Kapitel 26 Oracle Solaris IP Filter (Aufgaben)

In diesem Kapitel finden Sie schrittweise Anweisungen zum Arbeiten mit Solaris IP Filter. Eine Einführung in Oracle Solaris IP Filter finden Sie in Kapitel 25Oracle Solaris IP Filter (Übersicht).

Dieses Kapitel enthält die folgenden Informationen:

• Konfiguration von Oracle Solaris IP Filter

• Deaktivieren und Stoppen von Oracle Solaris IP Filter

• Arbeiten mit dem pfil-Modul

• Arbeiten mit Oracle Solaris IP Filter-Regellisten

• Anzeigen von Statistiken und Informationen zu Oracle Solaris IP Filter

• Arbeiten mit Protokolldateien für Oracle Solaris IP Filter

• Erstellen und Bearbeiten von Konfigurationsdateien für Oracle Solaris IP Filter

Konfiguration von Oracle Solaris IP Filter

In der folgenden Tabelle sind die Verfahren zur Konfiguration von Oracle Solaris IP Filter aufgeführt.

So aktivieren Sie Oracle Solaris IP Filter

Mit dem folgenden Verfahren aktivieren Sie Oracle Solaris IP Filter auf einem System, das mindestens Solaris 10 7/07 ausführt. Um Oracle Solaris IP Filter auch dann auszuführen, wenn ein Solaris Oracle Solaris 10-Version vor Solaris 10 7/07 ausgeführt wird, lesen Sie Arbeiten mit dem pfil-Modul.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Erstellen Sie eine Paketfilter-Regelliste.

   Die Paketfilter-Regelliste enthält Regeln, die von Oracle Solaris IP Filter verwendet werden. Wenn die Paketfilterregeln beim Booten geladen werden sollen, müssen Sie die Datei /etc/ipf/ipf.conf so bearbeiten, dass sie die IPv4-Paketfilterung implementiert. Für IPv6-Paketfilterregeln verwenden Sie die Datei /etc/ipf/ipf6.conf. Sollen die Paketfilterregeln nicht beim Booten geladen werden, speichern Sie die Regeln in einer Datei in einem beliebigen Verzeichnis und aktivieren die Paketfilterung dann manuell. Informationen zur Paketfilterung finden Sie unter Verwenden der Paketfilter-Funktionen in Oracle Solaris IP Filter. Informationen zum Arbeiten mit Konfigurationsdateien finden Sie unter Erstellen und Bearbeiten von Konfigurationsdateien für Oracle Solaris IP Filter.

3. (Optional) Erstellen Sie eine Network Address Translation (NAT)-Konfigurationsdatei.

   ---

   Hinweis –

   Network Address Translation (NAT) unterstützt IPv6 nicht.

   ---

   Erstellen Sie eine Datei ipnat.conf, wenn Sie die Network Address Translation verwenden möchten. Wenn die NAT-Regeln beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ipnat.conf, in der Sie die NAT-Regeln anlegen. Sollen die NAT-Regeln nicht beim Booten geladen werden, speichern Sie die Datei ipnat.conf in einem beliebigen anderen Verzeichnis und aktivieren die NAT-Regeln dann manuell.

   Weitere Informationen zu NAT finden Sie unter Verwenden der NAT-Funktion in Oracle Solaris IP Filter.

4. (Optional) Erstellen Sie eine Adresspool-Konfigurationsdatei.

   Erstellen Sie eine Datei ipool.conf, wenn Sie eine Adressengruppe als einen Adresspool ansprechen möchten. Wenn die Adresspool-Konfigurationsdatei beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ippool.conf, in der Sie den Adresspool anlegen. Soll die Adresspool-Konfiguration nicht beim Booten geladen werden, speichern Sie die Datei ippool.conf in einem beliebigen anderen Verzeichnis und aktivieren die Regeln dann manuell.

   Ein Adresspool kann entweder nur IPv4-Adressen oder nur IPv6-Adressen enthalten. Er kann auch sowohl IPv4- als auch IPv6-Adressen enthalten.

   Weitere Informationen zu Adresspools finden Sie unter Verwenden der Adresspool-Funktion in Oracle Solaris IP Filter.

5. (Optional) Aktivieren Sie die Filterung von Loopback-Verkehr.

   Falls Sie beabsichtigen, Datenverkehr zwischen auf Ihrem System konfigurierten Zonen zu filtern, müssen Sie die Loopback-Filterung aktivieren. Lesen Sie dazu So aktivieren Sie die Loopback-Filterung. Denken in Sie daran, entsprechende Regellisten für die Zonen zu definieren.

6. Aktivieren Sie Oracle Solaris IP Filter.

   # svcadm enable network/ipfilter

So aktivieren Sie Oracle Solaris IP Filter erneut

Sie können die Paketfilterung neu aktivieren, nachdem sie vorübergehend deaktiviert wurde.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

2. Starten Sie Oracle Solaris IP Filter und aktivieren Sie die Filterung mithilfe einer der folgenden Methoden:

   • Starten Sie den Computer neu.

     # reboot

     ---

     Hinweis –

     Wenn IP Filter aktiviert ist, werden bei einem Neustart die folgenden Dateien geladen, sofern sie vorhanden sind: die Datei /etc/ipf/ipf.conf, die Datei /etc/ipf/ipf6.conf, wenn IPv6 verwendet wird , oder die Datei /etc/ipf/ipnat.conf.

     ---

   • Rufen Sie die folgenden Befehle auf, um Oracle Solaris IP Filter zu starten und die Filterung zu aktivieren:

     1. Aktivieren Sie Oracle Solaris IP Filter.

        # ipf -E

     2. Aktivieren Sie die Paketfilterung.

        # ipf -f filename

     3. (Optional) Aktivieren Sie NAT.

        # ipnat -f filename

        ---

        Hinweis –

        Network Address Translation (NAT) unterstützt IPv6 nicht.

        ---

So aktivieren Sie die Loopback-Filterung

Sie können Loopback-Verkehr nur dann filtern, wenn Ihr System mindestens Version Solaris 10 7/07 ausführt. In älteren Oracle Solaris 10-Versionen wird die Loopback-Filterung nicht unterstützt.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

2. Halten Sie Oracle Solaris IP Filter an, wenn es ausgeführt wird.

   # svcadm disable network/ipfilter

3. Fügen Sie die folgende Zeile am Anfang der Datei /etc/ipf.conf bzw. der Datei /etc/ipf6.conf ein:

   set intercept_loopback true;

   Die Zeile muss vor allen IP-Filterregeln stehen, die in der Datei definiert sind. Sie können Befehle auch vor dieser Zeile einfügen. Betrachten Sie dazu das folgende Beispiel:

   # # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ...

4. Starten Sie Oracle Solaris IP Filter.

   # svcadm enable network/ipfilter

5. Geben Sie den folgenden Befehl ein, um den Status der Loopback-Filterung zu überprüfen:

   # ipf —T ipf_loopback ipf_loopback min 0 max 0x1 current 1 #

   Wenn die Loopback-Filterung deaktiviert ist, erzeugt der Befehl die folgende Ausgabe:

   ipf_loopback min 0 max 0x1 current 0

Deaktivieren und Stoppen von Oracle Solaris IP Filter

Eventuell muss die Paketfilterung und NAT unter den folgenden Umständen deaktiviert und gestoppt werden:

• Zu Testzwecken

• Zur Fehlerbehandlung von Systemproblemen, wenn Sie glauben, die Probleme werden durch Oracle Solaris IP Filter verursacht

In der folgenden Tabelle sind die Verfahren zum Deaktivieren bzw. zum Stoppen der Oracle Solaris IP Filter-Funktionen aufgeführt.

