Dieses Kapitel enthält eine Einführung in Oracle Solaris IP Filter. Aufgaben zu Oracle Solaris IP Filter finden Sie in Kapitel 26Oracle Solaris IP Filter (Aufgaben).
Dieses Kapitel enthält die folgenden Informationen:
In diesem Abschnitt werden die neuen Funktionen von Oracle Solaris IP Filter beschrieben.
Eine vollständige Liste der neuen Funktionen in sowie eine Beschreibung der Solaris-Releases finden Sie im Handbuch Neuerungen in Oracle Solaris 9 10/10
Version Solaris 10 7/07: Für die Paketfilterung in Oracle Solaris werden jetzt Paket Filter-Hooks eingesetzt. Diese Funktion bietet Systemadministratoren die folgenden Vorteile:
Paket Filter-Hooks vereinfachen die Konfiguration von Oracle Solaris IP Filter.
Die zonenübergreifende Filterung von Paketen wird unterstützt.
Das Verwenden von Filter-Hooks verbessert die Leistung von Oracle Solaris IP Filter.
Weitere Informationen zu diesen Hooks finden Sie unter Paket Filter-Hooks. Aufgaben im Zusammenhang mit Paket Filter-Hooks finden Sie in Kapitel 26Oracle Solaris IP Filter (Aufgaben).
Solaris 10 6/06: Für Administratoren, die einen Teil oder ihre gesamte Netzwerkinfrastruktur mit IPv6 konfigurieren, wurde Oracle Solaris IP Filter aufgewertet. IP Filter unterstützt jetzt auch die IPv6-Paketfilterung. Die IPv6-Paketfilterung kann basierend auf der Quell- oder Ziel-IPv6-Adresse, auf IPv6-Adresspools sowie auf IPv6-Extension-Header erfolgen.
Die Befehle ipf und ipfstat wurden um die Option -6 erweitert, so dass sie mit IPv6 verwendet werden können. Obwohl keine Änderungen an der Befehlszeilenschnittstelle für die Befehle ipmon und ippool vorgenommen wurden, unterstützen auch diese Befehle IPv6. Der Befehl ipmon wurde aufgewertet, so dass eine Protokollierung von IPv6-Paketen möglich ist, und der Befehl ippool unterstützt die Aufnahme von IPv6-Adressen in Pools.
Weitere Informationen zu IPv6 finden Sie unter ?IPv6 für Oracle Solaris IP Filter“. Aufgaben im Zusammenhang mit der IPv6-Paketfilterung finden Sie in Kapitel 26Oracle Solaris IP Filter (Aufgaben).
Oracle Solaris IP Filter ersetzt die SunScreen-Firewall als Firewall-Software für Oracle Solaris. Im Gegensatz zur SunScreen-Firewall bietet Oracle Solaris IP Filter die statusbehaftete Paketfilterung und Network Address Translation (NAT). Darüber hinaus bietet Oracle Solaris IP Filter eine statusfreie Paketfilterung sowie die Möglichkeit, Adresspools zu erstellen und zu verwalten.
Die Paketfilterung bietet allgemeinen Schutz gegen netzwerkbasierte Angriffe. Oracle Solaris IP Filter kann nach IP-Adresse, Port, Protokoll, Netzwerkschnittstelle und Netzverkehrsrichtung filtern. Darüber hinaus kann Oracle Solaris IP Filter nach einer bestimmten IP-Quelladresse, einer IP-Zieladresse, nach einem Bereich von IP-Adressen oder nach Adresspools filtern.
Oracle Solaris IP Filter ist von der Open Source IP Filter-Software abgeleitet. Der Standardpfad zu Anzeige der Lizenzbedingungen, Attribution und den Hinweisen zum Copyright für Open Source IP Filter lautet /usr/lib/ipf/IPFILTER.LICENCE. Falls Oracle Solaris nicht unter dem Standardpfad installiert wurde, ändern Sie den angegebenen Pfad so, dass Sie auf die Datei im Installationsverzeichnis zugreifen können.
