test

Systemverwaltungshandbuch: IP Services

Arbeiten mit Oracle Solaris IP Filter-Regellisten

In der folgenden Tabelle sind die Verfahren zum Arbeiten mit den Oracle Solaris IP Filter-Regellisten aufgeführt.

Tabelle 26–4 Arbeiten mit den Oracle Solaris IP Filter-Regellisten (Übersicht der Schritte)

Aufgabe 

Beschreibung 

Siehe 

Verwalten, Anzeigen und Ändern von Regellisten zur Oracle Solaris IP Filter-Paketfilterung. 

 

Verwalten der Paketfilter-Regellisten für Oracle Solaris IP Filter

 

Zeigen Sie eine aktive Paketfilter-Regelliste an. 

So zeigen Sie die aktive Paketfilter-Regelliste an

 

Zeigen Sie eine inaktive Paketfilter-Regelliste an. 

So zeigen Sie die inaktive Paketfilter-Regelliste an

 

Aktivieren Sie eine andere aktive Regelliste. 

So aktivieren Sie eine andere oder aktualisierte Paketfilter-Regelliste

 

Entfernen Sie eine Regelliste. 

So entfernen Sie eine Paketfilter-Regelliste

 

Fügen Sie zusätzliche Regeln zu Regellisten hinzu. 

So fügen Sie der aktiven Paketfilter-Regelliste Regeln hinzu

So fügen Sie der inaktiven Paketfilter-Regelliste Regeln hinzu

 

Wechseln Sie zwischen aktiven und inaktiven Regellisten. 

So wechseln Sie zwischen der aktiven und der inaktiven Paketfilter-Regelliste

 

Löschen Sie eine inaktive Regelliste aus dem Kernel. 

So entfernen Sie eine inaktive Paketfilter-Regelliste aus dem Kernel

Verwalten, Anzeigen und Ändern von Oracle Solaris IP Filter-NAT-Regeln. 

 

Verwalten der NAT-Regeln für Oracle Solaris IP Filter

 

Zeigen Sie aktive NAT-Regeln an. 

So zeigen Sie die aktiven NAT-Regeln an

 

Entfernen Sie NAT-Regeln. 

So entfernen Sie NAT-Regeln

 

Fügen Sie zusätzliche Regeln zu NAT-Regeln hinzu. 

So hängen Sie Regeln an die NAT-Regelliste an

Verwalten, Anzeigen und Ändern von Oracle Solaris IP Filter-Adresspools. 

 

Verwalten der Adresspools für Oracle Solaris IP Filter

 

Zeigen Sie aktive Adresspools an. 

So zeigen Sie die aktiven Adresspools an

 

Entfernen Sie einen Adresspool. 

So entfernen Sie einen Adresspool

 

Fügen Sie zusätzliche Regeln zu einem Adresspool hinzu. 

So hängen Sie Regeln an einen Adresspool an

Verwalten der Paketfilter-Regellisten für Oracle Solaris IP Filter

Wenn Solaris IP Filter aktiviert ist, können sowohl aktive als auch inaktive Paketfilter-Regellisten im Kernel gespeichert sein. Die aktive Regelliste legt fest, welche Filterung an eingehenden und abgehenden Paketen durchgeführt wird. Auch in der inaktiven Regelliste sind Regeln gespeichert. Diese Regeln werden jedoch nicht verwendet, bis Sie die inaktive Regelliste zur aktiven Regelliste machen. Sie können sowohl die aktive als auch die inaktive Paketfilter-Regelliste verwalten, anzeigen und ändern.

ProcedureSo zeigen Sie die aktive Paketfilter-Regelliste an

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Zeigen Sie die aktive Paketfilter-Regelliste an, die in den Kernel geladen wurde.


    # ipfstat -io
Beispiel 26–2 Anzeigen der aktiven Paketfilter-Regelliste

Iem folgenden Beispiel wird die Ausgabe der aktiven, in den Kernel geladenen Paketfilter-Regelliste gezeigt.


# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe1 from 192.168.1.0/24 to any
pass in all
block in on dmfe1 from 192.168.1.10/32 to any

ProcedureSo zeigen Sie die inaktive Paketfilter-Regelliste an

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Zeigen Sie die inaktive Paketfilter-Regelliste an.


    # ipfstat -I -io
Beispiel 26–3 Anzeigen der inaktiven Paketfilter-Regelliste

Im folgenden Beispiel wird die Ausgabe der inaktiven Paketfilter-Regelliste gezeigt.


# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all

ProcedureSo aktivieren Sie eine andere oder aktualisierte Paketfilter-Regelliste

Verwenden Sie das folgende Verfahren, wenn Sie eine der folgenden Aufgaben durchführen möchten:

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Führen Sie einen der folgenden Schritte aus:

    • Erstellen Sie eine neue Regelliste in einer separaten Datei Ihrer Wahl, wenn Sie eine vollständig andere Regelliste aktivieren möchten.

    • Aktualisieren Sie die aktuelle Regelliste, indem Sie die Konfigurationsdatei bearbeiten, in der die Regelliste enthalten ist.

  3. Entfernen Sie die aktuelle Regelliste und laden Sie eine neue.


    # ipf -Fa -f filename

    Der Dateiname kann entweder der Name einer neuen Datei mit der neuen Regelliste oder der Name einer aktualisierten Datei sein, die die aktive Regelliste enthält.

    Die aktive Regelliste wird aus dem Kernel entfernt. Die Regeln in der Datei Dateiname werden zur aktiven Regelliste.

    Hinweis –

    Sie müssen diesen Befehl auch dann eingeben, wenn Sie die aktuelle Konfigurationsdatei neu laden. Andernfalls bleibt die alte Regelliste aktiviert, und die geänderte Regelliste in der aktualisierten Konfigurationsdatei wird nicht übernommen.

    Verwenden Sie keine Befehle wie ipf -D oder svcadm restart, um die aktualisierte Regelliste zu laden. Diese Befehle legen Ihr Netzwerk offen, da sie die Firewall vor dem Laden der neuen Regelliste deaktivieren.

Beispiel 26–4 Aktivieren einer anderen Paketfilter-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie eine Paketfilter-Regelliste durch eine andere Liste in einer separaten Konfigurationsdatei (/etc/ipf/ipf.conf) ersetzen.


# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe all
# ipf -Fa -f /etc/ipf/ipf.conf
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
Beispiel 26–5 Neuladen einer aktualisierten Paketfilter-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie eine derzeit aktive und aktualisierte Paketfilter-Regelliste neu laden. Die in diesem Beispiel verwendete Datei heißt /etc/ipf/ipf.conf.


# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any

(Edit the /etc/ipf/ipf.conf configuration file.)

# ip -Fa -f /etc/ipf/ipf.conf
# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any
block in quick on elx10 from 192.168.0.0/12 to any

ProcedureSo entfernen Sie eine Paketfilter-Regelliste

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Entfernen Sie die Regelliste.


    # ipf -F [a|i|o]
    -a

    Entfernt alle Filterregeln aus der Regelliste.

    -i

    Entfernt alle Filterregeln für eingehende Pakete.

    -o

    Entfernt alle Filterregeln für abgehende Pakete.

Beispiel 26–6 Entfernen einer Paketfilter-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie alle Filterregeln aus der aktiven Paketfilter-Regelliste entfernen.


# ipfstat -io
block out log on dmf0 all
block in log quick from 10.0.0.0/8 to any
# ipf -Fa
# ipfstat -io
empty list for ipfilter(out)
empty list for ipfilter(in)

ProcedureSo fügen Sie der aktiven Paketfilter-Regelliste Regeln hinzu

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Wählen Sie eine der folgenden Methoden, um der aktiven Regelliste Regeln hinzuzufügen:

    • Fügen Sie die Regeln über eine Befehlszeile mithilfe des Befehls ipf -f - zur Regelliste hinzu.


      # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -

    • Führen Sie einen der folgenden Befehle aus:

      1. Erstellen Sie eine Regelliste in einer Datei Ihrer Wahl.

      2. Fügen Sie die von Ihnen erstellten Regeln zur aktiven Regelliste hinzu.


        # ipf -f filename

        Die Regeln in der Datei Dateiname werden am Ende der aktiven Regelliste eingefügt. Da Solaris IP Filter den „last matching rule“-Algorithmus verwendet, legen die hinzugefügten Regeln die Filterprioritäten fest, es sei denn, sie verwenden das Schlüsselwort quick. Wenn ein Paket einer Regel entspricht, die das Schlüsselwort quick enthält, wird die Aktion für diese Regel ausgeführt und alle weiteren Regeln werden ignoriert.

Beispiel 26–7 Anhängen von Regeln an die aktive Paketfilter-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie eine Regel über die Befehlszeile an die aktive Paketfilter-Regelliste anhängen.


# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any

ProcedureSo fügen Sie der inaktiven Paketfilter-Regelliste Regeln hinzu

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Erstellen Sie eine Regelliste in einer Datei Ihrer Wahl.

  3. Fügen Sie die von Ihnen erstellten Regeln zur inaktiven Regelliste hinzu.


    # ipf -I -f filename

    Die Regeln in der Datei Dateiname werden am Ende der inaktiven Regelliste eingefügt. Da Solaris IP Filter den „last matching rule“-Algorithmus verwendet, legen die hinzugefügten Regeln die Filterprioritäten fest, es sei denn, sie verwenden das Schlüsselwort quick. Wenn ein Paket einer Regel entspricht, die das Schlüsselwort quick enthält, wird die Aktion für diese Regel ausgeführt und alle weiteren Regeln werden ignoriert.

Beispiel 26–8 Anhängen von Regeln an die interaktive Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie eine Regel aus einer Datei zur inaktiven Paketfilter-Regelliste hinzufügen.


# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all
# ipf -I -f /etc/ipf/ipf.conf
# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all
block in log quick from 10.0.0.0/8 to any

ProcedureSo wechseln Sie zwischen der aktiven und der inaktiven Paketfilter-Regelliste

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Wechseln Sie von der aktiven zur inaktiven Paketfilter-Regelliste.


    # ipf -s

    Mit diesem Befehl können Sie zwischen der aktiven und der inaktiven Paketfilter-Regelliste im Kernel wechseln. Falls die inaktive Regelliste leer ist, findet keine Paketfilterung statt.

Beispiel 26–9 Wechseln zwischen der aktiven und der inaktiven Paketfilter-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie mit dem Befehl ipf -s die inaktive Regelliste zur aktiven Regelliste machen und die aktive Regelliste zur inaktiven.

ProcedureSo entfernen Sie eine inaktive Paketfilter-Regelliste aus dem Kernel

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Geben Sie die inaktive Regelliste im Befehl „flush all“ an.


    # ipf -I -Fa

    Mit diesem Befehl entfernen Sie die inaktive Paketfilter-Regelliste aus dem Kernel.

    Hinweis –

    Wenn Sie anschließend den Befehl ipf -s ausführen, wird die leere inaktive Regelliste zur aktiven Regelliste. Eine leere aktive Regelliste bedeutet, dass keine Filterung durchgeführt wird.

Beispiel 26–10 Löschen einer inaktiven Paketfilter-Regelliste aus dem Kernel

Im folgenden Beispiel wird gezeigt, wie Sie die in aktive Paketfilter-Regelliste entfernen, so dass keine Regeln angewendet werden.


# ipfstat -I -io
empty list for inactive ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any
# ipf -I -Fa
# ipfstat -I -io
empty list for inactive ipfilter(out)
empty list for inactive ipfilter(in)

Verwalten der NAT-Regeln für Oracle Solaris IP Filter

Zum Verwalten, Anzeigen und Ändern der NAT-Regeln verwenden Sie die folgenden Verfahren.