So deaktivieren Sie die Paketfilterung

Mit dem folgenden Verfahren deaktivieren Sie die Oracle Solaris IP Filter-Paketfilterung, indem Sie die Paketfilterregeln aus der aktiven Regelliste entfernen. Mit diesem Verfahren wird Oracle Solaris IP Filter nicht gestoppt. Sie können Oracle Solaris IP Filter neu aktivieren, indem Sie Regeln wieder zur Regelliste hinzufügen.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

2. Führen Sie eine Methoden aus, um die Oracle Solaris IP Filter-Regeln zu deaktivieren:

   • Entfernen Sie die aktive Regelliste aus dem Kernel.

     # ipf -Fa

     Dieser Befehl deaktiviert die Paketfilterregeln.

   • Entfernen Sie die Filterregeln für eingehende Pakete.

     # ipf -Fi

     Dieser Befehl deaktiviert die Paketfilterregeln für eingehende Pakete.

   • Entfernen Sie die Filterregeln für abgehende Pakete.

     # ipf -Fo

     Dieser Befehl deaktiviert die Paketfilterregeln für abgehende Pakete.

So deaktivieren Sie NAT

Mit dem folgenden Verfahren deaktivieren Sie die Oracle Solaris IP Filter-NAT-Regeln, indem Sie die NAT-Regeln aus der aktiven NAT-Regelliste entfernen. Mit diesem Verfahren wird Oracle Solaris IP Filter nicht deaktiviert. Sie können Oracle Solaris IP Filter neu aktivieren, indem Sie Regeln wieder zur Regelliste hinzufügen.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Entfernen Sie die NAT aus dem Kernel.

   # ipnat -FC

   Die Option -C löscht alle Einträge aus der aktuellen NAT-Regelliste. Mit der Option -F entfernen Sie alle aktiven Einträge aus der aktuellen NAT-Übersetzungstabelle, in der die derzeit aktiven NAT-Zuordnungen aufgeführt sind.

So stoppen Sie die Paketfilterung

Wenn Sie dieses Verfahren ausführen, werden sowohl Paketfilterung als auch NAT aus dem Kernel entfernt. Nachdem Sie dieses Verfahren ausgeführt haben, müssen Sie Solaris IP Filter neu starten, um die Paketfilterung und NAT zu reaktivieren. Weitere Informationen finden Sie unter So aktivieren Sie Oracle Solaris IP Filter erneut.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Stoppen Sie die Paketfilterung und gestatten Sie, dass alle Pakete in das Netzwerk passieren.

   # ipf –D

   ---

   Hinweis –

   Mit dem Befehl ipf -D entfernen Sie die Regeln aus der Regelliste. Wenn Sie die Filterung neu starten möchten, müssen Sie die Regeln wieder zur Regelliste hinzufügen.

   ---

Arbeiten mit dem pfil-Modul

In diesem Abschnitt wird beschrieben, wie Sie das pfil STREAMS-Modul zum Aktivieren oder Deaktivieren von Oracle Solaris IP Filter verwenden und pfil-Statistiken anzeigen. Diese Verfahren gelten nur für Systeme, die eines der folgenden Oracle Solaris-Versionen ausführen:

• Solaris 10 3/05

• Solaris 10 1/06

• Solaris 10 6/06

• Solaris 10 11/06

In der folgenden Tabelle sind die Verfahren aufgeführt, mit denen das pfil-Modul konfiguriert wird.

So aktivieren Sie Oracle Solaris IP Filter in älteren Solaris Oracle Solaris-Versionen

Oracle Solaris IP Filter wird mit Oracle Solaris installiert;. Die Paketfilterung wird jedoch standardmäßig nicht aktiviert. Verwenden Sie das folgende Verfahren, um Oracle Solaris IP Filter zu aktivieren.

Falls auf Ihrem System mindestens Solaris 10 7/07 ausgeführt wird, befolgen Sie das VerfahrenSo aktivieren Sie Oracle Solaris IP Filter, bei dem Eingriffspunkte für Paketfilter eingesetzt werden.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Starten Sie einen Dateieditor und nehmen Sie Änderungen an der Datei /etc/ipf/pfil.ap vor.

   Diese Datei enthält die Namen der Netzwerkschnittstellenkarten (NICs) auf dem Host. Standardmäßig sind diese Namen auskommentiert. Löschen Sie das Kommentarzeichen für Geräte, die den zu filternden Netzwerkverkehr übertragen. Sollte der Name der NIC für Ihr System nicht aufgeführt sein, fügen Sie eine Zeile hinzu, in der diese NIC angegeben wird.

   # vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil

3. Aktivieren Sie Ihre Änderungen an der Datei /etc/ipf/pfil.ap, indem Sie die Serviceinstanz network/pfil neu starten.

   # svcadm restart network/pfil

4. Erstellen Sie eine Paketfilter-Regelliste.

   Die Paketfilter-Regelliste enthält Regeln, die von Oracle Solaris IP Filter verwendet werden. Wenn die Paketfilterregeln beim Booten geladen werden sollen, müssen Sie die Datei /etc/ipf/ipf.conf so bearbeiten, dass sie die IPv4-Paketfilterung implementiert. Für IPv6-Paketfilterregeln verwenden Sie die Datei /etc/ipf/ipf6.conf. Sollen die Paketfilterregeln nicht beim Booten geladen werden, speichern Sie die Regeln in einer Datei in einem beliebigen Verzeichnis und aktivieren die Paketfilterung dann manuell. Informationen zur Paketfilterung finden Sie unter Verwenden der Paketfilter-Funktionen in Oracle Solaris IP Filter. Informationen zum Arbeiten mit Konfigurationsdateien finden Sie unter Erstellen und Bearbeiten von Konfigurationsdateien für Oracle Solaris IP Filter.

5. (Optional) Erstellen Sie eine Network Address Translation (NAT)-Konfigurationsdatei.

   ---

   Hinweis –

   Network Address Translation (NAT) unterstützt IPv6 nicht.

   ---

   Erstellen Sie eine Datei ipnat.conf, wenn Sie die Network Address Translation verwenden möchten. Wenn die NAT-Regeln beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ipnat.conf, in der Sie die NAT-Regeln anlegen. Sollen die NAT-Regeln nicht beim Booten geladen werden, speichern Sie die Datei ipnat.conf in einem beliebigen anderen Verzeichnis und aktivieren die NAT-Regeln dann manuell.

   Weitere Informationen zu NAT finden Sie unter Verwenden der NAT-Funktion in Oracle Solaris IP Filter.

6. (Optional) Erstellen Sie eine Adresspool-Konfigurationsdatei.

   Erstellen Sie eine Datei ipool.conf, wenn Sie eine Adressengruppe als einen Adresspool ansprechen möchten. Wenn die Adresspool-Konfigurationsdatei beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ippool.conf, in der Sie den Adresspool anlegen. Soll die Adresspool-Konfiguration nicht beim Booten geladen werden, speichern Sie die Datei ippool.conf in einem beliebigen anderen Verzeichnis und aktivieren die Regeln dann manuell.

   Ein Adresspool kann entweder nur IPv4-Adressen oder nur IPv6-Adressen enthalten. Er kann auch sowohl IPv4- als auch IPv6-Adressen enthalten.

   Weitere Informationen zu Adresspools finden Sie unter Verwenden der Adresspool-Funktion in Oracle Solaris IP Filter.

7. Aktivieren Sie Oracle Solaris IP Filter mithilfe einer der folgenden Methoden:

   • Aktivieren Sie IP Filter und starten Sie den Computer neu.

     # svcadm enable network/ipfilter # reboot

     ---

     Hinweis –

     Ein Neustart ist erforderlich, wenn Sie die Befehle ifconfig unplumb und ifconfig plumb nicht sicher auf den NICs verwenden können.

     ---

   • Aktivieren Sie die NICs mithilfe der Befehle ifconfig unplumb und ifconfig plumb. Dann aktivieren Sie IP Filter. Die inet6-Version der Schnittstelle muss geplumbt (aktiviert) werden, um eine IPv6-Paketfilterung zu implementieren.

     # ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inte6 unplumb # ifconfig hme0 inet6 plumb fec3:f849::1/96 up # svcadm enable network/ipfilter

     Weitere Informationen zum Befehl ifconfig finden Sie in der Manpage ifconfig(1M).

So aktivieren Sie eine NIC für die Paketfilterung

Oracle Solaris IP Filter wird beim Booten aktiviert, wenn die Datei /etc/ipf/ipf.conf (bzw. die Datei /etc/ipf/ipf6.conf, wenn IPv6 verwendet wird) vorhanden ist. Müssen Sie die Paketfilterung auf einer NIC aktivieren, nachdem Oracle Solaris IP Filter gestartet wurde, verwenden Sie das folgende Verfahren.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Starten Sie einen Dateieditor und nehmen Sie Änderungen an der Datei /etc/ipf/pfil.ap vor.

   Diese Datei enthält die Namen der NICs auf dem Host. Standardmäßig sind diese Namen auskommentiert. Löschen Sie das Kommentarzeichen für Geräte, die den zu filternden Netzwerkverkehr übertragen. Sollte der Name der NIC für Ihr System nicht aufgeführt sein, fügen Sie eine Zeile hinzu, in der diese NIC angegeben wird.

   # vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil

3. Aktivieren Sie Ihre Änderungen an der Datei /etc/ipf/pfil.ap, indem Sie die Serviceinstanz network/pfil neu starten.

   # svcadm restart network/pfil

4. Aktivieren Sie die NIC mithilfe einer der folgenden Methoden:

   • Starten Sie den Computer neu.

     # reboot

     ---

     Hinweis –

     Ein Neustart ist erforderlich, wenn Sie die Befehle ifconfig unplumb und ifconfig plumb nicht sicher auf den NICs verwenden können.

     ---

   • Aktivieren Sie die NICs, wenn Sie die Filterung mithilfe des Befehls ifconfig und den Optionen unplumb und plumb vornehmen möchten. Die inet6-Version der Schnittstelle muss geplumbt (aktiviert) werden, um eine IPv6-Paketfilterung zu implementieren.

     # ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up

     Weitere Informationen zum Befehl ifconfig finden Sie in der Manpage ifconfig(1M).

So deaktivieren Sie Oracle Solaris IP Filter auf einer NIC

Soll die Paketfilterung auf einer NIC gestoppt werden, verwenden Sie das folgende Verfahren.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Starten Sie einen Dateieditor und nehmen Sie Änderungen an der Datei /etc/ipf/pfil.ap vor.

   Diese Datei enthält die Namen der NICs auf dem Host. Die NICs, die zur Filterung des Netzwerkverkehrs verwendet wurden, sind nicht mit einem Kommentarzeichen versehen. Versehen Sie die Geräte, deren Netzwerkverkehr nicht mehr gefiltert werden soll, mit einem Kommentarzeichen.

   # vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil #hme -1 0 pfil (Commented-out device no longer filters network traffic) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil

3. Deaktivieren Sie die NIC mithilfe einer der folgenden Methoden:

   • Starten Sie den Computer neu.

     # reboot

     ---

     Hinweis –

     Ein Neustart ist erforderlich, wenn Sie die Befehle ifconfig unplumb und ifconfig plumb nicht sicher auf den NICs verwenden können.

     ---

   • Deaktivieren Sie die NICs mithilfe des Befehls ifconfig und den Optionen unplumb und plumb. Für die inet6-Version jeder Schnittstelle muss das Plumbing aufgehoben (deaktiviert) werden, um die IPv6-Paketfilterung zu deaktivieren. Führen Sie die folgenden Schritte aus. Das Beispielgerät im System ist hme:

     1. Geben Sie die Hauptnummer des zu deaktivierenden Geräts an.

        # grep hme /etc/name_to_major hme 7

     2. Zeigen Sie die aktuelle autopush-Konfiguration für hme0 an.

        # autopush -g -M 7 -m 0 Major Minor Lastminor Modules 7 ALL - pfil

     3. Entfernen Sie die autopush-Konfiguration.

        # autopush -r -M 7 -m 0

     4. Öffnen Sie das Gerät und weisen Sie dem Gerät IP-Adressen zu.

        # ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up

        Weitere Informationen zum Befehl ifconfig finden Sie in der Manpage ifconfig(1M).

So zeigen Sie die pfil-Statistiken für Oracle Solaris IP Filter an

Zur Fehlerbehebung bei Oracle Solaris IP Filter können Sie die pfil-Statistiken anzeigen.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Anzeigen der pfil-Statistiken.

   # ndd -get /dev/pfil qif_status

Beispiel 26–1 Anzeigen der pfil-Statistiken für Oracle Solaris IP Filter

Im folgenden Beispiel wird gezeigt, wie Sie die pfil-Statistiken anzeigen.

# ndd -get /dev/pfil qif_status
ifname ill q OTHERQ num sap hl nr nw bad copy copyfail drop notip nodata
   notdata
QIF6 0 300011247b8 300011248b0 6 806 0 4 9 0 0 0 0 0 0 0
dmfe1 3000200a018 30002162a50 30002162b48 5 800 14 171 13681 0 0 0 0 0 0 0

Arbeiten mit Oracle Solaris IP Filter-Regellisten

In der folgenden Tabelle sind die Verfahren zum Arbeiten mit den Oracle Solaris IP Filter-Regellisten aufgeführt.

Verwalten der Paketfilter-Regellisten für Oracle Solaris IP Filter

Wenn Solaris IP Filter aktiviert ist, können sowohl aktive als auch inaktive Paketfilter-Regellisten im Kernel gespeichert sein. Die aktive Regelliste legt fest, welche Filterung an eingehenden und abgehenden Paketen durchgeführt wird. Auch in der inaktiven Regelliste sind Regeln gespeichert. Diese Regeln werden jedoch nicht verwendet, bis Sie die inaktive Regelliste zur aktiven Regelliste machen. Sie können sowohl die aktive als auch die inaktive Paketfilter-Regelliste verwalten, anzeigen und ändern.

So zeigen Sie die aktive Paketfilter-Regelliste an

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Zeigen Sie die aktive Paketfilter-Regelliste an, die in den Kernel geladen wurde.

   # ipfstat -io

Beispiel 26–2 Anzeigen der aktiven Paketfilter-Regelliste

Iem folgenden Beispiel wird die Ausgabe der aktiven, in den Kernel geladenen Paketfilter-Regelliste gezeigt.

# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe1 from 192.168.1.0/24 to any
pass in all
block in on dmfe1 from 192.168.1.10/32 to any

So zeigen Sie die inaktive Paketfilter-Regelliste an

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Zeigen Sie die inaktive Paketfilter-Regelliste an.

   # ipfstat -I -io

Beispiel 26–3 Anzeigen der inaktiven Paketfilter-Regelliste

Im folgenden Beispiel wird die Ausgabe der inaktiven Paketfilter-Regelliste gezeigt.

# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all

So aktivieren Sie eine andere oder aktualisierte Paketfilter-Regelliste

Verwenden Sie das folgende Verfahren, wenn Sie eine der folgenden Aufgaben durchführen möchten:

• Aktivieren einer anderen Paketfilter-Regelliste als der, die derzeit von Oracle Solaris IP Filter verwendet wird.

• Neuladen einer aktualisierten Paketfilter-Regelliste.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Führen Sie einen der folgenden Schritte aus:

   • Erstellen Sie eine neue Regelliste in einer separaten Datei Ihrer Wahl, wenn Sie eine vollständig andere Regelliste aktivieren möchten.

   • Aktualisieren Sie die aktuelle Regelliste, indem Sie die Konfigurationsdatei bearbeiten, in der die Regelliste enthalten ist.

3. Entfernen Sie die aktuelle Regelliste und laden Sie eine neue.

   # ipf -Fa -f filename

   Der Dateiname kann entweder der Name einer neuen Datei mit der neuen Regelliste oder der Name einer aktualisierten Datei sein, die die aktive Regelliste enthält.

   Die aktive Regelliste wird aus dem Kernel entfernt. Die Regeln in der Datei Dateiname werden zur aktiven Regelliste.

   ---

   Hinweis –

   Sie müssen diesen Befehl auch dann eingeben, wenn Sie die aktuelle Konfigurationsdatei neu laden. Andernfalls bleibt die alte Regelliste aktiviert, und die geänderte Regelliste in der aktualisierten Konfigurationsdatei wird nicht übernommen.

   Verwenden Sie keine Befehle wie ipf -D oder svcadm restart, um die aktualisierte Regelliste zu laden. Diese Befehle legen Ihr Netzwerk offen, da sie die Firewall vor dem Laden der neuen Regelliste deaktivieren.

   ---

Beispiel 26–4 Aktivieren einer anderen Paketfilter-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie eine Paketfilter-Regelliste durch eine andere Liste in einer separaten Konfigurationsdatei (/etc/ipf/ipf.conf) ersetzen.

# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe all
# ipf -Fa -f /etc/ipf/ipf.conf
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any

Beispiel 26–5 Neuladen einer aktualisierten Paketfilter-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie eine derzeit aktive und aktualisierte Paketfilter-Regelliste neu laden. Die in diesem Beispiel verwendete Datei heißt /etc/ipf/ipf.conf.

# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any

(Edit the /etc/ipf/ipf.conf configuration file.)

# ip -Fa -f /etc/ipf/ipf.conf
# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any
block in quick on elx10 from 192.168.0.0/12 to any

So entfernen Sie eine Paketfilter-Regelliste

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Entfernen Sie die Regelliste.

   # ipf -F [a|i|o]

   -a

   Entfernt alle Filterregeln aus der Regelliste.

   -i

   Entfernt alle Filterregeln für eingehende Pakete.

   -o

   Entfernt alle Filterregeln für abgehende Pakete.

Beispiel 26–6 Entfernen einer Paketfilter-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie alle Filterregeln aus der aktiven Paketfilter-Regelliste entfernen.

# ipfstat -io
block out log on dmf0 all
block in log quick from 10.0.0.0/8 to any
# ipf -Fa
# ipfstat -io
empty list for ipfilter(out)
empty list for ipfilter(in)

So fügen Sie der aktiven Paketfilter-Regelliste Regeln hinzu

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Wählen Sie eine der folgenden Methoden, um der aktiven Regelliste Regeln hinzuzufügen:

   • Fügen Sie die Regeln über eine Befehlszeile mithilfe des Befehls ipf -f - zur Regelliste hinzu.

     # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -

   • Führen Sie einen der folgenden Befehle aus:

     1. Erstellen Sie eine Regelliste in einer Datei Ihrer Wahl.

     2. Fügen Sie die von Ihnen erstellten Regeln zur aktiven Regelliste hinzu.

        # ipf -f filename

        Die Regeln in der Datei Dateiname werden am Ende der aktiven Regelliste eingefügt. Da Solaris IP Filter den „last matching rule“-Algorithmus verwendet, legen die hinzugefügten Regeln die Filterprioritäten fest, es sei denn, sie verwenden das Schlüsselwort quick. Wenn ein Paket einer Regel entspricht, die das Schlüsselwort quick enthält, wird die Aktion für diese Regel ausgeführt und alle weiteren Regeln werden ignoriert.

Beispiel 26–7 Anhängen von Regeln an die aktive Paketfilter-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie eine Regel über die Befehlszeile an die aktive Paketfilter-Regelliste anhängen.

# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any

So fügen Sie der inaktiven Paketfilter-Regelliste Regeln hinzu

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Erstellen Sie eine Regelliste in einer Datei Ihrer Wahl.

