test

Guía de administración del sistema: servicios IP

Conjuntos de reglas del filtro IP de Oracle Solaris

El siguiente mapa de tareas identifica los procedimientos asociados con los conjuntos de reglas del filtro IP de Oracle Solaris.

Tabla 26–4 Conjuntos de reglas del filtro IP de Oracle Solaris (mapa de tareas)

Tarea 

Descripción 

Para obtener instrucciones 

Administrar, ver y modificar los conjuntos de reglas de filtros de paquetes del filtro IP de Oracle Solaris. 

 

Administración de conjuntos de reglas de filtros de paquetes para el filtro IP de Oracle Solaris

 

Visualiza un conjunto de reglas de filtros de paquetes activo. 

Cómo visualizar el conjunto de reglas de filtros de paquetes activo

 

Visualiza un conjunto de reglas de filtros de paquetes inactivo. 

Cómo visualizar el conjunto de reglas de filtros de paquetes inactivo

 

Activa un conjunto de reglas activo distinto. 

Cómo activar un conjunto de reglas de filtros de paquetes diferente o actualizado

 

Elimina un conjunto de reglas. 

Cómo eliminar un conjunto de reglas de filtros de paquetes

 

Agrega reglas a los conjuntos de reglas. 

Cómo anexar reglas al conjunto de reglas de filtros de paquetes activo

Cómo anexar reglas al conjunto de reglas de filtros de paquetes inactivo

 

Pasa de los conjuntos de reglas activos a los inactivos y viceversa. 

Cómo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo

 

Elimina un conjunto de reglas inactivo del núcleo. 

Cómo eliminar un conjunto de reglas de filtros de paquetes inactivo del núcleo

Administrar, ver y modificar las reglas NAT del filtro IP de Oracle Solaris. 

 

Administración de reglas NAT para el filtro IP de Oracle Solaris

 

Visualiza las reglas NAT activas. 

Cómo ver las reglas NAT activas

 

Elimina las reglas NAT. 

Cómo eliminar reglas NAT

 

Agrega las reglas adicionales a las reglas NAT. 

Como anexar reglas a las reglas NAT

Administrar, ver y modificar las agrupaciones de direcciones del filtro IP de Oracle Solaris. 

 

Administración de agrupaciones de direcciones para el filtro IP de Oracle Solaris

 

Visualiza las agrupaciones de direcciones activas. 

Cómo ver las agrupaciones de direcciones activas

 

Elimina una agrupación de direcciones. 

Cómo eliminar una agrupación de direcciones

 

Agrega reglas adicionales a una agrupación de direcciones. 

Cómo anexar reglas a una agrupación de direcciones

Administración de conjuntos de reglas de filtros de paquetes para el filtro IP de Oracle Solaris

Cuando el Filtro IP de Solaris está activo, tanto los conjuntos de reglas de filtros de paquetes activos como los inactivos pueden residir en el núcleo. El conjunto de reglas activo determina el filtro que se está aplicando en los paquetes entrantes y salientes. El conjunto de reglas inactivo también guarda las reglas. Estas reglas no se utilizan a menos que convierta el conjunto de reglas inactivo en el conjunto activo. Puede administrar, ver y modificar los conjuntos de reglas de filtros de paquetes activos e inactivos.

ProcedureCómo visualizar el conjunto de reglas de filtros de paquetes activo

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Visualice el conjunto de reglas de filtros de paquetes activo que se ha cargado en el núcleo.


    # ipfstat -io
Ejemplo 26–2 Visualización del conjunto de reglas de filtros de paquetes activo

En el ejemplo siguiente se muestra el resultado del conjunto de reglas de filtros de paquetes activo que está cargado en el núcleo.


# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe1 from 192.168.1.0/24 to any
pass in all
block in on dmfe1 from 192.168.1.10/32 to any

ProcedureCómo visualizar el conjunto de reglas de filtros de paquetes inactivo

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Visualice el conjunto de reglas de filtros de paquetes inactivo.


    # ipfstat -I -io
Ejemplo 26–3 Visualización del conjunto de reglas de filtros de paquetes inactivo

El ejemplo siguiente muestra el resultado del conjunto de reglas de filtros de paquetes inactivo.


# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all

ProcedureCómo activar un conjunto de reglas de filtros de paquetes diferente o actualizado

Siga este procedimiento para llevar a cabo una de las tareas siguientes:

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Elija uno de estos pasos:

    • Cree un conjunto de reglas en un archivo diferente si desea activar un conjunto de reglas completamente distinto.

    • Actualice el conjunto de reglas actual editando el archivo de configuración que lo contiene.

  3. Elimine el conjunto de reglas actual y cargue el nuevo.


    # ipf -Fa -f filename

    El nombre_archivo puede ser el nuevo archivo con el nuevo conjunto de reglas o el archivo actualizado que contenga el conjunto de reglas activo.

    El conjunto de reglas activo se elimina del núcleo. Las reglas del archivo nombre_archivo pasan a ser el conjunto de reglas activo.

    Nota –

    Es preciso ejecutar el comando aunque esté volviendo a cargar el archivo de configuración actual. De lo contrario, el antiguo conjunto de reglas seguirá funcionando, y no se aplicará el conjunto de reglas modificado en el archivo de configuración actualizado.

    No utilice comandos como ipf -D o svcadm restart para cargar el conjunto de reglas actualizado. Dichos comandos ponen en peligro la red al desactivar el cortafuegos antes de cargar el nuevo conjunto de reglas.

Ejemplo 26–4 Activación de un conjunto de reglas de filtros de paquetes diferente

El ejemplo siguiente muestra cómo reemplazar un conjunto de reglas de filtros de paquetes por otro en un archivo de configuración distinto, /etc/ipf/ipf.conf.


# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe all
# ipf -Fa -f /etc/ipf/ipf.conf
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
Ejemplo 26–5 Cómo volver a cargar un conjunto de reglas de filtros de paquetes actualizado

El ejemplo siguiente muestra cómo volver a cargar un conjunto de reglas de filtros de paquetes activo y luego actualizarlo. En este ejemplo, el archivo en uso es /etc/ipf/ipf.conf.


# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any

(Edit the /etc/ipf/ipf.conf configuration file.)

# ip -Fa -f /etc/ipf/ipf.conf
# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any
block in quick on elx10 from 192.168.0.0/12 to any

ProcedureCómo eliminar un conjunto de reglas de filtros de paquetes

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Elimine el conjunto de reglas.


    # ipf -F [a|i|o]
    -a

    Elimina todas las reglas de filtros del conjunto de reglas.

    -i

    Elimina las reglas de filtros de los paquetes entrantes.

    -o

    Elimina las reglas de filtros de los paquetes salientes.

Ejemplo 26–6 Eliminación de un conjunto de reglas de filtros de paquetes

El ejemplo siguiente muestra cómo eliminar todas las reglas de filtros del conjunto de reglas de filtros activo.


# ipfstat -io
block out log on dmf0 all
block in log quick from 10.0.0.0/8 to any
# ipf -Fa
# ipfstat -io
empty list for ipfilter(out)
empty list for ipfilter(in)

ProcedureCómo anexar reglas al conjunto de reglas de filtros de paquetes activo

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Utilice uno de os métodos siguientes para anexar reglas al conjunto de reglas activo:

    • Anexe reglas al conjunto de reglas en la línea de comandos con el comando ipf -f -.


      # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -

    • Ejecute los comandos siguientes:

      1. Cree un conjunto de reglas en el archivo que desee.

      2. Agregue las reglas que ha creado al conjunto de reglas activo.


        # ipf -f filename

        Las reglas de nombre_archivo se agregan al final del conjunto de reglas activo. Dado que el Filtro IP de Solaris utiliza un algoritmo de "última regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la acción de dicha regla y no se comprueban las reglas subsiguientes.

Ejemplo 26–7 Cómo anexar reglas al conjunto de reglas de filtros de paquetes activo

El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas de filtros de paquetes activo desde la línea de comandos.


# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any

ProcedureCómo anexar reglas al conjunto de reglas de filtros de paquetes inactivo

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Cree un conjunto de reglas en el archivo que desee.

  3. Agregue las reglas que ha creado al conjunto de reglas inactivo.


    # ipf -I -f filename

    Las reglas de nombre_archivo se agregan al final del conjunto de reglas inactivo. Dado que el Filtro IP de Solaris utiliza un algoritmo de "última regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la acción de dicha regla y no se comprueban las reglas subsiguientes.

Ejemplo 26–8 Cómo anexar reglas al conjunto de reglas inactivo

El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas inactivo desde un archivo.


# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all
# ipf -I -f /etc/ipf/ipf.conf
# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all
block in log quick from 10.0.0.0/8 to any

ProcedureCómo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Alterne los conjuntos de reglas activo e inactivo.


    # ipf -s

    Este comando permite alternar entre los conjuntos de reglas activo e inactivo del núcleo. Si el conjunto de reglas inactivo está vacío, no se aplicará ningún filtro de paquetes.

Ejemplo 26–9 Cómo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo

El ejemplo siguiente muestra cómo el uso del comando ipf -s convierte el conjunto de reglas inactivo en el conjunto activo y viceversa.

ProcedureCómo eliminar un conjunto de reglas de filtros de paquetes inactivo del núcleo

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Especifique el conjunto de reglas inactivo en el comando "flush all".


    # ipf -I -Fa

    Este comando vacía el conjunto de reglas inactivo del núcleo.

    Nota –

    Si ejecuta posteriormente ipf -s, el conjunto de reglas inactivo vacío se convertirá en el conjunto de reglas activo. Un conjunto de reglas activo vacío implica que no se aplicará ningún filtro.

Ejemplo 26–10 Cómo eliminar un conjunto de reglas de filtros de paquetes inactivo del núcleo

El ejemplo siguiente muestra cómo vaciar el conjunto de reglas de filtros de paquetes inactivo para eliminar todas las reglas.


# ipfstat -I -io
empty list for inactive ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any
# ipf -I -Fa
# ipfstat -I -io
empty list for inactive ipfilter(out)
empty list for inactive ipfilter(in)

Administración de reglas NAT para el filtro IP de Oracle Solaris

Utilice el procedimiento siguiente para administrar, ver y modificar las reglas NAT.

ProcedureCómo ver las reglas NAT activas

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Visualice las reglas NAT activas.


    # ipnat -l
Ejemplo 26–11 Visualización de las reglas NAT activas

El ejemplo siguiente muestra el resultado del conjunto de reglas NAT activo.


# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:

ProcedureCómo eliminar reglas NAT

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Elimine las reglas NAT actuales.


    # ipnat -C
Ejemplo 26–12 Eliminación de reglas NAT

Con el ejemplo siguiente aprenderá a eliminar las entradas de las reglas NAT actuales.


# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:
# ipnat -C
1 entries flushed from NAT list
# ipnat -l
List of active MAP/Redirect filters:

List of active sessions:

ProcedureComo anexar reglas a las reglas NAT

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Utilice uno de os métodos siguientes para anexar reglas al conjunto de reglas activo:

    • Anexe reglas al conjunto de reglas NAT en la línea de comandos con el comando ipnat -f -.


      # echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -

    • Ejecute los comandos siguientes:

      1. Cree reglas NAT adicionales en el archivo que desee.

      2. Agregue las reglas que ha creado al conjunto de reglas NAT activo.


        # ipnat -f filename

        Las reglas de nombre_archivo se agregan al final de las reglas NAT.

Ejemplo 26–13 Cómo anexar reglas al conjunto de reglas NAT

El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas NAT desde la línea de comandos.


# ipnat -l
List of active MAP/Redirect filters:

List of active sessions:
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:

Administración de agrupaciones de direcciones para el filtro IP de Oracle Solaris

Utilice los procedimientos siguientes para administrar, ver y modificar las agrupaciones de direcciones.

ProcedureCómo ver las agrupaciones de direcciones activas

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Visualice la agrupación de direcciones activa.


    # ippool -l
Ejemplo 26–14 Visualización de la agrupación de direcciones activa

El ejemplo siguiente muestra cómo visualizar el contenido de la agrupación de direcciones activa.


# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };

ProcedureCómo eliminar una agrupación de direcciones

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Elimine las entradas de la agrupación de direcciones actual.


    # ippool -F
Ejemplo 26–15 Cómo eliminar una agrupación de direcciones

El ejemplo siguiente muestra cómo eliminar una agrupación de direcciones.


# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# ippool -F
1 object flushed
# ippool -l

ProcedureCómo anexar reglas a una agrupación de direcciones

  1. Asuma un rol que incluya el perfil con derechos de administración del filtro IP, o conviértase en superusuario.

    Puede asignar el perfil con derechos de administración del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Utilice uno de os métodos siguientes para anexar reglas al conjunto de reglas activo:

    • Anexe reglas al conjunto de reglas en la línea de comandos utilizando el comando ippool -f -.


      # echo "table role = ipf type = tree number = 13 
{10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -

    • Ejecute los comandos siguientes:

      1. Cree agrupaciones de direcciones adicionales en el archivo que desee.

      2. Agregue las reglas que ha creado al conjunto de direcciones activo.


        # ippool -f filename

        Las reglas de nombre_archivo se agregan al final de la agrupación de direcciones activa.

Ejemplo 26–16 Cómo anexar reglas a una agrupación de direcciones

El ejemplo siguiente muestra cómo agregar una agrupación de direcciones al conjunto de reglas de la agrupación de direcciones desde la línea de comandos.


# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# echo "table role = ipf type = tree number = 100
 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f -
# ippool -l
table role = ipf type = tree number = 100
        { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; };
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };