In diesem Kapitel finden Sie schrittweise Anweisungen zum Arbeiten mit Solaris IP Filter. Eine Einführung in Oracle Solaris IP Filter finden Sie in Kapitel 25Oracle Solaris IP Filter (Übersicht).
Dieses Kapitel enthält die folgenden Informationen:
Anzeigen von Statistiken und Informationen zu Oracle Solaris IP Filter
Erstellen und Bearbeiten von Konfigurationsdateien für Oracle Solaris IP Filter
In der folgenden Tabelle sind die Verfahren zur Konfiguration von Oracle Solaris IP Filter aufgeführt.
Tabelle 26–1 Konfiguration von Oracle Solaris IP Filter (Übersicht der Schritte)
Aufgabe |
Beschreibung |
Siehe |
---|---|---|
Erstaktivierung von Oracle Solaris IP Filter. |
Oracle Solaris IP Filter ist standardmäßig nicht aktiviert. Sie müssen Solaris IP Filter entweder manuell aktivieren oder die Konfigurationsdateien im Verzeichnis /etc/ipf/ verwenden und das System neu booten. Ab Version Solaris 10 7/07 ersetzen die Paketfilter-Hooks das Modul pfil, um Oracle Solaris IP Filter zu aktivieren. | |
Erneutes Aktivieren von Oracle Solaris IP Filter. |
Falls Oracle Solaris IP Filter deaktiviert oder abgeschaltet wurde, können Sie Oracle Solaris IP Filter neu aktivieren, indem Sie entweder das System neu booten oder den Befehl ipf eingeben. | |
Aktivieren der Loopback-Filterung |
Optional können Sie die Loopback-Filterung aktivieren, um beispielsweise Datenverkehr zwischen Zonen zu filtern. |
Mit dem folgenden Verfahren aktivieren Sie Oracle Solaris IP Filter auf einem System, das mindestens Solaris 10 7/07 ausführt. Um Oracle Solaris IP Filter auch dann auszuführen, wenn ein Solaris Oracle Solaris 10-Version vor Solaris 10 7/07 ausgeführt wird, lesen Sie Arbeiten mit dem pfil-Modul.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Erstellen Sie eine Paketfilter-Regelliste.
Die Paketfilter-Regelliste enthält Regeln, die von Oracle Solaris IP Filter verwendet werden. Wenn die Paketfilterregeln beim Booten geladen werden sollen, müssen Sie die Datei /etc/ipf/ipf.conf so bearbeiten, dass sie die IPv4-Paketfilterung implementiert. Für IPv6-Paketfilterregeln verwenden Sie die Datei /etc/ipf/ipf6.conf. Sollen die Paketfilterregeln nicht beim Booten geladen werden, speichern Sie die Regeln in einer Datei in einem beliebigen Verzeichnis und aktivieren die Paketfilterung dann manuell. Informationen zur Paketfilterung finden Sie unter Verwenden der Paketfilter-Funktionen in Oracle Solaris IP Filter. Informationen zum Arbeiten mit Konfigurationsdateien finden Sie unter Erstellen und Bearbeiten von Konfigurationsdateien für Oracle Solaris IP Filter.
(Optional) Erstellen Sie eine Network Address Translation (NAT)-Konfigurationsdatei.
Network Address Translation (NAT) unterstützt IPv6 nicht.
Erstellen Sie eine Datei ipnat.conf, wenn Sie die Network Address Translation verwenden möchten. Wenn die NAT-Regeln beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ipnat.conf, in der Sie die NAT-Regeln anlegen. Sollen die NAT-Regeln nicht beim Booten geladen werden, speichern Sie die Datei ipnat.conf in einem beliebigen anderen Verzeichnis und aktivieren die NAT-Regeln dann manuell.
Weitere Informationen zu NAT finden Sie unter Verwenden der NAT-Funktion in Oracle Solaris IP Filter.
(Optional) Erstellen Sie eine Adresspool-Konfigurationsdatei.
Erstellen Sie eine Datei ipool.conf, wenn Sie eine Adressengruppe als einen Adresspool ansprechen möchten. Wenn die Adresspool-Konfigurationsdatei beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ippool.conf, in der Sie den Adresspool anlegen. Soll die Adresspool-Konfiguration nicht beim Booten geladen werden, speichern Sie die Datei ippool.conf in einem beliebigen anderen Verzeichnis und aktivieren die Regeln dann manuell.
Ein Adresspool kann entweder nur IPv4-Adressen oder nur IPv6-Adressen enthalten. Er kann auch sowohl IPv4- als auch IPv6-Adressen enthalten.
Weitere Informationen zu Adresspools finden Sie unter Verwenden der Adresspool-Funktion in Oracle Solaris IP Filter.
(Optional) Aktivieren Sie die Filterung von Loopback-Verkehr.
Falls Sie beabsichtigen, Datenverkehr zwischen auf Ihrem System konfigurierten Zonen zu filtern, müssen Sie die Loopback-Filterung aktivieren. Lesen Sie dazu So aktivieren Sie die Loopback-Filterung. Denken in Sie daran, entsprechende Regellisten für die Zonen zu definieren.
Aktivieren Sie Oracle Solaris IP Filter.
# svcadm enable network/ipfilter |
Sie können die Paketfilterung neu aktivieren, nachdem sie vorübergehend deaktiviert wurde.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
Starten Sie Oracle Solaris IP Filter und aktivieren Sie die Filterung mithilfe einer der folgenden Methoden:
Starten Sie den Computer neu.
# reboot |
Wenn IP Filter aktiviert ist, werden bei einem Neustart die folgenden Dateien geladen, sofern sie vorhanden sind: die Datei /etc/ipf/ipf.conf, die Datei /etc/ipf/ipf6.conf, wenn IPv6 verwendet wird , oder die Datei /etc/ipf/ipnat.conf.
Rufen Sie die folgenden Befehle auf, um Oracle Solaris IP Filter zu starten und die Filterung zu aktivieren:
Aktivieren Sie Oracle Solaris IP Filter.
# ipf -E |
Aktivieren Sie die Paketfilterung.
# ipf -f filename |
(Optional) Aktivieren Sie NAT.
# ipnat -f filename |
Network Address Translation (NAT) unterstützt IPv6 nicht.
Sie können Loopback-Verkehr nur dann filtern, wenn Ihr System mindestens Version Solaris 10 7/07 ausführt. In älteren Oracle Solaris 10-Versionen wird die Loopback-Filterung nicht unterstützt.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
Halten Sie Oracle Solaris IP Filter an, wenn es ausgeführt wird.
# svcadm disable network/ipfilter |
Fügen Sie die folgende Zeile am Anfang der Datei /etc/ipf.conf bzw. der Datei /etc/ipf6.conf ein:
set intercept_loopback true; |
Die Zeile muss vor allen IP-Filterregeln stehen, die in der Datei definiert sind. Sie können Befehle auch vor dieser Zeile einfügen. Betrachten Sie dazu das folgende Beispiel:
# # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ... |
Starten Sie Oracle Solaris IP Filter.