ProcedureSo zeigen Sie die aktiven NAT-Regeln an

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Zeigen Sie die aktiven NAT-Regeln an.


    # ipnat -l
Beispiel 26–11 Anzeigen der aktiven NAT-Regeln

Im folgenden Beispiel wird die Ausgabe der aktiven NAT-Regelliste gezeigt.


# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:

ProcedureSo entfernen Sie NAT-Regeln

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Entfernen Sie die aktuellen NAT-Regeln.


    # ipnat -C
Beispiel 26–12 Entfernen der NAT-Regeln

Im folgenden Beispiel wird gezeigt, wie Sie die Einträge aus der aktuellen NAT-Regelliste entfernen.


# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:
# ipnat -C
1 entries flushed from NAT list
# ipnat -l
List of active MAP/Redirect filters:

List of active sessions:

ProcedureSo hängen Sie Regeln an die NAT-Regelliste an

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Wählen Sie eine der folgenden Methoden, um der aktiven Regelliste Regeln hinzuzufügen:

    • Fügen Sie die Regeln über eine Befehlszeile mithilfe des Befehls ipnat -f - zur NAT-Regelliste hinzu.


      # echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -

    • Führen Sie einen der folgenden Befehle aus:

      1. Erstellen Sie eine NAT-Regelliste in einer Datei Ihrer Wahl.

      2. Fügen Sie die von Ihnen erstellten Regeln zur aktiven NAT-Regelliste hinzu.


        # ipnat -f filename

        Die Regeln in der Datei Dateiname werden am Ende der NAT-Regelliste eingefügt.

Beispiel 26–13 Anhängen von Regeln an die NAT-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie eine Regel über die Befehlszeile an die aktive NAT-Regelliste anhängen.


# ipnat -l
List of active MAP/Redirect filters:

List of active sessions:
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:

Verwalten der Adresspools für Oracle Solaris IP Filter

Zum Verwalten, Anzeigen und Ändern der Adresspools verwenden Sie die folgenden Verfahren.

ProcedureSo zeigen Sie die aktiven Adresspools an

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Zeigen Sie den aktiven Adresspool an.


    # ippool -l
Beispiel 26–14 Anzeigen des aktiven Adresspools

Im folgenden Beispiel wird gezeigt, wie Sie den Inhalt des aktiven Adresspools anzeigen.


# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };

ProcedureSo entfernen Sie einen Adresspool

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Entfernen Sie die Einträge aus dem aktuellen Adresspool.


    # ippool -F
Beispiel 26–15 Entfernen eines Adresspools

Im folgenden Beispiel wird gezeigt, wie Sie einen Adresspool entfernen.


# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# ippool -F
1 object flushed
# ippool -l

ProcedureSo hängen Sie Regeln an einen Adresspool an

  1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

    Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Wählen Sie eine der folgenden Methoden, um der aktiven Regelliste Regeln hinzuzufügen:

    • Fügen Sie die Regeln über eine Befehlszeile mithilfe des Befehls ippool -f - zur Regelliste hinzu.


      # echo "table role = ipf type = tree number = 13 
{10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -

    • Führen Sie einen der folgenden Befehle aus:

      1. Erstellen Sie einen zusätzlichen Adresspool in einer Datei Ihrer Wahl.

      2. Fügen Sie die von Ihnen erstellten Regeln zum aktiven Adresspool hinzu.


        # ippool -f filename

        Die Regeln in der Datei Dateiname werden am Ende des aktiven Adresspools eingefügt.

Beispiel 26–16 Anhängen von Regeln an einen Adresspool

Im folgenden Beispiel wird gezeigt, wie Sie einen Adresspool über die Befehlszeile zur aktuellen Adresspool-Regelliste hinzufügen.


# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# echo "table role = ipf type = tree number = 100
 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f -
# ippool -l
table role = ipf type = tree number = 100
        { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; };
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };