil a los canales de red privada. Sin embargo, el módulo de transporte del clúster eliminará automáticamente todos los módulos no deseados en la creación del canal, por tanto, pfil se eliminará de los canales de red privada.
2. Agregue interfaces de red pública al archivo /etc/ipf/pfil.ap.
  
  Consulte el Capítulo 26, Solaris IP Filter (Tasks) de System Administration Guide: IP Servicespara obtener información adicional.
3. Rearranque todos los nodos afectados.
  
  Puede arrancar los nodos por turnos.

Agregue reglas de filtros al archivo /etc/ipf/ipf.conf en todos los nodos afectados.

Tenga en cuenta las siguientes directrices y requisitos cuando agregue las reglas del filtro a los nodos de Sun Cluster.

(sólo Solaris 10 8/07) En el archivo ipf.conf de cada nodo, agregue reglas para permitir explícitamente que el tráfico de interconexión del clúster pase sin filtrarse. Las reglas que no sean específicas de la interfaz se aplicarán a todas las interfaces, incluidas las interconexiones del clúster. Asegúrese de que el tráfico en estas interfaces no se haya bloqueado por error. Por ejemplo, suponga que se están utilizando las siguientes reglas:

# Default block TCP/UDP unless some later rule overrides
block return-rst in proto tcp/udp from any to any

# Default block ping unless some later rule overrides
block return-rst in proto icmp all

Para desbloquear el tráfico de interconexión del clúster, agregue las siguientes reglas. Las subredes se utilizan sólo de ejemplo. Derive las subredes utilizando el comando ifconfig interface.

# Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect)
pass in quick proto tcp/udp from 172.16.0.128/25 to any
pass out quick proto tcp/udp from 172.16.0.128/25 to any

# Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect)
pass in quick proto tcp/udp from 172.16.1.0/25 to any
pass out quick proto tcp/udp from 172.16.1.0/25 to any

# Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet)
pass in quick proto tcp/udp from 172.16.4.0/23 to any
pass out quick proto tcp/udp from 172.16.4.0/23 to any

El software de Sun Cluster conmuta por error a las direcciones de red de nodo a nodo. No se necesita un procedimiento o código especial durante la conmutación por error.
Todas las reglas de filtrado que hacen referencia a las direcciones IP de nombre de host lógico y recursos de dirección compartida deben ser idénticos en todos los nodos del clúster.
Las reglas en un nodo en espera se referirán a una dirección IP no existente. Esta regla es todavía parte de una regla activa de un flitro IP y se hará efectiva cuando el nodo reciba la dirección tras una conmutación por error.
Todas las reglas de filtrado deben ser las mismas para todos los NIC del mismo grupo IPMP. En otras palabras, si una regla es específica de una interfaz, también debe existir la misma regla para el resto de interfaces del mismo grupo IPM.

Para obtener más información acerca de las reglas de Solaris IP Filter, consulte la página de comando man ipf(4).

Habilite el servicio SMF ipfilter.

phys-schost# svcadm enable /network/ipfilter:default

Pasos siguientes

Configure Sun Cluster en los nodos del clúster. Diríjase a Establecer un nuevo clúster o un nuevo nodo de clúster.