# svcadm enable network/ipfilter |
Geben Sie den folgenden Befehl ein, um den Status der Loopback-Filterung zu überprüfen:
# ipf —T ipf_loopback ipf_loopback min 0 max 0x1 current 1 # |
Wenn die Loopback-Filterung deaktiviert ist, erzeugt der Befehl die folgende Ausgabe:
ipf_loopback min 0 max 0x1 current 0 |
Eventuell muss die Paketfilterung und NAT unter den folgenden Umständen deaktiviert und gestoppt werden:
Zu Testzwecken
Zur Fehlerbehandlung von Systemproblemen, wenn Sie glauben, die Probleme werden durch Oracle Solaris IP Filter verursacht
In der folgenden Tabelle sind die Verfahren zum Deaktivieren bzw. zum Stoppen der Oracle Solaris IP Filter-Funktionen aufgeführt.
Tabelle 26–2 Deaktivieren und stoppen von Oracle Solaris IP Filter (Übersicht der Schritte)
Aufgabe |
Beschreibung |
Siehe |
---|---|---|
Deaktivieren der Paketfilterung. |
Deaktivieren Sie die Paketfilterung mithilfe des Befehls ipf. | |
Deaktivieren der NAT. |
Deaktivieren Sie die NAT mithilfe des Befehls ipnat. | |
Stoppen von Paketfilterung und NAT. |
Stoppen Sie die Paketfilterung und NAT mithilfe des Befehls ipf. |
Mit dem folgenden Verfahren deaktivieren Sie die Oracle Solaris IP Filter-Paketfilterung, indem Sie die Paketfilterregeln aus der aktiven Regelliste entfernen. Mit diesem Verfahren wird Oracle Solaris IP Filter nicht gestoppt. Sie können Oracle Solaris IP Filter neu aktivieren, indem Sie Regeln wieder zur Regelliste hinzufügen.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
Führen Sie eine Methoden aus, um die Oracle Solaris IP Filter-Regeln zu deaktivieren:
Entfernen Sie die aktive Regelliste aus dem Kernel.
# ipf -Fa |
Dieser Befehl deaktiviert die Paketfilterregeln.
Entfernen Sie die Filterregeln für eingehende Pakete.
# ipf -Fi |
Dieser Befehl deaktiviert die Paketfilterregeln für eingehende Pakete.
Entfernen Sie die Filterregeln für abgehende Pakete.
# ipf -Fo |
Dieser Befehl deaktiviert die Paketfilterregeln für abgehende Pakete.
Mit dem folgenden Verfahren deaktivieren Sie die Oracle Solaris IP Filter-NAT-Regeln, indem Sie die NAT-Regeln aus der aktiven NAT-Regelliste entfernen. Mit diesem Verfahren wird Oracle Solaris IP Filter nicht deaktiviert. Sie können Oracle Solaris IP Filter neu aktivieren, indem Sie Regeln wieder zur Regelliste hinzufügen.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Entfernen Sie die NAT aus dem Kernel.
# ipnat -FC |
Die Option -C löscht alle Einträge aus der aktuellen NAT-Regelliste. Mit der Option -F entfernen Sie alle aktiven Einträge aus der aktuellen NAT-Übersetzungstabelle, in der die derzeit aktiven NAT-Zuordnungen aufgeführt sind.
Wenn Sie dieses Verfahren ausführen, werden sowohl Paketfilterung als auch NAT aus dem Kernel entfernt. Nachdem Sie dieses Verfahren ausgeführt haben, müssen Sie Solaris IP Filter neu starten, um die Paketfilterung und NAT zu reaktivieren. Weitere Informationen finden Sie unter So aktivieren Sie Oracle Solaris IP Filter erneut.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Stoppen Sie die Paketfilterung und gestatten Sie, dass alle Pakete in das Netzwerk passieren.
# ipf –D |
Mit dem Befehl ipf -D entfernen Sie die Regeln aus der Regelliste. Wenn Sie die Filterung neu starten möchten, müssen Sie die Regeln wieder zur Regelliste hinzufügen.
In diesem Abschnitt wird beschrieben, wie Sie das pfil STREAMS-Modul zum Aktivieren oder Deaktivieren von Oracle Solaris IP Filter verwenden und pfil-Statistiken anzeigen. Diese Verfahren gelten nur für Systeme, die eines der folgenden Oracle Solaris-Versionen ausführen:
Solaris 10 3/05
Solaris 10 1/06
Solaris 10 6/06
Solaris 10 11/06
In der folgenden Tabelle sind die Verfahren aufgeführt, mit denen das pfil-Modul konfiguriert wird.
Tabelle 26–3 Arbeiten mit dem pfil-Modul (Übersicht der Schritte)
Aufgabe |
Beschreibung |
Siehe |
---|---|---|
Aktivieren von Oracle Solaris IP Filter |
Oracle Solaris IP Filter ist standardmäßig nicht aktiviert. Sie müssen Solaris IP Filter entweder manuell aktivieren oder die Konfigurationsdateien im Verzeichnis /etc/ipf/ verwenden und das System neu booten. |
So aktivieren Sie Oracle Solaris IP Filter in älteren Solaris Oracle Solaris-Versionen |
Aktivieren einer NIC zur Paketfilterung |
Konfigurieren Sie das pfil-Modul, um die Paketfilterung auf einer NIC zu aktivieren | |
Deaktivieren von Oracle Solaris IP Filter auf einer NIC |
Entfernen Sie eine NIC und gestatten Sie, dass alle Pakete eine NIC passieren. | |
Anzeigen der pfil-Statistiken. |
Die Statistiken des pfil-Moduls helfen Ihnen bei der Fehlerbehebung von Oracle Solaris IP Filter mit dem Befehl ndd. |
So zeigen Sie die pfil-Statistiken für Oracle Solaris IP Filter an |
Oracle Solaris IP Filter wird mit Oracle Solaris installiert;. Die Paketfilterung wird jedoch standardmäßig nicht aktiviert. Verwenden Sie das folgende Verfahren, um Oracle Solaris IP Filter zu aktivieren.
Falls auf Ihrem System mindestens Solaris 10 7/07 ausgeführt wird, befolgen Sie das VerfahrenSo aktivieren Sie Oracle Solaris IP Filter, bei dem Eingriffspunkte für Paketfilter eingesetzt werden.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Starten Sie einen Dateieditor und nehmen Sie Änderungen an der Datei /etc/ipf/pfil.ap vor.
Diese Datei enthält die Namen der Netzwerkschnittstellenkarten (NICs) auf dem Host. Standardmäßig sind diese Namen auskommentiert. Löschen Sie das Kommentarzeichen für Geräte, die den zu filternden Netzwerkverkehr übertragen. Sollte der Name der NIC für Ihr System nicht aufgeführt sein, fügen Sie eine Zeile hinzu, in der diese NIC angegeben wird.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil |
Aktivieren Sie Ihre Änderungen an der Datei /etc/ipf/pfil.ap, indem Sie die Serviceinstanz network/pfil neu starten.
# svcadm restart network/pfil |
Erstellen Sie eine Paketfilter-Regelliste.
Die Paketfilter-Regelliste enthält Regeln, die von Oracle Solaris IP Filter verwendet werden. Wenn die Paketfilterregeln beim Booten geladen werden sollen, müssen Sie die Datei /etc/ipf/ipf.conf so bearbeiten, dass sie die IPv4-Paketfilterung implementiert. Für IPv6-Paketfilterregeln verwenden Sie die Datei /etc/ipf/ipf6.conf. Sollen die Paketfilterregeln nicht beim Booten geladen werden, speichern Sie die Regeln in einer Datei in einem beliebigen Verzeichnis und aktivieren die Paketfilterung dann manuell. Informationen zur Paketfilterung finden Sie unter Verwenden der Paketfilter-Funktionen in Oracle Solaris IP Filter. Informationen zum Arbeiten mit Konfigurationsdateien finden Sie unter Erstellen und Bearbeiten von Konfigurationsdateien für Oracle Solaris IP Filter.
(Optional) Erstellen Sie eine Network Address Translation (NAT)-Konfigurationsdatei.
Network Address Translation (NAT) unterstützt IPv6 nicht.
Erstellen Sie eine Datei ipnat.conf, wenn Sie die Network Address Translation verwenden möchten. Wenn die NAT-Regeln beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ipnat.conf, in der Sie die NAT-Regeln anlegen. Sollen die NAT-Regeln nicht beim Booten geladen werden, speichern Sie die Datei ipnat.conf in einem beliebigen anderen Verzeichnis und aktivieren die NAT-Regeln dann manuell.
Weitere Informationen zu NAT finden Sie unter Verwenden der NAT-Funktion in Oracle Solaris IP Filter.
(Optional) Erstellen Sie eine Adresspool-Konfigurationsdatei.
Erstellen Sie eine Datei ipool.conf, wenn Sie eine Adressengruppe als einen Adresspool ansprechen möchten. Wenn die Adresspool-Konfigurationsdatei beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ippool.conf, in der Sie den Adresspool anlegen. Soll die Adresspool-Konfiguration nicht beim Booten geladen werden, speichern Sie die Datei ippool.conf in einem beliebigen anderen Verzeichnis und aktivieren die Regeln dann manuell.
Ein Adresspool kann entweder nur IPv4-Adressen oder nur IPv6-Adressen enthalten. Er kann auch sowohl IPv4- als auch IPv6-Adressen enthalten.
Weitere Informationen zu Adresspools finden Sie unter Verwenden der Adresspool-Funktion in Oracle Solaris IP Filter.
Aktivieren Sie Oracle Solaris IP Filter mithilfe einer der folgenden Methoden:
Aktivieren Sie IP Filter und starten Sie den Computer neu.
# svcadm enable network/ipfilter # reboot |
Ein Neustart ist erforderlich, wenn Sie die Befehle ifconfig unplumb und ifconfig plumb nicht sicher auf den NICs verwenden können.
Aktivieren Sie die NICs mithilfe der Befehle ifconfig unplumb und ifconfig plumb. Dann aktivieren Sie IP Filter. Die inet6-Version der Schnittstelle muss geplumbt (aktiviert) werden, um eine IPv6-Paketfilterung zu implementieren.
# ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inte6 unplumb # ifconfig hme0 inet6 plumb fec3:f849::1/96 up # svcadm enable network/ipfilter |
Weitere Informationen zum Befehl ifconfig finden Sie in der Manpage ifconfig(1M).
Oracle Solaris IP Filter wird beim Booten aktiviert, wenn die Datei /etc/ipf/ipf.conf (bzw. die Datei /etc/ipf/ipf6.conf, wenn IPv6 verwendet wird) vorhanden ist. Müssen Sie die Paketfilterung auf einer NIC aktivieren, nachdem Oracle Solaris IP Filter gestartet wurde, verwenden Sie das folgende Verfahren.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Starten Sie einen Dateieditor und nehmen Sie Änderungen an der Datei /etc/ipf/pfil.ap vor.
Diese Datei enthält die Namen der NICs auf dem Host. Standardmäßig sind diese Namen auskommentiert. Löschen Sie das Kommentarzeichen für Geräte, die den zu filternden Netzwerkverkehr übertragen. Sollte der Name der NIC für Ihr System nicht aufgeführt sein, fügen Sie eine Zeile hinzu, in der diese NIC angegeben wird.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil |
Aktivieren Sie Ihre Änderungen an der Datei /etc/ipf/pfil.ap, indem Sie die Serviceinstanz network/pfil neu starten.
# svcadm restart network/pfil |
Aktivieren Sie die NIC mithilfe einer der folgenden Methoden:
Starten Sie den Computer neu.
# reboot |
Ein Neustart ist erforderlich, wenn Sie die Befehle ifconfig unplumb und ifconfig plumb nicht sicher auf den NICs verwenden können.
Aktivieren Sie die NICs, wenn Sie die Filterung mithilfe des Befehls ifconfig und den Optionen unplumb und plumb vornehmen möchten. Die inet6-Version der Schnittstelle muss geplumbt (aktiviert) werden, um eine IPv6-Paketfilterung zu implementieren.
# ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up |
Weitere Informationen zum Befehl ifconfig finden Sie in der Manpage ifconfig(1M).
Soll die Paketfilterung auf einer NIC gestoppt werden, verwenden Sie das folgende Verfahren.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Starten Sie einen Dateieditor und nehmen Sie Änderungen an der Datei /etc/ipf/pfil.ap vor.
Diese Datei enthält die Namen der NICs auf dem Host. Die NICs, die zur Filterung des Netzwerkverkehrs verwendet wurden, sind nicht mit einem Kommentarzeichen versehen. Versehen Sie die Geräte, deren Netzwerkverkehr nicht mehr gefiltert werden soll, mit einem Kommentarzeichen.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil #hme -1 0 pfil (Commented-out device no longer filters network traffic) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil |
Deaktivieren Sie die NIC mithilfe einer der folgenden Methoden:
Starten Sie den Computer neu.
# reboot |
Ein Neustart ist erforderlich, wenn Sie die Befehle ifconfig unplumb und ifconfig plumb nicht sicher auf den NICs verwenden können.
Deaktivieren Sie die NICs mithilfe des Befehls ifconfig und den Optionen unplumb und plumb. Für die inet6-Version jeder Schnittstelle muss das Plumbing aufgehoben (deaktiviert) werden, um die IPv6-Paketfilterung zu deaktivieren. Führen Sie die folgenden Schritte aus. Das Beispielgerät im System ist hme:
Geben Sie die Hauptnummer des zu deaktivierenden Geräts an.
# grep hme /etc/name_to_major hme 7 |
Zeigen Sie die aktuelle autopush-Konfiguration für hme0 an.
# autopush -g -M 7 -m 0 Major Minor Lastminor Modules 7 ALL - pfil |
Entfernen Sie die autopush-Konfiguration.
# autopush -r -M 7 -m 0 |
Öffnen Sie das Gerät und weisen Sie dem Gerät IP-Adressen zu.
# ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up |
Weitere Informationen zum Befehl ifconfig finden Sie in der Manpage ifconfig(1M).
Zur Fehlerbehebung bei Oracle Solaris IP Filter können Sie die pfil-Statistiken anzeigen.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Anzeigen der pfil-Statistiken.
# ndd -get /dev/pfil qif_status |
Im folgenden Beispiel wird gezeigt, wie Sie die pfil-Statistiken anzeigen.
# ndd -get /dev/pfil qif_status ifname ill q OTHERQ num sap hl nr nw bad copy copyfail drop notip nodata notdata QIF6 0 300011247b8 300011248b0 6 806 0 4 9 0 0 0 0 0 0 0 dmfe1 3000200a018 30002162a50 30002162b48 5 800 14 171 13681 0 0 0 0 0 0 0 |
In der folgenden Tabelle sind die Verfahren zum Arbeiten mit den Oracle Solaris IP Filter-Regellisten aufgeführt.
Tabelle 26–4 Arbeiten mit den Oracle Solaris IP Filter-Regellisten (Übersicht der Schritte)
Aufgabe |
Beschreibung |
Siehe |
---|---|---|
Verwalten, Anzeigen und Ändern von Regellisten zur Oracle Solaris IP Filter-Paketfilterung. |
Verwalten der Paketfilter-Regellisten für Oracle Solaris IP Filter |
|
Zeigen Sie eine aktive Paketfilter-Regelliste an. | ||
Zeigen Sie eine inaktive Paketfilter-Regelliste an. | ||
Aktivieren Sie eine andere aktive Regelliste. |
So aktivieren Sie eine andere oder aktualisierte Paketfilter-Regelliste |
|
Entfernen Sie eine Regelliste. | ||
Fügen Sie zusätzliche Regeln zu Regellisten hinzu. |
So fügen Sie der aktiven Paketfilter-Regelliste Regeln hinzu So fügen Sie der inaktiven Paketfilter-Regelliste Regeln hinzu |
|
Wechseln Sie zwischen aktiven und inaktiven Regellisten. |
So wechseln Sie zwischen der aktiven und der inaktiven Paketfilter-Regelliste |
|
Löschen Sie eine inaktive Regelliste aus dem Kernel. |
So entfernen Sie eine inaktive Paketfilter-Regelliste aus dem Kernel |
|
Verwalten, Anzeigen und Ändern von Oracle Solaris IP Filter-NAT-Regeln. | ||
Zeigen Sie aktive NAT-Regeln an. | ||
Entfernen Sie NAT-Regeln. | ||
Fügen Sie zusätzliche Regeln zu NAT-Regeln hinzu. | ||
Verwalten, Anzeigen und Ändern von Oracle Solaris IP Filter-Adresspools. | ||
Zeigen Sie aktive Adresspools an. | ||
Entfernen Sie einen Adresspool. | ||
Fügen Sie zusätzliche Regeln zu einem Adresspool hinzu. |
Wenn Solaris IP Filter aktiviert ist, können sowohl aktive als auch inaktive Paketfilter-Regellisten im Kernel gespeichert sein. Die aktive Regelliste legt fest, welche Filterung an eingehenden und abgehenden Paketen durchgeführt wird. Auch in der inaktiven Regelliste sind Regeln gespeichert. Diese Regeln werden jedoch nicht verwendet, bis Sie die inaktive Regelliste zur aktiven Regelliste machen. Sie können sowohl die aktive als auch die inaktive Paketfilter-Regelliste verwalten, anzeigen und ändern.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Zeigen Sie die aktive Paketfilter-Regelliste an, die in den Kernel geladen wurde.
# ipfstat -io |
Iem folgenden Beispiel wird die Ausgabe der aktiven, in den Kernel geladenen Paketfilter-Regelliste gezeigt.
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe1 from 192.168.1.0/24 to any pass in all block in on dmfe1 from 192.168.1.10/32 to any |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Zeigen Sie die inaktive Paketfilter-Regelliste an.
# ipfstat -I -io |
Im folgenden Beispiel wird die Ausgabe der inaktiven Paketfilter-Regelliste gezeigt.
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all |
Verwenden Sie das folgende Verfahren, wenn Sie eine der folgenden Aufgaben durchführen möchten:
Aktivieren einer anderen Paketfilter-Regelliste als der, die derzeit von Oracle Solaris IP Filter verwendet wird.
Neuladen einer aktualisierten Paketfilter-Regelliste.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Führen Sie einen der folgenden Schritte aus:
Erstellen Sie eine neue Regelliste in einer separaten Datei Ihrer Wahl, wenn Sie eine vollständig andere Regelliste aktivieren möchten.
Aktualisieren Sie die aktuelle Regelliste, indem Sie die Konfigurationsdatei bearbeiten, in der die Regelliste enthalten ist.
Entfernen Sie die aktuelle Regelliste und laden Sie eine neue.
# ipf -Fa -f filename |
Der Dateiname kann entweder der Name einer neuen Datei mit der neuen Regelliste oder der Name einer aktualisierten Datei sein, die die aktive Regelliste enthält.
Die aktive Regelliste wird aus dem Kernel entfernt. Die Regeln in der Datei Dateiname werden zur aktiven Regelliste.
Sie müssen diesen Befehl auch dann eingeben, wenn Sie die aktuelle Konfigurationsdatei neu laden. Andernfalls bleibt die alte Regelliste aktiviert, und die geänderte Regelliste in der aktualisierten Konfigurationsdatei wird nicht übernommen.
Verwenden Sie keine Befehle wie ipf -D oder svcadm restart, um die aktualisierte Regelliste zu laden. Diese Befehle legen Ihr Netzwerk offen, da sie die Firewall vor dem Laden der neuen Regelliste deaktivieren.
Im folgenden Beispiel wird gezeigt, wie Sie eine Paketfilter-Regelliste durch eine andere Liste in einer separaten Konfigurationsdatei (/etc/ipf/ipf.conf) ersetzen.
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe all # ipf -Fa -f /etc/ipf/ipf.conf # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any |
Im folgenden Beispiel wird gezeigt, wie Sie eine derzeit aktive und aktualisierte Paketfilter-Regelliste neu laden. Die in diesem Beispiel verwendete Datei heißt /etc/ipf/ipf.conf.
# ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any (Edit the /etc/ipf/ipf.conf configuration file.) # ip -Fa -f /etc/ipf/ipf.conf # ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any block in quick on elx10 from 192.168.0.0/12 to any |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Entfernen Sie die Regelliste.
# ipf -F [a|i|o] |
Entfernt alle Filterregeln aus der Regelliste.
Entfernt alle Filterregeln für eingehende Pakete.
Entfernt alle Filterregeln für abgehende Pakete.
Im folgenden Beispiel wird gezeigt, wie Sie alle Filterregeln aus der aktiven Paketfilter-Regelliste entfernen.
# ipfstat -io block out log on dmf0 all block in log quick from 10.0.0.0/8 to any # ipf -Fa # ipfstat -io empty list for ipfilter(out) empty list for ipfilter(in) |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Wählen Sie eine der folgenden Methoden, um der aktiven Regelliste Regeln hinzuzufügen:
Fügen Sie die Regeln über eine Befehlszeile mithilfe des Befehls ipf -f - zur Regelliste hinzu.
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f - |
Führen Sie einen der folgenden Befehle aus:
Erstellen Sie eine Regelliste in einer Datei Ihrer Wahl.
Fügen Sie die von Ihnen erstellten Regeln zur aktiven Regelliste hinzu.
# ipf -f filename |
Die Regeln in der Datei Dateiname werden am Ende der aktiven Regelliste eingefügt. Da Solaris IP Filter den „last matching rule“-Algorithmus verwendet, legen die hinzugefügten Regeln die Filterprioritäten fest, es sei denn, sie verwenden das Schlüsselwort quick. Wenn ein Paket einer Regel entspricht, die das Schlüsselwort quick enthält, wird die Aktion für diese Regel ausgeführt und alle weiteren Regeln werden ignoriert.
Im folgenden Beispiel wird gezeigt, wie Sie eine Regel über die Befehlszeile an die aktive Paketfilter-Regelliste anhängen.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f - # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Erstellen Sie eine Regelliste in einer Datei Ihrer Wahl.
Fügen Sie die von Ihnen erstellten Regeln zur inaktiven Regelliste hinzu.
# ipf -I -f filename |
Die Regeln in der Datei Dateiname werden am Ende der inaktiven Regelliste eingefügt. Da Solaris IP Filter den „last matching rule“-Algorithmus verwendet, legen die hinzugefügten Regeln die Filterprioritäten fest, es sei denn, sie verwenden das Schlüsselwort quick. Wenn ein Paket einer Regel entspricht, die das Schlüsselwort quick enthält, wird die Aktion für diese Regel ausgeführt und alle weiteren Regeln werden ignoriert.
Im folgenden Beispiel wird gezeigt, wie Sie eine Regel aus einer Datei zur inaktiven Paketfilter-Regelliste hinzufügen.
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all # ipf -I -f /etc/ipf/ipf.conf # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Wechseln Sie von der aktiven zur inaktiven Paketfilter-Regelliste.
# ipf -s |
Mit diesem Befehl können Sie zwischen der aktiven und der inaktiven Paketfilter-Regelliste im Kernel wechseln. Falls die inaktive Regelliste leer ist, findet keine Paketfilterung statt.
Im folgenden Beispiel wird gezeigt, wie Sie mit dem Befehl ipf -s die inaktive Regelliste zur aktiven Regelliste machen und die aktive Regelliste zur inaktiven.
Bevor Sie den Befehl ipf -s ausführen, zeigt die Ausgabe des Befehls ipfstat -I -io die Regeln in der inaktiven Regelliste an. Die Ausgabe des Befehls ipfstat - io zeigt die Regeln in der aktiven Regelliste an.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any |
Nach dem Ausführen des Befehls ipf -s zeigt die Ausgabe der Befehle ipfstat -I -io und ipfstat -io die Inhalte der zwei gewechselten Regellisten an.
# ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Geben Sie die inaktive Regelliste im Befehl „flush all“ an.
# ipf -I -Fa |
Mit diesem Befehl entfernen Sie die inaktive Paketfilter-Regelliste aus dem Kernel.
Wenn Sie anschließend den Befehl ipf -s ausführen, wird die leere inaktive Regelliste zur aktiven Regelliste. Eine leere aktive Regelliste bedeutet, dass keine Filterung durchgeführt wird.
Im folgenden Beispiel wird gezeigt, wie Sie die in aktive Paketfilter-Regelliste entfernen, so dass keine Regeln angewendet werden.
# ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipf -I -Fa # ipfstat -I -io empty list for inactive ipfilter(out) empty list for inactive ipfilter(in) |
Zum Verwalten, Anzeigen und Ändern der NAT-Regeln verwenden Sie die folgenden Verfahren.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Zeigen Sie die aktiven NAT-Regeln an.
# ipnat -l |
Im folgenden Beispiel wird die Ausgabe der aktiven NAT-Regelliste gezeigt.
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Entfernen Sie die aktuellen NAT-Regeln.
# ipnat -C |
Im folgenden Beispiel wird gezeigt, wie Sie die Einträge aus der aktuellen NAT-Regelliste entfernen.
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: # ipnat -C 1 entries flushed from NAT list # ipnat -l List of active MAP/Redirect filters: List of active sessions: |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Wählen Sie eine der folgenden Methoden, um der aktiven Regelliste Regeln hinzuzufügen:
Fügen Sie die Regeln über eine Befehlszeile mithilfe des Befehls ipnat -f - zur NAT-Regelliste hinzu.
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f - |
Führen Sie einen der folgenden Befehle aus:
Erstellen Sie eine NAT-Regelliste in einer Datei Ihrer Wahl.
Fügen Sie die von Ihnen erstellten Regeln zur aktiven NAT-Regelliste hinzu.
# ipnat -f filename |
Die Regeln in der Datei Dateiname werden am Ende der NAT-Regelliste eingefügt.
Im folgenden Beispiel wird gezeigt, wie Sie eine Regel über die Befehlszeile an die aktive NAT-Regelliste anhängen.
# ipnat -l List of active MAP/Redirect filters: List of active sessions: # echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f - # ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: |
Zum Verwalten, Anzeigen und Ändern der Adresspools verwenden Sie die folgenden Verfahren.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Zeigen Sie den aktiven Adresspool an.
# ippool -l |
Im folgenden Beispiel wird gezeigt, wie Sie den Inhalt des aktiven Adresspools anzeigen.
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Entfernen Sie die Einträge aus dem aktuellen Adresspool.
# ippool -F |
Im folgenden Beispiel wird gezeigt, wie Sie einen Adresspool entfernen.
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; # ippool -F 1 object flushed # ippool -l |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Wählen Sie eine der folgenden Methoden, um der aktiven Regelliste Regeln hinzuzufügen:
Fügen Sie die Regeln über eine Befehlszeile mithilfe des Befehls ippool -f - zur Regelliste hinzu.
# echo "table role = ipf type = tree number = 13 {10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f - |
Führen Sie einen der folgenden Befehle aus:
Erstellen Sie einen zusätzlichen Adresspool in einer Datei Ihrer Wahl.
Fügen Sie die von Ihnen erstellten Regeln zum aktiven Adresspool hinzu.
# ippool -f filename |
Die Regeln in der Datei Dateiname werden am Ende des aktiven Adresspools eingefügt.
Im folgenden Beispiel wird gezeigt, wie Sie einen Adresspool über die Befehlszeile zur aktuellen Adresspool-Regelliste hinzufügen.
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; # echo "table role = ipf type = tree number = 100 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f - # ippool -l table role = ipf type = tree number = 100 { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; }; table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; |
Aufgabe |
Beschreibung |
Siehe |
---|---|---|
Anzeigen der Statustabellen. |
Zeigen Sie die Statustabellen an, um Informationen zur Paketfilterung mit dem Befehl ipfstat zu beziehen. |
So zeigen Sie die Statustabellen für Oracle Solaris IP Filter an |
Anzeigen der Statusstatistiken. |
Zeigen Sie die Statistiken zu dem Paket-Statusinformationen mit dem Befehl ipfstat - s an. |
So zeigen Sie die Statusstatistiken für Oracle Solaris IP Filter an |
Anzeigen der NAT-Statistiken. |
Zeigen Sie die NAT-Statistiken mit dem Befehl ipnat -s an. |
So zeigen Sie die NAT-Statistiken für Oracle Solaris IP Filter an |
Anzeigen der Adresspool-Statistiken. |
Zeigen Sie die Adresspool-Statistiken mit dem Befehl ippool -s an. |
So zeigen Sie die Adresspool-Statistiken für Oracle Solaris IP Filter an |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
Zeigen Sie die Statustabelle an.
# ipfstat |
Mit der Option -t können Sie die Statustabelle im Top Utility-Format anzeigen.
Im folgenden Beispiel wird gezeigt, wie eine Statustabelle angezeigt wird.
# ipfstat bad packets: in 0 out 0 input packets: blocked 160 passed 11 nomatch 1 counted 0 short 0 output packets: blocked 0 passed 13681 nomatch 6844 counted 0 short 0 input packets logged: blocked 0 passed 0 output packets logged: blocked 0 passed 0 packets logged: input 0 output 0 log failures: input 0 output 0 fragment state(in): kept 0 lost 0 fragment state(out): kept 0 lost 0 packet state(in): kept 0 lost 0 packet state(out): kept 0 lost 0 ICMP replies: 0 TCP RSTs sent: 0 Invalid source(in): 0 Result cache hits(in): 152 (out): 6837 IN Pullups succeeded: 0 failed: 0 OUT Pullups succeeded: 0 failed: 0 Fastroute successes: 0 failures: 0 TCP cksum fails(in): 0 (out): 0 IPF Ticks: 14341469 Packet log flags set: (0) none |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
Zeigen Sie die Statusstatistiken an.
# ipfstat -s |
Im folgenden Beispiel wird gezeigt, wie die Statusstatistiken angezeigt werden.
# ipfstat -s IP states added: 0 TCP 0 UDP 0 ICMP 0 hits 0 misses 0 maximum 0 no memory 0 max bucket 0 active 0 expired 0 closed State logging enabled State table bucket statistics: 0 in use 0.00% bucket usage 0 minimal length 0 maximal length 0.000 average length |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
Anzeigen der NAT-Statistiken.
# ipnat -s |
Im folgenden Beispiel wird gezeigt, wie die NAT-Statistiken angezeigt werden.
# ipnat -s mapped in 0 out 0 added 0 expired 0 no memory 0 bad nat 0 inuse 0 rules 1 wilds 0 |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
Anzeigen der Adresspool-Statistiken.
# ippool -s |
Im folgenden Beispiel wird gezeigt, wie die Adresspool-Statistiken angezeigt werden.
# ippool -s Pools: 3 Hash Tables: 0 Nodes: 0 |
Aufgabe |
Beschreibung |
Siehe |
---|---|---|
Erstellen einer Protokolldatei. |
Erstellen Sie eine separate Oracle Solaris IP Filter-Protokolldatei. |
So richten Sie eine Protokolldatei für Oracle Solaris IP Filter ein |
Anzeigen der Protokolldateien. |
Zeigen Sie die Status-, NAT- und der normalen Protokolldateien mithilfe des Befehls ipmon an. | |
Leeren des Paketprotokollpuffers. |
Löschen Sie den Inhalt aus dem Paketprotokollpuffer mithilfe des Befehls ipmon - F. | |
Speichern der protokollierten Pakete in einer Datei. |
Speichern Sie die protokollierten Pakete in einer Datei, so dass später darauf zugegriffen werden kann. |
In der Standardeinstellung werden alle Informationen für Oracle Solaris IP Filter in der Datei syslogd protokolliert. Richten Sie eine Protokolldatei ein, um Oracle Solaris IP Filter-Verkehrsinformationen getrennt von anderen Daten aufzuzeichnen, die in der Standard-Protokolldatei aufgezeichnet werden. Führen Sie die folgenden Schritte aus.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
Fügen Sie der Datei /etc/syslog.conf die beiden folgenden Zeilen hinzu:
# Save IPFilter log output to its own file local0.debug /var/log/log-name |
Achten Sie in der zweiten Zeile darauf, die Tabulatortaste und nicht die Leertaste zum Trennen von local0.debug und /var/log/Protokollname zu verwenden.
Erstellen Sie die neue Protokolldatei.
# touch /var/log/log-name |
Starten Sie den system-log-Service neu.
# svcadm restart system-log |
Im folgenden Beispiel wird gezeigt, wie Sie die Datei ipmon.log anlegen, um IP-Filterinformationen zu archivieren.
Unter /etc/syslog.conf:
# Save IPFilter log output to its own file local0.debug /var/log/ipmon.log |
An der Befehlszeile:
# touch /var/log/ipmon.log # svcadm restart system-log |
Zum Aufzeichnen der Oracle Solaris IP Filter-Daten sollten Sie eine separate Protokolldatei erstellen. Näheres dazu finden Sie unter So richten Sie eine Protokolldatei für Oracle Solaris IP Filter ein.
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
Zeigen Sie die Status-, NAT- oder normalen Protokolldateien an. Zum Anzeigen einer Protokolldatei geben Sie den folgenden Befehl mit der entsprechenden Option an:
# ipmon -o [S|N|I] filename |
Zeigt die Status-Protokolldatei an.
