test

Guide d'administration système : services IP

Chapitre 25 Oracle Solaris IP Filter (présentation)

Ce chapitre offre un aperçu de Oracle Solaris IP Filter. Pour plus d'informations sur les tâches de Oracle Solaris IP Filter, reportez-vous au Chapitre 26Oracle Solaris IP Filter (tâches).

Le présent chapitre contient les informations suivantes :

Nouvelles fonctions de Oracle Solaris IP Filter

Cette section décrit les nouvelles fonctions de Oracle Solaris IP Filter.

Vous trouverez une liste complète des nouvelles fonctionnalités de Oracle Solaris et la description des différentes versions de cette application dans le document Nouveautés apportées à Oracle Solaris 10 9/10

Crochets de filtre de paquets

À partir de la version Solaris 10 7/07:, les crochets de filtre de paquets sont désormais utilisés pour filtrer les paquets dans Oracle Solaris. Cette fonctionnalité offre les avantages suivants pour l'administration du système :

Pour de plus amples informations sur ces crochets, reportez-vous à la section Crochets de filtre de paquets. Pour obtenir la description des tâches associées aux crochets de filtre de paquets, reportez-vous au Chapitre 26Oracle Solaris IP Filter (tâches).

Filtrage de paquets IPv6 pour Oracle Solaris IP Filter

Solaris 10 6/06 : pour les administrateurs système dont une partie de l'infrastructure réseau est configurée avec le protocole IPv6, le filtrage de paquets IPv6 est dorénavant compris dans Oracle Solaris IP Filter. Ce filtrage peut se baser sur l'adresse IPv6 source/de destination, sur les pools contenant des adresses IPv6 et sur les en-têtes d'extension IPv6.

L'option -6 a été ajoutée aux commandes ipf et ipfstat pour les utiliser avec IPv6. L'interface de ligne de commande ne change pas pour les commandes ipmon et ippool, mais celles-ci prennent également en charge IPv6. La commande ipmon a été améliorée afin de permettre la journalisation des paquets IPv6 et la commande ippool prend désormais en charge l'inclusion des adresses IPv6 dans les pools.

Pour plus d'informations, reportez-vous à la section IPv6 pour Oracle Solaris IP Filter. Pour obtenir la description des tâches associées au filtrage de paquets IPv6, reportez-vous au Chapitre 26Oracle Solaris IP Filter (tâches).

Introduction à Oracle Solaris IP Filter

Oracle Solaris IP Filter remplace le pare-feu SunScreen en tant que logiciel de pare-feu pour Oracle Solaris. Tout comme le pare-feu SunScreen, Oracle Solaris IP Filter assure un filtrage de paquets avec état, ainsi que la translation d'adresse réseau (NAT, Network Address Translation). Oracle Solaris IP Filter permet également de filtrer les paquets sans état, ainsi que la création et la gestion des pools d'adresses.

Le filtrage de paquets assure une protection de base contre les attaques potentielles via le réseau. Oracle Solaris IP Filter peut filtrer les paquets par adresse IP, port, protocole, interface réseau et direction de trafic. Oracle Solaris IP Filter peut également filtrer par adresse IP source individuelle, adresse IP de destination, plage d'adresses IP ou pool d'adresses.

Oracle Solaris IP Filter est dérivé du logiciel Open Source IP Filter. Les modalités de la licence, l'attribution et le copyright du logiciel Open Source IP Filter se trouvent par défaut à l'emplacement suivant :/usr/lib/ipf/IPFILTER.LICENCE. Si vous avez installé Oracle Solaris dans un autre emplacement que celui par défaut, modifiez le chemin afin d'accéder au fichier se trouvant à l'emplacement de l'installation.