Die Homepage für die Open Source-Software IP Filter von Darren Reed befindet sich unter http://coombs.anu.edu.au/~avalon/ip-filter.html. Diese Site enthält Informationen zu Open Source IP Filter, einschließlich einem Link zu einem Lernprogramm mit der Bezeichnung „IP Filter Based Firewalls HOWTO“ (Brendan Conoboy and Erik Fichtner, 2002). Dieses Lernprogramm enthält schrittweise Anleitungen zum Erstellen von Firewalls in einer BSD UNIX-Umgebung. Obwohl es für eine BSD UNIX-Umgebung geschrieben wurde, gilt das Lernprogramm auch für die Konfiguration von Oracle Solaris IP Filter.
Oracle Solaris IP Filter führt bei der Verarbeitung eines Pakets eine bestimmte Abfolge von Schritten aus. Das folgende Diagramm zeigt die Schritte bei der Paketverarbeitung und die Integration der Filterung in den TCP/IP-Protokollstapel.
Die Reihenfolge bei der Paketverarbeitung umfasst:
Network Address Translation (NAT)
Die Übersetzung einer privaten IP-Adresse in eine andere öffentliche Adresse oder das Aliasing mehrerer privater Adressen mit einer einzigen öffentlichen Adresse. Mit NAT kann ein Unternehmen das Problem mit dem Mangel an IP-Adressen lösen, wenn es vorhandene Netzwerke besitzt und auf das Internet zugreifen muss.
IP-Accounting
Eingangs- und Ausgangsregeln können getrennt aufgestellt werden und die Anzahl der passierenden Byte aufzeichnen. Jedes Mal, wenn eine Regelübereinstimmung auftritt, werden die Anzahl der Byte im Paket zur Regel hinzugefügt. Auf diese Weise ist das Erstellen von kaskadierenden Statistiken möglich.
Fragment Cache-Prüfung
Wenn das nächste Paket des aktuellen Datenverkehrs ein Fragment ist und das vorherige Paket zugelassen wurde, wird auch das Paketfragment zugelassen. Dabei werden die Statustabelle und die Regelüberprüfung übergangen.
Paket-Statusprüfung
Wenn keep state (Status beibehalten) in einer Regel enthalten ist, werden alle Pakete in einer bestimmten Sitzung automatisch entweder zugelassen oder blockiert, je nachdem, ob die Regel pass oder block angibt.
Firewall-Prüfung
Eingangs- und Ausgangsregeln können getrennt aufgestellt werden und legen fest, ob ein Paket über Solaris IP Filter an die TCP/IP-Routinen oder weiter in das Netzwerk passieren darf.
Gruppen
Mit Gruppen können Sie Ihre eigene Regelliste in einer Baumstruktur erstellen.
Funktion
Eine Funktion ist eine durchzuführende Maßnahme. Mögliche Funktionen sind block, pass, literal und send ICMP response.
Fast-route
Fast-route teilt Solaris IP Filter mit, die Pakete nicht in den UNIX IP-Stapel zum Routing passieren zu lassen, was zu einer TTL-Verminderung führt.
IP-Authentifizierung
Bereits authentifizierte Pakete dürfen Firewall-Schleifen nur einmal passieren, um eine doppelte Verarbeitung zu verhindern.
OpenSolaris IP Filter wird von den SMF-Services verwaltet: svc:/network/pfil und svc:/network/ipfilter. Eine vollständige Übersicht zur SMF finden Sie in Kapitel 18, Managing Services (Overview) in System Administration Guide: Basic Administration. Informationen zu den schrittweisen Verfahren, die der SMF zugeordnet sind, finden Sie in Kapitel 19, Managing Services (Tasks) in System Administration Guide: Basic Administration.
Bei OpenSolaris IP Filter müssen die Konfigurationsdateien direkt bearbeitet werden.
