test

Systemverwaltungshandbuch: IP Services

Konfiguration von Oracle Solaris IP Filter

In der folgenden Tabelle sind die Verfahren zur Konfiguration von Oracle Solaris IP Filter aufgeführt.

Tabelle 26–1 Konfiguration von Oracle Solaris IP Filter (Übersicht der Schritte)

Aufgabe 

Beschreibung 

Siehe 

Erstaktivierung von Oracle Solaris IP Filter. 

Oracle Solaris IP Filter ist standardmäßig nicht aktiviert. Sie müssen Solaris IP Filter entweder manuell aktivieren oder die Konfigurationsdateien im Verzeichnis /etc/ipf/ verwenden und das System neu booten. Ab Version Solaris 10 7/07 ersetzen die Paketfilter-Hooks das Modul pfil, um Oracle Solaris IP Filter zu aktivieren.

So aktivieren Sie Oracle Solaris IP Filter

Erneutes Aktivieren von Oracle Solaris IP Filter. 

Falls Oracle Solaris IP Filter deaktiviert oder abgeschaltet wurde, können Sie Oracle Solaris IP Filter neu aktivieren, indem Sie entweder das System neu booten oder den Befehl ipf eingeben.

So aktivieren Sie Oracle Solaris IP Filter erneut

Aktivieren der Loopback-Filterung 

Optional können Sie die Loopback-Filterung aktivieren, um beispielsweise Datenverkehr zwischen Zonen zu filtern. 

So aktivieren Sie die Loopback-Filterung

ProcedureSo aktivieren Sie Oracle Solaris IP Filter

Mit dem folgenden Verfahren aktivieren Sie Oracle Solaris IP Filter auf einem System, das mindestens Solaris 10 7/07 ausführt. Um Oracle Solaris IP Filter auch dann auszuführen, wenn ein Solaris Oracle Solaris 10-Version vor Solaris 10 7/07 ausgeführt wird, lesen Sie Arbeiten mit dem pfil-Modul.

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Erstellen Sie eine Paketfilter-Regelliste.

    Die Paketfilter-Regelliste enthält Regeln, die von Oracle Solaris IP Filter verwendet werden. Wenn die Paketfilterregeln beim Booten geladen werden sollen, müssen Sie die Datei /etc/ipf/ipf.conf so bearbeiten, dass sie die IPv4-Paketfilterung implementiert. Für IPv6-Paketfilterregeln verwenden Sie die Datei /etc/ipf/ipf6.conf. Sollen die Paketfilterregeln nicht beim Booten geladen werden, speichern Sie die Regeln in einer Datei in einem beliebigen Verzeichnis und aktivieren die Paketfilterung dann manuell. Informationen zur Paketfilterung finden Sie unter Verwenden der Paketfilter-Funktionen in Oracle Solaris IP Filter. Informationen zum Arbeiten mit Konfigurationsdateien finden Sie unter Erstellen und Bearbeiten von Konfigurationsdateien für Oracle Solaris IP Filter.

  3. (Optional) Erstellen Sie eine Network Address Translation (NAT)-Konfigurationsdatei.

    Hinweis –

    Network Address Translation (NAT) unterstützt IPv6 nicht.

    Erstellen Sie eine Datei ipnat.conf, wenn Sie die Network Address Translation verwenden möchten. Wenn die NAT-Regeln beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ipnat.conf, in der Sie die NAT-Regeln anlegen. Sollen die NAT-Regeln nicht beim Booten geladen werden, speichern Sie die Datei ipnat.conf in einem beliebigen anderen Verzeichnis und aktivieren die NAT-Regeln dann manuell.

    Weitere Informationen zu NAT finden Sie unter Verwenden der NAT-Funktion in Oracle Solaris IP Filter.

  4. (Optional) Erstellen Sie eine Adresspool-Konfigurationsdatei.

    Erstellen Sie eine Datei ipool.conf, wenn Sie eine Adressengruppe als einen Adresspool ansprechen möchten. Wenn die Adresspool-Konfigurationsdatei beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ippool.conf, in der Sie den Adresspool anlegen. Soll die Adresspool-Konfiguration nicht beim Booten geladen werden, speichern Sie die Datei ippool.conf in einem beliebigen anderen Verzeichnis und aktivieren die Regeln dann manuell.

    Ein Adresspool kann entweder nur IPv4-Adressen oder nur IPv6-Adressen enthalten. Er kann auch sowohl IPv4- als auch IPv6-Adressen enthalten.

    Weitere Informationen zu Adresspools finden Sie unter Verwenden der Adresspool-Funktion in Oracle Solaris IP Filter.

  5. (Optional) Aktivieren Sie die Filterung von Loopback-Verkehr.

    Falls Sie beabsichtigen, Datenverkehr zwischen auf Ihrem System konfigurierten Zonen zu filtern, müssen Sie die Loopback-Filterung aktivieren. Lesen Sie dazu So aktivieren Sie die Loopback-Filterung. Denken in Sie daran, entsprechende Regellisten für die Zonen zu definieren.

  6. Aktivieren Sie Oracle Solaris IP Filter.


    # svcadm enable network/ipfilter

ProcedureSo aktivieren Sie Oracle Solaris IP Filter erneut

Sie können die Paketfilterung neu aktivieren, nachdem sie vorübergehend deaktiviert wurde.

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

  2. Starten Sie Oracle Solaris IP Filter und aktivieren Sie die Filterung mithilfe einer der folgenden Methoden:

    • Starten Sie den Computer neu.


      # reboot
      Hinweis –

      Wenn IP Filter aktiviert ist, werden bei einem Neustart die folgenden Dateien geladen, sofern sie vorhanden sind: die Datei /etc/ipf/ipf.conf, die Datei /etc/ipf/ipf6.conf, wenn IPv6 verwendet wird , oder die Datei /etc/ipf/ipnat.conf.

    • Rufen Sie die folgenden Befehle auf, um Oracle Solaris IP Filter zu starten und die Filterung zu aktivieren:

      1. Aktivieren Sie Oracle Solaris IP Filter.


        # ipf -E

      2. Aktivieren Sie die Paketfilterung.


        # ipf -f filename

      3. (Optional) Aktivieren Sie NAT.


        # ipnat -f filename
        Hinweis –

        Network Address Translation (NAT) unterstützt IPv6 nicht.

ProcedureSo aktivieren Sie die Loopback-Filterung

Hinweis –

Sie können Loopback-Verkehr nur dann filtern, wenn Ihr System mindestens Version Solaris 10 7/07 ausführt. In älteren Oracle Solaris 10-Versionen wird die Loopback-Filterung nicht unterstützt.

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

  2. Halten Sie Oracle Solaris IP Filter an, wenn es ausgeführt wird.


    # svcadm disable network/ipfilter

  3. Fügen Sie die folgende Zeile am Anfang der Datei /etc/ipf.conf bzw. der Datei /etc/ipf6.conf ein:


    set intercept_loopback true;

    Die Zeile muss vor allen IP-Filterregeln stehen, die in der Datei definiert sind. Sie können Befehle auch vor dieser Zeile einfügen. Betrachten Sie dazu das folgende Beispiel:


    # 
# Enable loopback filtering to filter between zones 
# 
set intercept_loopback true; 
# 
# Define policy 
# 
block in all 
block out all 
<other rules>
...

  4. Starten Sie Oracle Solaris IP Filter.


    # svcadm enable network/ipfilter

  5. Geben Sie den folgenden Befehl ein, um den Status der Loopback-Filterung zu überprüfen:


    # ipf —T ipf_loopback
ipf_loopback    min 0   max 0x1 current 1
#

    Wenn die Loopback-Filterung deaktiviert ist, erzeugt der Befehl die folgende Ausgabe:


    ipf_loopback    min 0   max 0x1 current 0