Sources d'informations pour le logiciel Open Source IP Filter

La page d'accueil du logiciel Open Source IP Filter de Darren Reed se trouve à l'adresse http://coombs.anu.edu.au/~avalon/ip-filter.html. Ce site Web fournit des informations relatives au logiciel Open Source IP Filter, notamment un lien vers le didacticiel "IP Filter Based Firewalls HOWTO" (Brendan Conoboy et Erik Fichtner, 2002). Vous trouverez dans ce didacticiel les instructions de construction de pare-feux dans un environnement BSD UNIX, expliquées pas à pas. Bien qu'il soit destiné à un environnement BSD UNIX, ce didacticiel peut également s'appliquer à la configuration de Oracle Solaris IP Filter.

Traitement des paquets de Oracle Solaris IP Filter

Lors du traitement d'un paquet, Oracle Solaris IP Filter exécute une série d'étapes. Le diagramme ci-dessous illustre les étapes du traitement d'un paquet et l'intégration du filtrage à la pile de protocole TCP/IP.

Figure 25–1 Séquence de traitement d'un paquet

Affiche les étapes associées au traitement d'un paquet par Oracle Solaris IP Filter.

Le traitement d'un paquet inclut les opérations suivantes :

Recommandations concernant l'utilisation de OpenSolaris IP Filter

Utilisation des fichiers de configuration Oracle Solaris IP Filter

Oracle Solaris IP Filter peut assurer des services de pare-feu ou de translation d'adresse réseau (NAT, Network Address Translation). Vous pouvez implémenter Oracle Solaris IP Filter en chargeant des fichiers de configuration. Oracle Solaris IP Filter contient un répertoire appelé /etc/ipf. Vous pouvez créer et enregistrer les fichiers de configuration ipf.conf, ipnat.conf et ippool.conf dans le répertoire /etc/ipf. Si ces fichiers existent dans le répertoire /etc/ipf, ils sont automatiquement chargés à l'initialisation. Il est également possible d'enregistrer les fichiers de configuration à un autre emplacement, puis de les charger manuellement. Pour obtenir des exemples de fichiers de configuration, reportez-vous à la section Création et modification des fichiers de configuration Oracle Solaris IP Filter.

Utilisation des ensembles de règles Oracle Solaris IP Filter

Pour gérer le pare-feu, vous devez spécifier des ensembles de règles à l'aide de Oracle Solaris IP Filter et filtrer le trafic réseau en fonction de ces ensembles de règles. Les types d'ensembles de règles suivants sont disponibles :

Par ailleurs, il est possible de créer des pools d'adresses pour référencer des groupes d'adresses IP. Ensuite, ces pools peuvent être utilisés dans un ensemble de règles. Les pools d'adresses permettent d'accélérer le traitement des règles. En outre, ils facilitent la gestion des grands groupes d'adresses.

Utilisation de la fonctionnalité de filtrage de paquets de Oracle Solaris IP Filter

Vous pouvez configurer le filtrage de paquets à l'aide des ensembles de règles de filtrage de paquets. La commande ipf permet d'utiliser les ensembles de règles de filtrage de paquets. Pour plus d'informations sur la commande ipf, reportez-vous à la page de manuel ipf(1M).

Vous pouvez créer des règles de filtrage de paquets via la ligne de commande, à l'aide de la commande ipf ou dans un fichier de configuration de filtrage de paquets. Si vous souhaitez charger les règles de filtrage de paquets à l'initialisation, créez le fichier de configuration /etc/ipf/ipf.conf pour y insérer les règles de filtrage de paquets. Dans le cas contraire, placez le fichier ipf.conf à un autre endroit, puis activez manuellement le filtrage de paquets à l'aide de la commande ipf.

Oracle Solaris IP Filter peut contenir deux ensembles de règles de filtrage de paquets : l'ensemble de règles actives et l'ensemble de règles inactives. Dans la plupart des cas, vous utiliserez l'ensemble de règles actif. Toutefois, la commande ipf -I permet d'appliquer une commande à la liste de règles inactives. Oracle Solaris IP Filter n'utilise pas la liste de règles inactives, sauf si vous la sélectionnez. La liste de règles inactives constitue l'emplacement auquel vous pouvez enregistrer des règles sans affecter le filtrage de paquets actif.