Zeigt die NAT-Protokolldatei an.
Zeigt die normale IP-Protokolldatei an.
Um alle Status-, NAT- und die normalen Protokolldateien anzuzeigen, geben Sie alle Optionen an:
# ipmon -o SNI filename |
Vorausgesetzt, Sie stoppen zunächst manuell den ipmon-Daemon, können Sie auch den folgenden Befehl zum Anzeigen der Status-, NAT- und Oracle Solaris IP Filter-Protokolldateien verwenden:
# ipmon -a filename |
Rufen Sie den Befehl ipmon -a nicht auf, so lange der ipmon-Daemon noch ausgeführt wird. In der Regel wird der Daemon beim Booten des Systems automatisch gestartet. Mit dem Befehl ipmon -a öffnen Sie darüber hinaus eine weitere Kopie von ipmon. In diesem Fall lesen beide Kopien die gleichen Protokollinformationen, aber nur eine erhält eine bestimmte Protokolldatei.
Weitere Informationen zum Anzeigen von Protokolldateien finden Sie in der Manpage ipmon(1M).
Im folgenden Beispiel wird die Ausgabe von /var/ipmon.log gezeigt.
# ipmon -o SNI /var/ipmon.log 02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 129.146.157.145 PR icmp len 20 84 icmp echo/0 IN |
oder
# pkill ipmon # ipmon -aD /var/ipmon.log 02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 129.146.157.145 PR icmp len 20 84 icmp echo/0 IN |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
Leeren Sie den Paketprotokollpuffer.
# ipmon -F |
Im folgenden Beispiel wird die Ausgabe gezeigt, wenn eine Protokolldatei entfernt wird. Das System erstellt auch dann einen Bericht, wenn nichts in der Protokolldatei gespeichert ist; wie in diesem Beispiel.
# ipmon -F 0 bytes flushed from log buffer 0 bytes flushed from log buffer 0 bytes flushed from log buffer |
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
Speichern Sie die protokollierten Pakete in einer Datei.
# cat /dev/ipl > filename |
Setzen Sie die Protokollierung von Paketen in die Datei Dateiname fort, bis Sie den Vorgang durch Drücken von Strg-C unterbrechen, um zur Befehlszeile zu gelangen.
Im folgenden Beispiel wird die Ausgabe gezeigt, wenn protokollierte Pakete in einer Datei gespeichert werden.
# cat /dev/ipl > /tmp/logfile ^C# # ipmon -f /tmp/logfile 02/09/2004 15:30:28.708294 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 52 -S IN 02/09/2004 15:30:28.708708 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2004 15:30:28.792611 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 70 -AP IN 02/09/2004 15:30:28.872000 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2004 15:30:28.872142 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 43 -AP IN 02/09/2004 15:30:28.872808 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2004 15:30:28.872951 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 47 -AP IN 02/09/2004 15:30:28.926792 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 40 -A IN . . (output truncated) |
Zum Erstellen oder Ändern von Regellisten und Adresspools müssen Sie die Konfigurationsdateien direkt bearbeiten. Die Konfigurationsdateien werden nach den Standardregeln zur UNIX-Syntax erstellt:
Das Nummernzeichen (#) kennzeichnet eine Zeile als einen Kommentar.
Regeln und Kommentare können auf der gleichen Zeile vorhanden sein.
Zusätzliche Leerzeichen sind zulässig, um die Lesbarkeit von Regeln zu erhöhen.
Regeln können mehrere Zeilen umfassen. Geben Sie einen umgekehrten Schrägstich (\) am Ende einer Zeile ein, um zu kennzeichnen, dass die Regel auf der nächsten Zeile fortgesetzt wird.
Im folgenden Verfahren wird beschrieben, wie Sie Folgendes einrichten:
Konfigurationsdateien zur Paketfilterung
Konfigurationsdateien für NAT-Regeln
Konfigurationsdateien für Adresspools
Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .
Starten Sie einen Dateieditor Ihrer Wahl. Erstellen oder bearbeiten Sie die Konfigurationsdateien für die Funktion, die Sie konfigurieren möchten.
Zum Erstellen einer Konfigurationsdatei für Paketfilterregeln bearbeiten Sie die Datei ipf.conf.
Oracle Solaris IP Filter verwendet die Paketfilterregeln in der Datei ipf.conf. Wenn Sie die Paketfilterregeln in der Datei /etc/ipf/ipf.conf angeben, wird diese Datei beim Booten des Systems geladen. Sollen die Filterregeln nicht beim Booten geladen werden, speichern Sie die Datei in einem beliebigen anderen Verzeichnis. Sie können die Regeln dann gemäß der Beschreibung unter So aktivieren Sie eine andere oder aktualisierte Paketfilter-Regelliste mit dem Befehl ipf aktivieren.
Informationen zum Erstellen der Paketfilterregeln finden Sie unter Verwenden der Paketfilter-Funktionen in Oracle Solaris IP Filter.
Ist die Datei ipf.conf leer, findet keine Filterung statt. Eine leere ipf.conf-Datei verhält sich wie eine Regelliste mit dem folgenden Inhalt:
pass in all pass out all |
Zum Erstellen einer Konfigurationsdatei für NAT-Regeln bearbeiten Sie die Datei ipnat.conf.
Oracle Solaris IP Filter verwendet die NAT-Regeln in der Datei ipnat.conf. Wenn Sie die NAT-Regeln in der Datei /etc/ipf/ipnat.conf angeben, wird diese Datei beim Booten des Systems geladen. Sollen die NAT-Regeln nicht während des Bootens geladen werden, Datei ipnat.conf in einem beliebigen anderen Verzeichnis. Sie können die NAT-Regeln dann mit dem Befehl ipnat aktivieren.
Informationen zum Erstellen der NAT-Regeln finden Sie unter Verwenden der NAT-Funktion in Oracle Solaris IP Filter.
Zum Erstellen einer Konfigurationsdatei für Adresspools bearbeiten Sie die Datei ippool.conf.
Oracle Solaris IP Filter verwendet den Adresspool in der Datei ippool.conf. Wenn Sie die Adresspool-Regeln in der Datei /etc/ipf/ippool.conf angeben, wird diese Datei beim Booten geladen. Soll der Adresspool nicht beim Booten geladen werden, speichern Sie die Dateiippool.conf in einem beliebigen anderen Verzeichnis. Sie können den Adresspool dann mit dem Befehl ippool aktivieren.
Informationen zum Erstellen von Adresspools finden Sie unter Verwenden der Adresspool-Funktion in Oracle Solaris IP Filter.
Die folgenden Beispiele verdeutlichen die Anwendung von Paketfilterregeln in Paketfilterkonfigurationen.
In diesem Beispiel wird eine Konfiguration auf einem Host-Computer mit der Netzwerkschnittstelle elxl gezeigt.
