Configuration de Solaris IP Filter (Guide d'installation du logiciel Sun Cluster pour SE Solaris)

Guide d'installation du logiciel Sun Cluster pour SE Solaris

Configuration de Solaris IP Filter

Exécutez cette procédure pour configurer Solaris IP Filter sur le cluster.

Remarque –

Utilisez uniquement Solaris IP Filter avec les services de données de basculement. L'utilisation de Solaris IP Filter avec des services de données évolutifs n'est pas prise en charge.

Observez les recommandations suivantes :

Le routage NAT n'est pas pris en charge.
L'utilisation de NAT pour la translation d'adresses locales est prise en charge. La translation NAT réécrit les paquets. Par conséquent, elle est transparente pour le logiciel de cluster.
Seul le filtrage sans état est pris en charge.

Pour plus d'informations sur la fonctionnalité Solaris IP Filter, reportez-vous à Partie IV, IP Security du System Administration Guide: IP Services.

(Solaris 10 11/06 uniquement) Modifiez les entrées dans le fichier /etc/iu.ap pour vous assurer que le filtre IP fonctionne en mode non cluster
1. Modifiez les entrées NIC publiques pour répertorier clhbsndr pfil comme liste de module.
  
  pfil doit être le dernier module de la liste.
  
  Remarque –
  Si vous avez le même type d'adaptateur pour le réseau privé et public, les modifications apportées au fichier /etc/iu.ap pousseront pfil dans les flux des réseaux privés. Le module de transport de clusters supprime automatiquement tous les modules indésirables à la création du flux, pfil sera donc supprimé des flux des réseaux privés.
2. Ajoutez des interfaces de réseau public au fichier /etc/ipf/pfil.ap.
  
  Reportez-vous à Chapitre 26, Solaris IP Filter (Tasks) du System Administration Guide: IP Services pour plus d'informations.
3. Réinitialisez tous les nœuds affectés.
  
  Vous pouvez initialiser les nœuds par roulement.

Ajoutez des règles de filtre au fichier /etc/ipf/ipf.conf sur tous les nœuds affectés.

Observez les recommandations et les conditions suivantes lorsque vous ajoutez des règles de filtre aux nœuds Sun Cluster.

(Solaris 10 8/07 uniquement) Dans le fichier ipf.conf de chaque nœud, ajoutez des règles pour autoriser explicitement le non filtrage du trafic d'interconnexion du cluster. Les règles qui ne sont pas propres à l'interface sont appliquées à toutes les interfaces, y compris les interconnexions de cluster. Vérifiez que le trafic sur ces interfaces n'a pas été bloqué par erreur. Par exemple, supposons que les règles suivantes sont actuellement utilisées :

# Default block TCP/UDP unless some later rule overrides
block return-rst in proto tcp/udp from any to any

# Default block ping unless some later rule overrides
block return-rst in proto icmp all

Pour débloquer le trafic d'interconnexion de cluster, ajoutez les règles suivantes. Les sous-réseaux utilisés sont fournis à titre d'exemple uniquement. Dérivez les sous-réseaux à utiliser à l'aide de la commande ifconfig interface.

# Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect)
pass in quick proto tcp/udp from 172.16.0.128/25 to any
pass out quick proto tcp/udp from 172.16.0.128/25 to any

# Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect)
pass in quick proto tcp/udp from 172.16.1.0/25 to any
pass out quick proto tcp/udp from 172.16.1.0/25 to any

# Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet)
pass in quick proto tcp/udp from 172.16.4.0/23 to any
pass out quick proto tcp/udp from 172.16.4.0/23 to any

Le logiciel Sun Cluster bascule les adresses réseau de nœud à nœud. Aucun code ou procédure spécial(e) n'est nécessaire lors du basculement.
Toutes les règles de filtrage relatives aux adresses IP de noms d'hôtes logiques et aux ressources d'adresses partagées doivent être identiques sur tous les nœuds de cluster.
Les règles d'un nœud de réserve font référence à une adresse IP inexistante. Cette règle fait toujours partie de l'ensemble de règles actives du filtre IP et prendra effet lorsque les nœuds recevront l'adresse après un basculement.
Toutes les règles de filtrage doivent être identiques pour tous les NICs du même groupe IPMP. En d'autres termes, si une règle est propre à l'interface, la même règle doit également exister pour toutes les autres interfaces du même groupe IPMP.

Pour plus d'informations sur les règles Solaris IP Filter, consultez la page de manuel ipf(4).

Activez le service SMF ipfilter.

phys-schost# svcadm enable /network/ipfilter:default

Étapes suivantes

Configurez le logiciel Sun Cluster sur les nœuds de votre cluster. Reportez-vous à la rubrique Établissement d'un cluster ou d'un nœud.