Arbeiten mit dem pfil-Modul

In diesem Abschnitt wird beschrieben, wie Sie das pfil STREAMS-Modul zum Aktivieren oder Deaktivieren von Oracle Solaris IP Filter verwenden und pfil-Statistiken anzeigen. Diese Verfahren gelten nur für Systeme, die eines der folgenden Oracle Solaris-Versionen ausführen:

• Solaris 10 3/05

• Solaris 10 1/06

• Solaris 10 6/06

• Solaris 10 11/06

In der folgenden Tabelle sind die Verfahren aufgeführt, mit denen das pfil-Modul konfiguriert wird.

So aktivieren Sie Oracle Solaris IP Filter in älteren Solaris Oracle Solaris-Versionen

Oracle Solaris IP Filter wird mit Oracle Solaris installiert;. Die Paketfilterung wird jedoch standardmäßig nicht aktiviert. Verwenden Sie das folgende Verfahren, um Oracle Solaris IP Filter zu aktivieren.

Falls auf Ihrem System mindestens Solaris 10 7/07 ausgeführt wird, befolgen Sie das VerfahrenSo aktivieren Sie Oracle Solaris IP Filter, bei dem Eingriffspunkte für Paketfilter eingesetzt werden.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Starten Sie einen Dateieditor und nehmen Sie Änderungen an der Datei /etc/ipf/pfil.ap vor.

   Diese Datei enthält die Namen der Netzwerkschnittstellenkarten (NICs) auf dem Host. Standardmäßig sind diese Namen auskommentiert. Löschen Sie das Kommentarzeichen für Geräte, die den zu filternden Netzwerkverkehr übertragen. Sollte der Name der NIC für Ihr System nicht aufgeführt sein, fügen Sie eine Zeile hinzu, in der diese NIC angegeben wird.

   # vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil

3. Aktivieren Sie Ihre Änderungen an der Datei /etc/ipf/pfil.ap, indem Sie die Serviceinstanz network/pfil neu starten.

   # svcadm restart network/pfil

4. Erstellen Sie eine Paketfilter-Regelliste.

   Die Paketfilter-Regelliste enthält Regeln, die von Oracle Solaris IP Filter verwendet werden. Wenn die Paketfilterregeln beim Booten geladen werden sollen, müssen Sie die Datei /etc/ipf/ipf.conf so bearbeiten, dass sie die IPv4-Paketfilterung implementiert. Für IPv6-Paketfilterregeln verwenden Sie die Datei /etc/ipf/ipf6.conf. Sollen die Paketfilterregeln nicht beim Booten geladen werden, speichern Sie die Regeln in einer Datei in einem beliebigen Verzeichnis und aktivieren die Paketfilterung dann manuell. Informationen zur Paketfilterung finden Sie unter Verwenden der Paketfilter-Funktionen in Oracle Solaris IP Filter. Informationen zum Arbeiten mit Konfigurationsdateien finden Sie unter Erstellen und Bearbeiten von Konfigurationsdateien für Oracle Solaris IP Filter.

5. (Optional) Erstellen Sie eine Network Address Translation (NAT)-Konfigurationsdatei.

   ---

   Hinweis –

   Network Address Translation (NAT) unterstützt IPv6 nicht.

   ---

   Erstellen Sie eine Datei ipnat.conf, wenn Sie die Network Address Translation verwenden möchten. Wenn die NAT-Regeln beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ipnat.conf, in der Sie die NAT-Regeln anlegen. Sollen die NAT-Regeln nicht beim Booten geladen werden, speichern Sie die Datei ipnat.conf in einem beliebigen anderen Verzeichnis und aktivieren die NAT-Regeln dann manuell.

   Weitere Informationen zu NAT finden Sie unter Verwenden der NAT-Funktion in Oracle Solaris IP Filter.

6. (Optional) Erstellen Sie eine Adresspool-Konfigurationsdatei.

   Erstellen Sie eine Datei ipool.conf, wenn Sie eine Adressengruppe als einen Adresspool ansprechen möchten. Wenn die Adresspool-Konfigurationsdatei beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ippool.conf, in der Sie den Adresspool anlegen. Soll die Adresspool-Konfiguration nicht beim Booten geladen werden, speichern Sie die Datei ippool.conf in einem beliebigen anderen Verzeichnis und aktivieren die Regeln dann manuell.

   Ein Adresspool kann entweder nur IPv4-Adressen oder nur IPv6-Adressen enthalten. Er kann auch sowohl IPv4- als auch IPv6-Adressen enthalten.

   Weitere Informationen zu Adresspools finden Sie unter Verwenden der Adresspool-Funktion in Oracle Solaris IP Filter.

7. Aktivieren Sie Oracle Solaris IP Filter mithilfe einer der folgenden Methoden:

   • Aktivieren Sie IP Filter und starten Sie den Computer neu.

     # svcadm enable network/ipfilter # reboot

     ---

     Hinweis –

     Ein Neustart ist erforderlich, wenn Sie die Befehle ifconfig unplumb und ifconfig plumb nicht sicher auf den NICs verwenden können.

     ---

   • Aktivieren Sie die NICs mithilfe der Befehle ifconfig unplumb und ifconfig plumb. Dann aktivieren Sie IP Filter. Die inet6-Version der Schnittstelle muss geplumbt (aktiviert) werden, um eine IPv6-Paketfilterung zu implementieren.

     # ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inte6 unplumb # ifconfig hme0 inet6 plumb fec3:f849::1/96 up # svcadm enable network/ipfilter

     Weitere Informationen zum Befehl ifconfig finden Sie in der Manpage ifconfig(1M).

So aktivieren Sie eine NIC für die Paketfilterung

Oracle Solaris IP Filter wird beim Booten aktiviert, wenn die Datei /etc/ipf/ipf.conf (bzw. die Datei /etc/ipf/ipf6.conf, wenn IPv6 verwendet wird) vorhanden ist. Müssen Sie die Paketfilterung auf einer NIC aktivieren, nachdem Oracle Solaris IP Filter gestartet wurde, verwenden Sie das folgende Verfahren.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Starten Sie einen Dateieditor und nehmen Sie Änderungen an der Datei /etc/ipf/pfil.ap vor.

   Diese Datei enthält die Namen der NICs auf dem Host. Standardmäßig sind diese Namen auskommentiert. Löschen Sie das Kommentarzeichen für Geräte, die den zu filternden Netzwerkverkehr übertragen. Sollte der Name der NIC für Ihr System nicht aufgeführt sein, fügen Sie eine Zeile hinzu, in der diese NIC angegeben wird.

   # vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil

3. Aktivieren Sie Ihre Änderungen an der Datei /etc/ipf/pfil.ap, indem Sie die Serviceinstanz network/pfil neu starten.

   # svcadm restart network/pfil

4. Aktivieren Sie die NIC mithilfe einer der folgenden Methoden:

   • Starten Sie den Computer neu.

     # reboot

     ---

     Hinweis –

     Ein Neustart ist erforderlich, wenn Sie die Befehle ifconfig unplumb und ifconfig plumb nicht sicher auf den NICs verwenden können.

     ---

   • Aktivieren Sie die NICs, wenn Sie die Filterung mithilfe des Befehls ifconfig und den Optionen unplumb und plumb vornehmen möchten. Die inet6-Version der Schnittstelle muss geplumbt (aktiviert) werden, um eine IPv6-Paketfilterung zu implementieren.

     # ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up

     Weitere Informationen zum Befehl ifconfig finden Sie in der Manpage ifconfig(1M).

So deaktivieren Sie Oracle Solaris IP Filter auf einer NIC

Soll die Paketfilterung auf einer NIC gestoppt werden, verwenden Sie das folgende Verfahren.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Starten Sie einen Dateieditor und nehmen Sie Änderungen an der Datei /etc/ipf/pfil.ap vor.

   Diese Datei enthält die Namen der NICs auf dem Host. Die NICs, die zur Filterung des Netzwerkverkehrs verwendet wurden, sind nicht mit einem Kommentarzeichen versehen. Versehen Sie die Geräte, deren Netzwerkverkehr nicht mehr gefiltert werden soll, mit einem Kommentarzeichen.

   # vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil #hme -1 0 pfil (Commented-out device no longer filters network traffic) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil

3. Deaktivieren Sie die NIC mithilfe einer der folgenden Methoden:

   • Starten Sie den Computer neu.

     # reboot

     ---

     Hinweis –

     Ein Neustart ist erforderlich, wenn Sie die Befehle ifconfig unplumb und ifconfig plumb nicht sicher auf den NICs verwenden können.

     ---

   • Deaktivieren Sie die NICs mithilfe des Befehls ifconfig und den Optionen unplumb und plumb. Für die inet6-Version jeder Schnittstelle muss das Plumbing aufgehoben (deaktiviert) werden, um die IPv6-Paketfilterung zu deaktivieren. Führen Sie die folgenden Schritte aus. Das Beispielgerät im System ist hme:

     1. Geben Sie die Hauptnummer des zu deaktivierenden Geräts an.

        # grep hme /etc/name_to_major hme 7

     2. Zeigen Sie die aktuelle autopush-Konfiguration für hme0 an.

        # autopush -g -M 7 -m 0 Major Minor Lastminor Modules 7 ALL - pfil

     3. Entfernen Sie die autopush-Konfiguration.

        # autopush -r -M 7 -m 0

     4. Öffnen Sie das Gerät und weisen Sie dem Gerät IP-Adressen zu.

        # ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up

        Weitere Informationen zum Befehl ifconfig finden Sie in der Manpage ifconfig(1M).

So zeigen Sie die pfil-Statistiken für Oracle Solaris IP Filter an

Zur Fehlerbehebung bei Oracle Solaris IP Filter können Sie die pfil-Statistiken anzeigen.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Anzeigen der pfil-Statistiken.

   # ndd -get /dev/pfil qif_status

Beispiel 26–1 Anzeigen der pfil-Statistiken für Oracle Solaris IP Filter

Im folgenden Beispiel wird gezeigt, wie Sie die pfil-Statistiken anzeigen.

# ndd -get /dev/pfil qif_status
ifname ill q OTHERQ num sap hl nr nw bad copy copyfail drop notip nodata
   notdata
QIF6 0 300011247b8 300011248b0 6 806 0 4 9 0 0 0 0 0 0 0
dmfe1 3000200a018 30002162a50 30002162b48 5 800 14 171 13681 0 0 0 0 0 0 0