OpenSolaris IP Filter wird als Teil von Solaris installiert. Standardmäßig wird OpenSolaris IP Filter nach einer Neuinstallation nicht aktiviert. Um die Filterung zu aktivieren, müssen Sie die Konfigurationsdateien bearbeiten und OpenSolaris IP Filter manuell aktivieren. Aktivieren Sie dann die Filterung, indem Sie entweder das System neu booten oder indem Sie die Schnittstellen mit dem Befehl ifconfig plumben (aktivieren). Weitere Informationen finden Sie in der Manpage ifconfig(1M) Aufgaben im Zusammenhang mit der Aktivierung von OpenSolaris IP Filter finden Sie unter Konfiguration von Oracle Solaris IP Filter.
Zur Verwaltung von OpenSolaris IP Filter müssen Sie eine Rolle annehmen, die das IP Filter Management-Rechteprofil umfasst, oder sich als Superuser anmelden. Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
IP Network Multipathing (IPMP) unterstützt nur die statusfreie Filterung.
Sun Cluster-Konfigurationen unterstützen die Filterung mit OpenSolaris IP Filter nicht.
Eine Filterung zwischen Zonen wird derzeit von OpenSolaris IP Filter nicht unterstützt.
Oracle Solaris IP Filter kann entweder Firewall-Services oder Network Address Translation (NAT) bereitstellen. Oracle Solaris IP Filter kann mithilfe von ladefähigen Konfigurationsdateien implementiert werden. Oracle Solaris IP Filter enthält ein Verzeichnis namens /etc/ipf. Im Verzeichnis /etc/ipf können Sie die Konfigurationsdateien ipf.conf, ipnat.conf und ippool.conf erstellen und speichern. Diese Dateien werden während des Bootens automatisch geladen, wenn sie sich im Verzeichnis /etc/ipf befinden. Sie können die Konfigurationsdateien auch in einem anderen Verzeichnis speichern und dann manuell laden. Beispiele für die Konfigurationsdateien finden Sie unter Erstellen und Bearbeiten von Konfigurationsdateien für Oracle Solaris IP Filter.
Bei der Verwaltung Ihrer Firewall verwenden Sie Oracle Solaris IP Filter, um Regellisten anzugeben, mit denen Ihr Netzwerkverkehr gefiltert wird. Sie können die folgenden Regellistentypen erstellen:
Paketfilter-Regellisten
Regellisten für Network Address Translation (NAT)
Darüber hinaus können Sie Adresspools erstellen, um auf IP-Adressgruppen zu verweisen. Diese Pools können Sie dann später in einer Regelliste verwenden. Die Adresspools helfen Ihnen dabei, die Regelverarbeitung zu beschleunigen. Mit Adresspools lassen sich auch große Adressengruppen einfacher verwalten.
Eine Paketfilterung wird mithilfe der Paketfilter-Regellisten eingerichtet. Zum Arbeiten mit Paketfilter-Regellisten verwenden Sie den Befehl ipf. Informationen zum Befehl ipf finden Sie in der Manpage ipf(1M).
Sie erstellen die Paketfilterregeln entweder mithilfe des Befehls ipf in einer Befehlszeile oder in einer Paketfilterung-Konfigurationsdatei. Wenn Sie die Paketfilterregeln beim Booten laden möchten, erstellen Sie eine Konfigurationsdatei namens /etc/ipf/ipf.conf und legen die Regeln in dieser Datei an. Sollen die Paketfilterregeln nicht beim Booten geladen werden, speichern Sie die Datei ipf.conf in einen beliebigen Verzeichnis und aktivieren die Paketfilterung mithilfe des Befehls ipf manuell.
Mit Oracle Solaris IP Filter können Sie zwei Paketfilter-Regellisten verwalten: die aktive Regelliste und die inaktive Regelliste. In den meisten Fällen arbeiten Sie mit der aktiven Regelliste. Über den Befehl ipf -I können Sie die Befehlsaktion auch an der inaktiven Regelliste anwenden. Die inaktive Regelliste wird erst dann von Oracle Solaris IP Filter verwendet, wenn Sie sie auswählen. In der inaktiven Regelliste können Sie Regeln speichern, ohne dass sie sich auf die aktive Paketfilterung auswirken.