3. Fügen Sie die von Ihnen erstellten Regeln zur inaktiven Regelliste hinzu.

   # ipf -I -f filename

   Die Regeln in der Datei Dateiname werden am Ende der inaktiven Regelliste eingefügt. Da Solaris IP Filter den „last matching rule“-Algorithmus verwendet, legen die hinzugefügten Regeln die Filterprioritäten fest, es sei denn, sie verwenden das Schlüsselwort quick. Wenn ein Paket einer Regel entspricht, die das Schlüsselwort quick enthält, wird die Aktion für diese Regel ausgeführt und alle weiteren Regeln werden ignoriert.

Beispiel 26–8 Anhängen von Regeln an die interaktive Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie eine Regel aus einer Datei zur inaktiven Paketfilter-Regelliste hinzufügen.

# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all
# ipf -I -f /etc/ipf/ipf.conf
# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all
block in log quick from 10.0.0.0/8 to any

So wechseln Sie zwischen der aktiven und der inaktiven Paketfilter-Regelliste

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Wechseln Sie von der aktiven zur inaktiven Paketfilter-Regelliste.

   # ipf -s

   Mit diesem Befehl können Sie zwischen der aktiven und der inaktiven Paketfilter-Regelliste im Kernel wechseln. Falls die inaktive Regelliste leer ist, findet keine Paketfilterung statt.

Beispiel 26–9 Wechseln zwischen der aktiven und der inaktiven Paketfilter-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie mit dem Befehl ipf -s die inaktive Regelliste zur aktiven Regelliste machen und die aktive Regelliste zur inaktiven.

• Bevor Sie den Befehl ipf -s ausführen, zeigt die Ausgabe des Befehls ipfstat -I -io die Regeln in der inaktiven Regelliste an. Die Ausgabe des Befehls ipfstat - io zeigt die Regeln in der aktiven Regelliste an.

  # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any

• Nach dem Ausführen des Befehls ipf -s zeigt die Ausgabe der Befehle ipfstat -I -io und ipfstat -io die Inhalte der zwei gewechselten Regellisten an.

  # ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any

So entfernen Sie eine inaktive Paketfilter-Regelliste aus dem Kernel

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Geben Sie die inaktive Regelliste im Befehl „flush all“ an.

   # ipf -I -Fa

   Mit diesem Befehl entfernen Sie die inaktive Paketfilter-Regelliste aus dem Kernel.

   ---

   Hinweis –

   Wenn Sie anschließend den Befehl ipf -s ausführen, wird die leere inaktive Regelliste zur aktiven Regelliste. Eine leere aktive Regelliste bedeutet, dass keine Filterung durchgeführt wird.

   ---

Beispiel 26–10 Löschen einer inaktiven Paketfilter-Regelliste aus dem Kernel

Im folgenden Beispiel wird gezeigt, wie Sie die in aktive Paketfilter-Regelliste entfernen, so dass keine Regeln angewendet werden.

# ipfstat -I -io
empty list for inactive ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any
# ipf -I -Fa
# ipfstat -I -io
empty list for inactive ipfilter(out)
empty list for inactive ipfilter(in)

Verwalten der NAT-Regeln für Oracle Solaris IP Filter

Zum Verwalten, Anzeigen und Ändern der NAT-Regeln verwenden Sie die folgenden Verfahren.

So zeigen Sie die aktiven NAT-Regeln an

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Zeigen Sie die aktiven NAT-Regeln an.

   # ipnat -l

Beispiel 26–11 Anzeigen der aktiven NAT-Regeln

Im folgenden Beispiel wird die Ausgabe der aktiven NAT-Regelliste gezeigt.

# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:

So entfernen Sie NAT-Regeln

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Entfernen Sie die aktuellen NAT-Regeln.

   # ipnat -C

Beispiel 26–12 Entfernen der NAT-Regeln

Im folgenden Beispiel wird gezeigt, wie Sie die Einträge aus der aktuellen NAT-Regelliste entfernen.

# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:
# ipnat -C
1 entries flushed from NAT list
# ipnat -l
List of active MAP/Redirect filters:

List of active sessions:

So hängen Sie Regeln an die NAT-Regelliste an

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Wählen Sie eine der folgenden Methoden, um der aktiven Regelliste Regeln hinzuzufügen:

   • Fügen Sie die Regeln über eine Befehlszeile mithilfe des Befehls ipnat -f - zur NAT-Regelliste hinzu.

     # echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -

   • Führen Sie einen der folgenden Befehle aus:

     1. Erstellen Sie eine NAT-Regelliste in einer Datei Ihrer Wahl.

     2. Fügen Sie die von Ihnen erstellten Regeln zur aktiven NAT-Regelliste hinzu.

        # ipnat -f filename

        Die Regeln in der Datei Dateiname werden am Ende der NAT-Regelliste eingefügt.

Beispiel 26–13 Anhängen von Regeln an die NAT-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie eine Regel über die Befehlszeile an die aktive NAT-Regelliste anhängen.

# ipnat -l
List of active MAP/Redirect filters:

List of active sessions:
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:

Verwalten der Adresspools für Oracle Solaris IP Filter

Zum Verwalten, Anzeigen und Ändern der Adresspools verwenden Sie die folgenden Verfahren.

So zeigen Sie die aktiven Adresspools an

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Zeigen Sie den aktiven Adresspool an.

   # ippool -l

Beispiel 26–14 Anzeigen des aktiven Adresspools

Im folgenden Beispiel wird gezeigt, wie Sie den Inhalt des aktiven Adresspools anzeigen.

# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };

So entfernen Sie einen Adresspool

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Entfernen Sie die Einträge aus dem aktuellen Adresspool.

   # ippool -F

Beispiel 26–15 Entfernen eines Adresspools

Im folgenden Beispiel wird gezeigt, wie Sie einen Adresspool entfernen.

# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# ippool -F
1 object flushed
# ippool -l

So hängen Sie Regeln an einen Adresspool an

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Wählen Sie eine der folgenden Methoden, um der aktiven Regelliste Regeln hinzuzufügen:

   • Fügen Sie die Regeln über eine Befehlszeile mithilfe des Befehls ippool -f - zur Regelliste hinzu.

     # echo "table role = ipf type = tree number = 13 {10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -

   • Führen Sie einen der folgenden Befehle aus:

     1. Erstellen Sie einen zusätzlichen Adresspool in einer Datei Ihrer Wahl.

     2. Fügen Sie die von Ihnen erstellten Regeln zum aktiven Adresspool hinzu.

        # ippool -f filename

        Die Regeln in der Datei Dateiname werden am Ende des aktiven Adresspools eingefügt.

Beispiel 26–16 Anhängen von Regeln an einen Adresspool

Im folgenden Beispiel wird gezeigt, wie Sie einen Adresspool über die Befehlszeile zur aktuellen Adresspool-Regelliste hinzufügen.

# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# echo "table role = ipf type = tree number = 100
 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f -
# ippool -l
table role = ipf type = tree number = 100
        { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; };
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };

Anzeigen von Statistiken und Informationen zu Oracle Solaris IP Filter

So zeigen Sie die Statustabellen für Oracle Solaris IP Filter an

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

2. Zeigen Sie die Statustabelle an.

   # ipfstat

   ---

   Hinweis –

   Mit der Option -t können Sie die Statustabelle im Top Utility-Format anzeigen.

   ---

Beispiel 26–17 Anzeigen der Statustabellen für Oracle Solaris IP Filter

Im folgenden Beispiel wird gezeigt, wie eine Statustabelle angezeigt wird.

# ipfstat
bad packets:            in 0    out 0
 input packets:         blocked 160 passed 11 nomatch 1 counted 0 short 0
output packets:         blocked 0 passed 13681 nomatch 6844 counted 0 short 0
 input packets logged:  blocked 0 passed 0
output packets logged:  blocked 0 passed 0
 packets logged:        input 0 output 0
 log failures:          input 0 output 0
fragment state(in):     kept 0  lost 0
fragment state(out):    kept 0  lost 0
packet state(in):       kept 0  lost 0
packet state(out):      kept 0  lost 0
ICMP replies:   0       TCP RSTs sent:  0
Invalid source(in):     0
Result cache hits(in):  152     (out):  6837
IN Pullups succeeded:   0       failed: 0
OUT Pullups succeeded:  0       failed: 0
Fastroute successes:    0       failures:       0
TCP cksum fails(in):    0       (out):  0
IPF Ticks:      14341469
Packet log flags set: (0)
        none

So zeigen Sie die Statusstatistiken für Oracle Solaris IP Filter an

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

2. Zeigen Sie die Statusstatistiken an.

   # ipfstat -s

Beispiel 26–18 Anzeigen der Statusstatistiken für Oracle Solaris IP Filter

Im folgenden Beispiel wird gezeigt, wie die Statusstatistiken angezeigt werden.

# ipfstat -s
IP states added:
        0 TCP
        0 UDP
        0 ICMP
        0 hits
        0 misses
        0 maximum
        0 no memory
        0 max bucket
        0 active
        0 expired
        0 closed
State logging enabled

State table bucket statistics:
        0 in use        
        0.00% bucket usage
        0 minimal length
        0 maximal length
        0.000 average length

So zeigen Sie die NAT-Statistiken für Oracle Solaris IP Filter an

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

2. Anzeigen der NAT-Statistiken.

   # ipnat -s

Beispiel 26–19 Anzeigen der NAT-Statistiken für Oracle Solaris IP Filter

Im folgenden Beispiel wird gezeigt, wie die NAT-Statistiken angezeigt werden.

# ipnat -s
mapped  in      0       out     0
added   0       expired 0
no memory       0       bad nat 0
inuse   0
rules   1
wilds   0

So zeigen Sie die Adresspool-Statistiken für Oracle Solaris IP Filter an

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

2. Anzeigen der Adresspool-Statistiken.

   # ippool -s

Beispiel 26–20 Anzeigen der Adresspool-Statistiken für Oracle Solaris IP Filter

Im folgenden Beispiel wird gezeigt, wie die Adresspool-Statistiken angezeigt werden.

# ippool -s
Pools:  3
Hash Tables:    0
Nodes:  0

Arbeiten mit Protokolldateien für Oracle Solaris IP Filter

So richten Sie eine Protokolldatei für Oracle Solaris IP Filter ein

In der Standardeinstellung werden alle Informationen für Oracle Solaris IP Filter in der Datei syslogd protokolliert. Richten Sie eine Protokolldatei ein, um Oracle Solaris IP Filter-Verkehrsinformationen getrennt von anderen Daten aufzuzeichnen, die in der Standard-Protokolldatei aufgezeichnet werden. Führen Sie die folgenden Schritte aus.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

2. Fügen Sie der Datei /etc/syslog.conf die beiden folgenden Zeilen hinzu:

   # Save IPFilter log output to its own file local0.debug /var/log/log-name

   ---

   Hinweis –

   Achten Sie in der zweiten Zeile darauf, die Tabulatortaste und nicht die Leertaste zum Trennen von local0.debug und /var/log/Protokollname zu verwenden.

   ---

3. Erstellen Sie die neue Protokolldatei.

   # touch /var/log/log-name

4. Starten Sie den system-log-Service neu.

   # svcadm restart system-log

Beispiel 26–21 Erstellen eines Oracle Solaris IP Filter-Protokolls

Im folgenden Beispiel wird gezeigt, wie Sie die Datei ipmon.log anlegen, um IP-Filterinformationen zu archivieren.

Unter /etc/syslog.conf:

# Save IPFilter log output to its own file 
local0.debug             /var/log/ipmon.log

An der Befehlszeile:

# touch /var/log/ipmon.log
# svcadm restart system-log

So zeigen Sie Oracle Solaris IP Filter-Protokolldateien an

Bevor Sie beginnen

Zum Aufzeichnen der Oracle Solaris IP Filter-Daten sollten Sie eine separate Protokolldatei erstellen. Näheres dazu finden Sie unter So richten Sie eine Protokolldatei für Oracle Solaris IP Filter ein.

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

2. Zeigen Sie die Status-, NAT- oder normalen Protokolldateien an. Zum Anzeigen einer Protokolldatei geben Sie den folgenden Befehl mit der entsprechenden Option an:

   # ipmon -o [S|N|I] filename

   S

   Zeigt die Status-Protokolldatei an.

   N

   Zeigt die NAT-Protokolldatei an.

   I

   Zeigt die normale IP-Protokolldatei an.

   Um alle Status-, NAT- und die normalen Protokolldateien anzuzeigen, geben Sie alle Optionen an:

   # ipmon -o SNI filename

   • Vorausgesetzt, Sie stoppen zunächst manuell den ipmon-Daemon, können Sie auch den folgenden Befehl zum Anzeigen der Status-, NAT- und Oracle Solaris IP Filter-Protokolldateien verwenden:

     # ipmon -a filename

     ---

     Hinweis –

     Rufen Sie den Befehl ipmon -a nicht auf, so lange der ipmon-Daemon noch ausgeführt wird. In der Regel wird der Daemon beim Booten des Systems automatisch gestartet. Mit dem Befehl ipmon -a öffnen Sie darüber hinaus eine weitere Kopie von ipmon. In diesem Fall lesen beide Kopien die gleichen Protokollinformationen, aber nur eine erhält eine bestimmte Protokolldatei.

     ---

   Weitere Informationen zum Anzeigen von Protokolldateien finden Sie in der Manpage ipmon(1M).

Beispiel 26–22 Anzeigen von Oracle Solaris IP Filter-Protokolldateien

Im folgenden Beispiel wird die Ausgabe von /var/ipmon.log gezeigt.

# ipmon -o SNI /var/ipmon.log
02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 
129.146.157.145 PR icmp len 20 84 icmp echo/0 IN

oder

# pkill ipmon
# ipmon -aD /var/ipmon.log
02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 
129.146.157.145 PR icmp len 20 84 icmp echo/0 IN

So leeren Sie die Paketprotokolldatei

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

2. Leeren Sie den Paketprotokollpuffer.

   # ipmon -F

Beispiel 26–23 Leeren der Paketprotokolldatei

Im folgenden Beispiel wird die Ausgabe gezeigt, wenn eine Protokolldatei entfernt wird. Das System erstellt auch dann einen Bericht, wenn nichts in der Protokolldatei gespeichert ist; wie in diesem Beispiel.

# ipmon -F
0 bytes flushed from log buffer
0 bytes flushed from log buffer
0 bytes flushed from log buffer

So speichern Sie protokollierte Pakete in einer Datei

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

2. Speichern Sie die protokollierten Pakete in einer Datei.

   # cat /dev/ipl > filename

   Setzen Sie die Protokollierung von Paketen in die Datei Dateiname fort, bis Sie den Vorgang durch Drücken von Strg-C unterbrechen, um zur Befehlszeile zu gelangen.

Beispiel 26–24 Speichern von protokollierten Paketen in einer Datei

Im folgenden Beispiel wird die Ausgabe gezeigt, wenn protokollierte Pakete in einer Datei gespeichert werden.

# cat /dev/ipl > /tmp/logfile
^C#

# ipmon -f /tmp/logfile
02/09/2004 15:30:28.708294 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 52 -S IN
02/09/2004 15:30:28.708708 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 40 -A IN
02/09/2004 15:30:28.792611 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 70 -AP IN
02/09/2004 15:30:28.872000 hme0 @0:1 p 129.146.157.149,33923 -> 
 129.146.157.145,23 PR tcp len 20 40 -A IN
02/09/2004 15:30:28.872142 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 43 -AP IN
02/09/2004 15:30:28.872808 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 40 -A IN
02/09/2004 15:30:28.872951 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 47 -AP IN
02/09/2004 15:30:28.926792 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 40 -A IN 
.
.
(output truncated)

Erstellen und Bearbeiten von Konfigurationsdateien für Oracle Solaris IP Filter

Zum Erstellen oder Ändern von Regellisten und Adresspools müssen Sie die Konfigurationsdateien direkt bearbeiten. Die Konfigurationsdateien werden nach den Standardregeln zur UNIX-Syntax erstellt:

• Das Nummernzeichen (#) kennzeichnet eine Zeile als einen Kommentar.

• Regeln und Kommentare können auf der gleichen Zeile vorhanden sein.

• Zusätzliche Leerzeichen sind zulässig, um die Lesbarkeit von Regeln zu erhöhen.

• Regeln können mehrere Zeilen umfassen. Geben Sie einen umgekehrten Schrägstich (\) am Ende einer Zeile ein, um zu kennzeichnen, dass die Regel auf der nächsten Zeile fortgesetzt wird.

So erstellen Sie eine Konfigurationsdatei für Oracle Solaris IP Filter

Im folgenden Verfahren wird beschrieben, wie Sie Folgendes einrichten:

• Konfigurationsdateien zur Paketfilterung

• Konfigurationsdateien für NAT-Regeln

• Konfigurationsdateien für Adresspools

1. Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

   Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services .

2. Starten Sie einen Dateieditor Ihrer Wahl. Erstellen oder bearbeiten Sie die Konfigurationsdateien für die Funktion, die Sie konfigurieren möchten.

   • Zum Erstellen einer Konfigurationsdatei für Paketfilterregeln bearbeiten Sie die Datei ipf.conf.

     Oracle Solaris IP Filter verwendet die Paketfilterregeln in der Datei ipf.conf. Wenn Sie die Paketfilterregeln in der Datei /etc/ipf/ipf.conf angeben, wird diese Datei beim Booten des Systems geladen. Sollen die Filterregeln nicht beim Booten geladen werden, speichern Sie die Datei in einem beliebigen anderen Verzeichnis. Sie können die Regeln dann gemäß der Beschreibung unter So aktivieren Sie eine andere oder aktualisierte Paketfilter-Regelliste mit dem Befehl ipf aktivieren.

     Informationen zum Erstellen der Paketfilterregeln finden Sie unter Verwenden der Paketfilter-Funktionen in Oracle Solaris IP Filter.

     ---

     Hinweis –

     Ist die Datei ipf.conf leer, findet keine Filterung statt. Eine leere ipf.conf-Datei verhält sich wie eine Regelliste mit dem folgenden Inhalt:

     pass in all pass out all

     ---

   • Zum Erstellen einer Konfigurationsdatei für NAT-Regeln bearbeiten Sie die Datei ipnat.conf.

     Oracle Solaris IP Filter verwendet die NAT-Regeln in der Datei ipnat.conf. Wenn Sie die NAT-Regeln in der Datei /etc/ipf/ipnat.conf angeben, wird diese Datei beim Booten des Systems geladen. Sollen die NAT-Regeln nicht während des Bootens geladen werden, Datei ipnat.conf in einem beliebigen anderen Verzeichnis. Sie können die NAT-Regeln dann mit dem Befehl ipnat aktivieren.

     Informationen zum Erstellen der NAT-Regeln finden Sie unter Verwenden der NAT-Funktion in Oracle Solaris IP Filter.

   • Zum Erstellen einer Konfigurationsdatei für Adresspools bearbeiten Sie die Datei ippool.conf.

     Oracle Solaris IP Filter verwendet den Adresspool in der Datei ippool.conf. Wenn Sie die Adresspool-Regeln in der Datei /etc/ipf/ippool.conf angeben, wird diese Datei beim Booten geladen. Soll der Adresspool nicht beim Booten geladen werden, speichern Sie die Dateiippool.conf in einem beliebigen anderen Verzeichnis. Sie können den Adresspool dann mit dem Befehl ippool aktivieren.

     Informationen zum Erstellen von Adresspools finden Sie unter Verwenden der Adresspool-Funktion in Oracle Solaris IP Filter.

Beispiel für Oracle Solaris IP Filter-Konfigurationsdateien

Die folgenden Beispiele verdeutlichen die Anwendung von Paketfilterregeln in Paketfilterkonfigurationen.

Beispiel 26–25 Oracle Solaris IP Filter-Hostkonfiguration

In diesem Beispiel wird eine Konfiguration auf einem Host-Computer mit der Netzwerkschnittstelle elxl gezeigt.