Oracle Solaris IP Filter traite les règles de la liste de règles du début à la fin de la liste de règles configurée et transmet ou bloque le paquet. Oracle Solaris IP Filter utilise un indicateur pour déterminer si un paquet doit être transmis ou non. Il parcourt l'intégralité de l'ensemble de règles et détermine si le paquet doit être transmis ou bloqué, en fonction de la dernière règle correspondante.

Il existe deux exceptions à ce processus. D'une part, si le paquet correspondant à une règle contenant le mot-clé quick, Si une règle inclut le mot-clé quick, l'action associée à cette règle est exécutée et les règles suivantes sont ignorées. D'autre part, si le paquet correspond à une règle contenant le mot-clé group, seules les règles portant l'indicateur de ce group sont vérifiées.

Configuration des règles de filtrage de paquets

Appliquez la syntaxe suivante pour créer des règles de filtrage de paquets :

action [in|out] option mot-clé, mot-clé...

  1. Chaque règle commence par une action. Oracle Solaris IP Filter applique l'action au paquet si celui-ci correspond à la règle. Les actions habituellement appliquées aux paquets sont répertoriées ci-dessous.

    block

    Empêche le paquet de traverser le filtre.

    pass

    Permet au paquet de traverser le filtre.

    log

    Consigne le paquet sans déterminer s'il est bloqué ou transmis. Exécutez la commande ipmon pour afficher le journal.

    count

    Inclut le paquet dans les statistiques du filtre. Exécutez la commande ipfstat pour afficher les statistiques.

    skip nombre

    Le filtre saute nombre règles de filtrage.

    auth

    Le paquet est authentifié par un programme utilisateur qui valide les informations qu'il contient. Le programme détermine si le paquet est transmis ou bloqué.

    preauth

    Le filtre détermine l'action à effectuer pour un paquet en fonction d'une liste de préauthentification.

  2. Le mot suivant est in ou out. Votre choix détermine si la règle de filtrage de paquets est appliquée à un paquet entrant (in) ou à un paquet sortant (out).

  3. Ensuite, vous pouvez insérer toute une liste d'options. Si vous en utilisez plusieurs, elles doivent être dans l'ordre indiqué ci-dessous.

    log

    Consigne le paquet si la règle constitue la dernière règle correspondante. Exécutez la commande ipmon pour afficher le journal.

    quick

    Exécute la règle contenant l'option quick si un paquet lui correspond. Toute vérification de règle subséquente est interrompue.

    on nom-interface

    Applique la règle uniquement si le paquet entre ou sort via l'interface spécifiée.

    dup-to nom-interface

    Copie le paquet et envoie la copie sur nom-interface vers une adresse IP éventuellement spécifiée.

    to nom-interface

    Déplace le paquet vers une file d'attente sortante sur nom-interface.

  4. Une fois les options spécifiées, vous avez le choix entre plusieurs mots-clés afin de déterminer si le paquet correspond à la règle. Les mots-clés doivent être utilisés dans l'ordre indiqué ci-dessous.

    Remarque –

    Par défaut, le filtre autorise la transmission de tout paquet ne correspondant à aucune règle du fichier de configuration.

    tos

    Filtre les paquets en fonction de leur type de service, exprimé sous forme d'entier décimal ou hexadécimal.

    ttl

    Filtre les paquets en fonction de leur durée de vie. La durée de vie d'un paquet est une valeur enregistrée dans celui-ci qui indique la durée pendant laquelle le paquet peut se trouver sur le réseau avant d'être abandonné.

    proto

    Les paquets correspondant à la règle sont déterminés en fonction d'un protocole spécifique. Vous pouvez employer l'un des noms de protocole spécifiés dans le fichier /etc/protocols ou un nombre décimal représentant le protocole. Le mot-clé tcp/udp peut être utilisé pour filtrer les paquets TCP ou UDP.

    from/to/all/ any

    Filtre les paquets en fonction des éléments suivants : l'adresse IP source, l'adresse IP de destination et le numéro de port. Le mot-clé all permet d'accepter tous les paquets, quelles que soient leur source et leur destination.

    with

    Les paquets correspondant à la règle sont ceux qui sont associés à des attributs spécifiques. Insérez le mot not ou no devant le mot-clé pour indiquer qu'un paquet ne correspond à la règle qu'en l'absence de l'option.

    flags

    Employé pour TCP afin de filtrer les paquets en fonction des indicateurs TCP définis. Pour plus d'informations sur les indicateurs TCP, reportez-vous à la page de manuel ipf(4).

    icmp-type

    Filtre les paquets en fonction du type d'ICMP. Ce mot-clé n'est employé que si l'option proto est définie sur icmp et que l'option flags n'est pas utilisée.

    keep options-keep

    Détermine les informations conservées pour le paquet. Les options state et frags sont disponibles comme options-keep. L'option state conserve les informations relatives à la session et peuvent être conservées sur les paquets TCP, UDP et ICMP. L'option frags permet de conserver les informations sur les fragments de paquets et d'appliquer les informations aux fragments suivants. Les options-keep permettent la transmission des paquets correspondant à la règle sans passer par la liste de contrôle d'accès.

    head numéro

    Crée un groupe pour les règles de filtrage, désigné par le numéro numéro.

    group numéro

    Ajoute la règle au groupe de numéro numéro au lieu du groupe par défaut. Toutes les règles de filtrage sont placées dans le groupe 0 si aucun autre groupe n'est spécifié.

L'exemple suivant illustre la constitution d'une syntaxe de règle de filtrage de paquets pour créer une règle. Pour bloquer le trafic entrant à partir de l'adresse IP 192.168.0.0/16, ajoutez la règle suivante à la liste de règles :


block in quick from 192.168.0.0/16 to any

Pour obtenir la syntaxe et la grammaire complètes utilisées pour écrire des règles de filtrage de paquets, reportez-vous à la page de manuel ipf(4) Pour une description des tâches de filtrage de paquets, reportez-vous à la section Gestion des ensembles de règles de filtrage de paquets de Oracle Solaris IP Filter. Pour une explication du schéma d'adresse IP (192.168.0.0/16) de l'exemple, reportez-vous au Chapitre 2Planification de votre réseau TCP/IP (tâches).

Utilisation de la fonctionnalité NAT de Oracle Solaris IP Filter

NAT configure des règles de mappage qui réalisent la translation des adresses IP source et de destination vers d'autres adresses Internet ou intranet. Ces règles modifient les adresses source et de destination des paquets IP entrants et sortants et envoient les paquets. Vous pouvez également utiliser NAT pour rediriger le trafic d'un port à un autre. NAT assure l'intégrité du paquet en cas de modification ou de redirection de celui-ci.

Exécutez la commande ipnat pour utiliser les listes de règles NAT. Pour plus d'informations sur la commande ipnat, reportez-vous à la page de manuel ipnat(1M).

Vous pouvez créer des règles NAT à la ligne de commande, à l'aide de la commande ipnat ou dans un fichier de configuration NAT. Les règles de configuration NAT résident dans le fichier ipnat.conf. Si vous souhaitez charger les règles NAT à l'initialisation, créez le fichier /etc/ipf/ipnat.conf afin d'y insérer les règles NAT. Dans le cas contraire, placez le fichier ipnat.conf à un autre endroit, puis activez manuellement le filtrage de paquets à l'aide de la commande ipnat.

Configuration des règles NAT

Appliquez la syntaxe ci-dessous pour créer des règles NAT :

commande nom-interface paramètres

  1. Toute règle commence par l'une des commandes ci-dessous :

    map

    Mappe une adresse IP ou un réseau IP vers une autre adresse IP ou un autre réseau IP selon un processus circulaire non contrôlé.

    rdr

    Redirige les paquets d'un couple port-adresse IP vers un autre couple port-adresse IP.

    bimap

    Établit une translation d'adresse réseau bidirectionnelle entre une adresse IP externe et une adresse IP interne.

    map-block

    Établit la translation basée sur les adresses IP statiques. Cette commande se base sur un algorithme qui force la translation des adresses vers une plage de destination.

  2. Le mot suivant correspond au nom de l'interface, par exemple hme0.

  3. Ensuite, vous avez le choix entre divers paramètres, afin de définir la configuration NAT. Les paramètres suivants sont disponibles :

    ipmask

    Désigne le masque réseau.

    dstipmask

    Désigne l'adresse cible de la translation de ipmask.

    mapport

    Désigne les protocoles tcp, udp ou tcp/udp, ainsi qu'une plage de numéros de port.

L'exemple suivant illustre la constitution d'une syntaxe de règle NAT pour créer une règle NAT. Pour réécrire un paquet sortant sur le périphérique de0 avec l'adresse source 192.168.1.0/24 et pour afficher son adresse source comme étant 10.1.0.0/16, ajoutez la règle ci-dessous à l'ensemble de règles NAT :


map de0 192.168.1.0/24 -> 10.1.0.0/16

Pour obtenir la syntaxe et la grammaire complètes utilisées pour écrire des règles NAT, reportez-vous à la page de manuel ipnat(4).

Utilisation de la fonctionnalité de pools d'adresses de Oracle Solaris IP Filter

Les pools d'adresses constituent une référence unique pour nommer un groupe de paires adresse/masque de réseau. Les processus fournis pas les pools d'adresses permettent de trouver plus rapidement les adresses IP correspondant aux règles. En outre, ils facilitent la gestion des grands groupes d'adresses.

Les règles de configuration de pool d'adresses sont définies dans le fichier ippool.conf. Si vous souhaitez charger le fichier de règles de pool d'adresses à l'initialisation, créez le fichier /etc/ipf/ippool.conf afin d'y insérer les règles de pool. Dans le cas contraire, placez le fichier ippool.conf à un autre endroit, puis activez manuellement le filtrage de paquets à l'aide de la commande ippool.

Configuration des pools d'adresses

Pour créer un pool d'adresses, appliquez la syntaxe suivante :


table role = role-name type = storage-format number = reference-number
table

Définit la référence des adresses.

role

Spécifie le rôle du pool dans Oracle Solaris IP Filter. À ce stade, vous ne pouvez faire référence qu'au rôle ipf.

type

Spécifie le format de stockage du pool.

numéro

Spécifie le numéro de référence utilisé par la règle de filtrage.

Par exemple, pour faire référence aux groupes d'adresses 10.1.1.1 et 10.1.1.2 et au réseau 192.16.1.0 à l'aide du numéro de pool 13, insérez la règle suivante dans le fichier de configuration de pool d'adresses :

table role = ipf type = tree number = 13 
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24 };

Ensuite, pour faire référence au numéro de pool 13 dans une règle de filtrage, élaborez une règle similaire à la suivante :


pass in from pool/13 to any

Vous devez charger le fichier de pool avant de charger les règles contenant une référence au pool. Dans le cas contraire, le pool n'est pas défini, comme indiqué dans la sortie suivante :


# ipfstat -io
empty list for ipfilter(out)
block in from pool/13(!) to any

Si vous ajoutez le pool par la suite, l'ensemble de règle du noyau n'est pas mis à jour. Vous devez également recharger le fichier de règles faisant référence au pool.

Pour obtenir la syntaxe et la grammaire complètes utilisées pour écrire des règles de filtrage de paquets, reportez-vous à la page de manuel ippool(4).

Crochets de filtre de paquets

À partir de la version Solaris 10 7/07, les crochets de filtre de paquets remplacent le module pfil pour activer Oracle Solaris IP Filter. Dans les versions Oracle Solaris précédentes, une étape de configuration supplémentaire du module pfil était nécessaire pour configurer Oracle Solaris IP Filter. Cette configuration supplémentaire augmentait les risques d'erreurs entraînant le dysfonctionnement de Oracle Solaris IP Filter. L'insertion du module STREAMS pfil entre IP et le pilote de périphérique affectait également les performances. Enfin, le module pfil ne pouvait pas intercepter les paquets entre les zones.

Les crochets de filtre de paquets optimisent la procédure d'activation de Oracle Solaris IP Filter. Grâce à ces crochets, Oracle Solaris IP Filter contrôle les flux de paquet entrants et sortants du système Oracle Solaris à l'aide de seuils de filtre de préroutage (entrants) et de postroutage (sortants).

Avec les crochets de filtre de paquets, le module pfil devient inutile. Par conséquent, les composants suivants associés au module sont également supprimés.

Pour obtenir une description des tâches d'activation de Oracle Solaris IP Filter, reportez-vous au Chapitre 26Oracle Solaris IP Filter (tâches).

Oracle Solaris IP Filter et le module STREAMS pfil

Remarque –

Le module pfil n'est utilisé avec Oracle Solaris IP Filter que dans les versions Oracle Solaris 10 suivantes :

À partir de la version Solaris 10 7/07, le module pfil a été remplacé par les crochets de filtre de paquets et n'est plus utilisé avec Oracle Solaris IP Filter.

Le module STREAMS pfil est nécessaire pour activer Oracle Solaris IP Filter. Toutefois, Oracle Solaris IP Filter ne contient aucun mécanisme automatique permettant d'empiler le module sur chaque interface. Au lieu de cela, le module STREAMS pfil est géré par le service SMF svc:/network/pfil. Pour activer le filtrage sur une interface réseau, vous devez tout d'abord configurer le fichier pfil.ap. Ensuite, activez le service svc:/network/pfil afin de fournir le module STREAMS pfil à l'interface réseau. Pour activer le module STREAMS, réinitialisez le système ou démontez chacune des interfaces réseau sur lesquelles vous souhaitez réaliser le filtrage, puis remontez-les. Pour activer les capacités de filtrage de paquets IPv6, vous devez monter la version inet6 de l'interface.

Si aucun module pfil n'est trouvé pour les interfaces réseau, les services SMF sont placés en état de maintenance. Cette situation est souvent due à un fichier /etc/ipf/pfil.ap modifié incorrect. Si le service est placé en mode de maintenance, l'occurrence est consignée dans les fichiers journaux de filtrage.

Pour obtenir la description des tâches associées à l'activation de Oracle Solaris IP Filter, reportez-vous à la section Configuration de Oracle Solaris IP Filter.

Protocole IPv6 pour ProductBase; IP Filter

À partir de la version Solaris 10 6/06, le protocole IPv6 est pris en charge par Oracle Solaris IP Filter. Ce filtrage peut se baser sur l'adresse IPv6 source/de destination, sur les pools contenant des adresses IPv6 et sur les en-têtes d'extension IPv6.

De nombreux aspects de IPv6 sont similaires à IPv4. Toutefois, les en-têtes et tailles des paquets ne sont pas identiques dans les deux versions d'IP, ce qui constitue une considération de poids pour IP Filter. Les paquets IPv6 appelés jumbogrammes contiennent un datagramme de longueur supérieure à 65 535 octets. Oracle Solaris IP Filter ne prend pas en charge les jumbogrammes IPv6. Pour en savoir plus sur les autres fonctionnalités IPv6, reportez-vous à la section Fonctions principales d'IPv6.

Remarque –

Pour plus d'informations sur les jumbogrammes, reportez-vous au document IPv6 Jumbograms, RFC 2675 de l'IETF (Internet Engineering Task Force, groupe d'étude d'ingénierie Internet). [http://www.ietf.org/rfc/rfc2675.txt]

Les tâches IP Filter associées à IPv6 ne sont pas très différentes d'IPv4. La différence la plus notable est l'emploi de l'option -6 avec certaines commandes. Les commandes ipf et ipfstat incluent l'option -6 à utiliser avec le filtrage de paquets IPv6. Appliquez l'option -6 avec la commande ipf pour charger et vider les règles de filtrage de paquets IPv6. Pour afficher les statistiques IPv6, utilisez l'option -6 avec la commande ipfstat. Les commandes ipmon et ippool prennent également en charge IPv6, même si aucune option n'est associée à la prise en charge d'IPv6. La commande ipmon a été optimisée pour autoriser la journalisation des paquets IPv6. La commande ippool prend en charge les pools avec les adresses IPv6. Vous pouvez créer des pools d'adresses IPv4, des pools d'adresses IPv6 et des pools contenant à la fois des adresses IPv4 et IPv6.

Vous pouvez utiliser le fichier ipf6.conf pour créer des jeux de règles de filtrage de paquets pour IPv6. Par défaut, le fichier de configuration ipf6.conf figure dans le répertoire /etc/ipf. Comme pour les autres fichiers de configuration de filtrage, le fichier ipf6.conf se charge automatiquement au cours du processus d'initialisation s'il est stocké dans le répertoire /etc/ipf . Vous pouvez également créer un fichier de configuration IPv6, le conserver à un autre emplacement et le charger manuellement.

Remarque –

NAT ne prend pas en charge IPv6.

Une fois les règles de filtrage de paquets pour IPv6 configurées, activez les capacités de filtrage de paquets IPv6 en montant la version inet6 de l'interface.

Pour plus d'informations sur IPv6, reportez-vous au Chapitre 3Présentation d'IPv6. Pour obtenir une description des tâches associées à l'activation de Oracle Solaris IP Filter, reportez-vous au Chapitre 26Oracle Solaris IP Filter (tâches).

Pages de manuel Oracle Solaris IP Filter

Le tableau suivant répertorie les pages de manuel s'appliquant à Oracle Solaris IP Filter.

Page de manuel 

Description 

ipf(1M)

Exécutez la commande ipf pour effectuer les tâches suivantes :

  • utiliser les ensembles de règles de filtrage de paquets ;

  • désactiver et activer le filtrage ;

  • réinitialiser les statistiques et resynchroniser la liste d'interface du noyau avec la liste de statut d'interface actuelle.

ipf(4)

Contient la grammaire et la syntaxe de création des règles de filtrage de paquets Oracle Solaris IP Filter. 

ipfilter(5)

Fournit les informations d'octroi de licence du logiciel Open Source IP Filter. 

ipfs(1M)

Exécutez la commande ipfs pour enregistrer et restaurer les informations NAT et les informations de table d'état lors des réinitialisations.

ipfstat(1M)

Exécutez la commande ipfstat pour récupérer et afficher les statistiques relatives au traitement des paquets.

ipmon(1M)

Exécutez la commande ipmon pour ouvrir le périphérique du journal et afficher les paquets consignés pour le filtrage de paquets et pour NAT.

ipnat(1M)

Exécutez la commande ipnat pour effectuer les tâches suivantes :

  • utiliser les règles NAT ;

  • récupérer et afficher les statistiques NAT.

ipnat(4)

Contient la grammaire et la syntaxe pour la création de règles NAT. 

ippool(1M)

Exécutez la commande ippool pour créer et gérer les pools d'adresses.

ippool(4)

Contient la grammaire et la syntaxe de création des pools d'adresses Oracle Solaris IP Filter. 

ndd(1M)

Affiche les paramètres de filtrage actuels du module STREAMS pfil et les valeurs courantes des paramètres réglables.