test

Systemverwaltungshandbuch: IP Services

ProcedureSo aktivieren Sie eine NIC für die Paketfilterung

Oracle Solaris IP Filter wird beim Booten aktiviert, wenn die Datei /etc/ipf/ipf.conf (bzw. die Datei /etc/ipf/ipf6.conf, wenn IPv6 verwendet wird) vorhanden ist. Müssen Sie die Paketfilterung auf einer NIC aktivieren, nachdem Oracle Solaris IP Filter gestartet wurde, verwenden Sie das folgende Verfahren.

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Starten Sie einen Dateieditor und nehmen Sie Änderungen an der Datei /etc/ipf/pfil.ap vor.

    Diese Datei enthält die Namen der NICs auf dem Host. Standardmäßig sind diese Namen auskommentiert. Löschen Sie das Kommentarzeichen für Geräte, die den zu filternden Netzwerkverkehr übertragen. Sollte der Name der NIC für Ihr System nicht aufgeführt sein, fügen Sie eine Zeile hinzu, in der diese NIC angegeben wird.


    # vi /etc/ipf/pfil.ap
# IP Filter pfil autopush setup
#
# See autopush(1M) manpage for more information.
#
# Format of the entries in this file is:
#
#major  minor lastminor modules

#le     -1      0       pfil
#qe     -1      0       pfil
hme     -1      0       pfil (Device has been uncommented for filtering)
#qfe    -1      0       pfil
#eri    -1      0       pfil
#ce     -1      0       pfil
#bge    -1      0       pfil
#be     -1      0       pfil
#vge    -1      0       pfil
#ge     -1      0       pfil
#nf     -1      0       pfil
#fa     -1      0       pfil
#ci     -1      0       pfil
#el     -1      0       pfil
#ipdptp -1      0       pfil
#lane   -1      0       pfil
#dmfe   -1      0       pfil

  3. Aktivieren Sie Ihre Änderungen an der Datei /etc/ipf/pfil.ap, indem Sie die Serviceinstanz network/pfil neu starten.


    # svcadm restart network/pfil

  4. Aktivieren Sie die NIC mithilfe einer der folgenden Methoden:

    • Starten Sie den Computer neu.


      # reboot
      Hinweis –

      Ein Neustart ist erforderlich, wenn Sie die Befehle ifconfig unplumb und ifconfig plumb nicht sicher auf den NICs verwenden können.

    • Aktivieren Sie die NICs, wenn Sie die Filterung mithilfe des Befehls ifconfig und den Optionen unplumb und plumb vornehmen möchten. Die inet6-Version der Schnittstelle muss geplumbt (aktiviert) werden, um eine IPv6-Paketfilterung zu implementieren.


      # ifconfig hme0 unplumb
# ifconfig hme0 plumb 192.168.1.20  netmask 255.255.255.0  up
# ifconfig hme0 inet6 unplumb
# ifconfig hme0 inet6 plumb fec3:f840::1/96 up

      Weitere Informationen zum Befehl ifconfig finden Sie in der Manpage ifconfig(1M).