# pass and log everything by default pass in log on elxl0 all pass out log on elxl0 all # block, but don't log, incoming packets from other reserved addresses block in quick on elxl0 from 10.0.0.0/8 to any block in quick on elxl0 from 172.16.0.0/12 to any # block and log untrusted internal IPs. 0/32 is notation that replaces # address of the machine running Solaris IP Filter. block in log quick from 192.168.1.15 to <thishost> block in log quick from 192.168.1.43 to <thishost> # block and log X11 (port 6000) and remote procedure call # and portmapper (port 111) attempts block in log quick on elxl0 proto tcp from any to elxl0/32 port = 6000 keep state block in log quick on elxl0 proto tcp/udp from any to elxl0/32 port = 111 keep state |
Diese Regel beginnt mit zwei nicht eingeschränkten Regeln, die den gesamten über die Schnittstelle elxl eingehenden und ausgehenden Verkehr zulassen. Die zweite Regelliste blockiert die eingehenden Pakete von den privaten Adressbereichen 10.0.0.0 und 172.16.0.0 und verhindert deren Eintritt in die Firewall. Die nächste Regelliste blockiert bestimmte interne Adressen vom Host-Computer. Abschließend blockiert die letzte Regelliste Pakete, die an Port 6000 und Port 111 eingehen.
In diesem Beispiel wird die Konfiguration für einen Host-Computer gezeigt, der als Webserver arbeitet. Dieser Computer verfügt über die Netzwerkschnittstelle eri.
# web server with an eri interface # block and log everything by default; then allow specific services # group 100 - inbound rules # group 200 - outbound rules # (0/32) resolves to our IP address) *** FTP proxy *** # block short packets which are packets fragmented too short to be real. block in log quick all with short # block and log inbound and outbound by default, group by destination block in log on eri0 from any to any head 100 block out log on eri0 from any to any head 200 # web rules that get hit most often pass in quick on eri0 proto tcp from any \ to eri0/32 port = http flags S keep state group 100 pass in quick on eri0 proto tcp from any \ to eri0/32 port = https flags S keep state group 100 # inbound traffic - ssh, auth pass in quick on eri0 proto tcp from any \ to eri0/32 port = 22 flags S keep state group 100 pass in log quick on eri0 proto tcp from any \ to eri0/32 port = 113 flags S keep state group 100 pass in log quick on eri0 proto tcp from any port = 113 \ to eri0/32 flags S keep state group 100 # outbound traffic - DNS, auth, NTP, ssh, WWW, smtp pass out quick on eri0 proto tcp/udp from eri0/32 \ to any port = domain flags S keep state group 200 pass in quick on eri0 proto udp from any port = domain to eri0/32 group 100 pass out quick on eri0 proto tcp from eri0/32 \ to any port = 113 flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 port = 113 \ to any flags S keep state group 200 pass out quick on eri0 proto udp from eri0/32 to any port = ntp group 200 pass in quick on eri0 proto udp from any port = ntp to eri0/32 port = ntp group 100 pass out quick on eri0 proto tcp from eri0/32 \ to any port = ssh flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 \ to any port = http flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 \ to any port = https flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 \ to any port = smtp flags S keep state group 200 # pass icmp packets in and out pass in quick on eri0 proto icmp from any to eri0/32 keep state group 100 pass out quick on eri0 proto icmp from eri0/32 to any keep state group 200 # block and ignore NETBIOS packets block in quick on eri0 proto tcp from any \ to any port = 135 flags S keep state group 100 block in quick on eri0 proto tcp from any port = 137 \ to any flags S keep state group 100 block in quick on eri0 proto udp from any to any port = 137 group 100 block in quick on eri0 proto udp from any port = 137 to any group 100 block in quick on eri0 proto tcp from any port = 138 \ to any flags S keep state group 100 block in quick on eri0 proto udp from any port = 138 to any group 100 block in quick on eri0 proto tcp from any port = 139 to any flags S keep state group 100 block in quick on eri0 proto udp from any port = 139 to any group 100 |
Das folgende Beispiel zeigt eine Konfiguration für einen Router, der über eine interne Schnittstelle ce0 und eine externe Schnittstelle ce1 verfügt.
# internal interface is ce0 at 192.168.1.1 # external interface is ce1 IP obtained via DHCP # block all packets and allow specific services *** NAT *** *** POOLS *** # Short packets which are fragmented too short to be real. block in log quick all with short # By default, block and log everything. block in log on ce0 all block in log on ce1 all block out log on ce0 all block out log on ce1 all # Packets going in/out of network interfaces that aren't on the loopback # interface should not exist. block in log quick on ce0 from 127.0.0.0/8 to any block in log quick on ce0 from any to 127.0.0.0/8 block in log quick on ce1 from 127.0.0.0/8 to any block in log quick on ce1 from any to 127.0.0.0/8 # Deny reserved addresses. block in quick on ce1 from 10.0.0.0/8 to any block in quick on ce1 from 172.16.0.0/12 to any block in log quick on ce1 from 192.168.1.0/24 to any block in quick on ce1 from 192.168.0.0/16 to any # Allow internal traffic pass in quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24 pass out quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24 # Allow outgoing DNS requests from our servers on .1, .2, and .3 pass out quick on ce1 proto tcp/udp from ce1/32 to any port = domain keep state pass in quick on ce0 proto tcp/udp from 192.168.1.2 to any port = domain keep state pass in quick on ce0 proto tcp/udp from 192.168.1.3 to any port = domain keep state # Allow NTP from any internal hosts to any external NTP server. pass in quick on ce0 proto udp from 192.168.1.0/24 to any port = 123 keep state pass out quick on ce1 proto udp from any to any port = 123 keep state # Allow incoming mail pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = smtp keep state # Allow outgoing connections: SSH, WWW, NNTP, mail, whois pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 22 keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 22 keep state pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 80 keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 80 keep state pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 443 keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 443 keep state pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = nntp keep state block in quick on ce1 proto tcp from any to any port = nntp keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = nntp keep state pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = smtp keep state pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = whois keep state pass out quick on ce1 proto tcp from any to any port = whois keep state # Allow ssh from offsite pass in quick on ce1 proto tcp from any to ce1/32 port = 22 keep state # Allow ping out pass in quick on ce0 proto icmp all keep state pass out quick on ce1 proto icmp all keep state # allow auth out pass out quick on ce1 proto tcp from ce1/32 to any port = 113 keep state pass out quick on ce1 proto tcp from ce1/32 port = 113 to any keep state # return rst for incoming auth block return-rst in quick on ce1 proto tcp from any to any port = 113 flags S/SA # log and return reset for any TCP packets with S/SA block return-rst in log on ce1 proto tcp from any to any flags S/SA # return ICMP error packets for invalid UDP packets block return-icmp(net-unr) in proto udp all |