如何配置 Solaris IP Filter

執行此程序可在叢集上配置 Solaris IP Filter。

Solaris IP Filter 僅限與容錯移轉資料服務搭配使用。不支援對可延伸資料服務使用 Solaris IP Filter。

請注意下列準則：

• 不支援 NAT 路由。

• 支援使用 NAT 轉換本機位址。NAT 轉換會在線上重寫封包，因此叢集軟體不會感此作業。

• 僅支援無狀態的篩選。

如需有關 Solaris IP Filter 功能的更多資訊，請參閱「System Administration Guide: IP Services」中的第 IV部分「IP Security」。

1. (僅限 Solaris 10 11/06) 修改 /etc/iu.ap 檔案中的項目以確保 IP Filter 在非叢集模式中可運作

   1. 修改公用 NIC 項目以將 clhbsndr pfil 列為模組清單。

      pfil 必須是清單中的最後一個模組。

      ---

      備註 –

      若私用與公有網路使用相同類型的配接卡，對 /etc/iu.ap 檔案所做的編輯會將 pfil 推入私用網路串流。但是，由於叢集傳輸模組會在建立串流時自動移除所有不需要的模組，因此會從私用網路串流中移除 pfil。

      ---

   2. 將公用網路介面增加至 /etc/ipf/pfil.ap 檔案。

      如需更多資訊，請參閱「System Administration Guide: IP Services」中的第 26 章「Solaris IP Filter (Tasks)」。

   3. 重新啟動所有受影響的節點。

      您可以輪流啟動節點。

2. 在所有受影響的節點上，將篩選規則增加至 /etc/ipf/ipf.conf 檔案。

   將篩選規則增加至 Sun Cluster 節點時，請注意下列準則與需求。

   • (僅限 Solaris 10 8/07) 在每個節點的 ipf.conf 檔案中，增加規則以明確允許叢集互連流量未經篩選便通過。非介面特有的規則適用於所有介面，包含叢集互連。請確定這些介面上的流量未遭到不當封鎖。例如，假設目前使用下列規則：

     # Default block TCP/UDP unless some later rule overrides block return-rst in proto tcp/udp from any to any # Default block ping unless some later rule overrides block return-rst in proto icmp all

     若要解除封鎖叢集互連流量，請增加下列規則。此處使用的子網路僅供範例使用。請使用 ifconfig interface 指令衍生要使用的子網路。

     # Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.0.128/25 to any pass out quick proto tcp/udp from 172.16.0.128/25 to any # Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect) pass in quick proto tcp/udp from 172.16.1.0/25 to any pass out quick proto tcp/udp from 172.16.1.0/25 to any # Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet) pass in quick proto tcp/udp from 172.16.4.0/23 to any pass out quick proto tcp/udp from 172.16.4.0/23 to any

   • Sun Cluster 軟體將網路位址從某一節點容錯移轉到另一節點。容錯移轉時不需要特殊程序或程式碼。

   • 參照邏輯主機名稱的 IP 位址與共用位址資源的所有篩選規則，在所有叢集節點上皆必須相同。

   • 待機節點上的規則會參照不存在的 IP 位址。此規則仍舊屬於 IP Filter 的使用中規則集，且會在節點容錯移轉後收到位址時生效。

   • 同一 IPMP 群組中的所有 NIC 必須使用相同的篩選規則。換句話說，若某項規則為介面的特定規則，則同一 IPMP 群組中的所有其他介面也必須存在相同的規則。

   如需有關 Solaris IP Filter 規則的更多資訊，請參閱「ipf(4) 線上手冊」。

3. 啟用 ipfilter SMF 服務。

   phys-schost# svcadm enable /network/ipfilter:default

接下來的步驟

在叢集節點上配置 Sun Cluster 軟體。請至建立新叢集或新叢集節點。