Oracle Solaris IP Filter arbeitet die Regeln in der Regelliste nacheinander vom dem Anfang der Liste bis zum Ende der Liste ab. Erst dann wird ein Paket durchgelassen oder blockiert. Oracle Solaris IP Filter setzt ein Flag, mit dem festgelegt wird, ob ein Paket durchgelassen wird oder nicht. Es durchläuft die gesamte Regelliste und legt fest, ob das Paket basierend auf der letzten übereinstimmenden Regel durchgelassen oder blockiert wird.
Für diesen Prozess gibt es zwei Ausnahmen. Die erste Ausnahme ist, wenn das Paket einer Regel entspricht, die das Schlüsselwort quick enthält. Wenn eine Regel das Schlüsselwort quick enthält, wird die Aktion für diese Regel ausgeführt und keine weiteren Regeln geprüft. Die zweite Ausnahme ist, wenn ein Paket einer Regel entspricht, die das Schlüsselwort group enthält. Wenn ein Paket einer Gruppe entspricht, werden nur die Regeln geprüft, die dieser Gruppe zugeordnet sind.
Zum Erstellen der Paketfilterregeln verwenden Sie die folgende Syntax:
Aktion [in|out] Option Schlüsselwort, Schlüsselwort...
Jede Regel beginnt mit einer Aktion. Oracle Solaris IP Filter wendet die Aktion an dem Paket an, wenn das Paket der Regel entspricht. Die folgende Liste enthält die Aktionen, die am häufigsten an einem Paket angewendet werden.
Verhindert, dass ein Paket den Filter passiert.
Gestattet einem Paket, den Filter zu passieren.
Protokolliert das Paket, legt aber nicht fest, ob das Paket blockiert wird oder passieren darf. Zum Anzeigen des Protokolls verwenden Sie den Befehl ipmon.
Nimmt das Paket in die Filterstatistiken auf. Zum Anzeigen der Statistiken verwenden Sie den Befehl ipfstat.
Sorgt dafür, dass der Filter die nächsten Zahl Filterregeln überspringt.
Fordert, dass die Paketauthentifizierung von einem Benutzerprogramm durchgeführt wird, dass die Paketinformationen überprüft. Das Programm legt fest, ob das Paket passieren darf oder blockiert wird.
Fordert, dass der Filter eine vorab authentifizierte Liste prüft, um festzustellen, was mit einem Paket erfolgen soll.
Nach dieser Aktion muss das nächste Wort entweder in oder out lauten. Ihre Auswahl legt fest, ob die Paketfilterregel an einem eingehenden Paket oder einem abgehenden Paket angewendet wird.
Als Nächstes können Sie in einer Optionsliste auswählen. Wenn Sie mehrere Optionen verwenden, müssen sie in der hier gezeigten Reihenfolge vorliegen.
Protokolliert das Paket, wenn die Regel die letzte übereinstimmende Regel ist. Zum Anzeigen des Protokolls verwenden Sie den Befehl ipmon.
Führt die Regel aus, in der die Option quick enthalten ist, wenn eine Paketübereinstimmung aufgetreten ist. Anschließend werden keine weiteren Regeln geprüft.
Wendet die Regel nur dann an, wenn das Paket über die angegebene Schnittstelle ein- oder abgeht.
Kopiert das Paket und sendet das Duplikat über Schnittstellenname an eine optional angegebene IP-Adresse.
Verschiebt das Paket über eine abgehende Warteschlange an Schnittstellenname.
Nach Angabe der Optionen können Sie unter zahlreichen Schlüsselwörtern wählen, mit denen festgestellt wird, ob das Paket der Regel entspricht. Die folgenden Schlüsselwörter müssen in der hier aufgeführten Reihenfolge verwendet werden.
Standardmäßig darf ein Paket, das keiner Regel in der Konfigurationsdatei entspricht, über den Filter passieren.
Filtert das Paket basierend auf dem Servicetyp-Wert, der entweder als hexadezimale oder als dezimale ganze Zahl ausgedrückt ist.