# pass and log everything by default
pass in log on elxl0 all
pass out log on elxl0 all

# block, but don't log, incoming packets from other reserved addresses
block in quick on elxl0 from 10.0.0.0/8 to any
block in quick on elxl0 from 172.16.0.0/12 to any

# block and log untrusted internal IPs. 0/32 is notation that replaces 
# address of the machine running Solaris IP Filter.
block in log quick from 192.168.1.15 to <thishost>
block in log quick from 192.168.1.43 to <thishost>

# block and log X11 (port 6000) and remote procedure call 
# and portmapper (port 111) attempts
block in log quick on elxl0 proto tcp from any to elxl0/32 port = 6000 keep state
block in log quick on elxl0 proto tcp/udp from any to elxl0/32 port = 111 keep state

Diese Regel beginnt mit zwei nicht eingeschränkten Regeln, die den gesamten über die Schnittstelle elxl eingehenden und ausgehenden Verkehr zulassen. Die zweite Regelliste blockiert die eingehenden Pakete von den privaten Adressbereichen 10.0.0.0 und 172.16.0.0 und verhindert deren Eintritt in die Firewall. Die nächste Regelliste blockiert bestimmte interne Adressen vom Host-Computer. Abschließend blockiert die letzte Regelliste Pakete, die an Port 6000 und Port 111 eingehen.

Beispiel 26–26 Oracle Solaris IP Filter-Serverkonfiguration

In diesem Beispiel wird die Konfiguration für einen Host-Computer gezeigt, der als Webserver arbeitet. Dieser Computer verfügt über die Netzwerkschnittstelle eri.

# web server with an eri interface
# block and log everything by default; then allow specific services
# group 100 - inbound rules
# group 200 - outbound rules
# (0/32) resolves to our IP address)
*** FTP proxy ***


# block short packets which are packets fragmented too short to be real.
block in log quick all with short


# block and log inbound and outbound by default, group by destination
block in log on eri0 from any to any head 100
block out log on eri0 from any to any head 200


# web rules that get hit most often
pass in quick on eri0 proto tcp from any \
to eri0/32 port = http flags S keep state group 100
pass in quick on eri0 proto tcp from any \
to eri0/32 port = https flags S keep state group 100


# inbound traffic - ssh, auth
pass in quick on eri0 proto tcp from any \
to eri0/32 port = 22 flags S keep state group 100
pass in log quick on eri0 proto tcp from any \
to eri0/32 port = 113 flags S keep state group 100
pass in log quick on eri0 proto tcp from any port = 113 \
to eri0/32 flags S keep state group 100


# outbound traffic - DNS, auth, NTP, ssh, WWW, smtp
pass out quick on eri0 proto tcp/udp from eri0/32 \
to any port = domain flags S keep state group 200
pass in quick on eri0 proto udp from any port = domain to eri0/32 group 100

pass out quick on eri0 proto tcp from eri0/32 \
to any port = 113 flags S keep state group 200
pass out quick on eri0 proto tcp from eri0/32 port = 113 \
to any flags S keep state group 200

pass out quick on eri0 proto udp from eri0/32 to any port = ntp group 200
pass in quick on eri0 proto udp from any port = ntp to eri0/32 port = ntp group 100

pass out quick on eri0 proto tcp from eri0/32 \
to any port = ssh flags S keep state group 200

pass out quick on eri0 proto tcp from eri0/32 \
to any port = http flags S keep state group 200
pass out quick on eri0 proto tcp from eri0/32 \
to any port = https flags S keep state group 200

pass out quick on eri0 proto tcp from eri0/32 \
to any port = smtp flags S keep state group 200


# pass icmp packets in and out
pass in quick on eri0 proto icmp from any to eri0/32  keep state group 100
pass out quick on eri0 proto icmp from eri0/32 to any keep state group 200


# block and ignore NETBIOS packets
block in quick on eri0 proto tcp from any \
to any port = 135 flags S keep state group 100

block in quick on eri0 proto tcp from any port = 137 \
to any flags S keep state group 100
block in quick on eri0 proto udp from any to any port = 137 group 100
block in quick on eri0 proto udp from any port = 137 to any group 100

block in quick on eri0 proto tcp from any port = 138 \
to any flags S keep state group 100
block in quick on eri0 proto udp from any port = 138 to any group 100

block in quick on eri0 proto tcp from any port = 139 to any flags S keep state
group 100
block in quick on eri0 proto udp from any port = 139 to any group 100

Beispiel 26–27 Oracle Solaris IP Filter-Routerkonfiguration

Das folgende Beispiel zeigt eine Konfiguration für einen Router, der über eine interne Schnittstelle ce0 und eine externe Schnittstelle ce1 verfügt.

# internal interface is ce0 at 192.168.1.1
# external interface is ce1 IP obtained via DHCP
# block all packets and allow specific services
*** NAT ***
*** POOLS ***


# Short packets which are fragmented too short to be real.
block in log quick all with short


# By default, block and log everything.
block in log on ce0 all
block in log on ce1 all
block out log on ce0 all
block out log on ce1 all


# Packets going in/out of network interfaces that aren't on the loopback
# interface should not exist.
block in log quick on ce0 from 127.0.0.0/8 to any
block in log quick on ce0 from any to 127.0.0.0/8
block in log quick on ce1 from 127.0.0.0/8 to any
block in log quick on ce1 from any to 127.0.0.0/8


# Deny reserved addresses.
block in quick on ce1 from 10.0.0.0/8 to any
block in quick on ce1 from 172.16.0.0/12 to any
block in log quick on ce1 from 192.168.1.0/24 to any
block in quick on ce1 from 192.168.0.0/16 to any


# Allow internal traffic
pass in quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24
pass out quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24


# Allow outgoing DNS requests from our servers on .1, .2, and .3
pass out quick on ce1 proto tcp/udp from ce1/32 to any port = domain keep state
pass in quick on ce0 proto tcp/udp from 192.168.1.2 to any port = domain keep state
pass in quick on ce0 proto tcp/udp from 192.168.1.3 to any port = domain keep state


# Allow NTP from any internal hosts to any external NTP server.
pass in quick on ce0 proto udp from 192.168.1.0/24 to any port = 123 keep state
pass out quick on ce1 proto udp from any to any port = 123 keep state


# Allow incoming mail
pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state
pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = smtp keep state


# Allow outgoing connections: SSH, WWW, NNTP, mail, whois
pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 22 keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 22 keep state

pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 80 keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 80 keep state
pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 443 keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 443 keep state

pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = nntp keep state
block in quick on ce1 proto tcp from any to any port = nntp keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = nntp keep state

pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = smtp keep state

pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = whois keep state
pass out quick on ce1 proto tcp from any to any port = whois keep state


# Allow ssh from offsite
pass in quick on ce1 proto tcp from any to ce1/32 port = 22 keep state


# Allow ping out
pass in quick on ce0 proto icmp all keep state
pass out quick on ce1 proto icmp all keep state


# allow auth out
pass out quick on ce1 proto tcp from ce1/32 to any port = 113 keep state
pass out quick on ce1 proto tcp from ce1/32 port = 113 to any keep state


# return rst for incoming auth
block return-rst in quick on ce1 proto tcp from any to any port = 113 flags S/SA


# log and return reset for any TCP packets with S/SA
block return-rst in log on ce1 proto tcp from any to any flags S/SA


# return ICMP error packets for invalid UDP packets
block return-icmp(net-unr) in proto udp all