Vergleicht die Pakete basierend auf dem Lebensdauerwert. Der in einem Paket gespeicherte Lebensdauerwert gibt an, wie lange sich ein Paket im Netzwerk aufhalten kann, bevor es gelöscht wird.
Entspricht einem bestimmten Protokoll. Sie können einen der Protokollnamen in der Datei /etc/protocols oder eine Dezimalzahl verwenden, mit der das Protokoll angegeben wird. Mithilfe des Schlüsselworts tcp/udp kann z. B. geprüft werden, ob es sich um ein TCP- oder um ein UDP-Paket handelt.
Vergleicht eine oder alle der folgenden Angaben: IP-Quelladresse, IP-Zieladresse und Portnummer. Mit dem Schlüsselwort all werden alle Pakete von allen Quellen und an alle Ziele akzeptiert.
Vergleicht bestimmte Attribute, die dem Paket zugeordnet sind. Fügen Sie entweder das Wort not oder das Wort no vor dem Schlüsselwort ein, damit ein Paket nur dann der Regel entspricht, wenn die Option nicht vorhanden ist.
Wird bei TCP verwendet, um basierend auf gesetzten TCP-Flags zu filtern. Weitere Informationen zu den TCP-Flags finden Sie in der Manpage ipf(4).
Filtert nach dem ICMP-Typ. Dieses Schlüsselwort wird nur dann verwendet, wenn die Option proto auf icmp gesetzt ist und nicht verwendet wird, wenn die Option flags aktiviert ist.
Legt die Informationen fest, die bei einem Paket beibehalten werden. Zu den verfügbaren keep-Optionen zählen die Optionen state und frags. Die Option state behält Informationen zur Sitzung bei und kann bei TCP-, UDP- und ICMP-Paketen angewendet werden. Die Option frags behält Informationen zu Paketfragmenten bei und wendet diese Informationen an späteren Fragmenten an. Mit den keep-Optionen können entsprechende Pakete durchgelassen werden, ohne dass sie die Zugriffskontrolllisten durchlaufen müssen.
Erstellt eine neue Gruppe mit Filterregeln, die durch die Zahl Zahl gekennzeichnet ist.
Fügt die Regel zur Gruppennummer Zahl anstatt zur Standardgruppe hinzu. Wenn keine andere Gruppe angegeben wurde, werden alle Filterregeln werden in die Gruppe 0 eingefügt.
Das folgende Beispiel zeigt, wie die Syntax einer Paketfilterregel beim Erstellen einer Regel auszusehen hat. Zum Blockieren von eingehenden Verkehr von der IP-Adresse 192.168.0.0/16 nehmen Sie die folgende Regel in die Regelliste auf:
block in quick from 192.168.0.0/16 to any |
Informationen zur vollständigen Grammatik und Syntax beim Schreiben von Paketfilterregeln finden Sie in der Manpage ipf(4) Aufgaben im Zusammenhang mit der Paketfilterung finden Sie unter Verwalten der Paketfilter-Regellisten für Oracle Solaris IP Filter. Eine Erklärung des im Beispiel verwendeten IP-Adressenschemas (192.168.0.0/16) finden Sie in Kapitel 2Planen Ihres TCP/IP-Netzwerks (Vorgehen).
NAT stellt Zuordnungsregeln auf, die IP-Quell- und IP-Ziel-Adressen in andere Internet- oder Intranet-Adressen übersetzen. Diese Regeln ändern die Quell- und Zieladressen eingehender oder abgehender IP-Pakete und senden die Pakete weiter. Mit NAT können Sie Datenverkehr auch von einem Port an einen anderen Port umleiten. NAT behält die Integrität eines Datenpakets während Modifikationen oder Umleitungen des Pakets bei.
Zum Arbeiten mit NAT-Regellisten verwenden Sie den Befehl ipnat. Weitere Informationen zum Befehl ipnat finden Sie in der Manpage ipnat(1M).
Sie erstellen die NAT-Regeln entweder mithilfe des Befehls ipnat in einer Befehlszeile oder in einer NAT-Konfigurationsdatei. NAT-Konfigurationsregeln werden in der Datei ipnat.conf angelegt. Wenn die NAT-Regeln beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ipnat.conf, in der Sie die NAT-Regeln anlegen. Sollen die NAT-Regeln nicht beim Booten geladen werden, speichern Sie die Datei ipnat.conf in einem beliebigen anderen Verzeichnis und aktivieren die Paketfilterung mithilfe des Befehls ipnat manuell.
Zum Erstellen der NAT-Regeln verwenden Sie die folgende Syntax:
Befehl Schnittstellenname Parameter
Jede Regel beginnt mit einem der folgenden Befehle:
Ordnet eine IP-Adresse oder ein Netzwerk einer anderen IP-Adresse oder einem Netzwerk zu. Dabei wird ein ungeregelter Round-Robin-Prozess verwendet.
Leitet Pakete von einer IP-Adresse und einem Portpaar an eine andere IP-Adresse und ein anderes Portpaar um.
Richtet eine bidirektionale NAT zwischen einer externen IP-Adresse und einer internen IP-Adresse ein.
Richtet eine statische Übersetzung ein, die auf den IP-Adressen basiert. Dieser Befehl basiert auf einem Algorithmus, der die Übersetzung von Adressen in einen Zielbereich erzwingt.
Nach diesem Befehl muss das nächste Wort der Schnittstellenname sein, z. B. hme0.
Als Nächstes können Sie unter zahlreichen Parametern wählen, mit denen die NAT-Konfiguration festgelegt wird. Zu diesen Parametern zählen:
Entwirft die Netzwerkmaske.
Weist die Adresse zu, in die ipmask übersetzt wird.
Weist die Protokolle tcp, udp oder tcp/udp zusammen mit einem Portnummernbereich zu.
Das folgende Beispiel zeigt, wie mithilfe der Syntax für eine NAT-Regel eine NAT-Regel erstellt wird. Um ein Paket neu zu schreiben, das über das Gerät de0 an die Zieladresse 192.168.1.0/24 gesendet wird, und um die Quelladresse extern als 10.1.0.0/16 anzuzeigen, nehmen Sie die folgende Regel in die NAT-Regelliste auf:
map de0 192.168.1.0/24 -> 10.1.0.0/16 |
Informationen zur vollständigen Grammatik und Syntax beim Schreiben von NAT-Regeln finden Sie in der Manpage ipnat(4).
Adresspools stellen eine Referenz dar, die zum Benennen einer Gruppe von Adress/Netzmasken-Paaren verwendet wird. Adresspools bieten Prozesse, mit denen die Zeit zum Finden von Entsprechungen zwischen IP-Adressen und Regeln verringert wird. Mit Adresspools lassen sich auch große Adressengruppen einfacher verwalten.
Die Konfigurationsregeln für Adresspools befinden sich in der Datei ippool.conf. Wenn die Adresspool-Regeln beim Booten geladen werden sollen, erstellen Sie eine Datei namens /etc/ipf/ippool.conf, in der Sie die Adresspool-Regeln anlegen. Sollen die Adresspool-Regeln nicht beim Booten geladen werden, speichern Sie die Datei ippool.conf in einem beliebigen anderen Verzeichnis und aktivieren die Paketfilterung mithilfe des Befehls ippool manuell.
Zum Erstellen eines Adresspools verwenden Sie die folgende Syntax:
table role = role-name type = storage-format number = reference-number |
Definiert die Referenz für mehrere Adressen.
Legt die Rolle des Pools in Oracle Solaris IP Filter fest. Derzeit ist ipf die einzige Rolle, auf die Sie verweisen können.
Gibt das Speicherformat für den Pool an.
Gibt die Referenznummer an, die von der Filterregel verwendet wird.
Um beispielsweise die Adressgruppe 10.1.1.1 und 10.1.1.2 und das Netzwerk 192.16.1.0 als Poolnummer 13 zu verweisen, nehmen Sie die folgende Regel in die Adresspool-Konfigurationsdatei auf:
table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24 };
Um dann in einer Filterregel auf die Poolnummer 13 zu verweisen, erstellen Sie eine Regel ähnlich der Folgenden:
pass in from pool/13 to any |
Beachten Sie, dass die Pooldatei vor der Regeldatei geladen werden muss, in der ein Verweis auf den Pool enthalten ist. Andernfalls ist der Pool, wie in der folgenden Ausgabe gezeigt, nicht definiert:
# ipfstat -io empty list for ipfilter(out) block in from pool/13(!) to any |
Auch wenn Sie den Pools später hinzufügen, wird die Regelliste im Kernel nicht aktualisiert. Sie müssen die Regeldatei, in der auf den Pool verwiesen wird, neu laden.
Informationen zur vollständigen Grammatik und Syntax beim Schreiben von Paketfilterregeln finden Sie in der Manpage ippool(4).
Ab Version Solaris 10 7/07 ersetzen die Paketfilter-Hooks das Modul pfil, um Oracle Solaris IP Filter zu aktivieren. In früheren Oracle Solaris-Versionen musste das Modul pfil in einem zusätzlichen Schritt beim Einrichten von Oracle Solaris IP Filter konfiguriert werden. Dieser zusätzliche Konfigurationsaufwand erhöhte das Risiko, das Oracle Solaris IP Filter fehlerhaft arbeitet. Durch Einfügen des pfil STREAMS-Moduls zwischen IP und dem Gerätetreiber wurde darüber hinaus eine Leistungsverschlechterung verursacht. Darüber hinaus konnte das pfil-Modul keine Pakete zwischen Zonen abfangen.
Mit der Verwendung der Paketfilter-Hooks wird das Verfahren zum Aktivieren von Oracle Solaris IP Filter rationalisiert. Aufgrund dieser Hooks verwendet Oracle Solaris IP Filter Prä-Routing- (Eingang) und Post-Routing-Filterabgriffe (Ausgang), um den ein- und abgehenden Paketfluss von Oracle Solaris-Systemen zu steuern.
Mit Paketfilter-Hooks ist das Modul pfil überflüssig geworden. Aus diesem Grund wurden auch die folgenden Komponenten entfernt, die zum Modul gehörten.
pfil-Treiber
pfil-Daemon
svc:/network/pfil SMF-Service
Aufgaben im Zusammenhang mit der Aktivierung von Oracle Solaris IP Filter finden Sie in Kapitel 26Oracle Solaris IP Filter (Aufgaben).
Das Modul pfil wird nur in den folgenden Oracle Solaris 10-Versionen mit Oracle Solaris IP Filter verwendet:
Solaris 10 3/05
Solaris 10 1/06
Solaris 10 6/06
Solaris 10 11/06
Mit der Version Solaris 10 7/07 wurde das pfil-Modul durch die Paketfilter-Hooks ersetzt und wird nicht mehr mit Oracle Solaris IP Filter verwendet.
Das pfil STREAMS-Modul ist für die Arbeit mit Oracle Solaris IP Filter erforderlich. Oracle Solaris IP Filter bietet jedoch keinen automatischen Mechanismus, um das Modul auf jeder Schnittstelle bereitzustellen. Stattdessen wird das pfil STREAMS-Modul vom SMF-Service svc:/network/pfil verwaltet. Um die Filterung auf einer Netzwerkschnittstelle zu aktivieren, müssen Sie zunächst die Datei pfil.ap konfigurieren. Dann aktivieren Sie den svc:/network/pfil-Service, um der Netzwerkschnittstelle das pfil STREAMS-Modul bereitzustellen. Damit das STREAMS-Modul wirksam wird, muss das System entweder neu gebootet werden oder jede Netzwerkschnittstelle, für die eine Filterung angewendet werden soll, muss zunächst abgemeldet und dann erneut geplumbt (aktiviert) werden. Zum Aktivieren der IPv6-Paketfilterung müssen Sie die inet6-Version der Schnittstelle plumben anmelden.
Falls keine pfil-Module für Netzwerkschnittstellen gefunden wurden, werden die SMF-Services in den Wartungszustand versetzt. Die häufigste Ursache hierfür ist eine falsch bearbeitete Datei /etc/ipf/pfil.ap. Wenn der Service in den Wartungsmodus versetzt wird, wird dies in den Protokolldateien der Filterung aufgezeichnet.
Aufgaben im Zusammenhang mit der Aktivierung von Oracle Solaris IP Filter finden Sie unter Konfiguration von Oracle Solaris IP Filter.
Ab dem Solaris-Version 10 6/06 ist eine Unterstützung für IPv6 mit Oracle Solaris IP Filter verfügbar. Die IPv6-Paketfilterung kann basierend auf der Quell- oder Ziel-IPv6-Adresse, auf IPv6-Adresspools sowie auf IPv6-Extension-Header erfolgen.
IPv6 ähnelt IPv4 in vielerlei Hinsicht. Jedoch unterscheiden sich die Header- und Paketgrößen zwischen den zwei IP-Versionen; ein wichtiger Aspekt für IP Filter. IPv6-Pakete werden auch als Jumbogramme bezeichnet und enthalten ein Datagramm mit einer Länge von mehr als 65.535 Byte. Oracle Solaris IP Filter unterstützt keine IPv6-Jumbogramme. Informationen zu weiteren IPv6-Funktionen finden Sie unter Die wichtigsten Leistungsmerkmale von IPv6.
Weitere Informationen zu Jumbogrammen finden Sie in dem Dokument „IPv6 Jumbograms“, RFC 2675 von der Internet Engineering Task Force (IETF). [http://www.ietf.org/rfc/rfc2675.txt]
Die IP Filter-Aufgaben bei IPv6 unterscheiden sich nur wenig von denen bei IPv4. Der wichtigste Unterschied ist das Verwenden der Option -6 bei bestimmten Befehlen. Beispielsweise enthalten die Befehle ipf und ipfstat die Option -6, wenn sie mit der IPv6-Paketfilterung verwendet werden. Sie verwenden die Option -6 mit dem Befehl ipf zum Laden und Leeren der IPv6-Paketfilterregeln. Zum Anzeigen der IPv6-Statistiken verwenden Sie die Option -6 mit dem Befehl ipfstat. Auch die Befehle ipmon und ippool unterstützen IPv6, obwohl es keine zugeordnete Funktion zur Unterstützung von IPv6 gibt. Der Befehl ipmon wurde erweitert, um die Protokollierung von IPv6-Paketen zu ermöglichen. Der Befehl ippool unterstützt IPv6-Adresspools. Sie können Pools erstellen, die entweder ausschließlich IPv4- oder IPv6-Adressen enthalten, oder einen Pool, der sowohl IPv4- als auch IPv6-Adressen enthält.
Mit der Datei ipf6.conf erstellen Sie Paketfilter-Regellisten für IPv6. Standardmäßig befindet sich die Konfigurationsdatei ipf6.conf in dem Verzeichnis /etc/ipf. Wie andere Konfigurationsdateien zur Paketfilterung wird die Datei ipf6.conf automatisch während des Bootens geladen, wenn sie sich im Verzeichnis /etc/ipf befindet. Sie können eine IPv6-Konfigurationsdatei auch in einem beliebigen anderen Verzeichnis speichern und dann manuell laden.
Network Address Translation (NAT) unterstützt IPv6 nicht.
Nachdem Paketfilterregeln für IPv6 aufgestellt wurden, aktivieren Sie die IPv6-Paketfilterung, indem Sie die inet6-Version der Schnittstelle plumben (aktivieren).
Weitere Informationen zu IPv6 finden Sie in Kapitel 3Einführung in IPv6 (Überblick). Aufgaben im Zusammenhang mit der Aktivierung von Oracle Solaris IP Filter finden Sie in Kapitel 26Oracle Solaris IP Filter (Aufgaben).
Die folgende Tabelle enthält eine Liste der Manpage-Dokumentation für Oracle Solaris IP Filter.